マイクロソフトは、Internet Explorer（IE) 6.0 SP1に対して「TechNetセキュリティ情報：MS04-004（Internet Explorer用の累積的なセキュリティ修正プログラム）の修正プログラムを適用すると、SSLで保護されたWebサイトへのPOSTリクエストに断続的なエラーが発生する不具合があることを明らかにしました。SSLで保護されたWeb サイトにおいて、Webページのフォーム機能を利用してユーザー名やパスワードを送信するとき、最初の接続が終了すると、IEからWebサーバに情報が再送されないことがあります。場合によっては、この不具合によって、「HTTP 500（内部サーバー エラー）」ページが表示されることがあります。

　すでにこの不具合を解消する修正プログラムがリリースされています。以下のURLより修正プログラムをダウンロードし、検証の上、適用してください。

・ダウンロード・センター（Q831167：推奨修正プログラム）：
http://www.microsoft.com/downloads/details.aspx?FamilyId=254EB128-5053-48A7-8526-BD38215C74B2&displaylang=ja

詳細：
　「TechNetセキュリティ情報：MS04-004」の修正プログラムをIE 6.0 SP1に適用すると、Wininet関数の影響により、HTTP 500のエラー・ページが表示されるなどの不具合が発生します。最も一般的な例では、SSLで保護されたWebサイトにユーザー名やパスワードなどを入力し、Webサイトに送信（POSTリクエスト）する際にこの不具合が発生する可能性があります。不具合は、IEがPOSTリクエストを送信し、Webサーバの最初の接続要求が終了したにもかかわらず、空白のヘッダのみのPOST要求を再送してしまう動作に起因します。

　この不具合を解消する修正プログラムは、以下のファイルを置き換えます。

　「TechNetセキュリティ情報：MS04-007（ASN.1の脆弱性により、コードが実行される）」の脆弱性をDoS攻撃する実証コード（エクスプロイト・コード）がセキュリティ関連の掲示板などで公開されました。この実証コードは、MS04-007の脆弱性に対して、DoS攻撃を仕掛けることで、lsass.exeを終了させ、システムがシャットダウンさせられてしまうというものです。

　公開されたソースコードは、容易にワームや攻撃用ツールに転用可能なものです。すでにこの脆弱性を悪用するための侵入（ポート・スキャンなど）が試みられているとの報告もあり、非常に危険な状態となっています。特にインターネットなどアクセス可能なサーバに対しては、修正プログラムを至急適用し、脆弱性を排除する必要があります。

詳細：
　公開された実証コードは、Windows 2000に対してMS04-007の脆弱性を攻撃するものです。その結果、lsass.exe（LSA Shell；ローカル・システムのセキュリティ管理に関わるコンポーネント）が異常終了するため、1分後にシステムがシャットダウンします。この実証コードを試すことで、脆弱性が存在するかどうかの確認が可能です。一方で改変されてワームなどに悪用される危険性も出てきました。

　JPCERT/CCの報告によれば、「この脆弱性を使った攻撃手法が既に公開されています。また、その攻撃手法を用いたサービス運用妨害（DoS）や侵入の試みと思われる不審なアクセスが行なわれているとの報告もあります」とのことです。

・JPCERT/CCの「Microsoft ASN.1 Library の脆弱性に関する注意喚起」：
http://www.jpcert.or.jp/at/2004/at040001.txt

　実証コードの公開や不審なアクセスが実行されているなどの報告から、MS04-007の脆弱性が攻撃される危険性が非常に高くなっています。修正プログラムの適用とともに、ファイアウォールやルータなどのログを調べ、攻撃が行われていないことをご確認ください。

　マイクロソフトは、Windows Media PlayerのURLスクリプト・コマンド機能を修正する「サポート技術情報：828026（Windows Media PlayerのURLスクリプト コマンド機能の更新）」で提供した修正プログラムを改訂し、再リリースしました。この修正プログラムは、「TechNetセキュリティ情報：MS03-040／MS03-048（Internet Explorer 用の累積的なセキュリティ更新）」において、同時に適用することが推奨されていた修正プログラムです。

　今回マイクロソフトは、修正プログラムに内蔵するインストーラのUpdate.exeをバージョンアップし、ファイル名を「WindowsMedia-Q828026-x86-JPN.exe」に変更しました。古い修正プログラム（WindowsMedia-KB828026-x86-JPN.exe）では、内蔵するインストーラのUpdate.exe（バージョン「5.3.22.0」）に不具合があり、正しく再起動が実行されない場合がありました。改訂版ではこの点を改善し、不具合を解消したバージョン「5.4.2.0」にUpdate.exeを変更しています。DA Labの調査によれば、置き換え対象となっているインストーラ以外のファイル・バージョンは、古いWindowsMedia-KB828026-x86-JPN.exeと同じものでした。

詳細：
　「サポート技術情報：828026」では、一部のURLスクリプト・コマンドが正常に機能しなくなるという不具合が発生することが報告されており、その不具合を解消した修正プログラムも「サポート技術情報：832353（「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURLスクリプト コマンドが機能しない）」で提供されています。ただし、「サポート技術情報：832353」の修正プログラムが内蔵するインストーラのUpdate.exeは、不具合のあるバージョン「5.3.23.4」です。

・サポート技術情報 832353（「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURLスクリプト コマンドが機能しない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;832353

・HotFix Weekly 2004/01/28日版（「サポート技術情報：828026」の修正プログラム適用後、Windows Media Playerの一部のURLスクリプト・コマンドが機能しなくなる不具合）：
http://www.hotfix.jp/archives/alert/2004/news04-0128.html#01

　今回の再リリースでマイクロソフトは、なぜか「サポート技術情報：828026」の不具合を解消した「サポート技術情報：832353」の修正プログラムが内蔵するインストーラを変更せずに、不具合の残る「サポート技術情報：828026」の方を更新しています。本来ならば、「サポート技術情報：828026」の修正プログラムは提供を止め、「サポート技術情報：832353」のインストーラをバージョンアップしたものを、再リリースするべきです。なぜ古い方を再リリースしたのか、理由は不明です。

　今回の修正対象であるインストーラの不具合とは、ユーザー権利の［プログラムのデバッグ］を「無効」に設定していると、修正プログラム適用後の再起動が正しく行われない場合があるというものです。しかしローカル・ポリシーやグループ・ポリシーで、［プログラムのデバッグ］の権限を変更していなければ、デフォルト設定の状態ではインストーラの不具合が影響することはありません。

　従って特に理由がなければ、今回のものではなく、「サポート技術情報：828026」の不具合が解消されている「サポート技術情報：832353」の修正プログラムを適用することをおすすめします。

・サポート技術情報 830846（Windows Updateのインストール中、応答が停止するか、大部分またはすべてのCPUリソースが消費される）：
http://support.microsoft.com/default.aspx?scid=kb;JA;830846

・HotFix Weekly 2003/11/05日版（特定条件下で修正プログラム適用後の再起動が正しく行われないインストーラの不具合）：
http://www.hotfix.jp/archives/alert/2003/news03-1105.html

　マイクロソフトは、Mydoom（マイドゥーム）ウイルスならびにDoomjuice（ドゥームジュース）ウイルス、それらの亜種に感染したコンピュータから、ウイルスを駆除するツール（Mydoom Worm Removal Tool Version 3.0）の提供を開始しました。これらのウイルスは、電子メールの添付ファイルを介して感染を拡大しています。感染が疑われる場合は、至急、以下のURLから駆除ツールをダウンロードし、実行してください。

・情報処理推進機構 「W32/Mydoom」（別名：Novarg）ウイルスに関する情報：
http://www.ipa.go.jp/security/topics/newvirus/mydoom.html

・ダウンロード・センター Mydoom（A, B）and Doomjuice（A, B）Worm Removal Tool：
http://www.microsoft.com/downloads/details.aspx?familyid=C14BFBE4-3D50-464D-A26C-9C287F8A08C5&displaylang=en

詳細：
　MydoomやDoomjuiceは、件名が「hi」や「hello」「test」、拡張子がZIPやEXEなどの添付ファイルを持つ電子メール型ウイルスです。電子メールの送信エラーなどに見せかけて送られてくる場合もあります。電子メールの添付ファイルを開くことで、ウイルスがコンピュータに感染します。その後、Mydoom／DoomjuiceはHTMLファイルやテキスト・ファイルからメール・アドレスを探し、それらのアドレスに対して自分自身を送信したり、バックドアを仕掛けたりします。

　電子メールの送信者を詐称したり、送信エラーに偽装したりするなど手口が巧妙であるため、注意をしていても感染してしまうことがあるようです。万が一、ウイルスに感染した場合は、以下の手順でウイルスの駆除を行ってください。

1. 感染したコンピュータをネットワークから切断します。
2. 別のウイルス対策ソフトウェアを導入しているコンピュータを使って駆除ツールをダウンロードします。
3. フロッピーディスクやUSBストレージなどを利用して、駆除ツールをウイルスに感染したコンピュータにコピーします。
4. 駆除ツールを実行します。
5. ウイルス対策ソフトウェアを導入します。

　なおマイクロソフトが提供する駆除ツールは英語版ですが、日本語環境でも動作可能であるとしています。また現在のところサポート技術情報は英語ですが、近日中に日本語版が提供されるものと思われます。

・サポート技術情報 836528（A tool is available to remove the Mydoom and Doomjuice worm variants）（英語）：
http://support.microsoft.com/default.aspx?scid=kb;ja;836528