日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
小野寺です
Windows Internet Explorer 7が自動配信機能を通じて配された件では、ご迷惑をおかけいたしましたが、セキュリティ情報の公開は予定通り行う予定でおります
今月は、計 7 件の公開を予定しています。その内、緊急は 4 件、残りの 3 件は重要となっています。なお、リリース日は、今週末の3連休明けの水曜日 (10/10) になります。
今月も、表形式でご紹介してみたいと思います。
http://www.microsoft.com/japan/technet/security/bulletin/ms07-oct.mspx
影響を受ける製品
最大深刻度
影響
検出方法
再起動
セキュリティ情報 1
Windows
緊急
リモートでコードが実行される
MBSA
必要
セキュリティ情報 2
Windows、Outlook Express、Windows メール
MBSA/EST
必要な場合あり
セキュリティ情報 3
Windows Internet Explorer
セキュリティ情報 6
Office
セキュリティ情報 4
重要
サービス拒否
セキュリティ情報 5
なりすまし
セキュリティ情報 7
Windows、Office
特権の昇格
10月のセキュリティリリース 小野寺です
今日のセキュリティ情報の公開では、事前通知でお伝えした緊急4件、重要3件の計7件ではなく、緊急4件、重要2件の計6件と更新を1件を公開しています。事前通知で伝えしていた、「セキュリティ情報 5」は、事前通知後の公開の直前という感じのタイミングで、改善するべき品質問題が発見されたため急遽公開を中止しました。
今月は、MS07-057, MS07-059 が公開前に情報が一般公開されていましたが、悪用は確認されていません。 MS07-060 は、悪用が確認されています。既知の問題は、含めてセキュリティ情報を抜粋します。
MS07-055: Kodak Image Viewer の脆弱性により、リモートでコードが実行される (923810)既知の問題は特にありませんが、影響をうける製品は、Windows 2000 または、Windows 2000 からアップグレードインストールを行った、Windows XP, Windows Server 2003 となる点が注意が必要です。Windows XP, Windows Server 2003 を新規にインストールした場合は、Kodak Image Viewer 自体がインストールされないため、影響を受けません。
MS07-056: Outlook Express および Windows メール用の累積的なセキュリティ更新プログラム (941202)配布に関して、一部 EST の利用が必要です。
MS07-057: Internet Explorer 用の累積的なセキュリティ更新プログラム (939653)既知の問題と、セキュリティ更新に含まれる、他の公開済みの更新の情報が、KB 939653 に記載されています。CVE-2007-1091 および CVE-2007-3826 については、一般に情報が公開されていましたが、悪用は確認していません。
MS07-059: Windows SharePoint Services 3.0 および Office SharePoint Server 2007 の脆弱性により、SharePoint サイトで特権の昇格が起こる (942017)Microsoft Windows SharePoint Services 3.0用と、Microsoft Office SharePoint Server 2007用の両方の更新に既知の問題がありますので、KB 942017 を一読する事をお勧めします。また、適用に際する注意として、Microsoft Office SharePoint Server 2007を使用する環境では、Microsoft Office SharePoint Server 2007用の更新を適用するのは当然として、さらにMicrosoft Windows SharePoint Services 3.0用の更新も適用する必要があります。手動での展開の場合などは、忘れないよう注意が必要です。
MS05-004: ASP.NET パス検証の脆弱性 (887219)Windows Server 2003 Service Pack 2 および Windows Vista でも、.NET Framework 1.0 Service Pack 3 (KB886906) および .NET Framework 1.1 Service Pack 1 (KB886903)がインストール可能な事を明確にしました。しかし、MS07-040 を適用している場合は、MS07-040がMS05-004を含むため適用する必要はありません。
最後に、今月もセキュリティ情報のストリーミング配信を午後に行います。今月は秋バージョンとなっています :-)http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
小野寺です。
10月のワンポイントセキュリティを公開しました。今月は、秋仕様になっています。
soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
2007年10月13日は、MVP向けの国内イベントである、MVP Summit 2007が行われ、スピーカーとして参加してきました。今回は、セキュリティの現状やマイクロソフトがどの様に取組んでいくかについてお話して、Q&Aの時間に非常に多くのフィードバックもいただくことができました。
フィードバックの中には改善して欲しい点等があるわけですが、ここが「ダメ」ではなく、皆さん、「こうすれば良くなる」と前向きに言ってくれます。でも、本当に「ダメ」なときは、はっきり「ダメ」といってくれるのですが、併せて良いものには「良い」と言ってくれるのもうれしい点です。
普段、「ダメ」な部分には、色々な形でダメだしをされているわけですが、良い物を良いといってくれるフィードバックは少ないのです。そのため、今の取り組みや活動が、「ダメ」なのか「良い」のかわからなくなる事があります。その時に、「良い」を伝えてもらえると、「良い」ものは続けていくことができます。
MVPイベントを含め、コミュニティー勉強会には個人的に、できるだけ顔を出すようにしています。(最近、あまり参加できてませんが・・・) その場で、もし見かけたら色々と意見交換をさせてください。もちろん、勉強会等に集まれない方も、Webサイトから意見を寄せてください。もし、少しでもコンテンツが助けになったら、「良い」と言って下さい、「ダメ」だったら、あなたにとって、何が「ダメ」でどうして欲しかったのかも聞かせてください。
オオカミとこぶたをモチーフにした「パソコンを安心して使うために。~オオカミと5匹のこぶた~」を、パソコン安全対策を身近に感じていただき、最低限行うべきセキュリティ対策を説明するために先日公開しました。おかげさまで好評をいただき、約 4 万部程をご利用いただきました。
しかしながら、フィッシング対策の説明部分で、オオカミが集金担当者のフリをしてこぶたを騙す表現があり、実際に集金を行っている関係者の方々に不快感を与える結果となってしまいました。社会的に信頼できる人を装うオオカミを表現するために、集金担当者を選択したわけですが、我々の配慮不足であり関係者の方々には深くお詫びを申し上げます。
当初公開していた、コンテンツは寓話などを参考に、特定の職業や業種に拠らない内容に変更し、以下にお詫びと改訂版を公開いたしましたので、既にPDFをダウンロードしていただいた方には大変申し訳ありませんが、今後は改訂版を利用していただけるようお願いいたします。
http://www.microsoft.com/japan/security/sec2007.mspx
2007年上半期 (1月~6月)のセキュリティの脅威の動向をまとめた、セキュリティ インテリジェンス レポートの第3版を公開しました。もちろん、日本語版もあります。今回から、要約版 '主要な調査結果の概要 (Key Findings Summary)'を公開しています。日本語版は、約 10 ページとなっており、第2版のボリュームに比べると、かなり読みやすくなっているのではないかと思います。
2007年上半期のデータとして、興味深いのはマルウェアのタイプとしてダウンロード型が劇的に増加している点です。
従来のウイルス・ワームやBotがメール等にそのまま添付されてくるのに対して、添付は、ダウンローダーのみであり、その後に攻撃者の意図したマルウェア本体が侵入したダウンローダーにより外部より取得され、インストールされるわけです。そのため、ダウンローダーとダウンロードされたマルウェアの両面に対処する必要があります。私見ですが、攻撃者側が今まで以上に組織的で戦略的に攻撃を仕掛けているように思います。これに対して、企業のITシステムを個々のPCではなく、一つの大きな塊として企業全体を見通して継続的にリスクを集中管理できているのか、不安に感じることがあります。
ちなみに、要約版ではない、完全版は 92 ページあり、最初は英語版のみのていきょうとなります。完全版の日本語版については、時期も含めて検討しています。
IPAの主催の「情報セキュリティ標語・ポスター」をご存知でしょうか?今回で第3回目になり、昨日、表彰式典をIPAフォーラム 2007の中で行いました。実は、この中に、マイクロソフト賞というものがあり、小学生、中学生、高校生の作品から各1点、計6点を選ばせていただきましたので、紹介したいとおもいます。
小学生の部:「未来へつながれルールのわ 安心セキュリティー 」佐川 龍哉さん
中学生の部:「最高のセキュリティーは 貴方の心」佐野 悠介さん
高校生の部:「便利の裏には 見えない危険 忘れちゃいけないセキュリティ」勝美 恵一さん
伊藤 優さん
栗田 顯さん
宍戸 祐子さん
これを見ていて思ったのは、其々の作品で伝えている”セキュリティ”のポイントは違っていますが、すべて”セキュリティ”だということです。”セキュリティ”という言葉の意味はとても広く一言で言うのは難しいのかもしれませんが、個々のポイントソリューションではなく、多層的にかつ継続的に対応を考えていけないと改めて考えさせられました。そして、全てに共通しているのは、「人」が中心だという事です。セキュリティで守られるのは、情報を扱う「人」の心ですし、守るためには最終的には「人」のモラルや広く共有できる社会常識が必要になってきます。しかし、情報漏えいの報道などをみていると、「人」を守るために「人」は何をやっているのだろう?と思ってしまいます。技術で守れるところは日々進歩しています。これからは、技術同様に「人」も一緒に進歩していきたいですね。