日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
小野寺です。
Microsoft Security Essentials (MSE)を公開してから、このBlogにも多数のコメントを頂きました。その中で、いくつかあった疑問・質問をここにFAQ風にまとめてみます。
Q Microsoft Security Essentialsをインストールするべきですか?A ウイルス対策ソフトを使っていない、最新の(状態の)ウイルス対策ソフトでは無い場合はインストールする事を強よ~くお勧めします。
Q 今、ウイルス対策ソフトを使っています。切り替えるべきですか?A 使っているウイルス対策ソフトが、最新(の状態)であれば、切り替える必要はありません。しかしながら、セキュリティセンターやアクションセンターから「対策ソフトが入っていない」旨のメッセージが出ている場合は、偽ウイルス対策ソフトを導入してしまっている可能性もあります。その場合は、Microsoft Security Essentialsを試してみることも検討してください。
Q Windows Defenderとの違いはなんですか?A Windows Defenderは、スパイウェアと呼ばれる特定の脅威にのみ対応します。Microsoft Security Essentialsは、スパイウエアはもちろんですが、ウイルス等を含めた脅威全般に対応するため、Windows Defenderの機能を包含しています。
Q Microsoft Security Essentialsを利用していれば、Windows Defenderは不要ですか?A はい。Windows Vista, Windows 7には、Windows Defenderが標準で組み込まれています。これらの環境では、Microsoft Security Essentialsをインストールすることで、Windows Defenderが自動的に無効となります。 Windows XPについては、Windows Defenderをアンインストールする事をお勧めします。
Q Microsoft Security Essentialsは、Windows XP でなぜ1GBものメモリを必要とするのですか?A Microsoft Security EssentialsをWindows XPで動作させる場合に必要なメモリは、256MBとなります。近日中に1GBと記載されているサイトを更新予定ですしました。
Q Window XP 64bit用のMicrosoft Security Essentialsはありますか?A Window XP 64bit用のMicrosoft Security Essentialsは提供しておりません。64bit版は、Windows Vista以降のOSに対してのみ提供しています。
Q Microsoft Security Essentialsを導入した後、他のセキュリティ対策製品を導入することで、ウイルスに感染する可能性は低くなりますか?A 複数のセキュリティ対策製品を同時に使うことで、各対策ソフトの強みが生かされる場合があります。しかし、多くの場合は複数のソフトを同時に使うことを前提としていないため、システムのパフォーマンスを損ない、場合によっては相性問題(競合問題)を起こす可能性があります。もし、その様な問題が発生した場合は、どちらか一方を選択する事をお勧めします。
Q Microsoft Security Essentials でグループポリシーの管理は可能ですか?A いいえ。Microsoft Security Essentials では、グループポリシーの管理はできません。管理機能が必要なお客様は、Microsoft Forefrontシリーズをおすすめします。
Q 最新の定義情報の更新を知るにはどうすればいいですか?A Microsoft Malware Protection Center のサイトで公開しています。 更新情報は、RSSでもフィードしています。
再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・そんな現象が報告されています。色々と調べてみると、Win32/Daonol の最近の亜種にWindows XPが感染すると発生するようです (Windows Vista、Windows 7 では起こりません)。Daonolの不具合?なのか、OS の起動シーケンス中に、無限に処理待ちを起こしてしまうことがあるようで、Daonolが起動中に読み込まれないようにすると、解消されます。
さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。
Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが、少なくとも、Microsoft Updateですべての更新プログラムを適用して、使用している他社のアプリケーションも最新の状態にしておけば感染しなかったのですが、アプリケーションの更新に注意を払うということは、まだ十分に根づいていないのかもしれません。
今後も、この手の手法は頻繁に使われるでしょう。そのためにも、以下の点を再確認したいところです。
さて、冒頭で紹介した、Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi9"="C:\\WINDOWS\\<random>.tmp <random>"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\<random>.tmp <random>"
PCが2台以上あれば、感染したHDDを正常な PC に接続してウイルス対策ソフトでHDD全体をフルスキャンする方法もありますが、やはりPCに十分に慣れた方以外には難しい作業だと思います。近隣に詳しい方がいれば、助けを求めて今後感染しないように設定してもらう方法も取れると思いますが、そのような方がいない場合は、各種サービス事業者やサポートに相談するのが良いかもしれません。
SQL Server 2005の更新プログラムを適用する際に、Microsoft Updateで 737d エラーが出てしまう事があるようです。この 737d エラーは、以前に行ったSQL Server 2005に何らかの構成変更(更新やサービスパックの適用も含む)のセットアップが正しく完了していない場合に起こります。
このエラーの一般的な対処方法は以下の様な流れになります。
追記 (2009/11/21): 上記で解決しない場合は、http://blogs.technet.com/jpsecurity/archive/2009/11/21/3295421.aspx をどうぞ
小野寺です
事前通知でお伝えした通り、セキュリティ情報 計13件 (緊急 8件, 重要 5件)を公開しました。合わせて、セキュリティ情報を 2 件, セキュリティ アドバイザリを 2 件更新しています。また、ワンポイント セキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報の提供を開始します。(本日午後に公開予定)
セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx
MS09-050 (SMBv2):セキュリティ アドバイザリ 975497でお伝えしていた件に対処しました。特別な細工がされたSMBv2パケットを受信することで、コードが実行される、またはサービス拒否状態となる可能性があります。
MS09-051 (Media Runtime):特別な細工がされたストリーミングまたは音声データを再生することで、コードが実行される可能性があります。
MS09-052 (Media Player):特別な細工がされたデータを開くことで、コードが実行される可能性があります。
MS09-053 (FTP Service):セキュリティ アドバイザリ 975191でお伝えしていた件に対処しました。特定の細工を伴って、リストコマンド等を実行することで、サービス拒否または、コードが実行される可能性があります。
MS09-054 (IE):特別な細工のされたWebサイト等を参照することで、コードが実行される可能性があります。
MS09-055 (Kill Bit):MS09-035 (ATL)の影響を受けるいくつかのActiveXコンポーネントを、Kill Bit処理することで、Internet Explorerから呼び出せないようにしています。攻撃の手法としては、MS09-035でお伝えしている通り、特別な細工のされたWebサイト等を参照することで、結果的にコードが実行される可能性があります。
MS09-056 (CryptoAPI):特別な細工のされた不正な証明書が信頼できる証明書であると判断され、結果として、なりすましが行われる可能性があります。実際の例としては、この脆弱性を悪用して生成された不正な証明書をもつWebサイトに接続した場合に、正常な証明書が使われたサイトである判断する場合があります。
MS09-057 (Index Service):Index Serviceを不正なデータと共に呼び出すことで、コードが実行される可能性があります。この脆弱性を、Webサイト等に埋め込むような攻撃が想定されますが、既定の状態ではIndex Serviceは動作していません。
MS09-058 (Kernel):特別な細工がされたアプリケーケーションの実行または、存在により、サービス拒否または、特権の昇格が発生する可能性があります。この脆弱性は、特別な細工がされたアプリケーションの実行または、フィルダに特別な細工がされたアプリケーションが存在し、そのフォルダが一覧された場合にも悪用される可能性があります。フォルダは、ローカルおよびリモートの共有フォルダの双方に可能性がありますが、リモートのフォルダの場合はサービス拒否が発生します。
MS09-059 (LSASS):NTLMの認証プロセスの中で、特別な細工がされたパケットを送受信することで、サービス拒否が発生する可能性があります。
MS09-060 (Office):MS09-035 (ATL)の影響を受けるOffice製品に含まれるActiveXの対処を行っています。
MS09-061 (.NET CLR):.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。
MS09-062 (GDI+):不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。
セキュリティ情報 (更新):MS08-069 (XML):Windows 7等の新しいプラットフォームに、XMLコンポーネントをインストールした場合にもMicrosoft Update等で検出が行われるように検出ルールを改定しました。
MS09-024 (Works):Works9のクロアチア語、チェコ語、エストニア語等のいくつかの言語に新たに対応しました。日本語版、英語版に関する変更はありません。
セキュリティ担当としては、待ちに待った、Windows 7が10/22に一般向けに提供公開されました。
セキュリティチームでは、数年前から、家庭向けのセキュリティ教材のひとつとして、ぶたさんをモチーフにした資料を公開してきました。 先日のWindows 7の一般向け提供開始に合わせて、資料もWindows 7にしてみました。http://www.microsoft.com/japan/security/contents/sec2007.mspx
おまけ:
そして、Windows 7 の発売に合わせた記念の以下の "7" ケーキが用意されました。 "7"のマークが、赤、黄、緑のカップケーキです。お気づきの方もいるかもしれませんが、Windows のマークの4色が由来となっています。
本当は、青のケーキもあったのですが、写真を撮る前に食べられてしまったのです。
10月14日に予定している定例のセキュリティリリースについてのお知らせです。公開を予定しているセキュリティ情報は、13件 (緊急 8件, 重要 5件)となります。 また、毎月リリースと同日に公開している Webcastのワンポイント セキュリティも、当日に公開予定です。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx
なお今月は、セキュリティ アドバイザリ 975497 (SMB) や 975191 (FTP) にも対応する予定です。
Bulletin 1
緊急リモートでコードが実行される
要再起動
Windows
Bulletin 2
再起動の可能性あり
Bulletin 3
Bulletin 5
Windows, Internet Explorer
Bulletin 6
Bulletin 11
Office
Bulletin 12
Windows, Silverlight
Bulletin 13
Windows, Office, SQL Server, 開発ツール, Forefront
Bulletin 4
Bulletin 7
重要なりすまし
Bulletin 8
重要リモートでコードが実行される
Bulletin 9
重要特権の昇格
Bulletin 10
重要サービス拒否
小野寺です。10月のワンポイント セキュリティ情報を公開しました。
なお、今月より一部内容をリニューアルし、IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。
以下の画像をクリックするとサイトに誘導されます。
フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:http://technet.microsoft.com/ja-jp/dd251169.aspx