日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
こんにちは。セキュリティレスポンスチームです。もうすぐクリスマス、そして年末年始と、楽しい休暇シーズンがやってきますね。皆様は長期休暇をどのように過ごされるのでしょう?私は 2 歳のおチビがいるので忙しない帰省になりそうです。ところで、日本でも先日 (11 月 20 日) 発売された Xbox Kinect は、順調に売り上げを伸ばしているようで、発売 (北米では 11 月 4 日) から 10 日で 100 万台、25 日で 250 万台 (…年内 58 日で 580 万台?) の勢いのよう。年内 500 万台という目標を達成できるペースですね。嬉しい限りです。ゲーマーではない私ですが、Dance Evolution は汗だくでやっています。皆様もクリスマス パーティ用に 1 台いかがですか?この Kinect、発売から数日で面白いハック (と呼ぶのは MS 的には正しくないと思いますが) がたくさん紹介されていますね^^; 影絵や落書きの技術を搭載したり、体の特定の部分を認識させたり、光学迷彩を再現したり、はたまた 2 台使いで自分の部屋を 3D レンダリングしたり…。Kinect のインターフェースをオープンにしたことで、技術革新が進んでいるようです:P このデバイスの技術は非常に注目を浴びており、これを様々な OS や組み込みシステム、ロボット等と接続して応用できないかというプロジェクトが走るのも納得できますね。念のため、Xbox 内部のアルゴリズムを触ったり通信を盗んだりという本来のハックに対しては、しっかりした保護策が取られています。そういえば、話は変わりますが、以前この Blog で触れたEMET (Enhanced Mitigation Experience Toolkit) について、改めて紹介すると言ったまま紹介していませんでした。その後ツール紹介サイトも用意し宣伝活動も進めています。ちょっとここでもご紹介しますね。EMET (エメット) は、任意のアプリケーションに対して脆弱性緩和技術を簡単に導入できる便利ツールです。例えば Windows XP や Vista から導入された DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization) を含め、計 6 つ (EMET v2 の場合) のセキュリティ緩和技術をあらゆるアプリケーションに対して設定できるのです。【EMET v2 の GUI】【EMET v2 で設定できる 6 つの緩和技術】EMET の活用の幅は組織によって異なるでしょうが、例えばソースコードの存在しない古いアプリケーションや、セキュリティ更新の出ていない脆弱性 (0-day) への対策、また、運用上更新プログラムをすぐに適用できない場合の緩和策などとして活用できると思います。データが盗まれると被害の大きい基幹業務アプリケーションや重役の Web ブラウザーなどに個別設定するのもいいかもしれませんね。EMET は、プロセスをクラッシュさせることで悪用を阻止するので、サービスの停止が難しいサーバーへの実施は困難という声もありますが、リスク管理の考え方として「セキュリティのリスクをゼロにできないのであれば、リスクは最小限にとどめる」という基本的な考え方があります。EMET が有効に機能したことでプロセスがクラッシュしサービスが停止したとしても、被害 (この場合サービス停止のみ) が 1 台で食い止められるのであれば、リスク管理の観点では成功といえるのだと思います。EMET は、コマンドベースの v1 が 2009 年 10 月に、また、GUI ベースの v2 が 2010 年 9 月に公開されています。組織の複数のコンピューターに EMET を導入する場合は、ネットワーク共有上に EMET をインストールし、対象となるコンピューターにはログオンスクリプト等で EMET を設定することもできます。展開に関しては、今後のバージョンで Active Directory との連携など、企業環境で容易に展開や管理ができるよう検討されています。また、ツール自体も正式にサポートする方向で調整中です。EMETv2 ツールは こちら からダウンロードできますので、ご興味ある方はぜひ触ってみてください。もう少し詳細をという方には、EMET を 10 分で知る Web キャスト も用意しています。ちょっと話し方がスローですがその辺はご寛仁ください。
2010年12月15日に予定している月例のセキュリティリリースについてのお知らせです。来週水曜日に公開を予定しているセキュリティ情報は、17 件 (緊急 2 件、重要 14 件、警告 1 件) です。また、毎月リリースと同日に公開している Webcast の ワンポイント セキュリティも、当日午後に公開予定です。公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms10-dec.mspx
セキュリティ情報 ID
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア*
セキュリティ情報 1
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
セキュリティ情報 2
セキュリティ情報 3
重要
特権の昇格
Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
セキュリティ情報 4
再起動が必要な場合あり
Microsoft Windows Vista
セキュリティ情報 5
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008
セキュリティ情報 6
Microsoft Windows 7 および Windows Server 2008 R2
セキュリティ情報 7
セキュリティ情報 8
Microsoft Windows XP および Windows Server 2003
セキュリティ情報 9
セキュリティ情報 10
セキュリティ情報 11
セキュリティ情報 12
サービス拒否
Microsoft Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2
セキュリティ情報 13
Microsoft Windows Server 2008 および Windows Server 2008 R2
セキュリティ情報 14
Microsoft Publisher 2002、Publisher 2003、Publisher 2007 および Publisher 2010
セキュリティ情報 15
Microsoft SharePoint Server 2007
セキュリティ情報 16
Microsoft Office XP、Office 2003、Office 2007、Office 2010、および Works 9
セキュリティ情報 17
警告
Microsoft Exchange Server 2007
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、下記リンクの「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
皆さん、はじめまして。 2か月前にセキュリティ レスポンス チームに異動になったばかりの新米担当者です。よろしくお願いします。
異動前は某製品のローカリゼーションとリリースを担当する部署におりました。以前の部署での仕事がセキュリティとまったく関連しなかったわけではありませんが、セキュリティ専門の部署で仕事をするのは初めてです。
が、先日、セキュリティ関連のある記事を読んでいたときに、急にある記憶が蘇ってきました。
「あれ? この不正アクセスの手法、昔どこかで読んだ覚えが…」
記憶を辿ってみると、14年ほど前、プログラミングの勉強等をしながらフリーランスでコンピューター関連書籍やユーザーマニュアルの翻訳の仕事をしていた当時に翻訳を担当した書籍に思い当りました。 その本は、元クラッカーが自身の行っていたクラッキングの手口を明かした本であり、さまざまな攻撃手法について解説したものでした。いわば「泥棒の手口を知って対策を立てる」という類の異質なセキュリティ対策本であり、あくまでもクラッカー目線で書かれたものです。興味深いことに、攻撃手法に留まらず「何のためにどこを狙うのか」というクラッカーの心情的な部分にも触れており、セキュリティにあまり興味のない人でも読み物として楽しめるような内容でした。残念ながら現在は絶版になっています。
非常にボリュームのある本だったので確か4、5か月はこの本の翻訳にかかりきりで、攻撃方法の巧みさに感心したり初めて目にするようなセキュリティ用語の数々を膨大な資料を漁りながら四苦八苦して訳していたことが懐かしく思い出されます。
その膨大な量のページに書かれていた内容の詳細は殆ど忘れてしまいましたが、未だに覚えているのは攻撃対象となるユーザーの心理的な盲点をつくためのテクニックの数々です。細工を施したWebページを怪しいと思わせない手口や、トロイの木馬に引っ掛かるのはこんなユーザーだ、というようなことが書かれていたように記憶しています。今にして思えば「セキュリティ対策には物理的、技術的解決策だけではなく人間心理も学ぶ必要があるのだな」ということを最初に実感したのは、たぶんこの書籍の翻訳を経験した14年前のことだったのでしょう。
近年では、情報セキュリティ心理学というスタディもあり、ソーシャルエンジニアリングという言葉も一般的に浸透してきました。新米セキュリティ担当者の私としても、技術面だけでなく人間の心理的側面の勉強の必要性を強く感じています。
などということを考えていた矢先に、友人がネットオークション詐欺に引っ掛かってしまったとのニュースが! おいしい話につい目がくらんでしまったようです。
皆さんもどうか十分注意してくださいね。
皆さん、こんにちは。セキュリティレスポンスチームです。年の瀬が近づき、バタバタと忙しい日を過ごされていることと思います。私たちセキュリティレスポンスチームも、12 月のビッグリリースを終え、ようやく落ち着けるかな? (落ち着きたいな) というところです。ここで、ちょっと今年のリリースを振り返ってみました。それにしても今年はたくさん出ました。100 件を超えたのは 2000 年以来です。本当に慌ただしい一年だった気がします。今年 6 月の CVE 34 件、8 月の月例セキュリティ情報 14 件、10 月の月例セキュリティ情報16 件・CVE 49 件と、リリース数および対応 CVE 数は記録更新を重ね、12 月には最後の記録更新 (セキュリティ情報 17 件) で締めくくりました。定例外リリースも 4 件 (MS10-002 (IE)、MS10-018 (IE)、MS10-046 (Shell)、およびMS10-070 (ASP.NET)) あり、今年一年で実に 265 件の固有の脆弱性 (CVE) に対応したことになります。この 12 月について言うと、今年新たに確認された DLL Preloadingの脆弱性 のリモートの攻撃手法に対応したものや、実に巧妙な動きで世間を賑わせていた Stuxnet が対象とした最後の MS の脆弱性 タスク スケジューラ の脆弱性にも対応しました。
・・とここまで書いて、なんだかあまりいい印象を与えていないような気がしたのでちゃんと説明します。この増加傾向は、マイクロソフト製品がより脆弱になっているというのではなく、むしろ製品自体は堅牢になってきているのですが、サポートしている製品の増加や対処すべきシステムの多様化に加え、脆弱性研究技術の進歩により以前は見つかっていなかった新手法が出現してきていることが主な原因と考えられます。マイクロソフトの努力としては、2000 年では、1 つのセキュリティ情報で対応する CVE の数は概ね 1 件が多かったのですが、今年は 106 件で 265 CVEに対応するというように、1 つのセキュリティ情報でできるだけ多くのCVEに対応するようにしています。それから、前述のように、今年は 4 件の定例外リリースをしており、ゼロデイ (※) が増えている印象もありますが、業界の協力体制を強化した 協調的な脆弱性の報告 の率は 80% と依然として高い率を保っており、ほとんどの脆弱性については世間に広く公開される前に対応ができています。また、Microsoft Active Protections Program (MAPP) という業界の別の協力体制プログラムもあり、主要なセキュリティベンダー (ウイルス対策ソフト、IDS/IPS) に未公開の脆弱性の詳細情報を予め提供して、ジェネリック定義ファイルの作成ができるよう協力しています。これにより、セキュリティ更新が出るまでの間でも、ウイルス対策ソフトの定義ファイルがきちんと更新されていれば悪用を防ぐことができます。※ゼロデイ攻撃: ソフトウェアの脆弱性に対する更新プログラムが世に公開されるより前に、その脆弱性を悪用した攻撃が実行されたり、悪用するプログラムが出現すること。更新プログラムの公開日を1日目と数え、それ以前に攻撃が始まるという意味でゼロデイと呼ばれている。時代は変わり、攻撃手法も種類も進化を遂げる中、マイクロソフトはお客様保護のため積極的に対応を続けています、というのは引き続きのマイクロソフトのメッセージです。皆さんも、大切な資産を悪用から守るため、できるだけセキュリティ更新の適用は行ってくださいね (大半のホーム ユーザーでは自動更新で透過的にセキュリティ更新が適用されるので安心です)。いろいろ書きましたが、最後に、より新しい OS / SP は、古い製品より安全になっていることを裏付けるデータを紹介して終わりにしたいと思います。下図は今年 10 月に公開した セキュリティ インテリジェンス レポート (SIR) 第 9 版からの抜粋ですが、MSRT の実行数 1,000 回ごとに駆除されたコンピューター台数を製品バージョンごとに出しています。例えば Windows XP SP3 では 15.6 台のコンピューターで駆除が行われたのに対し、Windows 7 では 3.3 台という具合です。この場合、Windows XP SP3 ユーザーの方が Windows 7 ユーザーより約 4.7 倍多くマルウェアに感染していると言えます (データは正規化されていて、コンピューターの市場台数による影響は受けません)。このデータでは、サーバー/クライアント製品に一貫して、新しい製品はより感染率が低くより安全であることを示していると思います。この SIR はマルウェア (ウイルスやワーム) や、脆弱性、インターネット上の攻撃実態を詳細に分析したレポートで、半期毎に出しています。難しい話が書かれているわけではなく、最新の環境に投資することの正当性を証明するデータが詰まっているので、ご興味があればぜひご一読ください。
引用: SIRv9「2Q10 にオペレーティング システムごとの MSRT の実行数 1,000 回ごとに駆除されたコンピューター数」より *2本柱があるものは、右が 64 ビットさてさて…本当に今年はビッグリリースでした。でも、決してマイクロソフト製品が脆弱になった訳ではないこと、より新しい製品は脆弱性も少なくより安全に使用していただけること、マイクロソフトは確実なお客様の保護のためこれからも努めていくことを改めて強調し、締めくくりたいと思います。まだ 2 週間ありますが、年の瀬には 108 の煩悩を除夜の鐘で振り払い、フレッシュな気持ちで新年を迎えたいですね。
お待たせしました!9 月にエピソード 2 の連載を終えた Security Wars ですが、いよいよエピソード 3 の連載を開始しました。
「Security Wars」は、IT にかかわる法的な解説に加え、「なぜ技術者が犯罪行為や犯罪的な行為を行うのか」という根源的な点について、スター・ウォーズを題材に分析したコラムを高橋 郁夫 弁護士に執筆いただいたものです。
話題の事件をとりあげた具体的な解説はとても興味深いものです。まだ読まれたことのない方は、ぜひぜひご一読ください。
こんにちは、セキュリティ レスポンス チームです。もうすでに年末年始のお休みに入られている方も多いかもしれませんね。皆さんはどんな年末年始を過ごされるのでしょうか。休暇中に職場や自宅の PC がウイルスに感染!などということが無いように、長期休暇に入る前に、職場と自宅の PC へのセキュリティ更新プログラムの適用を今一度ご確認をいただき、PC の状態を万全にしておくことをお勧めします。また、長期休暇を前に悩む IT 管理者のお悩み解決のために作成した Web キャストを公開していますので、そちらも是非参考にしてください。
長期休暇の前に必ずやるべき 3 つのチェックリスト
1. マイクロソフト製品だけではなく、インストールされているソフトウェアの状態は最新ですか?
2. 使用中のウイルス対策ソフトの定義ファイルは最新に更新されていますか?
3. 念のため、Microsoft Baseline Security Analyzer (MBSA) を使って PC のセキュリティ状態を最終チェックしておきましょう。セキュリティセンターの表示がすべてグリーンな状態かどうかのチェックも忘れずに!
万一、ご自宅の PC にウイルス対策ソフトがインストールされていない場合は、無料のウイルス対策ソフト Microsoft Security Essentials (通称 MSE) のインストールのご検討をお願いします。なお、MSE は今年 12 月中旬に、パフォーマンスの向上や、より強化されたセキュリティ機能 (検出およびクリーンアップ機能、ネットワーク保護など) を備えた最新版をリリースしています。また、これまではマイクロソフトの Web サイトの経由でのみダウンロード可能でしたが、Windows セキュリティセンターでウイルス対策ソフトがインストールされていないと認識されたシステム上では、Microsoft Update のオプション ダウンロードとしてもご利用可能になっています。
参考:長期休暇の前に ~セキュリティ対策のお願い~http://www.microsoft.com/japan/security/contents/vacation.mspxセキュリ亭 ~休暇の前はご用心~http://technet.microsoft.com/ja-jp/security/dd793045.aspx
本日、Internet Explorer のセキュリティ アドバイザリ2488013を公開しました。Internet Explorer 6、7、および 8 を使用するユーザーが影響を受け、悪意のある Web サイトを訪問した場合にリモートでコードが実行される可能性があります。この脆弱性の情報は一般に公開されていますが、マイクロソフトではこの脆弱性を悪用した攻撃は現時点では確認していません。対象の製品をお使いのお客様は、アドバイザリ2488013 に記載の緩和策および回避策をご確認のうえ、適宜対応を検討してください。なお、IE 7 および 8 では既定で 保護モード が有効なため、この脆弱性が悪用された場合でもシステムで取得される権限が限られるなど、この脆弱性の影響が制限されます。マイクロソフトはこの調査が完了次第、月例もしくは定例外のセキュリティ更新プログラムの公開によりこの問題に対応する予定です。また、セキュリティ更新の公開までの間も、Microsoft Active Protections Program (MAPP) プログラムを通じ、約 70 の主要なセキュリティ ソフトウェア プロバイダーにこの脆弱性��情報を共有しているため、お客様はウイルス対策ソフトの定義ファイルを最新にしておくことで、この脆弱性を悪用した攻撃からコンピューターを守ることができます。このアドバイザリに関してお伝えできる情報があり次第、また Blog 等でアップデートします。
こんにちは、ワンポイントセキュリティ担当者です。先ほど、2010年12月のワンポイント セキュリティ情報を公開しました。 今月は17件と数が多いので、通常より少々長めの Web キャストになっています。一部お聞き苦しい点があるかと思いますが、新規17件のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしていますので、セキュリティ更新プログラム適用の際の全体把握のために是非ご視聴ください。
また、ワンポイントセキュリティへのフィードバックも随時受け付けています。ぜひ「今月のワンポイントセキュリティ情報」ページ右上のフィードバックボックスから皆さまのご意見・ご感想をお寄せください。フルサイズ版、podcast 用は以下のサイトからご覧いただけます。http://technet.microsoft.com/ja-jp/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
先週の事前通知でお伝えした通り、セキュリティ情報計 17 件 (緊急 2 件、重要 14 件、警告 1 件) を公開しました。今月のセキュリティ情報では、Internet Explorer のセキュリティ アドバイザリ 2458511に対処した MS10-090 を公開しています。また、MS10-093、MS10-094、MS10-095、MS10-096、MS10-097 で、それぞれ Windows ムービー メーカー、Windows Media エンコーダー、Microsoft Windows、Windows アドレス帳、インターネット接続のサインアップ ウィザードの、安全でないライブラリのロードの脆弱性を修正し、セキュリティ アドバイザリ 2269637 を更新しています。そのほか、認証に対する保護強化のセキュリティアドバイザリ 973811に Microsoft Outlook を追加しました。
また、Internet Explorer の累積的なセキュリティ更新プログラム MS10-090 の既知の問題に対応した重要な更新プログラム KB2467659 も同日公開していますので、合わせて適用をお願いします。既知の問題の詳細につきましては、サポート技術情報 2416400をご参照ください。
2010 年 12 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://www.microsoft.com/japan/technet/security/bulletin/ms10-dec.mspx
家庭でご利用の方は、絵でみるセキュリティ情報をご覧ください。http://www.microsoft.com/japan/security/bulletins/default.mspx
情報番号
タイトル
深刻度
影響を受けるソフトウェア
回避策
再起動
MS10-090
Internet Explorer 用の累積的なセキュリティ更新プログラム (2416400)
Windows, Internet Explorer
○
MS10-091
OpenType フォント (OTF) ドライバーの脆弱性により、リモートでコードが実行される (2296199)
Windows
MS10-092
タスク スケジューラの脆弱性により、特権が昇格される (2305420)
MS10-093
Windows ムービー メーカーの脆弱性により、リモートでコードが実行される (2424434)
△
MS10-094
Windows Media エンコーダーの脆弱性により、リモートでコードが実行される (2447961)
MS10-095
Microsoft Windows の脆弱性により、リモートでコードが実行される (2385678)
MS10-096
Windows アドレス帳の脆弱性により、リモートでコードが実行される (2423089)
MS10-097
インターネット接続のサインアップ ウィザードの安全でないライブラリのロードにより、リモートでコードが実行される (2443105)
MS10-098
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2436673)
MS10-099
ルーティングとリモート アクセスの脆弱性により、特権が昇格される (2440591)
×
MS10-100
承認 ユーザー インターフェイスの脆弱性により、特権が昇格される (2442962)
MS10-101
Windows Netlogon サービスの脆弱性により、サービス拒否が起こる (2207559)
MS10-102
Hyper-V の脆弱性により、サービス拒否が起こる (2345316)
MS10-103
Microsoft Publisher の脆弱性により、リモートでコードが実行される (2292970)
Office
MS10-104
Microsoft SharePoint の脆弱性により、リモートでコードが実行される (2455005)
SharePoint
MS10-105
Microsoft Office グラフィック フィルターの脆弱性により、リモートでコードが実行される (968095)
MS10-106
Microsoft Exchange Server の脆弱性により、サービス拒否が起こる (2407132)
Exchange
○ 再起動必須/回避策あり △ 再起動が必要な場合あり/一部回避策あり × 再起動不要/回避策なし
ワンポイント Web キャスト:公開した月例セキュリティ情報をWeb キャストでお伝えする今月のワンポイント セキュリティ情報 (2010/12/15 午後公開予定) では、適用優先順情報、再起動の必要性、回避策の有無、既知の問題等の情報をまとめてお伝えしています。Web キャスト公開後に、こちらのブログでもお知らせします。