日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
MS11-004 に関する技術的な説明が、Security Research & Defense のブログで公開されました。
以下に日本語訳を掲載いたします。
--- Regarding MS11-004, Addressing an IIS FTP Services Vulnerability の日本語抄訳 ---
本日、マイクロソフトは IIS サーバーの Microsoft FTP サービスに存在する脆弱性を解決する MS11-004 を公開しました。このブログではこの脆弱性の技術的な詳細について触れたいと思います。
まず、IIS の FTP サービス コンポーネントに脆弱性が存在することを明確にしたいと思います。FTP サービスは IIS のオプションのコンポーネントで、既定ではインストールされません。
FTP サービスのバージョンと IIS のバージョンとの違いは少々混乱を招く部分になります。たとえば、Windows Vista および Windows Server 2008 上の IIS 7 に同梱されている FTP サービスのバージョンは FTP 7.0 ではなく、FTP 6.0 です。しかし、マイクロソフト ダウンロードセンターからオプションのコンポーネントとして FTP 7.0/7.5 を IIS にインストールすることもできます。 実行している FTP のバージョンや使用中のコンピューターが影響を受けるかどうかが定かでない場合、この手順を使用して更新プログラムがコンピューターに必要であるかを確認してください。
· FTP サービスが有効でない場合、そのコンピューターは影響を受けません。
· FTP サービスが有効である場合、
o Windows Server 2003 上の IIS6: 影響を受けません。
o Windows Vista および Windows Server 2008 上の IIS7: 既定で、 IIS 7 は FTP 6.0 を使用しており、この脆弱性の影響を受けません。しかし、マイクロソフト ダウンロード センターから IIS 7 用の FTP 7.0/7.5 パッケージを手動でインストールしている場合、この脆弱性の影響を受けます。
o Windows 7 および Windows Server 2008 R2 上の IIS 7.5: IIS 7.5 に同梱されている FTP 7.5 はこの脆弱性の影響を受けます。
このプロセスを自動化する方法もあります。FTP 6.0 は FTP 7.0/7.5 とは異なるサービス名で実行されています。このため、FTP 7.0/7.5 のサービス名である "ftpsvc" が実行されているかどうかをチェックするとよいでしょう。過去の SRD ブログ Assessing an IIS FTP 7.5 Unauthenticated Denial of Service Vulnerability (英語情報) で、既にこのアプローチについてお話していますが、ここにもう一度記載します。
(管理者として実行している) コマンド プロンプト上において IIS FTP サービスをクエリすることにより、その IIS FTP サービスの状態を確認することができます。
· Windows + R キーを押します
· "cmd.exe" (引用符は必要ありません) と入力します
· コマンドプロンプトで "sc query ftpsvc" (引用符は必要ありません) と入力します
サービスがインストールされていない場合、次のように表示されます。
> sc query ftpsvc
[SC] EnumQueryServicesStatus:OpenService FAILED 1060:
指定されたサービスはインストールされたサービスとして存在しません。
サービスがインストールされており、実行されている場合、次のように表示されます。
SERVICE_NAME: ftpsvc
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
別のアプローチとして、コンピューターがこの脆弱性の影響を受けるかどうかを確認するために、ファイル システムをスキャンすることもできます。'ftpsvc.dll' が %system32%\inetsrv ディレクトリに存在していない場合、そのコンピューターはこの脆弱性の影響は受けません。'ftpsvc2.dll' というファイル名が確認された場合、そのコンピューターには FTP 6.0 がインストールされており、この場合もまた、この脆弱性の影響は受けません。 Windows Update、Microsoft Update および WSUS の検出ロジックは上記のシナリオで処理するため、この更新プログラムは FTP 7.0 または FTP 7.5 をインストールしている IIS 7 コンピューターにのみ提供されます。
最後に、この問題が悪用される可能性について説明したいと思います。2010 年 12 月、こちらのブログ (英語情報) にこの問題を投稿し、リモートでコードが実行される可能性は低いと考えている理由の概要を説明しました。「これらの特徴により、ヒープスプレイもしくは一部の関数ポインターを上書きする攻撃を実行することは困難です。オーバーランの性質上、結果として可能性のある影響は、サービス拒否のみであり、コードが実行されることはありません。」と述べました。
それ以降のさらなる調査により、DEP および ASLR 保護が突破された場合、この脆弱性が悪用される可能性があることが分かりました。現在までに悪用は一般で確認されておらず、また、悪用コードは一般に利用可能となってはいません。現在の状況を要約すると、コードが実行される可能性はありますが、大部分のお客様に及ぶ可能性のある影響は、サービス拒否となります。
謝辞:
この問題について協力して下さった IIS チームの Nazim Lala、日本の CSS セキュリティ レスポンス チームおよび MSRC エンジニアリング チームの Brian Cavenah に謝意を表します。
Chengyun MSRC エンジニアリング、Chengyun Chu および Mark Wodrich
皆さん、今月のセキュリティ更新プログラムはもうインストールしていただけましたでしょうか?お気づきの方もいるかと思いますが、同じ日の 2 月 9 日に USB メモリの利用を安全にする更新プログラム 971029 を Windows Update や Microsoft Update などの自動更新チャネルを通じて配信を開始しました。また、この配信開始に伴い、セキュリティ アドバイザリ 967940 を併せて更新しています。この更新プログラム 971029 をインストールすると、プログラムが実行されるよう構成された USB メモリをコンピューターに挿した場合、これまで下記の図 1 のように表示されたダイアログが図 2 のように変化します。
図 1. 971029インストール前のWindows Vista 図 2. 971029インストール後のWindows Vista
これによって、Conficker のような巧みにプログラムの名前とアイコンを偽装し (図3)、ユーザーを騙すような USB 経由で侵入するウイルスの感染の被害を防ぐことができます。
図 3. Conficker に感染した USB メモリを Windows Vista に接続した場合
この更新プログラム 971029 は、既に 2009 年 8 月に Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 を対象としてダウンロードセンターにて公開していました。2 月 9 日からは、この更新プログラムを Windows Update や Microsoft Update などから「オプションの更新プログラム」として配信しています (図 4 の通りチェック ボックスはオフの状態)。インストールされたい方はチェックを入れてインストールを選択してください。
図 4. Windows Vista での Windows Update の表示
なお、以下の点に注意してください。
ü CD-ROM や DVD については自動再生の機能は無効になりません。
ü USB で販売しているソフトウェアについては、USB をコンピューターに挿しても自動実行されない可能性があります。
補足:
2009 年 2 月 25 日に公開した更新プログラム 967715 (Windows XP/2003 用)と MS08-038(950582) は、Autorun (自動実行) を無効にするレジストリ キーが正しく動作しなかった問題を解決したものです。参考情報 (英語情報):
· MSRC Blog: “Deeper insight into the Security Advisory 967940 update”http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx
· MMPC Blog: “Breaking up the Romance between Malware and Autorun”http://blogs.technet.com/b/mmpc/archive/2011/02/08/breaking-up-the-romance-between-malware-and-autorun.aspx
2011 年 2 月 23 日更新-------------------------------2 月 9 日から、この更新プログラム 971029 を Windows Update や Microsoft Update などで「オプションの更新プログラム」として配信していましたが、2 月 23 日より、「重要な更新プログラム」として配信開始しました (図 4 のチェック ボックスがオンの状態)。この変更により、インストールされたい方は、特に操作をする必要なしに更新プログラムがインストールできます。この変更は、より多くのコンピューターをマルウェアから保護する目的です。-------------------------------
先週の事前通知でお伝えした通り、セキュリティ情報計 12 件 (緊急 3 件、重要 9 件) を公開しました。今月公開した MS11-006 のセキュリティ情報は、セキュリティ アドバイザリ 2490606 で説明した Graphics Rendering Engine の問題に対応したものです。また、MS11-003 Internet Explorer のセキュリティ情報は、セキュリティアドバイザリ 2488013 および セキュリティ アドバイザリ 2269637 で説明した問題に対処しています。なお、MS11-003 のセキュリティ更新プログラムは、前回の Internet Explorer のセキュリティ更新プログラム MS10-090 適用後に発生した既知の問題 (詳細はサポート技術情報 2416400 を参照) を解決します。2011 年 2 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspx家庭でご利用の方は、絵でみるセキュリティ情報をご覧ください。http://www.microsoft.com/japan/security/bulletins/default.mspx
セキュリティ情報番号
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア:
MS11-003
Internet Explorer 用の累積的なセキュリティ更新プログラム (2482017)
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-004
インターネット インフォメーション サービス (IIS) の FTP サービスの脆弱性により、リモートでコードが実行される (2489256)
重要
再起動が必要な場合あり
Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-005
Active Directory の脆弱性により、サービス拒否が起こる (2478953)
サービス拒否
Microsoft Windows Server 2003
MS11-006
Windows シェルのグラフィック処理の脆弱性により、リモートでコードが実行される (2483185)
Microsoft Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008
MS11-007
OpenType Compact Font Format (CFF) ドライバーの脆弱性により、リモートでコードが実行される (2485376)
MS11-008
Microsoft Visio の脆弱性により、リモートでコードが実行される (2451879)
Microsoft Visio 2002、Visio 2003 および Visio 2007
MS11-009
JScript および VBScript スクリプト エンジンの脆弱性により、情報漏えいが起こる (2475792)
情報漏えい
Microsoft Windows 7 および Windows Server 2008 R2
MS11-010
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2476687)
特権の昇格
Microsoft Windows XP および Windows Server 2003
MS11-011
Windows カーネルの脆弱性により、特権が昇格される (2393802)
MS11-012
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2479628)
MS11-013
Kerberos の脆弱性により、特権が昇格される (2496930)
Microsoft Windows XP、Windows Server 2003、Windows 7 および Windows Server 2008 R2
MS11-014
Local Security Authority Subsystem Service (LSASS) の脆弱性により、ローカルで特権が昇格される (2478960)
■最新のセキュリティ情報を動画と音声でまとめて確認! マイクロソフト セキュリティ レスポンスチームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報 は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
本日、セキュリティ アドバイザリ 2491888 を公開し、Microsoft Malware Protection Engine の更新プログラム (バージョン 1.1.6603.0 以上) が、非公開で報告された脆弱性を解決することをお知らせしました。この更新プログラムにより、有効なログオン情報を持つ攻撃者が特別に細工したレジストリキーを作成した後に Microsoft Malware Protection Engine がシステムをスキャンした場合、特権が昇格する可能性があるという脆弱性を解決します。この更新プログラムは、通常、企業ネットワーク管理者の方やエンドユーザーの方が手動でインストールする必要はありません。なぜなら Microsoft Malware Protection Engine は、Windows や Office などのシステム・アプリケーション製品とは異なり、マイクロソフトのさまざまなマルウェア対策製品の一部として、「更新されたマルウェアの定義」とともに、既定の構成では自動的にインストールされるためです。お使いのシステム上の Engine がこの脆弱性に対応しているかどうかを確認するには、Engine のバージョン (バージョン 1.1.6603.0 以上で対応) をご確認ください。なお、今回の Engine の更新は脆弱性に対応するものですが、個別のセキュリティ更新プログラムとしてではなく、頻繁に更新している Engine の一環として対応していることから、この情報をアドバイザリとして公開しています。絶え間なく増加および変化を続ける脅威に対応するために、マイクロソフトでは Microsoft Malware Protection Engine を毎月 1 回、マルウェアの定義を毎日 3 回、さらに必要であればその都度更新をしています。マルウェア定義および Microsoft Malware Protection Engine を可能な限り迅速に更新できる環境を準備することで、新たな脅威および蔓延している脅威を効果的に防御することが可能になります。
2011 年 2 月 9 日に予定している月例のセキュリティ リリースについてのお知らせです。
来週水曜日に公開を予定している月例セキュリティ情報は、12 件 (緊急 3 件、重要 9 件) です。来週公開予定のセキュリティ更新プログラムで以前公開したセキュリティアドバイザリ 2488013 で説明している Internet Explorer の問題およびセキュリティアドバイザリ 2490606で説明している Graphics Rendering Engine の問題についても解決する予定です。
また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) のワンポイント セキュリティも、当日午後に公開予定です。先週のブログでもお伝えしましたが、セキュリティ レスポンス チームでは、最新のセキュリティ情報をより早くお届けするよう、Twitter を始めました。セキュリティ情報やワンポイント セキュリティの公開時にも、@JSECTEAM でつぶやいていきたいと思いますので、是非フォローしてみてください。公開予定の詳細は、以下の事前通知の���イトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspx
セキュリティ情報 ID
影響を受けるソフトウェア*
セキュリティ情報 1
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
セキュリティ情報 5
セキュリティ情報 6
セキュリティ情報 7
セキュリティ情報 8
セキュリティ情報 9
セキュリティ情報 10
セキュリティ情報 11
セキュリティ情報 12
情報セキュリティ実務者セミナー
法的な立場からみたインシデント対応
~今、システム管理者ができる事~
情報処理月間にあわせて、情報セキュリティ・インシデントの法的な側面に焦点を当てた、「情報セキュリティ実務者セミナー」を、マイクロソフト株式会社と日本アイ・ビー・エム株式会社の共催で開催します。
情報セキュリティは、技術的な議論を中心に行われてきた側面がありますが、事故やインシデントの発生に伴い、法的な視点が欠かせないものとなっています。しかし、技術、法務、経営は、それぞれの異なる専門分野であり、事前に対策が議論し、立案することが重要となります。当セミナーでは、「情報セキュリティ月間」の一環として、事故の対応事例を紹介し、企業が考慮すべきIT事故の対策と対処について取り上げます。
日時:2011年2月24日(木)13時30分~17時30(13時00分 受付開始)
場所:ベルサール九段(千代田区九段北1-8-10住友不動産九段ビル3・4F)
http://www.bellesalle.co.jp/bs_kudan/event/access.html
主 催: マイクロソフト株式会社・日本アイ・ビー・エム株式会社
参加費: 無料
テーマ: 法的な立場からみたインシデント対応 ~今、システム管理者ができる事~
参加申し込み:以下のURLよりご登録ください。
Events : 情報セキュリティ実務者セミナー:法的な立場からみたインシデント対応
https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032476582&Culture=ja-JP
プログラム:
基調講演 情報セキュリティ -第2のターニングポイントを迎えての今後の課題-
東京電機大学教授(情報セキュリティ補佐官兼務) 佐々木 良一
事例1 ボットネットシャットダウンの国際事例
マイクロソフト チーフセキュリティアドバイザー 高橋正和
(Live Meetingにて、事例担当者とのQ&Aを予定
T.J. Campana, Richard Boscovich)
事例2 P2Pを利用した流出情報の意図的な拡散事例
日本アイ・ビー・エム株式会社
経営品質・情報セキュリティ担当部長 徳田敏文
企業が留意すべき法的ポイントと事例
マイクロソフト 法務部 本部長 舟山聡(弁護士)
サイバー犯罪の現状と企業が留意すべきポイント(仮)
警視庁ハイテク犯罪対策総合センター
久しぶりに麻生です。
数年前ですが、妻とまだ付き合っていた頃、笹塚の線路下の暗い通路を二人で歩いていました。ちょうど夕方から夜になるぐらいのタイミングで、細い通路でした。すると、オレンジ色のサングラスをして、オレンジ色に近い皮のコートを着た、明らかに「悪そうな」な男が前から歩いてきました。我々の前まで来て、その男はサングラスをちょっと鼻の下にずらし、サングラスの上から私を見て、「ういーす」と挨拶したのです。特にびびらず、私も挨拶を返しました。実は、その人は私が所属していた Exchange Server サポート部のエンジニアの方で、ルックスとは正反対にすごく良い人。が、それを知らない彼女。私の彼女は結構強気な人でしたが・・・、今でも覚えています。サングラス越しに私たちをにらみつけた(普通に見た?)際に、彼女が私の後ろにささーっと隠れた事を。たぶん、それまでも彼女は暗い通路で人に襲われた経験はないですが、今までのあらゆる経験から、これはもしからしたら危ない状況!?と判断して、その動作をしたのだと思います。
私が嫁という人間を観察している限りでは、この現実の世界では彼女はそれなりの危機感を持って生活をしているように見えます。直観的に、何が危ないかがある程度分かる能力が自然に身についているんだなと思います。が、不思議なことに、これがインターネットの世界になると、この危機感がもとから無かったように消えてしまいます。個人的にはざーっとこんな感じの理由があるのかなと思っています。
· インターネット上での経験がまだ浅い。インターネットを使い始めてからまだ数年です。また現実世界での経験は通用しない場合が多くあります。まだまだ、勘が育っていない?
· 何が悪で、何が善なのか、見た目では分かりにくい。例えば、クリックして飛んだ先のオークション サイトは本物なのか、分からない?
では、彼女の様な人の勘が育つまでどうしたらいいの?見た目でウェブサイトが本物か分かるようになるまでどうしたらいいの?難しい質問です。ちゃんとした答えがあるのか分かりませんが、対策の 1 つとしては、プロに頼ってしまえばよいのでは?とセキュリティ屋としては思います。身近にセキュリティのプロがいれば、訊くのが速いですが、いない場合はどうすればいいの?例えば、ウェブサイトが本物か怪しいサイトか自分で判断する事が難しい場合。身近にセキュリティ屋がいないのであれば、代わりにそれを判断してくれるブラウザーを使用すればよいと思います。最新の有名なブラウザーであれば、どれでもそれなりに怪しいサイトをブロック、または警告してくれるので、必ず最新版を使用する事をお勧めします。また、怪しいか怪しくないか分からないアプリケーションやファイルであっても、ウイルス対策ソフトウェアが対応してくれます。ただし、注意点としては、ウイルス対策ソフトウェアを常に最新にしておく必要があります。お客様先を訪問すると時々、ウイルス対策ソフトウェアの期限が切れてしまっているマシンを見かけるので、注意です!必ず最新の状態にしておくのがコツです。
この様な対策で 100% 犯罪には巻き込まれないとは断言できませんが、インターネット上の脅威を感覚的に分かるようになるまでは、やはり誰か、または何かに頼るのもありでしょ・・・と周りの友人等に言っている今日この頃でした。
The Official Microsoft Japan Blogに、日本マイクロソフトで技術を統括しているCTO(最高技術責任者)加治佐の記事「果てしなく続くセキュリティへの取り組み」が投稿されています。http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2011/02/09/3385925.aspx
技術全体を統括している立場から、セキュリティを専門としない読者の方々に対して、セキュリティの取り組みについて紹介しています。
このブログをご覧になっている方にとっては目新しい内容はないと思いますが、加治佐がブログを書き終えたときに言っていた「セキュリティって難しいんだな!」という思いに共感される方も多いのではないでしょうか。これはセキュリティに関わる多くの人達が感じることだと思います。自分の中では確立した概念であっても、それをわかりやすく伝えていくというのは、とても難しい作業であるということを日々感じています。
The Official Microsoft Japan Blogでは、加治佐のほかにも日本マイクロソフトの経営陣が執筆しています。それぞれの立場での興味や捉え方の違いを感じられるブログです。よろしければ一度ご覧になってください。
The Official Microsoft Japan Blog
http://blogs.technet.com/b/microsoft_japan_corporate_blog/
皆さん、こんにちは!ワンポイントセキュリティ担当者です。先ほど 2 月のワンポイント セキュリティ情報を公開しました。 本日 2 月 9 日に公開した新規 12 件 (緊急 3 件、重要 9 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしていますので、セキュリティ更新プログラム適用の際の全体把握のために是非ご視聴ください。また、フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。フルサイズ版、podcast 用は以下のサイトからご覧いただけます。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration: