May, 2011

麻生です。 

ある日、自分が開発したアプリケーションをサーバーにインストールしたいと管理者に頼んだら、追加されるサービス、変更されるファイアウォールの設定、追加されるユーザーやグループ等の情報が必要だと言われた。「あ、Attack Surface Analyzer って使えるかも？」と閃くあなた・・・。

Attack Surface Analyzer って何?

マイクロソフトでは自社製品のセキュリティ開発ライフサイクルの規定により、出荷する全製品について必ず攻撃面の分析を行う必要があります。

攻撃面ってあまり聞かない単語だと思いますが、早い話、将来攻撃されるかも知れないモジュールやサービス等です。攻撃面の分析では、攻撃されるかもしれないモジュールや設定等を洗い出し、開発の段階でリスク分析や対応を行います。ただし、攻撃面の洗い出し等を一つ一つやる事を考えると、どこにそんな時間があるんだ！と叫びたくなることもあると思います。そこで、開発されたのが Attack Surface Analyzer です。

Attack Surface Analyzerですが、本来ソフトウェア開発における、設計の分析・検証用に作られたツールとなります。つまり、開発したソフトウェアをシステム上で動かした場合、そのソフトウェアがシステムにもたらす攻撃面を、入っていない状態と比較することで検証します。具体的には、ソフトウェア (プログラムやモジュール) に設定された攻撃面となりうるACL設定、関連レジストリや登録されたCOMの攻撃面となりうるACL設定等を確認できます。また、ソフトウェアのインストールによって生じた、以下のようなシステム上の攻撃面についても併せて確認できます。

以下の様なレポートが生成され、ソフトウェアがインストールされる前後を比較することが可能です。

え？でも私、開発者じゃなくて、管理者なんですが・・・。 

私は実はシステム管理者出身のセキュリティ屋だったりします。Attack Suface Analyzer を初めて聞いた時は、開発者向けのツールかな？と思っていました。が、記憶をさかのぼって見ると管理者でも使用できる要素があるんじゃないかなと考えています。例えば、管理者時代によく、このアプリケーションインストールしたら何が変更されるの？とか、インストール前と後で何が変更されたかちゃんとログしといてね。とか、上司や監査系の人に言われてたのですが、Attack Surface Analyzer でアプリケーションのインストール前と後でスナップショットを取得して、比べれば、システム上で何が変更されたかすぐに分かったりします。

マイクロソフト社内では数年使用されてきたツールですが、今回はあえて、Beta 版として公開しています。Attack Surface Analyzer Beta を使用していただいたお客様が、今後このツールに求める機能等の情報をまずは集めて、それを反映し、Attack Surface Analyzer をより使えるツールにしていきたいと考えています。

マイクロソフト ダウンロードセンターから Attack Surface Analyzer Beta を入手できます。

また、Attack Surface Analyzer Beta への今後の期待や、追加して欲しい機能や、こんな風にも使えるんじゃない？があれば、こちらにアイディアを募集中です！

先日、マイクロソフトから無料でダウンロード可能な ”Microsoft Safety Scanner”という新しいマルウェア スキャン ツールがご利用いただけるようになりましたのでこのブログでも少し紹介したいと思います。

Microsoft Safety Scanner は以前公開していた Windows Live PC セーフティ スキャナーの置き替えとなる新しいツールで、お使いのコンピューターがマルウェアに感染していないかを診断し、可能な場合は駆除も行います。現在サポート中の 32 ビット・64 ビット版 OS (Windows 7、Windows Vista、Windows XP、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2) でダウンロード、実行可能です。

Microsoft Safety Scanner の大きな特徴としては、Web サイトから、最新の定義ファイルがパッケージ化された 1 つの実行ファイルをダウンロードして (インストールなしで) 使用することができ、他のセキュリティ対策ソフトウェアがインストールされている環境でも、セカンド オピニオンとしても使用可能な点です。このツールはインストール不要ですので、レジストリの書き換えなども行いません。また、Web サイトのツールは随時最新の定義ファイルに更新されます。

万一システムが Conficker 等のマルウェアに感染してネットワークが切断されている場合や、どうしてもインターネットに接続できない環境でも、友人等に依頼して Microsoft Safety Scanner を USB などのリムーバブル ドライブにダウンロードしてもらい、実行・駆除することもできます。

Microsoft Safety Scanner は、ダウンロードしてから 10 日間ご利用いただけますが、ダウンロード後 10 日以上経つと期限切れとなり、使用できなくなります。最新のマルウェア対策定義を使用してスキャンを再実行したい場合は、再度ダウンロードして実行する必要があります。

なお、重要な注意点としては、Microsoft Safety Scanner は定義ファイルの更新機能は備えておらず、一般にシステムにインストールして使用する常駐型のセキュリティ対策ソフトウェアの代替となるツールではありません。昨今、新しいセキュリティの脅威は毎分毎秒と出回っている状況ですので、万一お使いの環境に常駐型のセキュリティ対策ソフトウェアがインストールされていない場合は、リアルタイム保護機能の備わったセキュリティ対策ソフトウェアをインストールされることをお薦めします。マイクロソフトは、家庭および小規模ビジネス向けに無償のマルウェア対策ソフトウェア、Microsoft Security Essentials (通称 MSE) を提供しています。なお、PC 10 台以上の企業向けの総合的なセキュリティソリューションとしては Microsoft Forefront 製品があります。


最後に、下記に Microsoft Safety Scanner のダウンロード・実行方法を簡単に記載します。
※ Windows 7 Service Pack 1 (32 ビット版) で実行した場合の手順です。

1. Microsoft Safety Scanner サイトで、[今すぐダウンロード] ボタンをクリックします。
   
   
   
   
2. 表示された画面で [ダウンロードの開始] をクリックします。
   
3. [ファイルのダウンロード - セキュリティの警告] ダイアログボックスが表示されたら、[実行] ボタンをクリックします。
   
   
   
   
4. [Internet Explorer - セキュリティの警告] ダイアログボックスが表示されたら、[実行する] ボタンをクリックします。
   
   
   
   
5. ユーザー アカウント制御が表示されたら、[はい] をクリックします。
   
   
6. [使用許諾契約に同意します] にチェックを入れて、[次へ] ボタンをクリックし、次に進みます。
   
   
   
   
7. Microsoft Safety Scanner 開始の画面が表示されたら、[次へ] ボタンをクリックし、次へ進みます。
   
   
   
   
8. スキャンの種類を選ぶ画面が表示されたら、いずれかの種類を選択します。
   
   Microsoft Safety Scanner では、3 種類のスキャンが実行できます。
   用途に合わせてスキャンを選択してください。
   • クイック スキャン: マルウェアやウイルスが感染しやすいシステムの領域をスキャン。
   • フル スキャン: システム全体のスキャン。環境によっては完了するのに数時間かかる場合もある。
   • カスタム スキャン: クイック スキャン対象領域以外にスキャンしたいフォルダーを指定できる。
   
   
   
   
9. スキャンが始まります。
   お使いの環境やスキャンの種類によって完了までの時間が異なります。
   
   
   
   
10. スキャンが正常に完了し、特にマルウェアが検出されない場合は、完了画面が表示されます。
    
    

※ 万一、マルウェアが検出された場合、駆除を施すダイアログボックスが表示されますので、画面に従って、駆除を行ってください。

EMET (Enhanced Mitigation Experience Toolkit) v2.1 を 2011 年 5 月 18 日 (US 時間) に公開しました。今回はマイナー バージョンアップですが、いくつかの修正のみならず、新しい緩和策や、使い勝手を向上する新機能がいくつか追加され、さらに使いやすく、さらに強固に進化しています！また、この EMET v2.1 から公式にサポートを提供し始めました。

※ EMET とは？という方は、以前 EMET を紹介した こちらのブログ (後半に記載) や デモを交えて解説している Webキャスト をご参考ください。

では、EMET v2.1 の主な変更点をご紹介します。

• 公式サポートを開始！
  EMET v2.1 から、TechNet フォーラム で公式サポートを開始しました。現時点では、英語での対応となります。
• 新緩和策 “Bottom-up Randomization“ を追加！
  ボトムアップ型のメモリ アロケーション (ヒープ、スタック、その他のメモリ アロケーションを含む)  のベース アドレスをランダム化します (8 ビットのエントロピ)。
• EAF (Export Address Table Access Filtering) が 64 ビット OS にも対応！
  EAF は Export Address Table (EAT) へのアクセスをフィルタしシェルコードがペイロードに必要な Windows API のアドレスを取得するのをブロックする緩和技術です。現在存在するほとんどのシェルコードに有効です。V2.1 からは 64 ビット OS でも使用できるようになりました。
• コマンド ライン サポートの改善・拡充！
  企業環境での展開や構成を容易にします。
• EMET 設定のエクスポート/インポート
  コマンド ラインから EMET 設定のエクスポート/インポートを実行できます。
• SEHOP (structured exception handler overwrite protection) の改善
  SEHOPの不完全な部分を修正しました。
• その他いくつかの修正

なお、GUI にはほとんど変更はありませんが、[Application Configuration] 画面で、新しい緩和策 Bottom-up Randomization が追加されていますね！


私も早速 EMET v2.1 をインストールしてみました。0-day にも有効で、他社もセキュリティ更新を出すまでの緩和策として EMET を推奨しているほどです。多層防御の一環として、お使いのシステムを EMET でより強固にし、不要な不安や攻撃を振り払ってください。EMET の使い方や機能詳細については、EMET v2.1 パッケージと一緒にダウンロードされる Users Guide にも載っています。参考にしてみてください。

関連情報
EMET v2.1 ダウンロード サイト
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409

Security Research and Defense ブログ – EMET v2.1 のアナウンス
http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx

EMET 公式サポート サイト – TechNet Forum
http://social.technet.microsoft.com/Forums/ja-JP/emet/threads

先週の金曜日 (2011/5/13) に、セキュリティ インテリジェンス レポート (SIR) 第 10 版を公開しました。

SIR は、エクスプロイト、脆弱性、マルウェアについて、全世界の 6 億台以上のシステム、インターネット サービス、マイクロソフトのセキュリティ センター (MMPC、MSEC、MSRC) のデータを基に、セキュリティの脅威の動向を分析したレポートです。

半期ごとに公開しているレポートですが、今回で第 10 版目となりました。この第 10 版では、2010 年下半期 (7 月から 12 月) に焦点を当て分析しています。

 どういった内容のレポートがされているのか、ほんの一部だけご紹介します。

 以下は、2010 年の月別のフィッシングインプレッションの構成比を示しています。フィッシング インプレッションは、Internet Explorer で既知のフィッシングサイトを訪問しようとしてブロックされたユーザーの単一のインスタンスです。

このグラフから、どういった種類のサイトがフィッシング攻撃の標的とされているかがわかります。

フィッシング サイトの種類別のインプレッション (2010 年、各月の構成比)

以前は、金融機関のサイトがフィッシング攻撃の最大の標的となっていました。しかし、2010 年の後半には金融機関のサイトからソーシャル ネットワーク サイトに標的が変化しています。1 月には 8.3% にすぎなかった値が、12 月には 84.5% にまで上昇しました。数の多い金融機関の場合、フィッシング攻撃者は各社サイトをそれぞれフィッシング攻撃用にカスタマイズする必要がありますが、ソーシャルネットワーク サイトの場合、ごく一部の人気サイトに多数のユーザーが集中するため、1 サイトあたりで標的にできる人数が多くなり、効果的な攻撃が可能となります。このため、標的とされることが増加していると考えられています。

日本では、まだソーシャル ネットワーク サイトを標的としたフィッシング サイトを��にすることはありませんが、今後台頭してくると予想されています。先月の Internet Explorer 9 についてのブログでも紹介しましたが、Internet Explorer 8 やInternet Explorer 9 には Microsoft SmartScreen と呼ばれるフィッシング攻撃やソーシャル エンジニアリング マルウェア等に対する保護機能が組み込まれています。こういった保護機能を搭載したブラウザーを利用し、フィッシングから身を守るようにしてください。Microsoft SmartScreen の詳細については、「Microsoft SmartScreen を使用してフィッシングから身を守る方法」をご覧ください。 

このように世界での脅威の動向を含め、各国の動向も把握することができます。

感染率の他にも、以下の内容についての分析を掲載しています。

• 脆弱性
• 悪用コード
• マルウェアと望ましくない可能性のあるソフトウェア
• 電子メールの脅威
• 悪意のある Web サイト

 「彼を知り、己を知れば百戦して危うからず」

脅威の動向を知り、システムの安全利用に SIR をご活用ください。

皆さん、こんにちは！今月のマイクロソフトワンポイントセキュリティ情報担当者です。
先ほど 5 月のワンポイント セキュリティ情報を公開しました。

本日 5 月 11 日に公開した新規 2 件 (緊急 1 件、重要 1 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日更新したセキュリティ情報 MS11-028、セキュリティ アドバイザリ 2425375 についても、併せて説明しています。

また、先ほどこのブログでもお伝えした、MS11-022 のセキュリティ更新プログラム適用後の問題の対応についても Web キャスト内で説明しています。

フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

先週の事前通知でお伝えした通り、セキュリティ情報 計 2 件 (緊急 1 件、重要 1 件) を公開しました。なお、今月から「悪用可能性指標（Exploitability Index）」の内容を一部変更し、ユーザーがより詳細にセキュリティ更新プログラムの適用優先度を評価できるようにしました。

詳細は 「悪用可能性指標（Exploitability Index）」変更のお知らせ のブログ記事をご覧ください。

2011 年 5 月のセキュリティ情報:
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
http://www.microsoft.com/japan/technet/security/bulletin/ms11-may.mspx

家庭でご利用の方は、絵でみるセキュリティ情報をご覧ください。
http://www.microsoft.com/japan/security/bulletins/default.mspx



■ MS11-036 (KB2535802/KB2535812) は、MS11-022 (KB2464617/KB2464588) 適用後の問題を解決
また、本日提供を開始した MS11-036 (KB2535802/KB2535812) の PowerPoint のセキュリティ更新プログラムは、以前このブログでもお伝えしていた「MS11-022 のセキュリティ更新プログラム (KB2464617/KB2464588) 適用後、特定の条件で PowerPoint ファイルを開いた場合に「ファイルが壊れています」というエラーが表示される」既知の問題を解決します (現象の詳細は、以前公開したブログ記事をご覧ください)。マイクロソフトは、4 月末にこの問題を解決する手動適用向けの修正プログラム (KB2543242 および KB2543241) を提供しましたが、本日自動更新などの通常の配信チャネルより提供開始した MS11-036 (KB2535802 または KB2535812) を適用いただくことでも、問題に対応可能です。なお、4 月に提供した修正プログラムKB2543242 (PowerPoint 2002) または KB2543241 (PowerPoint 2003) を手動で適用済みのお客様は、既にシステムが最新の状態に保たれているため、新しいセキュリティ更新プログラムMS11-036 (KB2535802 または KB2535812) は適用不要で、自動更新などの通常の配信チャネルからも提供されません。

下記に各環境別に必要な対応策を簡単にまとめます。なお、自動更新を有効に設定しているお客様は、いずれの場合でも最適な更新プログラムが自動で提供されますので、特に意識していただく必要はありません。

• MS11-022 のセキュリティ更新プログラム (KB2464617 または KB2464588) 適用後、修正プログラム (KB2543242または KB2543241) を手動で適用済み場合:
  • 新しいセキュリティ更新プログラムMS11-036 (KB2535802 または KB2535812) を適用する必要はありません。修正プログラム (KB2543242または KB2543241) を手動で適用している環境では、既にシステムが最新の状態に保たれており、MS11-036 (KB2535802 または KB2535812) を適用する必要はありません。
    
    
• MS11-022のセキュリティ更新プログラム (KB2464617 または KB2464588) を適用後、修正プログラム (KB2543242または KB2543241) を適用していない場合:
  • 新しいセキュリティ更新プログラムMS11-036 (KB2535802 または KB2535812) を適用し、システムを最新の状態にしてください。
  • MS11-036 (KB2535802 または KB2535812) では、ファイル破損の問題を解決していますので、該当の問題は発生しません。
    • PowerPoint 2002 SP3 の場合: KB2535802 のセキュリティ更新プログラムを適用してください。
    • PowerPoint 2003 SP3 の場合: KB2535812 のセキュリティ更新プログラムを適用してください。
• MS11-022 のセキュリティ更新プログラム (KB2464617 または KB2464588) が未適用の場合:
  • 新しいセキュリティ更新プログラムMS11-036 (KB2535802 または KB2535812) を適用し、システムを最新の状態にしてください。
  • MS11-036 (KB2535802 または KB2535812) では、ファイル破損の問題を解決していますので、該当の問題は発生しません。
  • MS11-036 (KB2535802 または KB2535812) は以前のMS11-022 のセキュリティ更新プログラム (KB2464617 または KB2464588) を置き換えるものですので、MS11-036 (KB2535802 または KB2535812) のみをインストールすることで、システムは最新の状態になります。
    • PowerPoint 2002 SP3の場合: KB2535802 のセキュリティ更新プログラムを適用してください。
    • PowerPoint 2003 SP3の場合: KB2535812のセキュリティ更新プログラムを適用してください。

■最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

企業においては、セキュリティ更新プログラムを適用する前に自社内でテストするため、適用の優先度を知りたいというお客様の要望があります。そこで、マイクロソフトは、適用優先度の評価基準として「深刻度」と「悪用可能性指標（Exploitability Index）」の情報を提供してきました。今月のセキュリティ更新プログラムから、「悪用可能性指標」の内容が変わりましたので、その内容について説明します。

「悪用可能性指標」は、2008 年 10 月より毎月のセキュリティ更新プログラムのリリースと同時に公開している情報で、それぞれの脆弱性について、脆弱性の悪用が成功する可能性を「1 - 安定した悪用コードの可能性」「2 - 不安定な悪用コードの可能性」「3 - 機能する見込みのない悪用コード」の 3 段階で評価しています（「１」のほうがより深刻）。2011 年 5 月から、「悪用可能性指標」について、ユーザーがより詳細にセキュリティ更新プログラムを細かく評価できるよう、以下の 2 点を変更しました。

• これまでの「悪用可能性指標」を、最新のソフトウェア（例：Windows 7 SP1, Office 2010）の評価と最新ではないソフトウェアの評価の２つに分ける
• 「サービス拒否」の詳細評価を追加

これによって、ユーザーは、最新のソフトウェアのセキュリティ強化（例：Office 2010 のファイル検証機能など）が、悪用の可能性を軽減するかを判別できます。また、「サービス拒否」については、攻撃が中止されれば自然復旧するタイプのサービス拒否（「一時的」と評価）なのか、攻撃によってシステムクラッシュするタイプ（「永続的」と評価）か判断することができ、特にインターネットに接続しているシステムの適用優先度の評価に役立ちます。具体的には、次のように変更されますのでご確認ください。

4 月の「悪用可能性指標」 (変更前)

5 月の「悪用可能性指標」 (変更後)

2011 年 5 月 11 日に予定している月例のセキュリティ リリースについてのお知らせです。
来週水曜日に公開を予定している月例セキュリティ情報は、2 件 (緊急 1 件、重要 1 件) です。
なお、セキュリティ情報 2 のセキュリティ更新プログラムでは、以前このブログでもお伝えした「MS11-022 (KB2464588) を適用後、PowerPoint 2003 でファイルを開くと「ファイルが壊れています」というメッセージが出力される」の問題にも対応します。修正プログラム公開時のブログでは、今年 6 月に自動更新等の通常配信経由でもこの問題を解決するとお伝えしましたが、いち早く影響を受けるお客様の問題を解決するために来週早々に対応することとなりました。
また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) のワンポイント セキュリティも、当日午後に公開予定です。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms11-may.mspx