日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
2011 年 7 月 14 日、コンピュータ・ウイルスの作成・提供・保管などを取り締まるための法律「情報処理の高度化等に対処するための刑法などの一部を改正する法律」いわゆるサイバー刑法が施行されました。これは、安心・安全なインターネットを実現するための大きな一歩と考えています。
近年、インターネット利用者の増加に伴い、ボットをはじめとする高度化されたマルウェアが出現していますが、マイクロソフトは、技術的な対応だけでなく、研究機関、業界団体、法執行機関と協業し waledac や Rustock などのボットネットのテイクダウン、サイバー犯罪者逮捕の協力なども行ってきました。しかし、日本国内で悪意を持ったソフトウェアを開発された場合、取り締まる法律がなく、対応が困難となることが予想されました。
今後、ますますサイバー犯罪の増加・高度化が予想されますが、日本に限らず、サイバー犯罪への対処は簡単ではありません。ようやく日本においてもサイバー犯罪に対抗する手段ができ、加えて、国境を跨ったサイバー犯罪に対応するための国際連携も、期待できるようになります。一方で、今回の施行には、ソフトウェアの不具合や、適用範囲対する強い懸念が表明されています。今回の施行が、ITに深くかかわった社会に、どのような影響を与えるのか、注意深く見守っていく必要があると考えています。
マイクロソフトは、今後も、安心してコンピューターを利用できる環境の実現を目指し、「信頼できるコンピューティング(Trustworthy Computing)」の考えのもと、自社製品の向上に加えて、様々な機関とのとの国際的な連携を行い、安心・安全なインターネットを実現に取り組んでいきます。
「Rustock の脅威との闘い - セキュリティ インテリジェンス レポート: スペシャル エディション」を公開しました。ルートキットタイプのバックドア型のトロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定データと分析結果を紹介したものです。
Rustock は、世界最大のスパムボットの 1 つと報告され、約 100 万台の感染したコンピューターを制御下に置いていたと推定され、毎日数十億通ものスパムメッセージを配信していました。(1 日に 300 億通ものスパムメッセージを発信したこともあります。)
その内容は、マイクロソフトの宝くじ (そういったものはありません) に当選したかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、偽の処方薬 (性的な医薬品) の提供を持ちかけるといったものです。
マイクロソフトは、業界および学術研究者と協力して、2011 年 3 月 16 日に Rustock ボットネットの遮断に成功したことを発表しました。法的措置と技術的措置の両方により、アップストリームプロバイダーからの支援を受け、このボットネットを制御している IP アドレスを分断し、通信を遮断してボットネットを無効化することに成功しました。
以下のグラフは、2011 年の 1 月から 4 月までに Rustock ボットネットによって行われ、Microsoft Forefront Online Protection for Exchange (FOPE) によって検出されたスパム活動を、受信したメッセージの数と使用された一意の IP アドレスの数で表したものです。
遮断後の 3 月中旬から活動量がほぼゼロまで急減していることがわかります。
ボットネットを制御している IP の封じ込めによって、上図の通り活動量は減少しました。また、駆除ツールなどにより Rustock に感染している PC の数も半分以下になりました。しかし、現在も数千万台の PC が Rustock に感染している状況で、駆除が必要です。Rustock に感染していると考えられる場合には、「悪意のあるソフトウェアの削除ツール」や「Microsoft PC Safety Scanner」を使用して駆除を行ってください。また、マルウェア感染の予防として、セキュリティ対策ソフトウェアは、常に最新の状態にしておくようにしてください。セキュリティ対策ソフトウェアを使用していない方は、無料のセキュリティ対策ソフトウェア「Microsoft Security Essentials」の導入を検討してください。
また、Rustock ボットネット運営者の検挙に協力が必要です。マイクロソフトは 2011 年 7 月 18 日 (米国時間)、Rustock ボットネットをコントロールしている人物の発見、逮捕、訴追につながる情報提供者に $250,000 (USD) の懸賞金を提供すると発表しました。有力な情報をお持ちの方は、ぜひご連絡ください。詳細はマイクロソフトの公式ブログ「Microsoft Offers Reward for Information on Rustock」をご覧ください。
このような大規模なボットネット遮断を一企業が単独で行うことは不可能です。これを行うには、業界、学術研究者、法執行機関、そして世界各国の政府が協力し合う必要があります。私たちが力を合わせれば、犯罪集団によってボットネットが利用されるのを阻止し、誰にとっても安全で信頼できるインターネットを実現することが可能になるのです。
未知もしくは未修正のソフトウェアの脆弱性に直面した場合、皆さんはどのようにして企業や個人のデジタル資産を守りますか? 1 つの解としては、脆弱性の悪用を阻止してしまう (“悪用緩和技術“ を導入する) ことがあげられます。
2011 年 7 月 12 日 (US 時間)、米マイクロソフトが「Mitigating Software Vulnerabilities」というホワイトペーパーを公開しました。これ、何?と見てみると、そのタイトルの通り “ソフトウェアの脆弱性を緩和する” ことを推進するガイダンスです。マイクロソフトは数年に亘り “悪用を緩和する” ことの実効性を謳い、導入を推進してきました。例えば DEP や ASLR、/GS などの緩和技術としてマイクロソフト製品に実装したり、Security Development Lifecycle (SDL) としてセキュリティに重点を置いた開発プロセスを採用したりしています。これにより、攻撃者による脆弱性の悪用を困難かつコストの高いものにします。今回ホワイトペーパーを公開した理由は、SDL に基づく製品開発の���念がなかなかソフトウェア開発者に浸透していないことや、マイクロソフトで提供している “緩和技術” の導入が、互換性やパフォーマンス等の理由から企業管理者にとって容易でないことを受け、この状況を変えたいという想いからガイダンスを公開したと SRD ブログ (英語情報) で述べています。
ホワイトペーパーをダウンロードして見てみると、内容は、各緩和技術の詳細説明、導入時の注意事項、マイクロソフト製品における各緩和技術の実装状況 (マトリクス)、最後に、開発者や企業管理者、個人ユーザーが取れる対策についてまとめられています。折角なので、お!と思った箇所を一部抜粋しました。マイクロソフト製品における各緩和技術の実装状況マトリクスですが、これだけまとまったものは過去に公開されていない (はず) です。図1: Windows OS (クライアント) のバージョン毎の各緩和技術の実装状況 (n=実装なし、y=実装ありで有効、OptIn=実装ありだが既定では無効、OptOut=実装ありで既定で有効、AlwaysOn=実装ありで無効にできない)図2: 各 OS 上の Internet Explorerにおける緩和技術の実装状況 (赤は実装なし、緑は既定で有効)図3: 各 OS 上の Office における緩和技術の実装状況 (赤は実装なし、緑は既定で有効)ガイダンス最後 “Call to Action” では、開発者には MSDN の参考情報や開発時に使えるツール、管理者や個人ユーザーには、以前こちらのブログ等で何度か紹介した Enhanced Mitigation Experience Toolkit (EMET) を使っての緩和技術の導入を推奨しています。未知もしくは未修正のソフトウェアの脆弱性は、人間がソフトウェアを開発する限り存在するものだと思います。1 つの安心材料としても、緩和技術の導入は推奨したいです。
皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。先ほど 7 月のワンポイント セキュリティ情報を公開しました。 本日 7 月 13 日に公開した新規 4 件 (緊急 1 件、重要 3 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日更新した 2 件のセキュリティ情報 MS11-052 および MS08-069 の概要についても、併せて説明しています。フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
※ 2011/7/13 14:15 - KB2532531 (MS11-053) の WU/MU での動作説明部分で、WSUS の記載を追記しました。------------------------------------------------------先週の事前通知でお伝えした通り、セキュリティ情報 計 4 件 (緊急 1 件、重要 3 件) を公開しました。
深刻度緊急の MS11-053 の Bluetooth スタックのセキュリティ情報について、Windows Vista SP1 が影響を受けるのは、オプションの Windows Vista Feature Pack for Wireless がインストールされ Bluetooth 2.1 テクノロジがサポートされているコンピューターのみです。 Windows Vista SP2、Windows 7 および Windows 7 SP1 は、既定で Bluetooth 2.1 をサポートしているため影響を受けます。また、現在 Bluetooth テクノロジを搭載していない機種であっても、セキュリティ更新プログラムの配布の対象です。リムーバブル Bluetooth 機器を追加することで Bluetooth のドライバーがインストールされる可能性があるためです。なお、Windows Update/Microsoft Update 経由で Windows 7 用のセキュリティ更新プログラム (KB2532531) をインストールする場合、ドライバー用の更新プログラム 2552343 がセキュリティ更新プログラム KB2532531 (MS11-053) のインストールの前提条件となります (WSUS や MBSA も同様です。ダウンロード センターからインストールする場合は該当せず、KB2552343 は不要です)。このため、自動更新の動作が以下のようになります。なお、この動作は、サポート技術情報 2532531 に既知の問題として記載しています。
また、MS11-055の Visio 2003 のセキュリティ情報は、セキュリティアドバイザリ 2269637 で説明している DLL プリロードの問題に対応しています。■2011 年 7 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://www.microsoft.com/japan/technet/security/bulletin/ms11-jul.mspx
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア
MS11-053
Bluetooth スタックの脆弱性により、リモートでコードが実行される (2566220)
緊急
リモートでコードが実行される
要再起動
Microsoft Windows Vista および Windows 7
MS11-054
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2555917)
重要
特権の昇格
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-055
Microsoft Visio の脆弱性により、リモートでコードが実行される (2560847)
再起動が必要な場合あり
Microsoft Visio 2003
MS11-056
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2507938)
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンスチームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
2011 年 7 月 13 日に予定している月例のセキュリティリリースについてのお知らせです。来週水曜日に公開を予定している月例セキュリティ情報は、計 4 件 (緊急 1 件、重要 3 件) です。 以前このブログでもお伝えした通り、来週 2011 年 7 月 13 日(日本時間) を最終日とし、Windows Vista Service Pack 1 や Office XP を始めとするいくつかの製品のサポートライフサイクルが終了します。これに伴い、新規のセキュリティ更新プログラムの配信が終了します。詳細は「サポート ライフサイクル終了に伴うセキュリティ更新プログラム配信終了の予告」記事をご確認ください。また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のワンポイント セキュリティも、当日午後に公開予定です。公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms11-jul.mspx
セキュリティ情報 1
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
先週、Office ファイル検証機能のアドイン (KB2501584) を適用した Excel 2003 でネットワーク共有上の .xls ファイルを開くのに時間がかかるとの報告があることを、このブログでもお伝えしました。Office ファイル検証機能を適用すると、ファイルを開く前に正常なファイル構造の Office ファイルかどうかを検証するステップが加わります。今回の Excel 2003 でのパフォーマンスの問題は、Office 2003 がファイルを保存元から直接開く動作に起因して発生しています。つまり、ファイルがネットワーク上にある場合、ファイル検証がネットワークを介して実行されるため、ファイル検証処理に時間がかかり、ファイルが開かれるまでに時間がかかる現象が発生します。Office 2007 や Office 2010 ではファイルを開く動作が変更されており一旦ファイルをローカルにコピーしてから開きます。このため、ネットワーク共有上のファイルを開いた場合でも Office ファイル検証機能によるパフォーマンスの問題は起きません。マイクロソフトは現在、Excel 2003 においても Office ファイル検証機能使用時のパフォーマンスを改善する取り組みを行っています。さて、この Office ファイル検証機能、実際に悪意のあるファイル (マルウェア等を含むファイル) に対して、どの程度効力があるのでしょうか?Office 開発チームのブログ にもありますが、2007 年初頭からの 4 年間でマイクロソフトが報告を受けた Office 製品に関する脆弱性報告について、のちの検証で、その 80% 以上が Office ファイル検証機能によって回避可能であったことが分かっています。Office ファイル検証機能は、Office 2010 (2010 年 7 月 15 日発売) から実装された機能です。その有効性は自明だったことから、マイクロソフトは 2011 年 4 月に Office ファイル検証機能 (アドイン) を下位の Office 2003 や Office 2007 へも提供を開始しました。Office ファイル検証機能が有効になっている場合、ゼロデイ攻撃や、セキュリティ更新を適用していない環境でも脆弱性の悪用を防ぐことができます。例えば、MS11-022 (PowerPoint) で修正した 3 件の脆弱性はいずれも、Office ファイル検証機能により悪用が防止されます。つまり、セキュリティ更新プログラムが早急に適用できないような環境においても、Office ファイル検証機能を適用していることで、脆弱性の悪用からシステムを保護することができます。昨今の大規模情報漏えい事件の発端は、数人の社員の “うっかりオペレーション” により引き起こされていることが多いです。外部から送られた、ファイル構造を改ざんした悪意のある .doc, .xls, .ppt, .pub 形式のファイルをうっかり開いてしまい、マルウェアに感染し、攻撃者に本格的に組織に入り込まれ、機密情報・顧客情報が盗まれる…こういった事件を防止するためにも、Office ファイル検証機能の有効性を今一度認識いただければ幸いです。関連情報: ブログ: Office 2003/2007 のファイル検証機能の組み込みhttp://blogs.technet.com/b/jpsecurity/archive/2011/04/14/3421458.aspxMicrosoft Office 向けの Microsoft Office ファイル検証機能の公開http://support.microsoft.com/kb/2501584/jaマイクロソフト セキュリティ アドバイザリ (2501584): Microsoft Office 向けの Microsoft Office ファイル検証機能の公開http://www.microsoft.com/japan/technet/security/advisory/2501584.mspx
※ 2011 年 9 月 14 日、本ブログを更新し、この現象を解決する更新プログラム 2553065 が公開されたことを追記しました。詳細は下記「解決策」セクションをご覧ください。-------------------マイクロソフトは 2011 年 6 月 28 日 (US 時間)、Office ファイルを悪用した攻撃からより多くのお客様を保護するために、Office ファイル検証機能のアドイン (KB2501584) を Microsoft Update の自動配布チャネルで提供開始しました。一部のお客様から、Office ファイル検証機能*1 のアドイン (KB2501584) を適用後、Excel 2003 でネットワーク共有上に保存された Excel ファイルを開くと、通常よりも時間がかかる現象の報告を受けています。この現象は、サポート技術情報 2575312 で説明している問題です。*1 Office ファイル検証機能の詳細は、過去のBlogで紹介しています。Office ファイル検証機能の効果については、こちらのBlogで紹介しています。発生条件Excel 2003 で以下の条件がすべて揃った場合発生します。 · MS11-021 (Excel) および MS11-023 (Office) 以降のバージョンの Excel.exe および MSO.dll である · Office ファイル検証機能のアドイン (KB2501584) を適用している · ネットワーク共有上の .xls ファイルを開くなお、Office 2007 および Office 2010 をご利用の環境では、この問題は発生しないことを確認しています。回避方法(a) ネットワーク上のファイル共有からローカルに .xls ファイルをコピーしてから開く(b) Office 2007 もしくは Office 2010 など他のバージョンの Excel を使用して .xls ファイルを開くサポート技術情報 2575312でも説明しているように、Office ファイル検証機能を無効にすることで本現象は回避されます。(2011 年 7 月 25 日現在、この Office ファイル検証機能を無効化する Fix it がサポート技術情報 2570623 で公開されています。) しかし、この機能を無効にすると、ファイル構造を改ざんした悪意のあるファイルを開く際に検証が行われず、マルウェアに感染する可能性が高くなります。昨今の情報漏えい事件の発端は、数人の社員に送られてきた、構造が改ざんされた悪意のある Office の添付ファイルを開いたことがきっかけで、最終的に企業の機密情報や個人情報の漏えいに繋がった事例が多くあります。このため、企業環境では Office ファイル検証機能を無効にしないことを推奨しています。やむを得ず無効にする場合は、各社員が、出所の不明な Office 添付ファイル等を安易に開かないオペレーションにするなどを徹底してください。
解決策2011 年 9 月 14 日、このパフォーマンスの問題を改善する OFV 修正版 (2553065) を公開しました。この修正版をインストールすることで、ファイル共有上にある Excel 2003 のファイル参照時にパフォーマンスが低下する現象が改善されます。 [必要なアクション]・OFV のアドイン (2501584) をインストールしたが、レジストリ EnableOnLoad で OFV の機能を無効にして対処しているお客様OFV のパフォーマンス修正版 (2553065) が Microsoft Update で配信されますのでインストールしてください。なお、OFV のパフォーマンス修正版 (2553065) をインストールしただけでは OFV の機能は有効化されないため、以前設定した EnableOnLoad レジストリエントリを削除もしくは 値を 1 に変更して OFV の機能を有効にしてください。レジストリの修正は、OFV 修正版 (2553065) の適用前でも適用後でも構いません。・OFV のアドイン (2501584) をインストールしていないお客様OFV のアドイン (2501584) をインストールし、さらに今回新しく配信される OFV のパフォーマンス修正版 (2553065) をインストールしてください。OFV のアドイン (2501584) 未適用のお客様に対しては、Microsoft Update で OFV のアドイン (2501584) が最初に検出され、インストール後に再度 Microsoft Update を行うと OFV のパフォーマンス修正版 (2553065) が検出されインストールされる動作となります。(修正版はパフォーマンスの問題の修正のみを含んでおり、OFV 自体を有効にするには、OFV のアドイン (2501584) が必要です。)参考情報Microsoft Office 向けの Microsoft Office ファイル検証機能の公開http://support.microsoft.com/kb/2501584/jaマイクロソフト セキュリティ アドバイザリ (2501584): Microsoft Office 向けの Microsoft Office ファイル検証機能の公開http://www.microsoft.com/japan/technet/security/advisory/2501584.mspxOffice File Validation (OFV) アドインがインストールされた Excel 2003 でネットワーク上のファイル共有から XLS ファイルを開く時に時間がかかるhttp://support.microsoft.com/kb/2575312/jaExcel 2003 Office File Validation (OFV) opens workbooks slower across the networkhttp://support.microsoft.com/kb/2570623/en-usOffice 2010 ファイル検証の更新プログラムの説明:2011 年 9 月 13日http://support.microsoft.com/kb/2553065/ja