日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
[2011/09/20 追記]マイクロソフトは、すべてのサポートされているリリースの Microsoft Windows に対して、DigiNotarの 11 個のデジタル証明書をマイクロソフトの信頼されていない証明書ストアに配置する更新プログラム(KB2616676) を公開しています。詳細は、アドバイザリ 2607712 をご覧ください。
[2011/09/05 追記]
先日 DigiNotar 社によって不正な証明書が発行されたことによる影響範囲を引き続き調査したところ、更に*.microsoft.com および *.windowsupdate.com に対する不正な証明書が発行されたことを確認しました。既に、windowsupdate.com のドメインは使用されていないため、いずれのオペレーティングシステムをお使いのお客様も、悪用される危険性はありません。
<Windows Vista 以降のオペレーティングシステムをお使いのお客様>
DigiNotar 社の不正なデジタル証明書は、マイクロソフトの証明書信頼リストから既に自動的に削除され、保護されているため、特に対応を講じる必要はありません。
<Windows XP および Windows Server 2003 のオペレーティングシステムをお使いのお客様>マイクロソフトは、Windows XP および Windows Server 2003 用の対策を検討中です。更新情報がご利用可能になり次第、セキュリティアドバイザリおよび本ブログでも随時お伝えします。
今後 Windows XP および Windows Server 2003 用の更新プログラムがご利用可能になった際、自動的に受信できるよう、自動更新を有効にして、マイクロソフトのソフトウェアを常に最新に保つように設定しておいてください。
Windows XP および Windows Server 2003 の対策がご利用可能になるまでの間で、システムおよびネットワークを保護するには、以下の方法で保護することが可能です。なお、適切に保護するためには、以下の 1、2 両方の対策を実施する必要があります。
1. 信頼されたルート証明機関から DigiNotar ルート証明書を手動で削除する
2. キャッシュされた古い証明書信頼リスト (CTL) を削除するために、キャッシュをクリアにする
[2011/09/05 追記ここまで]
本日、マイクロソフトは、不正なデジタル証明書に関する セキュリティ アドバイザリ 2607712 を公開しました。マイクロソフトは DigiNotar により発行された少なくとも 1 つの不正なデジタル証明書を確認しています。これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトはお客様を保護するためのアクションを講じます。具体的な予防策として、マイクロソフトは、マイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました。
ユーザーの影響度
ユーザーが Internet Explorer 等の Web ブラウザーを使って、不正な証明書を使った Google 関連サイトにアクセスすると間違って正規のサイトと誤認する可能性があります。そのため、フィッシング詐欺や中間者攻撃などの被害に遭う可能性があります。DigiNotar のルート証明書が削除された後は、DigiNotar のルート証明書によって署名された Web サイトを閲覧またはプログラムをインストールした場合、以下のような証明書のエラーが表示されます。
例) Internet Explorer 9 で表示されるエラー
必要な対策
DigiNotar 社の不正なデジタル証明書を「信頼されたルート証明機関」から削除する処理は Windows Vista 以降の OS では自動で行われます。そのため、Windows Vista 以降の OS をご利用のユーザーについては、特に作業を行う必要はありません。Windows XP および Windows Server 2003 のユーザーに関しては、現在対応を検討中です。
備考
DigiNotar の証明書は、通常の状態では存在せず、DigiNotar の証明書を使用した Web サイトにアクセスした場合やアプリケーションを実行した場合、「信頼されたルート証明機関」に追加されます。InternetExplorer の [インターネット オプション] - [コンテンツ] タブ – [証明書] ボタンで確認できます。
参考情報
マイクロソフト セキュリティ アドバイザリ (2607712)
http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx
MSRCブログ (英語情報)
http://blogs.technet.com/b/msrc/archive/2011/08/29/microsoft-releases-security-advisory-2607712.aspx
去る 2011 年 8 月 4 日~7 日、米ラスベガスで世界最大のハッカーの祭典「DEFCON (デフコン)」が開かれたことはご存知の方も多いと思います。デフコンは毎年夏にラスベガスで開かれ、今年が 19 回目だそうですが、今年も全世界から 1 万人以上の参加者が集結し、最新ハッキングの講義や発表、コンテストなどが行われました。面白いと思ったのは、コンピューターのハッキング技術とは別に、会話を通じて相手から機密情報を盗み出す「話術」のコンテスト。昨年から始まったようですが、これも立派な「ソーシャル・エンジニアリング」なんですね。結果は、なんと企業の従業員役を扮した人から、実に様々な情報 (社内のソフトウェアのバージョンや、社内の運用情報、社員食堂に食事を提供している業者まで…) をいとも簡単に引き出せたそう。社内の別部門の人間のふりをしたり、取引先の顧客のふりをしたり、というのが最も効果的な手法のようで、身内を装い安心を買う…って、なんだかオレオレ詐欺みたいですね。昨今のサイバー犯罪行為は、人の心理や行動につけこんだ攻撃手法、つまりソーシャル・エンジニアリングを利用することが多いです。他者を信頼する文化のある日本は、悪意のあるハッカー (クラッカー) からすると、世界でも攻撃を仕掛けやすい国とも言われています。パソコンや携帯電話のみならず、スマートフォン、ゲーム機器、自動車や家電など、あらゆる媒体でインターネットと繋がるようになった今、私たちも警戒対象をますます広げていく必要があるのかもしれません。他に面白いと思ったのは、今年初めてだそうですが、8~16 歳向けの「デフコンキッズ」が開かれたことでしょうか。これは、増加するサイバー攻撃で 10 代の逮捕者も出る中、 IT 技術の正しい使い方を早期に教え、将来の仕事としても関心を持ってもらうための試みのようです。デフコンキッズでは、様々なハッキング講義や競技に加え、米政府の情報部門、国家安全保障局 (NSA) の職員による暗号講義、米軍専門部隊「サイバーコマンド」の元幹部らとの交流などが設けられたようで、ネット世界での自己防衛のための技術習得という以上に、国家としての次世代の優秀なハッカー育成に重きが置かれている印象を受けました。このデフコンには企業や政府機関が多く足を運び、秀逸な人材を取り込もうとしているようです。近頃は雇われハッカー -- 企業の許可の下、自社システムに侵入させ、ネットワークにある穴を見つけてもらう -- のビジネスも成立しています。Advanced Persistent Threats (APT) などの複雑なサイバー攻撃が一般化する中、日本でも今後、情報セキュリティ対策の一環としてハッカーを当たり前のように雇う時代が来るのでしょうか。今年のデフコンでは日本チームも初めて予選を突破したと聞き、なんとなく少し安心した次第です。
2008 年に発足した Microsoft Active Protections Program (MAPP) というプログラムをご存じでしょうか。MAPP は、マイクロソフトの月例セキュリティ更新プログラムの公開前に、マイクロソフトの脆弱性に関する情報をセキュリティ ソフトウェア プロバイダー、侵入検知システムや侵入防止システムの開発ベンダーなどのパートナーに提供するプログラムです。セキュリティ更新プログラムの公開前に脆弱性を悪用したマルウェアが出現してもお客様を保護できるようにする、という目的で作られました。
2011 年 8月 2 日 (US 時間) にマイクロソフト セキュリティ レスポンス センター (MSRC) が公開した「Building a Safer More Trusted Internet Through Information Sharing 2011」というレポート (英語) に、3 年目を迎えたこのプログラムがこれまでどのような成果を挙げてきたかということが記載されていますので、ここでも紹介したいと思います。
MAPP 開始以前は、セキュリティ ソフトウェア プロバイダーは一般ユーザーと同じタイミング -- セキュリティ更新プログラム情報公開時 (太平洋時間で毎月第二火曜日の朝 10:00) に初めて脆弱性情報を受け取り、そこから自社製品であるウィルス対策ソフトウェアや侵入検知システムなどのセキュリティ ソフトウェアやデバイスの定義ファイルのコーディングを開始していました。当時は、公開されたセキュリティ更新プログラムをリバース エンジニアリングし、どういった脆弱性なのか調査し定義ファイルを作成するまでに約 8 時間を要していました。一方、悪意を持った攻撃者もそれと同じタイミングで脆弱性情報を得て、その脆弱性を突いたマルウェアを作り始めます。熟練 (?) の攻撃者が特定の脆弱性を突いたマルウェアを作り出すのにかかる時間もまた 8 時間と言われているため、毎月、お客様を保護しようというセキュリティ ソフトウェア プロバイダーと、無防備なユーザーを攻撃しようという攻撃者との間でタイム レースが繰り広げられていたのでした。タイミングによっては、セキュリティ更新プログラム公開後数時間の間、更新プログラムを適用していないユーザーはセキュリティ対策ソフトウェアが対応できない脅威に攻撃される可能性がある、という危険な状態が作られていたわけです。
MAPP 開始後は、MAPP メンバーが事前に脆弱性情報および必要情報を入手でき、リバース エンジニアリングの必要がなくなりました。また、MAPP メンバーは、セキュリティ更新プログラム公開と同時に自社のセキュリティ製品の更新ファイルを公開できるようになったため、このようなタイムレースはなくなり、お客様への保護策は強化されるようになりました。
2009 年には 45 社だった MAPP メンバーも 2011 年 6 月時点で 84 社に増え、また、プログラムそのものも進化してきました。開始当初は単に脆弱性情報の提供に過ぎなかった MAPP ですが、2010年からはメンバー間の情報交換を密にし、互いのスキルや洞察力を結集するプログラムへと進化しました。マルウェア作成者や攻撃者が執拗さを増し、セキュリティ ソフトウェアに検知されないようにあれこれ工夫を凝らすようになったためです。たとえば、MS10-087 で修正される RTF の脆弱性 (CVE-2010-3333) の例ですが、見つかったマルウェアの分析中に MAPP を通して情報交換が活発になされた結果、攻撃者が検知を避けるために 3 種類の異なる攻撃手法を使っている可能性があることを突き止めました。マイクロソフトは、これらの技術詳細を MAPP パートナーに配布し、保護策の強化に成功したのです。
2010 年 7 月からアドビ社が MAPP に参加したことで MAPP はさらに大きく進化しました。この協業により MAPP パートナーは、マイクロソフト製品だけでなくアドビ製品のセキュリティアップデートがリリースされる前にお客様に保護策を提供できるようになりました。脅威がどんどん進化を遂げている近年、業界の企業同士の連携、技術情報の交換は不可欠です。このパートナーシップによって、より多くのユーザーに、より高度なセキュリティ対策が提供できるようになったことは、非常に大きな意味を持っているといえるでしょう。
MAPPに関する詳細情報は、セーフティとセキュリティ センターの「Microsoft Active Protections Program」にも記載されていますので、ぜひご一読ください。
参考資料:
◆「Building a Safer More Trusted Internet Through Information Sharing」 (英語)
ダウンロード ページ: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=26931
◆「Microsoft Active Protections Program」
http://www.microsoft.com/ja-jp/security/msrc/mapp.aspx
◆「Microsoft Active Protections Program」 (英語)
http://www.microsoft.com/security/msrc/collaboration/mapp.aspx
皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。先ほど 8 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日 8 月 10 日に公開した新規 13 件 (緊急 2 件、重要 9 件、警告 2 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日再リリースした 3 件のセキュリティ情報 MS11-043、MS11-025、MS11-049 やセキュリティアドバイザリ 2562937 の概要についても、併せて説明していますので、概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
先週の事前通知でお伝えした通り、セキュリティ情報 計 13 件 (緊急 2 件、重要 9 件、警告2 件) を公開しました。
MS11-069 の .NET Framework のセキュリティ更新プログラムに関しては、インストールに関する一般的な注意事項 (今月の更新プログラムに特化した話ではありません) を「.NET Framework セキュリティ更新プログラムのインストールに関する注意」ブログで紹介しています。.NET Framework の更新プログラムは、コンパイルを行いながらインストールするため、一般的にその他更新プログラムに比べインストールに時間がかる場合があり、終了したと勘違いするなどでインストール中に電源を切ってしまうと、その後の更新プログラムのインストールに失敗する場合があります。過去に途中で電源を切ってしまい以後トラブルに遭遇する例が多く見受けられたため、上記ブログで予防策と対策について紹介しています。 MS11-059の Data Access Components のセキュリティ情報は、セキュリティアドバイザリ 2269637 で説明している DLL プリロードの問題に対応しています。 また、今月はアドバイザリ で ActiveX Kill Bits の累積を公開しています。 ■2011 年 8 月のセキュリティ情報: 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。 http://www.microsoft.com/japan/technet/security/bulletin/ms11-aug.mspx
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア:
MS11-057
Internet Explorer 用の累積的なセキュリティ更新プログラム (2559049)
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-058
DNS サーバーの脆弱性により、リモートでコードが実行される (2562485)
Microsoft Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2
MS11-059
Data Access Components の脆弱性により、リモートでコードが実行される(2560656)
重要
Microsoft Windows 7 および Windows Server 2008 R2
MS11-060
Microsoft Visio の脆弱性により、リモートでコードが実行される (2560978)
再起動が必要な場合あり
Microsoft Visio 2003、Visio 2007 および Visio 2010
MS11-061
リモート デスクトップ Web アクセスの脆弱性により、特権が昇格される(2546250)
特権の昇格
Windows Server 2008 R2
MS11-062
リモート アクセス サービス NDISTAPI ドライバーの脆弱性により、特権が昇格される (2566454)
Microsoft Windows XP および Windows Server 2003
MS11-063
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2567680)
MS11-064
TCP/IP スタックの脆弱性により、サービス拒否が起こる (2563894)
サービス拒否
Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-065
リモート デスクトップ プロトコルの脆弱性によりサービス拒否が発生する (2570222)
MS11-066
Microsoft Chart Control の脆弱性により、情報漏えいが起こる (2567943)
情報漏えい
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 および Chart Control for Microsoft .NET Framework 3.5 Service Pack 1
MS11-067
Microsoft Report Viewer の脆弱性により、情報漏えいが起こる (2578230)
Microsoft Visual Studio 2005 Service Pack 1 および Report Viewer 2005 Service Pack 1 Redistributable Package
MS11-068
Windows カーネルの脆弱性により、サービス拒否が起こる (2556532)
警告
MS11-069
.NET Framework の脆弱性により、情報漏えいが起こる (2567951)
■最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
※2011年8月9日、一部誤解を生む表現があり反響が大きかったため、記載を訂正しています。※この情報は、今月の更新プログラムに限った話ではなく、.NET Framework 更新プログラムに関する一般的な注意点です。過去、更新プログラムのインストール中に電源を切ってしまい、その後トラブルに遭遇したという報告を多く確認しているため、トラブル予防のため注意喚起をしています。---8月の月例セキュリティ更新プログラム (8月10日公開) に .NET Framework のセキュリティ更新プログラムが含まれます。セキュリティ更新プログラムに限らず、.NET Framework 更新プログラムのインストールには、いくつか一般的な注意点があります。事前に以下に目を通し、トラブルを予���してください。インストールに時間がかかります!.NET Framework の更新プログラムはインストール時にコンパイルを行いながらインストールするため、他の更新プログラムに比べインストールに時間がかかります。その月の更新プログラムのボリュームが多い場合は、さらに全体的に時間がかかります。コンピューターのスペック (メモリや CPU、HDDなどの性能) にもよりますが、推奨最低ラインのスペックで稼働するシステムでは、インストール処理に通常よりも時間がかかる場合があります。必要時間に関しては、過去の当該マシンにおける .NET Framework 更新のインストール時と同等です。今回だけ特別時間がかかるというわけではありません。電源は落とさないで!更新プログラムのインストールに伴う再起動中 (Windows 7 および Windows Vista)、または更新プログラムのインストールが完了する前にコンピューターの電源を落とそうとする場合 (すべての OS)、“Windows 更新プログラムの構成中 xx% 完了” (図1) あるいは “xx個中○○個目の更新プログラムをインストール中” “コンピューターの電源を切らないでください。電源は自動的に切れます。” (図2) といった画面が出ます。まだインストールが完了していない状態ですので、決して電源ボタンを押して電源を切ったりせず、自動で電源が落ちるまで待ってください。無理に電源を切るとシステムのファイルが破損し、以後インストールに失敗するなどのトラブルが発生する可能性が高くなります。
図1: Windows 7で更新プログラムのインストールに伴う再起動中に表示される画面の例
図2: Windows XP で更新プログラムのインストール完了前に電源を落とそうとする場合に表示される画面の例
インストールに失敗する場合…前述のように、インストールの完了を待たずにコンピューターの電源を切ってしまうとファイルが破損したり MSI データベースに不整合が起きる場合があります。特に、インストールに時間がかかる .NET Framework などの更新プログラムでは発生率が高くなります。破損した環境に次回 .NET Framework 更新プログラムをインストールしようとすると特定のエラーコードでインストールに失敗します。実はこの状況に陥るお客様が多数いらっしゃいます。8月の .NET Framework セキュリティ更新プログラムのインストールに失敗する場合は、次の “インストール失敗時の対処方法” を参考に対処してください。インストール失敗時の対処方法.NET Framework 更新プログラムのインストール失敗時のエラーコードが分かっている場合は以下のサポート技術情報を参照し、対処してください。
エラーコード
サポート技術情報
66A、0x8007066A
KB2507641 (機械翻訳)
0x643、1603
KB923100
643、0x80070643
KB976982
エラーコードが不明な場合は、まず、Windows Update または Microsoft Update で更新プログラムのインストールが失敗する場合の対処方法 の手順1を参照し、エラーコードを確認してください。次に、エラーコードに応じたサポート技術情報を参照し対処してください。
OS
.NET Framework のバージョン
Windows 7
.NET Framework 1.1
KB2213432
Windows XP
KB2161017
.NET Framework 2.0, 3.0, 3.5
KB2161107
2011 年 8 月 10 日に予定している月例のセキュリティ リリースについてのお知らせです。 来週水曜日に公開を予定している新規月例セキュリティ情報は、合計 13 件 (緊急 2 件、重要 9 件、警告 2 件) です。 また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。 公開予定の詳細は、以下の事前通知のサイトをご覧ください。 http://www.microsoft.com/japan/technet/security/bulletin/ms11-aug.mspx
※ 8 月の月例セキュリティ更新プログラム (8 月 10 日公開) に .NET Framework のセキュリティ更新プログラムが含まれます。.NET Framework 更新プログラムのインストールには、いくつか注意点があります (セキュリティ更新プログラムに限りません)。 「.NET Framework セキュリティ更新プログラムのインストールに関する注意」に目を通し、トラブルを予防してください。
影響を受けるソフトウェア
セキュリティ情報 1
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
Microsoft Visio 2003, Visio 2007, および Visio 2010.
セキュリティ情報 5
Windows Server 2008 R2.
セキュリティ情報 6
セキュリティ情報 7
セキュリティ情報 8
セキュリティ情報 9
セキュリティ情報 10
Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, および Chart Control for Microsoft .NET Framework 3.5 Service Pack 1.
セキュリティ情報 11
Microsoft Visual Studio 2005 Service Pack 1 および Report Viewer 2005 Service Pack 1 再頒布可能パッケージ.
セキュリティ情報 12
セキュリティ情報 13
日本で Internet Explorer 9 の自動配信が開始されてから 1 か月が経過しました。Internet Explorer 9 はパフォーマンスの改善や使いやすさ、互換性など多くの優れた点がありますが、その利点の一つとして“信頼性”があります。先日、セキュリティ研究機関である NSS Labs から最新のブラウザー セキュリティ調査の分析結果が発表されました。今回はヨーロッパ地域で確認されている悪意のある URL サンプルを対象にした調査でしたが、Internet Explorer 9 がソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーであることが報告されています。図 1 は、各 Web ブラウザーで悪意のある URL サンプルからソーシャル エンジニアリング型マルウェアをダウンロードしようとした際、どの程度 Web ブラウザー上でマルウェアのダウンロードをブロックできるかを示したもので、Internet Explorer 8 と Internet Explorer 9 はブロック率が非常に高いことが分かります。図 1 - 出典: NSS Labs “Web Browser Security Socially-Engineered Malware Protection”)Internet Explorer 9 が Internet Explorer 8 よりも更に優れていた主な理由は、Internet Explorer 9 で新しく備わった SmartScreen® Application Reputation と呼ばれるセキュリティ機能のためです。Internet Explorer 8 からマルウェアやフィッシング対策として搭載されている SmartScreen フィルターには、URL Reputation と呼ばれる悪意のある URL を判別してブロックする機能がありますが、Internet Explorer 9 ではこの URL の判別に加え、Web サイトからダウンロードされるアプリケーションについてもチェックする保護のレイヤーを更に一層追加しています。SmartScreen® Application Reputation は、クラウドを活用した新しい保護機能で、マルウェアと疑わしきファイルをユーザーがダウンロードしようとすると、図 2 のような警告を出してユーザーに注意喚起します。SmartScreen® Application Reputation の更に技術的な詳細は、IEBlog (英語情報) をご覧ください。図 2 - 出典: IEBlog “"Stranger Danger” - Introducing SmartScreen® Application Reputation”以前からセキュリティ インテリジェンス レポート (SIR) などのセキュリティ調査結果でも報告されている通り、ソーシャル エンジニアリングの攻撃手法は、その攻撃の容易さと成功率の高さなどの理由から、年々増加傾向にあり、巧妙化しています。先日実施されたある調査 (注 1) によると、人間の心理的弱点を突くソーシャル エンジニアリングによりマルウェアをダウンロードさせる攻撃は、ソフトウェアの脆弱性を突く技術的な攻撃 (いわゆるエクスプロイト) の 4 倍にも上ることが発表されています。
大切な情報の盗用や悪用を防ぐためにも、セキュリティやプライバシーの確保された、より安心して使用できる Web ブラウザーを選択し、インターネットを楽しんでいただきたいと思います。
注1: Social engineering trumps a zero-day every time (英語情報)参考情報: