前回のBLOG更新以降も、新たなセキュリティ事件が次々と報道されています。「どうしてしまったのだろう」と思う一方で、潜在化していた問題が表面化しただけだとも思います。例えば、Verizon社の「2011年度　データ漏洩/侵害　調査報告書[1]」によれば、86%の事案が第三者による発見とされています。つまり、自ら侵入等を発見した例は、わずか14%にすぎません。この調査は、世界的な調査ですが、もしかすると日本では、よりこの傾向が強いのではないかと考えています。
　このように考えるには理由があります。日本におけるセキュリティ対策は、ISMS(Information　Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実（Fact）に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、技術的なFactの確認が行われていません。これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。
　運用や、受発注に絡んだ「止むを得ない」事情があることもわからないではないですが、どこか表面的な気がしてしまいます。

　さて、本題に戻りましょう。前回は、盗難・紛失対策を行う前に考えるべきことについて紹介させていただきました。今回は、マイクロソフトが社内で実施している対策から、盗難・紛失対策に相当する対策をご紹介します。

ドメイン管理と持ち込み（私物PC等）

　マイクロソフトの社内ネットワークに接続するためには、ドメイン参加する必要がある。PCがドメインに参加すると、自動的にグループポリシーが適用され、既定のセキュリティポリシー（PCの設定）が保証（強制）され、IPsecを使って社内ネットワークに接続をする。この仕組みを使うことで、ドメインに参加していないPCを遮断し、セキュリティポリシーを遵守しているPCだけが、社内ネットワークへの接続できるようになっている。

　具体的な内容については、少々古い内容になるが、「ITショーケース」で紹介しているので、合わせて参照していただきたい[2]。

　私物のPCを持ち込んだ場合は、ドメインに参加しない限り社内ネットワークは利用できない。そして、ドメインに参加した場合は、前述のようにグループポリシーが強制的に適用されることになる。これにより、会社支給のPCであるか、私物のPCであるかに係わらず、社内ネットワークに接続するPCが一定のセキュリティレベルを満たしている事を保証する仕組みになっている。

 　Wireless Networkについても、証明書をベースにした802.1XとIPsecによる保護を行っている。有線LANの場合は、コンプライアンス違反があった場合に、LANの接続ポートを無効にすることで、コンプライアンスに違反したPCを強制的に排除することができるのだが、Wireless Networkの場合は、このような対策ができない。このため、社内ネットワークに接続するための証明書に加えて、Wireless Network接続用の証明書を発行し、コンプライアンス違反があった場合は、この証明書を無効にすることで対処している。

ディスクの暗号化(Bitlocker)

 　ドメインに参加したPCには、Bitlockerによるディスクボリュームの暗号化が強制される。Bitlockerは、Windows Vistaから導入されているディスクボリュームを暗号化する仕組みで、Windows 7からは容易にマルチボリュームの暗号化も行えるようになっている。

　例えば、指紋認証や二要素認証によるユーザー認証を行っているPCであっても、ディスクを取り出して、他のPCに接続することで、認証を回避しデータにアクセスすることが出来てしまう。Bitlockerはこの問題を解決するもので、TPMと暗号を使うことで、ディスクを抜き出して他のPCに接続しても、データを保護することができる。

　Bitlockerで暗号化されたデータは、個人情報保護法に対する経済産業省のガイドラインにおける「高度な暗号化等の秘匿化が施されている場合」に該当すると考えている。一方で、紛失後に、紛失したPCが実際にBitlockerで保護されていたことを確認することは出来ない。このため、マイクロソフトが行っているような、グループポリシーによる強制的にBitlockerを適用する等の方法で、紛失したPCが保護されている事を確実にすることが重要となる。

　具体的なBitlockerの技術的な内容に関しては、以下の技術資料を参照いただきたい。　また、日経BP社のITproに連載をさせて頂いた中で、小野寺がBitlockerの詳細に加えて、グループポリシーを使った鍵管理の運用面についても解説をさせて頂いている。

Bitlocker ドライブ暗号化
http://technet.microsoft.com/ja-jp/windows/aa905065.aspx

ボリューム・レベルの暗号化機能「Bitlocker」の仕組みを知る　Windows Vista Security IN　& OUT
事件と課題から考えるWindows　Vistaのセキュリティ（第4回）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274342/

 　なお、Bitlockerで保護していても、全ての場合にデータが保護されるわけではない。誤ってメールの添付してしまった場合や、P2Pなどで流失した場合にはB itlockerではデータは保護されない。複数のユーザーが利用している場合、他のユーザーからのアクセスも保護することが出来ない。

　これらの脅威については、EFS, RMSという暗号化の仕組みが用意されているので、目的や情報の重要さに応じて、これらを組み合わせて利用する必要がある。

Bitlocker to GoによるUSBメディア等の保護

　Windows 7では、USBメディアに対する暗号化手法として、Bitlocker　to Goが用意されている。Windows Vistaでも、USBメディアをNTFSでフォーマットすることで、Bitlockerを利用することが出来たのだが、メディアを抜く際にマウントを解除しないと、ファイルシステムが壊れる懸念があった。Bitlocker　to Goでは、FATのままで適用できるため、このような懸念は少ない（いずれにしても、マウントを解除してから抜いていただきたい）。

　Bitlocker to Goは、パスワードによる保護と、スマートカードによる保護が選択できる。

　また、マイクロソフトでは実施していないが、グループポリシーを使って、USBメディアにBitlocker to Gで保護されていないリムーバブルメディアへのアクセスを禁止することも出来る。USBメディアの利用が多い場合は、このような運用形態も検討の価値がある。

Directaccessによるドメイン管理

　最後に、DirectAccessによる社外からの接続について紹介する。

　マイクロソフトでは、Windows 7が標準のOSとなってから、DirectAccessという技術を使って、外部からの接続を行うようになっている。以前はVPNを使って社外から社内ネットワークへの接続を行っていたが、クライアントVPNで接続しているPCは、ドメインによる管理ができないため、VPN接続時にセキュリティ設定の確認に時間がかかるなどの課題があった。

　DirectAccessを使った場合、社内ネットワークの外であっても、ドメインに参加した状態が維持できるため、社内ネットワークにある場合と同様にグループポリシーの適用等を行い、セキュリティレベルを保証することが出来る。これにより、出張先や自宅にいても、社内にいる時と同じように社内ネットワークを利用することが可能となっている。

　このようなITの利用形態は、子育てや介護などによるワークスタイルの多様化や、東日本大震災のように出社が難しい状況に対応していく上でも、有効な技術と考えている。　

みなさんも、友人とのコミュニケー��ョンやプレゼントの応募などにフリーメール (Hotmail や Gmail、Yahoo メールなどの無料 Web メール) を利用していることと思います。

先日「Hotmail: 改良された新セキュリティ機能について」という記事を公開したのですが、その中で、これは使えるなぁーと思った機能があったのでご紹介します。

まず、「エイリアス」機能です。

１ つの Hotmail アカウントで毎年最大 5 つまでのエイリアス (メール アドレス) を作成でき、そのエイリアス宛のメールは別のフォルダーに仕訳されるようになるというものです。

プレゼントの応募などでメール アドレスを提供すると、以後広告メールが届くなど煩わしい場合があるため、これまではいわゆる「捨てアドレス」を別途作成して利用していたのですが、アカウントが複数あることで管理が面倒だな…と感じていました。

エイリアスを利用することで、本当の (メインの) メール アドレスを知らせる必要もなくなり、メール チェックはフォルダーをチェックするだけで済み、アカウントやパスワードを複数持つ必要はありません。

次に「サインインするための一時使用コード」機能です。

これまで、空港やネットカフェなどの公共のコンピューターや友人や親戚のコンピューターを利用する際、パスワードを入力するのに抵抗を感じていました。そんな時、これからは「サインインするための一時使用コード」が使えます。

以下はサインインの際に表示されるスクリーン ショットの一部です。パスワードを入力したくない場合、赤枠で囲んだ「サインインするための一時使用コードを取得します」をクリックします。

事前に登録してある携帯電話のメール アドレスに一時使用コードが送られてくるので、それを入力してサインインすることができます。

他にもスパムや迷惑メールの除去やアカウント回復などのセキュリティ機能について紹介しているので、Hotmail を利用している方はぜひ確認してみてください。

▼ Hotmail: 改良された新セキュリティ機能について

一昔前であれば、ウイルス対策ソフトとファイアウォールを導入していればセキュリティの脅威からシステムを守れると考えられていましたが、最近増加している APT (Advanced Persistent Threat)、標的型攻撃の脅威に対しては、これらのソリューションだけでは不十分と感じ、自社のセキュリティ対策を見直している方もいらっしゃるかと思います。例えば、クライアントやサーバーのセキュリティ設定の強化、ネットワーク セキュリティの見直し、マイクロソフト製品であれば Active Directory のグループ ポリシーの見直しといった対策です。

マイクロソフトは、お客様の対策実施を支援する多くのドキュメントとツールを提供しているのですが、あまり知られていないものも多いように思います。このブログでは、その一部を紹介したいと思います。

• Windows Server® 2008 セキュリティ ガイド
  
  Windows Server 2008 を実行するコンピューターのセキュリティを強化する手順と推奨事項について説明しています。このガイドの良いところは、単にセキュリティの設定が書かれているだけでなく、セキュリティ コンプライアンス マネージャーというマイクロソフトが提供する無償のソフトを使ってベストプラクティスのセキュリティ設定を簡単に実現できる方法が書かれていることです。

図1. セキュリティ コンプライアンス マネージャーの設定画面

• Internet Explorer® 8 セキュリティ ガイド
  
  Internet Explorer 8 や Internet Explorer 9 は、SmartScreen フィルターやクロスサイト スクリプト フィルターなど多くのセキュリティ機能を実装しています。最新のセキュリティ更新プログラムを適用していれば、そのまま使っても十分安全なのですが、さらにシステム管理者によってセキュリティ強化をすることができます。例えば、「[ファイル ダウンロードの制限] 設定の有効化」 や 「Temporary Internet Files フォルダーの内容の自動削除」 などです。このガイドには、気を付けるべきポイントと設定方法が書かれています。
   
• MAP (Microsoft Assessment and Planning) ツール
  
  現在の IT インフラストラクチャを評価するツールです。このツールを使うと、ハードウェア評価、インストールされている OS、アプリケーションが確認できるだけでなく、管理されていない隠れた PC やサーバーなども WMI や SSH を通じたポートスキャンを行うことで見つけ出すことができます。勝手にドメインに参加していない脆弱性なサーバーを立てたなどという問題も見つけ出します。

図2. MAP ツールのレポート画面

今回は Windows Server® 2008 セキュリティ ガイド、Internet Explorer® 8 セキュリティ ガイド、MAP (Microsoft Assessment and Planning) ツールについて紹介しました。今後も、よいセキュリティの資料やツールを発掘し紹介していきたいと思います。 

　前回、前々回と、2011年のこれまでに発生した、情報セキュリティ事件と、その分析内容をご紹介���ました。これらの事件を振り返って改めて思うのですが、紛失・盗難対策では、意図を持った攻撃には対応ができません。標的型攻撃は2005年前後から国際的な注意喚起が出ている問題で、意図と技術を持った人間が組織内のネットワークに入り込んでくるのですから、紛失・盗難を主要な脅威としたセキュリティ対策では防ぎようがありません。

　当たり前のことではあるのですが、意外に理解されにくいようです。過去にこのような議論をした際に、「内部犯行が圧倒的に多いのだから、外部からの攻撃の対策は検討に値しない」というような極端な反論を頂いたこともありました。私は「どちらが多いか」という問題ではなく、どちらも実際に起きていて対策が必要な問題として捉える必要があると考えています。

　さて、これまでにご紹介した分析内容は次のようなものです。

• 書類やPC/USBメディアなどの紛失・盗難が圧倒的に多い（65%）
  紙媒体は対策ができないが、USBメモリ・PC等（25%）の対策は可能
• 侵害の対象は、WEBとデータベースが約70%を占めている。
  古典的な公開サーバーに対するセキュリティの対策
• 重要な情報が侵害されているという点で、APT（新しいタイプの攻撃）の対策も進める必要がある。
  セキュリティベンダーの事例、Webメールの事例など
• アジテーションとして、特定の企業グループへの攻撃
  経営上のガバナンスと、ブランディングの不一致

　今回から、数回に分けて、これらの対策について考察を進めていきたいと思います。

　まずは、PCやUSBの紛失・盗難対策について取り上げます。

紛失・盗難対策、その前に

　最も典型的なPCやUSBメディアの紛失・盗難対策は、「持ち込み・持ち出しの禁止」ではないだろうか。理解できる面もあるのだが、少々疑問に思う点もある。例えば、ノートPCの購入や外部接続を行う際の稟議書・決裁書では、「業務の効率化、競争力の強化」が理由として挙げられている場合が多い。しかし、持ち出しの禁止による競争力の低下から、売上や目標の下方修正が行われたという事例は聞いたことがない。

　現実的には、労働時間が増えるなどのしわ寄せが起きているか、何らかの方法で以前と同等か類似の行為が行われていると考えられる。

　例えば、外部のWebメールを使って自宅のPCにデータを送ったり、無料のファイルサーバーを使って、外部とのデータ交換を行うといった事が考えられる。そして、スマートフォンの普及が進むと、このような「管理外の抜け道」による問題が、より深刻になると予想される。

　この問題を考えると、「そもそも、なぜ、社外から社内ネットワークが使えないのか」とを改めて考える必要があるように思う。社外から社内ネットワークが利用できるのであれば、そもそもUSBメディアを利用する必要はないのかもしれない。

　PCやUSBの持ち出しの禁止は、ファイアウォールが明確に外部ネットワークと内部ネットワークを分離されており、Good　man IN, Bad man OUTである事を前提としている。しかし、ITの利用形態の多様化により、このような単純なモデルでは実態を捉えにくくなっている。特に、コンシュマー向け、ビジネス向けのクラウド利用が当たり前になっている現状では、内部ネットワーク、外部ネットワークの境界は、不明瞭になっている。

　マイクロソフトでは、ノートPCの持ち出しに制限はない。また、持ち出したPCから、社内ネットワークへの接続も自由に行うことが出来る。このため、USBメディアを利用する必要はほとんどない。このような多様な利用形態が認められているため、例えば、小さな子供を持った社員が夕方に帰宅し、家事がひと段落した後に自宅で業務を行ったり、時差のある電話会議に自宅や出張先から参加するなど、様々な仕事の仕方が選べるようになっている。

　この方針の背景には、”Security as a business enabler”という考え方がある。つまり、セキュリティを担保することによって、新たな（価値のある）ビジネスやビジネス形態を実現するという考え方である。セキュリティが日常の業務やビジネスを不便にしてしまうことが多いのだが、セキュリティを担保することで、業務やビジネスの改善・飛躍を目指すといった考え方が重要と考えている。

まとめ

　さて、具体的な対策と進めたいところなのですが、前置きが長くなりすぎてしまいました。
　今回は、ここまでとさせていただき、次回は紛失・盗難対策としてマイクロソフトが実施している、ドメイン管理基づいた強制的な暗号化、ドメイン管理の外部への拡張による社内ネットワークの自由なアクセス等について紹介をさせていただきたいと思います。

追記

　ちょうど、このBLOGを公開しようと思ったタイミングで、マイクロソフトMVP(Most Valuable Professional)の濱本さんが、一連の事件に対する興味深いレポートを公開されていることに気づきました。MVP Open Dayで概要は伺っていたのですが、考えていた以上に参考になる点が多い内容でした。これまで、このような分析が公開されたことは、あまりなかったように思います。

三菱重工事件からみる「新しいタイプの攻撃」に対する情報セキュリティ対策
日経BP ITpro、 濱本 常義氏
http://itpro.nikkeibp.co.jp/article/COLUMN/20111028/371616/?ST=security&P=6

　 先日、あるミーティングで、長く情報セキュリティの第一線で活躍されている方達と、ネットワークセキュリティーの基本ともいえる境界領域防御の有効性について議論をする機会がありました。標的型攻撃などの最近の攻撃の多くは、従来のワームなどの動作と異なり、ファイアウォールなどの境界領域を突破して、内部ネットワークに直接入ってくるわけですが、このような攻撃に対して、境界領域防御の位置づけを、どのように考えたらよいだろうという議論です。メモを取っていたわけではないので、不正確かもしれませんが、結論は以下のようなものです。

• 　境界領域防御は、即効性があり内部対策の負担の少ない有効な対策である
• 　しかし、昨今の攻撃手法の変化に対しては、内部対策も必要になってきている

 　当然といえば当然ですが、境界領域防御がダメになったわけではなく、境界領域防御だけでは対策ができない攻撃が顕著化しているという事だと思います。単に「境界領域防御の限界」というと、境界領域防御が必要ないというニュアンスでとられてしまうのかもしれませんが、境界領域+αが求められているのだと思います。

　同様の論理的な飛躍が、「出口対策」という言葉の使い方にも見られるように思います。IPAから出ている“「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン[1]“を根拠として、「出口対策」の必要性だけが強調される事があります。このガイドラインでは「入り口対策（基本的な対策）」をとった上で、そこで防げないものについては、被害が発生・拡大しないように「出口対策」が必要だということを指摘したもので、従来の対策が無力だと言っているわけではありません。当たり前なのですが、「出口対策」だけでは対策になりません。

　なお、このガイドラインでは、ネットワーク対策が中心とされており、PCやサーバーといったホスト対策については、ほとんど触れていません。この点については、ずいぶんと議論させていただいたのですが、ホスト対策は環境依存が大きく、ガイドラインに実効性を持たせることが難しいとの判断になりました。現状では難しいとしても、新しく導入するシステムや、重要性の高いシステムについては、ホストレベルの対策を導入していく事が重要だと考えていますので、次回以降では、こちらのガイドラインでは割愛されているホスト対策についても取り上げていこうと考えています。

まずは現状の確認から始めよう

 　公開セグメントの対策において、以下の二つの視点から現状を確認する。まずは、ログやコンテンツからシステムが置かれている状況を調査し、次にネットワークセキュリティ対策の視点から、必要な対策が取られているか、また、早急に対応すべきところがないかを調査する。

 　ログやコンテンツの確認

①   コンテンツの確認

②   公開サーバーのログの確認

 　セキュリティ対策状況の確認

③   ノードの洗い出し（ホスト、PC、ネットワークデバイスなど）

④   アクセスコントロールの確認

⑤   アカウント（パスワード）の確認

⑥   脆弱性の確認

ログとコンテンツの調査: Log Parser

　ログやコンテンツの確認のための方法は色々とあるのだが、今回は、マイクロソフトが無償で公開しているツールLog Parserを使った調査方法を紹介する。

　Log Parserは、SQLに似た構文を使って、汎用性の高いログ分析を行うことが出来るツール。基本的な入力として、Webサーバーのログ（IIS, W3C, NCSA等）、イベントログ、ファイルシステム、NETMON, CSV, TSVなどが用意されており、出力は、CSV,TSV, XML, グラフ(CHART)、SYSLOGなどが用意されている。入力、出力とも拡張が可能で、たとえばPCAPの分析や、snortのログも扱うことができる。
　Log Parserは、任意のフォルダーで実行できるので、USBメディアや、ネットワーク共有を使って実行出来る点も、使いやすいと考えている。 

Log Parser 2.2 日本語版
http://technet.microsoft.com/ja-jp/scriptcenter/dd919274

 　Log Parserがグラフ（CHART）を出力するためには、”Office 2003 アドイン : Office Web Components”が必要となる。これも合わせてインストールする。なお、OfficeWeb
Componentsには、既知の脆弱性があるので、忘れずにセキュリティ更新も行う。 

Office 2003 アドイン :Office Web Components
http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=7287252C-402E-4F72-97A5-E0FD290D4B76&displaylang=ja

 　Log Parserの使い方は、パラメーターなしでlogparser.exeを実行するとことで確認出来る。詳しく取り上げたいところだが、今回は、コマンドの説明は割愛させていただく。logparser –h EXAMPLES と入力することで、豊富な使用例を見る事も出来るのでこちらも参考にしていただきたい。

　また、洋書ではあるが、”LOGParser Toolkit[2]” という書籍が出版されている。こちらの書籍も大変参考になる。目的に応じた多数の例示があるため、英語が苦手な方でも、理解しやすい内容になっていると思う。このBLOGの中で紹介している使用例も、この書籍で紹介されている使い方をベースとしている。

 　以下、Log Parserを使った分析例をいくつか紹介したい。

イベントログ：システムイベントの推移

　このグラフは、Log Parserを使って イベントログのSystemイベントの総数を日次で集計しグラフ化したもの。3/12にイベントが極端に増えているが、これは東日本大震災の影響による電波時計の停止、停電に備えた電源対策作業が主要なイベントとなっている。この例のように、システムの環境を大局的に見ることに加えて、日時や、イベントの種類、成功・失敗などを使った、詳細な分析を行うこともできる。

　このグラフは、この連載でも取り上げている標的型攻撃の検出にも有効かもしれないと考えている。MVP Open Dayで、MVPの方と標的型攻撃の見つけ方を議論させていただいたのだが、侵入に成功した際に、Active　Directory等の認証サーバーが攻撃されることが多い事から、認証サーバーのSYSTEMイベントの総数の変化が、侵入をみつけるヒントとして有力ではないかという考えの方が少なくなかった。検証を行ったわけではないので効果のほどは分からないが、以下のコマンドを認証サーバーで実施するだけなので簡単なコマンドで分析が行えるので、試してみる価値はあるように思う。もっとも、認証サーバーにOffice Web Componentsを入れるの無理があるので、リモートで実施するか、いったんCSV等に出力して、EXCEL等でグラフ化するのが現実的かもしれない。

グラフを生成したコマンド

ファイルシステム：ファイル拡張子の調査

この表は、試験的に稼働させたIISのinetpub\webroot以下のファイルの拡張子を集計したもの。この例では、’.txt’,　‘xlsx’という公開情報として見つかっている。もちろん、これ等のファイルを公開することもあるのだが、個人情報を含むファイルをうかつにおかれている可能性もある。webroot以下の全てのファイルを確認するのが理想ではあるが、ファイル数が多いと現実的ではないので、このような手法で、確認すべきファイルを絞り込んでいく事も、有効な手法と考えている。

上記集計は、以下のSQL文とコマンドを使って実行している。

このような集計が出たなら、問題となりそうな拡張子を持つファイルを特定する必要がある。Log Parserでは、以下のようなSQL文を使って、特定の拡張子を持つファイルを検索することも出来る。

まとめ

　今回は、ログやコンテンツを調査するためのツールとして、Log Parserを紹介させていただきました。コンテンツの調査については、今回紹介した内容だけでも、試してみる価値があるように思います。

　次回は、Log Parserを使った、ファイルシステム、ログ、イベントログの調査について紹介をする予定です。

先週の事前通知でお伝えした通り、セキュリティ情報 計 4 件 (緊急 1 件、重要 2 件、警告 1 件) を公開しました。11 月は、Windowsがセキュリティ更新プログラムの適用対象になります。

■セキュリティ アドバイザリ 2639658 「TrueType フォント解析の脆弱性により、特権が昇格される」の対応について

11 月度のセキュリティ更新プログラムでは、11 月 4 日に公開したセキュリティ アドバイザリ 2639658 の問題には対応しておりません。マイクロソフトは、調査が完了次第、適切な対応を実施する予定です。この脆弱性は、Duqu マルウェア (英語情報) に関連しています。現時点ではお客様に高いリスクをもたらすものではないと考えていますが、Duqu マルウェアの脅威から保護するために、ウイルス対策ソフトの定義ファイルを最新の状態にしてください。Duqu マルウェアは、Trojan:WinNT/Duquファミリや、より広範囲に対応した Exploit:Win32/CVE-2011-3402 で対応しています。また、セキュリティ アドバイザリ 2639658 に記載された回避策も併せて実施することをご検討ください。

■2011 年 11 月のセキュリティ情報:
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-nov

■最新のセキュリティ情報を動画と音声でまとめて確認

マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

マイクロソフトの無料マルウェア対策ソフト Microsoft Security Essentials (通称 MSE) が 2009 年 9 月に一般にご利用可能になってから早くも丸 2 年が経ちました。

この MSE の次期バージョンのベータ版が今年の年末を目途にご利用可能になる予定で、現在ベータ版を評価していただける方々を募集中です。MSE 次期バージョンのベータ版では、ユーザー操作不要のより強化されたマルウェア駆除、パフォーマンスの改善、より使いやすいシンプルな UI や改善された保護エンジンが搭載されています。

なお、ベータ プログラムにご参加いただける方の数には限りがございますので、ご参加希望の方は、早めにこちらの登録サイトよりサインアップしてください (ご参加いただくには Live ID が必要です)。ご参加が確定した方には、後日ベータ版ダウンロードのご案内が届きます。次期バージョンの MSE をいち早く試してみたい方、是非ご参加ください。

現在の最新版 MSE は Microsoft Security Essentials のサイトから無料でインストール可能です。一般のご家庭はもちろん、PC が 10 台までの小規模ビジネス環境でもお使いいただけます。PC が 10 台以上のビジネス環境へは、Microsoft Forefront 製品 の導入をご検討ください。

[2011/12/6 追記]
MSE 次期バージョンのベータ版がご利用可能になりました。なお、ベータ版をご利用いただく注意点として、MSE ベータ版は英語版のみの提供となり、技術サポートは提供しておりませんので、ご自身の検証環境において、自己責任にてお試しいただけますようお願いします。

本日、マイクロソフトは、Duqu マルウェア (英語情報) に関連する Windowコンポーネント、TrueType フォント解析エンジンの脆弱性に関する新しいセキュリティ アドバイザリ 2639658 を公開しました。このアドバイザリでは、Windows システムへの回避策を自動化した Microsoft Fix it ソリューションを提供しています。この Microsoft Fix it ソリューションはサポート技術情報 2639658 (日本語訳は現在準備中です) からご利用可能です。

現時点では、この脆弱性を悪用した標的型攻撃は限定的であり、お客様への影響も低いと考えます。しかし今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。マイクロソフトは、ご利用可能なった回避策の適用、またはお使いのウイルス対策ソフトの定義ファイルを引き続き常に最新の状態に更新してシステムを保護されることを推奨します。

また、マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。来週 11/9 (水) の 11 月の月例セキュリティ更新日にはご利用可能になりませんが、お客様に提供可能な状態になり次第、提供を開始する予定です。

本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。

本日、マイクロソフトは、DigiCert Sdn. Bhd の証明書に関する セキュリティ アドバイザリ 2641690 を公開しました。

マイクロソフトは、Entrust および GTE CyberTrust の下位の証明機関 (CA) である DigiCert Sdn. Bhd が、脆弱な 512 ビット キーを使用した 22 個の証明書を発行していることを確認しています。脆弱な暗号キーは、破損した場合に、攻撃者がこれら証明書を悪用して、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対してコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。現時点では、証明書が不正に発行されたことを示す手がかりはありませんが、脆弱な暗号キーの性質上、攻撃者がこれら証明書を複製して不正な行為を行うことが可能となります。

更新プログラムのインストールについて:
これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトは影響を受けるすべてのサポートされているリリースの Microsoft Windows に対して DigiCert Sdn. Bhd への信頼を失効させる更新プログラムを提供しています。この更新プログラムは、次の 2 つの中間証明機関による証明書を失効させます。

• Entrust.net Certification Authority (2048) によって発行された、Digisign Server ID – (Enrich)
• GTE CyberTrust Global Root によって発行された、Digisign Server ID (Enrich)

この更新プログラムは「重要な更新プログラム」として、Windows Update で配布されます (WSUS や SCCM も同様)。自動更新を有効にしているお客様は、この更新プログラムが自動的にダウンロードされインストールされるため、特別な操作を行う必要はありません。自動更新を有効にしていない場合、この更新プログラムを Windows Update で手動で確認し、インストールする必要があります。また、サポート技術情報 2641690 からも手動でダウンロードできます。

注: この更新プログラムはセキュリティ更新プログラムではないため、検出に WSUSSCN2.CAB を使用する SMS ITMU や MBSA などのツールでは、当更新プログラムは検出されません。お客様は、カスタム パッケージを作成して、この更新プログラムを展開する必要があります。

関連情報
マイクロソフト セキュリティ アドバイザリ (2607712)
http://technet.microsoft.com/ja-jp/security/advisory/2641690

サポート技術情報 2641690
http://support.microsoft.com/kb/2641690

皆さん、こんにちは！今月のマイクロソフトワンポイントセキュリティ情報担当者です。
先ほど 11 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

本日 11 月 9 日に公開した新規 4 件 (緊急 1 件、重要 2 件、警告 1 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日再リリースした 2 件のセキュリティ情報 MS11-037、MS11-071 やセキュリティアドバイザリ 2269637 の更新の概要についても、併せて説明していますので、概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

2011 年 11 月 9 日に予定している月例のセキュリティ リリースについてのお知らせです。

来週水曜日に公開を予定している新規月例セキュリティ情報は、合計 4 件 (緊急 1 件、重要 2 件、警告 1 件) です。 

また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-nov

補足：

2011 年 11 月 4日、Duqu マルウェアに関連する Window カーネルのセキュリティ アドバイザリ 2639658 (英語版) を公開しました。現在、日本語版を準備中です。公開されましたら、このブログでお知らせいたします。