日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。今回のセキュリティ更新プログラムでは、4件の脆弱性が修正されています。このうち3件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1件の ASP.NET の脆弱性の報告を受け、本日、4件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。MAPP (Microsoft Active Protection Program) の対応今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に Vulnerability:Win/ASPNET.POST.DoS!CVE-2011-3414 として定義ファイルが作成されています。
また、12 月 29 日のブログで、この脆弱性はいくつかの Web アプリケーションベンダーについても影響を与えることをお伝えしましたが、MAPP で共有された情報により、マイクロソフト製品だけでなく、他社の Web アプリケーションについても、MAPP パートナーの IPS/IDS 製品をご利用の場合、脆弱性を悪用した攻撃からシステムを保護することができます。MS11-100 の定例外のセキュリティ更新プログラムは、本日 2011 年 12 月 30 日よりダウンロードセンターのほか、自動更新、Microsoft Update, Windows Update, WSUS経由で提供されます。参考情報
先週の事前通知でお知らせしました件数から 1 件減り、計 13 件 (緊急 3 件、重要 10 件) のセキュリティ情報を公開しました。
■今月のセキュリティ リリースで対応したセキュリティアドバイザリ:
「マイクロソフト セキュリティ アドバイザリ 2639658: TrueType フォント解析の脆弱性により、特権が昇格される」の問題について「セキュリティ情報 MS11-087: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される」で対応しました。
「セキュリティ アドバイザリ 2269637: 安全でないライブラリのロードにより、リモートでコードが実行される」を更新し、「MS11-094 Microsoft PowerPoint の脆弱性により、リモートでコードが実行される」および「MS11-099 Internet Explorer 用の累積的なセキュリティ更新プログラム」を安全でないライブラリのロードに関連する更新プログラムとして追加しました。
「マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる」の問題について、事前通知の際のブログでは、今月のセキュリティ リリースで対応するとお伝えしましたが、セキュリティ更新プログラムの品質テストの過程でサードパーティ製ソフトウェアに影響する互換性の問題が見つかったため、今月の公開は見合わせることになりました。なお、このセキュリティアドバイザリ 2588513 で説明している脆弱性の悪用を試みる攻撃は現時点では確認していません。
■2011 年 12 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec
※ 「MS11-088 Microsoft Office IME (中国語版) の脆弱性により、特権が昇格される」のセキュリティ更新プログラムは、中国語版の IME のみが適用対象ですので、日本語版の IME をお使いの環境は適用不要です。
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア:
MS11-087
Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2639417)
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS11-088
Microsoft Office IME (中国語版) の脆弱性により、特権が昇格される (2652016)
重要
特権の昇格
再起動が必要な場合あり
Microsoft Pinyin IME 2010 がインストールされた Microsoft Office 2010, Office Pinyin SimpleFast Style 2010, および Microsoft Office Pinyin New Experience Style 2010.
MS11-089
Microsoft Office の脆弱性により、リモートでコードが実行される (2590602)
Microsoft Office 2007, Office 2010, および Office for Mac 2011.
MS11-090
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2618451)
MS11-091
Microsoft Publisher の脆弱性により、リモート コードが実行される (2607702)
Microsoft Publisher 2003 および Publisher 2007.
MS11-092
Windows Media の脆弱性により、リモートでコードが実行される (2648048)
Microsoft Windows XP、Windows Vista および Windows 7
MS11-093
OLE の脆弱性により、リモートでコードが実行される (2624667)
Microsoft Windows XP および Windows Server 2003
MS11-094
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (2639142)
Microsoft PowerPoint 2007, PowerPoint 2010, Office 2008 for Mac.
MS11-095
Active Directory の脆弱性により、リモートでコードが実行される (2640045)
MS11-096
Microsoft Excel の脆弱性により、リモートでコードが実行される (2640241)
Microsoft Excel および Office 2004 for Mac.
MS11-097
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2620712)
MS11-098
Windows カーネルの脆弱性により、特権が昇格される (2633171)
Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, および Windows 7.
MS11-099
Internet Explorer 用の累積的なセキュリティ更新プログラム (2618444)
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer
注: 上記のサマリの表に記載している影響を受けるソフトウェアの一覧は要約です。関連するコンポーネントのすべてのリストは、セキュリティ情報 Web ページの 「影響を受けるソフトウェア」のセクションを参照してください。
■印刷機能がご利用いただけるようになりましたスクリーン右上に表示されている (下図赤枠内の) プリンター記号をクリックしていただくことで、すべて展開表示された印刷に適したページが表示され、印刷機能が動作します。印刷を続行する場合は、[印刷] ボタンを、中止する場合は、[キャンセル] ボタンをクリックしてください。
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
2011 年 10 月、Microsoft Computing Safety Index (MCSI) という、オンライン セーフティの自己診断ツールが公開されました。
これは、Microsoft の Trustworthy Computing (TwC) グループが開発したもので、ユーザーが自身のPCの設定やオンライン上の行動に関する質問に回答することによって、どの程度オンライン上での安全を確保できているかということを測るためのツールです。
実際の診断ページはこちら(英語)で、
「ソフトウェア更新プログラムの自動更新を有効にしているか」
「コンピューターの Firewall は有効になっているか」
などの質問項目から成り、数分 ~ 5 分程度で診断できるようになっています。
診断結果は 0 ~ 100 点で表示され、スコアに応じて使用すべきツールや参考資料へのリンクが提供されます。
また、TwC では、米国、英国、フランス、ドイツ、ブラジルの 5 か国で行われた診断結果約 2,000 回答分を分析した結果を発表しました。
スコアの平均は 34 点で、大半の回答者がインターネット上での安全を守るために何らかの対策を講じているものの、まだ改善の余地があるようです。
また、分析結果から以下のことがわかりました。
○ 62% が、不審者からメールで個人情報を尋ねられたことがある(過去 12 か月以内)
○ 53% が、アドウェアやスパイウェアに感染したことがある(過去 12か月以内)
○ 51% が、にウイルスやボットに感染したことがある(過去12 か月以内)
○ 44% が、自分自身に関する情報がどれだけオンラインで入手可能なのか不安に思っている
○ PC のセキュリティ対策ソフトウェアを信頼しているのはわずか 26% に過ぎない
詳しい調査結果(英語)は以下のリンクからダウンロードできますので、興味のある方はぜひ読んでみてください。
◇ 5 か国における調査結果 (PDF) : http://go.microsoft.com/?linkid=9786496
◇ MCSI 調査結果 (PPT) : http://go.microsoft.com/?linkid=9787130
また、IPAも企業向けに「組織の情報セキュリティ対策自己診断テスト」という診断ページを公開しています。
◇ URL: http://www.ipa.go.jp/security/benchmark/index.html
こちらは、42の質問に回答することで自社のセキュリティ ポリシーが有効か、取り組みの課題が何かを把握できるような診断結果が得られます。回答には30分程度を要します。
設問に含まれる企業規模、業種、従業員数、IT 依存度に関する質問の回答結果から、セキュリティ レベル別に 3 つの企業グループに分けられたうえで、そのグループの水準と比較した自社組織のスコアが詳細に割り出されます(こちらが実際の診断結果のサンプルPDFです)。
自分の組織の現状を手軽かつ的確に知るためには有効なツールだと思いますので、一度試してみてはいかがでしょうか?
今年最後となる 12月度の月例セキュリティ リリースも終わり、今年 1 年のセキュリティ リリースの振り返りをしてみたいと思います。2011 年は、合計 99 件のセキュリティ情報を公開し、計 232 件の CVE に対応しました。セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークにやや減少傾向にあります (図1)。
図 1: 半期ごとのセキュリティ情報公開数および CVE 対応数 (2006 年上半期 ~ 2011 年下半期)
緊急度の高いセキュリティ情報の減少
セキュリティ情報には「緊急」「重要」「警告」「注意」の 4 段階の深刻度を設定していますが、2011 年は 4 段階で最も高い「緊急」の割合が、全体の 3 分の 1 に留まりました (図 2)。これは、2003 年に月例のセキュリティ リリースを始めて以来初のことです。また、絶対数においても「緊急」のセキュリティ情報の数は 2006 年以降初めて最少となっています (図 3)。
マイクロソフトは 2002 年の「信頼できるコンピューティング」宣言以来、よりセキュアな製品の開発に力を入れてきました。製品自体の脆弱コードを減らす努力に加え、脆弱性が悪用されにくい製品の開発 (既定では実行がブロックされる、実行にはユーザーの操作を介す等) に力を入れており、この結果、お客様に与える影響をより低く抑えることができてきていると分析しています。
図 2: 深刻度別セキュリティ情報の割合 (2004 年 ~ 2011 年)
図 3: 深刻度別セキュリティ情報の数 (2004 年 ~ 2011 年)
定例外のリリース 0 件
2011 年、定例外 [i] で公開したセキュリティ情報は 0 件でした。過去数年、定例外のセキュリティ情報のリリースは、年 2-3 件というのが定番でした。0-day [ii] などで感染活動が拡大しておりユーザーへの危険性が高い場合のみ定例外リリースを検討するのですが、この不定期なリリースによるお客様のビジネス継続へのインパクトも理解しており、定例外リリースというものをより慎重に捉えるようにしてきています。より進んだ脅威の観測や分析、回避策の提供、Microsoft Active Protection Program (MAPP) を通じての保護策の提供、開発チームの努力なども、マイクロソフトが定例でセキュリティ情報を公開できている大きな理由です。
2012 年、社内および業界での連携をより一層強化して、お客様がより安全に安心してコンピューターを使用いただけるよう努めてまいります。皆様よい年末、そして新年をお迎えください。
参考
A look back at 2011’s security landscapehttp://blogs.technet.com/b/msrc/archive/2011/12/13/a-look-back-at-2011-s-security-landscape.aspx
[i] 月例のセキュリティ情報公開日以外に緊急でセキュリティ情報を公開すること
[ii] セキュリティ更新プログラムが提供される前に、その脆弱性に対する攻撃が行われたり、悪用する不正プログラムが出現すること
本日マイクロソフトは、Webアプリケーションがサービス拒否となる脆弱性に関するセキュリティ アドバイザリ 2659883 を公開しました。この脆弱性は、いくつかの Web アプリケーションベンダーに影響を与えますが、マイクロソフト製品では ASP.NET を含む IIS サーバーが脆弱性の影響を受けることを確認しています。現在、マイクロソフトはこの問題を解決するセキュリティ更新プログラムを開発中です。現時点ではこの脆弱性が悪用されたとの報告は受けておりませんが、マイクロソフトはこの脆弱性に関する詳細情報が一般に公表されていることを確認しています。
マイクロソフトは、セキュリティ更新プログラムがご利用可能になり次第、脆弱性の影響を受ける製品に対して早急にセキュリティ更新プログラムを適用することをお勧めします。この問題の影響を受ける環境や回避策などの詳細は、セキュリティ アドバイザリ 2659883をご参照ください。
脆弱性の概要
今回公表された脆弱性は、一般的に”ハッシュ衝撃攻撃 (Hash Collision Attack)” と呼ばれ、マイクロソフトのテクノロジーだけでなく、その他ベンダーの Web アプリケーションにも影響を与えます。マイクロソフト製品においては、攻撃者によって送信された細工した HTTP リクエストパケットを ASP.NET の Web サイトで受信するだけで、Web サイトの CPU リソースが一定時間 100% 消費されサービス拒否の状態になります。
マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。また、今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。
本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。
関連情報
寒い日が続きますね。初詣の CM が流れたり、街では歳末大売り出しののぼりや福引を見かけるようになりました。すっかり年末ムードがただよっていますね。
早い方は、もう年末年始休暇という方もいらっしゃるでしょうか?
休暇中は、普段よりもインターネットを利用する時間が長くなり、普段に比べて色々なトラブルや被害に遭う可能性も増えます。またこの時期は、クリスマス カードや年賀状などのグリーティング カードを電子メールで送りあうことも多く、特に電子メール経由での感染という点でも注意していただきたいところです。
日ごろから基本のセキュリティ対策を行い、セキュリティ知識を身につけることで、被害に遭わないようにしていきましょう。
<<ツールを活用する>>ツールを活用して、以下 3 つの基本のセキュリティ対策を行ってください。アクション センターや Windows セキュリティ センターで、それぞれの状態の確認や設定変更ができます。
また、迷惑メールを減らすために、以下の 6 つの対策を検討してください。詳しくは、「Hotmail: 改良された新セキュリティ機能について」を参照してください。
それでは、みなさま良いお年をお迎えください。
関連リンク
▼ 長期休暇の前に ~セキュリティ対策のお願い~
▼ セキュリティ対策の基本をビデオで確認する
2011 年 12 月 14 日に予定している月例のセキュリティ リリースについてのお知らせです。 来週水曜日に公開を予定している新規月例セキュリティ情報は、合計 14 件 (緊急 3 件、重要 11 件) です。
今月のセキュリティ リリースでは、次のセキュリティ アドバイザリの問題に対応する予定です。
また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。 http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec
影響を受けるソフトウェア*
セキュリティ情報 1
Microsoft Windows
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
情報漏えい
セキュリティ情報 5
Microsoft Office
セキュリティ情報 6
セキュリティ情報 7
セキュリティ情報 8
セキュリティ情報 9
セキュリティ情報 10
セキュリティ情報 11
セキュリティ情報 12
セキュリティ情報 13
Microsoft Windows、Internet Explorer
セキュリティ情報 14
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの全一覧は、上述の「事前通知のサイト」のリンク先から「影響を受けるソフトウェア」のセクションをご覧ください。
皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日 12 月 14 日に公開した新規 13 件 (緊急 3 件、重要 10 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
マイクロソフトは、「セキュリティ アドバイザリ2659883」で説明している ASP.NET の脆弱性を解決する定例外のセキュリティ更新プログラムを公開する予定です。現時点では、セキュリティ更新プログラムを 2011 年 12 月 30 日 (日本時間) に公開する予定です。この ASP.NET の脆弱性は、既に詳細情報が一般に公開されており、深刻度は緊急と評価しています。影響を受ける ASP.NET はすべてのバージョンの .NET Framework です。現時点でマイクロソフトは攻撃を確認していませんが、お客様におかれましては、セキュリティ更新プログラムが公開されしだい、早急にテストを行い、適用することをお勧めします。公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec-ans