日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
マイクロソフトは、2012 年 1 月SSL/TLS の脆弱性 (CVE-2011-3389) を解決するセキュリティ更新プログラム MS12-006 を公開しました。この脆弱性は、SSL プロトコルと TLS プロトコルに関するもので、業界全体で対応が進められています。しかし、残念ながら、脆弱性の修正により互換性の問題が生じ、Internet Explorer を含むブラウザーで一部の Web サイトに対する HTTPS 接続ができなくなるなどの影響が出ました。そもそも、この脆弱性はどういった内容で、なぜ問題が起きたか、問題が起きた後にはどう対処すればよいかについて解説します。
脆弱性の概要
SSL/TLS の CBC (ブロック暗号化) モードの脆弱性の存在は、10 年ほど前から知られていました。しかし、理論上は暗号を破ることが可能なものの効率的な攻撃方法は見つかっていませんでした。ところが最近、Juliano Rizzo、Thai Duong の両氏によって SSL/TLS で保護された通信に対する情報解読攻撃について詳述した論文が公開されました。これは、下記の条件が整っている場合、HTTPS 通信の一部の内容が解読可能になるというものです。
CBC モード (データをブロック単位で暗号化する方式) でブロック内のデータのすべてが不明な場合、解読は非常に困難ですが、1 バイトだけ不明で残りのデータは判明している場合、1 バイトの情報をブルートフォース (総当たり攻撃) で解読することが可能です。そして今回発表された攻撃方法は、SSL/TLS で暗号化されていてもパケットの中身が推測可能という HTTP 通信の特徴を利用して、1 バイト解読を繰り返すことで、一定時間内に Cookie などの短いデータを解読するというものです。
MS12-006 では、レコード分割方式 (Split) にするという方法で修正しています。Google Chrome など SSL/TLS をサポートするブラウザーも同じ方法で修正されています。
適用後なぜ問題が発生したか
MS12-006 で行われた修正は、RFC 2246、RFC 6101 に基づいた修正であるため、すべてのアプリケーション、ハードウェア機器が正しく実装されていれば問題は発生しません。しかし、現実問題として、プロトコルの動作変更をしているため動作しなくなるアプリケーションが見つかる可能性が十分にあります。そのため、マイクロソフトは社内および SUVP (Security Update Validation Program) と呼ばれるパートナー プログラムを通じで多くのアプリケーションおよびデバイスとの互換性評価を行ってきました。しかし、残念ながら、MS12-006 一般公開後、ある特定の環境でレコード分割方式に対応できず、HTTPS 通信ができなくなる問題が報告されました。
対処方法
HTTPS 通信ができなくなる問題が発生した場合、次のいずれかの対処方法が有効です。
一時的な回避策 (上記対処が完了するまでの間)
その他参考資料
2011 年、特定の企業や政府機関を標的とした標的型攻撃メールが数多く見られました。その手法として、メールに実行形式ファイルや文書ファイル(PDF、Word など)を添付し、ユーザーを騙してファイルを開かせ、PC にマルウェアを感染させることによって機密情報を盗むという手法が見られました。
標的型攻撃メールでは、詐欺的手法やソフトウェアの既知の脆弱性が悪用されることが多く、その対策方法として、従業員の教育とすべての PC にセキュリティ更新プログラムを素早く確実に適用することが最も有効です。しかし、万がいちのゼロデイ攻撃 (※1) に備えたい、より Microsoft Office 製品のセキュリティを強化したいという場合、マイクロソフトが提供する MOICE が有効です。
MOICE とは?
MOICE (Microsoft Office Isolated Conversion Environment) は、Microsoft Office のセキュリティ機能で、古い Office 97-2003 形式ファイル (doc, xls, ppt) を Open XMLフォーマット (docx, xlsx, pptx) に変換します。これにより、悪意のあるソフトウェアを埋め込んだ Office ファイルの脅威から身を守ることができます。
標的型攻撃に使用される Office 文書のほとんどが古い Office 97-2003 形式です。その理由は、Office 2007 以降の形式は XML 書式となっておりマルウェアをファイルに埋め込むことが非常に困難なためです。MOICE を有効にすると、ファイルを開く際に自動的にOffice 97-2003 形式 から XML 書式に変換されるため、ファイル中にマルウェアが含まれていた場合でも、図1 のダイアログボックスを表示し被害を未然に防ぐことができます。
図1. MOICE でマルウェアが含まれたファイルを開いたときに表示されるダイアログボックス
MOICE の効果
2011 年、マイクロソフトは、Office 2003、Office 2007、Office 2010 の脆弱性をそれぞれ 24 件、23 件、11 件 修正しました (※2)。MOICE および DLL プリロードの対策を事前に実施しておくことで、仮にセキュリティ更新プログラムをインストールしていなかったとしても、図2 のように約 9 割近くの脆弱性の悪用を防ぐことができます。そのため、ゼロデイ対策にも有効です。
図2 . 2011 年、マイクロソフトが公開した Office の脆弱性のうち MOICE と DLL プリロード対策の効果の内訳
なお、2011 年に確認された標的型攻撃メールで、Office の脆弱性で悪用されたものの多くは、RTF のスタック バッファ オーバーフローの脆弱性 (CVE-2010-3333 の脆弱性) でした。この脆弱性も MOICE により悪用を防ぐことができます。
MOICE の展開
MOICE を展開するには、以下の条件を両方満たしている必要があります。
また、MOICE 機能を有効にするには、コマンド プロンプトで下記のコマンドを実行する必要があります。社内で展開するには、グループポリシーを活用するとよいかもしれません。
MOICE を有効にするには、コマンド プロンプトから次のコマンドを実行します。
Word 用
ASSOC .doc=oice.word.document
Excel 用
ASSOC .XLS=oice.excel.sheet
ASSOC .XLT=oice.excel.template
ASSOC .XLA=oice.excel.addin
PowerPoint 用
ASSOC .PPT=oice.powerpoint.show
ASSOC .POT=oice.powerpoint.template
ASSOC .PPS=oice.powerpoint.slideshow
MOICE を無効にするには、コマンド プロンプトから次のコマンドを実行します。
ASSOC .doc=Word.Document.8
ASSOC .xls=Excel.Sheet.8
ASSOC .xlt=Excel.Template
ASSOC .xla=Excel.Addin
ASSOC .ppt=PowerPoint.Show.8
ASSOC .pot=PowerPoint.Template.8
ASSOC .pps=PowerPoint.SlideShow.8
MOICE を使う上での注意点
まとめ
標的型攻撃メールに対応するには、教育、適切なアップデートが重要ですが、MOICE などのセキュリティ機能を使うことにより、よりシステムを安全にすることができます。ぜひ MOICE を活用してみてはいかがでしょうか?
※1:セキュリティ更新プログラムが存在しない状況で攻撃が行われること※2:2011 年に公開された、Excel、PowerPoint、Office の脆弱性の数を含めています。ここでは、標準でインストールされていない Visio、Publisher の脆弱性は含めていません。
更新 2012/2/1
MOICE を無効にする方法の訂正 : 「ASSOC .PPS=oice.powerpoint.slideshow」 -> 「ASSOC .pot=PowerPoint.Template.8」
先週の事前通知でお知らせしましたとおり、計 7 件 (緊急 1 件、重要 6 件) のセキュリティ情報を公開しました。
■今月のセキュリティ リリースで対応したセキュリティアドバイザリ:
「マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる」の問題について「セキュリティ情報 MS12-006: SSL/TLS の脆弱性により、情報漏えいが起こる」で対応しました。
この脆弱性は、昨年公開しました「セキュリティ情報 MS11-099: Internet Explorer 用の累積的なセキュリティ更新プログラム」と関連しており、Internet Explorer 経由の Web ベースの攻撃方法から防御するには、MS12-006 および MS11-099 の両方のセキュリティ更新プログラムをインストールする必要があります。
■2012 年 1 月の セキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jan
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア:
MS12-001
Windows カーネルの脆弱性により、セキュリティ機能のバイパスが起こる(2644615)
重要
セキュリティ機能のバイパス
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS12-002
Windows オブジェクト パッケージャーの脆弱性により、リモートでコードが実行される (2603381)
リモートでコードが実行される
再起動が必要な場合あり
Microsoft Windows XP および Windows Server 2003
MS12-003
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2646524)
特権の昇格
Microsoft Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008
MS12-004
Windows Media の脆弱性により、リモートでコードが実行される (2636391)
緊急
MS12-005
Microsoft Windows の脆弱性により、リモートでコードが実行される (2584146)
MS12-006
SSL/TLS の脆弱性により、情報漏えいが起こる (2643584)
情報漏えい
MS12-007
AntiXSS Library の脆弱性により、情報漏えいが起こる (2607664)
開発ツールおよびソフトウェア
注:上記のサマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの全一覧は、下記リンクのセキュリティ情報のサマリの Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。
□MS12-001 についてWindows のセキュリティ機能のひとつである SafeSEH 機能がバイパスされます。MS12-001 の脆弱性で直接的にシステムが侵害されることはありませんが、他の脆弱性が悪用されシステムが侵害された場合に、SafeSEH セキュリティ機能で保護されることなく、攻撃を受ける可能性があります。
□MS12-003 についてWindows の言語バージョンが、日本語版、韓国語版または中国語版のシステムのみがこの脆弱性の影響を受けますが、コンピューターの言語構成に関わらず自動更新からこれらのパッケージが提供されます。
□MS12-006 について上述のとおり、「セキュリティ情報 MS11-099: Internet Explorer 用の累積的なセキュリティ更新プログラム」と関連しています。脆弱性を解決するには両方の更新プログラムをインストールしてください。
□MS12-007 についてこの更新プログラムは、影響を受けない新バージョンの Microsoft Anti-Cross Site Scripting Library (AntiXSS Library バージョン 4.2) にアップグレードします。このアップグレード プログラムは、マイクロソフト ダウンロード センターでのみ入手可能です。
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
■MS11-100 について昨年末に .NET Framework の脆弱性を解決する「セキュリティ情報 MS11-100: .NET Framework の脆弱性により、特権が昇格される」を公開しました。他の更新プログラムに比べ、.NET Framework の更新プログラムのインストールは時間がかかる場合があります。インストールが完了していない状態で電源を落とすと、システムのファイルが破損し、以後インストールに失敗するなどのトラブルが発生する可能性が高くなります。決して電源ボタンを押して電源を切ったりせず、自動で電源が落ちるまで待ってください。インストールに関する詳細は、「.Net Framework セキュリティ更新プログラムのインストールに関する注意」をご覧ください。
皆さん、こんにちは!
寒い日が続きますが、皆さんはいかがお過ごしですか?
さて、セキュリティチームでは従来の “日本のセキュリティ Blog”、“Twitter”、“セキュリティ警告サービスのメール”、“セキュリティ ニュースレター”、“Microsoft セキュリティ センター” での情報発信に続き、Facebook での情報発信も開始しました。
Facebookの特長を生かしたコミュニケーションも積極的に行って参ります。
Facebookのアカウントをお持ちの方は、ぜひ、下記リンクから「いいね!」 をクリックして、ご参加ください!
その他、セキュリティチームより情報発信している媒体は以下のとおりですので、こちらもご購読をよろしくお願いいたします!
それでは、皆さんも風邪など引かぬようご自愛くださいませ。
皆さん、こんにちは!先ほど 1 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日 1 月 11 日に公開した新規 7 件 (緊急 1 件、重要 6 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています 。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。 「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上の フィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャスト は以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
2012 年 1 月 11 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 1 件、重要 6 件) です。 また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jan
影響を受けるソフトウェア*
セキュリティ情報 1
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
セキュリティ情報 5
セキュリティ情報 6
セキュリティ情報 7
マイクロソフト開発者ツールおよびソフトウェア
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記リンクの「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。