March, 2012

はじめに

マイクロソフトは、2012 年 3 月 14 日、リモート デスクトップ プロトコル (RDP) の脆弱性を修正するセキュリティ更新プログラム MS12-020 を公開しました。影響を受ける OS のバージョンは、すべてのサポートしているバージョンの Windows です。リモートデスクトップを有効にしているコンピューターで、脆弱性を悪用したRDP通信パケットを受信すると、任意のコードが実行される可能性があります。現時点では攻撃を確認していませんが、30 日以内に有効な攻撃コードが出現する可能性が高いと考えています。お客様におかれましては、早急にセキュリティ更新プログラムを適用することをお勧めします。

RDP の脆弱性の内容、対応方法、気を付けておくべき点など、疑問になるだろうと思われる点について Q&A 形式でまとめました。

Q&A
Q.　CVE-2012-0002 「リモート デスクトップ プロトコルの脆弱性」の脆弱性を悪用した攻撃・マルウェアは確認されていますか？
A.　現時点 (2012 年 3 月 17 日) では確認していません。

Q.　MS12-020 の修正は、リモート デスクトップの接続する側の修正ですか、それとも接続される側の修正ですか？
A.　リモート デスクトップの接続される側の修正です。つまり、ポート 3389 をリッスンしているコンピューターが影響を受けますので、接続される側にセキュリティ更新プログラムを適用する必要があります。

Q.　具体的にはどのような修正が加えられていますか？
A.　リモート デスクトップ プロトコルのパケットを処理する方法を修正しています。

Q.　回避策にはどのようなものがありますか？
A.　以下の回避方法があります。詳細については、MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。

• リモートデスクトップ、ターミナルサービスを無効にする
• エンタープライズの境界領域のファイアウォールで、TCP ポート 3389 をブロックする
• ネットワーク レベル認証を有効化する (Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 でサポート)

Q.　ネットワーク レベル認証とはなんですか？
A.　これは、RDP通信を行う前 (リモートデスクトップの画面が表示される前) に認証を行う動作です。リモートデスクトップ有効時にこの設定を選択しておくと、危険性を緩和することができます (攻撃が成功するためには、ユーザー名とパスワードを知っていることが前提となるため)。

Q.　簡単にネットワーク レベル認証の設定にする方法はありますか？
A.　サポート技術情報 2671387 に公開されている、Fix it ツールを活用することで、簡単にネットワークレベル認証に設定することができます。

Q.　Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にするにはどうすればよいですか
A.　セキュリティ情報 MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。

Q.　Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にしたときの影響はありますか？
A.　ネットワークレベル認証をサポートしていない、Windows XP および Windows Server 2003 クライアントが、RD セッション ホスト サーバーに接続できなくなります。ただし、CredSSP 機能を有効にすると、Windows XP クライアントは接続可能になります。詳細については、サポート技術情報 951608 をご参照ください。

Q.　MS12-020 を適用することで、ネットワーク レベル認証の設定は有効になりますか？
A.　MS12-020 を適用しても、設定は有効になりません。

Q.　Windows XP でネットワーク レベル認証を利用できますか？
A.　利用できません。Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 で利用可能です。

Q.　リモート デスクトップ接続のポート番号を 3389 から別のポート番号に変更することは可能ですか？
A.　可能です。「リモート デスクトップ接続のリッスン ポートを変更するにはどうすればいいですか。」をご参照ください。 ただし、脆弱性を修正するわけではないため、早急に MS12-020 を適用することをお勧めします。

Q.　リモートデスクトップ ゲートウェイ (SSL でトンネリング) は影響を受けますか？
A.　影響を受けません 。リモートデスクトップ ゲートウェイは、RPC over HTTPS で通信しますが、SSL (443 ポート) から  RDP パケットを取り出し転送するだけですので、CVE-2012-0002 の脆弱性の影響を受けません。

Q.　グループ ポリシーでリモート デスクトップを無効にすることは可能ですか？
A.　可能です。詳細については、サポート技術情報 306300 をご参照ください。

Q.　MS12-020 のセキュリティ更新プログラムをインストールすることで、リモートデスクトップの画面や動作が変わるなどの変更はありますか？
A.　ありません。

Q.　MS12-020 のセキュリティ更新プログラムに関する既知の不具合はありますか？
A.　下記 2 点報告されています。対応策など詳細は、サポート技術情報 2667402 をご参照ください。

• Windows 7 または Windows Server 2008 R2 環境に 2667402 のセキュリティ更新プログラムをインストールした後に Service Pack 1 を適用すると、Rdpcorekmts.dll ファイルのバージョン不整合が発生し、リモートデスクトップ接続ができなくなる
• Windows 7 において手動で RDP リスナーを作成している環境 (稀なケースです。通常お使いの場合、該当しません) で、アンインストールに関する問題

Q.　CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、ウイルス対策ソフトで検知可能か。
A.　マイクロソフトは、定義ファイル Exploit:Win32/CVE-2012-0002.A を作成しています。Microsoft Security Essentials および Forefront Endpoint Protection をご利用のお客様は、最新の定義ファイルの状態にすることで、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。

Q.　CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、サードパーティのウイルス対策ソフトや IPS/IDS で検知可能か。
A.　マイクロソフトは、MAPP プログラムを通じて、ウイルス対策ベンダー、IPS/IDS ベンダーに CVE-2012-0002 に関する詳細情報を提供しています。このプログラムを通じて定義ファイルを作成しているウイルス対策ベンダー、IPS/IDS ベンダーの製品をご利用のお客様は、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。

2012/3/21 更新 : 一部、わかりにくい表現を修正しました。

2012/4/12 更新 : 既知の不具合を追加しました。

2013/12/13 更新 : NLA に関する Q&A の回答を修正しました。

2012 年 3 月 23 日 (日本時間)、セキュリティ情報検索ページがリニューアルしました。

以前と操作方法が若干変わっている箇所がありますので、セキュリティ情報検索ページの使用方法を少し説明します。

製品またはコンポーネント別に検索

このセクションでは、セキュリティ情報を、製品やコンポーネントでフィルターして検索できます。また、セキュリティ情報のリリース日の範囲を指定して絞り込みができます。[最新の情報のみを表示] にチェックを入れて検索した場合、置き換えられたセキュリティ情報は表示されません。

または 番号で検索

このセクションでは、セキュリティ情報番号 (MSxx-xxx)、CVE 番号 (CVE-xxxx-xxxx)、セキュリティ情報の KB 番号、またはセキュリティ更新プログラムの KB 番号によりセキュリティ情報を検索できます。

詳細なセキュリティ情報一覧のダウンロード

このセクションでは、過去に公開したすべてのセキュリティ情報の一覧をダウンロードできます。この Excel ファイル (英語情報) では、セキュリティ情報番号、サポート技術情報番号、タイトル、深刻度、および公開日などの基本的な情報に加え、脆弱性の影響、影響を受ける製品やコンポーネント、置き換えに関する情報、再起動の必要性、および CVE 番号などの詳細な情報をご確認いただけます。

----------

※ 2012 年 3 月 26 日: セキュリティ情報検索ページ の一部不完全な箇所を更新しています。

先日、日本ネットワークセキュリティ協会主催のソーシャルネットワーク サービス (SNS) セキュリティに関する勉強会に参加してきました。

SNS の安全な利用を促すことを目的に、次の活動を行っている部会です。

• SNSのセキュリティとプライバシーに対する調査 (現状把握)
• 上記調査に基づく、安全な利用方法の取りまとめ (対策の提案)
• SNSを使ったセキュリティ啓発手法の研究 (利用方法の研究)

SNS 上の個人情報を、企業の採用や人事管理に利用することに法的問題はないのか？というのが今回の勉強会のテーマでした。

私自身、あまり考えずに、SNS に書き込みをしていましたが、考えさせられるところがあったので、皆さんにご紹介したいと思います。

SNS 上では、氏名、誕生日、居住地といった情報や趣味/思想など、あらゆる情報を自らが発信しています。匿名で利用している場合もありますが、掲載されている位置情報や時間、その人物が書いているパーソナル情報などの組み合わせにより、その人物がだれであるのかを特定するのは難しいことではないでしょう。

友達に話しかける感覚で「今日映画を観てきましたー」、「○○さんと、イタリアンを食べてきました！」といった他愛もない日常を書き込んだものや、「××社の製品を使っているけど、ひどい目にあったよー」、「×××課長のやり方には、まいったよー」などといった批判などを書き込んでいませんか？

その SNS 上の書き込みを企業の採用担当や管理者が見ているかもしれないということです。投稿した内容によっては就職が不利に働いたり、社内での評価に影響を与えるといったことも考えられるわけです。

友達や友達の友達までにしか自分の投稿は公開していないから大丈夫！と思っていませんか？
先日 IT media に『「六次の隔たり」は過去の話: Facebook、世界中の 4.7 人目は友達の友達という調査結果』という記事が掲載されていました。友達の友達が、人事の採用担当や管理者という可能性が無いとは言えないですよね。

この部会に参加して、そういう使われ方があるのだということを知り、ぞっとしました。
日常の出来事などの軽い内容のものでも、それがどういう印象を与えるのか、どう作用するのかをいったん考えてから書き込みをするよう注意が必要だと改めて思いました。
自分の不利益になるようなことを自らが発信したくはないですからね。

米  Microsoft  が、金融業界の各社と協力して、Zeus (Zbotとも呼ばれます) ボットネットの大部分を利用不能にすることに成功しました。ここ数日、ニュースなどでも取り上げられたので、ご存じの方もいらっしゃるかもしれませんね。

Zeusは、トロイの木馬型マルウェアで、感染すると個人情報や識別情報を盗用されたり、PCを乗っ取られる恐れがあるものです。特にオンライン バンキングや E  コマースサイトのアカウント情報の盗用を目的に 2007 年に誕生しました。

悪意のあるソフトウェア削除ツールも 2010 年に Zeus に対応しましたが、Zeus を簡単に作成できるツールキットがアンダーグラウンドで出回っていたことなどから、Zeus の被害はなかなか減少せず、感染が疑われるコンピューター は全世界で 1300 万台、損害総額は 5 億ドルにも上るということです。

今回、Microsoft  内で実際に調査、分析、捜査協力を行ったのは、Digital Crime Unit (DCU) という部署で、法律の専門家、調査員、技術解析者等から成るスペシャリスト集団です。DCU の存在は、Microsoft がサイバー犯罪撲滅に対して真剣に臨んでいることの証とも言えるかと思います。

DCU は、業界団体、政府、研究機関、法執行機関、NGO 等と協業し、あらゆるサイバー犯罪を撲滅するための活動を行っていますが、特にボットネット関連の攻撃については実績があり、過去、Waledac や Rustock といった大規模なボットネットのテイクダウンと容疑者逮捕に成功しています。

今回の Zeus ボットネットに関しては、DCU が金融業界団体、セキュリティ ベンダー、連邦保安官と協力してボットネットの管理に利用されていた C & C サーバーを押収し、多数のボットネットを停止させました。

組織の複雑さから完全なテイクダウンには至っていないものの、業界を越えた連携が成し遂げた素晴らしい成果だと言えるでしょう。

関連記事:

Microsoftのオフィシャル ブログ :

Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from
Zeus Botnets （英語）

Microsoft Digital Crimes Unit のページ :

http://www.microsoft.com/presspass/presskits/dcu/ (英語)

先週の事前通知でお知らせしたとおり、計 6 件(緊急 1 件、重要 4 件、警告 1 件) のセキュリティ情報を公開しました。また、新規にセキュリティ アドバイザリを1 件追加をし、以前公開したセキュリティ アドバイザリを １ 件更新しています。

今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した ４ 種類のマル��ェアに対応しています。

また、3 月の月例セキュリティ情報公開同日に、MS10-058、MS11-025、MS11-030、MS11-067 のセキュリティ情報を更新しました。更新内容は、検出の変更、既知の問題の追加ですので、既にこのセキュリティ更新プログラムを正常に適用いただいているお客様には影響ありません。

最後に、各セキュリティ情報について注意事項がある場合は、下記の表の下に補足していますので併せてご覧ください。

■今月のセキュリティ
リリースで対応したセキュリティ アドバイザリ:

DLLプリロード の問題に関するセキュリティアドバイザリ 2269637 「セキュリティで保護されていないライブラリのロードにより、リモートでコードが実行される」を更新し、

今月公開した MS12-022 のセキュリティ更新プログラムが、このアドバイザリで説明している問題に一部対応したことをお知らせしました。

さらに、新規に ActiveX の Kill Bit 更新プログラムのロールアップに関するセキュリティアドバイザリ 2647518 「ActiveX の Kill Bit 更新プログラムのロールアップ」を公開しました。

■2012 年 3 月のセキュリティ情報:

各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。

http://technet.microsoft.com/ja-jp/security/bulletin/ms12-mar
 

■最新のセキュリティ情報を動画と音声でまとめて確認

マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web
キャスト公開後に、こちらのブログでもお知らせします。

先日、日本マイクロソフトの公式ブログにて、日本における Internet Explorer (IE) の自動アップグレードについてご案内しました。3 月中旬より、Windows Update の自動配信により、Windows XP SP3 をご利用のお客様は、Internet Explorer 8 に、Windows Vista SP2 および Windows 7 RTM/SP1 をご利用のお客様は、Internet Explorer 9 に順次自動アップグレードされます。自動アップグレードに際してのお客様の操作は不要です。

以前 IE のセキュリティ機能の進化と題したブログでご紹介したように、新しいバージョンの IE は多くのセキュリティ機能を実装しています。例えば、IE9 におけるソーシャル エンジニアリング型マルウェアの検出率は 99% を誇り、他ブラウザーの群を抜いています。この検出率が低いブラウザーでは、Web サイトを閲覧しただけでマルウェアに感染したりフィッシングなどの被害に遭遇する可能性が高くなります。現実的には、どのサイトが安全かを常に見極めて Web を閲覧することはなかなか難しいので、ブラウザーがその役割を果たしてくれるのはとても心強いですね。

新しいバージョンの IE ではその他にも、クロスサイトスクリプティングに対するフィルターや、特定の Web サイトのコンテンツがユーザーの閲覧行動を追跡できないようにする追跡防止機能など、さまざまなセキュリティおよびプライバシー保護の強化を行っています。この機会に是非アップグレードを行い、より安全にインターネットをお楽しみください。

なお、企業のお客様で、独自のアップグレード計画をお持ちの場合、自動配布を無効にする無効化ツールキット (IE8 用 / IE9 用) をお使いいただくことで、ブラウザーのアップグレードを管理することができます。なお、WSUS、SCCM (System Center Configuration Manager)、Windows Intune をご利用の企業のお客様は、自動アップグレードの対象とはなりません。詳細については、下記ブログをご参考ください。

参考

• マイクロソフト日本法人の公式ブログ
  Internet Explorer の自動アップグレードについてのご案内
   
• Internet Explorer のブログ
  Internet Explorer の自動アップグレードについて

いくつかのマスコミなどにも報道され、ご存じの���もいらっしゃるかと思いますが、弊社日本マイクロソフトでは、今週の 3/19 (月) に「テレワークの日」として、オフィスへの出社を原則禁止として、全社一斉のテレワークによる業務を行いました。

これは、社会的な傾向として事業継続 (BCP)、従来の働き方の見直しなどの観点からテレワークへの関心が高まりつつあることを踏まえ、この「テレワークの日」の経験や実績を生かし、先進自社事例として関連自社テクノロジーの優位性やテレワークの有効性を社内外に提示、提案していければという思いで実施しています。

当日は、約 2,000 名規模の社員が、自宅や顧客先や出張先、あるいは、インターネットが接続できるカフェなどの場所からノート PC や Windows Phone などのスマートフォンから業務を行いました。

我々、セキュリティ レスポンス チームでも当日スタッフ全員が自宅から業務を行い、途中、Lync2010 を使って、毎週定例のチーム ミーティングをオンライン上で 2 時間ほど行いましたが、普段と同じように活発な議論を行うことができました。(しかも英語で (^^) )

しかしながら、皆さんの中には、セキュリティ面で本当に大丈夫なの？という不安をお持ちの方もいらっしゃるかもしれません。

そこで、今回は、テレワークを安心して行えるマイクロソフトのいくつかのセキュリティの製品や技術をご紹介します。

１．BitLocker

BitLocker とは、Windows Vista 以降の OS に搭載されているデータ保護の機能です。これは、PC のハードディスクを暗号化して、ハードディスク内部のデータを保護します。仮にノート PC を紛失した場合でも他人からデータを守ることができます。BitLocker のようなハードディスク暗号化の対策を実施すれば、ノート PC の盗難による個人情報の漏洩など新聞の記事に掲載されるようなものは、昔話になるかもしれません。

2. Forefront Endpoint Protection 2010

Forefront Endpoint Protection 2010 はマルウェアや脆弱性の危険からクライアント システムを保護するための統合的な企業向けのアプリケーションです。

Forefront Endpoint Protection 2010 は、ウイルスやスパイウェア、ルートキットなど、マルウェアからリアルタイムでクライアントを保護します。また、System Center Configuration Manager (SCCM) や WSUS、Windows Update、Microsoft Update から自動で定義ファイルの更新を行います。

３．DirectAccess

DirectAccess は、Windows 7 と Windows Server 2008 R2 で搭載された新機能で、外出先や自宅などのインターネットが利用できる環境から仮想プライベートネットワーク (VPN) を利用せずに社内ネットワークへ接続できる新機能です。DirectAccess は社外からでも社内にいる時と同じように社内ネットワークへシームレスに接続することができるので、外出先や自宅など社外での作業が多い方にとっては生産性向上に役立つ機能となります。通信は IPsec  と IPv6 によって暗号化されていますのでセキュリティも確保されています。

このように、Windows 7 と Windows Server 2008 R2 やForefront Endpoint Protection 2010 を使用することにより、簡単で安全なテレワークの環境を構築することが可能です。皆さんの会社でも導入を検討していただき、より効率のよい仕事環境を構築されてはいかがでしょうか。

関連リンク

あんしん処セキュリ亭 第 7 回 Windows 7 で、家でも会社でも安全に

あんしん処セキュリ亭 第 8 回 会社へ安全にアクセスしたい

皆さん、こんにちは！
先ほど 3 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

システムトラブルの影響で、3 月のワンポイント セキュリティ情報の公開が遅れましたことをお詫びいたします。

昨日 3 月 15 日に公開した新規 6 件 (緊急 1 件、重要 4 件、警告 1 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

2012 年 3 月 14 日に公開を予定している新規月例セキュリティ情報は、合計 ６ 件 (緊急 1 件、重要 4 件、警告 1 件) です。 また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。

http://technet.microsoft.com/ja-jp/security/bulletin/ms12-mar