日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
本日、2011 年下半期 (2011 年 7 月~ 12 月) の脅威の動向をまとめた、「マイクロソフト セキュリティ インテリジェンス レポート 第 12 版」を公開しました。第 12 版では Conficker や Advanced Persistent Threat (APT) などの特集もあり、このブログでも今後紹介していきたいと思いますが、今日は OS の感染傾向と流行しているエクスプロイトの傾向について、説明したいと思います。
以下のグラフは、2011 年 第 4 四半期に計測したオペレーティングシステムおよびサービスパック別の感染率を示したものです。
前期同様、より新しいオペレーティング システム (OS) およびサービスパックの組み合わせの感染率が低くなっています。最新の Windows クライアントである Windows 7 Service Pack (SP) 1 および、最新のサーバーである Windows Server 2008 R2 が最も感染率の低いことがグラフからもわかります。
しかし、Windows XP SP3 については、より新しい OS であるWindows Vista SP1 (32 ビット版、64 ビット版) および Windows Vista SP2 (64 ビット版) よりも感染率は低くなっています。これは Windows XP ユーザーがより新しい Windows に移行していったように、マルウェアの作者が古いプラットフォームを攻撃対象から外したのではないかとみています。
次のグラフは、2011 年の各四半期にマイクロソフトのマルウェア対策製品によって検出された種類別のエクスプロイトの流行を示したものです。
2011 年下半期から HTML または JavaScript を通じて広まったエクスプロイトが急激に上昇しています。この主な原因は、JS/Blacole の出現です。JS/Blacole は、"ブラックホール" と呼ばれるエクスプロイトキットを使用したエクスプロイトのファミリで、感染した Web ページを通じて悪意のあるソフトウェアを広めます。Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE)、その他一般的な製品またはコンポーネントの脆弱性を悪用するエクスプロイトが使用されています。
適切なセキュリティ更新プログラムをインストールしていないユーザーがそのサイトを訪れるとドライブバイ ダウンロード攻撃によって、感染する可能性があります。
PC を安全に保つためには、オペレーティングシステムやウイルス対策ソフトウェアを最新の状態に保つとともに、アプリケーションやコンポーネントについても常に最新の状態に保つことを心がけてください。
近頃、セキュリティ業界の会合やお客様との会話の中で、マイクロソフトのセキュリティ開発ライフサイクル (SDL) [i] が改めて注目を集めていると感じます。インターネット空間におけるサイバー攻撃がますます高度化かつ巧妙化する中、組織の資産をセキュリティ製品だけでは守っていけない状況は多く、ソフトウェアそのものの脆弱性をなくすこと、特に自社開発製品についてきちんと見直しを行い、より強固なソフトウェアやサービスに変えていくことが求められています。
図 1: SDL 開発プロセス
2002 年提唱の「信頼できるコンピューティング」から 10 年、マイクロソフト製品は常に研究者や悪意のあるクラッカーのハッキング対象となってきました。長年に亘るそのような状況にも鍛えられ、また徹底した SDL により、マイクロソフト製品のセキュリティは確実に向上しています。下図 2 は製品ごとの、1000 台の PC における感染 PC 台数を示していますが、より新しい製品ほど、感染率が下がっていることがわかります。
図 2: Windows OS 毎の感染率 (Security Intelligence Report v.11 より)
何から始めれば良いか?
Microsoft SDL の簡単な実装というドキュメントを公開しています。ソフトウェア開発に完全な SDL フレームワークを導入するには、相応のリソースやコストが必要で、時間もかかります。このドキュメントでは SDL に準拠するための必要最小限のプロセスを説明しています。
たとえば「SDL 最適化モデル」は、以下 5 つの機能領域に基づいて構成されており、各領域におけるプラクティスと機能について 4 段階の成熟度 (基本、標準、高度、動的) を定義しています。このドキュメントでは、"高度" レベルの成熟度を実現するために必要なタスクとプロセスを重点的に説明しています。
図 3. SDL 最適化モデルと機能および成熟度のレベル
セキュリティ プロセスを簡単に編成しただけの場合でも、セキュリティとプライバシーは全体的に改善します。このドキュメントで示しているエンジニアリングの概念は、適切なセキュリティ プラクティスとして広く認められているものであり、さまざまなオペレーティング システム、ハードウェア プラットフォーム、開発手法に適用可能です。組織の時間やリソース、ビジネス プラクティスに応じた方法で SDL を実装する際のガイドとして、このドキュメントをご参考ください。
参考資料
SDL 実装の簡易版ガイドライン: Microsoft SDL の簡単な実装
SDL 実装に役立つツール: Microsoft Security Development Lifecycle Tools
これまでの SDL の活動状況: SDL 進捗レポート
[i] SDL: ソフトウェア開発プロセスのすべてのフェーズにセキュリティとプライバシーの概念を導入するセキュリティ保証プロセス
2012/4/17 更新: IE9 にアップグレードすると言語パックがインストールできない問題は、4 月 14 日に修正されました。現在は、この問題は発生いたしません。既に問題に遭遇されている場合は、下記解決方法を実施してください。
2012 年 4 月 11 日 (日本時間) 以後、Windows Vista で Internet Explorer (IE) 7 または 8 をご使用のお客様が、自動更新、Windows Update もしくは手動で IE9 にアップグレードした場合、インストール後の IE9 の表記が英語になり言語パックのインストールに失敗する現象が報告されています。マイクロソフトは 2012 年 4 月 11 日 (日本時間) に月例のセキュリティ更新プログラムを公開し、Internet Explorer (IE) の累積セキュリティ更新 MS12-023 (KB2675157) を公開しています。現在 MS12-023 との関連性も含めて本現象の調査を行っています。現象詳細0. MS12-023 (KB2675157) が予めインストールされていてもいなくても結果は同じです。1. Windows Vista 上で IE7 または IE8 を、IE9 へアップグレードします (自動更新、Windows Update、手動でのインストールいずれも結果は同じ)。2. インストール後、IE9 を起動すると英語表示となり、その後個別で IE9 日本語言語パックをインストールしようとしても「この更新プログラムはお使いのシステムには適用されません。」(下図) のメッセージで失敗します。
対処方法当該現象に遭遇されたお客様は、以下の手順で対処できます。
1. コントロール パネルの [プログラムと機能] より IE9 をアンインストールします。再起動を求められる場合は PC を再起動します。2. Microsoft ダウンロード センターより、Vista 用 IE9 のインストールファイルをローカルにダウンロードします。
3. ダウンロード後、実行ファイルに /update-no オプションを指定して IE9 のインストールを行います。 例) IE9-WindowsVista-x86-jpn.exe /update-no4. PC 再起動後、IE9 が日本語表示されていれば言語パックの問題は起きていません。5. Windows Update を実行し、MS12-023 (KB2675157) をインストールします。
補足
参考リンク
Internet Explorer 9 をインストールまたはアンインストールする方法
Windows Vista および Windows Server 2008 用 Internet Explorer 9 のダウンロード
Windows Vista 64-bit Edition および Windows Server 2008 64-bit Edition 用 Windows Internet Explorer 9 のダウンロード
Vista 向け IE9 言語パック(日本語) のダウンロード
皆さん、こんにちは!4 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 4 月 11 日に公開した新規 6 件 (緊急 4 件、重要 2 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。※ 2012/4/12:「今月のマイクロソフト ワンポイント セキュリティ情報」サイトの更新が完了しました。
内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
先週の事前通知でお知らせしたとおり、計 6 件 (緊急 4 件、重要 2 件) のセキュリティ情報を公開しました。
また、先日お知らせしたとおり、3 月 23 日にマイクロソフトセキュリティ情報検索ページをリニューアルしました。以前と操作方法が若干変わっている箇所がありますので、詳細は使用方法を説明した「リニューアルしたマイクロソフトセキュリティ情報検索ページの使い方」をご覧ください。
□MS12-027 について限定的ではありますが、この脆弱性の悪用が確認されており、また、脆弱性の影響が多岐の製品にわたるため、可能な限り早期にセキュリティ更新プログラムをインストールされることをお勧めします。また、当該 ActiveX コントロールを含むソフトウェアの開発者の方は、このセキュリティ情報で提供しているセキュリティ更新プログラムをインストールする必要があります。開発アプリケーションと共に ActiveX コントロールを再配布している場合は、更新されたバージョンの ActiveX コントロールを含むアプリケーションのアップデート版をお客様に提供する必要があります。詳細は、セキュリティ情報 MS12-027 の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」を参照してください。
その他、セキュリティ情報について注意事項がある場合は、下記の表の下に補足していますので併せてご覧ください。
■2012 年 4 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-apr
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア:
MS12-023
Internet Explorer 用の累積的なセキュリティ更新プログラム (2675157)
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer
MS12-024
Windowsの脆弱性により、リモートでコードが実行される (2653956)
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS12-025
.NET Framework の脆弱性により、リモートでコードが実行される (2671605)
再起動が必要な場合あり
MS12-026
Forefront Unified Access Gateway (UAG) の脆弱性により、情報漏えいが起こる (2663860)
重要
情報漏えい
Microsoft Forefront Unified Access Gateway 2010
MS12-027
Windows コモン コントロールの脆弱性により、リモートでコードが実行される (2664258)
Microsoft Office 2003、Office 2003 Web Components、Office 2007、Office 2010 (32 ビット版)、SQL Server 2000、SQL Server 2005、SQL Server 2008、SQL Server 2008 R2、BizTalk Server、Commerce Server、Visual FoxPro 8.0、Visual FoxPro 9.0 および Visual Basic 6.0 Runtime
MS12-028
Microsoft Office の脆弱性により、リモートでコードが実行される (2639185)
Microsoft Office 2007、Works 9 および Works 6-9 File Converter
□MS12-026 についてMS12-026 の更新プログラムは、マイクロソフト ダウンロード センターでのみ提供され、Microsoft Update を通じては提供されませんので、ご注意ください。
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
■Windows Update 利用の手順Windows のバージョン別に、画面ショットを交えて Windows Update の手順を説明したページ「Windows Update 利用手順」を掲載しています。
2012 年 4 月 11 日に公開を予定している新規月例セキュリティ情報は、合計 6 件 (緊急 4 件、重要 2 件) です。 また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-apr
影響を受けるソフトウェア*
セキュリティ情報 1
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
Microsoft Office 2003、Microsoft Office 2007、Microsoft Office 2010、Microsoft Office 2003 Web Components、Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQL Server 2008、Microsoft SQL Server 2008 R2、Microsoft BizTalk Server 2002、Microsoft Commerce Server 2002、Microsoft Commerce Server 2007、Microsoft Commerce Server 2009、Microsoft Commerce Server 2009 R2、Microsoft Visual FoxPro 8.0、Microsoft Visual FoxPro 9.0、Visual Basic 6.0 Runtime
セキュリティ情報 5
セキュリティ情報 6
Microsoft Office 2007、Microsoft Works 9、Microsoft Works 6-9 File Converter
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。