日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
隣国、韓国で3月20に起きたセキュリティ事案は、日本でも大きく取り上げられ注目されている。
この事案について、一部でWindows Updateが利用された可能性が指摘されているが、Windows Updateでは各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Updateが利用されたわけではないようだ[1] 。
韓国の事案とFlameの相違
Windows Updateを悪用した攻撃としては、2012年5-6月にかけて話題となったFlameが思い起こされる[2]。Flameはマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内でのWindows Updateを悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flameの証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]。
高度で執拗な攻撃(APT)事案としての側面
この事件をいわゆる高度で執拗な攻撃(APT)として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。
今回の事案を教訓とする
今回の事件を教訓として捉えると、標的型攻撃などによる社内ネットワークに侵入への対策実施されている事に加え、万一、侵入を許してしまった場合でも、重要なサーバーが保護されることを確認する、ということだと思う。特に、重要サーバーの対策の重要性が、あまり認識されていないようにも感じることがある。
マイクロソフトでは、高度で執拗な攻撃(APT)などの現在の攻撃手法の分析と必要とされる対策について、以下のホワイトペーパーをまとめている。参考にしていただければ幸いである。
[1]방송사 및 금융사 공격 관련 중간 분석 결과 발표(放送会社および金融会社攻撃関連中間分析結果発表)http://blog.ahnlab.com/ahnlab/1728
[2] セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化http://blogs.technet.com/b/jpsecurity/archive/2012/06/11/3503098.aspx
[3] Windows Update」をハッキングする「Flame」マルウェア、制作には世界トップクラスの暗号解析技術が必要と研究者Flameに未知のMD5衝突攻撃亜種が用いられていたことが明るみにhttp://www.computerworld.jp/topics/666/203423CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malwarehttp://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware
先週の事前通知でお知らせしましたとおり、新規セキュリティ情報 合計 7 件 (緊急 4 件、重要 3 件) を公開しました。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たな脅威ファミリ 1 件に対応しています。公開時点で悪用が確認されている脆弱性はありませんが、可能な限り早期にセキュリティ更新プログラムをインストールするようお願いします。なお、優先順位を設定する必要がある企業のお客様は、MS13-021 (Internet Explorer)、MS13-022 (Silverlight)、および、MS13-027 (カーネルモード ドライバー) を優先的にインストールすることを推奨いたします。
■既存のセキュリティ情報の更新新規セキュリティ情報の公開とともに、2013 年 1 月に公開された MS13-003「System Center Operations Manager の脆弱性により、特権が昇格される (2748552)」を更新し、「Microsoft System Center Operations Manager 2007 Service Pack 1 用のセキュリティ更新プログラム (KB2809182)」を公開しました。このセキュリティ更新プログラムは、マイクロソフト ダウンロード センターからのみ利用可能です。System Center Operation Manager 2007 Service Pack 1 を使用しているお客様はこの更新プログラムをダウンロードし、ご使用のコンピューターにインストールすることを推奨します。
■既存のセキュリティ アドバイザリの更新以前に公開したセキュリティ アドバイザリ 2755801「Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム」を更新し、最新の更新プログラム KB2824670 を公開しました。
なお、2013 年 2 月 27 日に Windows 7 および Windows Server 2008 R2 用の Internet Explorer 10 を公開していますが、Windows 8、Windows RT、および、Windows Server 2012 用の Internet Explorer 10 とは異なり、Windows 7 および Windows Server 2008 R2 用の Internet Explorer 10 には、Adobe Flash Player は組み込まれておりません。そのため、Windows 7 および Windows Server 2008 R2 用の Internet Explorer 10 をご利用のお客様は、Adobe セキュリティ情報 APSB13-09 を参照し、更新プログラムをインストールしてください。
■セキュリティ情報フォーマットの変更今月のセキュリティ情報から、フォーマットの一部を変更しています。主な変更箇所は、下記のようにサポート技術情報と展開情報の 2 ヶ所です。
■2013 年 3 月のセキュリティ情報一覧セキュリティ情報の概要、脆弱性の悪用可能性指標、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Mar
マイクロソフトは新たに確認した脆弱性について、次の 7 件のセキュリティ情報を公開しました。
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア
MS13-021
Internet Explorer 用の累積的なセキュリティ更新プログラム (2809289)
緊急
リモートでコードが実行される
要再起動
Windows XP、 Windows Server 2003、Windows Vista, Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、 および Windows RT 上の Internet Explorer
MS13-022
Silverlight の脆弱性により、リモートでコードが実行される (2814124)
再起動不要
Silverlight 5 for Mac およびSilverlight 5 for Windows
MS13-023
Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2801261)
再起動が必要な場合あり
Microsoft Visio 2010、 Visio Viewer 2010、 および Office 2010 Filter Pack
MS13-024
SharePoint の脆弱性により、特権が昇格される (2780176)
特権の昇格
Microsoft SharePoint Server 2010 および SharePoint Foundation 2010
MS13-025
Microsoft OneNote の脆弱性により、情報の漏えいが起こる (2816264)
重要
情報漏えい
Microsoft OneNote 2010
MS13-026
Office Outlook for Mac の脆弱性により、情報漏えいが起こる (2813682)
Microsoft Office 2008 for Mac および Office for Mac 2011
MS13-027
カーネルモード ドライバーの脆弱性により、特権の昇格が起こる (2807986)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および Windows Server 2012
■最新のセキュリティ情報を動画と音声でまとめて確認
日本マイクロソフト セキュリティ レスポンス チームが IT プロの皆様に向けて、短時間で最新のセキュリティ情報の知りたいポイントを動画と音声で紹介する今月のマイクロソフト ワンポイント セキュリティ情報は、本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ情報の適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
本記事は、Microsoft Trustworthy Computing のブログ “Mitigating Targeted Attacks on Your Organization” (2012年 12 月 12 日公開) を翻訳した記事です。
Trustworthy Computing (信頼できるコンピューティング)、ディレクター、Tim Rains (ティム・レインズ)
筆者がこの数年間に話をしたことのある CISO (情報セキュリティ最高責任者) やセキュリティ関連業務担当役員のほぼ全員が、“APT” (Advanced Persistent Threats: 高度で執拗な脅威) 型の攻撃によってもたらされるリスクをより緩和するために、自社のセキュリティ態勢を向上させる方法を学ぶことに関心を示していました。マイクロソフトでは、APT という用語を使用しません。こうした攻撃では通常、古典的でよく知られた手法とテクノロジを使用しており、本当の意味で「高度」ではないからです。
たとえば攻撃者が通常よく行うことの 1 つに侵害したネットワークからユーザー名とパスワードを盗み出すというものがあります。これにより、攻撃者はより多くのリソースにアクセスし、可能な限り長く検出されずにネットワークにとどまることができてしまいます。攻撃者が一般的に使用するある種の攻撃は、“pass-the-hash” (ハッシュ化された資格情報を悪用した攻撃) と呼ばれています。攻撃者は脆弱化したネットワークからユーザー名とパスワードのハッシュバージョン (一方向の数学的変換を行った後の表現形式) を盗み出し、それらの資格情報を使用することでネットワークのリソースやデータにアクセスできるようになります。この分野では何年にもわたって多大な研究とツールの開発が行われてきており、その結果攻撃者は pass-the-hash や他の資格情報の窃取と再使用による攻撃を、より簡単に行えるようになりました。
マイクロソフトは今日、組織がこの種の攻撃を緩和するのに役立つ、実地テスト済みガイダンスを掲載した新しいホワイトペーパーをリリースしました。お客様の IT 部門が容易に実施できるように、このホワイトペーパーではこれらの緩和策を、有効性や実施に要する作業などに基づいて評価しています。
レポートのダウンロード (英語情報)部門とベンダーがお客様のネットワークのセキュリティ態勢を向上させて標的型攻撃からお客様を守ることができるように、是非このホワイトペーパーと緩和策に関する新しいガイダンスを皆様の IT 部門やベンダーと共有してください。
本記事は、Security Research & Defense のブログ “Assessing risk for the March 2013 security updates” (2013 年 3 月 12 日公開) を翻訳した記事です。
本日、私たちは 20 件の CVE (脆弱性) を解決する 7 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 3 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃方法
セキュリティ情報最大深刻度
最大悪用可能性指標
公開 30 日以内の影響
プラットフォーム緩和策、および特記事項
(Internet Explorer)
被害者が、悪意のある Web ページを閲覧する。
1
IE8 に影響を与える問題、CVE-2013-1288 の悪用コードは、公表されており利用可能です。この更新プログラムで、脆弱性が解決されたその他の脆弱性に対して、30 日以内に悪用コードが作成される可能性があります。
Windows 7 上の IE 10 は影響を受けません。
(Silverlight)
30 日以内に悪用コードが作成される可能性があります。
Silverlight 5 に影響を与えます。
(Windows USB ドライバー)
攻撃者が、被害者のワークステーション、あるいはサーバーに、実際に、悪意のある USB デバイスを挿入することによって、システム上でコードが実行される。
事前認証のコード実行は、実際に、被害者のコンピューターに悪意のあるハードウェア デバイスを挿入できる攻撃者のみが行えます。この脆弱性の背景に関する詳細は、こちらの記事 (英語情報) を参照してください。
(SharePoint 2010)
攻撃者は、SharePoint サイト上に、クエリ文字列に悪意のあるスクリプトを含む、検索クエリを発行する。スクリプトを含んだ攻撃者の検索クエリが、SharePoint 管理者のセッション コンテキストで作動するという特定の状況下で、SharePoint の管理者が検索クエリを閲覧する可能性がある。
影響があるのは、SharePoint Server 2010 Service Pack 1 のみで、SharePoint の旧バージョンまたは最新バージョンは影響を受けません。
(Visio Viewer 2010)
被害者は、悪意のある Visio .DXF ファイルを開くために、Visio Viewer 2010 を利用する。
2
この脆弱性に対する悪用コードが作成される可能性は低いです。Visio Viewer の悪用は、実際の現場ではあまり目にする機会はありませんが、これは、コード実行を悪用することが、通常と比べて難しいと考えられます。
Visio 自体は、この脆弱性から直接の影響は受けません。Visio Viewer 2010 のみが影響を受けます。
(OneNote 2010)
攻撃者が、悪意のある、あるいは攻撃者のコントロール下にあるディレクトリから OneNote ファイルを開くよう、被害者を誘導する。攻撃者は、被害者の OneNote プロセスにおいて、攻撃者のディレクトリ内のファイルに記入し、攻撃者への情報漏えいにつながる可能性のある、プロセス メモリを引き起こすために、この脆弱性を利用する。
対象外
この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみです。
影響があるのは、OneNote 2010 Service Pack 1 のみで、OneNote の旧バージョンまたは最新バージョンには影響を受けません。攻撃者は、攻撃者がコントロール可能なサーバーあるいはロケーションから、被害者がファイルを開くよう誘導する必要があります。ユーザーが悪意のあるファイルを開こうとするタイミングで、OneNote の処理プロセス中の情報で、攻撃者がアクセスできるようになります。
(Microsoft Office for Mac)
攻撃者が、被害者に対して外部コンテンツへのリンクを含む電子メールを送信する。ユーザーへの確認なく、コンテンツが読み込まれる。
この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみが起こります。
ジョナサン・ネス、MSRC エンジニアリング
2013 年 3 月の月例セキュリティ リリースの事前通知を公開しました。
2013 年 3 月 13 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 4 件、重要 3 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-mar
影響を受けるソフトウェア*
セキュリティ情報 1
Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、および Windows RT 上の Internet Explorer
セキュリティ情報 2
Silverlight 5 for Mac および Silverlight 5 for Windows
セキュリティ情報 3
Microsoft Visio 2010、Visio Viewer 2010、 および Office 2010 Filter Pack
セキュリティ情報 4
セキュリティ情報 5
セキュリティ情報 6
セキュリティ情報 7
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および、Windows Server 2012
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
皆さん、こんにちは!先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 3 月 13 日に公開した新規 7 件 (緊急 4 件、重要 3 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
2013 年 3 月 27 日、セキュリティ アドバイザリ 2819682「Microsoft Windows ストア アプリケーション用のセキュリティ更新プログラム」を公開しました。
Windows 8、Windows RT、および Windows Server 2012 上で稼働する Windows モダン メールの脆弱性を解決します。なお、Windows Server 2012 Server Core インストールは影響を受けません。Windows ストア アプリの更新プログラム機能を利用して、早急に更新プログラムを適用することを推奨します。
なお、マイクロソフトでは、情報の透明性を保証するため、Windows ストアのマイクロソフト アプリ用のセキュリティ更新プログラムをすべてドキュメント化し、Windows ストア アプリケーション用のセキュリティ更新プログラムを新しく公開した際には、セキュリティアドバイザリ 2819682 を更新します。
セキュリティ更新プログラムのプロセス自体は、その他の Windows ストア アプリケーション用の更新プログラムと同一のもので、お客様はストア タイルを選択し、更新プログラムを選択します。
Windows ストア アプリケーションに対するセキュリティ更新プログラムのポリシーは、以下のサイトを参照してください。