日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
こんにちは。村木ゆりかです。
前回の記事でご紹介したように、セキュリティ インテリジェンスレポート (SIR) 第 15 版にて、最新のセキュリティ脅威についての調査結果を公開しています。今回は、SIR 第 15 版の内容に加え、マイクロソフト マルウェア プロテクション センター(英語) や、マイクロソフト セキュリティ ブログ(翻訳版) で公開している調査結果を基に、Windows XP サポートが終了におけるマルウェア感染に対するリスクを中心にご紹介したいと思います。
なぜ Windows XP の感染率は高いのか
SIR 15 版における調査では、どのバージョンのWindowsも同程度のマルウェアに遭遇しているものの、感染率はWindows XPが突出して高く、Windows 8 の約6 倍でした。(詳細は前回の記事を参照)
これは何故でしょうか?
Windows XP が発売開始されたのは、約 12 年前です。現在は、インターネットユーザーは約 7 倍以上に増え、生活に欠かせないものとなりました。犯罪者はインターネットユーザーを狙うようになり、いたずらや自己顕示ではなく、金銭や政治的理由から組織的な犯罪として攻撃が行われるようになりました。
こうした背景から、セキュリティ技術は攻撃技術も大きな進化を遂げ、1991 年には、1,000 種類程しかなかった攻撃手法は、現在は数百万も存在しています。最新の攻撃手法に対抗するためには、セキュリティ更新プログラムやサービスパックレベルでの更新が難しく、OS レベルでの変更がどうしても必要となるセキュリティ機能があります。
また、マルウェアによる攻撃は、マルウェア対策ソフトに加え、OS に備わっている機能により防御します。最新の攻撃手法マルウェアに遭遇した場合、より新しいOS に備わっている機能による防御ができても、Windows XP による防御には限界があります。このため、結果的に Windows XP の感染率が高くなります。(詳細は前回の記事を参照)
サポートが終了したソフトウェアのマルウェア感染率は1.6 倍
2014 年 4 月 9 日 (日本時間) サポート終了後、Windows XP に対するセキュリティ更新プログラムの新規配信も終了します。どのような状況が発生するのでしょうか。2010 年にサポートが終了したWindows XP Service Pack 2 (SP2) の状況をみてみましょう。
サポートが終了したWindows XP SP2 は、サポートを継続しているWindows XP Service Pack 3 (SP3) に比べ感染率が高く、その差は徐々に広がり、平均して 1.6 倍です。
図: Windows XP SP2, SP3 のマルウェア感染率
サポートが終了するからといって攻撃者は新しい攻撃手法の開発をやめるわけではありません。それに伴い、新たな脆弱性が発見される可能性もあります。
サポートが終了したソフトウェアのマルウェア対策
マルウェアの脅威からの防御には、マルウェア対策ソフトは重要な役割を担っています。では、サポートが終了した製品を利用していてもマルウェア対策ソフトを動かしていれば、マルウェア対策は十分なのでしょうか。
私たちの調査結果では、マルウェア対策ソフトによるリアルタイム保護が有効な場合でも、サポートが終了した Windows XP SP2 では、サポートを継続しているWindows XP SP3 よりも 2 倍もマルウェアに感染していました。もちろん、リアルタイム保護が無効な場合は、有効な場合に比べて感染率は格段に高くなります。
図:リアルタイム保護が有効・無効におけるマルウェア感染率
マルウェアによる攻撃を防御するためには、マルウェア対策ソフトに加え、OSそのものの堅牢性が重要な役割を果たします。この差異が、総合的に、マルウェアの脅威に対する防御の差につながります。
今回ご紹介した調査結果からも、最新の脅威から身を守るには、セキュリティ更新プログラムを日々適用し、最新の状態に保つことがとても重要です。これは、Windows XP だけに限らず、マイクロソフト以外も含めすべての製品に共通して言えることです。ぜひ、最新の脅威についてセキュリティ インテリジェンスレポート (SIR) 第 15 版をご覧いただき、防御についてご検討ください。
リンク:
マイクロソフト公式ブログ
Infection rates and end of support for Windows XP
New cybersecurity report details risk of runningunsupported software
WindowsXP を 2014 年 4 月のサポート終了後も使い続けることのリスク
2013 年 11 月 6 日、セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開しました。
Microsoft Windows、Microsoft Office、および Microsoft Lync に影響を与える Microsoft Graphics コンポーネントの脆弱性に関する非公開のレポートについて調査を行っています。マイクロソフトは Microsoft Office に存在するこの脆弱性を悪用しようとする標的型攻撃を確認しています。
攻撃者は、特別に細工された電子メール メッセージをユーザーにプレビューさせるか開かせる、特別に細工されたファイルを開かせる、または特別に細工された Web コンテンツを閲覧させることにより、この脆弱性を悪用する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
Fix It ツールを実行するか、手動でレジストリを編集し TIFF コーデックを無効にすることで、この脆弱性を使用した攻撃を回避することができます。また、Enhanced Mitigation Experience Toolkit (EMET) を展開することでも、回避が可能です。
影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2896666 を参照してください。
関連リンク:
2013 年 11 月の月例セキュリティ リリースの事前通知を公開しました。2013 年 11 月 13 日に公開を予定している新規月例セキュリティ情報は、合計 8 件 (緊急 3 件、重要 5 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-nov
セキュリティ情報 ID
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア*
セキュリティ情報 1
緊急
リモートでコードが実行される
要再起動
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 および Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer
セキュリティ情報 2
Microsoft Windows XP、Windows Server 2003、Windows Vista、 Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1
セキュリティ情報 3
再起動が必要な場合あり
セキュリティ情報 4
重要
Microsoft Office 2003、Office 2007、 Office 2010、Office 2013、および Office 2013 RT
セキュリティ情報 5
特権の昇格
Microsoft Windows 8 および Windows Server 2012
セキュリティ情報 6
情報漏えい
Microsoft Windows XP、Windows Server 2003、Windows Vista、 Windows Server 2008、Windows 7、 Windows Server 2008 R2、Windows 8、および Windows Server 2012
セキュリティ情報 7
Microsoft Outlook 2007、Outlook 2010、Outlook 2013、および Outlook 2013 RT
セキュリティ情報 8
サービス拒否
上記のサマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの全一覧は、上記「事前通知の Web ページ」のリンク先から「影響を受けるソフトウェア」のセクションをご覧ください。
2013 年 11 月 13 日 (日本時間)、マイクロソフトは計 8 件 (緊急 3 件、重要 5 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 3 件の公開、既存のセキュリティアドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS13-088 (Internet Explorer), MS13-089 (Windows Graphics Device Interface), MS13-090 (ActiveX) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。なお、マイクロソフトでは MS13-090 の脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。
2013 年 11 月 6 日に、セキュリティ アドバイザリ 2896666「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」を公開しましたが、この問題に対応するセキュリティ更新プログラムは今月のセキュリティ情報には含まれていません。セキュリティ アドバイザリ 2896666 をご確認いただき、回避策の適用をご検討ください。
■ 新規のセキュリティ アドバイザリの公開 (3 件)
■ 既存のセキュリティ アドバイザリの更新 (2 件)
■2013年 11月のセキュリティ情報一覧各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Nov
マイクロソフトは新たに確認した脆弱性について、次の 8 件の新しいセキュリティ情報を公開しました。
セキュリティ情報タイトル
影響を受けるソフトウェア
MS13-088
Internet Explorer 用の累積的なセキュリティ更新プログラム (2888505)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、 および Windows RT 8.1 上の Internet Explorer
MS13-089
Windows Graphics Device Interface の脆弱性により、リモートでコードが実行される (2876331)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows 2012 R2、Windows RT、および Windows RT 8.1
MS13-090
ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、 および Windows RT 8.1
MS13-091
Microsoft Office の脆弱性により、リモートでコードが実行される (2885093)
Microsoft Office 2003、 Office 2007、Office 2010、Office 2013、および Office 2013 RT
MS13-092
Hyper-V の脆弱性により、特権が昇格される (2893986)
MS13-093
Windows Ancillary Function ドライバーの脆弱性により、情報漏えいが起こる (2875783)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および Windows Server 2012
MS13-094
Microsoft Outlook の脆弱性により、情報漏えいが起こる (2894514)
Microsoft Outlook 2007、 Outlook 2010、 Outlook 2013、 および Outlook 2013 RT
MS13-095
デジタル署名の脆弱性により、サービス拒否が起こる (2868626
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、 Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフトワンポイントセキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
皆さん、こんにちは!先ほど 11 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 11 月 13 日に公開した新規 8 件 (緊急 3 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
Microsoft Baseline Security Analyzer (MBSA) の最新バージョン MBSA 2.3 を公開しました。日本語版も公開しており、こちらからダウンロード可能です。
複数のファイルが表示されますので、適切なファイルを選択してダウンロードを行ってください。
MBSA 2.3 では、Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2 を新たにサポート対象として追加しました。また、Windows 2000 のサポートを終了しました。なお、これまでに寄せられていたいくつかの問題点を修正していますが、大きな機能変更や新機能の追加はありません。
「MBSA 2.3 Preview 公開しました」のブログ記事でご紹介したように、MBSA 2.3 はプレビュー版を公開し、皆様からの多くのフィードバックをいただきました。ご協力いただきましたみなさん、ありがとうございました。ぜひ、正式版を利用してください。
こんにちは、村木ゆりかです。
Enhanced Mitigation Experience Toolkit (EMET) の新しいバージョン EMET 4.1がリリースされました。
今回は EMET 4 からのマイナー アップデートであるため、緩和策の大きな変更はありませんが、構成ファイルや管理機能の強化を行っています。
ぜひ新しいバージョンをダウンロードし利用してみてください。
入手先
ダウンロード センターで公開しています。
以前のバージョンを利用している場合、EMET 4.1 のインストールを行うことで、自動的に構成を引き継いでアップグレードが行われます。以前のバージョンをアンインストールする必要はありません。
(2014/5/1 更新)
EMET 4.1 Update 1が公開されました。今回は、主な機能変更はなく、これまでに寄せられていた既知の問題を修正しています。修正した既知の問題の一覧は、こちらのKBに記載しています。
なお、EMET4.1 Update1では、DeepHookが既定で有効に設定されています。
参考 Continuing with Our Community Driven, Customer Focused Approach for EMET
http://blogs.technet.com/b/srd/archive/2014/04/30/continuing-with-our-community-driven-customer-focused-approach-for-emet.aspx
ユーザー ガイド
現在、英語版のユーザーガイドが公開されています。
日本語版のユーザーガイドは近日公開予定です。公開時には本ブログでお知らせします。
<11/28 追記>
EMET 4.1 日本語版ユーザーガイドを公開しました。こちらからダウンロードしてください。
主な変更点
・既定のプロファイルの構成内容の変更
・リモートデスクトップを提供しているサーバー上でのEMETサポートを追加
・イベントログ機能の強化。特にマルチユーザーで利用している端末において正しく事象を把握できるようイベントログを改善
・アプリケーション互換性の改善。これまでに報告されているいくつかの誤検知の修正
サポート対象の OS
Windows XP Service Pack 3 以降
Windows Vista Service Pack 1 以降
Windows 7 すべてのサービスパック
Windows 8
Windows Server 2003 Service Pack 1以降
Windows Server 2008 すべてのサービスパック
Windows Server 2008 R2 すべてのサービスパック
Windows Server 2012
* Windows 8.1, Windows Server 2012 R2 は未サポートです。
(更新 2014/4/30 )
EMET 4.1 は、Windows 8.1, windows Server 2012 R2 をサポートすることとなりました。
必要システムについては、以下のダウンロードページをご覧ください。
http://www.microsoft.com/en-us/download/details.aspx?id=41138
サポート ライフサイクル
EMET 4.1 は、EMET 4.0 と同じライフサイクルポリシーが適用されます。すなわち、新メジャーバージョン (EMET 5) がリリースされてから 12 か月後にサポートが終了します。
関連ブログ記事
脆弱性緩和ツールEMET 4.0 リリース
EMET 4 日本語版ユーザー ガイドを公開しました
関連リンク
Enhanced Mitigation Experience Toolkit (EMET)
マイクロソフト Security Research & Defense 公式ブログ Introducing Enhanced Mitigation Experience Toolkit (EMET) 4.1
本記事は、BlueHat のブログ “New MAPP Initiatives” (2013 年 7 月 29 日公開) を翻訳した記事です。
みなさん、こんにちは。
ウイルス対策ベンダーに対して早期にセキュリティ情報を提供し始めた頃、ベンダーが保護策の開発を行い、脆弱性の定義ファイルを検証、そしてセキュリティ情報が公開された際にそれらをリリースできるように、2008 年に Microsoft Active Protections Program (MAPP) が開始されたことを覚えておられる方もいると思います。MAPP は、その当時よく使用されていた「火曜日(日本時間の水曜日)���更新し、水曜日(日本時間の木曜日)に悪用する」に対する回答でした。この頃、エクスプロイトライターは、マイクロソフトのセキュリティ更新プログラムに対しリバース エンジニアリングを行い、エクスプロイトをビルドする行程の自動化を開発しました。セキュリティベンダーは、その他の人々と同じ時間に情報を受け取り、更新プログラムを適用する前に保護策の開発を行い、定義ファイルを検証しなければなりませんでした。MAPP によって、セキュリティ ベンダーは「善人は、悪人に対して、有利なスタートを切る」ことができるようになりました。その開始から現在まで、MAPP はお客様が検証に必要な時間をかけて更新プログラムを適用できるように、マイクロソフトが更新プログラムをリリースする際に、これらのベンダーが保護策をリリースできることに成功しています。
ここに至るまで、MAPP は、マイクロソフトが実環境で悪用を発見した場合のインシデントレスポンス プロセンスの重要な部分にもなっています。これらのインシデントに見舞われている間、マイクロソフトは MAPP パートナーに詳細な検出ガイダンスを提供することで、私達の共通のお客様に対し、早急に保護策を構築できるよう支援することができます。大抵の場合、私達が恒久的な修正でその問題を解決しようと働く一方で、お客様に対して重要なレベルの保護策を提供するものです。
MAPP が開始されてから、その運用方法に少々の外的変化がありました。社内的には、プログラムの管理方法に多少の修正を行いましたが、大部分は 2008 年のものと同じプログラムで、パートナーも同じプログラムを彼らが運用を行う上で必須だと言っています。例として以下をご参照ください。
「MAPP プログラムは、Trend Micro のサイバー犯罪者に対する防御の強化を支援します。タイムリーな情報共有のおかげで、誤検出を最小限に止め、お客様に最良で正確な保護策を提供することができます。」と Trend Micro の CTO、Raimund Genes は言っています。
「MAPP から提供されたデータで、お客様に対して、ゼロデイの脆弱性への保護策をより早く提供できるようになり、問題の先回りをする価値のあるソースであることを証明しています。」 -- Peter Szabo, Senior Threat Researcher, SophosLabs Canada
「MAPP は脆弱性に関する事前通知だけではなく、実行可能な情報も提供することで、より早く、お客様のために保護策を構築することができるようになりました。このため、重要なサイクルを維持することができ、MAPP の価値ある情報共有は、私達のサイバー犯罪に対する脅威に注力したアプローチを全面的にサポートしています。」 - Matt Watchinski, Vice President of Vulnerability Research, Sourcefire
これほどの高評価をいただいていますが、マイクロソフトは常にプログラムの評価をしています。今回、変化する脅威の全体像、およびパートナーからのフィードバックを基に行ったいくつかの変更点について紹介します。
セキュリティ ベンダー向けの MAPP
はじめに、既存の MAPP プログラムの明確な定義を持ち、新しいプログラムの異なる点が何かを伝えるために、現在、世間に知られている MAPP を「セキュリティ ベンダー向けの MAPP」と呼ぶことにします。以下が、従来の MAPP が今後どうなっていくか、その概要です。
MSRC は、お客様、およびパートナーからフィードバックを集め、またそれに対処してきた歴史があります。例えば、Software Update Validation Program (SUVP) (英語情報)は、権限を与えられた企業が、運用環境外でマイクロソフトのセキュリティ更新プログラムの検証を許可し、リリース前に、それらの更新プログラムに対するフィードバックが提供されてきました。お客様とのパートナー関係は、社内検証の域を超え、お客様のネットワークで稼働している多くのカスタムアプリケーションを含みます。
ほぼ同じ方法で、セキュリティ ベンダー向けの MAPP の一環として、広範な MAPP コミュニティに配信する前に、権限を与えられたセキュリティ ベンダーがマイクロソフトの検出ガイダンスに対するフィードバックを提供する MAPP Validate (MAPP 認証) を導入しています。これは、コミュニティに準拠したイニシアティブで、開発を合理化し、より迅速で高品質な保護策をお客様に提供できるように、検出ガイダンスを使用する支援となります。
次に、パートナー達は、マイクロソフトが保護策を開発するために彼らに与えている 1 日早い開発スタートに、明確なビジネス価値を見出していると言っています。しかしながら、時には構築、検証、および上質な定義ファイルの提供には更なる時間がかかる場合もあります。そのため、検出ガイダンスを効率、改善するために、ある一定の厳しい基準を満たす MAPP パートナーについては定義ファイル開発にかかる時間を1 営業日から 3 営業日に延長します。基準については、例えば、パートナーはレポーティング要件を満たしているというトラック レコードが最低 2 年あること、また、ユーザー環境で新しい問題をパートナーが発見した場合に、私達がすばやく対応する必要があるため、私達とのパートナー関係に対する積極性が立証されていなければなりません。エントリーレベルの MAPP パートナーについては、今後も 1 日早く情報を受け取るだけです。これまでと同じように、私達はお客様のセキュリティについて非常に深刻に受け止めております。いずれかのパートナーが、気づかないうちに、あるいは気づきながらも漏えいした情報があると判明した場合は、調査の結果に依って、すべてのプログラムからはずされ、エントリーレベルのステータスのみに変更されます。
レスポンダー向けの MAPP
業界全体にわたって、標的型攻撃は企業、政府、およびその他の団体にとって主要な脅威の 1 つであると認識されています。応対する企業、CSIRT、ISAC、そしてセキュリティ ベンダーを含むインシデント レスポンダーは、これら攻撃の検出、対応、および修正という闘いの最前線に立っています。レスポンダー向けの MAPP というこのプログラムを通じて、私達は戦略的な知識の交換を可能にする新しいパートナー関係、そしてコミュニティのコラボレーションを確立しようと取り組んでいます。マイクロソフトは、悪意のある URL、ファイル ハッシュ、インシデント データ、および関連する検出ガイダンスを共有することでこの取り組みに貢献する心づもりです。「得るために与える」というモデルを採用することで、コミュニティは彼らが提供したデータがその他の関係者からのデータを集約し、強化されることで利益を得ます。
レスポンダー向けの MAPP とセキュリティベンダー向けの MAPP の違いは何でしょうか?前者が高いレベルで検出と修正を目的としているのに対し、後者は、保護策の開発がすべてです。レスポンスパートナーと共有しようと私達が計画する情報は、脆弱性に特化しているというよりは、より脅威に関する情報に注力しています。これら、2 つのプログラムを統合したものがインシデントレスポンス周辺の情報です。標的型攻撃に対し、より多くのディフェンダーで対策することが、私達の全体的な戦略の主軸です。
効果的な知識の交換には、自動化と共通の形式が必要です。これを達成するためには、Mitre の STIX (Structured Threat Information Expression [構造化された脅威情報の表現])、および TAXII (Trusted Automated Exchange of Indicator Information [インジケーター情報の信頼済み自動交換])仕様をサポートする予定です。情報の形式化、および移動に関する公開の規格として、STIX、および TAXII は広範囲に採用され始めています。形式に関わらず、私達は、脅威に関する情報を活用できる組織に対する脅威情報の流れを促進することで、お客様に対応したいと思っています。また、私達は他の一般に使用されている形式に代わる形式を構築しようと努めています。この形式は現在開発中で、近い将来、パイロット版を開始する予定です。
MAPP スキャナー
MSRC は、!exploitable、OffVis、および EMET などのツールを構築した、業界内でも指折りのエンジニアを採用しています。MAPP スキャナーは非公開のパイロット プログラムですが、インシデントの調査を目的として私達のセキュリティ エンジニアが開発した、コンテンツベースの脆弱性スキャナーです。私達は、脆弱性を悪用しようと試みているかどうか判断するため Office ドキュメント、PDF ファイル、Flash 動画、および疑わしい URL をスキャンできるクラウドベースのサービスである MAPP スキャナーをご紹介します。
MAPP スキャナーは、ファイルが脆弱性を悪用しようと試みているか判断するために、スタティック型、およびアクティブ型の両方の分析を実行します。サポートされているすべてのバージョンの Windows 上のバーチャルマシンをスピンアップし、サポートされているバージョンの適切なアプリケーション内のコンテンツを開きます。MAPP スキャナーは既知の脆弱性を検出することができ、その問題に対し CVE および影響を受けるプラットフォームを戻す一方で、より深い分析の既知の脆弱性と関連しない、疑わしいアクティビティに対しフラグをたてます。結果として、MAPP スキャナーは現在未確認の脆弱性を特定するために非常に効果的であるとともに、インシデントを調査するレスポンダーの能力と効率を劇的に向上させているといえます。
このテクノロジーを、標的型攻撃にさらされる可能性があるパートナー、および、セキュリティインシデントを調査、修正するためにパートナーと協力する人達に利用可能にすることで、新しい攻撃、および攻撃ベクターが発見される見込みが増えました。また、これは調査の効率性を目的としており、攻撃の特定、および適切な保護策が適用されるプロセスが時間短縮されます。
今後
BlueHat Prize、および私達の新しい報奨金プログラムなどの、その他のマイクロソフト セキュリティ イニシアティブと同様に MAPP の任務は「あらゆるレベルの攻撃を緩和し、お客様を保護する」というシンプルなものです。私達は、この任務を果たすためにさまざまな異なるコミュニティと協力してきた長い歴史があり、引き続き、協力関係を続けていくつもりです。また、現在取り組んでいるその他のイニシアティブもありますので、今後、この場で取り上げられるような報告をお待ちください。
Jerry BryantSenior Security Strategist
Microsoft Trustworthy Computing
2013 年 11 月 28 日、セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開しました。
Windows XP および Windows Server 2003 ��カーネル コンポーネントの脆弱性に関するレポートについて調査を行っています。Windows Vista 以降の Windows は、この脆弱性の影響はありません。Microsoft Active Protections Program (MAPP) メンバーの 1 社が、サードパーティ製品のリモートでコードが実行される脆弱性により危険にさらされているシステムで、この問題が悪用されていることを発見しました。この限定的な標的型攻撃は、悪意のある PDF ファイルを開かせることで、Windows XP および Windows Server 2003 に存在するこの脆弱性を悪用します。
現在、この問題に対応するセキュリティ更新プログラムの開発に向け取り組んでいますが、それまでの間、Windows XP または Windows Server 2003 をご利用のお客様は、アドバイザリで説明している「NDProxy.sys を無効にし、Null.sys に経路を切り替える」回避策の展開を検討してください。
2013 年 11 月度の定例セキュリティ情報公開日に、マイクロソフト セキュリティ アドバイザリ(2868725) 「RC4 を無効化するための更新プログラム」を公開しました。これは、マイクロソフトが安全な暗号化や証明書の利用を促進するための継続的な取り組み (セキュリティ アドバイザリ2854544) の一環です。
暗号は「使ってさえいれば安全」ではない
安全なデータのやり取りのために、とりあえずSSL/TLS などの暗号化は設定しているが、詳細な設定は適当なまま。そんな方も多いのではないでしょうか?
誰でも内容を読めてしまう状態(平文) でデータをやり取りすることが危険だということは明白です。では、例えば、暗号化した文章「NHB LV PV」はどうでしょう?「アルファベット順に 3 つずらす」という仕組み (暗号方式) を利用しており、復号すると「KEY IS MS」となります。この暗号文は、確かにそのままでは文章として読めませんが、単純な暗号方式であるため、勘のいい方はすぐ元の文章がお判りになったか、時間をかけていくつかの知られている暗号化方式を試すことで解読できます。これでは暗号化している意味がありません。
暗号化方式の多くは複雑性や解読までにかかる時間などを基に設計されています。このため、以前は誰も破れなかった暗号方式も、コンピューターの処理速度の向上や、新たな解析手法の登場などにより、解読できてしまい安全性が低下 (危殆化) することがあります。安全性を保つためには、暗号化を利用するだけではなく、より安全な方式を利用することがとても重要です。
RC4 とは?
ストリーム型と呼ばれる暗号化方式の 1 つで、高速でコストが安いことから多くのアプリケーションに採用されてきました。現在では、技術の進化から解読可能であることが判明するなどアルゴリズムの安全性が低くなっています。しかしながら、依然として広く利用されており、RC4 を利用する SSL/TLS が攻撃に利用されるケースが広まっています。
Internet Explorer 11では、RC4 以外のより安全性の高い暗号化方式を優先的に利用し、TLS1.2 が既定で有効であるなど、安全な方式を優先的に利用するよう設計されています。BEAST 攻撃などの現在広く知られている攻撃に対して、TLS1.2 は影響を受けません。
ウェブ サイトと、ブラウザーの間でどのような方式を利用するかは、お互いが利用できる方式を優先付けと共に通知し利用可能なものを選択します。マイクロソフトが500 万のウェブ サイトを対象に調査したところ、RC4 以外のより安全な暗号化方式が利用できるにも関わらず、ブラウザーの設定などにより利用されていないケースが約40% もあることが分かりました。Internet Explorer 11 が安全な方式を優先的に利用する設定を既定で行うことで、自動的にユーザーにより安全な環境を提供する事ができます(参考:MSRC 公式ブログ、Internet Explorer 公式ブログ (英語))
こうした状況から、Windows 8 以前の OS においても、RC4 を無効化し、より安全な環境の利用を推進するために、セキュリティ アドバイザリ2868725 「RC4 を無効化するための更新プログラム」を公開しました。(Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 は、RC4 の使用を制限する機能をあらかじめ備えています)
セキュリティ アドバイザリ 2868725 「RC4 を無効化するための更新プログラム」
対象環境
サポートされているエディションの Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT
更新プログラムの動作
更新プログラムを適用することで、レジストリ設定により使用可能な暗号としての RC4 を無効化することができます。また開発者は、SCHANNEL_CRED 構造体の中の SCH_USE_STRONG_CRYPTO フラグを使用することで、個々のアプリケーション内の RC4 を削除することもできます。これらのオプションは既定では有効でありません。すなわち更新プログラムをインストールするだけでは動作に変更がありません。(RC4 は有効のままです)
RC4を無効化しても問題ないかを十分に検証した上で、設定変更を行う必要があります。WEP,WPA,SSL/TLS における暗号方式として RC4 が利用されているケースが多くあります。ウェブサイトとクライアントでどのような暗号方式が利用されているかを調べるには、サポート技術情報 299520 を参考にしてみてください。
RC4を利用している場合は、例えば TLS ならば TLS1.2 AES-GCM など、より安全な方式を利用するよう変更することを検討ください。(参考: サポート技術情報 245030)
設定変更方法
RC4を無効化するには、更新プログラムをインストール後、レジストリの設定変更を行う必要があります。詳細は、サポート技術情報2868725 を参照してください。
検証と導入をぜひ検討してください
新たな方式の採用にあたって、検証し環境を更新することは大変な作業です。しかしながら、技術は進歩し、それに伴い、攻撃手法も進化しています。「何かしらの暗号を使っていれば安全」という時代は終わりました。安全性を保つためには、暗号を利用するだけではなく、より安全な方式を利用するよう見直していくことが重要な時代になっています。ぜひ皆さんの環境も、この機会に見直しや更新を検討してみてください。