日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
本記事は、Microsoft Security のブログ、“Cyber threats to Windows XP and guidance for Small Businesses and Individual Consumers” (2014 年 3 月 24 日公開) を翻訳した記事です。
2014 年 4 月 8 日にマイクロソフトが Windows XP の製品サポートを終了することは広く報道されているとおりです。Windows XP は 2001 年にリリースし、その後 2002 年10 月に Windows XP のサポート ポリシーを発表しました。2007 年 9 月に、マイクロソフトは、Windows XP のサポートを 2 年延長し、2014 年 4 月 8 日に延長することを発表しました。マイクロソフト サポート ライフサイクルは非常に明確なものです。この情報を以前から計画的にお伝えしていましたが、これはマイクロソフトが、お客様が技術投資の変更を計画し、新しいシステム、およびサービスの更新を管理するのには時間がかかるのを承知しているからです。
マイクロソフトは、昨年 8 月に投稿した記事のように、定期的に情報を伝えていくことにも注力しています。この記事は、サポートされているバージョンでは、Windows XP が 2014 年 4 月 9 日以降は受け取れない、発見された脆弱性を解決する、あらゆるセキュリティ更新プログラムを得られるという事実に焦点を当てていました。これは、製品がサポートされなくなってから (サポート終了後) Windows XP を稼働していると、テクノロジーに損害を与えようと企てているサイバー犯罪の影響を受けるリスクが増大することを意味します。このブログ投稿は 8 月の記事の続きであり、将来に備えている人たちが考慮すべきガイダンスも提供します。
私が最近お話した企業のお客様の多くは、デスクトップ コンピューター環境を Windows XP から、Windows 7、もしくは Windows 8 に移行するという技術プロジェクトを既に終了されているか、現在そのプロセスが終了しようとしているかのいずれかに当たります。しかしながら、私が話した中小企業、および個人のお客様の何人かは、4 月にシステムのサポートが終了しても Windows XP システムの入れ替えを検討していませんでした。これを踏まえて、これらのお客様がリスクを理解し、より安全なバージョンの Windows に早急にアップグレードする、もしくはアップグレードするという既存の計画を早められるように、サポート終了後に攻撃者が試みるであろう Windows XP ベース システムに対する、具体的な脅威をいくつか紹介したいと思います。
この記事で考察されているサイバー脅威は、マイクロソフト セキュリティ インテリジェンス レポートの最新号のデータおよび見解に基づいています。このレポートには、何億もの世界中のシステムが遭遇した脅威の総合的なデータが収録されています。それらの多くは、マイクロソフトのウイルス対策ソフトウェア、および Windows に内蔵されたセキュリティ機能、Internet Explorer、Bing、そして、その他のマイクロソフト製品およびサービスで阻止に成功しています。このデータは、Windows XP システムに対して、どの攻撃が最も使用されているかも含め、攻撃者がコンピューター システムの侵害に利用している策略の全容を示しています。また、この情報はマイクロソフト、およびウイルス対策セキュリティ企業がそれらの攻撃への対抗策の開発に役立ちます。Windows XP が製造られた年から、サイバー脅威がさらに巧妙になりました。定期的に更新プログラムを受け取っているシステムは、最新のサイバー脅威に基づいて、必要な保護策を入手できます。ですが、あらゆる製品の旧モデルは最新の情報を入手する能力が欠けており、いずれ時代遅れになってしまいます。Windows XP も、すぐに旧モデルです。
攻撃者の動機は、過去 10 年間で変わりました。10 年前、攻撃者は自分が達成した個々の悪意のある攻撃で悪名を馳せることを、主な動機づけとしていました。今日では、攻撃者は一般に、個人および企業情報を、自分たちが追跡しているシステムから盗みます。彼らは通常、悪意ある混乱やエゴよりも、財政的に利益を得ることを目的としているため、目立った行動は控えようとします。コンピューター システムから情報を盗む攻撃者は、なりすまし犯罪、および銀行詐欺の企てに利用するために、時として盗んだ情報を他の犯罪者と交換、もしくは売る場合があります。また、セキュリティ侵害されたコンピューター システムへのアクセス権は、元々の犯罪者には匿名性を与えつつ、疑うことを知らない更なる犠牲者に対して、より多くの犯罪を行うために、他の犯罪者にしばしば売られたり、貸し出されたりします。
Windows XP のリリース後と、2004 年中に、報道機関、および多くのお客様に幅広く認識された複数のサイバー攻撃が発生しました。そのようなコンピューター ウイルス攻撃を受けて、マイクロソフトは複数の重要なセキュリティ保護策に対してさらなる投資を行い、既存の改善点 (セキュリティ専門家は「緩和策」と称する) を Windows XP を稼働していたお客様の保護をより強化するために変更しました。この保護策の推奨は、2004 年にリリースされた Windows XP Service Pack 2 と呼ばれるメジャー アップデートにつながりました。Service Pack 2 で関心を持たれたセキュリティ緩和策の 1 つが、Windows ファイアウォールと呼ばれる機能です。この機能は、当時一般的だった多くの攻撃を阻止し、攻撃者 の Windows XP システム侵害が、より困難になりました。マイクロソフトのセキュリティ インテリジェンス レポートを見ると、Windows XP Service Pack 2 のリリース後、大規模な攻撃が発生する間隔が延びていることが分かります。これは、Service Pack 2 が、旧バージョンの Windows XP よりもより多くの保護策を提供したのだと証明しています。
2014 年 4 月 8 日以降に、Windows XP システム に対して私たちが予測している攻撃の種類は、現代の攻撃者の動機が反映されたものになりそうです。サイバー犯罪者たちは、問題を修正するための更新プログラムが、もはや利用できないソフトウェアを稼働している企業、および人たちを巧みに利用しようとするでしょう。攻撃者は長い時間をかけて、今後修正されることのない、4 月 8 日に終了する Windows XP 上で新規に発見された脆弱性を巧みに利用するために、悪意のあるソフトウェア、悪意のあるウェブサイト、およびフィッシング攻撃を進化させていくでしょう。
以下は、そのうち Windows XP ベースのシステムが遭遇する可能性のあるリスクの一覧です。中小企業、および個人のお客様が、最新のオペレーティング システムに移行するまでの間、一時的にサイバー攻撃から自分たちを保護するガイダンスも記載しています。
リスク # 1: インターネット サーフィン: Windows XP の新しい脆弱性は、攻撃者に販売/賃借されているサイバー犯罪悪用キットに加えられる可能性が高いです。悪用キットにより、プロの攻撃者、および未熟な攻撃者が同様に、悪意のあるサイトを訪問したシステム上に、マルウェアをインストールしようとする、悪意のある Web サイトが作成しやすくなります。悪用キットを通じて Windows XP の新しいエクスプロイト (悪用) が攻撃者にばらまかれるため、2014 年 4 月 8 日以降、Windows XP ベースシステム上でネットサーフィンするのは、より危険を伴うようになります。
ガイダンス: 4 月以降のWindows XP のようなサポートされないシステム上でインターネットを閲覧するのは、危険を伴うので、リスクに対処するために中小企業、およびお客様はインターネットで訪問するページを制限しなければなりません。これらのシステムがインターネット上でアクセスできる特定のサイトを制限する、もしくは、Windows XP システムを、インターネット接続に絶対に利用しなければ、悪意のある Web サイトを通じてセキュリティ侵害される確率が減ります。
要注意点: このような攻撃で利用されるエクスプロイトは、ブラウザーとは関係ないため、ブラウザーを変更してもリスクが緩和されることはありません。
リスク # 2: 電子メール開封とインスタント メッセージ (IM) の使用: 多くの攻撃は一般に、電子メールを介した、十分に練られたフィッシング攻撃 (英語情報) が発端です。電子メールには、サポートされていない Windows XP ベース システム用に構築された、悪意のある Web サイトにつながるインターネット アドレス (別名 URL) が載っている可能性が高いです。電子メールには、特別に細工された悪意のある添付ファイルが付いている可能性も高く、それを開くと、更新プログラムが適用されてない Windows XP の脆弱性が悪用され、攻撃者にシステムのコントロール権を奪われる可能性があります。また、攻撃者は、これまで悪意のある URL、および添付ファイルの送付に、インスタント メッセージ (IM) を使用したこともあります。2014 年 4 月 8 日以降、Windows XP ベース システム上での、電子メール開封、および IM の利用は、Windows XP の新しい脆弱性が、フィッシング攻撃、悪意のある電子メール、および IM に組み込まれるため、より危険を伴います。
ガイダンス: 悪意のある電子メール メッセージは、攻撃者がシステムの侵入権を得るために利用する最も一般的な方法です。これを踏まえて、電子メールの送受信に Windows XP システムを利用するのを避けるのが賢明です。電子メール、もしくは IM を通じて送られてきたリンクのクリック、添付ファイルの開封も避けましょう。
要注意点: これらの攻撃は、特定の電子メール、もしくは IM プログラム内の脆弱性ではなく、一般に、メッセージのコンテンツ自体に含まれるため、他の電子メール、もしくは IM プログラムを利用しても、このリスクを緩和できる可能性は低いです。
リスク # 3: リムーバブル ドライブの使用: 攻撃者は、Windows XP の新しい脆弱性をシステム侵害に利用しようとするマルウェアをばらまくために USB ドライブ、またはその他のリムーバブル ドライブを利用する可能性があります。
ガイダンス: これは、Windows XP システムがマルウェアに感染する、一般的な経路です。この種の脅威を阻止しようと、自分たちの所属する組織上の USB ポートを物理的にブロックすることに決めたお客様も複数います。Windows XP システムに、リムーバブル メモリ装置デバイスを接続するのは避けるべきです。詳細情報は、次の記事で入手可能です: 自動実行機能攻撃を防御する (英語情報) (自動実行機能に関する日本語情報「Windowsの自動実行機能 (Autorun) の無効化の効果について考える」)
リスク # 4: ワームは、Windows XP を攻撃するために、あらゆる新規に発見された脆弱性を利用する: マルウェア提供者は、Windows XP を標的とする新しい脆弱性を、増殖しようとしているマルウェアと一体化させる可能性が高いです。企業環境のシステムを感染させるための Conficker と称されるウイルスの成功 (英語情報) (Conficker の攻撃方法に関する日本語情報「Conficker の脅威について ~ マイクロソフト セキュリティ インテリジェンス レポート 第 12 版より」) では、いまだに徹底して活用されていない、セキュリティ ファイアウォール、および強力なパスワード ポリシーについて解説しています。サポート終了後も、Windows XP を引き続き利用する組織は、一般に、ファイアウォールをかいくぐり、感染した USB ドライブを通じてシステムに取り込まれる、この種の脅威を警戒しなければなりません。
ガイダンス: ファイアウォールを通じて、ご自身の環境で実行可能な、あらゆる例外を調査しましょう。ご自分のファイアウォール規則には、本当に必要な例外のみを残しましょう。Windows XP システム上のリムーバブル ドライブの使用を制限する、上述のガイダンスに従いましょう。ご自身のシステム上では、容易に推測できない強力なパスワードを利用しましょう。
リスク # 5: ランサムウェア: ランサムウェアの増大 (英語情報) を最近よく目にします。攻撃者は、この種のマルウェアを、マルウェアがユーザーのシステム上で暗号化したファイルを無理やり非暗号化、または、システムのデスクトップ解除に利用します。2014 年 4 月以降、攻撃者は、ランサムウェアをばらまくために、Windows XP ベース システム上の更新プログラムが適用されていない脆弱性を巧みに利用する可能性が高いです。この種の攻撃は、重要データ、あるいはシステムへのアクセス権を喪失するなど、中小企業およびお客様に深刻な影響を与える可能性があります。
ガイダンス: バックアップしておいたデータの復元は、ランサムウェア感染から回復するのに非常に有効です。Windows XP システム上に蓄積している、あるいは Windows XP がアクセス権を持つ、データのバックアップを頻繁に行うのが賢明です。
上記のガイダンスでは、2014 年 4 月 8 日に終了する Windows XP を稼働していることがもたらす、複数の脅威に対処するアドバイスを提供しています。しかしながら、マイクロソフトのアドバイスの主眼は明白です。要するに、10 年分の進化したセキュリティ緩和策を内蔵していて、2014 年 4 月 8 日以降もサポートを受けられる Windows 7、もしくは Windows 8 のような最新のオペレーティング システムに移行するのが最善の選択なのです。
マイクロソフトは、Windows XP を稼働するよう設計されているデバイスのアップグレードを検討されているお客様には、Windows 8、あるいはそれ以降のシステムで利用可能な機能やタッチ式のインターフェースを利用するために、タッチパネル式のラップトップ、タブレット、オールインワンなど、最新ハードウェアの購入を推奨しています。最新のデバイスは動きが速く、古いオペレーティング システムを稼働しているデバイスよりも性能が良いだけでなく、セキュリティ機能がより優れていて、絶えず活用できる、新しい改善されたネットワーク ツール、モダン アプリケーションなどが付属しています。
お客様が既存のコンピューターを Windows 8.1 にアップグレードしたい場合、アップグレードは、現在のコンピューター上のオペレーティング システムが何か、また、そのハードウェアの機能次第です。新しいオペレーティング システムをインストールするためのシステム要件はこちらで確認できます。
自分がどのバージョンの Windows を利用しているか分からないお客様は、コンピューターが Windows XP、あるいは Windows 7、Windows 8、もしくは Windows 8.1 などの、より新しいバージョンを稼働しているかを自動的に知らせるよう作られた AmIRunningXP.com を訪問してください。サイトが Windows XP を検出した場合、サポート終了の期限よりも前に、どうやってアップグレードを行うか、ガイダンスが提供されます。
Windows XP のサポート終了に関する追加情報、およびアップグレード法はこちらを参照してください。
Trustworthy Computing (信頼できるコンピューティング) 部門 ディレクター Tim Rains (ティム・レインズ)
※ 本記事中の日付は、すべて米国日付です。
サポート終了まであと 6 日となりました。サポート対象の新しい製品への移行はお済みでしょうか?
これまで、シリーズで、サポート終了後のセキュリティ リスクに関するブログを投稿してきました。
Windows XP サポート終了後のセキュリティ~ マルウェア感染率が示すリスク (2013/11/1)
サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心? (2013/12/24)
サポート終了後のセキュリティ~ネットに接続しなければ大丈夫? (2014/1/24)
サポート終了後のセキュリティ~危険なサイトにアクセスしなければ大丈夫? (2014/1/30)
改めてWindows XP サポート終了について (2014/2/20)
サポート終了後のセキュリティ~重要な情報は保存していないから大丈夫 ? (2014/2/24)
Windows XP 上でなければ Office 2003 を使い続けても安全? (2014/3/10)
証明書更新機能の進化と Windows XP サポート終了後のリスク (2014/3/20)
Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス (2014/4/2)
今日は、これまでのまとめを 1 ページでお届けしたいと思います。
サポート終了後のセキュリティ リスクに関する「よくある質問」
Q. サポート終了後でも、マルウェア対策ソフトが動いていれば安心でしょ?
A. いいえ。たとえマルウェア対策ソフトのリアルタイム保護が有効でも、マルウェアには感染します。また、リアルタイム保護が有効なマルウェア対策ソフトを実行していても、サポート終了後の製品は、サポート継続中の製品よりも 2 倍以上マルウェアに感染したというデータがあります。
昨今の攻撃においては、有名なマルウェア対策ソフトで検知されないことを確認してからマルウェアを配布したり標的型攻撃を行うケースや、一度端末に侵入するとマルウェア対策ソフトを OFF にしたりパターンファイルの更新を妨害するマルウェアもあります。標的型攻撃が増える中、セキュリティ ベンダーが新型マルウェアを先行入手できない結果、最新のパターンファイルに更新しても最新のマルウェアを捕まえられない状況も起きています。また今後、攻撃者は、サポート終了により修正されないままの脆弱性を狙い日々新しいマルウェアを開発します。そのスピードに常にマルウェア対策ソフトが追いつける保証もありません。つまり、マルウェア対策ソフトだけでは 100% の防御策にはなりません。
Q. サポート終了後でも、インターネットに接続しなければ安心でしょ?
A. いいえ。マルウェアの感染経路は、インターネット以外にもあります。USB メモリーなどのリムーバブル メディアを介して感染するマルウェアは Windows XP でトップの脅威です。
マイクロソフトが定期的に行っている調査において、リムーバブル メディアにより感染が広まる INF/Autorun と呼ばれるマルウェアは、ここ数年の間、常に感染率・遭遇率の高い種類となっています。特に、2013 年第二四半期においては、Windows XP SP3 で最も多く感染が確認されているマルウェアです。CD-ROM や USB などのリムーバブル メディアを挿入した際に、自動でプログラムを実行する動作を悪用しており、知らぬ間に感染を広げます。SD カード、デジタルカメラ、音楽プレイヤー、外付けハードディスクなどの記憶媒体も、マルウェアの「運び屋」となります。
Q. サポート終了後でも、危険な Web サイトにアクセスしなければ安心でしょ?
A. いいえ。安全だと思っている正規の Web サイトが改ざんされていることもあります。そのため、ブックマークからアクセスしても危険です。
IPA (独立行政法人情報処理推進機構) の「2014 年 1 月の呼びかけ」にもある通り、Web サイトの改ざん数は増加傾向にあります。IPA への届け出件数は過去流行時の約 2 倍です。正規の Web サイトが改ざんされた��合、一見しただけでは判別することは難しく、危険なサイトにアクセスしてしまったことさえ気づかずに、マルウェアがダウンロードされたり、金銭情報や秘密情報が抜き取られたりします。そのため、メールや Web サイト、検索結果などのリンクをクリックする際に注意を払うのは当然のことですが、いつも利用しているブックマークからアクセスしている場合でも安全ではない場合があることに注意が必要です。
Q. 自分のコンピューターには重要なデータは保存していないから、使い続けても平気でしょ?
A. いいえ。自身に被害がなくとも、気づかないうちにコンピューターを乗っ取られ、攻撃者の命令を受けて他人へ被害をもたらす加害者となることがあります。また、企業環境においては、自身のコンピューターが踏み台となり、社内の他のコンピューターが感染したり企業情報を抜き取られたりすることがあります。
例えば、2012 年の夏から秋にかけて起こったパソコン遠隔操作事件では、悪意のある攻撃者にコンピューターを遠隔操作されました。また、コンピューターがボットネットに組み込まれてしまった場合は、攻撃者の命令を受けてロボットのように迷惑メールを他人に送る、他のコンピューターにサービス拒否攻撃 (DDoS 攻撃) を仕掛けるなどします。つまり、あなた自身が気づかないうちに攻撃者、かつ、加害者となってしまうのです。また、企業環境においては、自身のコンピューターを踏み台にして組織内部のシステムに侵入され、重要な情報を盗まれるなどの被害が拡大する可能性があります。コンピューターは、他のコンピューターとネットワークもしくは USB などを通じて接触を持つという前提で、自分だけの事ではなく、周囲への影響を考えた対応が必要です。
Q. Windows XP 上でなければ Office 2003 を使い続けても安心でしょ?
A. いいえ。アプリケーション自身の脆弱性もあるため、たとえ Windows Vista や Windows 7 などのサポート継続中のオペレーティング システム上であっても、Office 2003 を使うことは危険です。
オペレーティング システムと同様、Office などのアプリケーションにも脆弱性が存在します。サポート終了後は、新たな脆弱性が発見されてもセキュリティ更新プログラムは提供されません。また、サポート終了後、サポート継続中の上位の Office バージョンにセキュリティ更新プログラムが提供された場合、攻撃者はリバース エンジニアリングを行い、Office 2003 に存在する同じ脆弱性をすぐに特定して悪用コードを作成する可能性があります。サポート終了によりセキュリティ更新プログラムが提供されない Office 2003 は永遠に「ゼロデイ」状態となり、より狙われやすくなります。
その他よくある質問
Q. サポート終了で、Windows XP や Office 2003 は動かなくなるのですか?
A. サポート終了後も、Windows XP や Office 2003 は引き続き動作します。また、Office 2003 で作成したファイルも引き続き使用できます。しかしながら、製品に対するサポートが受けられなくなるとともに、新規のセキュリティ更新プログラムの提供が行われない、証明書を更新するためのパッケージの提供が終了するなど、セキュリティ リスクが高まります。
Q. 新規のセキュリティ更新プログラムはいつまで提供されますか?
A. Windows XP および Office 2003 の新規のセキュリティ更新プログラムは、2014 年 4 月 9 日 (日本時間) まで提供されます。
Q. サポート ライフサイクルの終了日と同日に、新規のセキュリティ更新プログラムが公開されることはありますか?
A. はい。サポート ライフサイクルの終了日と同日に、その製品に対するセキュリティ更新プログラムが存在した場合は、セキュリティ更新プログラムを公開します。また、製品のサポート ライフサイクルが終了する日と同時にマイクロソフトがセキュリティ更新プログラムをリリースする場合、最短 30 日間そのセキュリティ更新プログラムのサポートを継続します。
Q. サポート終了後、これまでに提供されていたセキュリティ更新プログラムは提供停止になりますか?
A. 既存のセキュリティ更新プログラムは、オンライン セルフ ヘルプ サポート期間中 (サポート終了後最短 1 年間) は引き続き利用可能です (Windows Update/Microsoft Update を利用した更新プログラムの提供を含みます)。
Q. Office 2007/2010 を Windows XPで利用している場合、引き続きセキュリティ更新プログラムは提供されますか?
A. Office 2007/2010 のセキュリティ更新プログラムは、それぞれの延長サポートフェーズの終了までセキュリティ更新プログラムが提供されます。Windows XP にインストールされている Office であっても、Office の更新プログラムは Microsoft Update を通じて提供されます。
Q. Windows 7 上の Windows XP モードもサポート終了対象ですか?
A. はい、サポート終了対象です。Windows XP のセキュリティ更新プログラムが終了することから、Windows XP モードをお使いの場合も、通常の Windows XP と同じセキュリティ リスクがあります。
Q. Windows XP 上で利用する場合、マイクロソフトのセキュリティ製品はサポートされますか?
A. サポート終了後、マルウェア対策製品を含むマイクロソフト製品は、Windows XP での動作はサポートされません。しかしながら、サポート終了日までに完全に移行を完了できないというお客様が複数いらっしゃる状況を考慮し、Windows XP に対するマルウェア対策ソフトの定義ファイルおよびエンジンのアップデートについては、2015 年 7 月 14 日 (米国時間) まで継続します。
※対象製品:System Center Endpoint Protection (SCEP)、Forefront Endpoint Protection (FEP)、Forefront Client Security (FCS)、Windows Intune、Microsoft Security Essentials (MSE)
この決定は、あくまでも、移行に猶予期間が必要なお客様の状況を考慮した上での決定であり、Windows XP の利用を推奨するものではありません。Windows XP のセキュリティ更新プログラムが提供されないサポート終了後は、マルウェア対策ソフトの利用だけでは大きなセキュリティ リスクが存在します。Windows XP からのなるべく早い移行をお勧めします。
Q. Windows XP 用の悪意のあるソフトウェア削除ツール (MSRT) はいつまで提供されますか?
A. Windows XP 用の悪意のあるソフトウェア削除ツール (MSRT) は、2015 年 7 月 14 日 (米国時間) まで提供を行います。
Q. サポート終了後も製品を安全快適に利用し続ける方法はあるのですか?
A. コンピューターを『安全・快適に使い続けたい』とお考えのお客様には、Windows XP 発売当時と比べセキュリティ機能や処理速度が飛躍的に向上している最新コンピューターへの買い替えをお勧めしています。Windows XP が発売された 2001 年 11 月当時と現在では、PC を取り巻く環境は劇的に変化しており、Windows XP は現代の進化した脅威に対する技術やセキュリティ機能を兼ね備えていません。サポート終了前の製品移行が難しい場合には、マルウェア対策ソフトを常に最新に保つ、ファイアウォールで接続を制限する、メールの送受信やウェブサイトの利用は限定するかインターネットに接続しない、リムーバブル メディアを利用できないようにする (利用しない)、などの努力に加え、Web ブラウズには可能な限り最新ブラウザーを使用する、システムでは極力管理者権限を使わない (ユーザー権限でログイン) などの対策を行ってください。
安全神話のある日本も、昨今は世界から攻撃の標的とされています。サポート終了とともに情報漏えいや金銭詐欺の被害が横行ということがないように、備えられることはきちんと備えて、安全・安心なインターネット利用を担保したいですね。
関連リンク:
Windows XP と Office 2003 のサポートがまもなく終了します
2014 年 4 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 4 月 9 日に公開を予定している新規月例セキュリティ情報は、合計 4 件 (緊急 2 件、重要 2 件) です。
来週公開予定のセキュリティ更新プログラムで、2014 年 3 月 25 日に公開したセキュリティ アドバイザリ 2953095 で説明している Microsoft Word の脆弱性を解決する予定です。この脆弱性を悪用する Microsoft Word 2010 を対象とした限定的な標的型攻撃を確認しています。
また、次週の月例リリースで、Windows XP および Office 2003 向けの最後のセキュリティ更新プログラムを提供する予定です。これらの製品は 2014 年 4 月 8 日 (米国日付) でサポートを終了します。 サポート終了後に攻撃者が試みるであろう Windows XP ベース システムに対する、具体的な脅威と中小企業および個人のお客様が、最新のオペレーティング システムに移行するまでの間、一時的にこれらのサイバー攻撃から保護するためのガイダンスを「Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス」でご紹介していますので、ぜひご確認ください。 また、「【Windows XP、Office 2003 サポート終了まであと 6 日】あらためて、「使い続けるリスク」のまとめ」では、「ネットに接続しなければ安全でしょ?」、「ウイルス対策ソフトがあれば大丈夫?」など、サポート終了後のセキュリティ リスクに関する FAQ をまとめています。こちらもあわせてご確認ください。
なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-apr
セキュリティ情報 ID
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア*
セキュリティ情報 1
緊急
リモートでコードが実行される
再起動が必要な場合あり
Microsoft Word 2003、Word 2007、 Word 2010、Word 2013、Word 2013 RT、Office for Mac 2011、Word Viewer、Office 互換機能パック、Microsoft SharePoint Server 2010 および SharePoint Server 2013 上の Word Automation Services、Web Applications 2010、および Office Web Apps Server 2013
セキュリティ情報 2
要再起動
Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer
セキュリティ情報 3
重要
Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、 Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
セキュリティ情報 4
Microsoft Publisher 2003 および Publisher 2007.
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記リンクの「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
2014 年 4 月 9 日 (日本時間)、マイクロソフトは計 4 件 (緊急 2 件、重要 2 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急のセキュリティ情報 MS14-017 (Word), およびMS14-018 (Internet Explorer) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。
■Windows XP および Office 2003 向けの最後のセキュリティ更新プログラムを公開 事前通知でもお知らせした通り、本日 Windows XP および Office 2003 向けの最後のセキュリティ更新プログラムを提供しています。これらの製品は 2014 年 4 月 8 日 (米国日付) でサポートを終了します。サポート終了後に攻撃者が試みるであろう Windows XP ベース システムに対する、具体的な脅威と中小企業および個人のお客様が、最新のオペレーティング システムに移行するまでの間、一時的にこれらのサイバー攻撃から保護するためのガイダンスを「Windows XP に対するサイバー脅威、および中小企業と個人消費者へのガイダンス」でご紹介していますので、ぜひご確認ください。また、「【Windows XP、Office 2003 サポート終了まであと 6 日】あらためて、「使い続けるリスク」のまとめ」では、「ネットに接続しなければ安全でしょ?」、「ウイルス対策ソフトがあれば大丈夫?」など、サポート終了後のセキュリティ リスクに関する FAQ をまとめています。こちらもあわせてご確認ください。
■ 2014 年 4 月のセキュリティ アドバイザリ更新一覧
■ 既存のセキュリティ アドバイザリの更新 (2 件)
セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」 Adobe セキュリティ速報 APSB14-09 で説明している脆弱性を解決する更新プログラム 2942844 を公開しました。
セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」 セキュリティ情報 MS14-017 (Word) を公開し、本脆弱性に対処したセキュリティ更新プログラムを公開しました。この脆弱性を悪用する Microsoft Word 2010 を対象とした限定的な標的型攻撃を確認していますので、早期にセキュリティ更新プログラムを適用することを推奨いたします。
■ 2014 年 4 月のセキュリティ情報一覧 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Apr
マイクロソフトは新たに確認した脆弱性について、次の 4 件の新しいセキュリティ情報を公開しました。
セキュリティ情報タイトル
影響を受けるソフトウェア
MS14-017
Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される
Microsoft Word 2003、 Word 2007、Word 2010、 Word 2013、Word 2013 RT、Office for Mac 2011、 Word Viewer、Office 互換機能パック、Microsoft SharePoint Server 2010 および SharePoint Server 2013 上の Word Automation Services、Web Applications 2010、および Office Web Apps Server 2013
MS14-018
Internet Explorer 用の累積的なセキュリティ更新プログラム (2950467)
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8.1、Windows Server 2012 R2、および Windows RT 8.1 上の Internet Explorer
MS14-019
Windows のファイル操作コンポーネントの脆弱性により、リモートでコードが実行される (2922229)
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8、Windows 8.1、 Windows Server 2012、 Windows Server 2012 R2、 Windows RT、および Windows RT 8.1
MS14-020
Microsoft Publisher の脆弱性により、リモート コードが実行される (2950145)
新規セキュリティ情報の概要は http://technet.microsoft.com/ja-jp/security/bulletin/MS14-apr をご覧ください。
■ 最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
皆さん、こんにちは!先ほど 4 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 4 月 9 日に公開した新規 4 件 (緊急 2 件、重要 2 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。
※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。
ご利用のブラウザーは video タグをサポートしていません。
本記事は、Security Research & Defense のブログ “Assessing risk for the April 2014 security updates” (2014 年 4 月 8 日公開) を翻訳した記事です。
本日、11 件の CVE を解決する 4 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 2 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃
セキュリティ情報最大深刻度
最大悪用可能性指標
公開 30 日以内の影響
プラットフォーム緩和策、および特記事項
(Word)
被害者が RTF、あるいは DOC/DOCX ファイルを開く。
1
RTF、および DOC ベースの CVE-2014-1761 の悪用が、引き続き発生すると予想されます。
セキュリティ アドバイザリ 2953095 で説明している、「標的型攻撃における問題」の脆弱性を解決します。
(Internet Explorer)
被害者が悪意のある Web ページを閲覧する。
30 日以内に悪用コードが作成される可能性があります。
(Publisher)
被害者が悪意のある Publisher (.PUB) ファイルを開く。
30 日以内に悪用コードが作成される可能性が高い一方、Publisher の展開が限定的であるために、悪用が蔓延する可能性は低いと予想しています。
(Windows ファイル操作)
攻撃者が、共有ネットワークに悪意のある .bat または .cmd ファイルを置き、被害者が、そのファイルから、安全ではない方法で CreateProcess をコールするアプリケーションを起動する。DLL のプリロードと類似の攻撃ベクターである。
これは悪用可能な脆弱性ではありますが、この種の脆弱性が蔓延した例は過去にありません。
詳細情報は、本日投稿された SRD Blog 記事 (英語情報) を参照してください。
ジョナサン・ネス、MSRC エンジニアリング
本記事は、Microsoft Security のブログ “Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability" (2014 年 4 月 10 日公開) を翻訳した記事です。
信頼できるコンピューティング ディレクター トレーシー・プレトリウス
2014 年 4 月 8 日 (米国日付) に、セキュリティ研究者たちは、顧客データを保護するために多くの Web サイトで使用されている OpenSSL の暗号化ソフトウェア ライブラリに不具合があることを発表しました。この脆弱性は、「Heartbleed」という名称で知られており、サイバー攻撃者が通信用の暗号化キーを使用して Web サイトの顧客データへのアクセスを許可する可能性があります。
綿密な調査によって、マイクロソフトは、他のほとんどの Microsoft サービスと同様に、Microsoft アカウント、Microsoft Azure、Office 365、Yammer、および Skype が OpenSSL「Heartbleed」脆弱性の影響を受けないと判断しました。SSL/TLS を実装している Windows についても影響を受けません。(補足 1、補足 2) 他、数個のサービスについて、確認および、さらなる保護を更新し続けます。
マイクロソフトは、常に、オンライン アカウントのセキュリティに関して用心し、定期的なアカウント パスワードの変更と複雑なパスワードの使用をお客様に推奨しています。強力なパスワードを作成する方法の詳細は、セーフティとセキュリティ センターの「パスワードのチェック - パスワードは強力か?」を参照してください。
2014/4/22 追記
補足 1: 本情報を公開した 2014 年 4 月 14 日時点でサポートされているすべてのバージョンの Windows が対象です。
補足 2: Windows上で動作するマイクロソフト製品では、既定の設定では SSL/TLS の動作を行う場合 Windows OS の実装 (Schannel) を利用いたします。そのため、今回の脆弱性には該当いたしません。ご詳細は「Information about HeartBleed and IIS」(英語情報) をご参照ください。
[2014/7/30 追記]
セキュリティ アドバイザリ 2915720 およびセキュリティ情報 MS13-098 を更新し、 MS13-098 に含まれる Windows Authenticode 署名検証の機能を 2014 年 8 月 12 日 (米国日付) に既定で有効化しないことをお知らせしました。ただし、この機能自体はなくなっておらず、お客様はご自身で必要に応じて有効化することができます (設定方法や詳細は MS13-098 をご覧ください)。今回の決定は、これまでお客様と検証を進める中、既定で有効にした場合の既存のソフトウェアへの影響が大きいと判断したためです。なお、将来リリースする Windows のバージョンではこの機能を既定で有効と設定する可能性もあります。
[2014/5/22 追記]
セキュリティ アドバイザリ 2915720 およびセキュリティ情報 MS13-098 を更新し、Windows Authenticode 署名検証の自動有効化の開始を 2014 年 6 月 10 日 (米国日付) から 2014 年 8 月 12 日 (米国日付) に変更したことをお知らせしました。これに伴い、本ブログ内の日付も変更いたしました。
こんにちは、村木ゆりかです。
2013 年 12 月に公開し、2014 年 2 月にも再告知を行った セキュリティ アドバイザリ 2915720「Windows Authenticode 署名検証の変更」は、これまでにお知らせしているとおり、Windows Authenticode 署名形式で署名したバイナリの署名の検証が、より厳格な検証を行うよう動作変更します。
この動作変更の更新プログラムは、セキュリティ情報 MS13-098「Windows の脆弱性により、リモートでコードが実行される」に含まれており、2014 年 8 月 12 日 (米国時間) に、厳格な検証を有効化するよう自動更新を開始する予定です。現在、お使いの環境でこの Authenticode 署名検証変更の動作テストを実行することを推奨しています。
本日は、自動更新による有効化が始まる 6 月まであと 2 か月弱となりましたので、本ブログでも、改めてご案内いたします。
■ 概要
Windows 上にて、Authenticode 署名形式で署名されたバイナリ (Windows Portable Executable 型式) の検証を行う際、より厳格な検証を行うように動作を変更します。
動作変更の更新プログラムは、セキュリティ情報 MS13-098「Windows の脆弱性により、リモートでコードが実行される」に含まれています。現在は、更新プログラムをインストールしても、この変更は既定では有効になりませんが、2014 年 8 月 12 日 (米国時間) に、厳格な検証を有効化するよう自動更新を開始する予定です。
現在、お使いの環境でこの Authenticode 署名検証変更の動作テストを実行することを推奨しています。
■ Authenticode 署名とは
Authenticode 署名とは、デジタル署名の形式のひとつで、Windows で利用するバイナリ (Windows Portable Executable 型式) を署名するために広く利用されています。署名を行うことで、バイナリの利用時に、作成者 (発行元) の確認や、バイナリに不正な改ざんが行われていないことを確認することができます。
たとえば、インターネットで配布しているアプリケーションのインストーラーに、署名を行っておきます。ダウンロードしたユーザー側では、署名を確認することで、インストーラーが信頼のおける開発者から発行されたものであり、また、ウイルスが仕込まれるなどの改ざんがされていないことを確認することができます。
Authenticode の概要については、「Introduction to Code Signing」(英語情報) を参照してください。
■ より厳格な Authenticode 署名検証とは
Authenticode 署名に関する情報は、Public-Key Cryptography Standards (PKCS) #7 の署名データおよび X.509 証明書を使用しており、署名対象のバイナリ (Windows Portable Executable) のデータの一部として保存されています。署名されたバイナリを利用する際は、Windows の WinVerifyTrust 機能を利用し、この保存されているデータを利用して、署名が正しいものであるか検証が行われます。
より厳格な署名の検証においては、この署名データや証明書を格納しておく部分に、無関係なデータが含まれているかをチェックするようになります。もし、無関係なデータが含まれている場合は、署名は非準拠とみなします。(署名がされていないバイナリとして判断します) 非準拠のバイナリを使用している場合は、例えばバイナリがアプリケーションの場合は警告が表示されたり実行不可となる、インストーラーの場合は、インストールが行えないなどが発生する可能性があります。
技術的な詳細については、以下の情報を参照してください。
・Microsoft Security and Research Blog "MS13-098: Update to enhance the security of Authenticode" (英語情報)
・Introduction to Code Signing (英語情報) ・WinVerifyTrust function (英語情報) ・Authenticode Portable Executable Signature Format (英語情報)
■ 動作テストをお願いします
2014 年 8 月 12 日 (米国時間) までに、開発者の方は署名しているバイナリが厳格な署名検証に準拠しているか、IT 管理者の方はお使いの環境で非準拠のバイナリがないか、動作検証することをお勧めしています。
動作変更の更新プログラムは、MS13-098 で公開されているセキュリティ更新プログラムに含まれています。現時点では更新プログラムをインストールするだけでは、厳格な署名の検証有効になりません。MS13-098 のセキュリティ更新プログラムをインストールし、レジストリ EnableCertPaddingCheck 値を追加することで、厳格な署名の検証が有効になります。
厳格な署名の検証を有効にした環境で、アプリケーションやサービスが正しく稼働するか、インストーラーが正しく動作するかなどをご確認ください。
詳細は、セキュリティ アドバイザリ 2915720「推奨するアクション」の項目を参照してください。
■ タイムライン (米国時間で表記)
2013 年 12 月 10 日:
・セキュリティ アドバイザリ 2915720「Windows Authenticode 署名検証の変更」を公開
・セキュリティ情報 MS13-098「Windows の脆弱性により、リモートでコードが実行される」を公開し、署名の検証方法を変更する修正を公開
注意: 現時点では更新プログラムをインストールしても、この変更は既定では有効になりません。
2014 年 2 月 11 日
・セキュリティ アドバイザリ 2915720 を再リリースし改めてお知らせ
2014 年 8 月 12 日 (予定)
・Authenticode 署名のより厳格な検証を有効化するための更新を、自動更新で配信予定
・より厳格な検証が有効化された端末においては、署名データや証明書を格納しておく部分に、無関係なデータが含まれているかをチェックするようになります。
・無関係なデータが含まれている場合は、署名は非準拠とみなします。(署名���されていないバイナリとして判断します)
・非準拠のバイナリを使用している場合は、例えばバイナリがアプリケーションの場合は警告が表示されたり実行不可となる、インストーラーの場合は、インストールが行えないなどが発生する可能性があります。
■ 参考情報
Microsoft Security and Research Blog "MS13-098: Update to enhance the security of Authenticode" (英語情報)
Introduction to Code Signing (英語情報) WinVerifyTrust function (英語情報) Authenticode Portable Executable Signature Format (英語情報)
セキュリティ情報、セキュリティ アドバイザリ サイトをリニューアルしました。
ナビゲーション ウィンドウの導入により、各セキュリティ情報、セキュリティ アドバイザリ ページのアクセスが容易になりました。
リニューアルに伴い、以下のとおりに URL が変わっていますので、ご注意ください。お気に入りなどブックマークされている場合には、新 URL への変更をお願いいたします。なお、当面は旧 URL にアクセスいただいても自動的に新サイトに遷移いたします。
旧 URL: http://technet.microsoft.com/security/bulletin/MSNN-NNN
新 URL: https://technet.microsoft.com/library/security/MSNN-NNN
新サイト例: https://technet.microsoft.com/library/security/MS14-001
セキュリティ アドバイザリ
旧 URL: http://technet.microsoft.com/security/Advisory/XXXXXXX
新 URL: https://technet.microsoft.com/library/security/XXXXXXX
新サイト例: https://technet.microsoft.com/library/security/2953095
下記のセキュリティ情報およびセキュリティ アドバイザリのトップページにつきましては URL の変更はありません。
セキュリティ情報トップページ https://technet.microsoft.com/security/bulletin/
セキュリティ アドバイザリ トップページ https://technet.microsoft.com/security/advisory/
2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。
----------------------------
本日マイクロソフトは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開しました。
このアドバイザリは、Internet Explorer において確認されている脆弱性の説明、および脆弱性から保護するための回避策を提供しています。ユーザーが、影響を受けるバージョンの Internet Explorer で特別に細工されたウェブサイトを閲覧した場合に、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。
この脆弱性の悪用状況は、現在のところ Internet Explorer 9, Internet Explorer 10, Internet Explorer 11 を対象とした限定的な標的型攻撃のみを確認しています。アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。
■ 影響を受ける環境
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9
Internet Explorer 10
Internet Explorer 11
■ 回避策
セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下のいずれかまたは併せて回避策を実施してください。
回避策 1: EMET を導入する
Enhanced Mitigation Experience Toolkit (EMET) の以下の構成で、現在確認されている悪用を防ぐことを確認しています。
(4/30 追記) EMET 4.0: すべての緩和策、および、deephooks/antidetour を有効化
EMET 4.1: すべての緩和策、および、deephooks/antidetour を有効化
EMET 5.0 Technical Preview: ASR および EAF+ を含むすべての緩和策、および deephooks/antidetour を有効化
注意: EMET 3 は緩和策として有効ではありません。
EMET については、私たちのチームのブログでも解説をご用意しています。まだご存知のない方は、ぜひこの機会に導入をご検討ください。
・セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit」
・日本のセキュリティ チーム ブログ「EMET 4.1 を公開~構成ファイルや管理機能の強化」「EMET 5.0 Technical Preview 公開しました」
回避策 2: Vector Markup Language (VML) を無効化する
ベクター画像の描画に利用される VML を無効化することで、現在確認されている悪用を防ぐことを確認しています。VML 無効化の設定方法は、セキュリティ アドバイザリの回避策を参照してください。なお、本回避策を有効にした場合、アプリケーションやウェブサイトで VML を利用しているものは表示できない、などの影響が想定されますのでご留意ください。
回避策 3: 拡張保護モードを有効にする
拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。
インターネット オプションを開き、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (64 ビット システムの場合) にチェックを入れます。チェックを入れた後は、再起動が必要です。
その他の回避策については、セキュリティ アドバイザリをご覧ください。
■ 参考リンク
Microsoft Security Response Center (MSRC) 公式ブログ
Microsoft releases Security Advisory 2963983 (英語情報)
Security Research and Defense 公式ブログ
More Details about Security Advisory 2963983 IE 0day (英語情報)
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
-----------------------------------------------
更新履歴
4 月 30 日 回避策に、EMET 4.0 を追記しました。
----------------------------------------------------------------------------
このブログでは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明している脆弱性について、ユーザー別に推奨する回避策を記載しています。このブログでは、お客様環境に合わせて設定しやすい回避策を記載していますが、その他の回避策やすべての回避策を実施していただいても問題ありません。
セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。
※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。
Windows Vista をお使いのお客様:
VML の無効化を実施してください。
32 ビット (x86) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:
64 ビット (x64) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:
Internet Explorer 10 以上を使用して拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。可能な場合は、Internet Explorer 10 以上を使用し、拡張保護モードを有効にしてください。
Internet Explorer 8 または Internet Explorer 9 を引き続きお使いのお客様は、VML の無効化を実施してください。
64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
Windows RT/RT 8.1 をお使いのお客様:
新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様:
EMET の導入を実施することが最も効果が高い対策となります。すでに検証済み、または過去に導入したことがある場合などは、EMET の導入による回避を検討してください。
EMET の導入が難しい場合は、VML の無効化を実施してください。
32 ビット版の Windows 7 以降のオペレーティング システムをお使いのお客様:
上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。
64 ビット版の Windows 7 / Windows Server 2008 R2 以降のオペレーティング システムをお使いのお客様:
Internet Explorer 8 または 9 を引き続きお使いのお客様は、上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。
64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
Windows RT/Windows RT 8.1 および、64 ビット版の Windows 7 / Windows Serve 2008 R2 以降のオペレーティング システム上の Internet Explorer 10 および Internet Explorer 11 では、拡張保護モードを有効にすることで、現在確認している攻撃を防ぐことができます。
設定方法
Internet Explorer を起動し、[ツール] ボタン (歯車マーク) から [インターネット オプション] を選択します。
[詳細設定] タブをクリックし、[設定] の [セキュリティ] セクションまでスクロールします。
Internet Explorer 10 の場合は、[拡張保護モードを有効にする] のチェックをオンにします。
Internet Explorer 11 の場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (Windows 8 以降の x64 システムの場合) のチェックをオンにします。
[OK] をクリックして [インターネット オプション] を閉じます。
システムを再起動します。
Enhanced Mitigation Experience Toolkit (EMET) はマイクロソフトが無償で提供している、セキュリティ脆弱性緩和ツールです。以下の構成で、現在確認されている悪用を防ぐことを確認しています。
EMET 4.0: すべての緩和策、および、deephooks/antidetour を有効化
注意 : EMET 3 は緩和策として有効ではありません。
注意 : EMET を導入する際には、十分検証を行ってください。EMET により Windows 自体が強化され、脆弱性の悪用を防ぐことができますが、一部のプログラム (特に古いプログラム) との互換性に問題を生じる場合があります。ツールとともにダウンロードされるユーザーズガイド等を参照のうえ、十分に検証を行ってください。なお、EMET は今回の脆弱性だけでなく過去の脆弱性や今後の新規の脆弱性に対しても効果が期待できますので、導入されていない場合は今後の導入もご検討ください。
補足:EMETの回避策の設定について アドバイザリの回避策においては、EMET の既定の構成にて、攻撃の緩和が可能と示されています。 これに対して、ブログでは、既定の構成に加え、Deep Hook を有効にするようご案内しています。
これは、既定の設定で有効になっている Heapspray 緩和策によって最低限の攻撃は緩和できるためです。 しかしながら、Deep Hook を有効にすることで有効となる緩和策を有効にするほうが、より強固な緩和策となり、Heapspray の緩和策を迂回する攻撃を緩和する効果もあります。 このため、より強固な緩和策を備えるために、既定では有効ではないDeep Hookの設定を有効にしていただくことをブログ上では推奨しています。
EMET は Enhanced Mitigation Experience Toolkit (EMET) からダウンロードできます。ダウンロード後は、ユーザーガイドに従って設定を行ってください。
*EMET 4.0 は Windows 8.1 および Windows Server 2012 R2 には対応していません。EMET 4.1/5.0 は現在サポートしているすべての OS で対応しています。
参考情報
EMET については、私たちのチームのブログでも解説しています。まだご存知のない方は、ぜひご確認ください。
ベクター画像の描画に利用される VML を無効化することで、現在確認されている悪用を防ぐことを確認しています。なお、本回避策を有効にした場合、アプリケーションやウェブサイトで VML を利用しているものは表示できない、などの影響が想定されますが、VML は Web では一般的なテクノロジーではなく通常の Web サイトで利用されていることが少ないこと、また Internet Explorer 9 以降には同様のベクター グラフィックを表示する Web 標準テクノロジーである SVG が搭載されているため、無効にした場合の直接的な影響は少ないと考えられます。
VML無効化の手順
Windows Vista、Windows 7 の場合:
Windows 8、Windows 8.1 の場合:
VML 有効化の手順
VML を有効に戻したい場合は、以下の手順を実行します。
コマンド プロンプトを管理者権限で開きます。
以下を入力します。 32 ビット版 Windows の場合: "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" 64 ビット版 Windows の場合: "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" "%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll"
ダイアログ ボックスが表示され、登録が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
設定を有効にするために、Internet Explorer を再起動します。
■ 関連リンク
日本のセキュリティチームのブログ
セキュリティ アドバイザリ 2963983「Internet Explore の脆弱性により、リモートでコードが実行される」
■ 更新履歴
2014/4/30 20:15: 企業のお客様の回避策に、サーバー OS の記述を追加しました。
2014/5/1 14:35: 回避策をまとめた表を追加しました。「Windows RT/RT 8.1 をお使いのお客様の場合」を追加しました。VML 無効化の手順に画像を追加し、明確化しました。手順に変更はありません。EMET の回避策に補足を追加しました。