日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
2014/5/8 17:00 記載: セキュリティ更新プログラムが正しくインストールされたか確認を行いたい場合は、「更新プログラムが正しくインストールされたか確認する方法」をご覧ください。KB2964358 あるいは、KB2964444 が更新履歴に表示されていれば正しくインストールされています。(必要なセキュリティ更新プログラムの詳細は、セキュリティ情報をご参照ください)。もし、インストールされていない場合は、「Windows Update 利用の手順」をご参照ください。
2014/5/2 13:30 記載: 本セキュリティ更新プログラムは自動更新が有効なお客様には自動で配信されます。ただし、現在、順次配信を行っており、Windows Update でのチェックボックスがオフになっている場合もあります。この場合チェックをオンにしてインストールしていただくことも可能です。(5/9 現在すべてのお客様に自動で配信されています)
2014/5/2 13:00 記載: セキュリティ情報 MS14-021 内のダウンロードリンクからセキュリティ更新プログラムをダウンロードされるお客様へ。ダウンロードリンクをクリックして表示される英語のダウンロードセンターページから、[Select Language] で Japanese を選択し、更新プログラムをダウンロードください。なお、言語依存のない Vista 以降の一部のセキュリティ更新プログラムは、English しか選択できないものもありますが、その場合は English を選択ください。言語依存はありませんので、日本語環境でも適用していただけます。また、セキュリティ更新プログラムは Microsoft Update カタログからも入手いただけますのでご利用ください。
-----------------------------------------------------------------
本日、セキュリティ アドバイザリ (2963983) (4 月 26 日 (米国日付) 公開) で説明している Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。
今回の脆弱性への対応において、特例として、Embedded 含む Windows XP 上の Internet Explorer 用セキュリティ更新プログラムも公開することを決定いたしました。
Windows XP をご利用の一般ユーザーが、いまだ非常に多い状況を受けての特別な措置です。Windows XP のサポートは終了していますので、Windows 8.1 などへの最新の Windows に早急に移行することを強く推奨いたします。
なお、Windows XP を含め、本脆弱性を悪用する攻撃が広まっている状況ではありませんのでご安心ください。本脆弱性の影響に関しては、これまでの所、大きすぎる懸念が広がっていると考えております。攻撃は非常に限定的ですので、ご安心ください。
現在、本脆弱性を悪用した標的型攻撃が限定的な範囲ですが確認されていますので、影響を受けるすべてのコンピューターに対して、自動更新・Windows Update・Microsoft Update 等を利用し早期にセキュリティ更新プログラムをインストールするようお願いいたします。
セキュリティ更新プログラムインストール方法(Windows Update 利用の手順)
既定では、自動更新が有効になっている為、自動的にセキュリティ更新プログラムがインストールされます。既定でご利用の場合は追加のアクションは必要ありません。
Windows Update の利用手順を確認するには、お使いの Windows のリンクをクリックしてください。
Windows 8 / Windows 8.1
Windows 7
Windows Vista
Windows XP
インストールする際の注意
セキュリティ アドバイザリ (2963983) の回避策「VGX.DLL に対するアクセス制御リスト」を行ったコンピューターは、セキュリティ更新プログラムをインストールする前に解除する必要があります。詳細は、セキュリティ情報 MS14-021の [更新プログラムに関する FAQ] を参照して下さい。なお、他の回避策 (回避策: Vector Markup Language (VML) を無効化するを含む) を行っているコンピューターでは、セキュリティ更新プログラムのインストール前に解除する必要はありません。ただし、回避策により制限された機能等を元に戻すために、インストール後に適宜解除設定を実施してください。
手動でインストールする際の注意
企業ユーザーなどで、手動でセキュリティ更新プログラムをインストールする必要がある場合は、下記点にご注意ください。詳細は、セキュリティ情報 MS14-021の [更新プログラムに関する FAQ] を参照してください。
今回の Internet Explorer 用セキュリティ更新プログラムは、累積的なセキュリティ更新プログラムではありません。セキュリティ情報 MS14-021 で提供しているセキュリティ更新プログラムをインストールする前に、最新の累積的なセキュリティ更新プログラムをインストールする必要があります。
Internet Explorer 11 には、複数のセキュリティ更新プログラムがありますが、コンピューターの構成により、インストールが必要なセキュリティ更新プログラムが異なります。Windows 7 および Windows Server 2008 R2 に 2929437 更新プログラムをインストール済みの場合、Windows 8.1, Windows Server 2008 R2、および、Windows RT 8.1 に 2919355 更新プログラムをインストールの場合は、2964358 セキュリティ更新プログラムをインストールしてください。これらの更新プログラムをインストールしていない場合は、2964444 セキュリティ更新プログラムをインストールしてください。
参考情報
マイクロソフト セキュリティ情報 MS14-021 – 緊急 Internet Explorer 用のセキュリティ更新プログラム (2965111) (2014/5/02)
マイクロソフト セキュリティ アドバイザリ 2963983 Internet Explorer の脆弱性により、リモートでコードが実行される (2014/4/28)
日本のセキュリティチームのブログ セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 (2014/4/28) [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される (2014/4/30) [FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される (2014/5/01)
MSRC ブログ Out-of-Band Release to Address Microsoft Security Advisory 2963983 (2014/5/02) Security Update Released to Address Recent Internet Explorer Vulnerability (2014/5/02)
Microsoft ブログ
Updating Internet Explorer and Driving Security (2014/5/02)
SRD ブログ More Details about Security Advisory 2963983 IE 0day (2014/4/26) Protection strategies for the Security Advisory 2963983 IE 0day (2014/04/30)
2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。
本脆弱性に関し、お客様からの疑問や不安の声も多く寄せられたため、現時点で判明している事実をもとに、お客様から寄せられた疑問に Q&A 形式で回答しています。回避策については、 [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される にまとめています。また、本ブログの最後に「回避策の解説」を記載しています。セキュリティ更新プログラムによる対応が行われるまでの間、お客様の環境を保護するために、記載の回避策を実施してください。
Q. Internet Explorer を起動するだけで攻撃されると聞きましたが、本当ですか?
A. いいえ。コンピューターワームなどとは異なり、Internet Explorer を立ち上げているだけで攻撃を受けるものではありません。Internet Explorer を使用して、攻撃者により特別に細工されたウェブサイトを表示した場合に、脆弱性が悪用される可能性があります。適切な対応を実施していただくことで、被害を未然に防ぐことが可能です。
Q. 今回問題になっているのはどのような脆弱性ですか?
A. リモートでコードが実行される脆弱性です。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスする方法にこの脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性があります。
Q. 脆弱性とは何ですか?
A. 脆弱性とは、ソフトウェアにおけるセキュリティ上の問題点のことです。ウイルスなどに代表される悪意のあるソフトウェア (マルウェア) は、この脆弱性を悪用してシステムに侵入し、パスワードやクレジットカード情報を盗むなどの犯罪を行います。
Q. どのように攻撃されるのですか?
A. 攻撃者は、この脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導 (例:偽装メール等で、悪意のあるサイトに誘導する) してその Web サイトを Internet Explorer で表示させます。ユーザーが、影響を受けるバージョンの Internet Explorer で特別に細工されたウェブサイトを閲覧すると、リモートでコードが実行される可能性があります。Internet Explorer で悪意のあるコードが実行されると、Internet Explorer が異常終了する、コンピューターがマルウェアに感染するなどします。
絵でみるセキュリティ情報で、一般的な「リモートでコードが実行される」脆弱性の攻撃パターンについての図説を載せていますので、併せてご参考ください。
Q. 攻撃されると、どのような被害が起きるのですか?
A. この脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得できる可能性があります。よって、現在のユーザーが管理者ユーザー権限でログオンしている場合は、影響を受けるコンピューターが完全に制御され、情報搾取、任意のプログラムのインストール、データの表示、変更、削除等、さまざまな被害が発生する可能性があります。
Q. 「細工されたウェブサイト」にアクセスしなければ、安全ですか?
A. はい。ただし、細工されたウェブサイトは一見安全に見えたり、正規のウェブサイトが改ざんされていたりすることもあります。一見しただけでは判別することは難しく、危険なサイトにアクセスしてしまったことさえ気づかない場合があります。したがって、[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行されるをご覧いただき、お使いのバージョンに合わせた回避策を実施して、万一細工されたウェブサイトにアクセスしてしまった場合でも、悪用されないよう対策してください。
Q. 一般ユーザーも危ないのですか?
A. マイクロソフトでは現在、Internet Explorer 9、10、11 に対する、限定的な標的型攻撃のみを確認しています。しかし、同じ脆弱性は Internet Explorer 6、7、8、9、10、11 のバージョンで存在しています。Internet Explorer をお使いのお客様は、適切な回避策を実施して、悪用を防ぐ対策の実施をお願いします。
Q. 標的型攻撃とはどんなものですか?
A. 標的型攻撃は、マルウェアなどを使って行われるサイバー攻撃のうち、特定の企業や組織を標的 (攻撃対象) として行われる攻撃です。通常、企業や組織の機密情報を盗み出す目的で行われます。
Q. 本件の最新情報はどこで公開されていますか?
A. 今後も日本のセキュリティ チームのブログで随時情報を提供・更新予定です。
Q. セキュリティ更新プログラムはいつ公開されますか?
A. 現在対応を進めており、調査が完了次第、マイクロソフトは、お客様を保護するための適切な措置を講じる予定です。これには、マイクロソフトの月例のセキュリティ更新プログラムのリリース、または、定例外のセキュリティ更新プログラムの提供が含まれます。それまでの間、ブログやアドバイザリに記載の回避策を適用して、悪用が行われないよう対策してください。
Q. マイクロソフトのマルウェア対策製品は、本脆弱性を悪用するマルウェアを検出しますか?
A. 本脆弱性を悪用するマルウェアを確認次第、随時、定義ファイルの更新を行っています。ただし、定義ファイルは、あくまでも、脆弱性の悪用を行うマルウェアの検出・駆除を行うことが目的です。脆弱性への対応としては、回避策を行った上で、定義ファイルを最新にし、既知のマルウェアを予防するようにしてください。
Q. Surface 2 / Surface RT を使用しており、Internet Explorer 以外のブラウザーを使用する選択肢がありません。Internet Explorer を使い続けても安全ですか?
A. 適切に回避策を実施いただいていれば、脆弱性の悪用を防ぐことができるため、Internet Explorer を使い続けても安全です。こちらを参考に、拡張保護モードの有効化を実施してください。
Q: Windows XP を使用しています。どうすればいいですか?
A: Windows XP は 2014/4/9 にサポートが終了しています。今後、適切なサポートを受けるためにも、なるべく早急にサポート対象の新しいバージョンの Windows への移行を検討してください。
Q. どの回避策を実施すればよいですか?
A. こちらのブログで、お客様環境に合わせて設定しやすい回避策を記載していますので、ご確認ください。なお、表に記載以外の回避策やすべての回避策を実施していただいても問題ありません。
回避策の解説
以下に、今回の脆弱性に対し、アドバイザリおよび [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行されるで紹介している回避策を簡単に解説します。
・攻撃を失敗させるための対策 (EMET)
セキュリティ更新プログラムの提供は、たとえば建物への侵入経路を塞ぐことに相当します。建物の構造の変更を伴うため、対策 (工事) を完了するには時間がかかります。これに対して EMET は、警報装置のような働きをします。そして、EMET が攻撃を検知すると、すべての通路を閉鎖 (プログラムの停止) することで、攻撃を防ぎます。EMET は、このような手法で、今回の脆弱性に限らず、幅広く攻撃を防ぐことが可能です。
・Internet Explorer をシステムから分離する (拡張保護モード)
攻撃を行うためには、標的となったプログラム (Internet Explorer) を乗っ取り、コンピューター内部に深く侵入する必要があります。建物への侵入を例にすると、侵入者は、まずは侵入可能な部屋に入り込み、その部屋の扉を内側から開け、より価値のある場所へと移動しようとします。
今回の脆弱性では、Internet Explorer が悪用を試みる部屋に相当します。Internet Explorer の拡張保護モードは、部屋のドアが内側からも開かないようにする技術で、部屋に侵入をされた場合でも、部屋から出ることを阻止することで攻撃を防ぎます。
・攻撃の糸口を塞ぐ (VML の無効化)
今回の脆弱性を悪用するためには、まず Internet Explorer の一部として動作するプログラムを悪用し、Internet Explorer の特定の情報を見つける必要があります。建物の例でいえば、侵入に利用できる経路に関する図面を入手し、その図面を使って Internet Explorer という部屋に入り込むようなものです。このため、攻撃の糸口となる情報を失くしてしまえば攻撃を防ぐことが可能です。VML を無効にすることで、Internet Explorer を攻撃するための情報 (図面) を無くすことに相当します。攻撃の糸口がなくなれば、攻撃を行うことができなくなります。
関連情報
[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される
2014/5/14 13:00 記載: セキュリティ情報 MS14-029 内のダウンロードリンクからセキュリティ更新プログラムをダウンロードされるお客様へ。一部ダウンロードリンクにエラーが発生していましたが、現在は復旧しています。なお、言語依存のない Vista 以降の一部のセキュリティ更新プログラムは、ダウンロードリンクをクリックすると、英語のダウンロードセンターページが表示される場合があります。言語依存はありませんので、日本語環境でも適用していただけます。
--------------------------------------------------------------
2014 年 5 月 14 日 (日本時間)、マイクロソフトは計 8 件 (緊急 2 件、重要 6 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 3 件の公開、および、既存のセキュリティ アドバイザリ 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様は、できるだけ早期に今月公開のセキュリティ更新プログラムをインストールするようお願いします。企業のお客様でインストールに優先付けが必要な場合は、MS14-024 (Microsoft コモン コントロール)、MS14-025 (グループ ポリシー基本設定)、および、MS14-029 (Internet Explorer) のセキュリティ更新プログラムを優先的にインストールすることを推奨いたします。
■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点
MS14-025 (グループ ポリシー基本設定) のセキュリティ更新プログラムは、自動更新を含め、Windows Update / Microsoft Update からは配信されません。これは、更新プログラムが、グループ ポリシーの設定の機能の一部を削除するため、事前の検証や追加の作業の必要性についてご確認いただく必要があるためです。なお、Windows クライアントでは、リモート サーバー管理ツールをインストールしている場合に、Windows サーバー システムでは、グループ ポリシー管理を構成している場合にのみ脆弱性の影響を受けます。影響を受けるコンピューターでは、Microsoft ダウンロード センター、または、Microsoft Update カタログからセキュリティ更新プログラムを入手しインストールしてください。
MS14-029 (Internet Explorer) は、Internet Explorer の過去の脆弱性の対処をすべて含む累積的なセキュリティ更新プログラムではありません。MS14-029 の脆弱性の対処と、MS14-021 の脆弱性の対処のみを含みます。そのため、MS14-029 のセキュリティ更新プログラムをインストールする前に、最新の累積的なセキュリティ更新プログラムをインストールする必要がありますので、手動でインストールを行う場合は注意してください。(5月 14 日 12:30 追記: インストールの順番は特に重要ではありません)詳細は、セキュリティ情報 MS14-029の [更新プログラムに関する FAQ] を参照してください。
■ 新規のセキュリティ アドバイザリの公開 (3 件)
セキュリティ アドバイザリ 2962824「失効した非準拠の UEFI モジュールの更新プログラムのロールアップ」 UEFI (Unified Extensible Firmware Interface) セキュア ブート時に読み込まれる可能性がある、4 つの非公開のサードパーティ製 UEFI モジュールのデジタル署名を失効させる更新プログラムを公開しました。
セキュリティ アドバイザリ 2871997「資格情報の保護と管理を改善する更新プログラム」 Windows 7、Windows Server 2008 R2、Windows 8、Windows RT、および、Windows Server 2012 用の資格情報の保護とドメイン認証の制御を改善して資格情報の盗用を低減する更新プログラムを公開しました。
■ 既存のセキュリティ アドバイザリの更新 (1 件)
■2014 年 5 月のセキュリティ情報一覧 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。https://technet.microsoft.com/ja-jp/library/security/ms14-May
マイクロソフトは新たに確認した脆弱性について、次の 8 件の新しいセキュリティ情報を公開しました。
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア
MS14-022
Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2952166)
緊急
リモートでコードが実行される
再起動が必要な場合あり
Microsoft SharePoint Server 2007、SharePoint Server 2010、SharePoint Server 2013、Office Web Apps 2010、Office Web Apps 2013、SharePoint Server 2013 Client Components SDK、SharePoint Designer 2007、SharePoint Designer 2010、および SharePoint Designer 2013
MS14-023
Microsoft Office の脆弱性により、リモートでコードが実行される (2961037)
重要
Microsoft Office 2007、Office 2010、Office 2013、および Office 2013 RT
MS14-024
Microsoft コモン コントロールの脆弱性により、セキュリティ機能のバイパスが起こる (2961033)
セキュリティ機能のバイパス
MS14-025
グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
特権の昇格
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2
MS14-026
.NET Framework の脆弱性により、特権が昇格される (2958732)
Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Microsoft .NET Framework
MS14-027
Windows Shell ハンドラーの脆弱性により、特権が昇格される (2962488)
要再起動
Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
MS14-028
iSCSI の脆弱性により、サービス拒否が起こる (2962485)
サービス拒否
Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、およびWindows Server 2012 R2
MS14-029
Internet Explorer 用のセキュリティ更新プログラム (2962482)
Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer
■最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
[2014/06/02 追記]
セキュリティ インテリジェンスレポート 第 16 版の日本語要約版を公開しました。
本記事は、Microsoft Security のブログ “New Data Sheds Light on Shifting Cybercriminal Tactics” (2014 年 5 月 7 日公開) を翻訳した記事です。
本日公開された新しいデータは、マイクロソフトが最新のソフトウェアに搭載されたセキュリティ緩和策が、攻撃者予備軍の活動を難しくしていると示しています。有効なセキュリティ緩和策により、セキュリティ犯罪者の活動にかかる費用が上がりました。また、このデータは、サイバー犯罪が、システムを侵害しようとする試みにおいて、詐欺的な手法をこれまで以上に利用していることを示しています。
これからお話するのは、マイクロソフトがお客様、パートナー様、および、より広範なサイバー セキュリティ コミュニティの方々が、サイバー犯罪者によるツール、手法、および脅威について理解を深められるように、年 2 回公開しているサイバー セキュリティ レポートの主要な調査結果についてです。これは、サイバー犯罪からご自身と所属する組織を保護しようとしている IT および セキュリティの専門家に必須な情報です。
Trustworthy Computing (信頼できるコンピューティング) 部門のセキュリティ サイエンス チームが実施した新しい調査の結果、2010 年から 2013 年の間で、マイクロソフト製品において悪用された深刻な脆弱性 (リモートでコードが実行される可能性があるもの) の数が、70 %低下したと判明しました。これは、脆弱性が存在するような場合であっても、最新の製品が強固な保護策を提供していると明らかに示しています。このように希望に満ちた傾向が見られる一方で、サイバー犯罪者も諦めてはいません。マイクロソフトのデータでは、2013 年の下半期に、攻撃者が欺瞞的な行為を利用したサイバー犯罪活動に顕著な上昇がみられたと明らかになっています。詐欺的な手法の継続的な上昇は際立っています。2013 年の第 4 四半期には、詐欺的な手法の結果による影響を受けたコンピューターの台数が 3 倍以上に達したのですが。最新のマイクロソフト製品に搭載されているセキュリティ緩和策で、攻撃者予備軍にとって技術面でのハードルを上げましたが、これは、詐欺的な手法の使用を急上昇させている要因の 1 つでもあるかもしれないのです。
手法の中で、多くの攻撃者が最も利用しているのが「偽ダウンロード」です。マイクロソフトの調査では、110 か国/地域のうち 95 %以上で、偽ダウンロードが最大の脅威でした。サイバー犯罪者は、ひそかに悪意のあるアイテムをソフトウェア、ゲーム、または音楽などの正規のアイテムと一つにまとめています。良い買い物をしたいという人々の欲求を巧みに利用して、サイバー犯罪者は、オンライン上でダウンロード可能な無料のプログラム、および無料のソフトウェア パッケージと悪意のあるマルウェアをまとめます。例えば、ある人が Web サイトからダウンロードしたファイルを所有しているものの、そのファイルを開くための適切なソフトウェアをインストールしていないと思われるために、そのファイルを開くことができない、というのが考えられる典型的なシナリオです。結果として、彼らはオンライン検索をし、そのファイルを開くのに役立つと思われる無料のソフトウェア ダウンロードを見つけます。無料のソフトウェアは、その他のアドオンも備えています。自分が手に入れると思っていたものに加えて、ダウンロードでマルウェアもインストールされるのです。マルウェアは、被害者のコンピューター プロファイルを評価するので、すぐにインストールされる場合もありますし、後ほどインストールされる可能性もあります。これらの悪意のあるアイテムは、目に見える感染の影響がシステムの動作が遅いだけで、水面下で影響をおよぼしていくため、マルウェアのインストールは、被害者が感染に気づく数か月前、あるいは数年前に起こっている可能性も考えられます。
2013 年後半には、偽ダウンロードがサイバー犯罪者の間で間違いなく流行っていました。しかしながら、サイバー犯罪者が利用した手法はそれだけではありませんでした。次に目立った詐欺的な手法が、ランサムウェアの使用でした。ランサムウェアのコンセプトは単純です。まず、サイバー犯罪者がデジタル的に個人のマシンを乗っ取り、支払いを目当てにロックします。そして、被害者が料金を支払うまで、マシン、あるいはファイルのコントロール権を返すのを拒否します。多くの場合、コンピューター、あるいはファイルのコントロール権が被害者に決して戻ることはなく、有益なデータ、画像、動画、音楽などを失います。2013 年の上半期から下半期にかけて、世界的に遭遇した最大のランサムウェアによる脅威は、45 %まで上昇しました。データでは、ランサムウェアの脅威が長期間にわたって、地理的に集中している場合が多いと示されています。手っ取り早くもうけようとしているサイバー犯罪者にとっては、ますます魅力的な手法となっています。
詐欺的な手法が次第に蔓延している一方で、人々が自分自身と所属する組織を保護するために実行できるアクションがあるということを知っておくことが重要です。できる限り最新のソフトウェアを使用する、それを最新状態に保つ、ソフトウェアは信頼できるソースからのみダウンロードする、信頼できない、あるいは知らない送信者からの電子メール、およびインスタント メッセージ (IM) を開くのは避ける、ウイルス対策ソフトウェアを実行し、それを最新の状態に保つ、そして、有益なデータやファイルはバックアップをとる、これらを実行すれば、攻撃者が詐欺的な活動を成功させるのはより困難です。
この新しいレポートにはたくさんの有益な情報が掲載されています。詐欺的な手法、およびその他の重要な気づきに関する詳細を知りたい方は、http://www.microsoft.com/japan/sir にお立ち寄りください。
Trustworthy Computing (信頼できるコンピューティング) 部門 ディレクター Tim Rains (ティム・レインズ)
本記事は、Security Research & Defense のブログ “Assessing risk for the May 2014 security updates” (2014 年 5 月 13 日公開) を翻訳した記事です。
本日、13 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 6 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃
セキュリティ情報最大深刻度
最大悪用可能性指標
公開 30 日以内の影響
プラットフォーム緩和策、および特記事項
(Internet Explorer)
被害者が悪意のある Web ページを閲覧する。
1
CVE-2014-1815 を利用する悪用が引き続き発生する可能性があります。
この更新プログラムには、5 月 1 日の定例外セキュリティ情報 MS14-021 で解決された CVE-2014-1776 用の修正が含まれています。ですが、MS14-029 は累積的な更新プログラムではありません。この更新プログラムを適用する前に、まず初めに、最新の Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールしてください。
(コモン コントロール - MSCOMCTL)
被害者が悪意のある RTF ドキュメント を開く。
なし
セキュリティ機能のバイパスのみです。コード実行による悪用が直接行われる可能性は低いです。
この脆弱性は、現場で悪用されている以下の CVE について ASLR のバイパスとして利用されています:
この更新プログラムをインストールすると、今後起こりうる、あらゆる悪用で、このコントロールが ASLR のバイパスとして利用されるのを防ぎます。
(グループ ポリシー 基本設定)
既にドメイン参加のワークステーションに侵入した攻撃者が、そのアクセスを、グループ ポリシー基本設定をクエリするために利用し、難読化されたドメイン アカウントの資格情報を発見する可能性がある。
攻撃者が、エンタープライズ ネットワーク中を縦横無尽に移動するために、この侵入後の悪用 (post-exploitation) 手法として悪用されることが発生する可能性があります。
セキュリティ更新プログラムにより、今後この機能が利用されるのを阻止できますが、管理者が以前に保存してまだ利用可能なパスワードを削除するのが必須です。この問題および悪用を阻止する方法については、SRD blog 投稿 (英語情報) で詳細に説明しています。
(Shell)
既に低い特権のユーザーとしてマシン上でコードを実行している攻撃者が、特権の低いプロセスを昇格するために、ShellExecute 関数を利用して、昇格された/高い特権のプロセスを巧みに利用する。
限られた数のコモディティ (一般に流通しているという意味) マルウェア サンプルで利用されていると分かりました。低い特権から高い特権に昇格するために、この脆弱性を利用しようと試みるマルウェアが引き続き発生する可能性があります。
以下のマルウェア ファミリに見られるように、それぞれが既にマイクロソフトのマルウェア対策製品で阻止されています:
Backdoor:Win32/Koceg Backdoor:Win32/Optixpro.T Backdoor:Win32/Small Backdoor:Win32/Xtrat PWS:Win32/Zbot Rogue:Win32/Elepater Rogue:Win32/FakeRean Trojan:Win32/Dynamer!dtc Trojan:Win32/Malagent Trojan:Win32/Malex.gen Trojan:Win32/Meredrop Trojan:Win32/Otran Trojan:Win32/Rimod Trojan:Win32/Sisron TrojanDropper:Win32/Sirefef TrojanSpy:Win32/Juzkapy VirTool:MSIL/Injector VirTool:Win32/Obfuscator Virus:Win32/Neshta Worm:Win32/Autorun Worm:Win32/Fasong Worm:Win32/Ludbaruma Worm:Win32/Rahiwi
(SharePoint)
SharePoint サーバーに任意のコンテンツをアップロード可能な攻撃者が、SharePoint サービス アカウントの権限でコードを実行する可能性がある。
30 日以内に悪用コードが作成される可能性があります。
攻撃者は、脆弱性を引き起こすためには、 SharePoint サーバーにコンテンツをアップロードする権限を与えられていなければなりません。悪用に利用できる特質ではありますが、この種の脆弱性が蔓延した例は通常ありません。
(Office)
攻撃者は、被害者をマイクロソフト オンライン サービスに認証するよう誘導し、攻撃者には認証トークンを取得、または再使用する。
この更新プログラムは、トークン再使用の脆弱性だけではなく、中国語の文法チェッカー DLL を含む DLL プリロードの問題も解決します。マイクロソフトは、最近、この種類の攻撃からアプリケーションを保護する最適な方法について網羅しているドキュメントを作成し、投稿しました。ガイダンスは blog 投稿 (英語情報) を参照してください。
(.NET Framework)
.NET Remotingを利用して開発されたカスタム アプリケーションは、特別に細工されたデータへの応答として攻撃コード実行のアクセスを与える可能性がある。
.NET Remotingはあまり使われておらず、.NET Framework version 2 により開発されたアプリケーションが主です。
(iSCSI)
iSCSI エンドポイントに到達可能な攻撃者が、Windows ホスト上で恒久的なリソースの消耗をもたらす、サービス拒否の攻撃を起こす可能性がある。
3
サービス拒否のみです。直接コードが実行される可能性はありません。
ジョナサン・ネス、MSRC エンジニアリング チーム
2014 年 5 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 5 月 14 日に公開を予定している新規月例セキュリティ情報は、合計 8 件 (緊急 2 件、重要 6 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 https://technet.microsoft.com/ja-jp/library/security/ms14-may
影響を受けるソフトウェア*
セキュリティ情報 1
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
セキュリティ情報 5
セキュリティ情報 6
セキュリティ情報 7
セキュリティ情報 8
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
こんにちは、村木ゆりかです。
これまで何度か取り上げてきました信頼できる証明書や公開鍵基盤 (PKI) について、今回は、さらなる信頼できる環境を実現するために Internet Explorer 11 (以下、IE 11) から実装している SmartScreen の証明書評価についてご紹介します。
■ 「信頼できる証明機関」だけではもう古い
多くのウェブサイトは、自身の身分を証明し、安全な暗号化通信を行うために、証明書を利用しています。これまでは、証明書を発行した「証明機関が信頼できる」かどうかが、証明書の信頼性を評価する大きな指標でした。
信頼できる証明機関は、厳しい監査の元に適正な運用を行っており、発行される証明書は非常に信頼の高いものです。
しかしながら、最近は、証明機関やウェブサイトがサイバー攻撃を受け侵害されたり、弱いアルゴリズムを利用している証明書が狙われたりするなど、証明書自体を取り巻く脅威が増加しています。このため、信頼している証明機関が発行した証明書であっても、その証明書自体が現在不正に利用されていないか、個別に確認を行う必要性が増してきています。このため、「証明機関が信頼できるか」という確認に加え、「証明書も問題ないか」を確認することが、非常に重要な指標となっています。
■ 証明書の信頼は取り消される場合がある
証明機関は、証明書を発行する際、対象のウェブサイトが詐欺に利用するサイトではないか、などの審査を行って発行しています。しかしながら、発行した後、ウェブサイトの証明書 (鍵) が窃盗にあったり、不正な行為を働いていたりする場合など、証明書の利用を取りやめなくてはいけない場合があります。ちょうど、現実世界でも、運転免許証を発行された後、重大な違反があると運転免許証が利用停止になってしまうようなものです。
通常、証明機関は、このように発行した証明書の信頼性が危ぶまれている場合、証明書の信頼を取りやめる措置 (失効) を取ります。マイクロソフトでも、ルート証明書プログラムや、信頼できない証明書のリストの配布などの取り組みを行っています。信頼できない、失効された証明書が利用された場合は警告が表示されたり、利用ができなくなったりします。
しかしながら、時には、証明機関やマイクロソフトが行っている失効のしくみを利用できないユーザー環境や、昨今、急速に拡大する不正に利用された証明書やによる被害も発生しています。このような脅威や環境に迅速に対応するために、これまでの証明機関やマイクロソフトの取り組みに加え、追加で、証明書の最新の信頼性を評価するしくみの必要性が増しています。
■ SmartScreen 証明書評価による多層的な保護
このような急速に広がる脅威に対して、より迅速に対応し、信頼できる証明書環境を実現するために、Internet Explorer 11 SmartScreen では、閲覧しているウェブサイトで利用されている SSL 証明書についても信頼性の評価を行うしくみを取り入れました。
SmartScreen とは、Internet Explorer の機能で、既定で有効で、個人情報を盗もうとするフィッシング詐欺サイトや、悪意のあるソフトウェアのダウンロードを防止するセキュリティ機能です。閲覧しているウェブサイトや、ダウンロードしているプログラムの危険性を、マイクロソフトが収集しているデータを基に評価します。もし、危険と判断される場合は、警告を表示します。
SmartScreenの証明書評価は、これまでの、証明機関やマイクロソフトが実施している失効のしくみに加え、ウェブサイトを閲覧しているときに利用しているブラウザー上で、さらに追加で、証明書の信頼性を確認するしくみを入れることで、より多層防御となり、不正な証明書による被害を未然に防ぐことを目的としています。
広範囲に広がりを見せている中間者攻撃 (Man-In-The middle 攻撃) からの保護を主な目的としています。今後、少人数を対象とした攻撃や、そのほかの攻撃からの保護へとも拡張していくことを検討しています。
図: 証明書評価のしくみ
■ シナリオ例
SmartScreen の証明書評価で利用される信頼性の判断基準は、マイクロソフトが収集している脅威の分析に基づいて、行われています。「昨今広まっている攻撃に利用されている証明書に類似している」などの分析も反映させており、怪しいと思われる証明書に対しては、警告を表示することで、ユーザーの皆さんが被害に遭うことを未然に防ぐことを目的としています。たとえば、以下のようなシナリオがあります。
ウェブサイトが利用している証明書に設定されている属性が、下位の証明機関として利用できるような属性が設定されており、通例はサーバー証明書として利用しないものである。
中間者攻撃 (Man-In-The middle 攻撃) によくみられる傾向に類似している証明書である。たとえば、ウェブサイトが、突然、これまでに提示していたサーバー証明書とは異なる新たな証明書を提示していて、また、新たな証明書は特定の地域のみで利用されておりこれまでとは異なる証明機関から発行されているなど。
ウェブサイトが利用している証明書に設定されている属性が、これまで証明機関が発行時に通常は設定していない属性が含まれている。たとえば、異なる OCSP レスポンダー箇所など。これらは、証明機関が不正に侵害されている可能性などが挙げられます。
■ 信頼できる PKI 環境のために
PKI や証明書は、これまで、信頼の基盤として、大きな安心を提供してきました。ゆえに、攻撃者にも狙われており、信頼基盤に対する脅威はこれからも出現するでしょう。しかし同時に、こうした脅威からの保護策も、さらに改善し、進化し続けます。今回紹介した SmartScreen 証明書評価のしくみも、さらに改善を継続していきますし、Public Key Pinning, Perspectives や Convergence, Certificate Transparency (CT) など、業界で実現化へ向けて進められている対策や、一歩先を行くための保護策は多く検討されています。こうした新機能は新製品へ次々と反映されていきます。ぜひ、IE 11 を試してみてください。
--------------------------------------------------------------------------
■ 補足: SmartScreen にて送信される情報について
プライバシーはマイクロソフトが提唱する信頼できるコンピューティングの重要な要素です。マイクロソフトは悪意のあるウェブサイトからユーザーのみなさんの保護を行うと同時に、プライバシーも尊重しています。SmartScreen を利用している際にマイクロソフトに送信されている情報は、HTTPS により暗号化されており、データは、IP アドレスや個人を特定する情報は含まれていません。詳細は、「プライバシーに関する声明」を参照してください。
■ 関連情報
マイクロソフト セーフティとセキュリティ センター「SmartScreen フィルターとは? 」
Windows PKI Blog「A novel method in IE 11 for dealing with fraudulent digital certificates」 (英語情報)
本記事は、Trustworthy Computing のブログ “Enabling trust in the cloud” (2013 年 12 月 2 日公開) を翻訳した記事です。
Trustworthy Computing (信頼できるコンピューティング) 部門統括マネージャー、Adrienne Hall (エイドリアン・ホール)
提供される巨大な保存力とメリットに引かれて、クラウド コンピューティングの採用を考慮する企業が増えています。しかし、本当にその準備ができているでしょうか。そして、その機会を活用できるのでしょうか。
この疑問は、12 月 4 日にフロリダ州オーランドで開催されるクラウド セキュリティ アライアンス (CSA) の 2013 年度会議で発表する、クラウドの信頼を築くことに関するプレゼンテーションの準備をしながらずっと気になっていたことです。
クラウド コンピューティングが企業にとって大きな価値があることは明らかです。マイクロソフトの依頼で 2013 年 6 月に comScore が実施した調査によると、中小企業 (SMB) の大部分が、クラウド サービスの採用後にセキュリティのメリット (94%)、プライバシー保護の強化 (62%)、サービス可用性の向上 (75%) を経験しています。
自分たちはこのようなメリットに対する準備がちゃんとできているとお考えになるかもしれません。しかし、今後あなたの企業にクラウドを構築するという選択肢を検討する際は、移行の準備ができているかどうかを判断することが重要です。マイクロソフトの Trustworthy Computing 部門から 2012 年 10 月にリリースされた Cloud Security Readiness Tool (CSRT) はまさにこのためのツールです。
CSRT を使用すると、企業は現在の IT の状況を簡単に理解して改善することができます。このツールは、クラウド サービス プロバイダーがどのようにリスクを軽減できるか、関連業界の規制に伴う懸案事項にどのように対処するか、についてのガイダンスも提供します。
CSRT は CSA の Cloud Controls Matrix (CCM) に基づいています。これは参加者に 27 の質問をし、その回答から、IT 部門の現状がどの成熟度に当てはまるかをランク付けして詳細にレポートするものです。その段階は、1) 開始したばかり、2) 進行中、3) もう少しで完了、4) 整備完了の 4 つです。これによって、CSRT は回答者の IT の準備態勢が進むような特別の推奨を提供して、クラウド サービスを採用した場合の利点を示すことができます。
CSRT のデータから、多くの企業が IT 環境のクラウドへの移行に向けてもっと準備すべきであることがわかります。下のグラフに示すように、回答者の多くがクラウドの準備がまだできていないとレポートされています。
CSA は同じ CCM 基準を使用して、さまざまなクラウド コンピューティング製品によるセキュリティ コントロールについて文書化しています。その結果は、Security, Trust and Assurance Registry で公開されています。これは、企業がクラウド プロバイダーを選択するための優れたリソースです。
マイクロソフトは、STAR などの CSA プログラムに積極的に参加しています。Microsoft Dynamics CRM Online、Microsoft Office 365、Microsoft Windows Azure の STAR エントリーについては、CSA サイトでご覧いただけます。
皆さん、こんにちは!先ほど 5 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 5 月 14 日に公開した新規 8 件 (緊急 2 件、重要 6 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。
※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。
ご利用のブラウザーは video タグをサポートしていません。