日本のセキュリティチーム

2013 年 5 月のセキュリティ更新プログラムに関してリスクを評価する

JSECTEAM — Thu, 23 May 2013 02:38:00 GMT

本記事は、Security Research & Defense のブログ “Assessing risk for the May 2013 security updates” (2013 年 5 月 14 日公開) を翻訳した記事です。

本日、私たちは 33 件の CVE を解決する 10 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 8 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

セキュリティ情報	最も起こりうる攻撃方法	セキュリティ情報最大深刻度	最大悪用可能性指標	公開 30 日以内の影響	プラットフォーム緩和策、および特記事項
MS13-038 (Internet Explorer 8)	被害者が、悪意のある Web ページを閲覧する。	緊急	1	CVE-2013-1347 は、現在、実際の攻撃に悪用されています。	米国労働省の web サイトで、最初に悪用コードとして発見された問題を解決します。MS13-037 の IE8 mshtml.dllおよび CVE-2013-1347 の追加の修正が含まれます。脆弱性のあるコードは IE9 にも存在しますが、同じ現象に対して脆弱性があるわけではありません。IE 9 の更新プログラムは、多層防御のためのものです。
MS13-037 (Internet Explorer)	被害者が、悪意のある Web ページを閲覧する。	緊急	1	30 日以内に悪用コードが作成される可能性があります。
MS13-039 (HTTP.sys)	攻撃者が、悪意のある HTTP リクエストを被害者の IIS サーバーに送り、リソースの消耗による、サービス拒否を引き起こします。	重要	1	30 日以内に、サービス拒否に対する悪用コードが作成される可能性があります。	ターゲットとなる可能性が高いのは、Windows Server 2012 の web サーバーです。Windows Server 2003、2008、2008 R2 は影響を受けません。
MS13-042 (Publisher)	被害者が、悪意のある .PUB ファイルを開く。	重要	1	30 日以内に、サービス拒否に対する悪用コードが作成される可能性があります。	11 件の CVE が、主に Publisher 2003 に影響を与えています。また、これは Publisher 2007、および Publisher 2010 にも影響を与えます。 Publisher 2013 には影響を与えません。
MS13-046 (Kernel mode drivers, win32k.sys およびdxgkrnl.sys)	マシン上で既にコードを実行している攻撃者、これらの脆弱性の内の1 つを、特権が低いアカウントからシステムに昇格するために利用する。	重要	1	この脆弱性について、悪用コードを作成することは困難です。
MS13-043 (Word 2003)	被害者が、悪意のある .doc ファイルを開く。	重要	2	この脆弱性について、悪用コードを作成することは困難です。	Word 2007、Word 2010、Word 2013、Word Web Apps、および Office for Mac には影響を与えません。
MS13-041 (Lync)	被害者が Lync チャットの招待を承諾し、その後、攻撃者が提示する共有のプログラム、もしくは共有のコンテンツを閲覧することに同意します。	重要	2	この脆弱性について、悪用コードを作成することは困難です。	通常の Lync チャット経由では悪用できません。被害者が、共有コンテンツの閲覧に同意する必要があります。
MS13-044 (Visio)	被害者が、Visio がインストールされたシステム上で、悪意のある SVG 画像を開く。この一連の出来事を通じて、Visio は自動的にローカルファイルのコンテンツをリモートサーバーに送信してしまいます。	重要	3	直接、コード実行されることはありません。これは、「情報漏えい」のみの脆弱性です。
MS13-045 (Windows Writer)	被害者は、悪意のある wlw:// URL をクリックし、Windows Writer を開く。結果、ログイン可能なユーザーが書き換え可能な、ローカルファイルを上書きする可能性があります。	重要	3	直接、コード実行されることはありません。	プロンプトをクリックすると、ユーザーは Windows Writer を開くよう勧められます。脆弱性が引き起こされるのは、ユーザーが Windows Writer を開くことに許可した場合のみです。
MS13-040 (.NET Framework)	.NET Framework が、XML ファイルのデジタル署名を認証しようとするプロセスが、初めに署名済みの XML として提示されたように、署名されていない XML を署名済みの XML として承認する可能性があります。	重要	3	直接、コード実行されることはありません。これは、「なりすまし」の脅威です。

ジョナサン・ネス、MSRC エンジニアリング

2013 年 5 月のマイクロソフトワンポイントセキュリティ～ビデオで簡単に解説～

JSECTEAM — Wed, 15 May 2013 01:21:00 GMT

皆さん、こんにちは！
先ほど 5 月のマイクロソフトワンポイントセキュリティ情報を公開しました。

本日 5 月 15 日に公開した新規 10 件 (緊急 2 件、重要 8 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフトワンポイントセキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

View Video
Format: wmv
Duration: 8:40

2013 年 5 月のセキュリティ情報 (月例) – MS13-037 ～ MS13-046

JSECTEAM — Tue, 14 May 2013 22:55:00 GMT

先週の事前通知でお知らせしましたとおり、新規セキュリティ情報 合計 10 件 (緊急 2 件、重要 8 件) を公開しました。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たな脅威ファミリ 3 件に対応しています。

お客様は可能な限り早期にセキュリティ更新プログラムをインストールするようお願いします。適用に優先順位を設定する必要がある企業ユーザーのお客様は、MS13-037 (Internet Explorer)、MS13-038 (Internet Explorer) および MS13-039 (HTTP.sys) を優先的に適用いただくことを推奨します。なお、MS13-039 に関しては、特にインターネットに公開している Windows Server 2012 システムは優先して適用してください。

また、今月のセキュリティ情報公開同日に、新規セキュリティアドバイザリ 2 件を公開し、既存のセキュリティアドバイザリ 2 件を更新しました。

■新規セキュリティアドバイザリの公開 (2件)

セキュリティアドバイザリ 2846338「Microsoft Malware Protection Engine の脆弱性により、リモートでコードが実行される」を公開し、Microsoft Malware Protection Engine の脆弱性を解決する更新プログラムを公開したことお知らせしています。
セキュリティアドバイザリ 2820197「ActiveX の Kill Bit 更新プログラムのロールアップ」を公開し、サードパーティ製ソフトウェア用の ActiveX の Kill Bitの新しいセットを公開しました。

■既存のセキュリティアドバイザリの更新 (2件)

セキュリティアドバイザリ 2847140「Internet Explorer の脆弱性により、リモートでコードが実行される」を更新し、今月公開した MS13-038 のセキュリティ更新プログラムがこのアドバイザリで説明している問題に対応したことをお知らせしました。
MS13-038 のセキュリティ更新プログラムの適用に際し、以下の点に注意してください。詳細はセキュリティ情報 MS13-038を参照してください。
- MS13-037 のセキュリティ更新プログラムを併せて適用する (インストールの順序はどちらが先でも構いません)
- セキュリティアドバイザリ 2847140 の回避策として提供していた Microsoft Fix it ソリューション (サポート技術情報 2847140) を適用している環境にも MS13-038 のセキュリティ更新プログラムを適用することができます。しかしこの回避策は、Internet Explorer の起動時間に若干の影響を与えるため、セキュリティ更新プログラムの適用後に回避策を無効化することをお勧めします。回避策無効化の手順はサポート技術情報 2847204 を参照してください。

セキュリティアドバイザリ 2755801「Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム」を更新し、Adobe セキュリティ速報 APSB13-14 で説明している脆弱性を解決する最新の更新プログラム KB2837385 を公開したことをお知らせしました。
なお、Windows 7 および Windows Server 2008 R2 用の Internet Explorer 10 には、Adobe Flash Player は組み込まれておりません。そのため、Windows 7 および Windows Server 2008 R2 用の Internet Explorer 10 をご利用のお客様は、Adobe セキュリティ速報 APSB13-14を参照し、更新プログラムをインストールしてください。

■2013 年 5 月のセキュリティ情報一覧
セキュリティ情報の概要、脆弱性の悪用可能性指標、更新プログラムのダウンロード先などがご覧いただけます。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-may

マイクロソフトは新たに確認した脆弱性について、次の 10 件のセキュリティ情報を公開しました。

セキュリティ情報 ID	セキュリティ情報タイトル	最大深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア
MS13-037	Internet Explorer 用の累積的なセキュリティ更新プログラム (2829530)	緊急	リモートでコードが実行される	要再起動	Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、およびWindows RT 上の Internet Explorer
MS13-038	Internet Explorer 用のセキュリティ更新プログラム (2847204)	緊急	リモートでコードが実行される	再起動が必要な場合あり	Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 and Windows Server 2008 R2 上の Internet Explorer (8 および 9)
MS12-039	HTTP.sys の脆弱性により、サービス拒否が起こる (2829254)	重要	サービス拒否	要再起動	Microsoft Windows 8、Windows Server 2012、および Windows RT
MS13-040	.NET Framework の脆弱性により、なりすましが行われる (2836440)	重要	なりすまし	再起動が必要な場合あり	Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、およびWindows RT
MS13-041	Lync の脆弱性により、リモートでコードが実行される (2834695)	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Communicator 2007、 Lync 2010、 Lync 2010 Attendee、および Lync Server 2013
MS13-042	Microsoft Publisher の脆弱性により、リモートでコードが実行される (2830397)	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Publisher 2003、 Publisher 2007、および Publisher 2010
MS13-043	Microsoft Word の脆弱性により、リモートでコードが実行される (2830399)	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Word 2003 および Word Viewer
MS13-044	Microsoft Visio の脆弱性により、情報漏えいが起こる (2834692)	重要	情報漏えい	再起動が必要な場合あり	Microsoft Visio 2003、Visio 2007、および Visio 2010
MS13-045	Windows Essentials の脆弱性により、情報漏えいが起こる (2813707)	重要	情報漏えい	再起動が必要な場合あり	Windows Essentials 2011 および Windows Essentials 2012
MS13-046	カーネルモードドライバーの脆弱性により、特権が昇格される (2840221)	重要	特権の昇格	要再起動	Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、および Windows RT
* 上記の影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの全一覧は、セキュリティ情報のサマリの Web ページの「影響を受けるソフトウェア」のセクションをご覧ください。

■最新のセキュリティ情報を動画と音声でまとめて確認

日本マイクロソフトセキュリティレスポンスチームが IT プロの皆様に向けて、短時間で最新のセキュリティ情報の知りたいポイントを動画と音声で紹介する今月のマイクロソフトワンポイントセキュリティ情報は、本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ情報の適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

変更履歴:

セキュリティアドバイザリ 2755801 の更新プログラムの番号に誤りがありましたので、正しい番号に修正しました。

2013 年 5 月 15 日のセキュリティリリース予定 (月例)

JSECTEAM — Fri, 10 May 2013 02:02:00 GMT

2013 年 5 月の月例セキュリティリリースの事前通知を公開しました。
2013 年 5 月 15 日に公開を予定している新規月例セキュリティ情報は、合計 10 件 (緊急 2 件、重要 8 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の「今月のマイクロソフトワンポイントセキュリティ」も同日午後に公開する予定です。

公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-may

セキュリティ情報 ID	最大深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア*
セキュリティ情報 1	緊急	リモートでコードが実行される	再起動が必要な場合あり	Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT 上の Internet Explorer
セキュリティ情報 2	緊急	リモートでコードが実行される	要再起動	Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 上の Internet Explorer (8 および 9)
セキュリティ情報 3	重要	サービス拒否	要再起動	Microsoft Windows 8、Windows Server 2012、および Windows RT
セキュリティ情報 4	重要	なりすまし	再起動が必要な場合あり	Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT
セキュリティ情報 5	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Communicator 2007、Lync 2010、Lync 2010 Attendee、および Lync Server 2013
セキュリティ情報 6	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Publisher 2003、Publisher 2007、および Publisher 2010
セキュリティ情報 7	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Word 2003 および Word Viewer
セキュリティ情報 8	重要	情報漏えい	再起動が必要な場合あり	Microsoft Visio 2003、Visio 2007、および Visio 2010
セキュリティ情報 9	重要	情報漏えい	再起動が必要な場合あり	Windows Essentials 2011 および Windows Essentials 2012
セキュリティ情報 10	重要	特権の昇格	要再起動	Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、および Windows RT
上記のサマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの全一覧は、次の「事前通知の Web ページ」のリンク先から「影響を受けるソフトウェア」のセクションをご覧ください。

カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了

JSECTEAM — Wed, 08 May 2013 08:17:00 GMT

本記事は、Microsoft Security のブログ“The Countdown Begins: Support for Windows XP Ends on April 8, 2014” (2013 年 4 月 8 日公開) を翻訳した記事です。

2013 年 4 月 8 日を迎え、Windows XP Service Pack 3 (SP3) の延長サポート終了まで 1 年を切りました。そこで今日は、サポート終了がもたらす影響をお客様にご理解いただけるように、この変化に伴う重要なセキュリティ関連問題についてご説明したいと思います。

Windows XP のリリースから 12 年が経ち、世界は大きく変わりました。インターネットを使用するユーザーは 3 億 6,100 万人から 24 億人以上へと増加しました。私たちは電子メール、インスタントメッセージング、ビデオ通話、ソーシャルネットワーキング、そしてさまざまな Web ベースのデバイス一元型のアプリケーションを使って、社会とつながりを持つインターネット市民の到来を目の当たりにしてきました。インターネットは、社会に溶け込んでいくにつれて、悪意のある行為の恰好の標的にもなりました (これはマイクロソフトセキュリティインテリジェンスレポートからも明らかです)。インターネットの急速な進化を考慮し、サイバー犯罪の一歩先を行くためにソフトウェアのセキュリティを進化させる必要がありました。急激に変化する脅威からユーザーを保護するために、マイクロソフトは通常、ビジネス製品と開発者向け製品についてはリリース後 10 年間、ほとんどのコンシューマー製品、ハードウェア製品、マルチメディア製品についてはリリース後 5 年間にわたってサポートを提供しています。

マイクロソフトで長きにわたって確立されてきたプロダクトサポートライフサイクルに従って、2014 年 4 月 8 日 (米国時間) 以降、Windows XP SP3 ユーザーには新しいセキュリティ更新プログラム、セキュリティ以外の修正プログラム、無償/有償の支援サポートオプション、オンラインの技術コンテンツの更新は提供されなくなります。つまり、Windows XP のサポート終了後に新しい脆弱性が発見されても、マイクロソフトは新しいセキュリティ更新プログラムで対処することはしないということです。このためサポート終了後は、攻撃者が、セキュリティ更新プログラムが提供されていない脆弱性を悪用して、Windows XP ベースのシステムに侵入しやすくなります。この状況下では、マルウェア対策ソフトウェアや他のセキュリティ緩和策の効果が激減し、時間と共に次第に Windows XP プラットフォームを保護できなくなります。

プラットフォームのサポートが終了した後にマルウェア感染率がどのように変化するかを、Windows XP Service Pack 2 (SP2) を例にとって見てみましょう。Windows XP SP2 のサポートは 2010 年 7 月 13 日 (米国時間) に終了しました。このプラットフォームはリリース時に多数のセキュリティ強化機能が搭載されましたが、現在では Windows XP SP3 や新しい Windows オペレーティングシステムよりもマルウェア感染率は高くなっています。下の図を見ると、Windows XP を実行しているコンピューターはいずれの時期においても、サポート中の他の Windows バージョンを実行しているコンピューターと比べ、マルウェア感染率がかなり高くなっていることがわかります。Windows XP の感染率が高い主な原因は、新しいバージョンの Windows に組み込まれている主要なセキュリティ機能が Windows XP には備わっていないという点にあります。今とは違う時代に設計された Windows XP は、Windows 7 や Windows 8 などの新しいオペレーティングシステムほど効果的には脅威を緩和できないのです。

図 1: Windows XP SP2 および SP3、Windows 7 RTM および SP1 の感染率 (CCM) の傾向 - 2010 年上半期 (1H10) から 2012 年下半期 (2H12)

Windows XP がリリースされてから 12 年の間に脅威は進化し、それに対抗してソフトウェアのセキュリティも進化してきました。より最新のオペレーティングシステムには次のような新しいセキュリティ機能が多数備わっており、犯罪行為からユーザーを堅牢に保護することができます。

カーネルの強化: 新しいバージョンの Windows では、次のように Windows カーネルに対するセキュリティ関連機能が多数強化されています。
- アドレス空間レイアウトのランダム化 (ASLR): Windows Vista で導入された ASLR は、コアプロセスの読み込みに使用するメモリの場所をランダム化することで、攻撃者がメモリの場所を予測してターゲットプロセスを攻撃するのを困難にします。
- 構造化例外処理の上書き保護 (SEHOP): Windows Vista SP1 で導入された SEHOP は、登録済みの例外ハンドラーが呼び出される前に、スレッドの例外ハンドラーリストが変更されていないことを確認することで、悪質なコードが例外ハンドラーを上書きしてコードを実行するのを防止します。アプリケーションの互換性の理由から、SEHOP は Windows のクライアントバージョンでは既定で無効になっていますが、レジストリキーを設定することで有効にすることができます。
- データ実行防止 (DEP): これは、システムが 1 つ以上のメモリページを実行不可としてマーク付けできる Windows の機能です。この機能により、悪質なコードによるバッファオーバーランが発生しにくくなります。Windows XP SP2 から導入された DEP は、Windows 8 から既定で有効になっており、特別な設定をすることなくセキュリティが強化されています。

図 2: Windows クライアント SKU (Windows XP – Windows 7) での悪質コード緩和策の利用可否 (出典: SDL 進捗レポート)

マルウェアからのリアルタイム保護: Windows 8 では、特別な設定をすることなく最初から、Windows Defender によってマルウェアや潜在的に迷惑なソフトウェアからリアルタイムに保護されています。
BitLocker ドライブ暗号化: Windows Vista で導入された BitLocker ドライブ暗号化は、ユーザーや管理者がハードドライブ全体を暗号化できるようにし、紛失したり盗難にあったコンピューター上にあるデータを不正なアクセスから保護します。Windows 7 では BitLocker To Go が導入され、リムー��ブルボリュームのフルディスク暗号化が可能になりました。Windows 8 では、BitLocker の展開と管理がさらに容易になっています。
- ユーザーアカウント制御 (UAC): Windows Vista で導入されたユーザーアカウント制御は、管理タスクを実行する必要がある場合を除いて、管理者の権限なしでユーザーアカウントを実行できるようにすることで、許可されていない変更がコンピューターに対して行われないようにします。UAC は Windows 7 以降のオペレーティングシステムで効率化され、ユーザーエクスペリエンスが向上しました。
- AppLocker: Windows 7 で導入された AppLocker を使うと、IT 部門は強力で柔軟なルールを定義して、ユーザーが実行できるプログラムを制限できます。Windows 8 では、管理者は従来の Windows アプリケーションに加えて Windows Store アプリも制限できます。
- UEFI セキュアブート: Windows 8 で導入された UEFI セキュアブートは、すべての Windows 8 認定デバイスで必要とされるハードウェアベースの機能です。この機能は、個々のコンピューターでの実行が事前に承認されているソフトウェア署名者とソフトウェアイメージのデータベースを保持することで、許可されていないオペレーティングシステムやファームウェアが起動時に実行されないようにします。
- トラストブート: Windows 8 のトラストブート機能は、Windows 起動ファイルの整合性を検証します。サードパーティのソフトウェアが起動する前にマルウェア対策ソフトウェアを有効にする、早期起動マルウェア対策 (ELAM) も含まれています。マルウェア対策ソリューションを、保護された起動プロセス内で早期に開始することで、マルウェア対策ソリューションの動作と整合性が保証されます。Windows では、起動プロセスの一環としてメジャーブートも実行されます。メジャーブートでは、リモートサーバー上にあるサードパーティのソフトウェアで起動されるすべてのコンポーネントの安全性を確実に検証できます。この機能により、マルウェアによる偽装は非常に困難になります。Windows 起動プロセスが改ざんされたり、マルウェア対策の ELAM ドライバーが検出されたりすると、トラストブートは元のファイルを復元してシステムを修復します。

より最新のオペレーティングシステムで利用できるすべてのセキュリティ緩和策やセキュリティ機能に加えて、セキュリティ開発の実施もこの 10 年間で大幅に進化しました。図 3 は、2002 ～ 2010 年のマイクロソフトのセキュリティ開発ライフサイクル (SDL) の進化における主要なマイルストーンを示しています。この期間中の SDL の進化を具体的に説明した詳細な一覧は、SDL 進捗レポートでご確認いただけます。SDL は生きた手法のため、下の図に示されている期間以前から現在に至るまで進化し続けています。

図 3: マイクロソフトの SDL の進化における主要なマイルストーンのタイムライン (出典: SDL 進捗レポート)

Windows XP はその時代における優れたオペレーティングシステムであり、10 年以上にわたって世界中の多数のユーザーや組織に価値を提供してきました。しかし、楽しいことには必ず終りがあります。この情報によって、保護機能が強化された最新のオペレーティングシステムに移行することの重要性が再認識され、移行プロジェクトが予定より遅れている組織に緊急性を感じていただけたら幸いです。Windows XP SP3 のライフサイクルサポート終了の詳細については、「Windows for your Business blog」(英語) をご覧ください。

Trustworthy Computing (信頼できるコンピューティング)
ディレクター
Tim Rains (ティム・レインズ)

サイバーセキュリティポリシーとパフォーマンスのリンク: セキュリティインテリジェンスレポートスペシャルエディションをリリース

JTWCBLOG — Thu, 02 May 2013 03:06:00 GMT

本記事は、Microsoft Trustworthy Computing のブログ“Linking Cybersecurity Policy and Performance: Microsoft Releases Special Edition Security Intelligence Report” (2013年 2 月 6 日公開) を翻訳した記事です。

Trustworthy Computing (信頼できるコンピューティング)、セキュリティ担当シニアディレクター、Paul Nicholas (ポールニコラス)

国や地域のサイバーセキュリティ対策の成果に対して、どのような要因が影響するか考えたことがありますか。今日は、ワシントン DC にあるジョージ・ワシントン大学の Homeland Security Policy Institute (国土安全保障政策研究所) に所属する Kevin Sullivan (ケビンサリバン) とともに、このテーマを掘り下げてみようと思います。このレクチャーでは、「世界のサイバーセキュリティに対するポリシーの影響の測定」をテーマとしたマイクロソフトセキュリティインテリジェンスレポートの新しいスペシャルエディションの要点を紹介します。

この新しいレポートでは、インターネット人口が急速に変化している世界のサイバーセキュリティについて考察しています。現在の予想では、インターネットユーザーの数は 2020 年までに全世界で 2 倍に増加し、40 億人まで膨れ上がると考えられています。このインターネット人口の多くは中国、インド、アフリカの人々が占めることになります。このインターネット人口の変化と、常に進化し続けるサイバーセキュリティの脅威に対処するために、世界中の政府はこれまで以上に視野を広げて、今日の判断の影響を十分に把握する必要があります。

図 1 - 2020 年の世界のインターネットユーザーの予測分布図

マイクロソフトは、マイクロソフトセキュリティインテリジェンスレポート (SIR) やその他の情報源を通じて、長年にわたりサイバーセキュリティの技術的な対策を紹介するとともに、サイバーセキュリティの成果に影響を与える他の要因について理解を深めてきました。レポートでは、国や地域の社会経済的要因がサイバーセキュリティの成果に与える影響を検証する新たな手法を紹介しています。検証した手法としては、サイバースペースに関連する最新技術、成熟したプロセス、ユーザーの教育、法的措置、公共政策などがあります。この手法を使用することで、対象となる国や地域でのサイバーセキュリティ成果の予測に役立つモデルを構築できます。この予測から、異なる国や地域における性能を特徴づける公共政策について理解を深めることができます。

データを見ると、マルウェアの感染率が最も低い国々 (マイクロソフトセキュリティインテリジェンスレポートのデータに基づく) は、Council of Europe Cybercrime (CoE) などの国際協定や London Action Plan (LAP) などの自主的な行動規範への参加率が非常に高くなっています。CoE や LAP に参加するだけではサイバーリスクは軽減されません。そうした協定に参加するための準備作業がリスクの軽減に大いに役立っているのです。こうした準備作業には、サイバー犯罪に対する共通のポリシー環境の導入、変化し続ける脅威のランドスケープに合わせて発展させることができる国際協力手法の確立などがあります。そうしたポリシーに加えて、サイバーリスクが最も低い国々は、1 人当たりのパーソナルコンピューターの使用台数、1 人当たりの医療費、政権の安定性、ブロードバンドの普及率が平均して高くなっています。セキュリティ対策が進んでいる国のうち、43 % は西ヨーロッパに位置しています。

また、データによると、サイバーリスクが最も高い国や地域は、海賊版の割合も高くなっています。こうした国や地域は一般に識字率が低く、ブロードバンド速度と普及率もそれほど高くなく、人口に対する犯罪率が高くなっています。平均すると、こうした国や地域のマルウェア感染率は感染率が低い国々の 3 倍に上り、ソフトウェアの平均不正コピー率は 68 % で、サイバー犯罪の国際協定や行動規範に参加している国は 10 % 未満に留まります。セキュリティ対策が遅れている国のうち、52 % は中東とアフリカに位置しています。

当然ながら、これらは要点の一部にすぎません。今すぐレポートをダウンロードして、社会経済的な要因とサイバーセキュリティの成果との相関関係を詳しく確認することをお勧めします。

今回の分析が世界中のサイバーセキュリティに影響を与える要因のさらなる研究のきっかけとなり、サイバーセキュリティのポリシー判断に役立つデータがさらに増えることを期待しています。

長期休暇前にセキュリティのチェックを！

YURIKAM — Fri, 26 Apr 2013 01:31:00 GMT

今年も、そろそろゴールデンウィークですね。平日をお休みにして、長期休暇を取られる方もいらっしゃるのではないでしょうか。

IT プロの方は、もう耳にタコができているかもしれませんが、お休みに入る前に今一度、セキュリティのチェックをぜひ行ってください。

ソフトウェアを最新の状態に

ウイルス対策のためには、ソフトウェアを常に最新の状態にしておくことが大切です。現在、最新の状態になっているか、また、更新があった場合には、自動でインストールするよう構成を行っておきましょう。

マルウェア対策ソフトウェアを最新の状態に

こちらのブログで紹介したように、マルウェア対策ソフトウェアが正しく機能していない場合、マルウェア感染のリスクは5 倍になります。最新の状態になっているか、確認を行っておきましょう。無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールも公開しています。(※1)

ファイアウォールを有効にする

ファイアウォールは、ネットワークを介して侵入を試みるマルウェアへの対策として有効です。無効になっていないか、正しく稼働しているか、今一度確認しておきましょう。

パスワードを設定する

Windows へのログオンパスワードやモバイル端末でのパスワードはきちんと設定されていますか？お休みに入る前にぜひパスワードを設定してください。

ただし、休み明けにパスワードを忘れそうだから…といって、パスワードを紙に書いておいてモニターに貼っておく、なんてことないように気を付けてください。

ログオフ、シャットダウンを行う

社内ツールや、サービスへログオンしっぱなしになっていませんか。セキュリティリスクを減らすために、長期休暇の前には、ログオフをして、利用しない PC のシャットダウンを行いましょう。

IT 管理者の方は、管理しているシステムに発生した緊急時の対応プロセスの確認などもされているかと思います。マイクロソフトでは、セキュリティに関する情報をメールでお知らせする無料のサービスを提供しています。マイクロソフトセキュリティ情報およびマイクロソフトセキュリティアドバイザリの新着および更新情報や、実践に役立つセキュリティのヒントや、最新のセキュリティガイダンスをお知らせしています。ぜひこの機会にご登録ください。

登録はこちらから：

マイクロソフトテクニカルセキュリティ情報通知のご案内

http://technet.microsoft.com/ja-jp/security/dd252948

最後に、物理的なセキュリティとして、届けられている郵便物の確認、ロッカーの施錠、（食べかけのお菓子の片付け）などもお忘れなく。

それではみなさん、よいゴールデンウィークを！

補足

※1: Windows 8 では、Microsoft Security Essentials (MSE) と同等の機能を備えるWindows Defender が既定で導入されていますので、追加で MSE をインストールする必要はありません。詳しくは、「Windows 8 セキュリティ特集 #2 Windows Defender」のブログをご参照ください。

関連リンク

マイクロソフトセーフティとセキュリティーセンター

長期休暇の前に ~セキュリティ対策のお願い~

セキュリティ対策の基本をビデオで確認する

インストール不要の Microsoft Safety Scanner - 単体ツールやセカンドオピニオンとして

MS13-036 2823324 適用後の問題について (2)　– 再提供の開始

JSECTEAM — Wed, 24 Apr 2013 01:18:00 GMT

概要

こちらのブログでご案内した通り、MS13-036 で提供したセキュリティ更新プログラム 2823324 を適用後、特定の環境下で、STOP エラーが発生し Windows が正常に起動しない、あるいは、特定のアプリケーションが正しく動作しない現象が発生する場合があることを確認し、セキュリティ更新プログラムの配信を停止していました。

本日、セキュリティ情報ページを更新し、サポートされているバージョンの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 にインストールされている NTFS Kernel 用のセキュリティ更新プログラム 2823324 に置き換わるセキュリティ更新プログラム 2840149 の再提供を開始しました。

セキュリティ更新プログラム 2840149は Windows Update で配信されており、自動で適用されます。

影響を受けるオペレーティングシステム

Windows Vista (x86/x64)
Windows Server 2008 (x86/x64/ia64)
Windows 7 (x86/x64)
Windows Server 2008 R2 (x64/ia64)
※上記以外のバージョンは本現象の影響を受けません

お客様に必要なアクション

Windows Vista、Windows Server 2008、Windows 7、および、Windows Server 2008 R2 をご利用のお客様

元のセキュリティ更新プログラム 2823324 をアンインストールしたお客様は、再提供されたセキュリティ更新プログラム 2840149 をインストールしてください。

元のセキュリティ更新プログラム 2823324 をインストールし、
問題が発生していないお客様も、再提供されたセキュリティ更新プログラム 2840149 をインストールする必要があります。セキュリティ更新プログラム 2840149 を適用する前に、提供を停止したセキュリティ更新プログラム
2823324 をアンインストールする必要はありませんが、セキュリティ更新プログラム 2823324 をアンインストールすることを強く推奨します。

Windows XP、Windows Server 2003、Windows 8、Windows Server 2012、および、Windows RT をご利用のお客様

これら Windows のバージョンでは、問題の発生した NTFS Kernel 用のセキュリティ更新プログラム 2823324 はもともと提供されていません (2823324 で修正している脆弱性は存在しません)。

関連情報

Microsoft Security Response Center (MSRC) 公式ブログ : New Update Available For MS13-036

EMET v4 ベータ版のご案内

JSECTEAM — Mon, 22 Apr 2013 06:41:00 GMT

本記事は、Security Research & Defense のブログ “Introducing EMET v4 Beta” (2013 年 4 月 18 日公開) を翻訳した記事です。

良いお知らせがあります！本日、Enhanced Mitigation Experience Toolkit (EMET) の次期バージョン EMET 4.0 のベータ版を公開したことをお知らせします。

下記にてダウンロードください。(EMET は英語版のみの提供です。日本語 OS でも利用可能です)

http://www.microsoft.com/en-us/download/details.aspx?id=38761

EMET は、ソフトウェアのメモリ破損の脆弱性が、コード実行で悪用されるのを防ぐ無償ツールです。ソフトウェアに対して、最新のセキュリティ緩和技術を適用することでこれを行います。これにより、ゼロデイの脆弱性および、利用可能な更新プログラムが適用されていない場合でさえも、多種多様なソフトウェアが、エクスプロイトに対し、より耐性を持たせることができます。EMET 4.0 ベータ版をダウンロードおよびインストールして頂き、ベータ版をテスト利用してみてください。そして、新機能についてご質問頂き、最終版の公開に先駆けて解決すべき問題をお知らせ頂けたらと存じます。私たちは、2013 年 5 月 14 日に EMET 4.0 を公式に公開する予定です。　[更新情報 5/9] EMET 4.0 の公開日は 5 月 28 日に延期となりました。

このツールの新しいバージョンの注目点は、EMET が幅広い種類の起こり得るソフトウェア悪用シナリオに対して、効果的な緩和策であるよう望まれて作成されたもので、すでに EMET 保護が存在する領域でもより強力な保護策を提供し、ゼロデイのエクスプロイトに対してもより早く対応する方法を備えています。以下は、EMET 4.0 の注目すべき点です。

EMET 4.0 は、疑わしい SSL/TLS 証明書を利用しようとする攻撃を検出する
EMET 4.0 は、既存の緩和策を強化し、既知のバイパスをブロックする
EMET 4.0 は、EMET 3.0 における既知のアプリケーション互換性の問題を解決する
EMET 4.0 は、企業のお客様、およびマイクロソフトに対し、早期警告プログラムを有効にする
EMET 4.0 は、お客様が「監査モード (Audit Mode)」で緩和策をテストできる

SSL/TLS 証明書信用機能

EMET 4.0 は、Internet Explorer を閲覧する際に、デジタル署名された証明書 (SSL/TLS 証明書類) を認証するために、証明書に固定された一連のルールを設定することが可能です。このオプションでは、証明書を発行した付随する既知のルート証明機関 (RootCA) で、ユーザーが一連のルールと、特定のドメイン (ユーザーの SSL/TLS 証明書類を介して) とを合致できるよう設定することができます。EMET が、ドメイン用に設定された特定の SSL 証明書において、問題の RootCA について変動を検出した場合に、この変則性を、中間者攻撃を示唆するものとして、報告します。上級ユーザーは、各固定ルールに対して例外を追加することも可能です。この場合、固定ルールが合致しなくても、EMET は SSL/TLS 証明書を受理します。例外に当てはまるのは、RootCA 証明書の所有に関わるもの、例えば、キーサイズ、ハッシュアルゴリズム、および証明書の発行の国などです。

強化された緩和策、バイパスのブロック

私たちは、EMET 3.5 の「Tech Preview 版」段階で、多くのことを学びました。リサーチャー達が、試行錯誤し、EMET の ROP 対策緩和策をバイパスする巧妙な技を披露する様子を目にしました。EMET 4.0 では、これらのバイパスをブロックします。例えば、呼び出しスタックの層の 1 つである、kernel32!VirtualAlloc の機能のみにフックして保護するのではなく、EMET 4.0 は、kernelbase!VirtualAlloc および ntdll!NtAllocateVirtualMemory などの低レベルの機能に対しても追加でフックします。これら、「ディープフック (Deep Hooks)」は、EMET の詳細設定で設定できます。私たちは、フック機能のプロローグをコピーし、その後、プロローグ以前の機能に移るという方法で EMET フックを回避しようとする悪用の試みを目撃したことがあります。EMET 4.0 では、「迂回回避」オプションが有効になっており、この技術を利用する一般的な shellcode はブロックされます。最後になりますが、EMET 4.0 は、禁止されている API へのコールをブロックする仕組みも兼ね備えています。例えば、CANSecWest 2013 の最近の概要説明では、ASLR、および ntdll!LdrHotPatchRoutin を介した DEP をバイパスする方法が披露されました。EMET 4.0 の「禁止された API」機能は、この技術をブロックします。

アプリケーション互換性の修正

EMET の旧バージョンを利用しているユーザーは、マイクロソフト、およびサードパーティ両方のソフトウェアに対し緩和策を有効にする際に、類を見ない互換性の問題に直面したことがあると思います。EMET 4.0 は、これら既知のアプリケーション互換性に関わる問題をすべて解決します。それら互換性に関わる問題のリストには、以下の領域で起こるものが含まれます。

Internet Explorer 9、および Snipping Tool
Internet Explorer 8 が管理するアドオンダイアログ
SharePoint を介して利用する Office ソフトウェア
特定の緩和策が有効になっている、Access 2010
Windows 8 上の Internet Explorer 10

EMET 4.0 インストーラーは、特定のソフトウェアにおいて緩和策が上手く作用しないなど、特定の緩和策が無効な場合に、保護ルールを採用しています。それらの例として挙げられるのが、Photoshop、Office 2013 Lync、Gtalk、wmplayer、および Chrome などです。

企業のお客様、およびマイクロソフトに対する早期警告プログラム

悪用の試みを EMET が検出、ブロックした場合、この攻撃に関わる一連の情報を、Microsoft Error Reporting (MER)機能が準備します。Microsoft Desktop Optimization Package (MDOP) もしくは、システムセンターオペレーションマネージャーのクライアント監視機能を介して、エラー報告を収集している企業のお客様については、これらエラー報告がローカルで選別され、企業のネットワークに対して起こり得る攻撃を示唆する、早期警告プログラムとして利用されます。一般に、すべてのエラー報告がマイクロソフトに送信される企業については、この情報を、私たちが実際の現場で攻撃を追跡する際の指標として追加し、脆弱性がより規模の大きい脅威となる前に、セキュリティ更新プログラムで問題改善を促します。EMET Privacy Statement (英語情報) (EMET のメイン画面からも利用可能) では、Microsoft Error Reporting を介して送信される、エラー報告に関するより詳細な情報が掲載されています。EMET 4.0 では、デフォルトで早期警告プログラムが有効になっていますが、EMET UI、あるいは EMET コマンドラインコンポーネントを介して無効にできます。私たちは、EMET 4.0 の最終的な公開に向けて、早期警告プログラムの方向付けができるように、ぜひお客様からのフィードバックをお聞きしたいと望んでいます。

監査モード

EMET の旧バージョンが悪用の試みを検出した場合、EMET エージェントを介して攻撃の報告をし、その後、攻撃を防御するためにプログラムを終了していました。EMET 4.0 では、お客様からのフィードバックにお応えし、悪用の試みを検出した場合に、EMET の動作を設定するオプションを提供しました。デフォルトでは、アプリケーションが終了します。しかしながら、プロダクション環境で EMET をテストしたいお客様は、代わりに、プロセスを終了せずに、悪用の試みを報告する「監査モード」に切り替えることができます。この設定は、すべての緩和策に対して有効ではありませんが、可能な場合はいつでもこのオプションを提供します。

その他の改善点

EMET 4.0 にはその他の改善点も多く含まれます。新しい機能の量と、今回の公開に注ぎ込んだ仕事の量を鑑みて、私たちは EMET 3.5 の完全版の公開をせずに、一気に EMET 4.0 の公開を決めました。すべての機能を確認するには、EMET 4.0 ベータ版ユーザーガイドを参照して頂きたいのですが、下記にいくつか主要なものを挙げました。

EMET 通知機能は、新しい役目、および機能を持ち、EMET エージェントと呼ばれる
より精度の細かい、レポートオプション (トレイアイコン、イベントログ、両方、いずれもなし)
緩和策、証明書信頼の双方に対する、新規のデフォルトプロファイル
EMET エージェントのメッセージングをカスタマイズできるレジストリ設定
著しく良いパフォーマンスができるように最適化された RopCheck
EMET がより簡単に使用できる、数多くの UI 調整機能
保護されるべきアプリケーションを追加する際に、ワイルドカード支援を有効にする
.exe 拡張子がない場合でも、プロセスが防御される
.NET Framework 4.0 への切り替え
EMET はプレミア契約をしているお客様がサポートを利用できる、正式にサポートされている Microsoft ツールである

私たちは、EMET の最新版のフィードバックをぜひ伺いたいと思っています!このベータ版が利用できる期間は、わずか 4 週間ですが、私たちは長期間に渡った EMET 3.5 Technical Preview で、明確なタイムライン、および短期のベータ期間について学びました、正式な EMET 4.0 公開の前に、このベータ期間中にお客様からフィードバックを入手しなくてはなりません。EMET 4.0 のいくつかの機能は、お客様のフィードバックが直接反映されたものになるでしょう。私たちは、EMET をお客様の環境に適用、設定するのは素晴らしいと思って頂けるようなツールにしたいと望んでいます。このベータ期間では、実際に公開される前に、早期利用者からフィードバックを得られるよう、オプションを提供しています。フィードバック、質問、あるいは提案がありましたら emet_feedback@microsoft.com までメール (英語) でご連絡ください。今日にでも、EMET 4.0 ベータ版をダウンロードし、ぜひお試しください。

セキュリティインテリジェンスレポート第 14 版～特集: リアルタイム保護の効果を知る～

Norie Tamura — Thu, 18 Apr 2013 07:30:00 GMT

インターネットユーザーがマルウェアからコンピューターを守り、安全に Web ブラウズを行うには、充実したセキュリティ機能が搭載された Web ブラウザーを使用し、不用意にリンクをクリックしないなど、日頃から注意を払うことが重要です。しかしながら、経験値の高いユーザーであっても、昨今のソーシャルエンジニアリングやドライブバイダウンロードなどの巧みな攻撃手法によるマル��ェア感染を完全に防ぐのは難しい場合も多くあります。

今回のセキュリティインテリジェンスレポート第 14 版では、リアルタイム保護を提供するマルウェア対策製品がどれ程マルウェア感染に対して効果があるのかについて、マイクロソフト独自のテレメトリ観測データを分析した結果を初めて発表しています。今日は、その内容を紹介したいと思います。

リアルタイム保護されていないコンピューターの感染率は 5 倍以上

2012 年下半期、マルウェア対策製品のリアルタイム保護が有効に機能しているコンピューターと比較して、リアルタイム保護が機能していないコンピューターでは、マルウェアおよび迷惑なソフトウェアへの感染率は、およそ 5.5 倍高いという数字が出ました (図 1)。リアルタイム保護が重要だということがわかるデータです。

図 1: 保護された PC (緑) と保護されていない PC (赤) における、1000 台あたりの感染 PC の台数 (2012 年下半期の各月)

上記データは、全世界で約 6 億台以上のコンピューター上で実行される悪意のあるソフトウェアの削除ツール (MSRT) により収集したデータを基にしており、コンピューターの管理者ユーザーがデータ収集に同意している場合、そのコンピューター上のマルウェア対策製品のリアルタイム保護の状態を確認し、それを感染状況と相関分析しています。

保護されていないコンピューターの割合は 24 ％、Windows 8 ではわずか 7～8%

今回のデータでは、保護されていないコンピューターは感染率が高くなることが示されましたが、悪意のあるソフトウェアの削除ツール (MSRT) で収集されたデータによると、2012 年下半期平均で、約 24％のコンピューターが、リアルタイム保護が有効なマルウェア対策製品を実行していない、もしくは、期限の切れたマルウェア対策製品を使用しているという数字が出ています (図 2)。

図 2: 保護されていない PC の割合 (2012 年下半期の各月)

これを OS 別に見ると、図 3 のようになります。

図 3: 保護されていない PC の割合 (2012 年下半期、OS および SP ごと)

Windows 8 は、保護されていないコンピューターの割合が一番低く、32 ビット版で 8.1%、64 ビット版で 7.0% となっています。これは、Windows 8 には、保護されていないコンピューターに対する保護を提供する Windows Defender が搭載されていることが主な理由と考えられます。なお、サポート対象 Windows のうち、保護されていないコンピューターの割合が一番高かったのは、Windows 7 RTM でした。次に、Windows XP SP3、Windows Vista SP2、そして Windows 7 SP1と続いています。

この違いは、マルウェア感染率にも影響しており、保護されたコンピューターの割合が最も高い Windows 8 の感染率は、32 ビット版で 0.8%、64 ビット版で 0.2% と最も低くなっています (図 4)。Windows 8 にはセキュアブートはじめ、マルウェアに対する強化点がいくつか取り入れられているため、それらも感染率の低さに影響していると考えられます。

図 4: 1000 台あたりの感染 PC の台数 (2012 年下半期、OS および SP ごと)

保護されていないコンピューター、その理由は？

現在サポート対象の Windows では、コンピューターが保護されているかをモニターし、保護されていないコンピューターに対してデスクトップのバルーン通知やアクションセンターを通して警告を出すメカニズムが備わっています。それにもかかわらず、なぜこれほど保護されていないコンピューターが多いのか。主に次のような理由があると分析しています。

コンピューター購入時に同梱されていたマルウェア対策製品のトライアル期限が過ぎ、サブスクリプションを更新しない場合 (期限切れ。このパターンのユーザーが最も多い)
マルウェアがセキュリティ製品を無効化してしまう場合 (ユーザーは気づかない)
ユーザーが意図的に無効にする場合 (パフォーマンスの観点、なくても大丈夫だという思い込み、もしくは検疫や駆除の対象となるようなプログラムをあえて使用したい、など)

特に、気づかないうちに期限が切れていたり無効化されてしまったユーザーにおいては、Windows 8 Defender のような保護されていないコンピューターを保護する仕組みは有効に機能するかもしれませんね。

おわりに

セキュリティ対策に完璧なものはありませんが、今回のデータが示すように、リアルタイム保護のセキュリティ製品を使用し、それを常に最新に保つことで、個人および企業におけるマルウェア感染リスクを 80％も減らすことができます。マルウェア対策製品の重要性、費用対効果を理解し、信頼できるベンダーが提供するセキュリティ対策製品を使用してお使いのコンピューターおよび情報資産を守ってください。

また、最新の OS である Windows 8 を使用することで、マルウェア対策製品の期限切れなどで保護されていないコンピューターに対する保護機能が提供されますし、セキュアブートによる保護 (ルートキットなどのマルウェアを先に起動させない) 等で Windows の安全性はより一層高まっています。そういった安全面の向上という観点も、コンピューター買い替えや移行の際に、是非頭の片隅に入れておいていただければ幸いです。

日本のセキュリティチーム

2013 年 5 月のセキュリティ更新プログラムに関してリスクを評価する

2013 年 5 月のマイクロソフト ワンポイント セキュリティ ～ビデオで簡単に解説 ～

2013 年 5 月のセキュリティ情報 (月例) – MS13-037 ～ MS13-046

2013 年 5 月 15 日のセキュリティ リリース予定 (月例)