日本のセキュリティチーム (Japan Security Team) : Targeted Attack

セキュリティインテリジェンスレポート第7版(2009年上半期)

JSECTEAM — Mon, 02 Nov 2009 20:07:00 GMT

小野寺です。

2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティインテリジェンスレポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。

研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。

マイクロソフトセキュリティインテリジェンスレポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。

これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。

このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

JSECTEAM — Fri, 19 Jun 2009 11:46:00 GMT

小野寺です。

昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム'Morro')を提供するとアナウンスしておりました。
既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。

Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。

Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。
マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。

マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。

このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。

ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

Forefront Client Security (FCS) 体験版

JSECTEAM — Thu, 28 May 2009 04:53:00 GMT

小野寺です。

実は、Microsoftも、OneCare以外のセキュリティ対策製品を提供していたりします。 OneCareは個人向け、組織向けには、Forefront Client Security (FCS)を提供しています。
マルウェア対策の為のエンジンや定義ファイルの更新頻度が個人向けよりも細かかったり、全体監視・統合管理の機能で、パッチも含めた企業内の対策状況を可視化するなど企業向けの機能がついているのが、OneCareとの違いですね。

この辺りは、ご存じない方もいるような気もするので、FCSをとりあえず試してみる事ができるキャンペーンを始めてみました。以下のサイトから申し込んでいただくと、OS等も含めた体験版(評価版)一式と導入ガイド(自習書)がセットで送られてきます。
http://www.microsoft.com/japan/forefront/msbc/

ちなみに、Microsoftで行っているマルウェア対策の実績などは、半期毎にレポートにまとめて以下のサイトに公開しています。
http://www.microsoft.com/japan/security/contents/sir.mspx

余談ですが、Forefront Client Security (FCS)は、クライアント単体でも使う事もできます。

2009年5月のワンポイントセキュリティ

JSECTEAM — Wed, 13 May 2009 02:58:00 GMT

小野寺です。

2009年5月のワンポイントセキュリティを公開しました。

2009年5月のワンポイントセキュリティ情報は、過去のワンポイントセキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイントセキュリティ情報は、今月のワンポイントセキュリティ情報からご視聴いただけます。

2009年5月のセキュリティ情報

JSECTEAM — Tue, 12 May 2009 22:11:00 GMT

小野寺です

2009年5月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 1 件 (緊急 1 件)となります。
また、合わせて、セキュリティアドバイザリを 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

MS09-017 (PowerPoint):
特別な細工が施されたPowerPointファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (969136) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Winwebsec と ~~FakePowav~~ に対応しています。どちらも、最近特に俗化を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

(2009/05/15: MSRTで対応したマルウェアを訂正しました)

2009年4月のワンポイントセキュリティ

JSECTEAM — Wed, 15 Apr 2009 07:00:00 GMT

小野寺です。

2009年4月のワンポイントセキュリティを公開しました。

2009年4月のワンポイントセキュリティ情報は、過去のワンポイントセキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイントセキュリティ情報は、今月のワンポイントセキュリティ情報からご視聴いただけます。

2009年4月のセキュリティ情報

JSECTEAM — Wed, 15 Apr 2009 00:15:00 GMT

小野寺です

2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。
また、合わせて、セキュリティアドバイザリを 4 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

MS09-009 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-010 (Wordpad):
特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-011 (DirectShow):
特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。
現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。

MS09-012 (MSDTC):
WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。

MS09-013 (WinHTTP):
WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。
今回対応している３つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。

MS09-014 (IE):
基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。

MS09-015 (SearchPath):
セキュリティアドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。
脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode というAPIを追加して、今後アプリケーションを開発するにあたり、意図しないファイル探査を抑制できるようにしています。

MS09-016 (ISA):
Webプロキシの機能部分が、不正なパケットを受信することでサービス拒否が発生する可能性があります。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Waledac に対応しています。

セキュリティインテリジェンスレポート第6版(2008年下半期)

JSECTEAM — Thu, 09 Apr 2009 04:30:00 GMT

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第6版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？日本も、マルウェアを配布してしまっている事が分かります。これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

自動再生 (Autorun) & Excel 0-day

JSECTEAM — Wed, 25 Feb 2009 01:26:00 GMT

小野寺です

本日、2つのセキュリティアドバイザリを新たに公開しました。

アドバイザリ 968272 (Excel):
Microsoft Office Excel の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/968272.mspx

このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。

Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイルブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。

アドバイザリ 968272 (Autorun):
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx

このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリキーを設定する必要があるのですが、レジストリキーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。
今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。

なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。
これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。

Internet Explorerのセキュリティ更新プログラム提供開始

JSECTEAM — Thu, 18 Dec 2008 00:10:00 GMT

小野寺です。

先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。
Microsoft Update または自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。
http://update.microsoft.com/microsoftupdate/

今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。
MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx

絵で見る MS08-078 : Internet Explorer の重要な更新
http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx

今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。

また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

Internet Explorerの更新の事前通知

JSECTEAM — Wed, 17 Dec 2008 03:25:00 GMT

小野寺です。

先日から、セキュリティアドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。
これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。
通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。

マイクロソフトセキュリティ情報の事前通知 - 2008 年 12 月 (定例外)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx

本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。
通常の Windows XP 向け更新プログラムになります。

セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。

2008年最後のセキュリティリリース (2008年12月)

JSECTEAM — Tue, 09 Dec 2008 21:51:00 GMT

小野寺です

今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。
また、セキュリティアドバイザリ 960906 を公開しています。クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。

セキュリティ情報 (新規):
今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS08-070 (VB6 Runtime):
特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。
今回対処としているランタイムコンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネントファイルを検索していただく事です。
これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。
また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。

MS08-071 (GDI):
特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-072 (Word):
特別に細工された Word またはリッチテキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。
本日、公開しているセキュリティアドバイザリとは別の脆弱性となります。

MS08-073 (IE):
特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-074 (Excel):
特別な細工がされた Excel ファイルをユーザーが表示した場合、リモートでコードが実行される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/959070 に記載しています。

MS08-075 (Windows Search):
特別な細工がされた保存された検索ファイルがWindows エクスプローラーで開かれ、保存された場合、またはユーザーが特別な細工がされた検索 URLをクリックした場合、リモートでコードが実行される可能性があります。

MS08-076 (WMC):
特別な細工がされたサーバーまたは、Webサイトにアクセスする事で、資格情報が悪用され、結果として、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-077 (SharePoint):
SharePoint サイトの管理用 URLを直接参照し、特定の操作をする事で、特権が昇格される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/957175 に記載しています。

セキュリティアドバイザリ:
マイクロソフトセキュリティアドバイザリ (960906)
OSに含まれている簡易的な文書作成用のアクセサリである、ワードパッドで、特別に細工されたファイルを開く事でリモートでコードで実行される可能性のある問題が確認され、現在調査を行っています。Windows Vista, Windows Server 2008は影響を受けません。 Windows XP は、Service Pack 3 を適用している場合は、影響を受けないため、Service Pack 3の適用をお勧めします。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/FakeXPA および Win32/Yektel に対応しています。
先月に引き続き、偽ウイルス対策ソフト Win32/FakeXPA に対処しています。FakeXPAは感染(インストール)した環境で、Microsoft Updateを模した様なバルーンメッセージを表示させます。多数のウイルスを駆除する事を通知してくれますが、実際には、多数のウイルス、ワームをダウンロードしてインストールします。
他の削除対象のマルウェアファミリは以下のサイトに掲載しています。
http://www.microsoft.com/japan/security/malwareremove/families.mspx

2008年8月のセキュリティリリース

JSECTEAM — Tue, 12 Aug 2008 22:18:00 GMT

小野寺です

今月は、事前通知でお知らせしていた件数から変更があり、計 11 件 (緊急 6 件、重要 5 件)となります。予定していた、「Media Player のセキュリティ情報」が、品質上の理由で延期となりました。
これに加えて、セキュリティアドバイザリを、新規に1件公開し、3件変更しています。そして、セキュリティ情報 4 件を変更しています。

セキュリティ情報 (新規):
MS08-041 (Snapshot): セキュリティアドバイザリ 955179 でお知らせしていた Microsoft Access Snapshot Viewer の Active Xの脆弱性に対処しています。単体で、入手可能な Microsoft Access Snapshot Viewer の更新プログラムについては準備を進めており、準備ができ次第セキュリティ情報を更新してお知らせする予定です。通常は、すべての更新の準備ができてから公開するのですが、今回は既に悪用が確認されていることもあり、この様なリリースを行うことにしました。

MS08-042 (Word): セキュリティアドバイザリ 953635 でお知らせしていた Word の脆弱性に対処しています。Office XP (Word 2002) と Office 2003 (Word 2003) が影響を受けます。

MS08-043 (Excel): サポートしているすべてのバージョンのExcel と、Microsoft Office SharePoint Server 2007 が影響を受けます。SharePoint Server 2007 は、サーバー側でExcelファイルを処理し、Webサイトに埋め込み表示する機能があります。この機能が、SharePoint Server 2007が対象になっている理由です。

MS08-044 (Office フィルター): Office や Worksに付属の画像フィルタの脆弱性に対処しています。

MS08-045 (Internet Explorer): Internet Explorerの幾つかの脆弱性に対処しています。そのうち、CVE-2008-2255のみ悪用は確認されていませんが、セキュリティ情報の公開前に、一般に認知されていました。

MS08-046 (ICM): ICM - Image Color Management - に関する脆弱性に対処しています。ICMの機能に関する情報を持った、画像や文書ファイルを開く事で影響を受ける可能性があります。

MS08-047 (IPSec): IPSec に関する脆弱性に対処していますが、IPSecのプロトコル自体ではなく、各クライアントでIPSecをどの様に設定するかを決めるIPSecポリシーに関する挙動を修正しています。この脆弱性により、管理者の意図とは別にIPSecが暗号化されず、クリアテキスト(平文)による通信モードで構成される場合があり、結果的に通信の盗聴を可能にしていました。

MS08-048 (Outlook Express, Windows メール): Outlook Express (Windows 2000, XP), Windows メール (Windows Vista以降) の脆弱性なのですが、アプリケーション自体というよりも、昨日の一部である MHTML を処理する部分の脆弱性に対処しています。脆弱性の悪用は、メールによるもの以外に、MHTML ファイル、プロトコルハンドラが使われる場合に影響を受けます。そのため、これらのメールソフトを使用していなくても、適用の必要があります。

MS08-049 (Event System): イベントシステムに関する脆弱性に対処しています。

MS08-050 (Messenger): Windows Messenger に関する脆弱性です。Windows Messengerには、Messenger.UIAutomation.1 という他のアプリケーションからMessengerをコントロールするインターフェイスを提供しています。これを悪用する事で、Messengerに関する情報が漏えいする可能性がある問題に対処しています。MSN Messenger, Live Messenger自体は、影響を受けません。

MS08-051 (PowerPoint): PowerPointのファイルを処理する際の幾つかの脆弱性に対処しています。

セキュリティ情報 (更新):
変更したセキュリティ情報の4件のうち、MS07-047 および MS08-033 は、Windows XP SP3に関連した情報を追記しています。 MS08-022 と MS08-040 については、更新プログラムを再リリースしています。

MSS08-022 (VBScript): Internet Explorer 7 をインストールしている環境でインストールに失敗するケースがありそれに対処しています。そのため、すでにインストール済みの環境には影響はありません。

MSS08-040 (SQL Server): SQL Server 2005 の環境で、インストールに失敗するケースがありそれに対処しています。特に、0x2b08 というエラーとなる場合に有効です。今回は、インストラーのみの変更ですので、、すでにインストール済みの環境には影響はありません。

セキュリティアドバイザリ:
アドバイザリは、2件は、MS08-041 および MS08-042 の公開に伴う更新です。残りの更新 1 件と、新規公開の 1 件は、以下の通りです。

アドバイザリ 954960 「Microsoft Windows Server Update Services (WSUS) によるセキュリティ更新プログラムの展開がブロックされる」:
この問題に対処した更新プログラムをダウンロードセンターを通じて提供していましたが、Windows Update/Microsoft Updateを通じて配信し始めた事をお知らせしています。

アドバイザリ 953839 「ActiveX の Kill Bit の累積的なセキュリティ更新プログラム」:
このアドバイザリは、AciveX コントロールのKill Bitを設定するための更新プログラムの提供をお知らせするものです。通常は、セキュリティ更新プログラムとして公開しますが、今回は、Microsoft製品が一切含まれず、3rd パーティ製品のActiveX コントロールにのみ対処しているため、通常の更新プログラムとして公開し、アドバイザリでお知らせする事としました。

悪意のあるソフトウェアの削除ツール(MSRT):
今月のMSRTでは、Win32/Matcashに対応しています。また、今まで追加したマルウェアファミリの亜種に対処しています。対応した幾つかの亜種の中には、Windows Updateに必要なサービスを止めるものが確認されています。この種のマルウェアは以前からありましたが、最近顕著なようです。もし、Microsoft Update で、エラー 1058 やエラー 0x8DDD0018 が出る場合には、ダウンロード版のMSRTを使用した後に、以前に紹介した「DNSの脆弱性とか、自動更新を止めるワームとか」の対処方法を参考にしてください。

ワンポイントセキュリティ情報:
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、8/13の午後に公開を予定しています。今月からは、内容をリニューアルしてお伝えする予定です。

日本のセキュリティチーム (Japan Security Team) : Targeted Attack

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

2009年7月のセキュリティ情報

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

2009年6月のセキュリティ情報

Forefront Client Security (FCS) 体験版

2009年5月のワンポイントセキュリティ

2009年5月のセキュリティ情報

2009年4月のワンポイントセキュリティ

2009年4月のセキュリティ情報

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

自動再生 (Autorun) & Excel 0-day

Internet Explorerのセキュリティ更新プログラム提供開始

Internet Explorerの更新の事前通知

2008年最後のセキュリティリリース (2008年12月)

2008年8月のセキュリティリリース

セキュリティインテリジェンスレポート第7版(2009年上半期)

セキュリティインテリジェンスレポート第6版(2008年下半期)