日本のセキュリティチーム (Japan Security Team) : 検査

2009年10月14日のセキュリティ情報

JSECTEAM — Tue, 13 Oct 2009 21:39:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計13件 (緊急 8件, 重要 5件)を公開しました。
合わせて、セキュリティ情報を 2 件, セキュリティアドバイザリを 2　件更新しています。
また、ワンポイントセキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報の提供を開始します。(本日午後に公開予定)

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

MS09-050 (SMBv2):
セキュリティアドバイザリ 975497でお伝えしていた件に対処しました。
特別な細工がされたSMBv2パケットを受信することで、コードが実行される、またはサービス拒否状態となる可能性があります。

MS09-051 (Media Runtime):
特別な細工がされたストリーミングまたは音声データを再生することで、コードが実行される可能性があります。

MS09-052 (Media Player):
特別な細工がされたデータを開くことで、コードが実行される可能性があります。

MS09-053 (FTP Service):
セキュリティアドバイザリ 975191でお伝えしていた件に対処しました。
特定の細工を伴って、リストコマンド等を実行することで、サービス拒否または、コードが実行される可能性があります。

MS09-054 (IE):
特別な細工のされたWebサイト等を参照することで、コードが実行される可能性があります。

MS09-055 (Kill Bit):
MS09-035 (ATL)の影響を受けるいくつかのActiveXコンポーネントを、Kill Bit処理することで、Internet Explorerから呼び出せないようにしています。
攻撃の手法としては、MS09-035でお伝えしている通り、特別な細工のされたWebサイト等を参照することで、結果的にコードが実行される可能性があります。

MS09-056 (CryptoAPI):
特別な細工のされた不正な証明書が信頼できる証明書であると判断され、結果として、なりすましが行われる可能性があります。
実際の例としては、この脆弱性を悪用して生成された不正な証明書をもつWebサイトに接続した場合に、正常な証明書が使われたサイトである判断する場合があります。

MS09-057 (Index Service):
Index Serviceを不正なデータと共に呼び出すことで、コードが実行される可能性があります。
この脆弱性を、Webサイト等に埋め込むような攻撃が想定されますが、既定の状態ではIndex Serviceは動作していません。

MS09-058 (Kernel):
特別な細工がされたアプリケーケーションの実行または、存在により、サービス拒否または、特権の昇格が発生する可能性があります。
この脆弱性は、特別な細工がされたアプリケーションの実行または、フィルダに特別な細工がされたアプリケーションが存在し、そのフォルダが一覧された場合にも悪用される可能性があります。フォルダは、ローカルおよびリモートの共有フォルダの双方に可能性がありますが、リモートのフォルダの場合はサービス拒否が発生します。

MS09-059 (LSASS):
NTLMの認証プロセスの中で、特別な細工がされたパケットを送受信することで、サービス拒否が発生する可能性があります。

MS09-060 (Office):
MS09-035 (ATL)の影響を受けるOffice製品に含まれるActiveXの対処を行っています。

MS09-061 (.NET CLR):
.NET Frameworkを使用するアプリケーションが実行・解析されるいくつかのシナリオで、コードが実行される可能性があります。
通常の利用者によっては、ローカルで実行する.NET Frameworkベースの特別な細工のされたアプリケーションの実行または、不正な細工のされたXBAP (XAML Browser Application)を含むWebサイトを参照することで影響を受けます。
Webホスティング等、Webサイトを運営している場合で、.NET Frameworkベースのアプリケーションのアップロードを許可している場合、不正な細工のされたアプリケーションがアップロードされ、サーバーサイドで悪用される可能性があります。

MS09-062 (GDI+):
不正な細工がされた画像データ、画像ファイルを読み込むことで、コードが実行される可能性があります。
GDI+または、GDI+由来のコードを含むアプリケーションおよび、OSのGDI+モジュール毎に更新プログラムがあります。企業等で、System Center等の自動化された管理ソリューションを用いていない場合は、配信漏れに注意が必要です。

セキュリティ情報 (更新):
MS08-069 (XML):
Windows 7等の新しいプラットフォームに、XMLコンポーネントをインストールした場合にもMicrosoft Update等で検出が行われるように検出ルールを改定しました。

MS09-024 (Works):
Works9のクロアチア語、チェコ語、エストニア語等のいくつかの言語に新たに対応しました。日本語版、英語版に関する変更はありません。

2009年9月9日のセキュリティ情報

JSECTEAM — Wed, 09 Sep 2009 00:06:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計5件 (緊急 5件)を公開しました。
また、セキュリティ情報を 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-sep.mspx

MS09-045 (JScript):
特別な細工がされたJScriptコードを含むWebサイトにアクセスすることで、コードが実行される可能性があります。
また、インストールしているInternet Explorerのバージョンによって、JScriptのバージョンが違います。Microsoft Update、WSUSやSystem Center等の更新プログラム配布ソリューションを利用している場合は、この辺が自動判別されるのですが、手動で配信する場合は、適用する更新プログラムに注意が必要です。

MS09-046 (DHTML):
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
今回対策した脆弱性は、MS09-037(ATL)との関連性はなく別のものとなります。関連の有無に関わらず、早期の更新プログラムの適用をお勧めします。

MS09-047 (Windows Media Format):
特別な細工がされた特定のメディアファイルを参照することで、コードが実行される可能性があります。
出所の不確かなメディアファイルの利用や、Web等でのストリーミングの利用により攻撃を受ける可能性がありますので、早期の更新プログラムの適用をお勧めします。
また、CVE-2009-2499は、日本から報告されたものになります。

MS09-048 (TCP):
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されておらず、多くの場合コードの実行に至らず、サービス拒否となる可能性が高いと分析しています。
また、Windows 2000については、サービス拒否の脆弱性のみが存在しますが、セキュリティ更新プログラムを提供しておりません。この脆弱性に対処するためには、Windows 2000のTCPスタックやOSの深部のアーキテクチャをかなりの広範囲に渡って変更する必要があり、互換性の維持に重大な問題が発生する可能性が高く、脆弱性への対応は困難であると判断しています。なお、Windows 2000が影響を受ける２つ脆弱性について、脆弱性悪用可能性指標は、3 (機能する見込みのない悪用コード) となっています。

MS09-049 (Winreless LAN):
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。また、こちらもTCPの脆弱性同様に安定した攻撃は艱難である可能性が高いと思われます。

セキュリティ情報 (更新):
MS09-037 (ATL):
Windows Media Center等で利用している HtmlInput Object ActiveXコントロールに関する更新プログラムを新たに公開しました。

2009年8月12日のセキュリティ情報

JSECTEAM — Wed, 12 Aug 2009 00:12:00 GMT

小野寺です

事前通知でお伝えした通り、セキュリティ情報計9件 (緊急 5件, 重要 4件)を公開しました。
また、セキュリティ情報を 2 件更新し、セキュリティアドバイザリを1件新規に公開し、セキュリティ情報の更新や公開に伴って 2 件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-aug.mspx

MS09-036 (ASP.NET):
特別な細工がされたHTTPリクエスト群を受信することで、応答不能になる可能性があります。
この脆弱性が非常に限定された範囲で悪用された事を確認しており、ASP.NETを使用しているお客様は、サービスの安定提供の為にも早期の適用をお勧めします。

MS09-037 (Windows ATL):
先日公開したMS09-035 (ATL)に関連して、Windowsのコンポーネントで影響を受けるものを対策しています。
コンポーネントにより若干の違いはありますが、各コンポーネントが特別な細工共に呼び出すWebサイトを訪れることでコードの実行等につながる可能性があります。
Internet Explorer経由の攻撃は、MS09-034 (IE)のセキュリティ更新プログラムに追加された新しい多層防御機能で防ぐ事ができますが、脆弱性自体を排除するという意味で、本更新プログラムの適用を強く推奨します。
更新プログラムの適用に際しては、Windowsバージョンに対して一つの更新プログラムではなく、コンポーネント毎に更新プログラムを分けていますので、MS09-037および、上記の8月分をまとめたサイトを参照の上で適用してください。Microsoft Update や WSUS, System Cetner で更新プログラムを適用・管理している場合は、自動的に選択されます。

MS09-038 (Windows Media):
特別な細工がされたAVIファイルが処理された場合に、コードが実行される可能性があります。
本脆弱性は、Windows Media Player (WMP)ではなく、AVIファイルを処理するコンポーネントによるものですのでWMPに依存しません。 AVIファイルが何坂の形で処理される事が攻撃のシナリオとなりますので、Web等を参照することで攻撃を受ける可能性も考えられます。この種の攻撃手法は最近増加傾向にあり、更新プログラムの適用を強く推奨します。

MS09-039 (WINS):
特別な細工がされたパケットをWINSサーバーが受信した場合に、コードが実行される可能性があります。
この脆弱性は、WINS サーバーに対するものであり、WINSクライアントやName Resolverは影響を受けません。更新プログラムの適用を強く推奨します。

MS09-040 (MSMQ):
特別な細工がされたIOCTLリクエストをMSMQで送信する場合に、高い権限を取得される可能性があります。
この脆弱性は、リモートから悪用する事はできませんが、ローカルでSYSTEM権限を取得することができる可能性があります。MSMQがインストールされ、動作しているシステム環境で、特にユーザー間で共有利用している様な環境では更新プログラムの適用を推奨します。

MS09-041 (Workstation):
特別な細工がされたRPCメッセージを受信することで、コードが実行される可能性があります。
悪用には、認証が必要となるためインターネット経由での悪用は困難になると予測できますが、一般的なイントラネット環境では悪用可能な環境であると考えられますので、更新プログラムの適用を強く推奨します。

MS09-042 (Telnet):
攻撃者が用意した特別な細工がされたTelnetサーバーに、影響を受けるバージョンのTelnetクライアントで接続することで、コードが実行される可能性があります。
Telnetクライアントを使用しなければ影響を受けることはないのですが、将来的に他の攻撃手法と複合的、telnetクライアントを強制的に呼び出されるようなシナリオで、外部からの攻撃が可能となりますので、更新プログラムの適用を強く推奨します。

MS09-043 (OWC):
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
この脆弱性の悪用は、セキュリティアドバイザリ 973472 でお知らせしていたもので、悪用が確認されている事もあり、早期の更新プログラムの適用を強く推奨します。

MS09-044 (RDP):
特別な細工がされたWebサイト等を参照すること、または特別な細工がされたRDPサーバーに接続させられた場合に、コードが実行される可能性があります。
更新プログラムの適用を強く推奨しますが、RDPには幾つかのバージョンがあり、適用に際してその点は注意する必要があります。MS09-037のところにも書きましたが、更新プログラムの管理ソリューションを使用している場合は、自動的に適切な更新が選択されます。

セキュリティ情報 (更新):
MS09-029 (EOT):
以前にお伝えした印刷スプーラーが異常終了する件に対処した新しい更新プログラムの提供を開始した事をお伝えするために更新しています。

MS09-035 (ATL):
スマートデバイス向けのライブラリの更新プログラムの提供を開始した事をお伝えするために更新しています。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (973811): 認証に対する保護の強化
このアドバイザリは、脆弱性に関してお知らせするものではなく、新しいセキュリティ機能を追加するための更新プログラムの提供を開始した事をお伝えするものです。
認証時に、資格情報を転送する事も出来るわけですが、信頼できないサーバーシステムが中間に存在する場合、転送により問題が起こる事もあり得ます。そのため、認証の転送に関しての安全性を確保しやすくするための追加機能を提供する事にしました。この機能は、クライアント、およびサーバーアプリケーションの双方において新機能を明示的に使用する事が必要であり、既存のシステムには影響をあたえません（逆に、効果もありません）。

MS09-029のスプーラーの件と MS09-034 & MS09-035の更新

JSECTEAM — Wed, 05 Aug 2009 06:03:00 GMT

小野寺です。

先日、定例外でリリースしたMS09-034とMS09-035、それとMS09-029を更新しました。また、MS09-035について幾つかコメントももらっているのでその辺も含めて少し書いておこうと思います。

MS09-034:
韓国語版のInternet Explorer 6 Service Pack 1 (Windows 2000用) で、印刷に関する問題が発見されたため、セキュリティ更新プログラムを再リリースしました。
この現象および、再リリースは、韓国語版に対してのみのものですので、日本語版や英語版を使っていお客様には影響はありません。

MS09-035:
製品バージョン毎に幾つかのセキュリティ更新プログラムを提供していますが、その中に、再頒布可能パッケージ用のセキュリティ更新プログラム(KB973544, KB973551, KB973552)があります。また、Microsoft Updateでは、これらの再頒布可能パッケージ用のサブセット版として、ATLに関する脆弱性に対応する、「ATL に関するセキュリティ更新プログラム (KB973923, KB973924)」を配信しています。
このどちらを適用しても、脆弱性に対処できるのですが、Microsoft Update側では、、「ATL に関するセキュリティ更新プログラム」が、適用されているかどうかを検出して、配信の有無を判断していました。結果、「再頒布可能パッケージ用のセキュリティ更新プログラム」を適用している場合に、MBSAで、更新が適用されていないと判断されたり、Microsoft Updateで、再度、「ATL に関するセキュリティ更新プログラム」が配信される事がありました。今回のMicrosoft Update側の検出ロジックを修正しその問題に対処しています。
配信しているパッケージ自体に変更はありませんので、すでに更新を適用している場合は、特に対応の必要はありません。

MS09-029:
すでに、ご存知の方もいると思いますが、Windows 2000, XP または Windows Server 2003 のセキュリティ更新プログラムを適用することで、印刷スプーラーが異常終了する事例の報告を受けています。MS09-029に既知の問題が発見された事をお知らせするために、セキュリティ情報を更新しています。印刷スプーラーの件については、対応の準備が整い次第、プロダクトセキュリティ警告サービス等を通じてお知らせする予定です。

2009年7月29日のセキュリティ情報 (定例外)

JSECTEAM — Wed, 29 Jul 2009 03:22:00 GMT

小野寺です

2009年7月24日に事前通知でお伝えした通り、定例外で、セキュリティ情報計2件 (緊急 1件, 警告 1件)を公開しました。
また、今回の２つのセキュリティ情報について説明するセキュリティアドバイザリも1件合わせて公開しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 7月の月例リリース分と今回分をまとめて一つにしています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

MS09-034 (Internet Explorer):
特別な細工が施されたWebサイトやメール上のコンテンツを参照することで、リモートでコードが実行される可能性があります。
今回対応した3つの脆弱性は、どれも悪用・公開はこのBlogを書いている時点では確認されていません。そのため、これら３つの脆弱性が、定例外のリリースの理由ではありません。とはいえ、深刻度が緊急の脆弱性ですから、早急な適用をお勧めします。
今回定例外のリリースを、行ったのはこの更新プログラムに、将来的な安全性をより高めるために、新しい多層防御機能を追加している事に関連しています。詳しくはもう一つのセキュリティ情報MS09-035とセットで説明する必要があるため、後述します。

MS09-035 (Visual Studio/ATL):
脆弱なATL (Active Template Library)を使って開発されたActiveXコントロールを通じて、ActiveXコントロール関連の本来のセキュリティ機能が迂回される可能性があります。結果として、コードの実行等につながる可能性があります。
さて、ATL等を使った事がある方は、お気づきかもしれませんが、この脆弱性は、Visual Studioが攻撃の対象となるわけではありません。 Visual Studioに付属するATLを使用して、開発されたActiveXコントロールなどのコンポーネントやコントロールが影響を受けます。その際の現実的な攻撃経路 (Attacking vectorといいます)として、特別な細工が施されたWebサイトから、影響を受けるActiveXコントロールが呼び出される場合です。この辺の関連は、MS09-034とセットで必要があるため、後述します。
MS09-035は、今後、脆弱性の影響を受けないコントロールやコンポーネントを開発できるように、ATLを更新してATL内の脆弱性に対処しています。そのため、影響を受ける可能性のあるコンポーネント開発者は、MS09-035の更新プログラム適用後に、該当コンポーネントを、リビルドする必要があります。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (973882): Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
MS09-034 および MS09-035に関連します。マイクロソフトの開発環境である Visual Studioには、ATL (Active Template Library)と呼ばれるC++のクラスライブラリが付属しています。このATLのコードが原因となって、このライブラリを基に開発されたコンポーネントが脆弱な状態になる場合があります。
このATL自体の脆弱性に対処したのが、MS09-035です。主に開発者向けの更新プログラムです。開発者の方はMS09-035を適用したのちに、コンポーネントをリビルドすることで、この脆弱性を開発したコンポーネントから排除することができます。この脆弱性の影響を受けるかを開発者が判断する方法は、MSDNサイト (http://msdn.microsoft.com/ja-jp/ee309358.aspx) をご覧ください。

この脆弱性は、脆弱なATLによって開発されたコントロールやコンポーネントでも発生し、攻撃の経路としては、Webを参照することによる影響を受けるActiveXを悪用した攻撃が考えられます。MS09-034は、ATLに関するもの以外のInternet Explorerの脆弱性に対処していますが、それと同時に、このATL脆弱性の影響を受けるActiveXがInternet Explorerを通じて悪用される事を防ぐための多層防御機能を新たに追加しています。
この多層防御機能は、ActiveXの動作を監視し、今回の脆弱性が悪用される事を阻止します。そのため、多くのユーザーは、Internet Explorerのセキュリティ更新プログラム MS09-034 を適用する事で、ATLの脆弱性がWeb参照時に悪用される事を防ぐ事ができます。

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

GWの前にやれ！

JSECTEAM — Wed, 22 Apr 2009 11:03:00 GMT

小野寺です。

早い方は、今週末からゴールデンウィーク (GW) に入るのではないでしょうか？
長～いお休みに入るにあたって、IT 管理者として、また、一個人として気をつけていただきたい事があります。

その辺を、「長期休暇の前に」のページにまとめてありますので、一度は確認いただき、実践してください。
そして、今年は、詐欺的ソフトウェアの増加や、先日の Conficker の感染等があり、今まで気をつけてきた人も、改めて注意していただきたいと考え、日々、インターネットの安全に取り組むGIAIS パートナーの方々とも連絡を取り合い、通年よりもより広い範囲に呼び掛けを行っていきます。GIAIS (The Global Infrastructure Alliance for Internet Safety) は、世界中の主要なインターネットサービスプロバイダーで構成するセキュリティのためのアライアンスで、日本では、「GIAIS パートナー」7 社が参加しています。

「長期休暇の前に」のページでは、各 GIAIS パートナーの方々のセキュリティ対策サイトやサービスも紹介しています。

また、先日 Power To The Pro 2009 の発表の際にお約束した、セキュリティの新ビデオシリーズのプレビュー版もご紹介します。
内容は、この時期に合わせて長期休暇対策です。しかし、今回のビデオは、いつもと少し違います。何が違うかは、自分の目で確認してください。

http://technet.microsoft.com/ja-jp/security/cc263898.aspx

今回は、プレビュー版ですが、5 月には正式に専用 Web ページにまとめ、シリーズ物として定期的に提供していく予定です。
フィードバックや、取り扱ってほしい話題は、このブログのコメントに書き込んでください。

色々と書きましたが、GW のためだけでなく、時間に余裕のある長期休暇を利用して、忙しい毎日で見過ごしているかもしれない、確認をしてみては如何でしょう？

ワームとMS08-067

JSECTEAM — Fri, 28 Nov 2008 11:13:00 GMT

小野寺です。

報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。

ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。

対処としては、基本的に以下の流れになります。

MS08-067の適用
駆除 (http://safety.live.com)
ファイアウォールの設定見直しなります。

しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。
このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。

詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A

別名 (Also Known As):
TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
W32.Downadup (シマンテック)

概要 (Summary):
ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。
マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。

現象 (Symptoms):
この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。

技術的な情報(Technical Information):
Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。

感染方法:
このワームは Windows の実行可能ファイル 'services.exe' を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステムフォルダーに <random>.dll の名でそれ自身をコピーします。<random> の部分はアルファベットの小文字 (5-8 文字) で 'nxyme.dll' のような名称になります。

このワームは感染時間についてフォレンジックの証拠を隠すため、DLL ワームのコピーがドロップされたファイルの時間を、システムの kernel32.dll ファイルと同じ時間に調節します。このレジストリはドロップされた DLL のワームコピーをサービスとして実行するように変更されます。

追加の値: "DisplayName"
データ: "0"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

追加の値: "ServiceDll"
データ: "<system folder>\nxyme.dll"
サブキー: HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters

マシンがワームに感染すると、このワームはすでに影響を受けているこのマシンが再感染しないように、シンプルなコードのフックを介して悪用された機能を修正します。ワームはポート 1024 および 10000 の間をランダムに選択してポートを開き、接続の試行情報を確認し、API を使用している Windows ファイアウォールを回避します。また、このワームはインターネット接続共有サービスを停止します。

拡散方法:
ネットワークのコンピューター
Win32/Conficker. A はメモリにそれ自身をコピーし、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上でランダムに選択した IP アドレスに蔓延し始めます。脆弱性が悪用された場合、ワームは標的のコンピューターを操り、ワームに開かれたランダムなポートを使用して HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
このワームは次の URL を利用して、コンピューターの地域的な場所を判断します:

getmyip.org
getmyip.co.uk
checkip.dyndns.org

Win32/Conficker.A はウクライナの地域のコンピューターの感染を避けます。

ペイロード (Payload):
HTTP サーバーを作成する
ワームは 1024 から 10000 の間のポートをランダムに開き、Web サーバー (HTTP サーバー) のように動作します。リモートのマシンが悪用された場合、犠牲者が http サーバーに再度接続し、ワームのコピーをダウンロードします。

システムの復元ポイントのリセット
ワームは API 機能を呼び出し、コンピューターのシステムの復元ポイントをリセットし、システム復元を使用してリカバリさせないようにします。

ファイルのダウンロード
日付が 2008 年 11 月 25 日以降である場合、このワームは URL を次のフォーマットで構築し、そこからファイルをダウンロードしようと試みます:

<random ip>/search?q=%d&aq=7

日付が 2008 年 12 月 1 日以降である場合、Win32/Conficker.A はドメイン 'trafficconverter.biz' から 'loadadv.exe' のファイルのダウンロードを試行します。

2008年10月のセキュリティリリースと Exploitability Index (悪用可能性指標)

JSECTEAM — Wed, 15 Oct 2008 00:51:00 GMT

小野寺です

今月は、事前通知からの変更はなく、予定通り、計 11 件 (緊急 4 件, 重要 6 件, 警告 1 件)を公開しました。
加えて、脆弱性のある他社製品を、Internet Explorer上で動作できなくするためのKill bitを行う更新プログラムをアドバイザリと共に公開し、悪意のあるソフトウェアの削除ツールを更新しています。

また、今月から、Exploitability Index (悪用可能性指標) の提供を開始しました。

セキュリティ情報 (新規):
セキュリティ情報の展開に関する情報およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/MS08-oct.mspx

MS08-056 (Office):
Microsoft Office XP Service Pack 3 製品向けのセキュリティ更新ですが、ブラウザ上での攻撃に関連しています。cdo プロトコル (cdo://) と content-disposition: attachment を組み合わせる事で、クロスサイトスクリプティング等々の発生を可能にする脆弱性に対処しています。

MS08-057 (Excel):
特別に細工されたExcelファイルを開く事で、不正なコードが実行される可能性のある脆弱性に対処しています。

MS08-058 (Internet Explorer):
特別に細工されたウェブサイトを参照することで、不正なコードの実行、情報漏洩などの可能性のある脆弱性に対処しています。

MS08-059 (Host Integrated Server):
特別に細工したRPCメッセージを、Host Integration Server の SNA リモートプロシージャコール (RPC) サービスで受信した場合に、不正なコードが実行される可能性のある脆弱性に対処しています。

MS08-060 (Active Directory):
特別に細工をした LDAP パケットを、Windows 2000 Server の Active Directoryで、受信した場合に、不正なコードが実行される可能性のある脆弱性に対処しています。Window Server 2003, 2008の Active Directoryや、ADAM等はこの脆弱性の影響を受けません。

MS08-061 (Kernel):
特別に細工した不正なプログラムを実行する事で、カーネルモードでのコード実行や、通常以上に権限でコードを実行する事ができる可能性のある脆弱性に対処しています。

MS08-062 (IPP):
特別に細工したPOSTリクエストを、インターネット印刷プロトコル (IPP)機能を有効にした Internet Information Serviceで受信する事で、不正なコードが実行される可能性のある脆弱性に対処しています。Microsoft Windows 2000 および Windows XP では、IPP が既定の状態で有効です。

MS08-063 (SMB):
特別に細工したSMB パケットを受信する事で、不正なコードが実行される可能性のある脆弱性に対処しています。ただし、脆弱性を悪用できるのは認証されたユーザーのみです。

MS08-064 (VAD):
特別に細工した不正なプログラムを実行する事で、通常以上に権限でコードを実行する事ができる可能性のある脆弱性に対処しています。

MS08-065 (MSMQ):
特別に細工したRPCリクエストを、メッセージキューサービス (MSMQ)が受信する事で、SYSTEM権限で不正なコードが実行される可能性のある脆弱性に対処しています。

MS08-066 (Ancillary Function Driver:AFD):
特別に細工した不正なプログラムを実行する事で、通常以上に権限でコードを実行する事ができる可能性のある脆弱性に対処しています。

アドバイザリ 956391:
他社で開発・提供された Microgaming Download Helper, System Requirements Lab, PhotoStockPlus Uploader Tool に脆弱性があり、これらの製品に関連する脆弱なActiveXコントロールが、Internet Explorer上で実行されないようにKill bitを設定します。

Exploitability Index (悪用可能性指標):
今月から、新たに提供を開始した Exploitability Index は、各脆弱性がどの程度悪用される可能性があるのかを、分析・評価した結果を提供するものです。分析結果は、以下の3つの段階で示されます。

1 - 安定した悪用コードの可能性
この評価は、マイクロソフトの解析では悪用コードが作成され、攻撃者が安定的に脆弱性を悪用する可能性があることを意味します。例えば、攻撃者は、同じ結果を何度も期待して、安定的にリモートでコードを実行する可能性があります。攻撃者にとっては、興味を引く対象であるため、悪用コードが作成される可能性が高くなります。以上のことから、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より高い優先度となります。
2 - 不安定な悪用コードの可能性
この評価は、マイクロソフトの解析では悪用コードが作成される可能性があるものの、(標的が影響を受ける製品であるとしても) 攻撃者の望むような結果を安定的には得られない事を意味します。例えば、悪用によりリモートでコードが実行される可能性がありますが、その成功の確率は 10 回に 1 回または 100 回に 1 回程度で、標的にされたシステムの状態や悪用コードの質によって決まると考えられます。攻撃者は、深い知識を得て、標的の環境を制御して、攻撃の成功率を高める可能性がありますが、この攻撃の性質は信頼性が低いため、対象としてあまり攻撃者の興味を引くことはないと考えられます。そのため、悪用コードが作成される可能性はあるものの、安定的に悪用可能な他の脆弱性と同じように効果的な攻撃ではありません。、お客様がセキュリティ情報を確認し、お使いの環境への更新プログラムの適用を判断する場合、より緊急性の高い別の脆弱性と比較した場合に、こちらを適用する優先度は低くなる可能性があります。
3 - 機能する見込みのない悪用コード
この評価は、マイクロソフトの解析では、機能する悪用コードを作成する可能性が低いという意味です。つまり、脆弱性が悪用され、異常な動作を引き起こすコードが公開される可能性はあるものの、脆弱性の影響を完全に悪用して攻撃に成功するような悪用コードが作成される可能性が低いという意味です。攻撃者がこの種類の脆弱性を悪用して攻撃を成功させるには、多くの投資が必要になります。そのため、このような悪用コードの作成によるリスクおよびその使用の可能性は大幅に低くなります。したがって、お客様がセキュリティ情報を確認し、お使いの環境への適用性を判断する場合、他の公開された脆弱性よりもこの更新プログラムの優先度は低くなる可能性があります

悪意のあるソフトウェアの削除ツール(MSRT):
今月は、Win32/Rustockに対応しています。このマルウェアは、いわゆるバックドアですが、Rootkitとしての機能を有しており些か発見しにくい性質を持ちます。
http://www.microsoft.com/japan/security/malwareremove/default.mspx

ワンポイントセキュリティ情報:
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、9/15の午後に以下のサイトで公開を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

WSUS 3.0による更新の配信がブロックされる

JSECTEAM — Tue, 01 Jul 2008 01:36:00 GMT

小野寺です。

Windows Server Update Services (WSUS) 3.0 および 3.0 SP1を使用して更新プログラムを配布している場合に、配信が正常に行われない可能性があることがわかりました。この更新にはセキュリティ更新プログラムも含まれるため、本日この件に関して、セキュリティアドバイザリ 954960 発行しました。

http://www.microsoft.com/technet/security/advisory/954960.mspx (英語)
http://www.microsoft.com/japan/technet/security/advisory/954960.mspx (日本語)

先日アドバイザリ 954474でお知らせしたSCCMの件とはまた別の事象となります。
この現象に当たるとWSUS サーバーの以下のログにエラーが確認できるはずです。

%Program Files%\Update Services\Log Files\SoftwareDistribution.log :
2008-06-14 02:59:57.642 UTC Error w3wp.12 ClientImplementation.SyncUpdates System.ArgumentException: Item has already been added. Key in dictionary: '8862' Key being added: '8862'
(省略)
2008-06-14 02:59:57.642 UTC Warning w3wp.12 SoapUtilities.CreateException ThrowException: actor = http://wsusebc/ClientWebService/client.asmx, ID=c0a7445f-b989-43fa-ac20-11f8ca65fa8c, ErrorCode=InternalServerError, Message=, Client=?

または、WSUSと同期するクライアントのログに以下のようなログが残ります。

%windir%\WindowsUpdate.log :
2008-06-13 19:59:56:617 788 ee4 PT WARNING: ErrorCode:InternalServerError(5)
(省略)
2008-06-13 19:59:56:617 788 ee4 PT WARNING: ID:c0a7445f-b989-43fa-ac20-11f8ca65fa8c

原因は、Office 2003 Service Pack 1 (UpdateID:c0a7445f-b989-43fa-ac20-11f8ca65fa8c)に関する情報を更新している過程で、WSUSの承認の状態に不整合が発生し、結果とし処理を停止してしまうことにあるようです。

この問題に合致する場合、セキュリティ情報にある手順を試すことで、この問題を解消できます。
現在引き続き調査を進めている状況ですので進捗に合わせて、アドバイザリを更新していくことになると思います。

IIS & ASP 向け検査・対策ツールを公開

JSECTEAM — Wed, 25 Jun 2008 04:43:00 GMT

小野寺です。

ニュースとしては、比較的下火になっているかもしれない、SQL インジェクションの対策が済んでいないサイトが、まだまだ、残っています。しかし、実際に対策を進めてみると「検査方法が分からない」「開発元がもうすでに・・・」「色々有ってコードが変更できない」といった様々なフィードバックというか悩みがでてきます。

現在のSQL インジェクションの問題の怖いところは、侵害されたサイトが、そのサイトの利用者にも被害を伝播させるところです。そして利用者側で自衛するのは大変難しいと言えます。現在発見されている多くのパターンは、セキュリティ更新を適用しておけば被害を受ける可能性は低くなりますが、ゼロではありません。
将来、もしも未知の脆弱性が発見された場合、この多数のSQL インジェクションに耐性のないサイト群が犯罪者にとって都合のよい犯罪のプラットフォームになってしまう事も考えられます。

ということで、少なくとも先ずは、自分のところから何とかしようということになりまして、Internet Information Services (IIS) と ASP の対策・検査ツールを新たに提供することにしました。 (前置きが長かったです。)

1. Microsoft Source Code Analyzer for SQL Injection (SQLインジェクションに関するソースコード分析ツール)
このツールは、ASP のソースコードを静的に分析して、SQL インジェクションの原因となるような未検証の外部入力や、外部入力を直接使った SQL コマンド/ステートメントの構築等々を検出します。
ツールでは、以下の6種類の点について検査し、警告を出力します。

80400 – Possible SQL Injection vulnerability through data that is read from the Request object without any input validation. These warnings are very likely bugs that must be fixed.
80406 – Possible SQL Injection vulnerability through data that is read from the Request object where the input is passed through some unknown function calls that might perform data validation. If there is no data validation done inside the function call, then these are likely bugs else these are likely false positives.
80403 – Possible SQL Injection vulnerability through data that comes from a backend server. If the data is controlled by an end user through some other web page then these are likely bugs. But if the data is well trusted then these may not be bugs. It is still a good practice to parameterize these queries as a defense in depth.
80407 - Possible SQL Injection vulnerability through data that comes from a backend server and is passed through some unknown function calls. If the data is controlled by an end user through some other web pages and if there is no data validation performed on this data, then these are likely bugs.
80420 – Possible SQL Injection vulnerability through function parameters. These warnings are generated at function scope, so if the function parameter values come from trusted sources then these are false positives. If the parameter values are controlled by end users then these are very likely bugs. You can use __sql_pre_validated annotation on the function parameters to detect if end users can reach this code.
80421 – Possible SQL Injection vulnerability through function parameters and the function parameters are passed through some unknown function calls that might perform data validation. You can use __sql_pre_validated annotation on the function parameters and __sql_validate on validation function to detect if end users can reach this code.

既存の ASP で一度、どんな項目が検出されるかチェックしてみてもよいかもしれません。
使い方は、以下の様な感じで、検査対象の ASP ソースを指定するだけです。ツールは、自動的にページ遷移を追いかけませんので、複数の ASP ファイルが有る場合は、個別に検査する必要が有ります。

msscasi_asp.exe /input="default.asp"

2. URLScan の新バージョン (3.0 ベータ)
今までも、URLScan で不正なリクエストをある程度拒否する事が出来たのですが、最近のSQL インジェクション攻撃を防ぐののに便利なオプションを追加しました。
まだ、ベータという扱いですが、既存のコードに一切手を入れることなくリスクを減らすことが可能です。とはいえ、脆弱なコード、このツールを導入しても脆弱なままですし、すべてのケースで防げるとは限りません。 URLScanは、本来は「コードが対策済みで、もし、脆弱性が見つかっても」不正なリクエストを拒否する事で、実際の被害にはつながらない様にするためのリスク要因緩和ツールです。
決して、コード上の脆弱性対策の恒久的な代替え手段ではありません。

セキュリティデベロップメント “ライフサイクル”：裏側と表側

JSECTEAM — Thu, 19 Jun 2008 06:41:00 GMT

小野寺です。

セキュリティデベロップメント（SDL: Security Development Lifecycle) って本当にやってるの？
ということを、聞かれることがあるが、実は結構真面目にやっていたりします。この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。
といっても、話すのは私ではなく、ソニーの松並氏とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。

私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。

そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。

最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。

MBSAが久しぶりにバージョンアップ

JSECTEAM — Tue, 27 May 2008 09:55:00 GMT

小野寺です。

MBSA (Microsoft Baseline Security Analizer)が久しぶりにバージョンアップして、2.1となりました。
前回、2.01を公開したのが、2006年6月ですから、実に2年ぶりですね・・・

一応 MBSA を知らない人向けに語弊を恐れず簡単に説明すると、「セキュリティパッチの適用具合と製品の設定を確認するツール」という感じです。実際には、このツールで確認するのは、名前の通り 'baseline' となる最低限のセキュリティだけですので、このツールの検査に合格しても、ビジネス的に十分かどうかはまた別の話です。逆に、このツールで不合格になるような環境は、多くのケースで不適切と言えます。

さて、今回、マイナーバージョンが一つ上がって、2.1 となりましたが、今回の目玉は、Windows Vista と Windwos Server 2008対応です。2.0.1 も Windows Vista の更新プログラムのスキャンはできたのですが、脆弱性レポートなどの幾つかの機能には対応していませんでした。今回のバージョンアップで、その辺の機能にひと通り対応しています。また、64bit 環境, Windows Embedded, SQL Server 2005 の脆弱性評価にも正式に対応しました。

新機能を列挙すると以下のようなものがあります。

Windows Vista および Windows Server 2008 のサポート
更新されたグラフィカルユーザーインターフェイス
64-bit プラットフォームのフルサポートおよび 64-bit のプラットフォームおよびコンポーネントに対する脆弱性評価 (VA) チェック
Windows XP Embedded プラットフォームのサポート
SQL Server 2005 の脆弱性評価 (VA) チェックのサポート
Microsoft Udate の登録およびエージェントの更新
ユーザーが選択したディレクトリパスまたはネットワーク共有に完了したスキャンレポートを出力する機能
Windows Server Update Services 2.0 および 3.0 のWUAへの対応

ちなみに、ダメ環境のレポートはこんな感じです。

詳しいことは、MBSAのページとそのFAQ (よくある質問) を見てください。
http://www.microsoft.com/japan/technet/security/tools/mbsa2_1/default.mspx

日本のセキュリティチーム (Japan Security Team) : 検査

2009年10月14日のセキュリティ情報

2009年9月9日のセキュリティ情報

2009年8月12日のセキュリティ情報

MS09-029のスプーラーの件と MS09-034 & MS09-035の更新

2009年7月29日のセキュリティ情報 (定例外)

2009年7月のセキュリティ情報

2009年6月のセキュリティ情報

GWの前にやれ！

ワームとMS08-067

2008年10月のセキュリティリリース と Exploitability Index (悪用可能性指標)

WSUS 3.0による更新の配信がブロックされる

IIS & ASP 向け検査・対策ツールを公開

セキュリティ デベロップメント “ライフサイクル”：裏側と表側

MBSAが久しぶりにバージョンアップ

2008年10月のセキュリティリリースと Exploitability Index (悪用可能性指標)

セキュリティデベロップメント “ライフサイクル”：裏側と表側