小野寺です。

3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。
4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。

SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx

実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。
最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。
  ;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略)

そのほか、特殊記号 (' ; --等)がログに残っている場合も同様に注意が必要でしょう。

問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。

最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。

すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。

小野寺です。

本日、Security Development Lifecycle (SDL) Guidance が公開されました。
  http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en

思い起こせば、2001年の頃に始まった SD3+C (Secure by Design,  by Default and in Deployment + Communication)が、発展して SDL になりました。
現在の形になるまで、紆余曲折がいろいろあったのですが、現在は、Microsoftの色々な製品の色々な開発スタイル・プロセスに融合して製品・サービスのセキュリティを確保する基礎となっています。Windows Vista も、今回公開された SDL v3.2をベースに開発がおこなわれています。

現在は、オンライン版も書籍も英語ではありますが、ぜひ一読いただきたい資料です。(個人としては、ぜひ日本語化したいと思っています)
今月末に開催される、RSA Conference 2008 に、この SDL を担当している Eric Bidstrup を招聘していて　SDLを如何にして浸透させたか等を話してもらうことになっています。同時通訳でお送りしますので、開発、品質管理、プロジェクト管理等に係る方にはお勧めです。

  マイクロソフトのセキュリティ開発ライフサイクル―より安全なソフトウェアの構築
  https://rsacon2008.smartseminar.jp/public/session/view/60

 このあたりの情報も、今後おりを見て日本語サイトで公開していきたいな・・・

小野寺です。

4月のワンポイントセキュリティを公開しました。

Video: Security Updates This Month - April 2008

soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

小野寺です

今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。
今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。

特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。
適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。

具体的には、以下のような流れです。
  1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)
  2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)
  3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる)

MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。

今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

小野寺です。

イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。
このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。

2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました。これまで、対応するプラットフォームでのテストにはすべて参加しているのですが、OneCareが過去4回のテストで3度目の受賞、Forefrontは、5回のテストですべて受賞することができています。

  Microsoft Forefront Client Security (1.5.1937.0)    
  Microsoft Windows Live OneCare (2.0.2500.22)   

より詳細な結果は、以下から誰でも見ることができます。(登録は必要ですが・・・)
http://www.virusbtn.com/vb100/archive/results?display=vendors

この結果だけで、すべての性能が決まるわけではありませんが、やはり受賞できるというのは、中々に良いものです。