小野寺です

先日お伝えしたMS08-067に関するセキュリティ アドバイザリを公開しました。
http://www.microsoft.com/japan/technet/security/advisory/958963.mspx

MS08-067に関する悪用コードが公開されており、この悪用コードは Windows 2000、Windows XP および Windows Server 2003 上でコード実行が可能です。 もちろん、MS08-067を適用していれば問題ありませんので、引き続きMS08-067の適用を呼び掛けるためのアドバイザリとなります。

また、MS08-067に関して、マイクロソフトの Security Vulnerability Reserach & Defenceチームが、幾つか、Q&AをBlog に公開しているので、翻訳したものをこちらにも載せておきます。

この脆弱性は、HTTP 上の RPC を介して到達する可能性がありますか?
いいえ。この脆弱性は、HTTP 上の RPC を介して到達するものではありません。HTTP 上の RPC はエンド ツー エンドのプロトコルで、3 種類の役割があります: クライアント、プロキシおよびサーバーです。明確に言うと、これは標準の RPC とは異なるもので、この二つのプロトコルには相互運用性がありません。さらに、影響を与えるコードが成功する唯一の方法は名前付きパイプによる方法のため、TCP/IP を介して接続した場合、インターフェイスのセキュリティ コールバックは接続をドロップします。

一般的な HTTP 上の RPC を使用したシナリオでは、Outlook を使用して Exchange サーバーに接続し、電子メールにアクセスします。HTTP プロキシ上の RPC を使用しているため、Exchange サーバーは外部の攻撃にさらされません。

HTTP 上の RPC に関する詳細情報:
http://msdn.microsoft.com/en-us/library/aa375384.aspx (英語情報)

HTTP 上の RPC と Exchange の使用に関する詳細情報:
http://technet.microsoft.com/ja-jp/library/aa996072(EXCHG.65).aspx

ISA は、この脆弱性に対してどのような防御策を提供しますか?
ISA および TMG RPC のフィルターは、RPC エンドポイント マッパー (TCP:135) で開始する RPC のトラフィックだけを認識します。MS08-067 の攻撃は、CIFS (TCP:445) または NetBIOS (TCP:139) 内で行われるため、ISA または TMG RPC フィルターでは見えません。
既定で、ISA Server および TMG は、外部からの RPC、NetBIOS または SMB トラフィックを許可しません。
既定で、ISA 2000 は、LAT (社内ネットワーク) からローカル ホストへの、フィルタリングされなかったすべてのトラフィックを許可します。
既定で、ISA 2004、2006 および TMG は ISA 2004、2006 および TMG または配列メンバーおよび Content Storage Servers (CSS) のリモート管理のホストを除いたローカル マシンに対する RPC を許可しません。影響を受けた CSS およびリモート管理のホストは ISA または TMG Server に脅威をもたらすため、直ちに更新プログラムを適用する必要があります。
ISA または TMG ポリシーを変更して、ローカル ホストに対する SMB または NetBIOS トラフィックを許可している場合 (例: 支店のシナリオなど)、この更新プログラムを、直ちに ISA または TMG Server に適用してください。

「restrict anonymous named pipes」のグループ ポリシーが構成されている場合、匿名のユーザーは影響を受けるコードに到達できますか?
プラットフォームのバージョンにより、2 つの動作に分かれます。

残念ながら、Windows XP SP2 および Windows Server 2003 のグループ ポリシー構成 「ネットワーク アクセス: 匿名でアクセス可能な名前付きパイプ」 (詳細は http://technet.microsoft.com/en-us/library/cc785123.aspx - 英語情報- をご覧ください) は、ブラウザーの名前付きパイプへの匿名の接続を禁止しません。既定で、この名前付きパイプへの接続は、どのような構成だとしても、コードの影響を受ける可能性があります。つまり、「ブラウザー」が一覧から削除されていても、匿名で名前付きパイプに到達されてしまう可能性があります。 Windows Vista および Windows Server 2008 では、ブラウザーの名前付きパイプを削除し、システムを再起動した場合、この動作が変更され、構成が有効になります。

Terminal Server または リモート デスクトップ接続を介する共有ファイルおよび/またはプリンターはこの脆弱性の影響を受けますか?
いいえ。Terminal Server または リモート デスクトップ接続は、RDP プロトコルに組み込まれた仮想チャネルを使用してリダイレクトします。さらに、Terminal Server はポート 139 または 445 を開きません。

小野寺です

本日は通常のセキュリティ情報をリリース日ではありませんが、昨日お伝えした通り、セキュリティ情報 (緊急 1件)を公開しました。

MS08-067: Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx

今回対応した脆弱性は、ファイル共有などをになっている Server サービスに存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。
Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。

すでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。

小野寺です

先ほど、定例外のセキュリティ情報の事前通知を公開しました。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct-ans.mspx

Windowsに関するリモートでコードが実行できる可能性ある脆弱性が発見され、11月の定期公開日を待たずに対応する必要があると判断したため、今回の定例外リリースとなりました。

Windows 2000, Windows XP および Windows Server 2003 は、深刻度は緊急、Windows Vista および Windows Server 2008 は、深刻度は重要となります。各OS向けのセキュリティ更新プログラムの提供は、通常通り、Microsoft Update, 自動更新等を通じて行います。

通常の事前通知では、３営業日前に行っていますが、今回の定例外リリースで、セキュリティ情報の公開を10/24に行います。公開は、10/24の早朝に行う予定ですが、公開が完了次第、セキュリティ警告サービスで通知します。

マイクロソフトプロダクトセキュリティ警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

小野寺です。

無線LANの暗号が数秒で解読されるという話が、ニュースになり、総務省の「国民の為の情報セキュリティサイト」でも重要なお知らせとして通知が行われています。

無線LANに関係する家庭向けの脅威としては、盗聴や通信回線の不正使用などが考えられます。
その辺の情報をまとめたものとして、以下の2つをご紹介。

家庭のシステムがハイジャックされないようにするためのヒントhttp://www.microsoft.com/japan/protect/yourself/home/homewireless.mspx
公共のワイヤレス ネットワークをより安全に使用する方法
http://www.microsoft.com/japan/protect/yourself/mobile/publicwireless.mspx

 とくに、「公共の・・・」はぜひ読んでいただきいですね。暗号が解読されるよりも、街中で誰が設置したのかもわからないフリーのアクセスポイントに接続する方がよほど危険だったりします。 公共の無線接続を使うときは、SSLやVPNなどの別の暗号化の手段を取っておいた方が良いですよね・・・今さらかもしれませんが。

ちなみに、 Windows Vista 等で今自分が接続している無線LANの暗号化の状態を確認したいときは、以下のコマンドを、実行することで確認できます。

 netsh wlan show interface

実行後、少し待つと結果が表示されますが、「暗号」という項目があり、「なし」とか「WEP」の場合は、WPAに切り替えることを検討したいですね。Windows XP/Vista 共に最新の暗号に対応しているます。機器側の設定を切り替える方法は・・・無線LANルーター/アダプターの説明書をみてください。
機器側が対応しいない場合は・・・悩ましいですね。

WEPを使っているからと言って、今すぐ被害にあうわけではありません。しかし、不心得者が近くにいれば被害にあう可能性があるということですので、何かの機会に無線LAN環境をグレードアップさせる時には、こういうセキュリティ面も注意して機器の選択をしていきたいですね。

小野寺です。

先日、実在する弊社担当者名を使った英文の詐欺メールが出回りましたが、その担当者 Scott Culpは、非常に初期のころから、Microsoftのセキュリティ対応に取り組んでいた人の一人です。

その彼が、書いたコラムをに、「セキュリティに関する 10 の鉄則」と「セキュリティ管理に関する 10 の鉄則」があります。今でも、十分に通用するというか、今だからこそ実感がわくというか・・・

仕事で煮詰まった時(別に普通の問いでもOKです)にでも、一度読んでみると面白いと思います。各鉄則だけ、Blogで紹介しておきます。 個人的には、「セキュリティに関する 10 の鉄則」の鉄則1は、多くの方に再認識いただきたいと感じてしまします。

「セキュリティに関する 10 の鉄則」
http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true

 鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない
 鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない
 鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない
 鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない
 鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである
 鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている
 鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている
 鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である
 鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない
 鉄則 10: テクノロジは万能ではない

 「セキュリティ管理に関する 10 の鉄則」
http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true

 鉄則 1: 自分の身に何か悪い出来事が起こるまで、だれもそれが起こるとは考えもしない
 鉄則 2: セキュリティ保護の方法が簡単である場合にのみ、セキュリティはうまく働く
 鉄則 3: 常に新しい修正プログラムを適用していなければ、あなたのネットワークは長くはもたないだろう
 鉄則 4: 最初からセキュリティで保護されていないコンピュータにセキュリティ修正プログラムをインストールしても役に立たない
 鉄則 5: 永続的な警戒を行ってこそセキュリティが保護される
 鉄則 6: 外部からあなたのパスワードの推測を試みている第三者が実際に存在する
 鉄則 7: 最も安全なネットワークは管理が行き届いたネットワークである
 鉄則 8: ネットワークを攻撃から守ることの難しさは、その複雑さに直接比例する
 鉄則 9: セキュリティとは危険を回避することではない。リスクを管理することである。
 鉄則 10: テクノロジは万能ではない