• ポータルサイトのリニューアルと、IT Security Award 2009

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    Internet Explorerのセキュリティ更新プログラムは既に適用済みでしょうか?
    「実は、まだ・・・」という方は、先ずは、Microsoft Update でPCを最新の状態にしてから、このブログを読んでください。


    さて、今日はお知らせが2つあります。

    1つ目は、セキュリティ ポータルをリニューアルです。

    今回の変更では、「利用する人に合わせてより情報を入手しやすく、行いたい事が見つかるページ」を念頭に、4つの利用者群「家庭」「企業」「IT Pro」「開発者」に分けてページ構成しています。少しでも、皆様の役に立つことを期待しています。

    セキュリティ ポータル
    http://www.microsoft.com/japan/security/

    2つ目は、IT Security Award です。
    昨年、お陰さまで好評をいただき、今年もIT Security Award を開催いたします。

    実際の、クイズ出題は、2009年1月15日からですが、クイズの開始や関連情報をお知らせするための事前登録を受け付けています。
    昨年は、主にITエンジニアの方々を対象にしていましたが、今年はより範囲を広げ、開発者、ITエンジニアの方のためのクイズをご用意しています。もちろん豪華プレゼントや授賞式も用意していますので、ぜひチャレンジしてみてください。

    IT Security Award 2009

  • Internet Explorerのセキュリティ更新プログラム提供開始

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。
    Microsoft Update または 自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。
      http://update.microsoft.com/microsoftupdate/

    今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。
      MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)
      http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx

      絵で見る MS08-078 : Internet Explorer の重要な更新
      http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx


    今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。

    また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

  • Internet Explorerの更新の事前通知

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    先日から、セキュリティ アドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。
    これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。
    通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。


    マイクロソフト セキュリティ情報の事前通知 - 2008 年 12 月 (定例外)
    http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx


    本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。
    通常の Windows XP 向け更新プログラムになります。

    セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。

     

  • Internet Explorerの脆弱性に関するアドバイザリ & SQL インジェクション

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    昨日、Internet Explorerに関するセキュリティ アドバイザリ 961051を公開しました。
    Webサイトを見る事で、脆弱性が悪用される可能性があり、現在サポートされている Internet Explorerが影響を受けます。
    しかしながら、Windows Vista のInternet Explorer 7 や Internet Explorer 8 (Beta) は、保護モードにより脆弱性が悪用された場合でも、システムへ侵入される可能性を抑える事ができます。
    また、Windows XP および Windows Vista については、データ実行防止 (DEP) が機能として有りますが、互換性の為に既定では無効となっています。Internet Explorer 8 (Beta) を導入している環境では、既定で有効です。

    現在、更新プログラムの提供を含めて検討・作業を進めており、新たな対策等は、Webサイトおよび、セキュリティ警告サービスでお伝えしていきます。
    現時点で、リスクを回避する方法としては、アドバイザリ記載の幾つかの回避策の内で、影響の少ないものを選択して適用する事を推奨します。 回避策を取れない場合や、個人の利用者の方は、最低限のセキュリティ対策は実施していただきたいと考えています。

    直接的に関連するわけではありませんが、Webサイトを悪用した攻撃では、SQL インジェクションも並行して行われる事が多く、個々のWebサイトが、本脆弱性を悪用するプラットフォームにならない様に、改めてSQL インジェクションへの対応をお願いしたいところです。SQL インジェクション自体は、Webサイトやそのバックエンド データベースの情報を抜き取る手段にも使われており、今回の件に関係なくWebサイトにとっては必要な対策となっています。

    Webサイトが、SQL インジェクションで攻撃を受け、結果としてそのサイトの利用者に被害が及ばないようにするための情報として以下を公開しています。

    SQL インジェクション攻撃とその対策
    http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx

    参考資料

     

  • 12月のワンポイント セキュリティ

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    12月のワンポイントセキュリティを公開しました。

    2008年12月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

    最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。