先日公開した「セキュリティ アドバイザリ 2286198」で、Windows シェルの脆弱性の標的型攻撃の報告を確認したとお伝えしていました。

マイクロソフトは、この脆弱性を悪用する攻撃からお客様を保護するために、定例外の Windows のセキュリティ更新プログラムを 2010/8/3 に公開する予定です。

現在マイクロソフトはこの脆弱性を悪用しようとするマルウェアの出現を確認しています。しかし、マイクロソフト製のセキュリティ対策ソフトである Forefront や Microsoft Secutity Essentials の最新の定義ファイルでは、確認しているマルウェア亜種には対応済みですので、常に定義ファイルを最新の状態に更新するようにしてください。まだ、お使いのマシンにウイルス対策ソフトを導入されていない方は、無償の Microsoft Security Essentials (MSE) のインストールをご検討ください。

定例外の公開ではありますが、配信はすべて、月例の公開時と同様にMicrosoft Update等を通じて行います。

公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-aug.mspx

本日、マイクロソフトは脆弱性の公開への対応方法に関する方針を「責任ある公開 (Responsible Disclosure)」から「協調的な脆弱性の公開」へと、変更することを発表します。「責任ある公開」と「完全な公開 (Full Disclosure)」の支持者との終わりなき議論、またその有意義かつ、生産的な業界の連携とお客様の保護を損なうことを鑑みると、マイクロソフトは“お客様へのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である“という重要な柱を構成し、コミュニティの考え方を改めることが必要であると信じています。

協調的な脆弱性の公開 (CVD): 新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性は、影響を受ける製品のベンダー、CERT-CC やベンダーに非公開で報告を行うコーディネーター、またはベンダーに非公開で報告するような専用サービスに直接レポートされます。ファインダーにより、ベンダーは脆弱性の詳細または悪用情報が一般に共有される前に、分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになります。一般で攻撃が行われた場合、お客様自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダーが緊密に協力して脆弱性を早期公開することが可能になります。

責任は今後も絶対に欠かせないものです。しかし、それはセキュリティ リサーチャー、セキュリティ製品の提供者およびその他のソフトウェアベンダーのコミュニティにおける共通の責任です。このディフェンダー コミュニティの各メンバーが役割を果たし、コンピューティング エコシステムの全般的なセキュリティを強化します。

CVD は、現在定義している「責任ある公開」から大きく離れるものではありません。マイクロソフトはこれらのガイドラインから外れた、広範に公開された脆弱性の詳細は、お客様を不必要なリスクレベルの状態にするものであると一貫して考えています。しかし、CVD では問題を一般的に解決する方法について、より焦点を絞った協調が可能になります。CVD の中心的な原則は単純なものです。ベンダーおよびファインダーが解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むことが必要になります。その際にもできる限り緊密に協調していく必要があります。

マイクロソフトがマイクロソフトの方針を新たなアプローチに転換するに伴い、幅広いセキュリティコミュニティにお願いしたいのは、最終的にお客様のリスクが最低限に抑えられるというこの変更の目的を受けいれていただくことです。この違いは重要な意味を持ちます。

マイクロソフトは、マイクロソフトが知らないうちに、非常に限定的な攻撃が発生する可能性があることを認識しています。しかし、基本的に (また、過去 10 年に渡るマイクロソフトの経験が示すように)、一旦脆弱性の詳細が一般で公開されると、悪用の確率が顕著に上昇することを確信しています。協調的にセキュリティ更新プログラムまたはテスト済みの回避策を提供しなければ、お客様に対する影響が大幅に増幅するのです。

公開に関する議論の中で、両方の極論を聞いてみると、私達すべてが目指しているものがひとつ - 「お客様を守る」ことであるのは明らかです。数年に渡り、マイクロソフトはセキュリティ コミュニティと緊密に協力し、お客様の利益のために連携した活動を行ってきました。協調的な脆弱性の公開により、これからもユーザーの安全が保持されます。

2010 年 7 月のワンポイント セキュリティ情報を公開しました。
IT 管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

先週の事前通知でお伝えした通り、セキュリティ情報 計 4 件 (緊急 3 件、重要 1 件) を公開しました。

本日公開した新規セキュリティ情報 4 件のうち、2 件が以前公開したセキュリティ アドバイザリの問題を解決します。
MS10-042 のセキュリティ更新プログラムは、先月公開したセキュリティ アドバイザリ2219475で説明した Windows ヘルプとサポート センターの問題を解決し、MS10-043 のセキュリティ更新プログラムは今年 5 月に公開したセキュリティ アドバイザリ 2028859で説明した Canonical Display Driver の問題を解決します。

ワンポイント セキュリティ (2010/7/14 午後公開予定) では、適用優先順情報や一覧性の高い回避策等の情報を提供しています。ウェブキャスト公開後に、こちらのブログでもお知らせします。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jul.mspx

家庭でご利用の方は、絵でみるセキュリティ情報をご覧ください。
http://www.microsoft.com/japan/security/bulletins/default.mspx

• Windows 2000 SP4: 今月の月例セキュリティ更新プログラムが最後の提供となります。製品としてのサポート終了となるため、最新の OS (Windows 7 または Windows Server 2008 R2) への移行を推奨します。
• Windows XP SP2: 今月の月例セキュリティ更新プログラムが最後の提供となります。 最新のサービスパックを適用することで、来月以降もセキュリティ更新プログラムを入手可能な状態となりますが、セキュリティ担当者としては、最新の OS (Windows 7) への移行を推奨します。

2010年7月14日に予定している月例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、4件 (緊急3件、重要1件)となります。 また、毎月リリースと同日に公開している Webcast の ワンポイント セキュリティも、当日午後に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jul.mspx

なお、来週公開予定のセキュリティ情報で、セキュリティアドバイザリ 2028859 で説明している Canonical Display Driver の問題とセキュリティアドバイザリ 2219475 で説明している Windows のヘルプとサポート センターの問題を解決する予定です。