こんにちは、セキュリティ レスポンス チームです。もうすでに年末年始のお休みに入られている方も多いかもしれませんね。皆さんはどんな年末年始を過ごされるのでしょうか。

休暇中に職場や自宅の PC がウイルスに感染！などということが無いように、長期休暇に入る前に、職場と自宅の PC へのセキュリティ更新プログラムの適用を今一度ご確認をいただき、PC の状態を万全にしておくことをお勧めします。また、長期休暇を前に悩む IT 管理者のお悩み解決のために作成した Web キャストを公開していますので、そちらも是非参考にしてください。

長期休暇の前に必ずやるべき 3 つのチェックリスト

1.      マイクロソフト製品だけではなく、インストールされているソフトウェアの状態は最新ですか？

2.      使用中のウイルス対策ソフトの定義ファイルは最新に更新されていますか？

3.      念のため、Microsoft Baseline Security Analyzer (MBSA) を使って PC のセキュリティ状態を最終チェックしておきましょう。セキュリティセンターの表示がすべてグリーンな状態かどうかのチェックも忘れずに！

万一、ご自宅の PC にウイルス対策ソフトがインストールされていない場合は、無料のウイルス対策ソフト Microsoft Security Essentials (通称 MSE) のインストールのご検討をお願いします。なお、MSE は今年 12 月中旬に、パフォーマンスの向上や、より強化されたセキュリティ機能 (検出およびクリーンアップ機能、ネットワーク保護など) を備えた最新版をリリースしています。また、これまではマイクロソフトの Web サイトの経由でのみダウンロード可能でしたが、Windows セキュリティセンターでウイルス対策ソフトがインストールされていないと認識されたシステム上では、Microsoft Update のオプション ダウンロードとしてもご利用可能になっています。

参考:
長期休暇の前に ~セキュリティ対策のお願い~
http://www.microsoft.com/japan/security/contents/vacation.mspx
セキュリ亭 ~休暇の前はご用心~
http://technet.microsoft.com/ja-jp/security/dd793045.aspx

本日、Internet Explorer のセキュリティ アドバイザリ2488013を公開しました。Internet Explorer 6、7、および 8 を使用するユーザーが影響を受け、悪意のある Web サイトを訪問した場合にリモートでコードが実行される可能性があります。この脆弱性の情報は一般に公開されていますが、マイクロソフトではこの脆弱性を悪用した攻撃は現時点では確認していません。

対象の製品をお使いのお客様は、アドバイザリ2488013 に記載の緩和策および回避策をご確認のうえ、適宜対応を検討してください。なお、IE 7 および 8 では既定で 保護モード が有効なため、この脆弱性が悪用された場合でもシステムで取得される権限が限られるなど、この脆弱性の影響が制限されます。

マイクロソフトはこの調査が完了次第、月例もしくは定例外のセキュリティ更新プログラムの公開によりこの問題に対応する予定です。また、セキュリティ更新の公開までの間も、Microsoft Active Protections Program (MAPP) プログラムを通じ、約 70 の主要なセキュリティ ソフトウェア プロバイダーにこの脆弱性の情報を共有しているため、お客様はウイルス対策ソフトの定義ファイルを最新にしておくことで、この脆弱性を悪用した攻撃からコンピューターを守ることができます。

このアドバイザリに関してお伝えできる情報があり次第、また Blog 等でアップデートします。

こんにちは。セキュリティレスポンスチームです。
もうすぐクリスマス、そして年末年始と、楽しい休暇シーズンがやってきますね。皆様は長期休暇をどのように過ごされるのでしょう？私は 2 歳のおチビがいるので忙しない帰省になりそうです。

ところで、日本でも先日 (11 月 20 日) 発売された Xbox Kinect は、順調に売り上げを伸ばしているようで、発売 (北米では 11 月 4 日) から 10 日で 100 万台、25 日で 250 万台 (…年内 58 日で 580 万台?) の勢いのよう。年内 500 万台という目標を達成できるペースですね。嬉しい限りです。ゲーマーではない私ですが、Dance Evolution は汗だくでやっています。皆様もクリスマス パーティ用に 1 台いかがですか？

この Kinect、発売から数日で面白いハック (と呼ぶのは MS 的には正しくないと思いますが) がたくさん紹介されていますね＾＾； 影絵や落書きの技術を搭載したり、体の特定の部分を認識させたり、光学迷彩を再現したり、はたまた 2 台使いで自分の部屋を 3D レンダリングしたり…。Kinect のインターフェースをオープンにしたことで、技術革新が進んでいるようです：P このデバイスの技術は非常に注目を浴びており、これを様々な OS や組み込みシステム、ロボット等と接続して応用できないかというプロジェクトが走るのも納得できますね。念のため、Xbox 内部のアルゴリズムを触ったり通信を盗んだりという本来のハックに対しては、しっかりした保護策が取られています。




そういえば、話は変わりますが、以前この Blog で触れたEMET (Enhanced Mitigation Experience Toolkit) について、改めて紹介すると言ったまま紹介していませんでした。その後ツール紹介サイトも用意し宣伝活動も進めています。ちょっとここでもご紹介しますね。

EMET (エメット) は、任意のアプリケーションに対して脆弱性緩和技術を簡単に導入できる便利ツールです。例えば Windows XP や Vista から導入された DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization) を含め、計 6 つ (EMET v2 の場合) のセキュリティ緩和技術をあらゆるアプリケーションに対して設定できるのです。


【EMET v2 の GUI】

【EMET v2 で設定できる 6 つの緩和技術】

EMET の活用の幅は組織によって異なるでしょうが、例えばソースコードの存在しない古いアプリケーションや、セキュリティ更新の出ていない脆弱性 (0-day) への対策、また、運用上更新プログラムをすぐに適用できない場合の緩和策などとして活用できると思います。データが盗まれると被害の大きい基幹業務アプリケーションや重役の Web ブラウザーなどに個別設定するのもいいかもしれませんね。EMET は、プロセスをクラッシュさせることで悪用を阻止するので、サービスの停止が難しいサーバーへの実施は困難という声もありますが、リスク管理の考え方として「セキュリティのリスクをゼロにできないのであれば、リスクは最小限にとどめる」という基本的な考え方があります。EMET が有効に機能したことでプロセスがクラッシュしサービスが停止したとしても、被害 (この場合サービス停止のみ) が 1 台で食い止められるのであれば、リスク管理の観点では成功といえるのだと思います。

EMET は、コマンドベースの v1 が 2009 年 10 月に、また、GUI ベースの v2 が 2010 年 9 月に公開されています。組織の複数のコンピューターに EMET を導入する場合は、ネットワーク共有上に EMET をインストールし、対象となるコンピューターにはログオンスクリプト等で EMET を設定することもできます。展開に関しては、今後のバージョンで Active Directory との連携など、企業環境で容易に展開や管理ができるよう検討されています。また、ツール自体も正式にサポートする方向で調整中です。

EMETv2 ツールは こちら からダウンロードできますので、ご興味ある方はぜひ触ってみてください。もう少し詳細をという方には、EMET を 10 分で知る Web キャスト も用意しています。ちょっと話し方がスローですがその辺はご寛仁ください。

皆さん、こんにちは。セキュリティレスポンスチームです。
年の瀬が近づき、バタバタと忙しい日を過ごされていることと思います。私たちセキュリティレスポンスチームも、12 月のビッグリリースを終え、ようやく落ち着けるかな? (落ち着きたいな) というところです。ここで、ちょっと今年のリリースを振り返ってみました。

それにしても今年はたくさん出ました。100 件を超えたのは 2000 年以来です。本当に慌ただしい一年だった気がします。今年 6 月の CVE 34 件、8 月の月例セキュリティ情報 14 件、10 月の月例セキュリティ情報16 件・CVE 49 件と、リリース数および対応 CVE 数は記録更新を重ね、12 月には最後の記録更新 (セキュリティ情報 17 件) で締めくくりました。定例外リリースも 4 件 (MS10-002 (IE)、MS10-018 (IE)、MS10-046 (Shell)、およびMS10-070 (ASP.NET)) あり、今年一年で実に 265 件の固有の脆弱性 (CVE) に対応したことになります。この 12 月について言うと、今年新たに確認された DLL Preloadingの脆弱性 のリモートの攻撃手法に対応したものや、実に巧妙な動きで世間を賑わせていた Stuxnet が対象とした最後の MS の脆弱性 タスク スケジューラ の脆弱性にも対応しました。

・・とここまで書いて、なんだかあまりいい印象を与えていないような気がしたのでちゃんと説明します。この増加傾向は、マイクロソフト製品がより脆弱になっているというのではなく、むしろ製品自体は堅牢になってきているのですが、サポートしている製品の増加や対処すべきシステムの多様化に加え、脆弱性研究技術の進歩により以前は見つかっていなかった新手法が出現してきていることが主な原因と考えられます。

マイクロソフトの努力としては、2000 年では、1 つのセキュリティ情報で対応する CVE の数は概ね 1 件が多かったのですが、今年は 106 件で 265 CVEに対応するというように、1 つのセキュリティ情報でできるだけ多くのCVEに対応するようにしています。それから、前述のように、今年は 4 件の定例外リリースをしており、ゼロデイ (※) が増えている印象もありますが、業界の協力体制を強化した 協調的な脆弱性の報告 の率は 80% と依然として高い率を保っており、ほとんどの脆弱性については世間に広く公開される前に対応ができています。また、Microsoft Active Protections Program (MAPP) という業界の別の協力体制プログラムもあり、主要なセキュリティベンダー (ウイルス対策ソフト、IDS/IPS) に未公開の脆弱性の詳細情報を予め提供して、ジェネリック定義ファイルの作成ができるよう協力しています。これにより、セキュリティ更新が出るまでの間でも、ウイルス対策ソフトの定義ファイルがきちんと更新されていれば悪用を防ぐことができます。

※ゼロデイ攻撃: ソフトウェアの脆弱性に対する更新プログラムが世に公開されるより前に、その脆弱性を悪用した攻撃が実行されたり、悪用するプログラムが出現すること。更新プログラムの公開日を1日目と数え、それ以前に攻撃が始まるという意味でゼロデイと呼ばれている。

時代は変わり、攻撃手法も種類も進化を遂げる中、マイクロソフトはお客様保護のため積極的に対応を続けています、というのは引き続きのマイクロソフトのメッセージです。皆さんも、大切な資産を悪用から守るため、できるだけセキュリティ更新の適用は行ってくださいね (大半のホーム ユーザーでは自動更新で透過的にセキュリティ更新が適用されるので安心です)。

いろいろ書きましたが、最後に、より新しい OS / SP は、古い製品より安全になっていることを裏付けるデータを紹介して終わりにしたいと思います。下図は今年 10 月に公開した セキュリティ インテリジェンス レポート (SIR) 第 9 版からの抜粋ですが、MSRT の実行数 1,000 回ごとに駆除されたコンピューター台数を製品バージョンごとに出しています。例えば Windows XP SP3 では 15.6 台のコンピューターで駆除が行われたのに対し、Windows 7 では 3.3 台という具合です。この場合、Windows XP SP3 ユーザーの方が Windows 7 ユーザーより約 4.7 倍多くマルウェアに感染していると言えます (データは正規化されていて、コンピューターの市場台数による影響は受けません)。このデータでは、サーバー/クライアント製品に一貫して、新しい製品はより感染率が低くより安全であることを示していると思います。この SIR はマルウェア (ウイルスやワーム) や、脆弱性、インターネット上の攻撃実態を詳細に分析したレポートで、半期毎に出しています。難しい話が書かれているわけではなく、最新の環境に投資することの正当性を証明するデータが詰まっているので、ご興味があればぜひご一読ください。

  引用: SIRv9「2Q10 にオペレーティング システムごとの MSRT の実行数 1,000 回ごとに駆除されたコンピューター数」より  *2本柱があるものは、右が 64 ビット

さてさて…本当に今年はビッグリリースでした。でも、決してマイクロソフト製品が脆弱になった訳ではないこと、より新しい製品は脆弱性も少なくより安全に使用していただけること、マイクロソフトは確実なお客様の保護のためこれから���努めていくことを改めて強調し、締めくくりたいと思います。

まだ 2 週間ありますが、年の瀬には 108 の煩悩を除夜の鐘で振り払い、フレッシュな気持ちで新年を迎えたいですね。

お待たせしました！9 月にエピソード 2 の連載を終えた Security Wars ですが、いよいよエピソード 3 の連載を開始しました。

「Security Wars」は、IT にかかわる法的な解説に加え、「なぜ技術者が犯罪行為や犯罪的な行為を行うのか」という根源的な点について、スター・ウォーズを題材に分析したコラムを高橋 郁夫 弁護士に執筆いただいたものです。

話題の事件をとりあげた具体的な解説はとても興味深いものです。まだ読まれたことのない方は、ぜひぜひご一読ください。

• エピソード 1: ハッカーと暗黒面
• エピソード 2: ボット対戦 - 匿名軍団の攻撃 -
• エピソード 3: プライバシーの逆襲