本日、Microsoft Windows の MHTMLに関するセキュリティ アドバイザリ 2501696 を公開しました。Server Core インストール環境をのぞく、サポートされているすべてのエディションの Microsoft Windows の MHTML に存在する新たな脆弱性が報告され、マイクロソフトはその報告を現在調査中です。この脆弱性は Internet Explorer で起こります。マイクロソフトは、公開された情報およびこの脆弱性を悪用しようとする検証コードの存在を認識しています。マイクロソフトは、公開された情報およびこの脆弱性を悪用しようとする検証コードの存在を認識しています。現時点で、マイクロソフトは積極的に脆弱性が悪用された兆候は確認しておりません。
対象の製品をお使いのお客様は、セキュリティ アドバイザリ 2501696 に記載の緩和策および回避策をご確認のうえ、適宜対応を検討してください。

マイクロソフトはこの調査が完了次第、月例または定例外のセキュリティ更新プログラムの公開によりこの問題に対応する予定です。また、セキュリティ更新プログラムの公開までの間も、Microsoft Active Protections Program (MAPP) プログラムを通じ、約 70 の主要なセキュリティソフトウェア プロバイダーにこの脆弱性の情報を共有しているため、お客様はウイルス対策ソフトの定義ファイルを最新にしておくことで、この脆弱性を悪用した攻撃からコンピューターを守ることができます。

このアドバイザリに関してお伝えできる情報があり次第、またブログ 等でアップデートします。

チーフ セキュリティ アドバイザー   高橋 正和
セキュリティ レスポンス チーム  松田 英也

　2010 年は、2009 年と比較して32 件増の106 件の更新プログラムをリリースいたしました。これらの更新プログラムについて、日本マイクロソフトで独自に分析を行った結果、従来のワーム型の攻撃から、APT（Advanced Persistence Threat）に見られる Web へのアクセスやドキュメントを利用した受動的な攻撃をトリガーとし、さらに管理者権限の奪取を狙う傾向が表れており、このような攻撃手法への対策の必要性が高まっています。

更新プログラムのカテゴリーごとの推移
セキュリティ更新プログラムを、脆弱性のカテゴリー(1) ごとの推移でみると、2010 年は、Windows に対する更新プログラムが、2009 年と比較して 24 件増加しており、更新プログラムの件数を大きく押し上げる要因となっています。

(1) 日本マイクロソフトで独自にカテゴリーわけを行っている

Windowsに関する更新プログラムの推移
次に、Windows に関する更新プログラムを細分化して調べると、画像・動画・フォントなどの表示に関係するものが、12件増加していることが目立ちます。これに対して、通信関連の更新プログラムは微減している事から、脆弱性研究の主流が、通信やネットワークサービスから、ファイル化が可能なデータに対する Fazing(2)  に移行しており、画像・動画・フォントなどが、主要なターゲットとして研究されていることが伺えます。
 
 

(2) Fazzing、自動化されたツールを使って、プログラムの処理異常を検査する手法。プログラムが異常終了した結果を調査することで脆弱性の発見につなげられている

カーネル モードについての分析
基本システムも、気になる増え方をしています。これを分析してみると、Kernel　mode で動作するシステムやドライバーの更新プログラムが 2009 年と比較して 3 件増の 7 件と 75 %も増加しています。
Kernel　mode で動作するシステムやドライバーの更新プログラム全般を調べてみると、2009 年比で 10 件増の17 件と、2 倍以上の件数をリリースしています。
 

まとめ
今回の分析から、ワーム等の従来型の攻撃に利用できる脆弱性の発見件数に大きな変化は見られず、Web やメールなどでファイルを開かせることでローカルの権限を取得した上で特権レベルの権限を取得するという、標的型攻撃やAPT(Advanced Persistence Attack) で利用される攻撃シナリオに沿った脆弱性の発見が増加しており、このような攻撃を前提とした対策を進める必要性が高まっていると考えられます。
Microsoft では、Windows Vista 以降、これらの攻撃に対する対応を進めており、特に Windows 7 で実装している多層防御は、効果的な防御手段を提供するもので、Active Directory を中心とした管理システムは、組織レベルで確実な防御を行うための効果的な機能を提供しているものと考えています。

リファレンス

ITマネージャーの道具箱
第2回　Windows  7 社内展開の勘所　～セキュリティの視点から～
https://www.microsoft.com/japan/msbc/info.aspx?fname=security/managertool&page=7

エンタープライズ向け Windows 7
Windows 7 Enterprise: データ シートと参考資料
http://www.microsoft.com/japan/windows/enterprise/products/windows-7/datasheet-jp.aspx

Windows 7 セキュリティ機能評価報告書 要約版

注：本資料は、日本マイクロソフト株式会社の依頼により、株式会社フォティーンフォティ技術研究所が出した調査報告書です。

こんにちは。セキュリティレスポンスチームです。

セキュリティ ニュースレターを購読されている方はすでにご存知かも知れませんが、セキュリティに関する情報をより早くお届けできるよう、Twitter をはじめました。

セキュリティ情報の公開や変更のお知らせをはじめ、さまざまなセキュリティに関するお知らせを Twitter でお届けしてまいります。

＠JSECTEAM をフォローして、最新のセキュリティ情報の入手にご活用ください。

※    引き続き、こちらのブログでも情報発信してまいりますので、よろしくお願いします。

情報セキュリティ実務者セミナー

法的な立場からみたインシデント対応

～今、システム管理者ができる事～

情報処理月間にあわせて、情報セキュリティ・インシデントの法的な側面に焦点を当てた、「情報セキュリティ実務者セミナー」を、マイクロソフト株式会社と日本アイ・ビー・エム株式会社の共催で開催します。

情報セキュリティは、技術的な議論が先行しており、法的な側面については、取り組みが遅れている場合があります。しかし、2010年を振り返ると、情報セキュリティに関連した法的な事例が少なからず話題となりました。

当セミナーでは、事例紹介とパネルディスカッションを通じて、IT管理者や経営者が考慮すべき対策について議論をします。

なお、お申し込みサイトを準備しておりますので、準備ができ次第改めてご紹介させていただきます。

「情報セキュリティ実務者セミナー」

こんにちは、セキュリティ レスポンス チームの松田です。

マイクロソフトは、2010 年 8 月 24 日にセキュリティ アドバイザリ 2269637を公開しました。このアドバイザリは、攻撃者が用意した悪意のある DLL ファイルを読み込む可能性（DLLプリロード）について注意喚起したものです。これまでに、マイクロソフトは、この問題に対応するため、2010 年 11 月に Microsoft Office（MS10-087）、2010 年 12 月に Windows ムービーメーカー（MS10-093）、Windows Media エンコーダー（MS10-094）、Windows（MS10-095）、Windows アドレス帳（MS10-096）、インターネット接続のサインアップウィザード（MS10-097）、そして 2011年1月には Backup Manager（MS11-001）と合計 7 つのセキュリティ更新プログラムを公開しました。

しかし、「DLL プリロード問題とはいったい何が問題なのか」、また、「システムを保護するために何をすればよいのか良くわからない」といったフィードバックを頂くことがよくありました。そこで、DLL プリロード問題の詳細と、適切にシステムの保護を行うための方法について記述した「DLL プリロード問題の対策ガイダンス」を作成しました。セキュリティ更新プログラムのインストールと併せて、プリロードの問題への対策を行うことを推奨します。

資料は、次のリンクからダウンロードいただけます。

　DLL プリロードの対策ガイダンス

ご参考ください。

追記（1/25）：

ガイダンスの表 1 と KB2264107 の 状況 2 の整合性についてご指摘いただきました。Fix It を実施した場合（CWDIllegalInDllSearch の値が 2）、アプリケーションを起動するフォルダが、ローカルに存在する場合とリモートに存在する場合で挙動が異なる点について、ガイダンスを追記・修正いたしました。フィードバックありがとうございました！