2011 年 2 月、マイクロソフトは、自動実行機能 (Autorun) を無効にする更新プログラム 971029 を、Windows XP および Windows Vista に対して Windows Update などの自動配信チャネルを通じて配信しました。その結果、2011 年 5 月の時点で、Windows XP SP3 で 62%、Windows Vista 全体では74% と、Autorun 機能を悪用するマルウェアの感染率が大幅に低下したことを確認しました。(図 1)

図 1: 悪意のあるソフトウェアの削除ツール (MSRT) で削除された Autorun 悪用マルウェアの数
(参考：http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx)

企業システムにおいては、特に Autorun 機能を悪用するマルウェアが多く見られ、ウイルス対策ソフトで検知されるマルウェアの上位 4 つを占めています(図 2)。USB 持ち込みにより何度も社内に侵入しようとした、あるいは １ 台のマシンが感染し、何度もネットワーク感染を試みたことが想像されます。
 

図2. ドメインに参加しているコンピューターで検出された上位 10 種類(2010 年、世界統計)

(参考：セキュリティ インテリジェンス レポート第 10 版)

今回の更新プログラム 971029 の配信により企業への侵入ルートを一部制限することで、ウイルス対策ソフトによる検出率の減少を期待していたところ、実際に 2010 年 2 月から5 月を見ると、企業システム向けのウイルス対策ソフト (Forefront 製品) で検出率が約 80% 減と大幅な減少を確認しました (図 3)。これらの結果から、Autorun 機能の無効化は、企業システムのマルウェア対策、あるいは不要なマルウェア侵入のアラートを減少させるのに非常に大きな効果があることがわかります。

図3. セキュリティ製品で "autorun.inf" を悪用したマルウェアの検出数の推移
(Microsoft Security Essentials と Forefront 製品のグラフ)
(参考：http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx)

このように、企業で Autorun 対策を実施することで大きな効果が期待できます。Autorun 対策には、主に次の ２ 通りの方法があります。

• グループポリシーで Autorun を無効化：既にこの方法を実施済みのお客様も多いと思いますが、Active Directory をご利用のお客様にお勧めです。(サポート技術情報 967715 参考)
• 更新プログラム 971029 の適用：WSUSをご利用のお客様は、更新プログラム 971029 を承認していない場合、承認しクライアントに展開するようご検討ください。(サポート技術情報 971029 参考)

 システム管理者の皆様、ぜひとも、この機会に Autorun の設定を見直しすることをお勧めします。

2011 年 7 月 13 日（日本時間) を最終日とし、マイクロソフトのいくつかの製品において、サポート ライフサイクルが終了します。これに伴い、新規のセキュリティ更新プログラムの配信が終了します。

2011 年 7 月 13 日 (日本時間)、以下の製品のサポート ライフサイクルが終了します。

• Windows Vista Service Pack 1 (SP1) (32 ビット版/64 ビット版) 
• Windows Server 2008 製品出荷版 (32 ビット版/64 ビット版)
• Microsoft Office XP (Excel, Word, Outlook, PowerPoint, Access, Visio, FrontPage, Publisher)
• .NET Framework 3.0, 3.0 SP1, 3.0 SP2, 3.5
• Exchange Server 2007 Service Pack 2

上記該当製品については 2011 年 7 月13 日（日本時間）をセキュリティ更新プログラム配信対象の最終日とし、2011 年 7 月14 日以降、新規のセキュリティ更新プログラムは提供されなくなります。継続して新規セキュリティ更新プログラムを受け取るためには、サポート対象のサービスパックがインストールされている必要があります。お客様におかれましては、下記のように早めの製品のサービス パックの適用、アップグレードをお願いいたします。

• Windows Vista SP1 をご利用のお客様
  Windows Vista Service Pack 2（SP2）の適用、または Windows 7 へのアップグレードをお勧めします
   
• Windows Server 2008 製品出荷版をご利用のお客様
  Windows Server 2008 Service Pack 2（SP2）の適用、または Windows Server 2008 R2 へのアップグレードをお勧めします
   
• Microsoft Office XP をご利用のお客様
  最新の Office 製品（Office 2007, Office 2010）への移行をお勧めします
   
• .NET Framework 3.0, 3.0 SP1, 3.0 SP2, 3.5 をご利用のお客様
  .NET Framework 3.5 SP1 の適用をお勧めします。なお、Windows 7 ご利用のユーザーは、既定で .NET Framework 3.5.1 (.NET Framework 3.5 SP1 相当) がインストールされていますので、対応いただく必要はありません。
   
• Exchange Server 2007 Service Pack 2 をご利用のお客様
  Exchange Server 2007 Service Pack 3 の適用をお勧めします

なお、2011 年 7 月 13 日までに Windows Update や Microsoft Update で配信済みのセキュリティ更新プログラムについては、サポートライフサイクル終了後すぐに配信を停止するわけではなく、オンライン セルフ ヘルプ サポート期間中である最短 1 年間は提供されます。

 参考情報
http://www.microsoft.com/ja-jp/windows/lifecycle/default.aspx
http://www.microsoft.com/japan/office/previous/2003/business/lifecycle.mspx
http://support.microsoft.com/lifecycle/?p1=10926

松田です。今月のセキュリティ更新プログラムは、もう適用いただけましたか？

ときどき .NET Framework のセキュリティ情報が難しいというご意見を頂きます。特にどのセキュリティ更新プログラムをインストールすればよいか、わかりにくいというものです。下記のような理由があり、確かに複雑です。

•  .NET Framework の 3 つのバージョン 2.0、3.0、3.5 に依存関係がある
• OS に既定でインストールされている  .NET Framework のバージョンがある
• OS にサービスパックを適用すると .NET Framework のサービスパックが変わる場合がある
• .NET Framework 3.5 に SP1 を適用すると、別途 .NET Framework 2.0 SP2 適用する必要なし（.NET Framework 2.0 SP2 が同時に適用されるため）

 今回のブログでは、 .NET Framework のバージョンの整理、およびインストールが必要な 6 月の .NET Framework のセキュリティ更新プログラムについて解説します。

（注：自動更新や Windows Update を使用しているお客様は、特にインストールが必要なセキュリティ更新プログラムを自身で判別する必要はありません。このブログでは、特に  .NET Framework のセキュリティ更新プログラムを手動でインストールする必要があるお客様向けに判別方法を解説しています。）

.NET Framework の 3 つのバージョン 2.0、3.0、3.5 の依存関係

 まず、.NET Framework のバージョンを整理してみます。.NET Framework には、現在、セキュリティ更新プログラムの対象に .NET Framework 1.1/2.0/3.0/3.5/4.0 の5つのバージョンがあり、Windows OS に複数のバージョンをインストールし共存させることができます（注：Windows 7 および Windows Server 2008 R2 では、.NET Framework 1.1 はサポートの対象外です）。.NET Framework 1.1 および 4.0 は独立したコンポーネントです。.NET Framework 2.0/3.0/3.5 の 3 つのバージョンには依存関係があり、下記の図のように .NET Framework 3.5 の中に 3.0 および 2.0 が包括関係になっています。

図 1. .NET Framework の各バージョンの関係

 OS に既定でインストールされている .NET Framework のバージョンを整理してみます。

• Windows Vista SP1 には、.NET Framework 2.0 SP1/3.0 SP1 が既定でインストール
• Windows Server 2008 SP1 には、.NET Framework 2.0 SP1 が既定でインストール
• Windows Vista SP2 には、.NET Framework 2.0 SP2/3.0 SP2 が既定でインストール
• Windows Server 2008 SP2 には、.NET Framework 2.0 SP2 が既定でインストール
• Windows 7 には、.NET Framework 3.5.1 (3.5 SP1 相当) が既定でインストール
• Windows Server 2008 R2 には、.NET Framework 2.0 SP2 が既定でインストール
• Windows XP には既定でインストールされている .NET Framework なし

図 2. OS に既定でインストールされている .NET Framework のバージョン

 さらに Windows Vista 環境に .NET Framework 3.5 をインストールすると、 .NET Framework 2.0/3.0 が更新されます。Vista のサービスパック、 .NET Framework 3.5 のサービスパックによって、下記 3 種類の環境が存在ます。それぞれの環境で適用するセキュリティ更新プログラムが異なります。特に、Vista SP1 環境と Vista SP2 環境では、同じ .NET Framework のバージョン、サービスパックがインストールされていても、適用するセキュリティ更新プログラムが異なります。ここが、特に注意を払うべき部分です。

図 3. Windows Vista に .NET Framework 3.5 をインストールした場合

 インストールが必要な .NET Framework のセキュリティ更新プログラム

 2010 年 6 月度の .NET Framework に関連するセキュリティ更新プログラムとして、MS11-039 と MS11-044 が公開されました。それぞれ、異なるファイルを更新するため、両方のセキュリティ更新プログラムを適用する必要があります。また、.NET Framework 3.5 については、セキュリティ更新プログラムよりも優先度が高いため、.NET Framework 3.5 がインストールされていることが前提にセキュリティ情報が記述されています。インストールが必要な .NET Framework の情報は次のマトリクスの通りです。

図 4. .NET Framework セキュリティ更新プログラムマトリクス

（黒）：MS10-039 .NET Framework および Silverlight

（青）：MS10-044 .NET Framework

 この表の見方ですが、例えば、Windows Vista SP1 環境で .NET Framework 3.5 SP1 と .NET Framework 4.0 をインストールしている場合、適用が必要なセキュリティ更新プログラムは、MS11-039 用の KB2478659 と KB2478663、MS11-044 用の KB2518865 と KB2518870 の 4 つとなります。

 また、その他の次のような注意点があります。

• KB2478656/KB2530095 についての注意点: Windows XP/2003 用のセキュリティ更新プログラム  KB2478656/KB2530095 のパッケージの名称が  NDP20SP1-KBxxxxxx-x86.exe のようになっています。一方、セキュリティ情報 MS11-039 や MS11-044 の「影響を受けるソフトウェア」の一覧では、これらパッケージの説明が .NET Framework 3.5 用と書かれています。これは、.NET Framework 2.0 SP1 単体はサポート ライフサイクルが終了しているため、2.0 SP1 の記述が削除された形になっています。そのため、パッケージ名称およびセキュリティ情報とも正しい情報となります。

• KB2518863/KB2518864/KB2518865/KB2518866 についての注意点: MS11-044 のこれら 4 つのパッケージについては、上図4. のとおり該当環境に適用してください。MS11-044 の「影響を受けるソフトウェアおよび影響を受けないソフトウェア」の表を見ると、これら 4 つのパッケージは一部深刻度が「なし」となっている場合があります。例えば、KB2518864 は、.NET Framework 2.0 SP2 には脆弱性の修正が入っていないため、総合的な深刻度「なし」となっています。しかし、同じパッケージ KB2518864で Microsoft .NET Framework 3.5 Service Pack 1 の脆弱性の修正を行っているため、KB2518864 はWindows XP SP3 環境に適用いただく必要があります。

 （注：自動更新や Windows Update を使ってインストールしているお客様は、適切なセキュリティ更新プログラムが自動的に判別されインストールされます。）

参考情報

インストールされている Microsoft .NET Framework のバージョンおよび Service Pack のレベルを確認する方法
http://support.microsoft.com/kb/318785/ja

.NET Framework のサポート概要
http://msdn.microsoft.com/ja-jp/netframework/cc807061

.NET Framework のバージョンおよび依存関係
http://msdn.microsoft.com/ja-jp/library/bb822049(v=vs.110).aspx

追記事項

2011/6/20 追記：.NET Framework の理解が難しい背景に、「.NET Framework 3.5 に SP1 を適用すると、別途 .NET Framework 2.0 SP2 適用する必要なし」を追記しました。
2011/6/21 追記： 注意事項、参考情報の追記しました。
2013/12/13 追記： Windows Server 2008 および Windows Server 2008 R2 の既定の .NET Framework の記載を変更しました。参考情報に「.NET Framework のバージョンおよび依存関係」を追加しました。

皆さん、こんにちは！今月のマイクロソフトワンポイントセキュリティ情報担当者です。
先ほど 6 月のワンポイント セキュリティ情報を公開しました。

本日 6 月 15 日に公開した新規 16 件 (緊急 9 件、重要 7 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日更新した 3 件のセキュリティ情報 MS11-025、MS11-028、MS11-036 の概要についても、併せて説明しています。

フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

このたび、マイクロソフトのセキュリティ情報に関するアンケートを開設しました。マイクロソフトでは、月例セキュリティ情報に関して、このブログや Web キャストなどの様々なコミュニケーション方法を通して情報をお届けしていますが、それらに関してお持ちのご意見・ご感想を是非お聞かせください。

セキュリティ情報に関するコミュニケーションの有効性について  ※質問数6～9 (数分で終わります)

http://support.microsoft.com/common/survey.aspx?scid=sw;ja;1876&showpage=1&altStyle=narrow&renderOption=OverrideDefault

このアンケートからいただいたお声をもとに、より一層の品質・サービスの向上に努めてまいりますので、ご協力をよろしくお願いします。

なお、アンケートは6 月 30 日までオープンしています。