2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。

MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。

今回のセキュリティ更新プログラムでは、4件の脆弱性が修正されています。このうち3件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1件の ASP.NET の脆弱性の報告を受け、本日、4件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。

MAPP (Microsoft Active Protection Program) の対応
今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に Vulnerability:Win/ASPNET.POST.DoS!CVE-2011-3414 として定義ファイルが作成されています。

また、12 月 29 日のブログで、この脆弱性はいくつかの Web アプリケーションベンダーについても影響を与えることをお伝えしましたが、MAPP で共有された情報により、マイクロソフト製品だけでなく、他社の Web アプリケーションについても、MAPP パートナーの IPS/IDS 製品をご利用の場合、脆弱性を悪用した攻撃からシステムを保護することができます。

MS11-100 の定例外のセキュリティ更新プログラムは、本日 2011 年 12 月 30 日よりダウンロードセンターのほか、自動更新、Microsoft Update, Windows Update, WSUS経由で提供されます。

参考情報

• マイクロソフトセキュリティ情報
  .NET Framework の脆弱性により特権が昇格される (2638420) (2011/12/30)
  
  
• 日本のセキュリティチームのブログ
  Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開 (2011/12/29)
  セキュリティ アドバイザリ 2659883 の問題を解決するセキュリティ更新の事前通知 (定例外) (2011/12/29)
  
  
• MSRC ブログ
  Microsoft releases MS11-100 for Security Advisory 2659883 (2011/12/30)
  
  
• SRDブログ
  ASP.NET security update is live! (2011/12/30)
  More information about the December 2011 ASP.Net vulnerability (2011/12/30)

マイクロソフトは、「セキュリティ アドバイザリ2659883」で説明している ASP.NET の脆弱性を解決する定例外のセキュリティ更新プログラムを公開する予定です。現時点では、セキュリティ更新プログラムを 2011 年 12 月 30 日 (日本時間) に公開する予定です。

この ASP.NET の脆弱性は、既に詳細情報が一般に公開されており、深刻度は緊急と評価しています。影響を受ける ASP.NET はすべてのバージョンの .NET Framework です。現時点でマイクロソフトは攻撃を確認していませんが、お客様におかれましては、セキュリティ更新プログラムが公開されしだい、早急にテストを行い、適用することをお勧めします。

公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec-ans

本日マイクロソフトは、Webアプリケーションがサービス拒否となる脆弱性に関するセキュリティ アドバイザリ 2659883 を公開しました。この脆弱性は、いくつかの Web アプリケーションベンダーに影響を与えますが、マイクロソフト製品では ASP.NET を含む IIS サーバーが脆弱性の影響を受けることを確認しています。現在、マイクロソフトはこの問題を解決するセキュリティ更新プログラムを開発中です。現時点ではこの脆弱性が悪用されたとの報告は受けておりませんが、マイクロソフトはこの脆弱性に関する詳細情報が一般に公表されていることを確認しています。

マイクロソフトは、セキュリティ更新プログラムがご利用可能になり次第、脆弱性の影響を受ける製品に対して早急にセキュリティ更新プログラムを適用することをお勧めします。この問題の影響を受ける環境や回避策などの詳細は、セキュリティ アドバイザリ 2659883をご参照ください。

脆弱性の概要

今回公表された脆弱性は、一般的に”ハッシュ衝撃攻撃 (Hash Collision Attack)” と呼ばれ、マイクロソフトのテクノロジーだけでなく、その他ベンダーの Web アプリケーションにも影響を与えます。マイクロソフト製品においては、攻撃者によって送信された細工した HTTP リクエストパケットを ASP.NET の Web サイトで受信するだけで、Web サイトの CPU リソースが一定時間 100% 消費されサービス拒否の状態になります。

マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。また、今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。

本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。

関連情報

• マイクロソフト セキュリティ アドバイザリ (2659883): ASP.NET の脆弱性により、サービス拒否が起こる
• マイクロソフト サポート技術情報 2659883
• Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue (英語情報)
• More information about the December 2011 ASP.Net vulnerability (英語情報)

寒い日が続きますね。初詣の CM が流れたり、街では歳末大売り出しののぼりや福引を見かけるようになりました。すっかり年末ムードがただよっていますね。

早い方は、もう年末年始休暇という方もいらっしゃるでしょうか？

休暇中は、普段よりもインターネットを利用する時間が長くなり、普段に比べて色々なトラブルや被害に遭う可能性も増えます。またこの時期は、クリスマス カードや年賀状などのグリーティング カードを電子メールで送りあうことも多く、特に電子メール経由での感染という点でも注意していただきたいところです。

日ごろから基本のセキュリティ対策を行い、セキュリティ知識を身につけることで、被害に遭わないようにしていきましょう。

＜＜ツールを活用する＞＞
ツールを活用して、以下 3 つの基本のセキュリティ対策を行ってください。アクション センターや Windows セキュリティ センターで、それぞれの状態の確認や設定変更ができます。

• 自動更新を有効にして、ソフトウェアを最新の状態にする
  ソフトウェアを常に最新の状態にしておくことで、ウイルス感染を防ぐことができます。
• ウイルス対策ソフトウェアを最新の状態にする
  ウイルス対策ソフトウェアがインストールされていても、最新の状態になっていないとウイルスを検知することができません。ウイルス対策ソフトが期限切れになっているもしくは定義ファイルが最新ではないという方は、更新を検討してください。または、無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールを検討してください。
• ファイアウォールを有効にする
  インターネットを介してコンピューターに侵入しようとするハッカー、ウイルス、ワームの排除に役立ちます。

また、迷惑メールを減らすために、以下の 6 つの対策を検討してください。詳しくは、「Hotmail: 改良された新セキュリティ機能について」を参照してください。

1. メールアドレスを秘密にしておく
2. 迷惑メール対策を備えたメール プログラムを使う
3. 迷惑メール用の設定を行い特定のメールをブロックする
4. 画像を無効にし、信頼できる人からの画像だけ見る
5. 送信者がだれであっても、添付ファイルには注意し、ウイルス対策ソフトウェアを使う
6. 迷惑メールや被害を報告する

それでは、みなさま良いお年をお迎えください。

関連リンク

▼ 長期休暇の前に ~セキュリティ対策のお願い~

▼ セキュリティ対策の基本をビデオで確認する

今年最後となる 12月度の月例セキュリティ リリースも終わり、今年 1 年のセキュリティ リリースの振り返りをしてみたいと思います。2011 年は、合計 99 件のセキュリティ情報を公開し、計 232 件の CVE に対応しました。セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークにやや減少傾向にあります (図1)。

図 1: 半期ごとのセキュリティ情報公開数および CVE 対応数 (2006 年上半期 ～ 2011 年下半期)

緊急度の高いセキュリティ情報の減少

セキュリティ情報には「緊急」「重要」「警告」「注意」の 4 段階の深刻度を設定していますが、2011 年は 4 段階で最も高い「緊急」の割合が、全体の 3 分の 1 に留まりました (図 2)。これは、2003 年に月例のセキュリティ リリースを始めて以来初のことです。また、絶対数においても「緊急」のセキュリティ情報の数は 2006 年以降初めて最少となっています (図 3)。

マイクロソフトは 2002 年の「信頼できるコンピューティング」宣言以来、よりセキュアな製品の開発に力を入れてきました。製品自体の脆弱コードを減らす努力に加え、脆弱性が悪用されにくい製品の開発 (既定では実行がブロックされる、実行にはユーザーの操作を介す等) に力を入れており、この結果、お客様に与える影響をより低く抑えることができてきていると分析しています。

図 2: 深刻度別セキュリティ情報の割合 (2004 年 ～ 2011 年)

図 3: 深刻度別セキュリティ情報の数 (2004 年 ～ 2011 年)

定例外のリリース 0 件

2011 年、定例外 [i] で公開したセキュリティ情報は 0 件でした。過去数年、定例外のセキュリティ情報のリリースは、年 2-3 件というのが定番でした。0-day [ii] などで感染活動が拡大しておりユーザーへの危険性が高い場合のみ定例外リリースを検討するのですが、この不定期なリリースによるお客様のビジネス継続へのインパクトも理解しており、定例外リリースというものをより慎重に捉えるようにしてきています。より進んだ脅威の観測や分析、回避策の提供、Microsoft Active Protection Program (MAPP) を通じての保護策の提供、開発チームの努力なども、マイクロソフトが定例でセキュリティ情報を公開できている大きな理由です。