米  Microsoft  が、金融業界の各社と協力して、Zeus (Zbotとも呼ばれます) ボットネットの大部分を利用不能にすることに成功しました。ここ数日、ニュースなどでも取り上げられたので、ご存じの方もいらっしゃるかもしれませんね。

Zeusは、トロイの木馬型マルウェアで、感染すると個人情報や識別情報を盗用されたり、PCを乗っ取られる恐れがあるものです。特にオンライン バンキングや E  コマースサイトのアカウント情報の盗用を目的に 2007 年に誕生しました。

悪意のあるソフトウェア削除ツールも 2010 年に Zeus に対応しましたが、Zeus を簡単に作成できるツールキットがアンダーグラウンドで出回っていたことなどから、Zeus の被害はなかなか減少せず、感染が疑われるコンピューター は全世界で 1300 万台、損害総額は 5 億ドルにも上るということです。

今回、Microsoft  内で実際に調査、分析、捜査協力を行ったのは、Digital Crime Unit (DCU) という部署で、法律の専門家、調査員、技術解析者等から成るスペシャリスト集団です。DCU の存在は、Microsoft がサイバー犯罪撲滅に対して真剣に臨んでいることの証とも言えるかと思います。

DCU は、業界団体、政府、研究機関、法執行機関、NGO 等と協業し、あらゆるサイバー犯罪を撲滅するための活動を行っていますが、特にボットネット関連の攻撃については実績があり、過去、Waledac や Rustock といった大規模なボットネットのテイクダウンと容疑者逮捕に成功しています。

今回の Zeus ボットネットに関しては、DCU が金融業界団体、セキュリティ ベンダー、連邦保安官と協力してボットネットの管理に利用されていた C & C サーバーを押収し、多数のボットネットを停止させました。

組織の複雑さから完全なテイクダウンには至っていないものの、業界を越えた連携が成し遂げた素晴らしい成果だと言えるでしょう。

関連記事:

Microsoftのオフィシャル ブログ :

Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from
Zeus Botnets （英語）

Microsoft Digital Crimes Unit のページ :

http://www.microsoft.com/presspass/presskits/dcu/ (英語)

2012 年 3 月 23 日 (日本時間)、セキュリティ情報検索ページがリニューアルしました。

以前と操作方法が若干変わっている箇所がありますので、セキュリティ情報検索ページの使用方法を少し説明します。

製品またはコンポーネント別に検索

このセクションでは、セキュリティ情報を、製品やコンポーネントでフィルターして検索できます。また、セキュリティ情報のリリース日の範囲を指定して絞り込みができます。[最新の情報のみを表示] にチェックを入れて検索した場合、置き換えられたセキュリティ情報は表示されません。

または 番号で検索

このセクションでは、セキュリティ情報番号 (MSxx-xxx)、CVE 番号 (CVE-xxxx-xxxx)、セキュリティ情報の KB 番号、またはセキュリティ更新プログラムの KB 番号によりセキュリティ情報を検索できます。

詳細なセキュリティ情報一覧のダウンロード

このセクションでは、過去に公開したすべてのセキュリティ情報の一覧をダウンロードできます。この Excel ファイル (英語情報) では、セキュリティ情報番号、サポート技術情報番号、タイトル、深刻度、および公開日などの基本的な情報に加え、脆弱性の影響、影響を受ける製品やコンポーネント、置き換えに関する情報、再起動の必要性、および CVE 番号などの詳細な情報をご確認いただけます。

----------

※ 2012 年 3 月 26 日: セキュリティ情報検索ページ の一部不完全な箇所を更新しています。

いくつかのマスコミなどにも報道され、ご存じの方もいらっしゃるかと思いますが、弊社日本マイクロソフトでは、今週の 3/19 (月) に「テレワークの日」として、オフィスへの出社を原則禁止として、全社一斉のテレワークによる業務を行いました。

これは、社会的な傾向として事業継続 (BCP)、従来の働き方の見直しなどの観点からテレワークへの関心が高まりつつあることを踏まえ、この「テレワークの日」の経験や実績を生かし、先進自社事例として関連自社テクノロジーの優位性やテレワークの有効性を社内外に提示、提案していければという思いで実施しています。

当日は、約 2,000 名規模の社員が、自宅や顧客先や出張先、あるいは、インターネットが接続できるカフェなどの場所からノート PC や Windows Phone などのスマートフォンから業務を行いました。

我々、セキュリティ レスポンス チームでも当日スタッフ全員が自宅から業務を行い、途中、Lync2010 を使って、毎週定例のチーム ミーティングをオンライン上で 2 時間ほど行いましたが、普段と同じように活発な議論を行うことができました。(しかも英語で (^^) )

しかしながら、皆さんの中には、セキュリティ面で本当に大丈夫なの？���いう不安をお持ちの方もいらっしゃるかもしれません。

そこで、今回は、テレワークを安心して行えるマイクロソフトのいくつかのセキュリティの製品や技術をご紹介します。

１．BitLocker

BitLocker とは、Windows Vista 以降の OS に搭載されているデータ保護の機能です。これは、PC のハードディスクを暗号化して、ハードディスク内部のデータを保護します。仮にノート PC を紛失した場合でも他人からデータを守ることができます。BitLocker のようなハードディスク暗号化の対策を実施すれば、ノート PC の盗難による個人情報の漏洩など新聞の記事に掲載されるようなものは、昔話になるかもしれません。

2. Forefront Endpoint Protection 2010

Forefront Endpoint Protection 2010 はマルウェアや脆弱性の危険からクライアント システムを保護するための統合的な企業向けのアプリケーションです。

Forefront Endpoint Protection 2010 は、ウイルスやスパイウェア、ルートキットなど、マルウェアからリアルタイムでクライアントを保護します。また、System Center Configuration Manager (SCCM) や WSUS、Windows Update、Microsoft Update から自動で定義ファイルの更新を行います。

３．DirectAccess

DirectAccess は、Windows 7 と Windows Server 2008 R2 で搭載された新機能で、外出先や自宅などのインターネットが利用できる環境から仮想プライベートネットワーク (VPN) を利用せずに社内ネットワークへ接続できる新機能です。DirectAccess は社外からでも社内にいる時と同じように社内ネットワークへシームレスに接続することができるので、外出先や自宅など社外での作業が多い方にとっては生産性向上に役立つ機能となります。通信は IPsec  と IPv6 によって暗号化されていますのでセキュリティも確保されています。

このように、Windows 7 と Windows Server 2008 R2 やForefront Endpoint Protection 2010 を使用することにより、簡単で安全なテレワークの環境を構築することが可能です。皆さんの会社でも導入を検討していただき、より効率のよい仕事環境を構築されてはいかがでしょうか。

関連リンク

あんしん処セキュリ亭 第 7 回 Windows 7 で、家でも会社でも安全に

あんしん処セキュリ亭 第 8 回 会社へ安全にアクセスしたい

はじめに

マイクロソフトは、2012 年 3 月 14 日、リモート デスクトップ プロトコル (RDP) の脆弱性を修正するセキュリティ更新プログラム MS12-020 を公開しました。影響を受ける OS のバージョンは、すべてのサポートしているバージョンの Windows です。リモートデスクトップを有効にしているコンピューターで、脆弱性を悪用したRDP通信パケットを受信すると、任意のコードが実行される可能性があります。現時点では攻撃を確認していませんが、30 日以内に有効な攻撃コードが出現する可能性が高いと考えています。お客様におかれましては、早急にセキュリティ更新プログラムを適用することをお勧めします。

RDP の脆弱性の内容、対応方法、気を付けておくべき点など、疑問になるだろうと思われる点について Q&A 形式でまとめました。

Q&A
Q.　CVE-2012-0002 「リモート デスクトップ プロトコルの脆弱性」の脆弱性を悪用した攻撃・マルウェアは確認されていますか？
A.　現時点 (2012 年 3 月 17 日) では確認していません。

Q.　MS12-020 の修正は、リモート デスクトップの接続する側の修正ですか、それとも接続される側の修正ですか？
A.　リモート デスクトップの接続される側の修正です。つまり、ポート 3389 をリッスンしているコンピューターが影響を受けますので、接続される側にセキュリティ更新プログラムを適用する必要があります。

Q.　具体的にはどのような修正が加えられていますか？
A.　リモート デスクトップ プロトコルのパケットを処理する方法を修正しています。

Q.　回避策にはどのようなものがありますか？
A.　以下の回避方法があります。詳細については、MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。

• リモートデスクトップ、ターミナルサービスを無効にする
• エンタープライズの境界領域のファイアウォールで、TCP ポート 3389 をブロックする
• ネットワーク レベル認証を有効化する (Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 でサポート)

Q.　ネットワーク レベル認証とはなんですか？
A.　これは、RDP通信を行う前 (リモートデスクトップの画面が表示される前) に認証を行う動作です。リモートデスクトップ有効時にこの設定を選択しておくと、危険性を緩和することができます (攻撃が成功するためには、ユーザー名とパスワードを知っていることが前提となるため)。

Q.　簡単にネットワーク レベル認証の設定にする方法はありますか？
A.　サポート技術情報 2671387 に公開されている、Fix it ツールを活用することで、簡単にネットワークレベル認証に設定することができます。

Q.　Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にするにはどうすればよいですか
A.　セキュリティ情報 MS12-020 の「リモート デスクトップ プロトコルの脆弱性」の回避策 - CVE-2012-0002 をご参照ください。

Q.　Windows Server 2008、Windows Server 2008 R2 の RD セッション ホスト サーバーでネットワークレベル認証にしたときの影響はありますか？
A.　ネットワークレベル認証をサポートしていない、Windows XP および Windows Server 2003 クライアントが、RD セッション ホスト サーバーに接続できなくなります。ただし、CredSSP 機能を有効にすると、Windows XP クライアントは接続可能になります。詳細については、サポート技術情報 951608 をご参照ください。

Q.　MS12-020 を適用することで、ネットワーク レベル認証の設定は有効になりますか？
A.　MS12-020 を適用しても、設定は有効になりません。

Q.　Windows XP でネットワーク レベル認証を利用できますか？
A.　利用できません。Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 で利用可能です。

Q.　リモート デスクトップ接続のポート番号を 3389 から別のポート番号に変更することは可能ですか？
A.　可能です。「リモート デスクトップ接続のリッスン ポートを変更するにはどうすればいいですか。」をご参照ください。 ただし、脆弱性を修正するわけではないため、早急に MS12-020 を適用することをお勧めします。

Q.　リモートデスクトップ ゲートウェイ (SSL でトンネリング) は影響を受けますか？
A.　影響を受けません 。リモートデスクトップ ゲートウェイは、RPC over HTTPS で通信しますが、SSL (443 ポート) から  RDP パケットを取り出し転送するだけですので、CVE-2012-0002 の脆弱性の影響を受けません。

Q.　グループ ポリシーでリモート デスクトップを無効にすることは可能ですか？
A.　可能です。詳細については、サポート技術情報 306300 をご参照ください。

Q.　MS12-020 のセキュリティ更新プログラムをインストールすることで、リモートデスクトップの画面や動作が変わるなどの変更はありますか？
A.　ありません。

Q.　MS12-020 のセキュリティ更新プログラムに関する既知の不具合はありますか？
A.　下記 2 点報告されています。対応策など詳細は、サポート技術情報 2667402 をご参照ください。

• Windows 7 または Windows Server 2008 R2 環境に 2667402 のセキュリティ更新プログラムをインストールした後に Service Pack 1 を適用すると、Rdpcorekmts.dll ファイルのバージョン不整合が発生し、リモートデスクトップ接続ができなくなる
• Windows 7 において手動で RDP リスナーを作成している環境 (稀なケースです。通常お使いの場合、該当しません) で、アンインストールに関する問題

Q.　CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、ウイルス対策ソフトで検知可能か。
A.　マイクロソフトは、定義ファイル Exploit:Win32/CVE-2012-0002.A を作成しています。Microsoft Security Essentials および Forefront Endpoint Protection をご利用のお客様は、最新の定義ファイルの状態にすることで、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。

Q.　CVE-2012-0002 の脆弱性を悪用したマルウェアや攻撃が出現した場合、サードパーティのウイルス対策ソフトや IPS/IDS で検知可能か。
A.　マイクロソフトは、MAPP プログラムを通じて、ウイルス対策ベンダー、IPS/IDS ベンダーに CVE-2012-0002 に関する詳細情報を提供しています。このプログラムを通じて定義ファイルを作成しているウイルス対策ベンダー、IPS/IDS ベンダーの製品をご利用のお客様は、脆弱性を悪用したマルウェアや攻撃からの被害を防ぐことができます。

2012/3/21 更新 : 一部、わかりにくい表現を修正しました。

2012/4/12 更新 : 既知の不具合を追加しました。

2013/12/13 更新 : NLA に関する Q&A の回答を修正しました。

皆さん、こんにちは！
先ほど 3 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

システムトラブルの影響で、3 月のワンポイント セキュリティ情報の公開が遅れましたことをお詫びいたします。

昨日 3 月 15 日に公開した新規 6 件 (緊急 1 件、重要 4 件、警告 1 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration: