今年も、そろそろゴールデン ウィークですね。平日をお休みにして、長期休暇を取られる方もいらっしゃるのではないでしょうか。

IT プロの方は、もう耳にタコができているかもしれませんが、お休みに入る前に今一度、セキュリティのチェックをぜひ行ってください。

ソフトウェアを最新の状態に

ウイルス対策のためには、ソフトウェアを常に最新の状態にしておくことが大切です。現在、最新の状態になっているか、また、更新があった場合には、自動でインストールするよう構成を行っておきましょう。

マルウェア対策ソフトウェアを最新の状態に

こちらのブログで紹介したように、マルウェア対策ソフトウェアが正しく機能していない場合、マルウェア感染のリスクは5 倍になります。最新の状態になっているか、確認を行っておきましょう。 無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールも公開しています。(※1)

ファイアウォールを有効にする

ファイアウォールは、ネットワークを介して侵入を試みるマルウェアへの対策として有効です。無効になっていないか、正しく稼働しているか、今一度確認しておきましょう。

パスワードを設定する

Windows へのログオン パスワードやモバイル端末でのパスワードはきちんと設定されていますか？ お休みに入る前にぜひパスワードを設定してください。

ただし、休み明けにパスワードを忘れそうだから…といって、パスワードを紙に書いておいてモニターに貼っておく、なんてことないように気を付けてください。

ログオフ、シャットダウンを行う

社内ツールや、サービスへログオンしっぱなしになっていませんか。セキュリティ リスクを減らすために、長期休暇の前には、ログオフをして、利用しない PC のシャットダウンを行いましょう。

IT 管理者の方は、管理しているシステムに発生した緊急時の対応プロセスの確認などもされているかと思います。マイクロソフトでは、セキュリティに関する情報をメールでお知らせする無料のサービスを提供しています。マイクロソフト セキュリティ情報および マイクロソフト セキュリティ アドバイザリの新着および更新情報や、実践に役立つセキュリティのヒントや、最新のセキュリティ ガイダンスをお知らせしています。ぜひこの機会にご登録ください。

登録はこちらから：

マイクロソフト テクニカル セキュリティ情報通知のご案内

http://technet.microsoft.com/ja-jp/security/dd252948

 最後に、物理的なセキュリティとして、届けられている郵便物の確認、ロッカーの施錠、（食べかけのお菓子の片付け）などもお忘れなく。

それではみなさん、よいゴールデン ウィークを！

補足

※1: Windows 8 では、Microsoft Security Essentials (MSE) と同等の機能を備えるWindows Defender が既定で導入されていますので、追加で MSE をインストールする必要はありません。詳しくは、「Windows 8 セキュリティ特集 #2 Windows Defender」のブログをご参照ください。

関連リンク

マイクロソフト セーフティとセキュリティーセンター

長期休暇の前に ~セキュリティ対策のお願い~

セキュリティ対策の基本をビデオで確認する

インストール不要の Microsoft Safety Scanner - 単体ツールやセカンド オピニオンとして

概要

こちらのブログでご案内した通り、MS13-036 で提供したセキュリティ更新プログラム 2823324 を適用後、特定の環境下で、STOP エラーが発生し Windows が正常に起動しない、あるいは、特定のアプリケーションが正しく動作しない現象が発生する場合があることを確認し、セキュリティ更新プログラムの配信を停止していました。 

本日、セキュリティ情報ページを更新し、サポートされているバージョンの Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 にインストールされている NTFS Kernel 用のセキュリティ更新プログラム 2823324 に置き換わるセキュリティ更新プログラム 2840149 の再提供を開始しました。

セキュリティ更新プログラム 2840149は Windows Update で配信されており、自動で適用されます。 

影響を受けるオペレーティングシステム

Windows Vista (x86/x64)
Windows Server 2008 (x86/x64/ia64)
Windows 7 (x86/x64)
Windows Server 2008 R2 (x64/ia64)
※上記以外のバージョンは本現象の影響を受けません

お客様に必要なアクション

• Windows Vista、Windows Server 2008、Windows 7、および、Windows Server 2008 R2 をご利用のお客様

• 元のセキュリティ更新プログラム 2823324 をアンインストールしたお客様は、再提供されたセキュリティ更新プログラム 2840149 をインストールしてください。

• 元のセキュリティ更新プログラム 2823324 をインストールし、
  問題が発生していないお客様も、再提供されたセキュリティ更新プログラム 2840149 をインストールする必要があります。セキュリティ更新プログラム 2840149 を適用する前に、提供を停止したセキュリティ更新プログラム
  2823324 をアンインストールする必要はありませんが、セキュリティ更新プログラム 2823324 をアンインストールすることを強く推奨します。

• Windows XP、Windows Server 2003、Windows 8、Windows Server 2012、および、Windows RT をご利用のお客様

• これら Windows のバージョンでは、問題の発生した NTFS Kernel 用のセキュリティ更新プログラム 2823324 はもともと提供されていません (2823324 で修正している脆弱性は存在しません)。

関連情報

Microsoft Security Response Center (MSRC) 公式ブログ : New Update Available For MS13-036

本記事は、Security Research & Defense のブログ “Introducing EMET v4 Beta” (2013 年 4 月 18 日公開) を翻訳した記事です。

良いお知らせがあります！本日、Enhanced Mitigation Experience Toolkit (EMET) の次期バージョン EMET 4.0 のベータ版を公開したことをお知らせします。

下記にてダウンロードください。(EMET は英語版のみの提供です。日本語 OS でも利用可能です)

http://www.microsoft.com/en-us/download/details.aspx?id=38761

[更新情報 6/28] EMET4.0 正式版の公開に伴い、EMET 4.0 ベータ版の公開は終了しました。

EMET 4 正式版は下記よりダウンロードください。

http://www.microsoft.com/en-us/download/details.aspx?id=39273

EMET は、ソフトウェアのメモリ破損の脆弱性が、コード実行で悪用されるのを防ぐ無償ツールです。ソフトウェアに対して、最新のセキュリティ緩和技術を適用することでこれを行います。これにより、ゼロ デイの脆弱性および、利用可能な更新プログラムが適用されていない場合でさえも、多種多様なソフトウェアが、エクスプロイトに対し、より耐性を持たせることができます。EMET 4.0 ベータ版をダウンロードおよびインストールして頂き、ベータ版をテスト利用してみてください。そして、新機能についてご質問頂き、最終版の公開に先駆けて解決すべき問題をお知らせ頂けたらと存じます。私たちは、2013 年 5 月 14 日に EMET 4.0 を公式に公開する予定です。 　[更新情報 5/9] EMET 4.0 の公開日は 5 月 28 日に延期となりました。　[更新情報 5/28] EMET 4.0 の公開日は、5/28 からさらに延期となりました。具体的な日付は確定していませんが、近いうちに公開予定です。　[更新情報] EMET　4.0 が6/18 に公開されました。こちらのブログをご参照ください。

このツールの新しいバージョンの注目点は、EMET が幅広い種類の起こり得るソフトウェア悪用シナリオに対して、効果的な緩和策であるよう望まれて作成されたもので、すでに EMET 保護が存在する領域でもより強力な保護策を提供し、ゼロ デイのエクスプロイトに対してもより早く対応する方法を備えています。以下は、EMET 4.0 の注目すべき点です。

• EMET 4.0 は、疑わしい SSL/TLS 証明書を利用しようとする攻撃を検出する
• EMET 4.0 は、既存の緩和策を強化し、既知のバイパスをブロックする
• EMET 4.0 は、EMET 3.0 における既知のアプリケーション互換性の問題を解決する
• EMET 4.0 は、企業のお客様、およびマイクロソフトに対し、早期警告プログラムを有効にする
• EMET 4.0 は、お客様が「監査モード (Audit Mode)」で緩和策をテストできる

SSL/TLS 証明書信用機能

EMET 4.0 は、Internet Explorer を閲覧する際に、デジタル署名された証明書 (SSL/TLS 証明書類) を認証するために、証明書に固定された一連のルールを設定することが可能です。このオプションでは、証明書を発行した付随する既知のルート証明機関 (RootCA) で、ユーザーが一連のルールと、特定のドメイン (ユーザーの SSL/TLS 証明書類を介して) とを合致できるよう設定することができます。EMET が、ドメイン用に設定された特定の SSL 証明書において、問題の RootCA について変動を検出した場合に、この変則性を、中間者攻撃を示唆するものとして、報告します。 上級ユーザーは、各固定ルールに対して例外を追加することも可能です。この場合、固定ルールが合致しなくても、EMET は SSL/TLS 証明書を受理します。例外に当てはまるのは、RootCA 証明書の所有に関わるもの、例えば、キー サイズ、ハッシュ アルゴリズム、および証明書の発行の国などです。

強化された緩和策、バイパスのブロック

私たちは、EMET 3.5 の「Tech Preview 版」段階で、多くのことを学びました。リサーチャー達が、試行錯誤し、EMET の ROP 対策緩和策をバイパスする巧妙な技を披露する様子を目にしました。EMET 4.0 では、これらのバイパスをブロックします。例えば、 呼び出しスタックの層の 1 つである、kernel32!VirtualAlloc の機能のみにフックして保護するのではなく、EMET 4.0 は、kernelbase!VirtualAlloc および ntdll!NtAllocateVirtualMemory などの低レベルの機能に対しても追加でフックします。これら、「ディープ フック (Deep Hooks)」は、EMET の詳細設定で設定できます。私たちは、フック機能のプロローグをコピーし、その後、プロローグ以前の機能に移るという方法で EMET フックを回避しようとする悪用の試みを目撃したことがあります。EMET 4.0 では、「迂回回避」オプションが有効になっており、この技術を利用する一般的な shellcode はブロックされます。最後になりますが、EMET 4.0 は、禁止されている API へのコールをブロックする仕組みも兼ね備えています。例えば、CANSecWest 2013 の最近の概要説明では、ASLR、および ntdll!LdrHotPatchRoutin を介した DEP をバイパスする方法が披露されました。EMET 4.0 の「禁止された API」機能は、この技術をブロックします。

アプリケーション互換性の修正

EMET の旧バージョンを利用しているユーザーは、マイクロソフト、およびサードパーティ両方のソフトウェアに対し緩和策を有効にする際に、類を見ない互換性の問題に直面したことがあると思います。EMET 4.0 は、これら既知のアプリケーション互換性に関わる問題をすべて解決します。それら互換性に関わる問題のリストには、以下の領域で起こるものが含まれます。

• Internet Explorer 9、および Snipping Tool
• Internet Explorer 8 が管理するアドオン ダイアログ
• SharePoint を介して利用する Office ソフトウェア
• 特定の緩和策が有効になっている、Access 2010
• Windows 8 上の Internet Explorer 10

EMET 4.0 インストーラーは、特定のソフトウェアにおいて緩和策が上手く作用しないなど、特定の緩和策が無効な場合に、保護ルールを採用しています。それらの例として挙げられるのが、Photoshop、Office 2013 Lync、Gtalk、wmplayer、および Chrome などです。

企業のお客様、およびマイクロソフトに対する早期警告プログラム

悪用の試みを EMET が検出、ブロックした場合、この攻撃に関わる一連の情報を、Microsoft Error Reporting (MER)機能が準備します。Microsoft Desktop Optimization Package (MDOP) もしくは、システム センター オペレーション マネージャーのクライアント監視機能を介して、エラー報告を収集している企業のお客様については、これらエラー報告がローカルで選別され、企業のネットワークに対して起こり得る攻撃を示唆する、早期警告プログラムとして利用されます。一般に、すべてのエラー報告がマイクロソフトに送信される企業については、この情報を、私たちが実際の現場で攻撃を追跡する際の指標として追加し、脆弱性がより規模の大きい脅威となる前に、セキュリティ更新プログラムで問題改善を促します。EMET Privacy Statement (英語情報) (EMET のメイン画面からも利用可能) では、Microsoft Error Reporting を介して送信される、エラー報告に関するより詳細な情報が掲載されています。EMET 4.0 では、デフォルトで早期警告プログラムが有効になっていますが、EMET UI、あるいは EMET コマンド ライン コンポーネントを介して無効にできます。私たちは、EMET 4.0 の最終的な公開に向けて、早期警告プログラムの方向付けができるように、ぜひお客様からのフィードバックをお聞きしたいと望んでいます。

監査モード

EMET の旧バージョンが悪用の試みを検出した場合、EMET エージェントを介して攻撃の報告をし、その後、攻撃を防御するためにプログラムを終了していました。EMET 4.0 では、お客様からのフィードバックにお応えし、悪用の試みを検出した場合に、EMET の動作を設定するオプションを提供しました。デフォルトでは、アプリケーションが終了します。しかしながら、プロダクション環境で EMET をテストしたいお客様は、代わりに、プロセスを終了せずに、悪用の試みを報告する「監査モード」に切り替えることができます。この設定は、すべての緩和策に対して有効ではありませんが、可能な場合はいつでもこのオプションを提供します。

その他の改善点

EMET 4.0 にはその他の改善点も多く含まれます。新しい機能の量と、今回の公開に注ぎ込んだ仕事の量を鑑みて、私たちは EMET 3.5 の完全版の公開をせずに、一気に EMET 4.0 の公開を決めました。すべての機能を確認するには、EMET 4.0 ベータ版ユーザー ガイドを参照して頂きたいのですが、下記にいくつか主要なものを挙げました。

• EMET 通知機能は、新しい役目、および機能を持ち、EMET エージェントと呼ばれる
• より精度の細かい、レポート オプション (トレイ アイコン、イベント ログ、両方、いずれもなし)
• 緩和策、証明書信頼の双方に対する、新規のデフォルト プロファイル
• EMET エージェントのメッセージングをカスタマイズできるレジストリ設定
• 著しく良いパフォーマンスができるように最適化された RopCheck
• EMET がより簡単に使用できる、数多くの UI 調整機能
• 保護されるべきアプリケーションを追加する際に、ワイルドカード支援を有効にする
• .exe 拡張子がない場合でも、プロセスが防御される
• .NET Framework 4.0 への切り替え
• EMET はプレミア契約をしているお客様がサポートを利用できる、正式にサポートされている Microsoft ツールである

私たちは、EMET の最新版のフィードバックをぜひ伺いたいと思っています!このベータ版が利用できる期間は、わずか 4 週間ですが、私たちは長期間に渡った EMET 3.5 Technical Preview で、明確なタイムライン、および短期のベータ期間について学びました、正式な EMET 4.0 公開の前に、このベータ期間中にお客様からフィードバックを入手しなくてはなりません。EMET 4.0 のいくつかの機能は、お客様のフィードバックが直接反映されたものになるでしょう。私たちは、EMET をお客様の環境に適用、設定するのは素晴らしいと思って頂けるようなツールにしたいと望んでいます。このベータ期間では、実際に公開される前に、早期利用者からフィードバックを得られるよう、オプションを提供しています。フィードバック、質問、あるいは提案がありましたら emet_feedback@microsoft.com までメール (英語) でご連絡ください。今日にでも、EMET 4.0 ベータ版をダウンロードし、ぜひお試しください。 

インターネット ユーザーがマルウェアからコンピューターを守り、安全に Web ブラウズを行うには、充実したセキュリティ機能が搭載された Web ブラウザーを使用し、不用意にリンクをクリックしないなど、日頃から注意を払うことが重要です。しかしながら、経験値の高いユーザーであっても、昨今のソーシャル エンジニアリングやドライブ バイ ダウンロードなどの巧みな攻撃手法によるマルウェア感染を完全に防ぐのは難しい場合も多くあります。

今回のセキュリティ インテリジェンス レポート第 14 版では、リアルタイム保護を提供するマルウェア対策製品がどれ程マルウェア感染に対して効果があるのかについて、マイクロソフト独自のテレメトリ観測データを分析した結果を初めて発表しています。今日は、その内容を紹介したいと思います。

リアルタイム保護されていないコンピューターの感染率は 5 倍以上

2012 年下半期、マルウェア対策製品のリアルタイム保護が有効に機能しているコンピューターと比較して、リアルタイム保護が機能していないコンピューターでは、マルウェアおよび迷惑なソフトウェアへの感染率は、およそ 5.5 倍高いという数字が出ました (図 1)。リアルタイム保護が重要だということがわかるデータです。

図 1: 保護された PC (緑) と保護されていない PC (赤) における、1000 台あたりの感染 PC の台数 (2012 年下半期の各月)

上記データは、全世界で約 6 億台以上のコンピューター上で実行される悪意のあるソフトウェアの削除ツール (MSRT) により収集したデータを基にしており、コンピューターの管理者ユーザーがデータ収集に同意している場合、そのコンピューター上のマルウェア対策製品のリアルタイム保護の状態を確認し、それを感染状況と相関分析しています。

保護されていないコンピューターの割合は 24 ％、Windows 8 ではわずか 7～8%

今回のデータでは、保護されていないコンピューターは感染率が高くなることが示されましたが、悪意のあるソフトウェアの削除ツール (MSRT) で収集されたデータによると、2012 年下半期平均で、約 24％ のコンピューターが、リアルタイム保護が有効なマルウェア対策製品を実行していない、もしくは、期限の切れたマルウェア対策製品を使用しているという数字が出ています (図 2)。

図 2: 保護されていない PC の割合 (2012 年下半期の各月)

これを OS 別に見ると、図 3 のようになります。

図 3: 保護されていない PC の割合 (2012 年下半期、OS および SP ごと)

Windows 8 は、保護されていないコンピューターの割合が一番低く、32 ビット版で 8.1%、64 ビット版で 7.0% となっています。これは、Windows 8 には、保護されていないコンピューターに対する保護を提供する Windows Defender が搭載されていることが主な理由と考えられます。なお、サポート対象 Windows のうち、保護されていないコンピューターの割合が一番高かったのは、Windows 7 RTM でした。次に、Windows XP SP3、Windows Vista SP2、そして Windows 7 SP1と続いています。

この違いは、マルウェア感染率にも影響しており、保護されたコンピューターの割合が最も高い Windows 8 の感染率は、32 ビット版で 0.8%、64 ビット版で 0.2% と最も低くなっています (図 4)。Windows 8 にはセキュアブートはじめ、マルウェアに対する強化点がいくつか取り入れられているため、それらも感染率の低さに影響していると考えられます。

図 4: 1000 台あたりの感染 PC の台数 (2012 年下半期、OS および SP ごと)

保護されていないコンピューター、その理由は？

現在サポート対象の Windows では、コンピューターが保護されているかをモニターし、保護されていない コンピューターに対してデスクトップのバルーン通知やアクション センターを通して警告を出すメカニズムが備わっています。それにもかかわらず、なぜこれほど保護されていないコンピューターが多いのか。主に次のような理由があると分析しています。

• コンピューター購入時に同梱されていたマルウェア対策製品のトライアル期限が過ぎ、サブスクリプションを更新しない場合 (期限切れ。このパターンのユーザーが最も多い)
• マルウェアがセキュリティ製品を無効化してしまう場合 (ユーザーは気づかない)
• ユーザーが意図的に無効にする場合 (パフォーマンスの観点、なくても大丈夫だという思い込み、もしくは検疫や駆除の対象となるようなプログラムをあえて使用したい、など)

特に、気づかないうちに期限が切れていたり無効化されてしまったユーザーにおいては、Windows 8 Defender のような保護されていないコンピューターを保護する仕組みは有効に機能するかもしれませんね。

おわりに

セキュリティ対策に完璧なものはありませんが、今回のデータが示すように、リアルタイム保護のセキュリティ製品を使用し、それを常に最新に保つことで、個人および企業におけるマルウェア感染リスクを 80％ も減らすことができます。マルウェア対策製品の重要性、費用対効果を理解し、信頼できるベンダーが提供するセキュリティ対策製品を使用してお使いのコンピューターおよび情報資産を守ってください。

また、最新の OS である Windows 8 を使用することで、マルウェア対策製品の期限切れなどで保護されていないコンピューターに対する保護機能が提供されますし、セキュアブートによる保護 (ルートキットなどのマルウェアを先に起動させない) 等で Windows の安全性はより一層高まっています。そういった安全面の向上という観点も、コンピューター買い替えや移行の際に、是非頭の片隅に入れておいていただければ幸いです。

皆さんこんにちは。2013 年 4 月 17 日 (米国時間)、2012 年下半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート第 14 版」を公開しましたのでそのお知らせです。

セキュリティ インテリジェンス レポートは、世界における脆弱性の傾向、エクスプロイト (悪用) の傾向、マルウェアの傾向や、各国・地域での脅威の傾向などを、全世界約 6 億台以上のシステムから収集されるデータを基に分析しています。

さらに、第 14 版の特集記事では、マルウェア対策製品を最新の状態に保つことの効果を具体的なデータとともに提示しています。マルウェア対策製品への投資が組織にとってどう重要なのか、費用対効果についての説明材料が欲しい IT 管理者様必見です。

レポート (英語) のダウンロードは、以下英語もしくは日本語の Web ページより行えます。なお、日本語版のサマリ (Key Findings Summary) は、後日公開しますので少しお待ちください (公開次第、下記日本語のページおよびこのブログでもアナウンスしていきます)。また、追ってレポートの内容を解説したブログを公開する予定です。