• IE の設定が勝手に変更されている?! ~ブラウザー ハイジャッカー にご注意

    Posted over 1 year ago
    by YURIKAM}

    みなさん、こんにちは。村木ゆりかです。

    いつものように Internet Explorer (IE) を開いたら、スタートページが変わっていた、なんて経験をしたことはありませんか? 一見すると IE や PC の動作がおかしくなってしまったのかな、と思うような現象の背景には、望ましくないソフトウェアがインストールされていることもあります。今回は、ブラウザー ハイジャッカー と呼ばれるブラウザーの設定を強制的に変更するソフトウェアについて、お話したいと思います。 

     

    ブラウザー ハイジャッカーとは?

    ブラウザーの設定を強制的に変更する「望ましくないソフトウェア」のことで、適切な通知、同意、またはコントロールを提供することなくコンピューター上に自分自身をインストールしたりします。こうしたソフトウェアがインストールされている場合、以下のような現象が発生する事があります。

    • 新しいツールバー、リンク、またはお気に入りなど、自分で意図的に Web ブラウザーに追加していないものが存在する
    • 既定のホーム ページ、マウス ポインターまたは検索プログラムが変わる
    • 特定の Web サイト (たとえば検索エンジン) のアドレスを入力しても、通知なしで別の Web サイトに移動する
    • インターネットに接続していない場合でも、ポップアップ広告が表示される
    • 動作が遅くなる

     こうした望ましくないソフトウェアは、無料ツールや、無料の壁紙やスクリーンセーバー、検索ツールと一緒に、インストールされることが多くあります。ユーザーにインストールを行うことを明示していない、あるいは、小さな文字で表記するなど、自覚のないままインストールを行っている場合もあります。

     

    削除するには?

    疑わしい現象が発生したら、まずは以下の方法を試してみてください。

     

    ● セキュリティ ソフトによるスキャンを実行する

    サードパーティのウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアを既にインストールしている場合は、定義ファイルを最新にし、スキャンを行ってください。

    お持ちでない方は、マイクロソフトでは、無料のセキュリティソフト、Microsoft Security Essentials (Windows XP SP3 以降、Windows Vista、Windows 7)、または Windows Defender (Windows 8) をご利用ください。

     

    ● サードパーティ プログラム、アドオン確認

    IE の機能を拡張するアドオン機能やソフトウェアおいて、自分がインストールしたものではないものがないか、確認してください。

    初心者でもわかる! IE でアドオンを無効にする

     

    ”お別れするのは寂しいです” といったような名残惜しそうなメッセージで、削除をためらうようにしているソフトウェアもあります。

      

    ● 詳細な確認

    さらなる確認が必要な場合には、以下のサポート技術情報を参考に、IE 設定のリセットや、細かな確認を行ってみてください。

     

    初心者向け:

    初心者でもわかる! IE トラブル おすすめ対処法

    初心者でもわかる! IE のリセット

     

    上級者向け:

    Internet Explorer の設定のリセット方法
    Internet Explorer で、Winshow ブラウザー ハイジャッカーが原因でエラーが発生したり不要な Web サイトが開かれる

    Internet Explorer のスタートページが変更される現象について

    Windows XP で Internet Explorer を起動すると、エラー メッセージ "問題が発生したため、Microsoft Internet Explorer を終了します。ご不便をおかけして申し訳ありません。" が表示される

     

    注意:

    ・IE の設定をリセットする場合は、リセット前にリセットで消えてしまう設定が表示されるのでよく確認して実行してください。

    ・レジストリを間違えて編集してしまうとパソコンの動作が不安定になることがありますので、編集する際は十分に気を付けて行ってください・(参考: 上級ユーザー向けの Windows レジストリ情報)

     

  • Microsoft IT が Active Directory 用の新しい緩和策のガイダンスを公開

    Posted over 1 year ago
    by JSECTEAM}

    本記事は、Microsoft Security Blog のブログ “Microsoft Releases New Mitigation Guidance for Active Directory (2013 6 3 日公開) を翻訳した記事です。

    今日の上級管理者は、情報技術組織に依存しながらビジネスにおいて戦略を実行し、経営の改善を図っています。

    企業名簿および ID の根本を担う Active Directory は、サーバーやアプリケーションにアクセス制御を提供することにより、IT 環境において重要な役割を果たしています。

    同時に、外部からの攻撃が IT インフラストラクチャにもたらす侵害の脅威が、範囲、そして精巧さの両方において、急速に増加し進化しています。こうした攻撃の背景には、政治的主張に影響された「ハクティビズム」と呼ばれる攻撃から、知的財産の盗難を目的としたものまで、さまざまな動機が存在します。しかし、Active Directory 環境は、そういった危険性に対して免疫がありません。

    この状況を打開し、企業の Active Directory 環境を保護するために、Microsoft IT は詳細な技術参照文書、「Active Directory をセキュリティで保護するためのベスト プラクティス (Best Practices for Securing Active Directory)(英語)」を公開しました。

    この文書の主なトピックには、一般的な Active Directory 環境を保護するために Microsoft IT が推奨する、相互に関連する以下の 4 つの戦略が含まれます。

    • 脆弱性の特定
    • 攻撃対象領域の削減
    • 侵害の兆候の監視
    • 長期セキュリティ計画の開発

    この文書に記載された内容は、その多くが Microsoft の Information Security and Risk Management (ISRM) 機関の経験に基づいており、その経験は、Microsoft IT やその他の Microsoft Business Division の資産を保護し、世界中に存在する Microsoft の厳選されたお客様 500 社にアドバイスを行う責任を担っています。

    Microsoft は、お客様が IT 環境を保護し、信頼性を高めることができるよう努力を続けており、このガイドが役に立つことを望んでいます。

    技術参照文書は IT Showcase サイトからダウンロードできます。次のメールアドレスにフィードバックを提供していただきますよう、よろしくお願いいたします。bpsad@microsoft.com(英語のみ)

    Bret Arsenault
    Chief Information Security Officer
    Microsoft

  • 脆弱性緩和ツール EMET 4.0 リリース

    Posted over 1 year ago
    by YURIKAM}

    脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) の最新版バージョン EMET 4.0 が 6 月 17 日 (米国時間) にリリースされました。ダウンロードはこちらからできます。             

    EMET 開発チームのブログ (英語) も公開されており、ご覧になった方もいらっしゃると思いますが、本ブログでは、EMET の基本についてと、EMET4.0 の新機能をひとつ簡単にご紹介します。

      

    EMETとは?

    EMET は ソフトウェアの脆弱性が悪用されるのを防止する無償のセキュリティ ツールです。Windows XP SP3 以降のクライアント/サーバー OS にインストールすることができ、データ実行防止 (DEP)、メモリアドレスのランダム化 (ASLR) などの脆弱性緩和技術が組み込まれていないアプリケーションやシステムでも、脆弱性緩和技術が実装された状態とすることができます。セキュリティ更新プログラムによる脆弱性の修正とは異なり、EMET は悪用コードの実行防止を目的とし、攻撃が行われそうになるとプロセス・システムを強制終了することで攻撃を回避します。 

     

    図1. セキュリティ更新プログラムと EMET の防御の違い

     

    利用シナリオと効果

    EMET は、サードパーティ アプリケーション、レガシ アプリケーションなどに対して設定を行うことで、セキュリティの強化策、セキュリティ更新プログラムをすぐには適用できない環境への緩和策、ゼロデイ攻撃 (*1) への緩和策として利用できます。

    EMET は脆弱性の回避策として昨今取り上げられることが多く、先日セキュリティ アドバイザリ 2847140 として公開した IE8 に対するゼロデイ攻撃でも、既知の攻撃コードは EMET により回避可能であることは、マイクロソフトおよびサードパーティ機関のCERT/CC により確認が行われていました。

     

    EMET 4 新機能 ~ 証明書チェック機能の追加

    最新バージョンの EMET 4では、緩和策の強化やログ機能の強化なども行われていますが、新機能として証明書のチェック機能が追加されました。この機能は昨今の PKI 利用拡大に伴う不正な証明書などの問題の増加が背景となり追加されました。

    あらかじめ、機能を適用するSSL/TLS の WEB サイトと、サイトが利用するルート証明機関の証明書の組み合わせを EMET で指定しておきます。IE で指定の WEBサイト閲覧時には、CA 証明書が指定されたものであるかを確認し、異なる場合は、エラーを通知します。

     

     

    図2. ログインが必要なサイトのセキュリティ強化として利用可能

     

    もちろん、Internet Explorer および Windows の既定の機能でも、信頼されたルート証明機関であるかなど、一般的なセキュリティとして十分なチェックは行われます。しかしながら、EMET は、よりセキュリティを強固にしたい環境のために、さらに強化した証明書のチェックの機能を提供しているのです。

     

    EMET 利用でセキュリティ更新プログラムは不要?XP も安全に使える?

    いいえ!EMET は緩和策を適用し、アプリケーションやシステムを攻撃から守りセキュリティを高めることができます。しかし、EMET は 100 %すべての攻撃を防ぐものではありません。脆弱性の対応には、セキュリティ更新プログラムを適用することが最善の対策です。 

    また、以下の図が示すように、EMET を使用した XP よりも、EMET 未使用の Windows 7 の方が堅牢です。これは多くの緩和策は新しい OS にすでに実装/強化されているためです。古い OS は EMET のようなセキュリティ ツールを利用しても、最新の攻撃を防ぐには限界があり、時代に合わせた新しい OS が必要なのです。

     

    図3. EMET 2.1 によるテスト結果 (出典:マイクロソフト セキュリティ インテリジェンス レポート 第 12 版)

     

    EMET 3.0 と 4.0 は現在 CSS によるテクニカル サポートでも対応しており、企業における導入や、メディアでの注目も高まってきています。ぜひ機会があれば利用してみてください。

     

    注釈:

    (*1) ゼロデイ攻撃: 脆弱性に対する修正や回避策が提供される前に、悪用コードが公開されたり、攻撃が広まったりすること

     

    参考:

    EMET 4.0 ダウンロード

    Enhanced Mitigation Experience Toolkit 4.0

     

    EMET 開発チームブログ (英語)

    EMET 4.0 now available for download

     

    Technet EMET ツール 概要

    Enhanced Mitigation Experience Toolkit

  • 2013 年 6 月のセキュリティ更新プログラムに関してリスクを評価する

    Posted over 1 year ago
    by JSECTEAM}

    本記事は、Security Research & Defense のブログ “Assessing risk for the June 2013 security updates” (2013 年 6 月 11 日公開) を翻訳した記事です。

    本日、私たちは 23 件の CVE を解決する 5 件のセキュリティ情報をリリースしました。セキュリティ情報の内、1 件は最大深刻度が「緊急」、そして 4 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

     

    セキュリティ情報

    最も起こりうる攻撃

    セキュリティ情報最大深刻度

    最大悪用可能性指標

    公開 30 日以内の影響

    プラットフォーム緩和策、および特記事項

    MS13-047

    (Internet Explorer)

    被害者が、悪意のある Web ページを閲覧する。

    緊急

    1

    30 日以内に悪用コードが作成される可能性があります

    19 件の CVE を解決します。

    MS13-051

    (Office 2003)

    被害者が、悪意のある Office ドキュメントを開く。

    重要

    1

    限定された標的型攻撃が、この更新プログラムで解決される 1 件の CVE を悪用するのが目撃されています。

    Office 2003 および Office for Mac 2011 に影響を与えます。 この攻撃に関する詳細情報は、この SRD ブログ投稿 (英語情報)を参照してください。

    MS13-049

    (Windows ネットワーク)

    攻撃者は、TCP/IP ポートを傍受する被害者に対して、ある種の何千も��通信ルートを確立し、非ページ プール メモリを消費する。これにより、再起動が必要になるネットワーク(あるいはシステム全体)の停止となる「サービス拒否」の状態を引き起こす。

    重要

    3

    直接、コード実行されることはありません。「サービス拒否」のみの脆弱性です。

    Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 上のローカル マシンのみが脆弱性の要因となります。それらのプラットフォームで、「警告」と評価されます。

    MS13-050

    (印刷スプーラー)

    マシン上で既にコードを実行している攻撃者が、特権が低いアカウントからSYSTEM に昇格するためにこの脆弱性を利用する。

    重要

    1

    30 日以内に、「サービス拒否」の悪用コードが作成される可能性があります。

    		  

    MS13-048

    (Windows カーネル)

    マシン上で既にコードを実行している攻撃者が、この脆弱性をマシンのバグチェック、もしくは、カーネル メモリ アドレスの漏えいに悪用する。

    重要

    3

    直接、コード実行されることはありません。「サービス拒否」もしくは、「情報漏えい」のみの脆弱性です。

     

     

    ジョナサン・ネス、MSRC エンジニアリング

  • MS13-048 KB2839229 適用後 STOP エラーなどの問題が発生する件について

    Posted over 1 year ago
    by JSECTEAM}

    概要

    2013 年 6 月 12 日 (日本時間) 公開の MS13-048 で提供したセキュリティ更新プログラム 2839229 を適用後、最新に更新していない Kingsoft 社 Internet Security 2011、2012、2013 をインストールした環境下の Windows OS で、STOP エラーが発生したり、起動中に黒い画面や青い画面で動作が停止し Windows が正常に起動しない現象が発生する場合があることを確認しています。

    対策について、Kingsoft 社から情報が公開されていますので、該当するお客様は確認の上、対応してください。

    Kingsoft Internet Securityをご利用の方へ重要なお知らせ
    http://www.kingsoft.jp/support/security/support_news/20130612

     

    影響を受けるオペレーティング システム

    最新に更新していない Kingsoft 社 Internet Security 2011、2012、2013 をインストールしたWindows OS (32 ビット版)

     

    お客様に必要なアクション

    当問題が発生しているお客様は、以下のアクションを行うことで問題を回避することが出きます。

    Windows XP、Windows Vista、および、Windows 7 をご利用のお客様

    1. コンピューターをオフにします。
    2. 起動中に F8 キーを押下して、セーフ モードでコンピューターを起動します。
    3. [セーフ モードとネットワーク] を選択し、起動を継続します。
    4. Kingsoft 社 Internet Security を起動し、[アップデート] ボタンをクリックします。
    5. 指示に従い、最新の更新プログラムを適用します。
    6. コンピューターを再起動します。

    ・Windows 8 をご利用のお客様

    1. コンピューターをオフにします。
    2. コンピューターをセーフモードで起動します。これを行うには、次の手順を実行します。

    a. コンピューターを起動し、復元モードにするために起動中に Shift + F8 を押下します。
    b. [トラブルシューティング] オプションを選択します。
    c. [詳細オプション] を選択します。
    d. [スタートアップ設定] を選択します。
    e. スタートアップ起動オプションを表示するために、コンピューターを再起動します。
    f. [セーフモードとネットワーク] を選択し、起動を継続します。

    Windows 8 はセーフ モードで起動する方法の詳細については、次のマイクロソフト web ページを参照してください。
    http://windows.microsoft.com/ja-jp/windows-8/windows-startup-settings-including-safe-mode

    3. Kingsoft 社 Internet Security を起動し、[アップデート] ボタンをクリックします。
    4. 指示に従い、最新の更新プログラムを適用します。
    5. コンピューターを再起動します。

     

    関連情報

    セキュリティ情報 MS13-048
    http://technet.microsoft.com/ja-jp/security/bulletin/ms13-048

    サポート技術情報 2839229
    https://support.microsoft.com/kb/2839229/
    ※日本語版は最新への更新、および、翻訳作業中です。作業が完了するまでは英語版を参照してください。

    Kingsoft Internet Securityをご利用の方へ重要なお知らせ
    http://www.kingsoft.jp/support/security/support_news/20130612