本記事は、Microsoft Security のブログ “The Risk of Running Windows XP After Support Ends April 2014” (2013 年 8 月 15 日公開) を翻訳した記事です。

今年の 4 月、私は Windows XP のサポート終了に関する「カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了」というタイトルのブログを投稿しました。それ以来、話す機会のあった多くのお客様が、所属組織で Windows XP から Windows 7 や Windows 8 などの最新オペレーティング システムへの移行を完了したか、または現在移行作業を進めています。

実際のところ、事態は切迫しています。というのも、2014 年 4 月 8 日以降、Windows XP Service Pack 3 (SP3) ユーザーには、新しいセキュリティ更新プログラム、セキュリティ以外の修正プログラム、無償/有償の支援サポート オプション、オンライン技術コンテンツの更新は提供されなくなるからです。つまり、Windows XP のサポート終了後に新しい脆弱性が発見されても、マイクロソフトは新しいセキュリティ更新プログラムでの対処を行わないということです。それでも何らかの理由により、4 月 8 日までに Windows XP からの移行を完了するのが困難だというお客様もいます。さらに、Windows XP を実行しているハードウェアが故障するまで移行するつもりがないというお客様もいます。

Windows XP をサポート終了後も使い続けることのリスクにはどのようなものがあるでしょうか?  第 1 のリスクは、攻撃者が優位に立つことです。実際、Windows XP ユーザーよりも攻撃者のほうが Windows XP の脆弱性情報をより多く入手できます。その理由を説明しましょう。

マイクロソフトがセキュリティ更新プログラムをリリースすると、セキュリティ研究者やサイバー犯罪者は即座にリバース エンジニアリングを行い、その更新プログラムが解決する脆弱性を含むコードの具体的な場所を特定します。 脆弱性を特定すると、セキュリティ更新プログラムをインストールしていないシステムを悪用するためのコードを開発します。さらに、同一または同様の機能を持つ他の製品にも同じ脆弱性がないか特定しようとします。たとえば、あるバージョンの Windows で脆弱性が解決された場合、研究者は他のバージョンの Windows にも同じ脆弱性がないかどうか調査します。同様の調査を行う攻撃者からユーザーを保護するため、マイクロソフト セキュリティ レスポンス センター (MSRC) は通常、影響を受けるすべての製品のセキュリティ更新プログラムを同時にリリースしています。これによりユーザーは、攻撃者がリバース エンジニアリングを行う前に、影響を受けるすべての製品のセキュリティ更新プログラムを入手できるため、攻撃者よりも優位に立つことができます。

しかし、2014 年 4 月 8 日以降も Windows XP を使い続ける組織は、こうした攻撃者に対する優位性を失ってしまいます。マイクロソフトが、サポートされているバージョンの Windows のセキュリティ更新プログラムをリリースすると、攻撃者はひと月もたたないうちにリバース エンジニアリングを行って脆弱性を特定し、Windows XP にも同じ脆弱性があるかどうかを調べあげてしまいます。同じ脆弱性があった場合、攻撃者は悪用コードを開発し、Windows XP の脆弱性に付け込もうとします。これらの脆弱性に対する Windows XP 用セキュリティ更新プログラムはもはやリリースされないため、Windows XP は「ゼロ デイ」脆弱性を永久に抱えることになります。このような事態はどのくらいの頻度で起こるのでしょうか?  2012 年 7 月から 2013 年 7 月の間、Windows XP は 45 件のマイクロソフト セキュリティ情報で影響を受ける製品として記載されました。うち 30 件では、Windows 7 と Windows 8 も影響を受ける製品でした。
  
私が相談を受けたユーザーの中には、Windows XP にはセキュリティ緩和策が組み込まれているため、悪用される危険性は低いと指摘する人もいます。また、ウイルス対策ソフトウェアにより攻撃をブロックし、感染を除去することも可能です。しかし問題なのは、システムのコンピューティング ベースを信頼できるかどうかがわからないことです。攻撃者は Windows XP のゼロ デイ エクスプロイトに関する公開情報を握っており、システムに侵入して任意のコードを実行できる可能性があるのです。さらに、このような状況下で、ウイルス対策ソフトウェアが使用するシステム API が信頼できるのかという問題もあります。一部のユーザーにとっては、システムの完全性に自信を持てなくても問題ないかもしれませんが、多くのユーザーにとって、これは受け入れられるものではありません。

また、Windows XP Service Pack 3 に組み込まれたセキュリティ緩和策は、数年前の開発当初は確かに最新のものでした。しかし、マイクロソフト セキュリティ インテリジェンス レポートのデータによると、Windows XP に組み込まれたセキュリティ緩和策は、最新の攻撃からの保護には不十分です。Windows オペレーティング システムのマルウェア感染率データによると、Windows XP の感染率は、Windows 7 や Windows 8 などの最新オペレーティング システムと比べて飛躍的に高くなっています。

図 1: 2012 年第 4 四半期のオペレーティング システムおよびサービス パック別の感染率 (CCM)、マイクロソフト セキュリティ インテリジェンス レポート第 14 版より

私は最近、悪用活動の調査結果についてまとめた「ソフトウェアの脆弱性悪用の傾向 - 脆弱性悪用のパターンに対するソフトウェア緩和策の影響に関する調査結果」を発表しました。この 7 年間にわたる調査によると、攻撃者は、Windows XP の主なセキュリティ緩和策であるデータ実行防止 (DEP) を打ち破るよう、攻撃を進化させてきました。図 3 は、DEP が有効化された場合に緩和されたエクスプロイトを持つ Common Vulnerabilities and Exposures (CVE) の数と、DEP をバイパスしたエクスプロイトを持つ CVE の数を比較したものです。2007 年と 2008 年を除いて、エクスプロイトを遡及して無効化する DEP の機能は明らかに低下傾向になっています。この傾向は、DEP の効果がなくなったのではなく、DEP があらかじめ有効化されていて、多大なコストと複雑性を要する環境に合わせた変化を攻撃者が強いられたことを示しています。DEP をバイパスしたエクスプロイトを持つ CVE の数がこの証拠です。

図 2 (左): 特定の悪用技術を使用して悪用された CVE の数; 図 3 (右): DEP が有効化された場合に緩和されたエクスプロイトを持つ CVE の数と、DEP をバイパスしたエクスプロイトを持つ CVE の数の比較

この新しいデータは、個人および組織が現在直面する主な脅威が、Windows XP Service Pack 3 リリース時とは大きく異なることを示しています。Windows XP Service Pack 2 以降のオペレーティング システムで Windows ファイアウォールを有効化したことで、攻撃者は攻撃を進化させることを余儀なくされました。攻撃者は現在、リモート サービスを積極的にターゲットにすることよりも、Web ブラウザーやドキュメント リーダーなどのクライアント アプリケーションの脆弱性を悪用することに目を向けています。さらに攻撃者は、より効果的に脆弱性を悪用できるようにするために、独自のツールや技術を過去 10 年にわたり改良し続けています。そのため、Windows XP に構築されたセキュリティ機能は、現在の脅威を防ぐには十分ではありません。図 4 が示すように、Windows 8 は Windows XP よりもはるかに優れたセキュリティ緩和策を備えています。Windows 8 に組み込まれた新しいセキュリティ緩和策の詳細については、前述の調査資料をご覧ください。

図 4: 下の表で Windows XP Service Pack 3 上の Internet Explorer 8 でサポートされる緩和機能と、Windows 8 上の Internet Explorer 10 でサポートされる緩和機能を比較しています。 この表が示すように、Windows 8 上の Internet Explorer 10 は、Windows XP 上の Internet Explorer 8 には適用されない多くのプラットフォーム セキュリティ改善
策から恩恵を受けています。

組織は、システムの完全性について一定の安心感を必要とします。この安心感は、サポートされないオペレーティング システムを実行するシステムの数を可能な限り少なくすることで得られます。Windows XP のサポートは 2014 年 4 月 8 日に終了します。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)

関連リンク:

• サポート終了後のセキュリティ～重要な情報は保存していないから大丈夫 ?
• サポート終了後のセキュリティ～危険なサイトにアクセスしなければ大丈夫？
• サポート終了後のセキュリティ～ネットに接続しなければ大丈夫？
• サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心？
• Windows XP サポート終了後のセキュリティ～ マルウェア感染率が示すリスク

本記事は、Microsoft Malware Protection Center のブログ “New Security Intelligence Report, new data, new perspectives” (2013 年 10 月 29 日公開) を翻訳した記事です。

本日、マイクロソフトは マイクロソフト セキュリティ インテリジェンス レポート (SIRv15) (英語版) の第 15 版を公開しました。このレポートは、世界中の莫大な数のシステム、および幾つかのインターネットの活発なオンライン サービスのデータに基づいて、マルウェア、悪用について分析しています。

昨年中、私達はセキュリティ インテリジェンス レポートの第 15 版について企画していました。お客様に提供するガイダンスの範囲、および正確性を向上するためにはどうすれば良いのか考慮したため、過去のレポートで提供したデータ以上にマルウェアの蔓延率を最も良く示すにはどうしたら良いかについて熟慮しました。

私達は、リアルタイムの防御製品に基づいてマルウェアの影響度を測る測定基準を設ける必要がありました。

私達は、既に、感染率については悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行した場合に駆除を受けたコンピューターの数を示す Computers Cleaned per Mille (CCM) と呼ばれる測定基準を使用して報告しています。これにより、感染がいかに広範に広がっているのか説明することが可能です。

現在、コンピューターに影響を与えている脅威の範囲についてより深く理解するためには、決して感染につながらない試みを含む、感染の試みについて考慮することが益々重要になってきています。このデータは、リアルタイムのセキュリティ製品によってのみ提供されるものですが、これは、新たな測定基準「遭遇率」で測られています。遭遇率とは、マルウェアを偶然見つける、あるいは遭遇する、マイクロソフトのリアルタイムのセキュリティ製品を稼働しているコンピューターの割合です。並べて見比べると、感染率、および遭遇率はマルウェアの全体像を見る場合に異なる視点を授けてくれ、実態を解明することでより情報に通じたリスク評価に貢献します。

例えば、昨年中の遭遇率、および感染率による分析で浮上したキーとなる発見の 1 つは、Windows XP を稼働しているコンピューターが Windows 7 を稼働しているコンピューターと同程度のマルウェアに遭遇していたというものでした。Windows XP を使用するコンピューターは、その他のオペレーティング システムに比べてより多くの感染に見舞われていました。実際、Windows XP の感染率は Windows 8 と比べて 6 倍も高かったのです。

図 1: Windows オペレーティングシステムにおける感染率、および遭遇率

今後、私達は 2014 年 4 月 8 日のサポート終了日を踏まえ、Windows XP についてより深い分析を行ったブログを公開します。Tim Rains も、この問題について 最新のブログ (英語情報)でさらに解説しています。 

私達の全体像分析では、深刻度に基づいて、望ましくない可能性がある悪質なソフトウェアからマルウェアを除外しています。重要/深刻な脅威は、製品が自動的にこれらの脅威をコンピューターから除去するのに十分な程深刻であるため、この区別は重要です。警告/注意の脅威は、この SIR では望ましくない可能性がある悪質なソフトウェアに分類しており、隔離するか除去するかはユーザー次第です。

また、マルウェア、および望ましくない可能性がある悪質なソフトウェアにおける、最大遭遇率、および最低遭遇率について国ごとの傾向を紹介しています。複数の国が、望ましくない可能性がある悪質なソフトウェアについて、最大、および最低のリストに掲載されていますが、マルウェアについては該当しませんでした。これにより、特定の地域における望ましくない可能性がある悪質なソフトウェアの影響について結論を導くことができるだけではなく、異なる地域が直面している深刻な脅威に的を絞ることができます。

地域別に脅威を見ていくと、分析の多くの部分で深刻度が上昇した国が分かります。2012 年下半期、2013 年の上半期の間、トルコの遭遇率は13 % 以上も上昇しました。世界のその他の地域と比べた場合に、トルコでは悪用、さまざまなトロイの木馬、およびワームのすべてにより高いレベルで遭遇していました。トルコと他国の調査結果に関する詳細は SIR 第 15 版でご覧いただけます。

図 2: 2013 年第 2 四半期において、検出を報告しているコンピューターでの、全世界、および 10 地域での脅威別の蔓延率。それぞれの地域での合計は、1 カテゴリ以上について脅威を報告しているコンピューターもあるため、100 % を超える場合もあります。

私達は、ある一定の額をハッカーに支払うまで、コンピューターをレンダリング、またはコンピューター内のファイルを使用不能にするようデザインされたマルウェアの一種、ランサムウェアの高まりつつある問題にも目を向けています。良く知られている法執行機関からの公式な警告を装う場合が多く、コンピューターのユーザーをコンピューター関連の犯罪を働いたかどで告発し、再度、コンピューターのコントロール権を得るために、電子送金で罰金を送るよう要求します。

私達は最も蔓延しているランサムウェア ファミリーを追跡し、Win32/Reveton (英語情報) および Win32/Tobfy (英語情報) が世界レベルで蔓延が上昇傾向にあることが分かりました。

これらは、最新のレポートに含まれる、たくさんのキーとなる調査結果のほんの一部です。マイクロソフト セキュリティ インテリジェンス レポート 第 15 版（英語版）をダウンロードするには、www.microsoft.com/japan/sir をご覧ください。

SIR をご覧いただき、他の人にも読むようにすすめ、アクションを実行して、コンピューター、および組織を悪意のあるソフトウェアから保護するためのリソースとして使用いただくことを願っております。

Vidya Sekhar
MMPC

前回のブログ「Windows 8.1 ～ Windows Update 管理画面の新機能」に引き続き、今回も Windows 8.1 に関する情報をお届けします。

今回は、Windows 8.1 で改善された更新プログラム適用時の再起動の動作についてご紹介します。

■ ログオン画面で即対応

更新プログラムによって、インストールを完了するために PC の再起動が必要になる場合があります。

Windows 8 では、段階的な通知により再起動のタイミングをフレキシブルに選択することができるようになりました。(#1) Windows 8.1 でも、同様に段階的な通知により再起動のタイミングをフレキシブルに選択することができます。また、次の画面のように、ログオン画面で通知を受けた場合には右下の電源ボタンをクリックすることで、[更新してシャットダウン]、[更新して再起動] が選択できるように��りました。通知に気付いた際にすぐにアクションが取れるようになっています。

■ 強制再起動までの猶予

また、更新プログラムをインストール後に再起動せずにいた場合の動作も改善されています。

Windows 8 では 3 日経過すると最初にユーザーがログオンまたはロック解除したタイミングで、System Critical Notification 形式の 「○分で再起動します」というメッセージが表示され、15 分以内に強制的に再起動が行われました。

Windows 8.1 では、再起動せずに 1 日経過すると次の形式のメッセージが通知されます。お気づきの通り、[後で再起動する] が選択できるようになりました。また、強制再起動の猶予も 15 分から 1 日に延長されています。これなら、余裕をもって作業内容を保存できますよね。

更新プログラムの適用は、わずらわしいことかもしれませんが、最新の状態に保つことが PC を安全にご利用いただくためには必要不可欠なものです。通知に気付いたら、お早目に更新プログラムのインストールをお願いします。

#1: Windows 8 の Windows Update に関する詳細は、「Windows 8 セキュリティ特集 #1 Windows Update」をご覧ください。

みなさんこんにちは、村木ゆりかです。

新しい OS、Windows 8.1 が公開されました。さまざまな新機能が搭載されており、早速インストールを行って利用している方もいらっしゃるのではないでしょうか。これまでの OS やソフトウェアと同様、安全に利用するためには、配信されている更新プログラムを適用し、常に最新の状態にしておくことが重要です。そこで、今回は Windows 8.1 の Windows Update についてご紹介します。

Windows 8.1 でも、これまでと同様、既定で自動更新が行われます。Windows 8 からは従来のコントロールパネルにある Windows Update の管理に加え、モダン UI においても Windows Update の管理画面を提供しています。Windows 8.1 では、モダン UI にてより詳細な確認、および設定変更が行えるようになりました。

● Windows Update 管理画面の開き方

Windows 8.1 では、[保守と管理] という新しい項目が [PC 設定変更] に加わりました。Windows Update の管理は、[PC 設定変更] に含まれています。 

1. チャームから [設定] をクリックし、[PC 設定の変更] をクリックします。

2. [保守と管理] をクリックします。

3. [Windows Update] の管理画面が開きます。

● モダンUI Windows Update 管理画面で行えること

Windows 8.1 のモダン UI Windows Update 管理画面では、3 つのメニューを用意しています。

①    更新プログラムの確認とインストール

[今すぐチェックする] をクリックすることで、インストールを行う必要がある更新プログラムがあるか、チェックを行うことができます。正しく確認が行われると、以下のように概要が表示されます。[インストール] をクリックすることで、インストールできます。[詳細の表示] をクリックすると、対象の更新プログラム一覧が表示され、個別にインストールを行う更新プログラムの選択を行うことも可能です。

もし、チェックを行う際に、問題が発生している場合は、以下のようにエラーが表示されます。[詳しい情報を表示する] をクリックすると、エラーコードや、ヘルプが表示され、トラブルシュートを行うことができます。

②    更新履歴を表示する

これまでにインストールを行った更新プログラムを確認できます。

(注意: Windows 8 などの OS から Windows 8.1 にアップグレードを行った場合は、Windows 8.1 アップグレード後に、インストールを行った更新プログラムのみ表示されます)

③    更新プログラムのインストール方法を選択する

更新プログラムのインストール方法を選択できます。既定では、[更新プログラムを自動的にインストールする (推奨)] が設定されています。この設定にすることで、自動的に更新プログラムを確認し、インストールを行います。

[Windows の更新時に他の製品の更新プログラムを入手する] を選択することで、Windows 以外のマイクロソフト製品 (例えば Microsoft Office など) の更新プログラムも自動でインストールを行うことができます。ぜひこのオプションにチェックをいれてください。

Windows 8.1 では、モダン UI を利用して、より分かりやすく更新プログラムの管理が行うことができます。ぜひ一度確認してみてください。

本記事は、Security Research & Defense のブログ “Assessing risk for the October 2013 security updates” (2013 年 10 月 10 日公開) を翻訳した記事です。

本日、私たちは 26 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 4 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

ジョナサン・ネス、MSRC エンジニアリング