[更新情報]

2014/3/10: EMET 5 Techinical Preview の日本語版ユーザーガイドを公開しました。こちらからダウンロード可能です。

2014/5/1 : EMET 5.0 Technical Preview のアップデート版 (EMET 5.0 Technical Preview 2) が公開されました。マイクロソフトConnect サイトから入手可能です。
また、EMETへのバグ報告はこれまでメールで受け付けていましたが、上述のマイクロソフト Connectサイトから報告いただく形に変わりました。（マイクロソフト アカウントが必要です）

2014/5/26: EMET 5.0 Technical Preview のアップデート版 (EMET 5.0 Technical Preview 3) が公開されました。マイクロソフトConnect サイトから入手可能です。
主な更新点は以下です。（詳細はダウンロードページのリリースノートをご覧ください）
1. アプリケーションの構成設定(Application Configuration) に、詳細な設定を追加
2. SEHOP IFEO エントリの処理の仕方を修正
3. AntiDetours, DeepHooks などの構成が構成ファイル、イベントログに記録されるように修正
4. MSDIS および DETOURS ライブラリを最新版にアップデートし、内部コードを最適化
5. EAF/EAF+ 緩和策のBreakpoint Removalに対する強化（今後も継続して強化していく予定）
6. 様々なアプリケーション互換性の問題を修正

（マイクロソフトConnect サイトより）

------------------------------------------------------------------------------------------------------------------------

こんにちは、村木ゆりかです。

米国時間 2 月 25 日に、脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) の次期バージョン EMET 5.0 のTechnical Preview 版が公開されました。Technical Preview 版は、製品版の前にテストを行っていただき、広くフィードバックを集める目的で公開しています。

EMET 5 Technical Preview はこちらからダウンロードできます。ぜひ紹介ビデオ (英語) も見ていただき、テストをしてみてください。

[3/10更新]  EMET 5 Techinical Preview の日本語版ユーザーガイドを公開しました。こちらからダウンロード可能です。

EMET 5.0 Technical Preview の目玉ポイント

EMET 5 Technical Preview では、以下の2つの緩和策が追加されています。 

• Attack Surface Reduction (ASR): この緩和策は、特定のライブラリやプラグインの読み込みをブロックする事ができます。アプリケーションが、セキュリティ ゾーンをサポートしている場合は、(例えば Internet Explorer など) そのゾーンにおけるライブラリやプラグインの読み込みの可否を制御することができます。例えば、Microsoft Word に対して EMET の設定を行い、Adobe Flash Player のプラグインの読み込みを行わないよう設定できます。また、Internet Explorer に対して EMET の設定を行うことで、Java プラグインをインターネット ゾーンでは読み込みを拒否し、イントラネット ゾーンでは読み込みを許可することができます。既定では EMET 5.0 Technical Preview では、Internet Explorer, Microsoft Word, Excel に対するいくつかのプラグインの読み込みを制御するよう構成されています。この設定は、レジストリを介して、自由に設定変更することができます。詳細は、EMET 5.0 Technical Preview と共にインストールされるユーザーガイドを参照してください。 

• Export Address Table Filtering Plus (EAF+): この緩和策は、現在のエクスポート アドレス テーブル フィルタリング (EAF) をさらに強化した緩和策です。EAF+ は低レベルのモジュールへの保護を提供し、動的 ROP ガジェットの生成をメモリ内で行う際に利用されている攻撃手法をブロックします。これは、セキュリティ アドバイザリ 2934088 で説明されているような攻撃に対するさらなる緩和としても効果を発揮します。

また、EMET 5.0 Technical Preview では、その他にも、”Deep Hook” を有効にしました。これまで、Deep Hook は、サードパーティ ソフトウェアで正常に動作しないことがありましたが、ベンダー間で協力を行い、改善を行っています。

詳細については、こちらの公式ブログ（英語）も参照してください。

画像：EMET5.0 のGUI

関連ブログ記事

脆弱性緩和ツール
EMET 4.0 リリース

EMET 4 日本語版ユーザー ガイドを公開しました

関連リンク

Enhanced Mitigation Experience Toolkit (EMET)

マイクロソフト Security Research and Defense 公式ブログAnnouncing EMET 5.0 Technical Preview (英語)

皆さん、こんにちは ! このブログを見る方は、セキュリティ意識が高い方が多いため、ご存知かと思いますが、2014 年 4 月 9 日 (水) (日本時間) に、Windows XP と Office 2003 のサポートが終了となります。後 44 日と迫ってきましたが、コンピューターの買い替えや Windows や Office をアップグレードするなどの対策は、すでに完了しましたでしょうか ? 自分のコンピューターには重要な情報は保存していないため、サポート終了後も使い続けて安全だと考えて、継続して使用することを検討している方がいましたら、以下を読んで、今一度、どのような影響があるかを理解いただければ幸いです。 

警察庁の発表によると、昨年は、インターネット バンキングの不正送金が 1315 件発生し、被害額は約 14 億 600 万円と過去最大であったとの報道が行われています。このように、攻撃者は、悪意のあるソフトウェア (マルウェア) を利用するなどの手段で、コンピューターから重要な情報を盗み出します。しかし、攻撃者はこれ以外にもさまざまな方法で攻撃を行います。例えば、2012 年の夏から秋にかけて起こったパソコン遠隔操作事件のように、悪意のある攻撃者にあなたのコンピューターを遠隔操作されることもあります。また、コンピューターがボットネットに組み込まれてしまった場合は、あなた自身に被害がなくても、攻撃者の命令を受けて迷惑メールを他人に送る、他のコンピューターにサービス拒否攻撃 (DDoS 攻撃) を仕掛けるなどします。つまり、あなた自身が攻撃者であり、かつ、加害者となってしまう場合もあるのです。以下の図は、ボットネットを説明している図です。

マイクロソフトでは、Digital Crime Unit (DCU) という部署が、こうしたボットネット��活動の停止など、サイバー犯罪を撲滅するために、業界団体、政府、研究機関、法執行機関、NGO 等と協業し活動を行っており、昨年 12 月にも、European Cybercrime Centre (EC3)、米国連邦捜査局 (FBI)、および、A10 Networks などと協力して「ZeroAccess」と呼ばれるボットネットの活動の一部を停止させました。このような活動は継続して行われますが、残念ながらこのような活動のみでは対策は不十分であり、ユーザー 1 人 1 人が対策を行うことが大切です。

そのため、あなたのコンピューターが犯罪に利用されないようにするためにも、以下のようなマルウェア対策を行うことが重要となります。

• 正規のマルウェア対策ソフトを導入し、最新の定義ファイルに使用してリアルタイム保護を有効にする

• セキュリティ更新プログラムをインストールし、コンピューターを最新の状態に更新する 

しかしながら、サポートが終了した製品には、セキュリティ更新プログラムが提供されなくなるため、不完全な対策しかできません。あなたのコンピューターが犯罪に利用されることで、あなた自身が攻撃者・加害者とならないようにするためにも、サポートされた製品を利用し、かつ、最新の状態に更新して、それを維持するようお願いいたします。

関連リンク

• サポート終了後のセキュリティ～危険なサイトにアクセスしなければ大丈夫？

• サポート終了後のセキュリティ～ネットに接続しなければ大丈夫？

• サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心？

• Windows XP サポート終了後のセキュリティ～ マルウェア感染率が示すリスク

[2014/3/12 追記]

セキュリティ情報 MS14-012 を公開し、本脆弱性に対処したセキュリティ更新プログラムを公開しました。

2014 年 2 月 20 日、マイクロソフトは、セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開しました。 

このアドバイザリは、Internet Explorer 9 および10 において確認されている脆弱性の説明、および脆弱性から保護するための緩和策と回避策を提供しています。この脆弱性が悪用された場合、ユーザーが悪意のある WEB サイトを訪問した際に、リモートでコードが実行される可能性があります。 

この脆弱性の悪用報告は、現在のところInternet Explorer 10を対象とした限定的な標的型攻撃のみですが、アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。 

■ 影響を受ける環境

Internet Explorer 9 および Internet Explorer 10

詳細は以下の表をご確認ください。

■ 回避策

セキュリティ更新プログラム公開までの間お客様の環境を保護するために、以下のいずれかの回避策を実施してください。

回避策① Internet Explorer 11 にアップグレードする

Windows 7 以降をご利用のお客様は、影響を受けないバージョンであるInternet Explorer 11 へのアップグレードを行うことで、問題の回避を行うことができます。

回避策② Fix It を適用する

本脆弱性による攻撃を防ぐFix It ソリューションを提供開始しました。現在、本脆弱性を悪用した攻撃が限定的な範囲ですが報告されておりますので、早期に対応するために、Fix It ソリューションの適用をお願いします。また、その他の回避策もご案内していますので、併せてご検討をお願いします。

回避策 Fix It 適用方法

1. サポート技術情報 2934088にアクセスします。
2. [有効にする] (Enable) に記載されている Fix It をクリックします (Fix It 51007)
   
3. ウィザードに従い実行します。(Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します)
4. 完了後、Internet Explorer を再起動します。

注意事項

• この Fix it ソリューションを適用する前に、Internet Explorer に、最新のセキュリティ更新プログラムが適用されている必要されている必要があります。
  • MS14-010 Internet Explorer 用の累積的なセキュリティ更新プログラム (2909921)
• Fix It 適用にはローカル管理者権限が必要です
• Fix It 適用後は、Internet Explorer を再起動する必要があります。(OS の再起動は必要ありません)
• Fix Itのウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します。
• 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

補足事項

• Fix It ソリューションを無効にするには、サポート技術情報 2934088 にアクセスし、「無効にする」(Disable) のFix It (Fix It 51008) を実行します。

回避策③ EMET を導入する

Enhanced Mitigation Experience Toolkit (EMET) というツールを利用することで、ユーザーが悪意のある WEB サイトを訪問した場合でも、この脆弱性の悪用 (コード実行) を防ぐことができます。EMET は、2013年下半期に確認されたメモリ破壊によるリモートコードが実行されるタイプの攻撃はすべて防ぐことができた実績があります。

EMET については、私たちのチームのブログでも解説をご用意しています。まだご存知のない方は、ぜひこの機会に導入をご検討ください。

セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit」

日本のセキュリティ チーム ブログ 「EMET 4.1 を公開 ～ 構成ファイルや管理機能の強化」

■ 問題を緩和する要素

• 既定で、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 上の Internet Explorer は、「セキュリティ強化の構成」と呼ばれる制限されたモードで実行されます。このモードは、この脆弱性の影響を緩和します。

■ 参考リンク

Microsoft Security Response Center (MSRC) ブログ

Microsoft Releases Security Advisory 2934088 (英語情報)

Security Research and Defense ブログ

Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322 (英語情報)

2 月 13 日に情報セキュリティ月間の一環として Windows XP サポート終了に関する説明会を行いました。経済産業省、JPCERT/CC、主要なセキュリティ ベンダーにご登壇いただいた結果、多くの記事に取り上げて頂くことができました。これまでサポート終了に関して、正確な情報をお持ちでなかった方にも、広く知っていただく事が出来たのではないかと思います。

一方で、自社製品のサポート終了を、そんなに一生懸命宣伝しなくても良いのではとの考えもあると思います。サポート終了に関する一連の活動は、弊社が 2002 年以来取り組んでいるTrustworthy Computingの原点となっている、SD3+C という考え方に基づいて実施しているものです。今回は、SD3+C と一連の活動の関係についてご紹介します。

SD3+C

マイクロソフトでは、製品やサービスを安全にご利用いただくことを目指した、Trustworthy Computingという取り組みを続けています。Trustworthy Computingは、セキュリティ(Security)、プライバシー(Privacy)、信頼性（Reliability)、ビジネスプラクティス（ Business Practices）の４つの要素が柱となっています。
Trustworthy Computingの重要な取り組みの一つに、製品の安全性を高めるためのSDL (Security Development Lifecycle) があります。この SDL のベースとなっているのが、今回取り上げている 3D+C という考え方です。

• Secure by Development

• Secure by Default

• Secure by Deployment

  +Communication

以下に、SD3+C の要素を見ていきましょう。

Secure by Development

開発段階でセキュリティを確保するというのは、当たり前のように思われますが、実際には検査の段階で、対策をする方が一般的だと思います。

マイクロソフトでは、Windows 2000 に多くのセキュリティ関連の機能を追加したにも関わらず、検査時に不具合が続出したことから、セキュリティに対する取り組みが始まります。エンジニアに対するセキュリティ教育を実施し、製品に対する侵入検査（Penetration Test)も行い、発見されたセキュリティ上の問題が解決するまでは出荷をしないという方針をとりました。この取り組みは一定の成果を上げました、残念ながら、十分なセキュリティ レベルを確保することは出来ませんでした。

この経験を踏まえて、Windows Server 2003 の出荷では、セキュリティ プッシュという活動を行いました。1 万人以上の開発者が、開発を止め、セキュリティの教育を受け、セキュリティに関する検査を行いました。2002 年 2 月までの予定で始まったセキュリティ プッシュは、2003 年 3 月まで延期が繰り返されました。つまり、検査の段階でセキュリティを確保しようとすると、漏れがあるばかりではなく、多大なコストがかかることに加え、出荷の予定も流動化することが明らかになりました。

このような経験を経て、より上流でセキュリティを作り込むことが重要だと判断し、設計段階や開発段階でセキュリティを確保するという SDL につながっていきます。

Secure by Default も、マイクロソフトの苦い経験に基づいて得た結論です。

Secure by Default

PC が普及する過程においては、すぐに使える状態で出荷するという方針が取られていました。このためWindows 2000 などでは、インターネット インフォメーション サーバー (IIS) という Web サーバーが稼働する状態で出荷されていました。そして、2001 年 7 月 13 日に感染を始めた CodeRed は、この IIS の脆弱性 MS01-033 (2001 年 6 月 18 日に公表) を標的として感染を広げました。利用者が IISが 稼動していると思っていなかったサーバーがCodeRedに感染をしたことが、CodeRedの対策を難しくしました。

また、Windows XP Service Pack 1 までは、Windows ファイアウォールはデフォルトでは無効になっていました。ところが、2003 年 8 月 11 日に感染を始めた Blaster ワーム (MS03-026、MS03-039） の活動により、インターネットに接続をしていると PC がリブートしてしまい、対策に必要なセキュリティ更新プログラムも、セキュリティ対策ソフトウェアの更新も出来ないという事態となりました。

このため、2004 年 9 月にリリースした Windows XP Service Pack 2では、Windows ファイアウォールをデフォルトで有効にするように修正し、さらに 2008 年 4 月にリリースした Windows XP Service Pack 3では、アウトバンドの通信でも Windows ファイアウォールを有効にしました。

Secure by Deployment

CodeRed を経験するまでは、セキュリティ更新プログラムを提供すれば提供元としての責任は果たしていると考えていました。実際、CodeRed が利用した脆弱性は、前月の Windows Update において更新プログラムが提供されていたものです。

しかし、CodeRed の感染によって、対策を提供していても、利用者がこれを適用しなければ、利用者を守ることも出来ない事が明らかになりました。

このため、Windows Update, Microsoft Update, WSUS (Windows Software Update Services) の提供などを通じて、できるだけ自動的、かつ簡単に更新プログラムを適用できるように取り組んできました。そして、Windows Vista 以降では、Windows Update (Microsoft Update) の設定は、デフォルトで有効となっており、より確実に更新プログラムを適用していただけるようになっています。

セキュリティ更新プログラムは逐次提供を行っていましたが、計画的な更新プログラムの適用していただけるように 2002 年 5 月からは毎週火水曜日 (米国時間） に合わせて公開をするように見直しを行い、2003 年 11 月からは各月の第 2 火曜日 (米国時間) に公開するように変更しました。

また、日本では2007年から、公表と同時に報道関係者を対象とした更新プログラムの説明会を通じて、正確な情報をお伝えできるように努めています。

+Communication

そして最後の Communication です。

マイクロソフトは、一歩一歩ではありますが、セキュリティ面の強化を進めてきました。しかし、これを知っていただかない事には安全に使っていただけません。正確な情報を伝える必要があります。一連の Windows XP サポート終了に関する周知活動も、正確な情報を知っていただくために実施しています。

サポート終了をご存知のない方には、サポートが終了すること、そして、どのような影響があるかを知っていただきたいと考えています。これにより、サポート終了までに移行が間に合わない場合でも、移行計画を策定するなど、具体的な計画を立てて頂く事が出来ると考えています。

また、今回セキュリティベンダー様から、セキュリティ製品を使っていても、必ずしも万全ではないというお話もしていただきましたが、これも正確な情報を知っていただくためには重要なメッセージだと考えています。

むすび

Windows XP は、2014 年 4 月 9 日 (日本時間） のセキュリティ更新プログラムが最後の更新プログラムとなり、その後のセキュリティ更新プログラムの提供は予定されていません。

実際に観測されている攻撃の大半は古い (数か月～数年前) 脆弱性を狙うため、更新プログラムを適切に適用することが、安全な IT 利用に大きく寄与します。しかし、サポートが終了すると、更新プログラムが利用できなくなり、徐々に（もしかすると急激に）、防ぐことが出来ない攻撃が増えていくものと考えられます。

サポートが終了する前に、最新のシステムへの移行をご検討いただき、間に合わない場合でも移行計画を策定し、できるだけ早く移行していただきたいと思います。

本記事は、Microsoft Security のブログ “Japan Skates into Second Place” (2014 年 2 月 14 日公開) を翻訳した記事です。

今週から 2014 年度の冬のオリンピックでスケーターたちがソチのアイスリンクを滑走し、その優美さと競技選手としての優れた能力で世界中の注目を集めています。私たちのブログ シリーズ (英語情報) もまた別のメダル争いになぞらえて話を進めましょう。マルウェアの脅威を管理するための称賛に値する取り組みに対し、日本に銀メダルの栄誉を与えます。

導入部のブログ投稿 (英語情報) に記載した通り、マイクロソフトは マイクロソフト セキュリティ インテリジェンス レポートにおけるグローバルなマルウェア感染率を四半期毎に追跡しています。日本の一貫して低いマルウェア感染率 (英語情報) が今回の名誉ある評価につながりました。

2013 年第 2 四半期は、1,000 台のコンピューターに対しクリーニングされたコンピューターの台数の平均が日本国内で 1.1 台だったのに対し、全世界の平均値が 5.8 台でした。この値は、期間中の銅メダル勝者 (英語情報) よりも45 %も低いものでした。さらに、日本国内においてマルウェアに遭遇したコンピューターはわずか 7 %であるのに対し、全世界の平均値は 17 % でした。

日本が直面した脅威の中で最も一般的だったのは多種多様なトロイの木馬で、2013 年第 1 四半期の 3.8 % よりも増加して、全体の遭遇率は 4.6 %でした。エクスプロイトやワームもまた一般に遭遇するものではありましたが、これらのカテゴリの遭遇率はどちらも減少しました。2013 年第 2 四半期における日本のパフォーマンスに関する詳細情報はこちら (英語情報) で確認できます。

ここ何年も、国の政府機関とグローバル企業で連携し、感染を除去し、検出率を改善させることをコンピューターの利用者たちに啓発してきました。日本の専門家たちは、この長期にわたるパートナー関係を信頼しており、その全体的な意識によって国内に情報セキュリティのノウハウが広がり、低いマルウェア感染率に寄与しました。

日本はマルウェア感染の全体像を改善し続けているので、他国は日本のベスト プラクティスから恩恵を受けることができます。日本マイクロソフト 高橋正和 チーフセキュリティアドバイザーに、日本が低いマルウェア感染率を享受できた幾つかの要因に対する見解を聞きましたので、以下に共有します。

「日本で官民のパートナーシップが始まったとき、その取り組みが実際にマルウェア感染の減少に貢献すると信じていた人はほとんどいませんでした。ですが、着実で継続的な努力が有益であることは証明されていますし、今日の成功に貢献しています。」

「ご存じのように、脅威の状況は絶えず変化しますし、最近では、日本が深刻なオンライン攻撃の脅威に直面していると示唆する報告もあります。私たちは、これらの脅威の対処に役立つ、さらなるアクションをご案内するべく、引き続き日本政府そして民間企業と協力していきます。」

「2014 年はより安全な IT 環境を (提供することを) 目標としています。」

日本は、長年にわたって低いマルウェア感染率の維持を非常にうまく成し遂げています。2013 年の第 2 四半期において、マルウェアの脅威、およびソフトウェアの脆弱性を防ぐことを、より良く対処できた唯一の国です。次週は、話を戻して金メダルを取った世界一クリーンな国を讃える記事を紹介しますのでご確認ください。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)