こんにちは、村木ゆりかです。

これまで何度か取り上げてきました信頼できる証明書や公開鍵基盤 (PKI) について、今回は、さらなる信頼できる環境を実現するために Internet Explorer 11 (以下、IE 11) から実装している SmartScreen の証明書評価についてご紹介します。

■ 「信頼できる証明機関」だけではもう古い

多くのウェブサイトは、自身の身分を証明し、安全な暗号化通信を行うために、証明書を利用しています。これまでは、証明書を発行した「証明機関が信頼できる」かどうかが、証明書の信頼性を評価する大きな指標でした。

信頼できる証明機関は、厳しい監査の元に適正な運用を行っており、発行される証明書は非常に信頼の高いものです。

しかしながら、最近は、証明機関やウェブサイトがサイバー攻撃を受け侵害されたり、弱いアルゴリズムを利用している証明書が狙われたりするなど、証明書自体を取り巻く脅威が増加しています。このため、信頼している証明機関が発行した証明書であっても、その証明書自体が現在不正に利用されていないか、個別に確認を行う必要性が増してきています。このため、「証明機関が信頼できるか」という確認に加え、「証明書も問題ないか」を確認することが、非常に重要な指標となっています。

■ 証明書の信頼は取り消される場合がある

証明機関は、証明書を発行する際、対象のウェブサイトが詐欺に利用するサイトではないか、などの審査を行って発行しています。しかしながら、発行した後、ウェブサイトの証明書 (鍵) が窃盗にあったり、不正な行為を働いていたりする場合など、証明書の利用を取りやめなくてはいけない場合があります。ちょうど、現実世界でも、運転免許証を発行された後、重大な違反があると運転免許証が利用停止になってしまうようなものです。

通常、証明機関は、このように発行した証明書の信頼性が危ぶまれている場合、証明書の信頼を取りやめる措置 (失効) を取ります。マイクロソフトでも、ルート証明書プログラムや、信頼できない証明書のリストの配布などの取り組みを行っています。信頼できない、失効された証明書が利用された場合は警告が表示されたり、利用ができなくなったりします。

しかしながら、時には、証明機関やマイクロソフトが行っている失効のしくみを利用できないユーザー環境や、昨今、急速に拡大する不正に利用された証明書やによる被害も発生しています。このような脅威や環境に迅速に対応するために、これまでの証明機関やマイクロソフトの取り組みに加え、追加で、証明書の最新の信頼性を評価するしくみの必要性が増しています。

■ SmartScreen 証明書評価による多層的な保護

このような急速に広がる脅威に対して、より迅速に対応し、信頼できる証明書環境を実現するために、Internet Explorer 11 SmartScreen では、閲覧しているウェブサイトで利用されている SSL 証明書についても信頼性の評価を行うしくみを取り入れました。

SmartScreen とは、Internet Explorer の機能で、既定で有効で、個人情報を盗もうとするフィッシング詐欺サイトや、悪意のあるソフトウェアのダウンロードを防止するセキュリティ機能です。閲覧しているウェブサイトや、ダウンロードしているプログラムの危険性を、マイクロソフトが収集しているデータを基に評価します。もし、危険と判断される場合は、警告を表示します。

SmartScreenの証明書評価は、これまでの、証明機関やマイクロソフトが実施している失効のしくみに加え、ウェブサイトを閲覧しているときに利用しているブラウザー上で、さらに追加で、証明書の信頼性を確認するしくみを入れることで、より多層防御となり、不正な証明書による被害を未然に防ぐことを目的としています。

広範囲に広がりを見せている中間者攻撃 (Man-In-The middle 攻撃) からの保護を主な目的としています。今後、少人数を対象とした攻撃や、そのほかの攻撃からの保護へとも拡張していくことを検討しています。

図: 証明書評価のしくみ

■ シナリオ例

SmartScreen の証明書評価で利用される信頼性の判断基準は、マイクロソフトが収集している脅威の分析に基づいて、行われています。「昨今広まっている攻撃に利用されている証明書に類似している」などの分析も反映させており、怪しいと思われる証明書に対しては、警告を表示することで、ユーザーの皆さんが被害に遭うことを未然に防ぐことを目的としています。たとえば、以下のようなシナリオがあります。

• ウェブサイトが利用している証明書に設定されている属性が、下位の証明機関として利用できるような属性が設定されており、通例はサーバー証明書として利用しないものである。

• 中間者攻撃 (Man-In-The middle 攻撃) によくみられる傾向に類似している証明書である。たとえば、ウェブサイトが、突然、これまでに提示していたサーバー証明書とは異なる新たな証明書を提示していて、また、新たな証明書は特定の地域のみで利用されておりこれまでとは異なる証明機関から発行されているなど。

• ウェブサイトが利用している証明書に設定されている属性が、これまで証明機関が発行時に通常は設定していない属性が含まれている。たとえば、異なる OCSP レスポンダー箇所など。これらは、証明機関が不正に侵害されている可能性などが挙げられます。

■ 信頼できる PKI 環境のために

PKI や証明書は、これまで、信頼の基盤として、大きな安心を提供してきました。ゆえに、攻撃者にも狙われており、信頼基盤に対する脅威はこれからも出現するでしょう。しかし同時に、こうした脅威からの保護策も、さらに改善し、進化し続けます。今回紹介した SmartScreen 証明書評価のしくみも、さらに改善を継続していきますし、Public Key Pinning, Perspectives や Convergence, Certificate Transparency (CT) など、業界で実現化へ向けて進められている対策や、一歩先を行くための保護策は多く検討されています。こうした新機能は新製品へ次々と反映されていきます。ぜひ、IE 11 を試してみてください。

--------------------------------------------------------------------------

■ 補足: SmartScreen にて送信される情報について

プライバシーはマイクロソフトが提唱する信頼できるコンピューティングの重要な要素です。マイクロソフトは悪意のあるウェブサイトからユーザーのみなさんの保護を行うと同時に、プライバシーも尊重しています。SmartScreen を利用している際にマイクロソフトに送信されている情報は、HTTPS により暗号化されており、データは、IP アドレスや個人を特定する情報は含まれていません。詳細は、「プライバシーに関する声明」を参照してください。

■ 関連情報

マイクロソフト セーフティとセキュリティ センター「SmartScreen フィルターとは? 」

Windows PKI Blog「A novel method in IE 11 for dealing with fraudulent digital certificates」 (英語情報)

本記事は、Trustworthy Computing のブログ “Enabling trust in the cloud” (2013 年 12 月 2 日公開) を翻訳した記事です。

Trustworthy Computing (信頼できるコンピューティング) 部門統括マネージャー、Adrienne Hall (エイドリアン・ホール)

提供される巨大な保存力とメリットに引かれて、クラウド コンピューティングの採用を考慮する企業が増えています。しかし、本当にその準備ができているでしょうか。そして、その機会を活用できるのでしょうか。

この疑問は、12 月 4 日にフロリダ州オーランドで開催されるクラウド セキュリティ アライアンス (CSA) の 2013 年度会議で発表する、クラウドの信頼を築くことに関するプレゼンテーションの準備をしながらずっと気になっていたことです。

クラウド コンピューティングが企業にとって大きな価値があることは明らかです。マイクロソフトの依頼で 2013 年 6 月に comScore が実施した調査によると、中小企業 (SMB) の大部分が、クラウド サービスの採用後にセキュリティのメリット (94%)、プライバシー保護の強化 (62%)、サービス可用性の向上 (75%) を経験しています。

自分たちはこのようなメリットに対する準備がちゃんとできているとお考えになるかもしれません。しかし、今後あなたの企業にクラウドを構築するという選択肢を検討する際は、移行の準備ができているかどうかを判断することが重要です。マイクロソフトの Trustworthy Computing 部門から 2012 年 10 月にリリースされた Cloud Security Readiness Tool (CSRT) はまさにこのためのツールです。

CSRT を使用すると、企業は現在の IT の状況を簡単に理解して改善することができます。このツールは、クラウド サービス プロバイダーがどのようにリスクを軽減できるか、関連業界の規制に伴う懸案事項にどのように対処するか、についてのガイダンスも提供します。

CSRT は CSA の Cloud Controls Matrix (CCM) に基づいています。これは参加者に 27 の質問をし、その回答から、IT 部門の現状がどの成熟度に当てはまるかをランク付けして詳細にレポートするものです。その段階は、1) 開始したばかり、2) 進行中、3) もう少しで完了、4) 整備完了の 4 つです。これによって、CSRT は回答者の IT の準備態勢が進むような特別の推奨を提供して、クラウド サービスを採用した場合の利点を示すことができます。

CSRT のデータから、多くの企業が IT 環境のクラウドへの移行に向けてもっと準備すべきであることがわかります。下のグラフに示すように、回答者の多くがクラウドの準備がまだできていないとレポートされています。
  

CSA は同じ CCM 基準を使用して、さまざまなクラウド コンピューティング製品によるセキュリティ コントロールについて文書化しています。その結果は、Security, Trust and Assurance Registry で公開されています。これは、企業がクラウド プロバイダーを選択するための優れたリソースです。 

マイクロソフトは、STAR などの CSA プログラムに積極的に参加しています。Microsoft Dynamics CRM Online、Microsoft Office 365、Microsoft Windows Azure の STAR エントリーについては、CSA サイトでご覧いただけます。

本記事は、Security Research & Defense のブログ “Assessing risk for the May 2014 security updates” (2014 年 5 月 13 日公開) を翻訳した記事です。

本日、13 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 6 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

セキュリティ情報	最も起こりうる攻撃	セキュリティ情報最大深刻度	最大悪用可能性指標	公開 30 日以内の影響	プラットフォーム緩和策、および特記事項
MS14-029 (Internet Explorer)	被害者が悪意のある Web ページを閲覧する。	緊急	1	CVE-2014-1815 を利用する悪用が引き続き発生する可能性があります。	この更新プログラムには、5 月 1 日の定例外セキュリティ情報 MS14-021 で解決された CVE-2014-1776 用の修正が含まれています。ですが、MS14-029 は累積的な更新プログラムではありません。この更新プログラムを適用する前に、まず初めに、最新の Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールしてください。
MS14-024 (コモン コントロール - MSCOMCTL)	被害者が悪意のある RTF ドキュメント を開く。	重要	なし	セキュリティ機能のバイパスのみです。コード実行による悪用が直接行われる可能性は低いです。	この脆弱性は、現場で悪用されている以下の CVE について ASLR のバイパスとして利用されています: CVE-2012-0158 CVE-2012-1856 CVE-2013-3906 CVE-2014-1761 この更新プログラムをインストールすると、今後起こりうる、あらゆる悪用で、このコントロールが ASLR のバイパスとして利用されるのを防ぎます。
MS14-025 (グループ ポリシー 基本設定)	既にドメイン参加のワークステーションに侵入した攻撃者が、そのアクセスを、グループ ポリシー基本設定をクエリするために利用し、難読化されたドメイン アカウントの資格情報を発見する可能性がある。	重要	1	攻撃者が、エンタープライズ ネットワーク中を縦横無尽に移動するために、この侵入後の悪用 (post-exploitation) 手法として悪用されることが発生する可能性があります。	セキュリティ更新プログラムにより、今後この機能が利用されるのを阻止できますが、管理者が以前に保存してまだ利用可能なパスワードを削除するのが必須です。この問題および悪用を阻止する方法については、SRD blog 投稿 (英語情報) で詳細に説明しています。
MS14-027 (Shell)	既に低い特権のユーザーとしてマシン上でコードを実行している攻撃者が、特権の低いプロセスを昇格するために、ShellExecute 関数を利用して、昇格された/高い特権のプロセスを巧みに利用する。	重要	1	限られた数のコモディティ (一般に流通しているという意味) マルウェア サンプルで利用されていると分かりました。低い特権から高い特権に昇格するために、この脆弱性を利用しようと試みるマルウェアが引き続き発生する可能性があります。	以下のマルウェア ファミリに見られるように、それぞれが既にマイクロソフトのマルウェア対策製品で阻止されています: Backdoor:Win32/Koceg Backdoor:Win32/Optixpro.T Backdoor:Win32/Small Backdoor:Win32/Xtrat PWS:Win32/Zbot Rogue:Win32/Elepater Rogue:Win32/FakeRean Trojan:Win32/Dynamer!dtc Trojan:Win32/Malagent Trojan:Win32/Malex.gen Trojan:Win32/Meredrop Trojan:Win32/Otran Trojan:Win32/Rimod Trojan:Win32/Sisron TrojanDropper:Win32/Sirefef TrojanSpy:Win32/Juzkapy VirTool:MSIL/Injector VirTool:Win32/Obfuscator Virus:Win32/Neshta Worm:Win32/Autorun Worm:Win32/Fasong Worm:Win32/Ludbaruma Worm:Win32/Rahiwi
MS14-022 (SharePoint)	SharePoint サーバーに任意のコンテンツをアップロード可能な攻撃者が、SharePoint サービス アカウントの権限でコードを実行する可能性がある。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	攻撃者は、脆弱性を引き起こすためには、 SharePoint サーバーにコンテンツをアップロードする権限を与えられていなければなりません。悪用に利用できる特質ではありますが、この種の脆弱性が蔓延した例���通常ありません。
MS14-023 (Office)	攻撃者は、被害者をマイクロソフト オンライン サービスに認証するよう誘導し、攻撃者には認証トークンを取得、または再使用する。	重要	1	30 日以内に悪用コードが作成される可能性があります。	この更新プログラムは、トークン再使用の脆弱性だけではなく、中国語の文法チェッカー DLL を含む DLL プリロードの問題も解決します。マイクロソフトは、最近、この種類の攻撃からアプリケーションを保護する最適な方法について網羅しているドキュメントを作成し、投稿しました。ガイダンスは blog 投稿 (英語情報) を参照してください。
MS14-026 (.NET Framework)	.NET Remotingを利用して開発されたカスタム アプリケーションは、特別に細工されたデータへの応答として攻撃コード実行のアクセスを与える可能性がある。	重要	1	30 日以内に悪用コードが作成される可能性があります。	.NET Remotingはあまり使われておらず、.NET Framework version 2 により開発されたアプリケーションが主です。
MS14-028 (iSCSI)	iSCSI エンドポイントに到達可能な攻撃者が、Windows ホスト上で恒久的なリソースの消耗をもたらす、サービス拒否の攻撃を起こす可能性がある。	重要	3	サービス拒否のみです。直接コードが実行される可能性はありません。

ジョナサン・ネス、MSRC エンジニアリング チーム

皆さん、こんにちは！
先ほど 5 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

本日  5 月 14 日に公開した新規 8 件 (緊急 2 件、重要 6 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。

2014/5/14 13:00 記載:  セキュリティ情報 MS14-029 内のダウンロードリンクからセキュリティ更新プログラムをダウンロードされるお客様へ。一部ダウンロードリンクにエラーが発生していましたが、現在は復旧しています。なお、言語依存のない Vista 以降の一部のセキュリティ更新プログラムは、ダウンロードリンクをクリックすると、英語のダウンロードセンターページが表示される場合があります。言語依存はありませんので、日本語環境でも適用していただけます。

--------------------------------------------------------------

2014 年 5 月 14 日 (日本時間)、マイクロソフトは計 8 件 (緊急 2 件、重要 6 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 3 件の公開、および、既存のセキュリティ アドバイザリ 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。

お客様は、できるだけ早期に今月公開のセキュリティ更新プログラムをインストールするようお願いします。企業のお客様でインストールに優先付けが必要な場合は、MS14-024 (Microsoft コモン コントロール)、MS14-025 (グループ ポリシー基本設定)、および、MS14-029 (Internet Explorer) のセキュリティ更新プログラムを優先的にインストールすることを推奨いたします。

■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点

• MS14-025 (グループ ポリシー基本設定) のセキュリティ更新プログラムは、自動更新を含め、Windows Update / Microsoft Update からは配信されません。これは、更新プログラムが、グループ ポリシーの設定の機能の一部を削除するため、事前の検証や追加の作業の必要性についてご確認いただく必要があるためです。なお、Windows クライアントでは、リモート サーバー管理ツールをインストールしている場合に、Windows サーバー システムでは、グループ ポリシー管理を構成している場合にのみ脆弱性の影響を受けます。影響を受けるコンピューターでは、Microsoft ダウンロード センター、または、Microsoft Update カタログからセキュリティ更新プログラムを入手しインストールしてください。

• MS14-029 (Internet Explorer) は、Internet Explorer の過去の脆弱性の対処をすべて含む累積的なセキュリティ更新プログラムではありません。MS14-029 の脆弱性の対処と、MS14-021 の脆弱性の対処のみを含みます。そのため、MS14-029 のセキュリティ更新プログラムをインストールする前に、最新の累積的なセキュリティ更新プログラムをインストールする必要がありますので、手動でインストールを行う場合は注意してください。（5月 14 日 12:30 追記： インストールの順番は特に重要ではありません）詳細は、セキュリティ情報 MS14-029の [更新プログラムに関する FAQ] を参照してください。

■ 新規のセキュリティ アドバイザリの公開 (3 件)

• セキュリティ アドバイザリ 2962824「失効した非準拠の UEFI モジュールの更新プログラムのロールアップ」
  UEFI (Unified Extensible Firmware Interface) セキュア ブート時に読み込まれる可能性がある、4 つの非公開のサードパーティ製 UEFI モジュールのデジタル署名を失効させる更新プログラムを公開しました。

• セキュリティ アドバイザリ 2871997「資格情報の保護と管理を改善する更新プログラム」
  Windows 7、Windows Server 2008 R2、Windows 8、Windows RT、および、Windows Server 2012 用の資格情報の保護とドメイン認証の制御を改善して資格情報の盗用を低減する更新プログラムを公開しました。

• セキュリティ アドバイザリ 2960358「.NET TLS で RC4 を無効化するための更新プログラム」トランスポート層セキュリティ (TLS) で RC4 を無効にする Microsoft .NET Framework の更新プログラムを公開しました。

■ 既存のセキュ��ティ アドバイザリの更新 (1 件)

• セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
  Adobe セキュリティ速報 APSB14-14 で説明している脆弱性を解決する更新プログラム 2957151 を公開しました。

■2014 年 5 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-May

マイクロソフトは新たに確認した脆弱性について、次の 8 件の新しいセキュリティ情報を公開しました。

■最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。