皆さん、こんにちは ! 今回は、Windows Defender Offline の概要について解説します。あまり馴染みのないソフトウェアであり、使う場面が無い方が望ましいソフトウェアですが、自分のコンピューターがマルウェアに感染した際や友人や家族のコンピューターが感染した際の手助けにも使用できますので、内容を把握し事前準備しておくと良いと思います。ぜひ、ご一読ください。

Windows Defender Offline とは

Windows Defender Offline は、CD/DVD/USB などのメディアから起動を行い、マルウェアやルートキットが存在するかどうかのスキャン、および、除去を行うことが可能なソフトウェアです。Microsoft Security Essentials (MSE) や Windows 8 / Windows 8.1 に搭載されている Windows Defender などの一般的なマルウェア対策ソフトは、Windows などの OS 上で動作しますが、この Windows Defender Offline は、メディアからコンピューターを起動することで、Windows 上からは確認できなくなっているルートキットなどの対処を行うことが可能です。なお、エンジンや定義ファイルは、MSE などのマイクロソフトの他のマルウェア対策ソフトと同等のものが使用されます。

Windows Defender Offline の準備

注意 : Windows Defender Offline のダウンロードやメディアの作成は、マルウェアに感染していないコンピューターで実行してください。これは、マルウェアによっては、メディアの作成が正常に行えない場合があるためです。

1. 空の CD/DVD メディアか、パスワードで保護されていない 250M バイト以上の空き容量がある USB メディアを準備してください。
2. Windows を起動し、32 ビット版 (mssstool32.exe)、もしくは、64 ビット版 (mssstool64.exe) のWindows Defender Offline インストーラーをダウンロードします。どちらのバージョンをダウンロードすべきか判断できない場合は、サポート技術情報 958406「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」を参照してください。
   ※ メディアを作成するコンピューターではなく、スキャンを行うコンピューターのアーキテクチャーで決定します。
3. ダウンロードしたファイルを実行してください。ウィザードに従って進んでいくと、下記画面が表示されます。使用するメディアを挿入後、該当するメディアを選択し、[次へ >] をクリックします。
   
4. 最新のエンジンや定義ファイルを含むファイルがインターネットからダウンロードされ、メディアから起動可能な状態にインストールが行われます。完了画面が表示されたら、[完了] ボタンをクリックします。
   
   
   
   

Windows Defender Offline の起動、および、実行

1. 作成した Windows Defender Offline のメディアを使って、コンピューターを起動します (作成したメディアを挿入して、コンピューターの電源を入れます)。
2. Windows プレインストール環境 (Windows PE) が起動し、Windows Defender Offline が起動されます。
   
3. 自動的に “クイック スキャン” が開始されます。すべてのファイルをスキャンするには、[スキャンを取り消す] をクリックして ”クイック スキャン” を取り消すか、終了後に [フル] を選択して [今すぐスキャン] をクリックし、”フル スキャン” を実行してください。
   

なお、Windows Defender Offline の画面や操作は、MSE や Windows Defender とほぼ同じですので、操作方法については割愛させていただきます。操作についての不明点は、「Windows Defender を使用する」を参照してください。

注意点

• 作成した Windows Defender Offline のメディアは、作成したコンピューターと異なるバージョンの Windows が動作するコンピューターでも使用可能です。ただし、アーキテクチャー (32 ビット / 64 ビット) は合わせる必要があります。
• USB メディアを使用して Windows Defender Offline を作成する場合、フォーマットされてしまうため、既存のファイルは事前にバックアップしてください。
• 今後、エンジンや定義ファイルの更新を可能とするために USB メディアを使用することを推奨します。
• USB メディアで Windows Defender Offline を作成後、日付が経過している場合は、以下のいずれかの方法で、エンジンと定義ファイルの更新を行ってからスキャンを実施してください
  • Windows Defender Offline を起動後、[更新] を行う。
  • Windows Defender Offline インストーラーを起動し、作成済みの USB メディアをコンピューターに挿入後、[パスワードで保護されていない USB フラッシュ ドライブを使用します。] を指定して [次へ >] をクリックします。インストーラーは作成済みのメディアであることを自動で識別し更新が行われます。
• BitLocker を設定している場合は、保護を中断してから再起動し、作成したメディアを使ってスキャンを実行してください。

メディアの作成時にエラーが発生した場合や、メディアの起動が正常に行えない場合は、「Windows Defender Offline: FAQ」に情報がありますので、参照するようお願いいたします。

最後に

マルウェアの感染の疑いがある場合、または、Windows Defender の使用時にルートキットが見つかり除去できないような場合にお試しください。

なお、日々進化するマルウェアからコンピューターを守り、コンピューターをより安全に使用するためにも下記 3 つを必ず実施するようお願いいたします。

• 正規のマルウェア対策ソフトを導入し、最新の定義ファイルに使用してリアルタイム保護を有効にする。
• セキュリティ更新プログラムをインストールし、コンピューターを最新の状態に更新する。
• 不審な Web サイトの閲覧は行わない。不審なメールや添付されたファイルは開かない。

変更履歴:

2014/07/11: Microsoft Interflow の日本語ページ公開に伴い、英語ページへのリンクから日本語ページへのリンクに変更しました。

本記事は、Microsoft Security のブログ “Driving a Collectively Stronger Security Community with Microsoft Interflow” (2014 年 6 月 23 日公開) を翻訳した記事です。

本日、マイクロソフトは、サイバー セキュリティ業界に従事しているアナリスト、および研究者用のセキュリティ、そして脅威に関する情報を交換するプラットフォーム、Microsoft Interflow のプライベート プレビューを発表致します。Interflow は、脅威、およびセキュリティの情報をコンピューターで読み取り可能なフィードを自動で作成し、ほぼリアルタイムに業界およびグループに情報を共有できるようにするために業界規格を利用しています。このプラットフォームはセキュリティ専門家がより早く脅威に対応できるための支援を目的としています。また、以前は手動で実施していたプロセスを自動化することでコスト削減ができます。

マイクロソフトが継続している、サイバー セキュリティ コミュニティとの積極的なコラボレーションは、10 年以上にわたって尽きないアイディア、そしてイノベーションの源になっています。Microsoft Active Protections Program (MAPP) は、セキュリティ ソフトウェアのプロバイダーがソフトウェアの脆弱性情報に早期にアクセスできるようにと、2008 年に開設されました。同様に、コミュニティは Interflow の発想源でもあります。今日、データ交換における問題、例えば、フォーマットの不一致、管理面での問題、そしてデータ相関性の複雑さなどが、インシデント レスポンス業界のより効率的な対応を阻んでいます。FireEye 社のセキュリティ研究者 VP である Zheng Bu 氏は、「サイバー セキュリティ コミュニティが、より生産的な方法で協力し、行動に移していけば利益につながります。マイクロソフトが、このようなプラットフォームに投資し、コミュニティ全体が利益を得られるように展開していくのを目の当たりにするのは心強いです。」と述べています。

より強力に連携したサイバーセキュリティ エコシステムとは、消費者およびビジネスのためのより良い保護を意味します。業界の連携には、教育および金融の分野などで確立された連携など、たくさんの例があります。最近、これと同様に、小売業界でサイバー セキュリティの連携が始まりました (英語情報)。小売業者、およびその他の人々が脅威の指標を共有して直ちに行動を起こすため、サイバー攻撃を阻止できる、あるいは攻撃による損害や攻撃が波及するのを最小限に留めることができます。Interflow は、コミュニティが国際的な Computer Emergency Response Teams (CERTs) によって形成されているか、あるいは業界が形成しているかに関わらず、この種のコミュニティ、そしてピア ベースの共有を実現化します。

Interflow を利用して、セキュリティ、および脅威の情報を共有するのが、正確には何を意味するのか、疑問に思う人がいるかもしれません。その答えは非常にシンプルです。Interflow とは、ユーザーが何のコミュニティを形成するのか、何のデータ フィードを自身のコミュニティに持ってくるのか、そしてそれらデータ フィードを誰と共有するのかを決定する、配信されたシステムです。さらに、公開されている規格、STIX™ (Structured Threat Information eXpression) (英語情報)、TAXII™ (Trusted Automated eXchange of Indicator Information) (英語情報)、そして CybOX™ (Cyber Observable eXpression standards) (英語情報)は、プラグイン構造を介して、Interflow が既存の運営、および分析ツールと統合できるのです。つまり、サイバー セキュリティにかかる費用を上げる、独占所有権のあるデータ フォーマット、アプライアンス、または定期購読に対して縛りがないのです。

レスポンス コミュニティでオペレーションを行っている多くの人々にとって、脅威データが急激に増加している中で、防御にかかる費用を削減、そして管理していくのは極めて重要な課題です。Microsoft Azure パブリック クラウド上で起動している Interflow は、クラウド コンピューティングの主要な基盤である、迅速なスケールアウトが可能で、セキュリティ インフラストラクチャにかかる費用を削減できます。Interflow が、セキュリティ、および脅威のデータのインプット、および流し込みを自動化するため、組織は、手動のデータ編集に時間を割かずに、カスタマイズされた監視リストを介して分析、および行動に移すことに優先順位付けができます。

Interflow の早期のユーザーとして、マイクロソフトのさまざまなネットワーク セキュリティ チームはこれらの利益の恩恵を受けました。マイクロソフトは、プライベート プレビューの期間中に、Interflow コミュニティで、自社製品、およびサービスを保護するために利用したセキュリティ、および脅威のデータを共有しようと計画しています。専任のセキュリティ インシデント レスポンス チームを抱える組織、および企業は、自社のテクニカル アカウント マネージャー、あるいは電子メールで、mappbeta@microsoft.com (英語のみ) にプライベート プレビューについてお問い合わせいただけます。マイクロソフトは、将来的には MAPP メンバー全員が Interflow を利用可能にする計画を立てています。

初めに、Interflow の発想源となったのがサイバー セキュリティ コミュニティだったと述べました。マイクロソフトは、今後のロードマップをコミュニティと連携して作成していくのを心待ちにしています。本日の発表は、ボストン、マサチューセッツで開催される第 26 回 FIRST Conference (英語情報) に合わせたものです。会議の参加者は、マイクロソフト ブース #8 に立ち寄れば、デモ版を見学し、Interflow のプライベート プレビュー版への参加を検討いただけます。

最後になりますが、よく寄せられる質問に対する回答はこちら (英語情報) を参照してください。また、Interflow がどのようにして、より強力に連携したサイバーセキュリティ コミュニティを実現可能にしているかについては、http://technet.microsoft.com/ja-jp/security/dn750892 でご確認ください。

Microsoft Security Response Center (MSRC)

リード シニア セキュリティ ストラテジスト

ジェリー・ブライアント

本記事は、Trustworthy Computing のブログ“Improve the reliability of your service with resilience modeling & analysis” (2013 年 5 月 31 日公開) を翻訳した記事です。

以前 (英語)、クラウドの複雑さについて書きました。そこでは、不具合が発生する場合の概念、および実際に不具合が発生した場合にお客様への影響を最小限にする事前計画の重要性などが記載されています。マイクロソフトは本日、ホワイトペーパー「クラウド サービスのための設計による回復性」を新たにリリースしました。これには、回復性のモデル化の方法と詳細なガイダンス、クラウド サービス チームが使用するテンプレートの例が記載されています。実装を容易にし、整合性をとることを目的にしています。

このホワイトペーパーは、回復性のモデル化と分析 (RMA) について記載しています。故障モード影響解析 (FMEA) という業界標準技術を基にしていますが、障害の検出、軽減、復旧時の作業により重点を置くように変更しました。これらはすべてクラウド サービスの復旧時間 (TTR) 短縮の重要な要素だからです。

RMA のプロセスには次の 4 つの主要フェーズがあります。

1. 前作業 このプロセスで最も重要なフェーズで、このフェーズ中に作成した成果物の質によって、最終的なアウトプットの質が大きく変わるということを認識しておくことが重要です。このフェーズでは 2 つの作業を行います。まず、チームはサービスの全体的な論理図 (概略図) を作成し、すべてのコンポーネント、データソース、データフローを視覚的に表現します。次に、作成した論理図を使い、障害の発生する可能性の高いコンポーネントをすべて特定します (障害ポイント)。これらのコンポーネント間の相互作用 (関連) と、エコシステムでの各コンポーネントの動作を把握します。

2. 検出 このステップでは、コンポーネントごとの潜在的な障害モードすべてを確認します。たとえば、サービスの基になるインフラストラクチャ要素と、その要素間のさまざまな依存関係などです。システムで障害が発生する可能性のある箇所 (ポイント) と、障害の状況 (モード) の把握が目的です。障害カテゴリチェックリストを用意してあるので、作業の際に利用してください。

3. 評価 このフェーズでは、検出フェーズで識別した障害で生じる可能性のある影響を分析、記録します。RMA ワークブックはドロップダウンで選択できるようになっており、特定の障害の影響と可能性を指定しやすくなっています。列には、障害の影響、障害で影響を受けるユーザー、障害の検出に要する時間、障害からの復旧時間、障害が発生する可能性などがあります。このフェーズでは、すべての障害タイプごとに算出したリスク値のリストを作成し、そのリスク値に基づいて、技術的な投資の優先順位付けができます。

4. 実施 最後のフェーズでは、RMA ワークシートで把握した項目に対してアクションを実行し、サービスの信頼性向上のために必要な投資を行います。評価フェーズで確認した障害ランクにより、影響が非常に大きい箇所の改善に重点を置くことができます。

大規模なクラウドサービスを設計および展開する予定がある場合、このホワイトペーパーをダウンロードし、回復性のモデル化と分析 (RMA) の詳細に目を通し、このプロセスの実装がオンラインサービスの信頼性の向上に役立つかをご検討ください。

デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト

[2014/6/18 14:50 追記]
セキュリティ アドバイザリ 2974294 の日本語ページを公開しました。

本日マイクロソフトは、セキュリティ アドバイザリ 2974294「Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる」を公開しました。

※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

このアドバイザリでは、Microsoft Antimalware 製品で使用される Microsoft Malware Protection Engine において確認された脆弱性の説明、および、脆弱性に対処するための更新プログラムに関する情報を提供しています。影響を受けるバージョンの Microsoft Malware Protection Engine が含まれるソフトウェアは、下記を参照してください。なお、特別な細工がされたファイルをスキャンした場合に、サービス拒否が起こる可能性があります。この脆弱性が悪用された場合、特別な細工がされたファイルを取り除き、サービスを再起動するまでの間、マルウェアからの保護が行われないため注意が必要です。

通常のエンジンと定義ファイルの配布プロセスで、脆弱性の対処が行われたバージョンのエンジンが配布されるため、一般向け製品には、既定の機能により、48 時間以内に自動で更新が行われます。よって、追加で必要な作業はありません。ただし、企業向け製品では、エンジンと定義ファイルの配布が組織内でコントロールされている場合がありますので、その際は、IT 管理者による展開が必要となります。

■ 影響を受けるソフトウェア

Microsoft Forefront Client Security

Microsoft Forefront Endpoint Protection 2010

Microsoft Forefront Security for SharePoint Service Pack 3

Microsoft System Center 2012 Endpoint Protection

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Microsoft 悪意のあるソフトウェアの削除ツール [1]

Microsoft Security Essentials

Microsoft Security Essentials Prerelease

Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2

Windows Defender for Windows RT and Windows RT 8.1

Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2

Windows Defender Offline

Windows Intune Endpoint Protection

[1] 2014 年 5 月以前の Microsoft 悪意のあるソフトウェアの削除ツールのみが影響を受けます。

本記事は、Security Research & Defense のブログ “Assessing risk for the June 2014 security updates” (2014 年 6 月 10 日公開) を翻訳した記事です。

本日、66 件の個別の CVE を解決する 7 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 5 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

ジョナサン・ネス、MSRC エンジニアリング