2014 年マイクロソフトのセキュリティ情報まとめ

Posted 12 days ago

by

牧田進矢

皆さん、こんにちは！今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。

概要
2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。

85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085)
341 件の一意の脆弱性 (CVE) を対処
定例外のリリースとして以下の 2 つを公開
- 5 月に MS14-021 (Internet Explorer)
- 11 月に MS14-068 (Kerberos)

月別の傾向
セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。

2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は 7 件だったことから、標的型攻撃での未知の脆弱性の悪用が、年々増えているように感じます。

図 1: 2014 年の月別セキュリティ情報公開数

製品の傾向
次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2014 年は、過去と比較しても各製品タイプでセキュリティ情報が減りました。そして、2012 年以降、Windows の全体に占める割合が、半数を割っていることが確認できますが、その他大きな特徴は見られませんでした。

図 2: 製品タイプ別影響を受けるソフトウェア傾向

脆弱性の傾向
最後に、脆弱性の傾向を見てみましょう。まず、製品別の脆弱性の対処数の割合 (図 3) ですが、Internet Explorer の脆弱性対処の割合が 71% を占めていました。昨年も Internet Explorer の割合が一番多かったのですが、それでも 36% でしたので、今年は、Internet Explorer の脆弱性が目立った年といえます。これは、昨今の攻撃が、ブラウーー経由で行われることが多いことから、ブラウザーの脆弱性が注目されているためと考えられます。

図 3: 製品別脆弱性対処数の割合

そして、対処された脆弱性の影響 (図 4) を見ると、約 75% が「リモートでコードが実行される」脆弱性でした。なお、「セキュリティ機能のバイパス」の脆弱性は、16 件と全体の割合からすると約 5 % と少ないですが、2013 年は 4 件、2012 年は 3 件でしたので、増加傾向にあります。これは、Windows XP のサポートが終了し、Windows Vista 以降を利用するユーザーが増えていること、そして、Windows Vista 以降を攻撃するには、セキュリティ機能である “アドレス空間レイアウトのランダム化” (ASLR) をバイパスすることが有効な攻撃手段であることから、注目されているためと考えられます。

図 4: 対処された脆弱性の影響

以上、数値を中心とした簡単な傾向のご紹介でした。

コンピューターのセキュリティ対策の基本の一つである「セキュリティ更新プログラムのインストール」はとても重要です。これから年末年始の休暇もありますので、自動更新などのセキュリティ設定の見直しや、すべてのソフトウェア (マイクロソフト製品以外も含む) を最新の状態にするために「セキュリティ更新プログラムのインストール」を行うなど、家の大掃除と一緒にコンピューターの大掃除 (メインテナンス) も併せて行ってくださいね。

2014 年 12 月のマイクロソフトワンポイントセキュリティ～ビデオで簡単に解説～

Posted 20 days ago

by

YURIKAM

皆さん、こんにちは！
先ほど 12 月のマイクロソフトワンポイントセキュリティ情報を公開しました。

本日 12 月 10 日に公開した新規 7 件 (緊急 3 件、重要 4 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフトワンポイントセキュリティ情報」からご視聴ください。

2014 年 12 月のセキュリティ情報 (月例) - MS14-075、MS14-080 ～ MS14-085

Posted 21 days ago

by

JSECTEAM

2014 年 12 月 10 日 (日本時間)、マイクロソフトは計 7 件 (緊急 3 件、重要 4 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティアドバイザリ 2 件の更新、および、既存のセキュリティ情報 2 件の更新を行いました。

お客様は、できるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、緊急の次のセキュリティ情報 MS14-080 (Internet Explorer)、およ��、MS14-081 (Word および Office Web Apps) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。

■ セキュリティ情報・セキュリティアドバイザリに関する主な注意点

MS14-075 (Exchange): 11 月に公開を見合わせた Exchange Server のセキュリティ情報 (セキュリティ情報 12) を MS14-075 として公開しました。
MS14-084 (VBScript): Internet Explorer がインストールされていないか、Internet Explorer 8 以前がインストールされているコンピューターは、CVE-2014-6363 (VBScript のメモリ破損の脆弱性) の対処のため MS14-084 のセキュリティ更新プログラムのインストールが必要です。なお、Internet Explorer 9 以降がインストールされているコンピューターは、同脆弱性の対処を MS14-080 (Internet Explorer) のセキュリティ更新プログラムで行っています。自動更新が有効の場合は、自動的に必要なセキュリティ更新プログラムが判断されインストールが行われます。
セキュリティアドバイザリ 3009008 (SSL) / MS14-080 (Internet Explorer): セキュリティアドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォールバックが発生した際に、警告が表示されるよう機能追加が行われています。この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。なお、この機能は、Internet Explorer11 で、保護モードサイト（既定ではインターネットサイトと制限されたサイト）を対象として、2015年2月10日（米国時間）に有効化する予定です。詳細は、IE Blog （英語情報）をご参照ください。
MS14-081(Word および Office Web Apps): Mac 用のセキュリティ更新プログラム、および、Office Web Apps 2013 用のセキュリティ更新プログラムは、Microsoft Update 経由では配布されません。

■ 既存のセキュリティアドバイザリの更新 (2 件)

セキュリティアドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
この更新プログラムは、Adobe セキュリティ速報 APSB14-27 で説明されている脆弱性を解決します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 3008925 を参照してください。
セキュリティアドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」
Internet Explorer 11 で SSL 3.0 へのフォールバックが発生した際に、警告が表示されるよう機能追加が行われたことを追記しました。既定の設定では、この機能は無効に設定されています。

■ 既存のセキュリティ情報の更新 (2 件)

MS14-065「Internet Explorer 用の累積的なセキュリティ更新プログラム (3003057)」
CVE-2014-6353 に包括的に対処するために MS14-065 を再リリースしました。Windows 7 または Windows Server 2008 上で Internet Explorer 8 を実行しているか、Internet Explorer 10 を実行しているコンピューターは、新たに提供された更新プログラムをインストールするか、MS14-080 をインストールしてください。
MS14-066「Schannel の脆弱性によりリモートでコードが実行される (2992611)」
Windows Vista、および、Windows Server 2008 を実行するコンピューターのために、更新プログラム 2992611 を再リリースしました。12 月 10 日よりも前に更新プログラム 2992611 をインストールした Windows Vista および Windows Server 2008 を実行しているコンピューターは、新たに提供された更新プログラムをインストールしてください。

■ 2014 年 12 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-Dec

マイクロソフトは新たに確認した脆弱性について、次の 7 件の新しいセキュリティ情報を公開しました。

セキュリティ情報 ID	セキュリティ情報タイトル	最大深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア
MS14-075	Microsoft Exchange Server の脆弱性により、特権が昇格される (3009712)	重要	特権の昇格	再起動が必要な場合あり	Microsoft Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013
MS14-080	Internet Explorer 用の累積的なセキュリティ更新プログラム (3008923)	緊急	リモートでコードが実行される	要再起動	サポートされているすべてのエディションの Microsoft Windows 上の Internet Explorer
MS14-081	Microsoft Word および Microsoft Office Web Apps の脆弱性により、リモートでコードが実行される (3017301)	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Word 2007、Word 2010、Word 2013、Word 2013 RT、Office 2010、Office for Mac 2011、Word Viewer、Office 互換機能パック、Word Automation Services、Web Applications 2010、および Office Web Apps Server 2013
MS14-082	Microsoft Office の脆弱性により、リモートでコードが実行される (3017349)	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office 2007、Office 2010、Office 2013、および Office 2013 RT
MS14-083	Microsoft Excel の脆弱性により、リモートでコードが実行される (3017347)	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Excel 2007、Excel 2010、Excel 2013、Excel 2013 RT、および Office 互換機能パック
MS14-084	VBScript スクリプトエンジンの脆弱性により、リモートでコードが実行される (3016711)	緊急	リモートでコードが実行される	再起動が必要な場合あり	Windows Server 2003、Windows Vista、 Windows Server 2008、Windows 7、および Windows Server 2008 R2 上の VBScript 5.6、VBScript 5.7、および VBScript 5.8
MS14-085	Microsoft Graphics コンポーネントの脆弱性により、情報漏えいが起こる (3013126)	重要	情報漏えい	再起動が必要な場合あり	すべてのサポートされているエディションの Microsoft Windows

■ 最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフトセキュリティレスポンスチームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフトワンポイントセキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

2014 年 12 月 10 日のセキュリティリリース予定 (月例)

Posted 25 days ago

by

JSECTEAM

2014 年 12 月の月例セキュリティリリースの事前通知を公開しました。
2014 年 12 月 10 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 3 件、重要 4 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の「今月のマイクロソフトワンポイントセキュリティ」も同日午後に公開する予定です。

公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。
https://technet.microsoft.com/ja-jp/library/security/bulletin/ms14-dec

セキュリティ情報 ID	総合的な深刻度	脆弱性の影響	再起動の必要性	影響を受けるソフトウェア*
セキュリティ情報 1	重要	特権の昇格	再起動が必要な場合あり	Microsoft Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013
セキュリティ情報 2	緊急	リモートでコードが実行される	要再起動	サポートされているすべてのリリースの Microsoft Windows 上の Internet Explorer
セキュリティ情報 3	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Word 2007、Word 2010、Word 2013、Office for Mac 2011、 Office 2010、Word Viewer、Office 互換機能パック、Word Automation Services、Web Applications 2010、および Office Web Apps Server 2013
セキュリティ情報 4	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Office 2007、Office 2010、Office 2013、および Office 2013 RT.
セキュリティ情報 5	重要	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Excel 2007、Excel 2010、 Excel 2013、Excel 2013 RT、およびOffice 互換機能パック
セキュリティ情報 6	緊急	リモートでコードが実行される	再起動が必要な場合あり	Microsoft Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2
セキュリティ情報 7	重要	情報漏えい	再起動が必要な場合あり	サポートされているすべてのエディションの Microsoft Windows
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。

2014 年マイクロソフトのセキュリティ情報まとめ

2014 年 12 月のマイクロソフト ワンポイント セキュリティ ～ビデオで簡単に解説 ～

2014 年 12 月のセキュリティ情報 (月例) - MS14-075、MS14-080 ～ MS14-085

2014 年 12 月 10 日のセキュリティ リリース予定 (月例)

2014 年 12 月のマイクロソフトワンポイントセキュリティ～ビデオで簡単に解説～

2014 年 12 月 10 日のセキュリティリリース予定 (月例)