Year: 2011

2011 年 12 月 14 日のセキュリティ リリース予定 (月例)

2011 年 12 月 14 日に予定している月例のセキュリティ リリースについてのお知らせです。 来週水曜日に公開を予定している新規月例セキュリティ情報は、合計 14 件 (緊急 3 件、重要 11 件) です。 今月のセキュリティ リリースでは、次のセキュリティ アドバイザリの問題に対応する予定です。 マイクロソフト セキュリティ アドバイザリ 2639658: TrueType Font 解析の脆弱性により、特権が昇格される マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。 公開予定の詳細は、以下の事前通知のサイトをご覧ください。 http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec セキュリティ情報 ID 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア* セキュリティ情報 1 緊急 リモートでコードが実行される 要再起動 Microsoft Windows セキュリティ情報 2 …

2011 年 12 月 14 日のセキュリティ リリース予定 (月例) Read More »

News from MAPP, and Advance Notification Service for the December 2011 Bulletin Release

Hello all. Before we look at next week’s bulletin release, we’d like to point out an update to our Microsoft Active Protections Program (MAPP) that should provide customers with greater transparency as to how MAPP partners use the information we share with them when we release security advisories. As you know, we work closely with …

News from MAPP, and Advance Notification Service for the December 2011 Bulletin Release Read More »

セキュリティ対策自己診断  あなたのスコアは?

2011 年 10 月、Microsoft Computing Safety Index (MCSI)  という、オンライン セーフティの自己診断ツールが公開されました。 これは、Microsoft  の Trustworthy Computing  (TwC)  グループが開発したもので、ユーザーが自身のPCの設定やオンライン上の行動に関する質問に回答することによって、どの程度オンライン上での安全を確保できているかということを測るためのツールです。 実際の診断ページはこちら(英語)で、 「ソフトウェア更新プログラムの自動更新を有効にしているか」 「コンピューターの Firewall は有効になっているか」 などの質問項目から成り、数分 ~ 5 分程度で診断できるようになっています。 診断結果は 0 ~ 100 点で表示され、スコアに応じて使用すべきツールや参考資料へのリンクが提供されます。 また、TwC では、米国、英国、フランス、ドイツ、ブラジルの 5 か国で行われた診断結果約 2,000 回答分を分析した結果を発表しました。 スコアの平均は 34 点で、大半の回答者がインターネット上での安全を守るために何らかの対策を講じているものの、まだ改善の余地があるようです。 また、分析結果から以下のことがわかりました。 ○ 62% が、不審者からメールで個人情報を尋ねられたことがある(過去 12 か月以内) ○ 53% が、アドウェアやスパイウェアに感染したことがある(過去 12か月以内) ○ 51% が、にウイルスやボットに感染したことがある(過去12 か月以内) ○ 44% が、自分自身に関する情報がどれだけオンラインで入手可能なのか不安に思っている ○ PC のセキュリティ対策ソフトウェアを信頼しているのはわずか 26% …

セキュリティ対策自己診断  あなたのスコアは? Read More »

2011年、これまでの事例にみる脅威とその対策 第5回

  先日、あるミーティングで、長く情報セキュリティの第一線で活躍されている方達と、ネットワークセキュリティーの基本ともいえる境界領域防御の有効性について議論をする機会がありました。標的型攻撃などの最近の攻撃の多くは、従来のワームなどの動作と異なり、ファイアウォールなどの境界領域を突破して、内部ネットワークに直接入ってくるわけですが、このような攻撃に対して、境界領域防御の位置づけを、どのように考えたらよいだろうという議論です。メモを取っていたわけではないので、不正確かもしれませんが、結論は以下のようなものです。  境界領域防御は、即効性があり内部対策の負担の少ない有効な対策である  しかし、昨今の攻撃手法の変化に対しては、内部対策も必要になってきている   当然といえば当然ですが、境界領域防御がダメになったわけではなく、境界領域防御だけでは対策ができない攻撃が顕著化しているという事だと思います。単に「境界領域防御の限界」というと、境界領域防御が必要ないというニュアンスでとられてしまうのかもしれませんが、境界領域+αが求められているのだと思います。  同様の論理的な飛躍が、「出口対策」という言葉の使い方にも見られるように思います。IPAから出ている“「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン[1]“を根拠として、「出口対策」の必要性だけが強調される事があります。このガイドラインでは「入り口対策(基本的な対策)」をとった上で、そこで防げないものについては、被害が発生・拡大しないように「出口対策」が必要だということを指摘したもので、従来の対策が無力だと言っているわけではありません。当たり前なのですが、「出口対策」だけでは対策になりません。  なお、このガイドラインでは、ネットワーク対策が中心とされており、PCやサーバーといったホスト対策については、ほとんど触れていません。この点については、ずいぶんと議論させていただいたのですが、ホスト対策は環境依存が大きく、ガイドラインに実効性を持たせることが難しいとの判断になりました。現状では難しいとしても、新しく導入するシステムや、重要性の高いシステムについては、ホストレベルの対策を導入していく事が重要だと考えていますので、次回以降では、こちらのガイドラインでは割愛されているホスト対策についても取り上げていこうと考えています。    まずは現状の確認から始めよう   公開セグメントの対策において、以下の二つの視点から現状を確認する。まずは、ログやコンテンツからシステムが置かれている状況を調査し、次にネットワークセキュリティ対策の視点から、必要な対策が取られているか、また、早急に対応すべきところがないかを調査する。   ログやコンテンツの確認 ①   コンテンツの確認 ②   公開サーバーのログの確認     セキュリティ対策状況の確認 ③   ノードの洗い出し(ホスト、PC、ネットワークデバイスなど) ④   アクセスコントロールの確認 ⑤   アカウント(パスワード)の確認 ⑥   脆弱性の確認   ログとコンテンツの調査: Log Parser  ログやコンテンツの確認のための方法は色々とあるのだが、今回は、マイクロソフトが無償で公開しているツールLog Parserを使った調査方法を紹介する。  Log Parserは、SQLに似た構文を使って、汎用性の高いログ分析を行うことが出来るツール。基本的な入力として、Webサーバーのログ(IIS, W3C, NCSA等)、イベントログ、ファイルシステム、NETMON, CSV, TSVなどが用意されており、出力は、CSV,TSV, XML, グラフ(CHART)、SYSLOGなどが用意されている。入力、出力とも拡張が可能で、たとえばPCAPの分析や、snortのログも扱うことができる。 Log Parserは、任意のフォルダーで実行できるので、USBメディアや、ネットワーク共有を使って実行出来る点も、使いやすいと考えている。  Log Parser 2.2 日本語版http://technet.microsoft.com/ja-jp/scriptcenter/dd919274   Log Parserがグラフ(CHART)を出力するためには、”Office 2003 アドイン : Office Web Components”が必要となる。これも合わせてインストールする。なお、OfficeWebComponentsには、既知の脆弱性があるので、忘れずにセキュリティ更新も行う。  Office 2003 アドイン :Office Web Componentshttp://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=7287252C-402E-4F72-97A5-E0FD290D4B76&displaylang=ja   Log Parserの使い方は、パラメーターなしでlogparser.exeを実行するとことで確認出来る。詳しく取り上げたいところだが、今回は、コマンドの説明は割愛させていただく。logparser –h …

2011年、これまでの事例にみる脅威とその対策 第5回 Read More »

ちょっといいセキュリティの資料とツール その 1

一昔前であれば、ウイルス対策ソフトとファイアウォールを導入していればセキュリティの脅威からシステムを守れると考えられていましたが、最近増加している APT (Advanced Persistent Threat)、標的型攻撃の脅威に対しては、これらのソリューションだけでは不十分と感じ、自社のセキュリティ対策を見直している方もいらっしゃるかと思います。例えば、クライアントやサーバーのセキュリティ設定の強化、ネットワーク セキュリティの見直し、マイクロソフト製品であれば Active Directory のグループ ポリシーの見直しといった対策です。 マイクロソフトは、お客様の対策実施を支援する多くのドキュメントとツールを提供しているのですが、あまり知られていないものも多いように思います。このブログでは、その一部を紹介したいと思います。 Windows Server® 2008 セキュリティ ガイド Windows Server 2008 を実行するコンピューターのセキュリティを強化する手順と推奨事項について説明しています。このガイドの良いところは、単にセキュリティの設定が書かれているだけでなく、セキュリティ コンプライアンス マネージャーというマイクロソフトが提供する無償のソフトを使ってベストプラクティスのセキュリティ設定を簡単に実現できる方法が書かれていることです。   図1. セキュリティ コンプライアンス マネージャーの設定画面 Internet Explorer® 8 セキュリティ ガイド Internet Explorer 8 や Internet Explorer 9 は、SmartScreen フィルターやクロスサイト スクリプト フィルターなど多くのセキュリティ機能を実装しています。最新のセキュリティ更新プログラムを適用していれば、そのまま使っても十分安全なのですが、さらにシステム管理者によってセキュリティ強化をすることができます。例えば、「[ファイル ダウンロードの制限] 設定の有効化」 や 「Temporary Internet Files フォルダーの内容の自動削除」 などです。このガイドには、気を付けるべきポイントと設定方法が書かれています。  MAP (Microsoft Assessment and …

ちょっといいセキュリティの資料とツール その 1 Read More »

MSE 次期バージョンのベータ版、いち早く試してみませんか?

マイクロソフトの無料マルウェア対策ソフト Microsoft Security Essentials (通称 MSE) が 2009 年 9 月に一般にご利用可能になってから早くも丸 2 年が経ちました。 この MSE の次期バージョンのベータ版が今年の年末を目途にご利用可能になる予定で、現在ベータ版を評価していただける方々を募集中です。MSE 次期バージョンのベータ版では、ユーザー操作不要のより強化されたマルウェア駆除、パフォーマンスの改善、より使いやすいシンプルな UI や改善された保護エンジンが搭載されています。 なお、ベータ プログラムにご参加いただける方の数には限りがございますので、ご参加希望の方は、早めにこちらの登録サイトよりサインアップしてください (ご参加いただくには Live ID が必要です)。ご参加が確定した方には、後日ベータ版ダウンロードのご案内が届きます。次期バージョンの MSE をいち早く試してみたい方、是非ご参加ください。 現在の最新版 MSE は Microsoft Security Essentials のサイトから無料でインストール可能です。一般のご家庭はもちろん、PC が 10 台までの小規模ビジネス環境でもお使いいただけます。PC が 10 台以上のビジネス環境へは、Microsoft Forefront 製品 の導入をご検討ください。 [2011/12/6 追記]MSE 次期バージョンのベータ版がご利用可能になりました。なお、ベータ版をご利用いただく注意点として、MSE ベータ版は英語版のみの提供となり、技術サポートは提供しておりませんので、ご自身の検証環境において、自己責任にてお試しいただけますようお願いします。

フリーメールのセキュリティ

みなさんも、友人とのコミュニケーションやプレゼントの応募などにフリーメール (Hotmail や Gmail、Yahoo メールなどの無料 Web メール) を利用していることと思います。 先日「Hotmail: 改良された新セキュリティ機能について」という記事を公開したのですが、その中で、これは使えるなぁーと思った機能があったのでご紹介します。 まず、「エイリアス」機能です。 1 つの Hotmail アカウントで毎年最大 5 つまでのエイリアス (メール アドレス) を作成でき、そのエイリアス宛のメールは別のフォルダーに仕訳されるようになるというものです。 プレゼントの応募などでメール アドレスを提供すると、以後広告メールが届くなど煩わしい場合があるため、これまではいわゆる「捨てアドレス」を別途作成して利用していたのですが、アカウントが複数あることで管理が面倒だな…と感じていました。 エイリアスを利用することで、本当の (メインの) メール アドレスを知らせる必要もなくなり、メール チェックはフォルダーをチェックするだけで済み、アカウントやパスワードを複数持つ必要はありません。 次に「サインインするための一時使用コード」機能です。 これまで、空港やネットカフェなどの公共のコンピューターや友人や親戚のコンピューターを利用する際、パスワードを入力するのに抵抗を感じていました。そんな時、これからは「サインインするための一時使用コード」が使えます。 以下はサインインの際に表示されるスクリーン ショットの一部です。パスワードを入力したくない場合、赤枠で囲んだ「サインインするための一時使用コードを取得します」をクリックします。 事前に登録してある携帯電話のメール アドレスに一時使用コードが送られてくるので、それを入力してサインインすることができます。 他にもスパムや迷惑メールの除去やアカウント回復などのセキュリティ機能について紹介しているので、Hotmail を利用している方はぜひ確認してみてください。 ▼ Hotmail: 改良された新セキュリティ機能について  

Blue Dawn

Handle:k8e IRL: Katie Moussouris Rank: Senior Security Strategist Lead, Head of Microsoft’s Security Community and Strategy Team Likes: Cool vulns, BlueHat, soldering irons, quantum teleportation Dislikes: Rudeness, socks-n-sandals, licorice In the film Red Dawn,the United States was invaded by Communists, forcing ordinary citizens and soldiers alike to take up arms and fight for their freedom. …

Blue Dawn Read More »

2011年、これまでの事例にみる脅威とその対策 第4回

 前回のBLOG更新以降も、新たなセキュリティ事件が次々と報道されています。「どうしてしまったのだろう」と思う一方で、潜在化していた問題が表面化しただけだとも思います。例えば、Verizon社の「2011年度 データ漏洩/侵害 調査報告書[1]」によれば、86%の事案が第三者による発見とされています。つまり、自ら侵入等を発見した例は、わずか14%にすぎません。この調査は、世界的な調査ですが、もしかすると日本では、よりこの傾向が強いのではないかと考えています。 このように考えるには理由があります。日本におけるセキュリティ対策は、ISMS(Information Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実(Fact)に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、技術的なFactの確認が行われていません。これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。 運用や、受発注に絡んだ「止むを得ない」事情があることもわからないではないですが、どこか表面的な気がしてしまいます。  さて、本題に戻りましょう。前回は、盗難・紛失対策を行う前に考えるべきことについて紹介させていただきました。今回は、マイクロソフトが社内で実施している対策から、盗難・紛失対策に相当する対策をご紹介します。   ドメイン管理と持ち込み(私物PC等)  マイクロソフトの社内ネットワークに接続するためには、ドメイン参加する必要がある。PCがドメインに参加すると、自動的にグループポリシーが適用され、既定のセキュリティポリシー(PCの設定)が保証(強制)され、IPsecを使って社内ネットワークに接続をする。この仕組みを使うことで、ドメインに参加していないPCを遮断し、セキュリティポリシーを遵守しているPCだけが、社内ネットワークへの接続できるようになっている。  具体的な内容については、少々古い内容になるが、「ITショーケース」で紹介しているので、合わせて参照していただきたい[2]。  私物のPCを持ち込んだ場合は、ドメインに参加しない限り社内ネットワークは利用できない。そして、ドメインに参加した場合は、前述のようにグループポリシーが強制的に適用されることになる。これにより、会社支給のPCであるか、私物のPCであるかに係わらず、社内ネットワークに接続するPCが一定のセキュリティレベルを満たしている事を保証する仕組みになっている。   Wireless Networkについても、証明書をベースにした802.1XとIPsecによる保護を行っている。有線LANの場合は、コンプライアンス違反があった場合に、LANの接続ポートを無効にすることで、コンプライアンスに違反したPCを強制的に排除することができるのだが、Wireless Networkの場合は、このような対策ができない。このため、社内ネットワークに接続するための証明書に加えて、Wireless Network接続用の証明書を発行し、コンプライアンス違反があった場合は、この証明書を無効にすることで対処している。   ディスクの暗号化(Bitlocker)   ドメインに参加したPCには、Bitlockerによるディスクボリュームの暗号化が強制される。Bitlockerは、Windows Vistaから導入されているディスクボリュームを暗号化する仕組みで、Windows 7からは容易にマルチボリュームの暗号化も行えるようになっている。  例えば、指紋認証や二要素認証によるユーザー認証を行っているPCであっても、ディスクを取り出して、他のPCに接続することで、認証を回避しデータにアクセスすることが出来てしまう。Bitlockerはこの問題を解決するもので、TPMと暗号を使うことで、ディスクを抜き出して他のPCに接続しても、データを保護することができる。  Bitlockerで暗号化されたデータは、個人情報保護法に対する経済産業省のガイドラインにおける「高度な暗号化等の秘匿化が施されている場合」に該当すると考えている。一方で、紛失後に、紛失したPCが実際にBitlockerで保護されていたことを確認することは出来ない。このため、マイクロソフトが行っているような、グループポリシーによる強制的にBitlockerを適用する等の方法で、紛失したPCが保護されている事を確実にすることが重要となる。  具体的なBitlockerの技術的な内容に関しては、以下の技術資料を参照いただきたい。 また、日経BP社のITproに連載をさせて頂いた中で、小野寺がBitlockerの詳細に加えて、グループポリシーを使った鍵管理の運用面についても解説をさせて頂いている。   Bitlocker ドライブ暗号化http://technet.microsoft.com/ja-jp/windows/aa905065.aspx ボリューム・レベルの暗号化機能「Bitlocker」の仕組みを知る Windows Vista Security IN & OUT事件と課題から考えるWindows Vistaのセキュリティ(第4回)http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274342/     なお、Bitlockerで保護していても、全ての場合にデータが保護されるわけではない。誤ってメールの添付してしまった場合や、P2Pなどで流失した場合にはB itlockerではデータは保護されない。複数のユーザーが利用している場合、他のユーザーからのアクセスも保護することが出来ない。  これらの脅威については、EFS, RMSという暗号化の仕組みが用意されているので、目的や情報の重要さに応じて、これらを組み合わせて利用する必要がある。      Bitlocker to GoによるUSBメディア等の保護  Windows 7では、USBメディアに対する暗号化手法として、Bitlocker to Goが用意されている。Windows Vistaでも、USBメディアをNTFSでフォーマットすることで、Bitlockerを利用することが出来たのだが、メディアを抜く際にマウントを解除しないと、ファイルシステムが壊れる懸念があった。Bitlocker to Goでは、FATのままで適用できるため、このような懸念は少ない(いずれにしても、マウントを解除してから抜いていただきたい)。  Bitlocker to Goは、パスワードによる保護と、スマートカードによる保護が選択できる。  また、マイクロソフトでは実施していないが、グループポリシーを使って、USBメディアにBitlocker to Gで保護されていないリムーバブルメディアへのアクセスを禁止することも出来る。USBメディアの利用が多い場合は、このような運用形態も検討の価値がある。     Directaccessによるドメイン管理  最後に、DirectAccessによる社外からの接続について紹介する。  マイクロソフトでは、Windows 7が標準のOSとなってから、DirectAccessという技術を使って、外部からの接続を行うようになっている。以前はVPNを使って社外から社内ネットワークへの接続を行っていたが、クライアントVPNで接続しているPCは、ドメインによる管理ができないため、VPN接続時にセキュリティ設定の確認に時間がかかるなどの課題があった。 …

2011年、これまでの事例にみる脅威とその対策 第4回 Read More »

DigiCert Sdn. Bhd の証明書に関するセキュリティ アドバイザリ 2641690 を公開

本日、マイクロソフトは、DigiCert Sdn. Bhd の証明書に関する セキュリティ アドバイザリ 2641690 を公開しました。 マイクロソフトは、Entrust および GTE CyberTrust の下位の証明機関 (CA) である DigiCert Sdn. Bhd が、脆弱な 512 ビット キーを使用した 22 個の証明書を発行していることを確認しています。脆弱な暗号キーは、破損した場合に、攻撃者がこれら証明書を悪用して、Internet Explorer ユーザーを含めたすべての Web ブラウザー ユーザーに対してコンテンツのなりすまし、フィッシング攻撃の実行、または中間者攻撃を行う可能性があります。現時点では、証明書が不正に発行されたことを示す手がかりはありませんが、脆弱な暗号キーの性質上、攻撃者がこれら証明書を複製して不正な行為を行うことが可能となります。 更新プログラムのインストールについて:これはマイクロソフト製品の脆弱性ではありませんが、マイクロソフトは影響を受けるすべてのサポートされているリリースの Microsoft Windows に対して DigiCert Sdn. Bhd への信頼を失効させる更新プログラムを提供しています。この更新プログラムは、次の 2 つの中間証明機関による証明書を失効させます。 Entrust.net Certification Authority (2048) によって発行された、Digisign Server ID – (Enrich) GTE CyberTrust Global Root によって発行された、Digisign Server ID …

DigiCert Sdn. Bhd の証明書に関するセキュリティ アドバイザリ 2641690 を公開 Read More »