May 2015 Updates

Today, as part of Update Tuesday, we released 13 security bulletins. We encourage customers to apply all of these updates. For more information about this month’s security updates, including a detailed view of the Exploitability Index (XI), visit the Microsoft Bulletin Summary webpage. If you are not familiar with how we calculate the XI, a full …

May 2015 Updates Read More »

2015 年 5 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは!先ほど 5 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日  5 月 13 日に公開した新規 13 件 (緊急 3 件、重要 10 件) のセキュリティ更新プログラムの既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

更なる透明性と制御の実現

本記事は、The Official Microsoft Blog の記事 “Enabling greater transparency and control” (2015 年 4 月 21 日公開) を翻訳した記事です。 2015 年 4 月 21 日 投稿者 スコット チャーニー – Corporate Vice President, Trustworthy Computing 過去数年間にわたり、私たちはセキュリティ環境の変化と進化を目の当たりにしてきました。サイバー脅威は資産の破壊を伴う新たな水準に達しており、政府はテクノロジーの保護者と悪用者のどちらにも機能しています。この変化する環境の最中、私はお客様との会話で、お客様は 1) 更なる透明性とデータの制御をプロバイダーに求めている、2) 最先端のセキュリティ対策をもってお客様のデータを保護する企業を求めている、という 2 つのテーマが浮かびました。 IT が、変わらず従業員にアプリや彼らが選択したデバイスを利用して生産性を向上しながら、企業の情報保護の必要性に取り組んでいる間、モバイル デバイスやクラウド アプリケーションの爆発的な普及は複雑さを増しています。長年、マイクロソフトにとって、セキュリティは最優先かつ製品開発プロセスの主要な要素とされてきました。当社の製品およびサービスには、強固な暗号化など、サイバー犯罪からお客様を保護するセキュリティ機能が搭載されており、当社はセキュリティ技術革新および信頼の境界の強化を推進し続けます。 今朝私は、RSA カンファレンス 2015 にて、マイクロソフトのクラウド顧客の更なる透明性とマイクロソフト クラウド上の企業データの制御を試みる、いくつかの新規および既存のセキュリティ技術革新について話しました。 透明性 昨年の RSA カンファレンスで述べたように、当社は現在のデータ アクセス ポリシーに関する率直な議論を強く支持します。この業界が、原則に基づいたセキュリティへのアプローチ、プライバシーおよび透明性を保つことが重要なのです。しかしまた、当社の透明性を拡張する機能と特長を活性化することも重要です。 今日、マイクロソフトは、ユーザーのアクティビティー ログ、運営管理およびポリシー関連の操作を強化したことを発表します。これにより、お客様とパートナーが活用でき、また、新しい …

更なる透明性と制御の実現 Read More »

マイクロソフト 報奨金プログラムの展開 – Azure および Project Spartan

本記事は、Microsoft Security Response Center bのブログ "Microsoft Bounty Programs Expansion – Azure and Project Spartan" (2015 年 4 月 23 日公開) を翻訳した記事です。   投稿: ジェイソン シャーク – プリンシパル セキュリティ ストラテジスト – MSRC   この度、マイクロソフト 報奨金プログラム (英語情報) において意義深い展開をお知らせできることを嬉しく思います。マイクロソフトは、オンライン サービス バグ発見報奨金プログラムを発展させ、Project Spartan 新規報奨金プログラムの立ち上げ、そして緩和策バイパス報奨金プログラムの改定を展開していきます。 オンライン サービス バグ発見報奨金プログラム (英語情報) への追加事項を含む本プログラムの継続的な展開について: Azure Azure は、マイクロソフトのクラウド プラットフォームであり、マイクロソフト クラウド サービスの基幹でもあります。 このプログラムは、Azure Virtual Machine、Azure Cloud …

マイクロソフト 報奨金プログラムの展開 – Azure および Project Spartan Read More »

Microsoft Bounty Programs Expansion – Azure and Project Spartan

Update 2/22/17: Removed Guest-to-Host DoS (non-distributed, from a single guest) from Hyper-V escape bounty list. I am excited to announce significant expansions to the Microsoft Bounty Programs.  We are evolving the ‘Online Services Bug Bounty, launching a new bounty for Project Spartan, and updating the Mitigation Bypass Bounty. This continued evolution includes additions to the …

Microsoft Bounty Programs Expansion – Azure and Project Spartan Read More »

April 2015 Updates

Today, as part of Update Tuesday, we released 11 security bulletins. We encourage customers to apply all of these updates. For more information about this month’s security updates, including the detailed view of the Exploitability Index (XI), visit the Microsoft Bulletin Summary webpage. If you are not familiar with how we calculate the XI, a …

April 2015 Updates Read More »

2015 年 4 月のセキュリティ情報 (月例) – MS15-032 ~ MS15-042

2015 年 4 月 15 日 (日本時間)、マイクロソフトは計 11 件 (緊急 4 件、重要 7 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 1 件の公開、および、既存のセキュリティ アドバイザリ 1 件と既存のセキュリティ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 4 種類のマルウェア(Win32/Saluchtra、Backdoor:Win32/Unskal、PWS:Win32/Dexter、BrowserModifier:Win32/IeEnablerCby)に対応しています。 お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。 ■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点 セキュリティ情報 MS15-032「Internet Explorer 用の累積的なセキュリティ更新プログラム (3038314)」 セキュリティ更新プログラム 3038314 のリリースにより、Internet Explorer 11 では SSL 3.0が既定で無効になります。詳細についてはマイクロソフト セキュリティ アドバイザリ 3009008 および「[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 …

2015 年 4 月のセキュリティ情報 (月例) – MS15-032 ~ MS15-042 Read More »

2015 年 4 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは!先ほど 4 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日  4 月 15 日に公開した新規 11 件 (緊急 4 件、重要 7 件) のセキュリティ更新プログラムの既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

iOS 向け Outlook と Android 向け Outlook のセキュリティ構成

セキュリティ レスポンス チームのモリスです。今日は、iOS 向け Outlook と Android 向け Outlook のセキュリティ構成の一部を紹介したいと思います。 1 月 29 日に公開された iOS 向け Outlook と Android 向け Outlook は、iPhone、iPad、Android のスマートフォン、Android のタブレットで利用できます。 このアプリを使ってメール、予定表、および連絡先を簡単に管理できます。Exchange、Outlook.com、OneDrive のアカウントに加え、iCloud、Gmail、Yahoo! メール、IMAP、Dropbox、Google Drive および Box のアカウントが利用できます。重要度によるメールの自動仕分け、予定表の空き時間の簡単な共有、複数のファイルのメール添付、大きいファイルをダウンロードする手間なくメールに添付できるなど、特徴的な機能がたくさんあります。アプリの詳細については Japan Office Official Blog をご参照ください。 このアプリの構成については、ご想像の通りクラウドの力を活かしています。メール サーバーとの頻繁なやり取りやデータのキャッシュなど、いくつかの負担の多い作業をクラウドが担っています。この構成を利用することにより、多くのユーザーにとって便利な機能を実装しているのです。クラウドといってもイメージが湧かない方もいらっしゃると思いますが、この場合の「クラウド」はアプリの動作を支えているサーバーのことです。構成の概要は下記のようになっています: クラウドサービスを活用しているアプリにとって、ユーザーのデータを守ることは最も重要なことです。アプリとクラウドのサーバーの間の通信を暗号化したり、基本的なセキュリティ対策を取っている他にも、このアプリは下記の、より特化したセキュリティ対策も実装しています。 ユーザーの認証情報を守る まず、OAuth が利用できるサービスに対してアプリはアカウントのパスワードを保存せず、認証を OAuth 経由で行います。Outlook.com、OneDrive、Dropbox、Box、Gmail のアカウントは OAuth で認証を行います。 現在 OAuth を使用できないサービスに対しては、ユーザーの認証情報を慎重に取り扱います。パスワードをクラウドで保存せざるを得ない場合、デバイスで生成した暗号キーを使ってパスワードを暗号化します。この暗号キーはクラウドで保存されないので、非アクティブ状態が 3 日続いてパスワードをメモリからフラッシュする時点で、ユーザーのデバイスが再度接続されない限り保存されたパスワードの暗号化を解読できないようになります。 データキャッシュの定期的フラッシュ 継続的に利用しているユーザーの約 1 …

iOS 向け Outlook と Android 向け Outlook のセキュリティ構成 Read More »

セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開

2015 年 3 月 25 日、セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開しました。 (日本語サイトは現在準備中です。準備ができ次第公開いたします) 3/26 更新:日本語サイトを公開いたしました   概要 証明機関から発行されるデジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不適切に発行されたデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。マイクロソフトでは、証明機関と提携し、信頼される証明書および信頼できない不正な証明書の更新を行っています。今回、デジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。  今回、不正に発行されたのは、MCS Holdings 中間証明機関が発行した証明書です。MCS Holdings は、China Internet Network Information Center (CNNIC) をルート証明機関に持つ、中間証明機関です。不正な証明書の信頼を排除するために、以下の証明書の信頼を排除する更新を行いました。   証明書 発行元 拇印 MCSHOLDING TEST CNNIC ROOT e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 …

セキュリティ アドバイザリ 3050995「不適切に発行されたデジタル証明書により、なりすましが行われる」を公開 Read More »