セキュリティ

皆さん、こんにちは！今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は …

2014 年マイクロソフトのセキュリティ情報まとめ Read More »

本記事は、Microsoft Security Blog のブログ “The Impact of Security Science in Protecting Customers” (2013 年 7 月 25 日公開) を翻訳した記事です。 Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。この分析は、過去 7 年 (2006 ～ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。 本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。 悪用が発見されたリモートでコードが実行される (RCE) 脆弱性の年間件数は減少している。 脆弱性が頻繁に悪用されるのは主にセキュリティ更新プログラムが提供された後であるが、ここ数年はセキュリティ更新プログラムが提供される前に脆弱性が悪用されるケースの割合が増加傾向にある。 図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較   スタック破損の脆弱性の悪用はこれまで最も頻度が高い脆弱性クラスだったが、最新の調査結果ではほとんど発生しなくなっている。悪用された件数は、2006 年の 43% から 2012 年の 7% に減少した。 図 2: 悪用が発見された CVE の脆弱性クラスの分布   現在最も発生頻度の高い脆弱性クラスは、解放後使用の脆弱性である。 …

ユーザーを守る上でのセキュリティ サイエンスの効果 Read More »

皆さん、こんにちは！日本マイクロソフトのセキュリティチームの新メンバーのモーリスと申します。   昨今、インターネットに接続しているデバイスが話題になったことを機に、今回は「モノのインターネット」上のセキュリティについてお話したいと思います。   ■「モノのインターネット」とは何でしょうか？ 「モノのインターネット (Internet of Things)」とは 1999 年にマサチューセッツ工科大学に属していた研究者のケヴィン・ アシュトンに作られた言葉で、従来のパソコンとサーバーで主に構成されているインターネットとは対照的に、あらゆる電子機器やセンサーと通信機能の付いていたさまざまなモノで構成されているインターネットとのことです。   この造語が生まれた 1999 年では、「モノのインターネット」はあえて言えば理論上のものでしたが、近年ますます実現化の方向へ進んでいます。現実世界には携帯電話は勿論のこと、テレビ、HDD レコーダー、ゲーム機、ベビーモニター、デジカメ、メモリカード、洗濯機、冷蔵庫、腕時計など、身の回りにインターネットに接続しているデバイスが既に溢れています。集積回路の縮小化と低エネルギー化の技術の進展、IPv6、Bluetooth、WiFi などの技術標準の普及により、近い将来、このようにインターネットに接続しているデバイスが更に飛躍的に増えるでしょう。   ■「モノのインターネット」の実現によりセキュリティにどんな影響があるでしょうか？ 一般のユーザーが意識しなくても、モノのインターネットを構成しているデバイスは、さまざまな機能を持っており、インターネットに接続すると、パソコンと同様の脅威に直面します。   長年の取り組みにより近代のパソコン用のオペレーティング システムはオープン インターネット上の多岐に渡る脅威に対して強化されています。Windows の場合、Windows XP がリリースされてからの 12 年間にたくさんの先進セキュリティ技術が開発され、Windows Vista、Windows 7、Windows 8 のリリースに伴い段階的に導入されてきました。(Windows XP 時代から導入されてきた記述についてはこちらで詳しく説明されています。) その上、セキュリティ技術の他、新興脅威の発生に向けて健常な対応プロセスが整っています。継続的に脅威の状況を監査し、脆弱性が確認されたらセキュリティ更新プログラムを速やかに作成、速やかに広く配信するシステムがあります。   しかし、残念なことに全てのインターネットに接続できるデバイスは十分なセキュリティ対策が実装されていない現状もあります。最近、セキュリティ会社が度々デバイスの脆弱性についてのアドバイザリを発表し、「不正アクセス」、「特権の昇格」、「リモートコード実行」、など、かつてパソコンやサーバーでしか見られなかった脆弱性の影響が一般の家電や携帯用インターネットデバイスにも見られるようになってきました。それに、健全な脆弱性対策プロセスと安全な自動的なソフトウェアのアップデート機能が整備されていないデバイスもたくさんあります。   ■こんな実情でセキュリティをどう守れるでしょうか？ インターネットに接続可能なデバイスを購入するときに、まず下記の ３ 点を考えましょう。 ①   リスクの測定： デバイスの悪用により個人情報の漏洩や安全性の問題はあり得ますか？ ②   デバイスのメーカーは脆弱性対応プロセスを完備していますか？プロセスの健常性を測るのが難しいかもしれませんが、ウェブを検索すれば脆弱性報告窓口の有無を簡単に確認できます。 ③   脆弱性を修正するソフトウェア更新プログラムは自動的にインストールされますか？自動的に更新されないデバイスであれば手動のアップデート入手方法とインストール方法を確認しましょう。   モノのインターネットを楽しみながら、デバイスのセキュリティ状況も意識していきましょう。