セキュリティ

2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は …

2014 年マイクロソフトのセキュリティ情報まとめ Read More »

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。 —————————————————- 8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS14-051 の Internet Explorer 用の累積的なセキュリティ更新プログラム 2976627 では、古いバージョンの Java ActiveX コントロールを利用している場合、警告を表示して利用をブロックするための、セキュリティ強化の機能変更が含まれています。現時点では、対象となる古い ActiveX コントロールは設定されていませんので、ブロックはされません。ただし、2014 年 9 月 9 日 (米国時間)/2014 年 9 月 10 日 (日本時間) から、古いバージョンの Java の ActiveX コントロールをブロック対象とする予定です。 …

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。  概要2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 333 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。 月の傾向セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。 図 1: 2013 年の月別セキュリティ情報公開数 製品の傾向次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013 …

2013 年マイクロソフトのセキュリティ情報まとめ Read More »

セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開

2013 年 11 月 6 日、セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開しました。 Microsoft Windows、Microsoft Office、および Microsoft Lync に影響を与える Microsoft Graphics コンポーネントの脆弱性に関する非公開のレポートについて調査を行っています。マイクロソフトは Microsoft Office に存在するこの脆弱性を悪用しようとする標的型攻撃を確認しています。   攻撃者は、特別に細工された電子メール メッセージをユーザーにプレビューさせるか開かせる、特別に細工されたファイルを開かせる、または特別に細工された Web コンテンツを閲覧させることにより、この脆弱性を悪用する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。   Fix It ツールを実行するか、手動でレジストリを編集し TIFF コーデックを無効にすることで、この脆弱性を使用した攻撃を回避することができます。また、Enhanced Mitigation Experience Toolkit (EMET) を展開することでも、回避が可能です。 影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2896666 を参照してください。   関連リンク: Microsoft Security Research & Defense ブログ CVE-2013-3906: a graphics vulnerability exploited …

セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開 Read More »

Windows XP を 2014 年 4 月のサポート終了後も使い続けることのリスク

本記事は、Microsoft Security のブログ “The Risk of Running Windows XP After Support Ends April 2014” (2013 年 8 月 15 日公開) を翻訳した記事です。 今年の 4 月、私は Windows XP のサポート終了に関する「カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了」というタイトルのブログを投稿しました。それ以来、話す機会のあった多くのお客様が、所属組織で Windows XP から Windows 7 や Windows 8 などの最新オペレーティング システムへの移行を完了したか、または現在移行作業を進めています。 実際のところ、事態は切迫しています。というのも、2014 年 4 月 8 日以降、Windows XP Service Pack …

Windows XP を 2014 年 4 月のサポート終了後も使い続けることのリスク Read More »

新セキュリティ インテリジェンス レポート、新データ、新たな視点

本記事は、Microsoft Malware Protection Center のブログ “New Security Intelligence Report, new data, new perspectives” (2013 年 10 月 29 日公開) を翻訳した記事です。 本日、マイクロソフトは マイクロソフト セキュリティ インテリジェンス レポート (SIRv15) (英語版) の第 15 版を公開しました。このレポートは、世界中の莫大な数のシステム、および幾つかのインターネットの活発なオンライン サービスのデータに基づいて、マルウェア、悪用について分析しています。 昨年中、私達はセキュリティ インテリジェンス レポートの第 15 版について企画していました。お客様に提供するガイダンスの範囲、および正確性を向上するためにはどうすれば良いのか考慮したため、過去のレポートで提供したデータ以上にマルウェアの蔓延率を最も良く示すにはどうしたら良いかについて熟慮しました。 私達は、リアルタイムの防御製品に基づいてマルウェアの影響度を測る測定基準を設ける必要がありました。 私達は、既に、感染率については悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行した場合に駆除を受けたコンピューターの数を示す Computers Cleaned per Mille (CCM) と呼ばれる測定基準を使用して報告しています。これにより、感染がいかに広範に広がっているのか説明することが可能です。 現在、コンピューターに影響を与えている脅威の範囲についてより深く理解するためには、決して感染につながらない試みを含む、感染の試みについて考慮することが益々重要になってきています。このデータは、リアルタイムのセキュリティ製品によってのみ提供されるものですが、これは、新たな測定基準「遭遇率」で測られています。遭遇率とは、マルウェアを偶然見つける、あるいは遭遇する、マイクロソフトのリアルタイムのセキュリティ製品を稼働しているコンピューターの割合です。並べて見比べると、感染率、および遭遇率はマルウェアの全体像を見る場合に異なる視点を授けてくれ、実態を解明することでより情報に通じたリスク評価に貢献します。 例えば、昨年中の遭遇率、および感染率による分析で浮上したキーとなる発見の 1 つは、Windows XP を稼働しているコンピューターが Windows …

新セキュリティ インテリジェンス レポート、新データ、新たな視点 Read More »

ユーザーを守る上でのセキュリティ サイエンスの効果

本記事は、Microsoft Security Blog のブログ “The Impact of Security Science in Protecting Customers” (2013 年 7 月 25 日公開) を翻訳した記事です。 Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。この分析は、過去 7 年 (2006 ~ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。 本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。 悪用が発見されたリモートでコードが実行される (RCE) 脆弱性の年間件数は減少している。 脆弱性が頻繁に悪用されるのは主にセキュリティ更新プログラムが提供された後であるが、ここ数年はセキュリティ更新プログラムが提供される前に脆弱性が悪用されるケースの割合が増加傾向にある。 図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較   スタック破損の脆弱性の悪用はこれまで最も頻度が高い脆弱性クラスだったが、最新の調査結果ではほとんど発生しなくなっている。悪用された件数は、2006 年の 43% から 2012 年の 7% に減少した。 図 2: 悪用が発見された CVE の脆弱性クラスの分布   現在最も発生頻度の高い脆弱性クラスは、解放後使用の脆弱性である。 …

ユーザーを守る上でのセキュリティ サイエンスの効果 Read More »

「モノのインターネット」上のセキュリティ

皆さん、こんにちは!日本マイクロソフトのセキュリティチームの新メンバーのモーリスと申します。   昨今、インターネットに接続しているデバイスが話題になったことを機に、今回は「モノのインターネット」上のセキュリティについてお話したいと思います。   ■「モノのインターネット」とは何でしょうか? 「モノのインターネット (Internet of Things)」とは 1999 年にマサチューセッツ工科大学に属していた研究者のケヴィン・ アシュトンに作られた言葉で、従来のパソコンとサーバーで主に構成されているインターネットとは対照的に、あらゆる電子機器やセンサーと通信機能の付いていたさまざまなモノで構成されているインターネットとのことです。   この造語が生まれた 1999 年では、「モノのインターネット」はあえて言えば理論上のものでしたが、近年ますます実現化の方向へ進んでいます。現実世界には携帯電話は勿論のこと、テレビ、HDD レコーダー、ゲーム機、ベビーモニター、デジカメ、メモリカード、洗濯機、冷蔵庫、腕時計など、身の回りにインターネットに接続しているデバイスが既に溢れています。集積回路の縮小化と低エネルギー化の技術の進展、IPv6、Bluetooth、WiFi などの技術標準の普及により、近い将来、このようにインターネットに接続しているデバイスが更に飛躍的に増えるでしょう。   ■「モノのインターネット」の実現によりセキュリティにどんな影響があるでしょうか? 一般のユーザーが意識しなくても、モノのインターネットを構成しているデバイスは、さまざまな機能を持っており、インターネットに接続すると、パソコンと同様の脅威に直面します。   長年の取り組みにより近代のパソコン用のオペレーティング システムはオープン インターネット上の多岐に渡る脅威に対して強化されています。Windows の場合、Windows XP がリリースされてからの 12 年間にたくさんの先進セキュリティ技術が開発され、Windows Vista、Windows 7、Windows 8 のリリースに伴い段階的に導入されてきました。(Windows XP 時代から導入されてきた記述についてはこちらで詳しく説明されています。) その上、セキュリティ技術の他、新興脅威の発生に向けて健常な対応プロセスが整っています。継続的に脅威の状況を監査し、脆弱性が確認されたらセキュリティ更新プログラムを速やかに作成、速やかに広く配信するシステムがあります。   しかし、残念なことに全てのインターネットに接続できるデバイスは十分なセキュリティ対策が実装されていない現状もあります。最近、セキュリティ会社が度々デバイスの脆弱性についてのアドバイザリを発表し、「不正アクセス」、「特権の昇格」、「リモートコード実行」、など、かつてパソコンやサーバーでしか見られなかった脆弱性の影響が一般の家電や携帯用インターネットデバイスにも見られるようになってきました。それに、健全な脆弱性対策プロセスと安全な自動的なソフトウェアのアップデート機能が整備されていないデバイスもたくさんあります。   ■こんな実情でセキュリティをどう守れるでしょうか? インターネットに接続可能なデバイスを購入するときに、まず下記の 3 点を考えましょう。 ①   リスクの測定: デバイスの悪用により個人情報の漏洩や安全性の問題はあり得ますか? ②   デバイスのメーカーは脆弱性対応プロセスを完備していますか?プロセスの健常性を測るのが難しいかもしれませんが、ウェブを検索すれば脆弱性報告窓口の有無を簡単に確認できます。 ③   脆弱性を修正するソフトウェア更新プログラムは自動的にインストールされますか?自動的に更新されないデバイスであれば手動のアップデート入手方法とインストール方法を確認しましょう。   モノのインターネットを楽しみながら、デバイスのセキュリティ状況も意識していきましょう。

Internet Explorer の脆弱性に関するセキュリティ アドバイザリ 2887505 を公開

<2013/10/09 追記> 本セキュリティ アドバイザリで説明している脆弱性に対処するため、セキュリティ情報 MS13-080 を発行しました。利用可能なセキュリティ更新プログラムのダウンロード先など、この問題に関する詳細情報については、セキュリティ情報 MS13-080 を参照してください。   <2013/10/04 追記> 2013 年 10 月 9 日に公開を予定しているセキュリティ更新プログラムで、本セキュリティ アドバイザリで説明している脆弱性の問題を解決する予定です。 本日マイクロソフトは、セキュリティ アドバイザリ 2887505「Internet Explore の脆弱性により、リモートでコードが実行される」を公開しました。  このアドバイザリは、サポートされているすべてのバージョンの Internet Explorerにおいて確認されている脆弱性の説明、および脆弱性から保護するための緩和策と回避策を提供しています。この脆弱性が悪用された場合、ユーザーが悪意のある WEB サイトを訪問した際に、リモートでコードが実行される可能性があります。  この脆弱性の悪用報告は、現在のところInternet Explorer 8 および Internet Explorer 9を対象とした標的型攻撃であり限定的ですが、アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。   ■ 影響を受ける環境 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11 …

Internet Explorer の脆弱性に関するセキュリティ アドバイザリ 2887505 を公開 Read More »