啓発

EMET 5.2 公開しました

こんにちは、村木ゆりかです。   本日、脆弱性緩和ツール EMET (Enhanced Mitigation Experience Toolkit) の新しいバージョン 5.2 を公開しました。ツール、およびユーザーガイドは、こちらからダウンロードできます。日本語ユーザー ガイドも公開しましたので、ぜひご覧ください。 今回のバージョン 5.2 における主な変更点は以下です: Control Flow Guard: EMET に含まれている DLL (EMET.dll など) をすべてこのControl Flow Guard (CFG) でコンパイルしました。EMET に含まれているこれらの DLL は、EMETが保護対象としているアプリケーションのプロセスにロードされます。CFG は、Visual Studio 2015 の新機能で、コード ハイジャックを検出/遮断することができます。セキュリティ強化の観点から、アプリケーションをCFG でコンパイルするよう、開発者の皆さんにも推奨しています。 VBScript in Attack Surface Reduction: Attack Surface Reduction (ASR) の緩和策で、Internet Explorer のインターネットゾーンでVBScript のエクステンションが実行される場合に、ブロックするよう強化しました。昨今見られる、 “VBScript God Mode” の手法を利用した攻撃を防ぐのに効果があります。 Enhanced …

EMET 5.2 公開しました Read More »

サイバーセキュリティ月間始まる

政府では、サイバーセキュリティに関する普及啓発強化のため、2 月 1 日から 3 月 18 日までを「サイバーセキュリティ月間」としています。この期間に政府機関、各種団体の情報セキュリティに関するさまざまな取り組みが実施されています。 マイクロソフトもこの取り組みに賛同し、コンピューターやインターネットを安心して安全に利用するためのヒントを発信してまいります。 日本マイクロソフト サイバーセキュリティ月間サイト ビデオでの手順説明など、PC 初心者の方にもわかりやすい内容となっていますので、ぜひ一度ご覧ください。   また、日本のセキュリティチームの Twitter や Facebook でもセキュリティ対策のヒントをつぶやいていきますので、こちらもチェックしてみてください。 サイバーセキュリティ月間中、時々、マイクロソフト セキュリティチームの Twitter プロフィール画像がゆりか先生になります。   仕事での利用だけではなく、オンライン ショッピングやファイル共有、ソーシャル ネットワーク サービスでのコミュニケーション、動画の視聴など、インターネットを利用したサービスにはさまざまなものがあります。タブレットやスマートフォンの普及に伴い、インターネットに接続する機会は益々増えています。 ぜひこの機会にコンピューターの設定や利用方法などを見直し、セキュリティ対策が万全かどうかご確認ください。

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。   ————————– 以前、こちらのブログでもお伝えしたように、8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS 14-051 (KB2976627) Internet Explorer 用の累積的なセキュリティ更新プログラムにて、古いバージョンの ActiveX コントロールの利用をブロックするセキュリティ強化の機能変更を公開し、2014 年 9 月 10 日 (日本時間) より、古いバージョンの Java のブロックを開始しています。  10 月 14 日 (米国時間) に、このセキュリティ機能の対象および機能を 11 月に拡張することを、IE Blog (英語情報) にてお知らせしました。本ブログで、その内容をお伝えします。 …

[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します Read More »

2014 年 10 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは! 先ほど 10 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 今月から、ビデオは「ゆりか先生」が担当しています。本日  10 月 15 日に公開した新規 8 件 (緊急 3 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。 ※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。 ご利用のブラウザーは video タグをサポートしていません。 ■関連リンク ウイルスやプライバシーなど気になるセキュリティ問題について、簡単に実践できるセキュリティ対策をご紹介していますので、ぜひご覧ください。 ゆりか先生のセキュリティひとくち講座 http://www.microsoft.com/ja-jp/security/msy/default.aspx   ゆりか先生の情報セキュリティ講座 http://www.msn.com/ja-jp/news/microsoft/information

[開催報告] ゆりか先生のセキュリティ出張講座 ~ 週末電話相談室

こんにちは、村木ゆりかです。  先日、公益社団法人 全国消費生活相談員協会本部事務所2階研修室にて、「ゆりか先生のセキュリティ講座」を開催しました。全国消費生活相談員協会は、消費生活センターなど全国の行政等で国民からの消費生活全般に関する苦情や問合せなどを応対する消費生活相談員で組織されている団体で、啓発パンフレットの作成、研修会開催など、相談業務の他にさまざまな活動をされています。  昨今のインターネット犯罪の増加などから、相談窓口にも多数の悪質なインターネット取引などの相談が寄せられており、相談員の方々は対応に苦慮されているそうです。そこで、日本マイクロソフトも参加している、企業や事業者団体の消費者関連部門が集う組織 公益社団法人 消費者関連専門家会議 (ACAP) を通じて、セキュリティ セミナーを開催し、週末電話相談室を担当している相談員と関東支部会員の方々 33 名にご参加いただきました。  今回の講座では、ゆりか先生のひとくちセキュリティ講座の内容を基に、パソコンのセキュリティ対策の基本の考え方、そして、インターネットのよくあるトラブルなどを解説しました。今回は特に、被害が増大しているオンライン バンキングや、不正ログオン (乗っ取り)、SNS でのトラブルを取り上げ、被害の状況と原因、そしてすぐに実践できる対策をご紹介しました。 セキュリティ トラブルにおいて、被害に遭わないように正しい解決策を行うためには、「なぜ被害にあうのか」を理解することが重要です。なんとなく理解していたことや漠然としていたことが、今回の講座であらためて基本を学び日々の相談の背景にあるトラブルの仕組みがわかることで、より自信をもってアドバイスでき、提案する解決策の説得力が増すことにつながります。また、参加者の皆様からは、講座終了後も、こういった場合はどの様なアドバイスが適切か?など、たくさんのご質問や相談をいただきました。私自身も、実際にユーザーの皆さんがどのような問題を抱えているのか?どういったアドバイスを必要としているのかを垣間見ることができ、非常に勉強になりました。   参加者の皆さんから寄せられた感想を少しご紹介します: 「相談者からパソコンや携帯電話に関する相談を受けたとき、相談員があれやこれやと多すぎる情報提供や助言をしがちです。私を含め、相談員自身が重要なポイントを整理できていないからだと思います。今回の研修で講師のお話を聞き、基本を助言すればいいことがよくわかりました。消費者相談の現場ですぐに活用できるいい研修でした。」 「パソコンやスマートフォンのセキュリティについて、わかっているつもりだったが、きちんと基本から説明していただいたことで、相談者に対して無駄な助言や自信のない助言をすることがなくなると感じました。基本を押さえられて現場で活かせる内容でした。」 「怪しいサイトは見るな!当協会の週末電話相談室では、この助言で終わることがほとんどの私は、セキュリティ対策の大切さと対策方法をしっかり伝えられるようにならないといけないと反省しました。パソコン・タブレットの使い分け方、メルアドの変え方の提案など、『脅威を知り・自分にあった実際的な対策をとる』という、知っているようで実は知らないことを学べた講義でした。」   10 月には、公益社団法人 全国消費生活相談員協会九州支部で、ゆりか先生の出張セキュリティ講座を行う予定です。今後もこうした活動を通じて、ユーザーの皆さんがよりインターネットや PC を安全に利用できるようにしていければと思います。   今回の講座でお話しした内容の一部は、ゆりか先生のひとくちセキュリティ講座でもご紹介していますので、ぜひご覧ください。

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問

こんにちは、村木ゆりかです。 マイクロソフトが無償で提供している脆弱性緩和ツール EMET について、はじめて EMET に触れる方向けに基本を解説している本連載、前回は EMET とは? そして EMET を利用するシナリオを説明しました。  第 2 回となる今回は、早速 EMET の実際の使い方を・・・と言いたいところですが、その前に、EMET のツールの位置づけや利用においての注意点について、よりご理解いただくために、よく寄せられる 10 の疑問についてお答えしたいと思います。   疑問 1: EMET って何て読むの? そもそもこのツールの名前、なんて呼ぶの? と戸惑う声が聞かれます。「エメット」と呼びます。   疑問 2: EMET はどの OS でも利用できるの? はい、サポート対象内の OS にてご利用いただけます。現在最新バージョンの EMET 5.0 では、Windows Vista Service Pack 2、Windows 7 Service Pack 1、Windows 8、Windows 8. 1、Windows Server 2003 Service Pack 2、Windows …

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問 Read More »

より信頼できる証明書利用環境へ向けて~ Internet Explorer 11 SmartScreen 証明書評価

こんにちは、村木ゆりかです。   これまで何度か取り上げてきました信頼できる証明書や公開鍵基盤 (PKI) について、今回は、さらなる信頼できる環境を実現するために Internet Explorer 11 (以下、IE 11) から実装している SmartScreen の証明書評価についてご紹介します。   ■ 「信頼できる証明機関」だけではもう古い 多くのウェブサイトは、自身の身分を証明し、安全な暗号化通信を行うために、証明書を利用しています。これまでは、証明書を発行した「証明機関が信頼できる」かどうかが、証明書の信頼性を評価する大きな指標でした。 信頼できる証明機関は、厳しい監査の元に適正な運用を行っており、発行される証明書は非常に信頼の高いものです。 しかしながら、最近は、証明機関やウェブサイトがサイバー攻撃を受け侵害されたり、弱いアルゴリズムを利用している証明書が狙われたりするなど、証明書自体を取り巻く脅威が増加しています。このため、信頼している証明機関が発行した証明書であっても、その証明書自体が現在不正に利用されていないか、個別に確認を行う必要性が増してきています。このため、「証明機関が信頼できるか」という確認に加え、「証明書も問題ないか」を確認することが、非常に重要な指標となっています。   ■ 証明書の信頼は取り消される場合がある 証明機関は、証明書を発行する際、対象のウェブサイトが詐欺に利用するサイトではないか、などの審査を行って発行しています。しかしながら、発行した後、ウェブサイトの証明書 (鍵) が窃盗にあったり、不正な行為を働いていたりする場合など、証明書の利用を取りやめなくてはいけない場合があります。ちょうど、現実世界でも、運転免許証を発行された後、重大な違反があると運転免許証が利用停止になってしまうようなものです。 通常、証明機関は、このように発行した証明書の信頼性が危ぶまれている場合、証明書の信頼を取りやめる措置 (失効) を取ります。マイクロソフトでも、ルート証明書プログラムや、信頼できない証明書のリストの配布などの取り組みを行っています。信頼できない、失効された証明書が利用された場合は警告が表示されたり、利用ができなくなったりします。 しかしながら、時には、証明機関やマイクロソフトが行っている失効のしくみを利用できないユーザー環境や、昨今、急速に拡大する不正に利用された証明書やによる被害も発生しています。このような脅威や環境に迅速に対応するために、これまでの証明機関やマイクロソフトの取り組みに加え、追加で、証明書の最新の信頼性を評価するしくみの必要性が増しています。 ■ SmartScreen 証明書評価による多層的な保護 このような急速に広がる脅威に対して、より迅速に対応し、信頼できる証明書環境を実現するために、Internet Explorer 11 SmartScreen では、閲覧しているウェブサイトで利用されている SSL 証明書についても信頼性の評価を行うしくみを取り入れました。 SmartScreen とは、Internet Explorer の機能で、既定で有効で、個人情報を盗もうとするフィッシング詐欺サイトや、悪意のあるソフトウェアのダウンロードを防止するセキュリティ機能です。閲覧しているウェブサイトや、ダウンロードしているプログラムの危険性を、マイクロソフトが収集しているデータを基に評価します。もし、危険と判断される場合は、警告を表示します。 SmartScreenの証明書評価は、これまでの、証明機関やマイクロソフトが実施している失効のしくみに加え、ウェブサイトを閲覧しているときに利用しているブラウザー上で、さらに追加で、証明書の信頼性を確認するしくみを入れることで、より多層防御となり、不正な証明書による被害を未然に防ぐことを目的としています。 広範囲に広がりを見せている中間者攻撃 (Man-In-The middle 攻撃) からの保護を主な目的としています。今後、少人数を対象とした攻撃や、そのほかの攻撃からの保護へとも拡張していくことを検討しています。 図: 証明書評価のしくみ   ■ シナリオ例 SmartScreen …

より信頼できる証明書利用環境へ向けて~ Internet Explorer 11 SmartScreen 証明書評価 Read More »

証明書更新機能の進化と Windows XP サポート終了後のリスク

こんにちは、村木ゆりかです。   マイクロソフトでは、Windows において信頼するルート証明書を管理する仕組みであるルート証明書プログラムを筆頭に、ユーザーのみなさんが、安全に公開鍵基盤 (PKI) 環境を利用できる基盤作りを行っています。 PKI を取り巻く環境は、技術変化や脅威の拡大に伴い、急速に変化しています。数年前までは、「証明機関を信頼する」という作業で安全な PKI 環境の利用ができましたが、最近は、証明機関がサイバー攻撃を受け侵害されるなど脅威が増し、信頼していた証明機関に問題が発生した場合の対応を含めた利用を行う必要があります。 Windows においては、暗号化アルゴリズムの転換などを契機とし、特に Windows Vista 以降においては CAPI2 や CNG (Cryptography Next Generation) への対応など大きくデザイン更新をし、その後もさまざまな機能追加を提供しています。 証明書を更新する機能についても、更新の方法や多様なシナリオへの対応を行うべく、仕組みの更新を行っています。OS 毎の、証明書自動更新機能一覧は以下の通りです。   Windows で提供される信頼・非信頼リストの更新機能      Windows XP サポート終了におけるリスク Windows XP のサポート終了もあとわずかに迫りました。上述の表の通り、Windows XP では、証明書の自動更新機能は限定的な機能です。また、サポート終了に伴い、セキュリティ アドバイザリや、手動で更新するためのパッケージの提供が終了します。  証明書は、インターネットで安全なやりとりを行うためのSSL/TLS で多く利用されており、クラウド サービスを始めとしたオンライン サービスで、安全に利用するためには欠かせません。サポート終了後は、これらのサービスへのセキュリティ影響が発生します。具体的な例は以下の通りです。   ・信頼できない証明書が更新できず、悪意のあるサイトと通信を行ってしまう Windows XP 向けに提供されていた信頼できない証明書を更新するためのパッケージは、サポート終了に伴い提供が終了します。もし、正規に発行された証明書だったが、その後、セキュリティ攻撃などにより信頼が失われたなどの理由から、利用を停止したい証明書や証明機関が発生しても、対応させるための更新パッケージが提供されません。ユーザーは自ら、信頼を失った証明書の情報を把握し、MMC 証明書スナップインなどから追加する必要がありますが、これは容易な作業ではありません。 もし、信頼できない証明書をそのまま利用してしまった場合、悪意のある HTTPS ウェブサイトへ接続してしまったり、悪意のあるものと、SSL/TLS 通信をしてしまったりする可能性があります。   ・ドメイン環境等で信頼する証明機関の更新が行えず接続障害が発生する HTTPS …

証明書更新機能の進化と Windows XP サポート終了後のリスク Read More »