時事ネタ

IT勉強会業界では神?

小野寺です。 面白い記事が出ていたので、ご紹介です。MVP のここがすごい!vol.2: 「つながりを大切にし、コミュニティを楽しむ事が一番!」http://www.microsoft.com/japan/communities/mvp/outstandingmvp/09mar2.mspx ここに登場する、はなずきん さんは、関西のまっちゃ139勉強会などのセキュリティのコミュニティを中心にして活躍されている方で、マイクロソフトのMVPでもあります。「IT勉強会カレンダー」という日本全国の勉強会を網羅するカレンダーを立ちあげ、維持している方でもあります。 私自身も、勉強会に参加させていただいて色々と勉強させていただいていますが、いつも勉強会の雰囲気や熱気がすごいのです。発表者も、参加者も活発で、行くだけでも色々な刺激を受ける事ができます。ほぼ毎週(というか毎日)、日本全国のどこかで、何らかの勉強会が開かれており、その様子が「IT勉強会カレンダー」で見て取れます。これを見るたびに、知りたいと思えば、いつでも学ぶ事ができるのだと改めて思います。 問題は、魅力的な勉強会は数あれど、体は一つしかないので、同時に一つにしか参加できないことでしょうか・・・ 自分の周りで勉強会がどの程度あるかを見てみるだけでも、面白いかもしれません。

ISP視点のセキュリティ

小野寺です。 前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。  http://www.iij.ad.jp/development/iir/ MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。また、フォーカスリサーチで、DNSのキャッシュ ポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。 そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

ワームとMS08-067

小野寺です。 報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。 ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。 対処としては、基本的に以下の流れになります。 MS08-067の適用 駆除 (http://safety.live.com) ファイアウォールの設定見直しなります。 しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。 詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A 別名 (Also Known As): TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) W32.Downadup (シマンテック) 概要 (Summary):ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。 現象 (Symptoms): この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。 技術的な情報(Technical Information):Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。 感染方法:このワームは Windows の実行可能ファイル ‘services.exe’ を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステム …

ワームとMS08-067 Read More »

セキュリティ インテリジェンス レポート 第5版

小野寺です。 2008年上半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第5版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。 マイクロソフト セキュリティ インテリジェンス レポートhttp://www.microsoft.com/japan/security/sir.mspx 幾つか、特徴がありますが、まずあげると、今回も、日本が突出して安全であることがあげられます。 とはいえ油断はできず、世界的に悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM)が増加の傾向にあります。 これは、最近のダウンロード型マルウェアの増加や、サードパーティソフトウェアへの攻撃増加が一因にあるようです。  また、以前から脆弱性や攻撃の対象が、OSから、アプリケーションに移っているといわれて久しいですが、Windows XPとWindows Vistaでも違いがでています。Windows XPでは、Microsoft由来の脆弱性が42%ですが、Windows Vistaでは、Microsoft由来の脆弱性は6%となっており、アプリケーション側の脆弱性への対応の必要性がより顕著になっています。 これらの情報は、世界中のデータをまとめたものですが、日本のデータに絞ったものも、近いうちに公開したいと思います。

2008年10月24日のセキュリティリリース (定例外)

小野寺です 本日は通常のセキュリティ情報をリリース日ではありませんが、昨日お伝えした通り、セキュリティ情報 (緊急 1件)を公開しました。 MS08-067: Server サービスの脆弱性により、リモートでコードが実行される (958644)http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx 今回対応した脆弱性は、ファイル共有などをになっている Server サービスに存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。 すでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。

定例外のセキュリティ情報の事前通知

小野寺です 先ほど、定例外のセキュリティ情報の事前通知を公開しました。http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct-ans.mspx Windowsに関するリモートでコードが実行できる可能性ある脆弱性が発見され、11月の定期公開日を待たずに対応する必要があると判断したため、今回の定例外リリースとなりました。 Windows 2000, Windows XP および Windows Server 2003 は、深刻度は緊急、Windows Vista および Windows Server 2008 は、深刻度は重要となります。各OS向けのセキュリティ更新プログラムの提供は、通常通り、Microsoft Update, 自動更新等を通じて行います。 通常の事前通知では、3営業日前に行っていますが、今回の定例外リリースで、セキュリティ情報の公開を10/24に行います。公開は、10/24の早朝に行う予定ですが、公開が完了次第、セキュリティ警告サービスで通知します。 マイクロソフトプロダクトセキュリティ警告サービスhttp://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

無線LANの暗号が数秒で!?

小野寺です。 無線LANの暗号が数秒で解読されるという話が、ニュースになり、総務省の「国民の為の情報セキュリティサイト」でも重要なお知らせとして通知が行われています。 無線LANに関係する家庭向けの脅威としては、盗聴や通信回線の不正使用などが考えられます。その辺の情報をまとめたものとして、以下の2つをご紹介。 家庭のシステムがハイジャックされないようにするためのヒントhttp://www.microsoft.com/japan/protect/yourself/home/homewireless.mspx公共のワイヤレス ネットワークをより安全に使用する方法http://www.microsoft.com/japan/protect/yourself/mobile/publicwireless.mspx  とくに、「公共の・・・」はぜひ読んでいただきいですね。暗号が解読されるよりも、街中で誰が設置したのかもわからないフリーのアクセスポイントに接続する方がよほど危険だったりします。 公共の無線接続を使うときは、SSLやVPNなどの別の暗号化の手段を取っておいた方が良いですよね・・・今さらかもしれませんが。 ちなみに、 Windows Vista 等で今自分が接続している無線LANの暗号化の状態を確認したいときは、以下のコマンドを、実行することで確認できます。  netsh wlan show interface 実行後、少し待つと結果が表示されますが、「暗号」という項目があり、「なし」とか「WEP」の場合は、WPAに切り替えることを検討したいですね。Windows XP/Vista 共に最新の暗号に対応しているます。機器側の設定を切り替える方法は・・・無線LANルーター/アダプターの説明書をみてください。機器側が対応しいない場合は・・・悩ましいですね。 WEPを使っているからと言って、今すぐ被害にあうわけではありません。しかし、不心得者が近くにいれば被害にあう可能性があるということですので、何かの機会に無線LAN環境をグレードアップさせる時には、こういうセキュリティ面も注意して機器の選択をしていきたいですね。

2008年10月のセキュリティリリース予定

小野寺です。 今月は、計11件 (緊急 4 件, 重要 6 件, 警告 1件) の公開を予定しています。リリース日は、週明け水曜日 (10/15) です。 公開予定の詳細は、事前通知のサイトをご覧ください。 セキュリティ情報 影響を受ける製品 最大深刻度 影響 検出方法 再起動 Active Directory Microsoft Windows 緊急 リモートでコードが実行される MBSA 必要 Internet Explorer Microsoft Windows, Internet Explorer 緊急 リモートでコードが実行される MBSA 必要 Host Integration Server Microsoft Host Integration Server 緊急 リモートでコードが実行される MBSA 必要な場合あり Excel Microsoft Office 緊急 リモートでコードが実行される MBSA …

2008年10月のセキュリティリリース予定 Read More »

Microsoft Updateと再起動とネットワーク

小野寺です。 株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。  http://www.iij.ad.jp/development/iir/ ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。 攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗?)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。 その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。 IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

2008年8月のセキュリティリリース

小野寺です 今月は、事前通知でお知らせしていた件数から変更があり、計 11 件 (緊急 6 件、重要 5 件)となります。予定していた、「Media Player のセキュリティ情報」が、品質上の理由で延期となりました。これに加えて、セキュリティ アドバイザリを、新規に1件公開し、3件変更しています。そして、セキュリティ情報 4 件を変更しています。 セキュリティ情報 (新規):MS08-041 (Snapshot): セキュリティ アドバイザリ 955179 でお知らせしていた Microsoft Access Snapshot Viewer の Active Xの脆弱性に対処しています。 単体で、入手可能な Microsoft Access Snapshot Viewer の更新プログラムについては準備を進めており、準備ができ次第セキュリティ情報を更新してお知らせする予定です。通常は、すべての更新の準備ができてから公開するのですが、今回は既に悪用が確認されていることもあり、この様なリリースを行うことにしました。 MS08-042 (Word): セキュリティ アドバイザリ 953635 でお知らせしていた Word の脆弱性に対処しています。Office XP (Word 2002) と Office 2003 (Word 2003) が影響を受けます。 MS08-043 (Excel): サポートしているすべてのバージョンのExcel と、Microsoft …

2008年8月のセキュリティリリース Read More »