時事ネタ

2008年3月のリリースに関する追加情報

小野寺です。  MSRC Blogでも、書いていますが、MS08-014 を提供した環境で計算結果に違いが出る現象が発見され現在調査を行っています。 この現象の影響を受けるのは、以下の製品で他のバージョンは、影響受けません。  Excel 2003 Service Pack 2 + MS08-014  Excel 2003 Service Pack 3 + MS08-014 加えて、現在分かっている範囲で現象の発生条件は、以下のすべてを満たす場合となります。  – Visual Basic for Applications (いわゆるマクロ)から、Real Time Data (RTD) Sourceを使っている  – RTD を使った、ある程度複雑なクエリを処理している。 詳細は、セキュリティ情報 MS08-014 の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」に記載しています。  http://www.microsoft.com/japan/technet/security/bulletin/ms08-014.mspx この現象への対策などの更新情報は、セキュリティ警告サービスを通じて行う予定です。

2008年3月のセキュリティリリース予定

小野寺です 今月は、計 4 件 (緊急4 件) の公開を予定しています。リリース日は、週明け水曜日 (03/12) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムが Microsoft Update 経由で 2 件となっています。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx   影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 3 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 4 Microsoft Office Web Components 緊急 リモートでコードが実行される MBSA 必要 # …

2008年3月のセキュリティリリース予定 Read More »

今度のFIRST TC は東京開催だ!

小野寺です。 世界各国の Incident Response (インシデント対応)にかかわる人たちが加盟する FIRST という組織がありますが、定期的に集まって、Technical Colloquia (TC) を開いています。そこで、いろいろな情報交換が行われるわけですが、このTCには基本的に FIRSTのメンバーしか参加できません。 しかし、今回の東京開催では、日本国内の FIRST メンバーが主催で、誰でも参加可能な Joint Workshop on Security 2008,Tokyo を開催します。タイムテーブルをみると結構な充実ぶりなので、インシデント対応にかかわる人は参加して損はないのではないかと個人的に思っています。 詳細と登録は、以下のサイトへhttps://regist.e-side.co.jp/product_info.php?products_id=105

IT Security Award 2008 受賞者発表

小野寺です。 先ほど、IT Secruity Award 2008の受賞者発表のサイトを公開しました。  http://www.microsoft.com/japan/technet/security/award/default.mspx 代表の4名はすでに発表していましたが、他の受賞者の方々のお名前を掲載しました。 全問正当した方は、おめでとうございます。ぜひ、ご自身の名前を探してみてください。 ちなみに、3部門すべてで全問正当しているかたは、特別賞として別途掲載しています。全問正当は・・・という方は、問題と解答を公開していますので、再度チャレンジしてみてください。 また、COOの樋口から、今回のAwardに参加いただいき、ITにかかわる方々に向けたメッセージも合わせて公開しています。

Windows Vistaの1年間の脆弱性に関するレポート

小野寺です。 2006年の11月末に Windows Vista を出荷してから一年以上が経過しました。出荷から一年間のWindows Vista, XPの脆弱性についてのレポートを公開しました。Windowsだけではなく、Red Hat Linux, Ubuntu および Mac OSについても合わせて分析しています。 この分析の結果、Windows Vistaが Security Development Lifecycle (SDL) の効果により、脆弱性数が確認することができます。もちろん、脆弱性の数 = 製品の安全性ではなく、最終的な安全性は色々な要素で決まります。とはいえ、脆弱性は少ないに越したことないわけで、指標の一つとして面白いレポートになっていると思います。 レポートは以下からダウンロード可能です。http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.xps (XPS)http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.pdf (PDF) 英語版のレポートは、2008/1/23 からレポートの著者である、Jeff Jones Security Blogで公開しています。http://blogs.technet.com/security/archive/2008/01/23/download-windows-vista-one-year-vulnerability-report.aspx  

ついに、 Windows Server 2008完成!

小野寺です。 Windows Server 2008 日本語版が、ついて完成し製造工程向けの出荷を開始しました。MSDNやTechNetサブスクリプション会員の方は、すでにダウンロード可能です。 Windows Server 2008 は、Windows Vista 同様に Security Development Lifecycle (SDL) に基づいて開発された製品であり、セキュリティに特化した設計時の脅威分析とそれに基づいた防護策が色々と施されています。発見された1つの脅威に対して、複数の防護策をとる多層防御の考え方が、製品その物に息づいてていると思っています。Windows Vista の場合で、出荷後 1 年間の脆弱性数を Windows XP と比較するだけでも 1/3 に減少しています。Windows Server 2008 でも、同様以上の結果ができるものと期待したいですね。(この辺の詳しいレポートは、近日このブログで公開しようと思います) また、今まで個々の PC やサーバーのセキュリティをそれぞれに維持することで、ネットワーク全体のセキュリティレベルを維持してきました。Windows Server 2008 の出荷により、ネットワーク アクセス保護機能 (いわゆる NAP)が使えるようになりますので、ネットワークが自律的にセキュリティを維持することができるようになります。セキュリティは、理想的には、セキュリティ対策のための対策ではなく、適切な全体運用統制の結果としてセキュリティも維持管理されるわけですが、その理想に少し容易に近づけるようになったのかもしれません。 これからが、楽しみです。製品情報サイトURL: http://www.microsoft.com/japan/windowsserver2008/ 開発者向け情報提供サイト:MSDN Windows デベロッパー センター Windows Server 2008 URL:http://www.microsoft.com/japan/msdn/windows/windowsserverlonghorn/ ITエンジニア向け情報サイト: TechNet Windows Server テックセンターURL: http://www.microsoft.com/japan/technet/windowsserver/default.mspx

Excelの脆弱性

小野寺です。 本日、Excelの脆弱性に関してセキュリティ アドバイザリ 947563を公開しました。  http://www.microsoft.com/japan/technet/security/advisory/947563.mspx 不正に細工された、Excel ファイルを開くことで、影響を受ける可能性があります。この脆弱性は、広範囲に悪用が確認されているわけではなく、限定された範囲でのみ確認されています。 影響を受けるのは、Excel 2000 (Office 2000) /Excel 2002 (Office XP)/Excel 2003 SP2以前 (Office 2003), Excel Viewer 2003/Excel 2004 for Macになります。 以下のバージョンは影響を受けません – Excel 2003 SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206) – Excel 2007 – Excel 2008 for Mac また、Excel 2003 (Office 2003) の場合は、SP3 を適用する以外に、以下で紹介している MOICE (Microsoft Office Isolated Conversion Environment)を使うのも今回の脆弱性の対応には有効です。  http://www.microsoft.com/japan/technet/security/advisory/937696.mspx

あなたのPCは大丈夫? (CHECK PC!)

小野寺です。 今日からCHECK PC! の本年度版が始まったみたいです。今年は、「上戸彩」さんがイメージキャラクターの様です。 http://www.checkpc.jp/top.html 私も、一通り試してみましたが、この分かり易さはマイクロソフトのサイトでも見習っていきたいですね。リスク診断を行うと、その対策や説明も表示されますが、Windows ユーザー向けの情報を以下にまとめておきます。(ちなみに、私のリスク診断はちゃんと 0 リスクでした) スパイウェア Windows Vistaには、Windows Defender というスパイウェア対策ソフトが標準で搭載されていますので、それを利用していただくのが第一歩です。 Windows XP のユーザーは、以下のサイトから、Windows Defender を無償で入手できます。 http://www.microsoft.com/japan/athome/security/spyware/software/default.mspx フィッシング Internet Explorer 7 から、フィッシングフィルタが標準搭載されました。自動検出とブラックリストの組み合わせで動いています。  Windows Vista は、標準搭載、Windows XP は、以下のサイトから無償で入手できます。http://www.microsoft.com/japan/windows/downloads/ie/getitnow.mspx 不正アクセス 悪用の手口をしって、気おつけていくことも大切ですが、まずは、OSやアプリケーションを最新の状態にすることが必要です。 Microsoft Update を使うことで、Windwos,Office などを一括して更新することができます。 http://microsoftupdate.microsoft.com ウイルス ウイルス対策は、もしもの時にために導入することを強くお勧めします。 マイクロソフト製のウイルス対策ソフトなら Windows Live OneCare (http://onecare.live.jp/) があります。(企業向けは Forefront です) 他社からも提供されており、詳しくは以下   Windows XP用: http://www.microsoft.com/japan/athome/security/viruses/wsc/ja/default.mspx   Windows Vista用: http://www.microsoft.com/japan/athome/security/update/windowsvistaav.mspx また、プロバイダ各社で、セキュリティサービスを提供しており、それを併用するのもお勧めです。   http://www.microsoft.com/japan/security/msra/giais.mspx

MS07-069適用後の問題に対処する更新を公開

 五味です。   12月12日に公開した「MS07-069 Internet Explorer 用の累積的なセキュリティ更新プログラム」を適用後、Windows XP SP2 上の Internet Explorer 6 を使用している環境で、特定のウェブサイトを参照すると Internet Explorer 6 が異常終了する現象がありました。(問題の詳細はこちら KB946627)   先ほど、この現象に対する更新プログラムを公開しました。 http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=cc096493-367d-4d28-80ab-2a70139ae839   Windows Update/Microsoft Update/WSUS/自動更新でも入手可能です。

「情報セキュリティ」を、なめんなよ!

小野寺です。 今日、「みんなで『情報セキュリティ』強化宣言!2008」に関する発表を事務局各社共同で行いました。この「みんなで『情報セキュリティ』強化宣言!2008」は、今年から始まり、来年で 2 年目となる活動で、情報セキュリティについて、自分自身にできる事を少しずつ行って、その輪を広げていこうというものです。現状から一歩でも前に進みたいと望む気持ちがあれば、どんな企業・組織でも参加できます。1/31からは、個人の方々の参加も募集開始します。 情報セキュリティ=完璧なセキュリティを想像されがちですが、そうではなくて、もっと多くの人が「少しでも」の気持ちで意識を持つことが大切なのだと思っています。そんな気持ちのある、貴方の参加をお待ちしています。申し込みは下記サイトから!  http://www.netanzen.jp/ ちなみに・・・今年のイメージキャラクターは、「なめねこ」です。 マイクロソフトの報道資料は、以下。事務局各社でも同じものを公開しているので、各社のサイトをめぐってみるのも面白いかも。  http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3310  http://www.microsoft.com/japan/presspass/addcont.aspx?addid=957