脆弱性

2008年3月のセキュリティリリース (Office 以外も注意)

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。 今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。 MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの”Office以外の製品”にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。影響を受ける OWC を含む製品は以下となります。 開発環境 (クライアント)Visual Studio .NET 2002 Service Pack 1Visual Studio .NET 2003 Service Pack 1 サーバー環境Microsoft BizTalk Server 2000Microsoft BizTalk Server 2002Microsoft …

2008年3月のセキュリティリリース (Office 以外も注意) Read More »

2008年3月のセキュリティリリース予定

小野寺です 今月は、計 4 件 (緊急4 件) の公開を予定しています。リリース日は、週明け水曜日 (03/12) です。加えて、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムが Microsoft Update 経由で 2 件となっています。 http://www.microsoft.com/japan/technet/security/bulletin/ms08-mar.mspx   影響を受ける製品 最大深刻度 影響 検出方法 再起動 セキュリティ情報 1 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 2 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 3 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 セキュリティ情報 4 Microsoft Office Web Components 緊急 リモートでコードが実行される MBSA 必要 # …

2008年3月のセキュリティリリース予定 Read More »

Windows Vistaの1年間の脆弱性に関するレポート

小野寺です。 2006年の11月末に Windows Vista を出荷してから一年以上が経過しました。出荷から一年間のWindows Vista, XPの脆弱性についてのレポートを公開しました。Windowsだけではなく、Red Hat Linux, Ubuntu および Mac OSについても合わせて分析しています。 この分析の結果、Windows Vistaが Security Development Lifecycle (SDL) の効果により、脆弱性数が確認することができます。もちろん、脆弱性の数 = 製品の安全性ではなく、最終的な安全性は色々な要素で決まります。とはいえ、脆弱性は少ないに越したことないわけで、指標の一つとして面白いレポートになっていると思います。 レポートは以下からダウンロード可能です。http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.xps (XPS)http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.pdf (PDF) 英語版のレポートは、2008/1/23 からレポートの著者である、Jeff Jones Security Blogで公開しています。http://blogs.technet.com/security/archive/2008/01/23/download-windows-vista-one-year-vulnerability-report.aspx  

Excelの脆弱性

小野寺です。 本日、Excelの脆弱性に関してセキュリティ アドバイザリ 947563を公開しました。  http://www.microsoft.com/japan/technet/security/advisory/947563.mspx 不正に細工された、Excel ファイルを開くことで、影響を受ける可能性があります。この脆弱性は、広範囲に悪用が確認されているわけではなく、限定された範囲でのみ確認されています。 影響を受けるのは、Excel 2000 (Office 2000) /Excel 2002 (Office XP)/Excel 2003 SP2以前 (Office 2003), Excel Viewer 2003/Excel 2004 for Macになります。 以下のバージョンは影響を受けません – Excel 2003 SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206) – Excel 2007 – Excel 2008 for Mac また、Excel 2003 (Office 2003) の場合は、SP3 を適用する以外に、以下で紹介している MOICE (Microsoft Office Isolated Conversion Environment)を使うのも今回の脆弱性の対応には有効です。  http://www.microsoft.com/japan/technet/security/advisory/937696.mspx

セキュリティ インテリジェンス レポート 第3版を公開

小野寺です 2007年上半期 (1月~6月)のセキュリティの脅威の動向をまとめた、セキュリティ インテリジェンス レポートの第3版を公開しました。もちろん、日本語版もあります。今回から、要約版 ‘主要な調査結果の概要  (Key Findings Summary)’を公開しています。日本語版は、約 10 ページとなっており、第2版のボリュームに比べると、かなり読みやすくなっているのではないかと思います。 2007年上半期のデータとして、興味深いのはマルウェアのタイプとしてダウンロード型が劇的に増加している点です。 従来のウイルス・ワームやBotがメール等にそのまま添付されてくるのに対して、添付は、ダウンローダーのみであり、その後に攻撃者の意図したマルウェア本体が侵入したダウンローダーにより外部より取得され、インストールされるわけです。そのため、ダウンローダーとダウンロードされたマルウェアの両面に対処する必要があります。私見ですが、攻撃者側が今まで以上に組織的で戦略的に攻撃を仕掛けているように思います。これに対して、企業のITシステムを個々のPCではなく、一つの大きな塊として企業全体を見通して継続的にリスクを集中管理できているのか、不安に感じることがあります。 ちなみに、要約版ではない、完全版は 92 ページあり、最初は英語版のみのていきょうとなります。完全版の日本語版については、時期も含めて検討しています。

不安と対策

小野寺です。 最近、以前の様な大規模で、ネットワーク全体に被害が及ぶようなセキュリティ事故は、あまり目にしなくなっています。 とはいえ、Bot (ボット) や、Targeted Attack (標的型攻撃)の特定の組織や個人を狙った問題が増えています。 フィッシング詐欺なんかも、標的型の攻撃の一種ですね。 トレンドマイクロさんが調べた結果だと、何らかの不安を感じている利用者は 98% に上っているようです。 しかし、その一方で、同じ母集団ではないですが、対策をしている利用者は 2割~3割程度という調査結果もあります。少し乱暴な推測ですが、利用者は不安は感じているけれども、対策はしていないという事になります。 実社会において、何らかの不安を感じたら何か不安に対処するために対策を取っていると思います。 (もしかすると、不安を対策とは別の手段で打ち消しているかもしれませんが・・・)しかし、実際には、インターネットやパソコンに関して、不安と感じても対策を取っていないわけです。 対策しない理由は、「現実感が無い (自分だけは被害にあわない)」、「対策にお金が掛かる」、「対策方法が分からない」、「理由は無いが対策したくない」など色々とあると思っていますが、 少なくとも、「現実感が無い」「対策にお金が掛かる」の部分は、セキュリティに関わるものとして何とかしたいと思っています。 OenCare などの有償のサービスもありますが、セキュリティーに関する資料や無償のツールも併せて公開しています。 我々の活動がまだまだ不足しているのか、本当に伝えたい利用者には伝えるべき事が伝え切れていないと軽い無力感を感じます。しかし、 先日の TechED でも MVP の方々とお話させていただいた中で、親として子供に、いつから何を教えていけば子供が安全に使えるのか、分からないと言う事をききました。この話を聞いたとき、まだまだやるべき事は多く残っていると感じました。セキュリティチームでは、家庭向けのセキュリティコンテンツも提供していますが、彼らの悩みに直接答えるものではありませんでした。 些か愚痴っぽくなりましたが、少しずつでもインターネットが安心して使える安全な環境である様にしていきたいですね。もちろんそれは、私個人ができるものでは、ないですし、マイクロソフトだけでできるものではありません。 きっと、インターネットの成り立ちの様に利用する個人・個人が少しだけ意識することで、状況が改善していくのだと感じています。 そのための、お手伝いできる事は何なのかを最近考えます。