Internet Explorer

2014 年 8 月のセキュリティ情報 (月例) – MS14-043 ~ MS14-051

2014 年 8 月 13 日 (日本時間)、マイクロソフトは計 9 件 (緊急 2 件、重要 7 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 1 件の更新、および、既存のセキュリティ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェアに対応しています。 お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、次の 3 つのセキュリティ情報 MS14-043 (Media Center), MS14-048 (OneNote), MS14-051 (Internet Explorer) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。   ■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点 インストールに関する注意点がいくつかありますので、インストールを行う前にご確認下さい。 今月のセキュリティ更新プログラムより、すべての環境において、Windows 8.1 / Windows Server 2012 R2 Update (2919355) がインストールされていない Windows 8.1、および、Windows Server 2012 R2 コンピューターには、Windows …

2014 年 8 月のセキュリティ情報 (月例) – MS14-043 ~ MS14-051 Read More »

2014 年 8 月 13 日のセキュリティ リリース予定 (月例)

2014 年 8 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 8 月 13 日に公開を予定している新規月例セキュリティ情報は、合計 9 件 (緊急 2 件、重要 7 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。 ■ Internet Explorer が古い ActiveX コントロールを無効化するよう変更されます 8 月 13 日に公開予定の Internet Explorer のセキュリティ更新プログラムでは、古いバージョンの Java ActiveX コントロールをインターネットゾーンで利用している場合、警告を表示して利用を無効化するセキュリティ強化が含まれる予定です。大半の ActiveX コントロールは自動更新ではないため、古い ActiveX コントロールを利用したままになっていることが多く、脆弱性が悪用されセキュリティ被害にあうケースが増えています。こうしたことから、今回のセキュリティ強化を行うことで、古いバージョンを利用している場合には、警告を表示し、最新版へ更新を促すことで、より安全なインターネット利用の実現を計ります。 Internet Explorer 9 から Internet Explorer 11 [8/11 追記] 多くのお客様からのフィードバックを受け、本機能の有効化は9月9日(米国時間)より開始するようスケジュールを変更しました。 …

2014 年 8 月 13 日のセキュリティ リリース予定 (月例) Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開

2014/5/8 17:00 記載: セキュリティ更新プログラムが正しくインストールされたか確認を行いたい場合は、「更新プログラムが正しくインストールされたか確認する方法」をご覧ください。KB2964358 あるいは、KB2964444 が更新履歴に表示されていれば正しくインストールされています。(必要なセキュリティ更新プログラムの詳細は、セキュリティ情報をご参照ください)。もし、インストールされていない場合は、「Windows Update 利用の手順」をご参照ください。 2014/5/2 13:30 記載: 本セキュリティ更新プログラムは自動更新が有効なお客様には自動で配信されます。ただし、現在、順次配信を行っており、Windows Update でのチェックボックスがオフになっている場合もあります。この場合チェックをオンにしてインストールしていただくことも可能です。(5/9 現在すべてのお客様に自動で配信されています) 2014/5/2 13:00 記載:  セキュリティ情報 MS14-021 内のダウンロードリンクからセキュリティ更新プログラムをダウンロードされるお客様へ。ダウンロードリンクをクリックして表示される英語のダウンロードセンターページから、[Select Language] で Japanese を選択し、更新プログラムをダウンロードください。なお、言語依存のない Vista 以降の一部のセキュリティ更新プログラムは、English しか選択できないものもありますが、その場合は English を選択ください。言語依存はありませんので、日本語環境でも適用していただけます。また、セキュリティ更新プログラムは Microsoft Update カタログからも入手いただけますのでご利用ください。 —————————————————————– 本日、セキュリティ アドバイザリ (2963983) (4 月 26 日 (米国日付) 公開) で説明している Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。 今回の脆弱性への対応において、特例として、Embedded 含む Windows XP 上の Internet Explorer 用セキュリティ更新プログラムも公開することを決定いたしました。 Windows …

セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 Read More »

[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。  —————————————————————– 本脆弱性に関し、お客様からの疑問や不安の声も多く寄せられたため、現時点で判明している事実をもとに、お客様から寄せられた疑問に Q&A 形式で回答しています。回避策については、 [回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される にまとめています。また、本ブログの最後に「回避策の解説」を記載しています。セキュリティ更新プログラムによる対応が行われるまでの間、お客様の環境を保護するために、記載の回避策を実施してください。   Q. Internet Explorer を起動するだけで攻撃されると聞きましたが、本当ですか? A. いいえ。コンピューターワームなどとは異なり、Internet Explorer を立ち上げているだけで攻撃を受けるものではありません。Internet Explorer を使用して、攻撃者により特別に細工されたウェブサイトを表示した場合に、脆弱性が悪用される可能性があります。適切な対応を実施していただくことで、被害を未然に防ぐことが可能です。   Q. 今回問題になっているのはどのような脆弱性ですか? A. リモートでコードが実行される脆弱性です。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに Internet Explorer がアクセスする方法にこの脆弱性が存在します。この脆弱性により、メモリが破損し、攻撃者が Internet Explorer の現在のユーザーのコンテキストで任意のコードを実行する可能性があります。   Q. 脆弱性とは何ですか? A. 脆弱性とは、ソフトウェアにおけるセキュリティ上の問題点のことです。ウイルスなどに代表される悪意のあるソフトウェア (マルウェア) は、この脆弱性を悪用してシステムに侵入し、パスワードやクレジットカード情報を盗むなどの犯罪を行います。   Q. どのように攻撃されるのですか? A. 攻撃者は、この脆弱性の悪用を意図して特別に細工した Web サイトをホストし、ユーザーを誘導 (例:偽装メール等で、悪意のあるサイトに誘導する) してその …

[FAQ まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される Read More »

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。 —————————————————————————- このブログでは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明している脆弱性について、ユーザー別に推奨する回避策を記載しています。このブログでは、お客様環境に合わせて設定しやすい回避策を記載していますが、その他の回避策やすべての回避策を実施していただいても問題ありません。 ■ 回避策 セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。 個人のお客様 ※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。   Windows Vista をお使いのお客様: VML の無効化を実施してください。   32 ビット (x86) 版の Windows 7 以降のオペレーティング システムをお使いのお客様: VML の無効化を実施してください。   64 ビット (x64) 版の Windows 7 以降のオペレーティング システムをお使いのお客様: Internet …

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される Read More »

セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開

2014/5/2 更新: 本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。 —————————- 本日マイクロソフトは、セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開しました。  このアドバイザリは、Internet Explorer において確認されている脆弱性の説明、および脆弱性から保護するための回避策を提供しています。ユーザーが、影響を受けるバージョンの Internet Explorer で特別に細工されたウェブサイトを閲覧した場合に、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。 この脆弱性の悪用状況は、現在のところ Internet Explorer 9, Internet Explorer 10, Internet Explorer 11 を対象とした限定的な標的型攻撃のみを確認しています。アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。   ■ 影響を受ける環境 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11     ■ 回避策 セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下のいずれかまたは併せて回避策を実施してください。 …

セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 Read More »

サポート終了後のセキュリティ~危険なサイトにアクセスしなければ大丈夫?

悪意のあるソフトウェア (マルウェア) からコンピューターを保護するため、「怪しいメールは開かない」、「危険なサイトにはアクセスしない」というのは、基本的な鉄則であり、みなさんも日ごろから心がけていらっしゃることだと思います。 たとえ、サポートが終了した製品を使用していたとしても、特定の Web サイトへのアクセスには、メールや Web サイトに記載されたリンクはクリックせず、ブックマークからアクセスしているので、それだけで安全だとお考えではないでしょうか? もちろん、セキュリティのリスクを低減させることはできますが、残念ながら、それだけでは不十分です。 もし、ブックマークからアクセスした正規のサイトが改ざんされていたとしたらどうでしょう? IPA (独立行政法人情報処理推進機構) の「2014 年 1 月の呼びかけ」にあるとおり、Web サイトの改ざん数は増加傾向にあります。IPA への届け出件数は過去流行時の約 2 倍という状況です。正規の Web サイトが改ざんされた場合、一見しただけでは判別することは難しく、危険なサイトにアクセスしてしまったことさえ気づかないでしょう。 以下は、2013 年の上半期にマイクロソフトのマルウェア対策製品が最も多く検出したエクスプロイト (悪用) ファミリの遭遇率を四半期ごとに示したものです。 1H13 にマイクロソフトのマルウェア対策製品が最も多く検出したエクスプロイト ファミリの四半期ごとの遭遇率に関する傾向 (相対普及率に準じて色分けしたもの) セキュリティ インテリジェンス レポート 第 15 版より ブラウザーやプラグインを狙ったエクスプロイトが目立ちます。また、これらのエクスプロイトは、新たな脆弱性を狙ったものではなく、古い脆弱性を悪用していることがわります。 改ざんされた Web サイトでは、古い脆弱性を悪用してマルウェアを拡散している場合が多くあります。ソフトウェアを最新にすることで、こうした脅威からコンピューターを守ることができます。 危険なサイトから身を守るために 危険なサイトから身を守るためには、次の 3 点が重要です。 ソフトウェアを最新の状態に保つ マルウェア対策ソフトウェアを最新の状態に保ち、リアルタイム保護を有効にする 安全なブラウザーを利用する ■ ソフトウェアを最新の状態に保つ オペレーティング システムだけでなく、利用しているすべてのソフトウェアに最新のセキュリティ更新プログラムを適用します。コンピューターを常に最新の状態に保ち、既知の脆弱性を使用した攻撃からコンピューターを保護します。Windows XP、Office 2003、Internet Explorer 6 …

サポート終了後のセキュリティ~危険なサイトにアクセスしなければ大丈夫? Read More »

IE9 にアップグレードすると言語パックがインストールできない現象

2012/4/17 更新: IE9 にアップグレードすると言語パックがインストールできない問題は、4 月 14 日に修正されました。現在は、この問題は発生いたしません。既に問題に遭遇されている場合は、下記解決方法を実施してください。   2012 年 4 月 11 日 (日本時間) 以後、Windows Vista で Internet Explorer (IE) 7 または 8 をご使用のお客様が、自動更新、Windows Update もしくは手動で IE9 にアップグレードした場合、インストール後の IE9 の表記が英語になり言語パックのインストールに失敗する現象が報告されています。 マイクロソフトは 2012 年 4 月 11 日 (日本時間) に月例のセキュリティ更新プログラムを公開し、Internet Explorer (IE) の累積セキュリティ更新 MS12-023 (KB2675157) を公開しています。現在 MS12-023 との関連性も含めて本現象の調査を行っています。 現象詳細0.  MS12-023 (KB2675157) が予めインストールされていてもいなくても結果は同じです。1.  Windows Vista 上で IE7 または …

IE9 にアップグレードすると言語パックがインストールできない現象 Read More »

Internet Explorer を自動アップグレードするセキュリティ上のメリット

先日、日本マイクロソフトの公式ブログにて、日本における Internet Explorer (IE) の自動アップグレードについてご案内しました。3 月中旬より、Windows Update の自動配信により、Windows XP SP3 をご利用のお客様は、Internet Explorer 8 に、Windows Vista SP2 および Windows 7 RTM/SP1 をご利用のお客様は、Internet Explorer 9 に順次自動アップグレードされます。自動アップグレードに際してのお客様の操作は不要です。 以前 IE のセキュリティ機能の進化と題したブログでご紹介したように、新しいバージョンの IE は多くのセキュリティ機能を実装しています。例えば、IE9 におけるソーシャル エンジニアリング型マルウェアの検出率は 99% を誇り、他ブラウザーの群を抜いています。この検出率が低いブラウザーでは、Web サイトを閲覧しただけでマルウェアに感染したりフィッシングなどの被害に遭遇する可能性が高くなります。現実的には、どのサイトが安全かを常に見極めて Web を閲覧することはなかなか難しいので、ブラウザーがその役割を果たしてくれるのはとても心強いですね。 新しいバージョンの IE ではその他にも、クロスサイトスクリプティングに対するフィルターや、特定の Web サイトのコンテンツがユーザーの閲覧行動を追跡できないようにする追跡防止機能など、さまざまなセキュリティおよびプライバシー保護の強化を行っています。この機会に是非アップグレードを行い、より安全にインターネットをお楽しみください。 なお、企業のお客様で、独自のアップグレード計画をお持ちの場合、自動配布を無効にする無効化ツールキット (IE8 用 / IE9 用) をお使いいただくことで、ブラウザーのアップグレードを管理することができます。なお、WSUS、SCCM (System Center Configuration Manager)、Windows Intune をご利用の企業のお客様は、自動アップグレードの対象とはなりません。詳細については、下記ブログをご参考ください。 参考 …

Internet Explorer を自動アップグレードするセキュリティ上のメリット Read More »