security

2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は …

2014 年マイクロソフトのセキュリティ情報まとめ Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。  概要2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 333 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。 月の傾向セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。 図 1: 2013 年の月別セキュリティ情報公開数 製品の傾向次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013 …

2013 年マイクロソフトのセキュリティ情報まとめ Read More »

Microsoft Releases Security Advisory 2914486

Today we released Security Advisory 2914486 regarding a local elevation of privilege (EoP) issue that affects customers using Microsoft Windows XP and Server 2003. Windows Vista and later are not affected by this local EoP issue. A member of the Microsoft Active Protections Program (MAPP) found this issue being used on systems compromised by a third-party …

Microsoft Releases Security Advisory 2914486 Read More »

ActiveX Control issue being addressed in Update Tuesday

Late last Friday, November 8, 2013, a vulnerability, CVE-2013-3918, affecting an Internet Explorer ActiveX Control was publically disclosed. We have confirmed that this vulnerability is an issue already scheduled to be addressed in “Bulletin 3”, which will be released as MS13-090, as listed in the November Advanced Notification Service (ANS). The security update will be …

ActiveX Control issue being addressed in Update Tuesday Read More »

The October 2013 security updates

This month we release eight bulletins – four Critical and four Important – which address 25* unique CVEs in Microsoft Windows, Internet Explorer, SharePoint, .NET Framework, Office, and Silverlight. For those who need to prioritize their deployment planning, we recommend focusing on MS13-080, MS13-081, and MS13-083. Our Bulletin Deployment Priority graph provides an overview of …

The October 2013 security updates Read More »

ユーザーを守る上でのセキュリティ サイエンスの効果

本記事は、Microsoft Security Blog のブログ “The Impact of Security Science in Protecting Customers” (2013 年 7 月 25 日公開) を翻訳した記事です。 Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。この分析は、過去 7 年 (2006 ~ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。 本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。 悪用が発見されたリモートでコードが実行される (RCE) 脆弱性の年間件数は減少している。 脆弱性が頻繁に悪用されるのは主にセキュリティ更新プログラムが提供された後であるが、ここ数年はセキュリティ更新プログラムが提供される前に脆弱性が悪用されるケースの割合が増加傾向にある。 図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較   スタック破損の脆弱性の悪用はこれまで最も頻度が高い脆弱性クラスだったが、最新の調査結果ではほとんど発生しなくなっている。悪用された件数は、2006 年の 43% から 2012 年の 7% に減少した。 図 2: 悪用が発見された CVE の脆弱性クラスの分布   現在最も発生頻度の高い脆弱性クラスは、解放後使用の脆弱性である。 …

ユーザーを守る上でのセキュリティ サイエンスの効果 Read More »

Advance Notification Service for October 2013 Security Bulletin Release

Today we’re providing advance notification for the release of eight bulletins, four Critical and four Important, for October 2013. The Critical updates address vulnerabilities in Internet Explorer, .NET Framework and Windows. The Critical update for Internet Explorer will be a cumulative update which will address the publicly disclosed issue described in Security Advisory 2887505.   As …

Advance Notification Service for October 2013 Security Bulletin Release Read More »

「モノのインターネット」上のセキュリティ

皆さん、こんにちは!日本マイクロソフトのセキュリティチームの新メンバーのモーリスと申します。   昨今、インターネットに接続しているデバイスが話題になったことを機に、今回は「モノのインターネット」上のセキュリティについてお話したいと思います。   ■「モノのインターネット」とは何でしょうか? 「モノのインターネット (Internet of Things)」とは 1999 年にマサチューセッツ工科大学に属していた研究者のケヴィン・ アシュトンに作られた言葉で、従来のパソコンとサーバーで主に構成されているインターネットとは対照的に、あらゆる電子機器やセンサーと通信機能の付いていたさまざまなモノで構成されているインターネットとのことです。   この造語が生まれた 1999 年では、「モノのインターネット」はあえて言えば理論上のものでしたが、近年ますます実現化の方向へ進んでいます。現実世界には携帯電話は勿論のこと、テレビ、HDD レコーダー、ゲーム機、ベビーモニター、デジカメ、メモリカード、洗濯機、冷蔵庫、腕時計など、身の回りにインターネットに接続しているデバイスが既に溢れています。集積回路の縮小化と低エネルギー化の技術の進展、IPv6、Bluetooth、WiFi などの技術標準の普及により、近い将来、このようにインターネットに接続しているデバイスが更に飛躍的に増えるでしょう。   ■「モノのインターネット」の実現によりセキュリティにどんな影響があるでしょうか? 一般のユーザーが意識しなくても、モノのインターネットを構成しているデバイスは、さまざまな機能を持っており、インターネットに接続すると、パソコンと同様の脅威に直面します。   長年の取り組みにより近代のパソコン用のオペレーティング システムはオープン インターネット上の多岐に渡る脅威に対して強化されています。Windows の場合、Windows XP がリリースされてからの 12 年間にたくさんの先進セキュリティ技術が開発され、Windows Vista、Windows 7、Windows 8 のリリースに伴い段階的に導入されてきました。(Windows XP 時代から導入されてきた記述についてはこちらで詳しく説明されています。) その上、セキュリティ技術の他、新興脅威の発生に向けて健常な対応プロセスが整っています。継続的に脅威の状況を監査し、脆弱性が確認されたらセキュリティ更新プログラムを速やかに作成、速やかに広く配信するシステムがあります。   しかし、残念なことに全てのインターネットに接続できるデバイスは十分なセキュリティ対策が実装されていない現状もあります。最近、セキュリティ会社が度々デバイスの脆弱性についてのアドバイザリを発表し、「不正アクセス」、「特権の昇格」、「リモートコード実行」、など、かつてパソコンやサーバーでしか見られなかった脆弱性の影響が一般の家電や携帯用インターネットデバイスにも見られるようになってきました。それに、健全な脆弱性対策プロセスと安全な自動的なソフトウェアのアップデート機能が整備されていないデバイスもたくさんあります。   ■こんな実情でセキュリティをどう守れるでしょうか? インターネットに接続可能なデバイスを購入するときに、まず下記の 3 点を考えましょう。 ①   リスクの測定: デバイスの悪用により個人情報の漏洩や安全性の問題はあり得ますか? ②   デバイスのメーカーは脆弱性対応プロセスを完備していますか?プロセスの健常性を測るのが難しいかもしれませんが、ウェブを検索すれば脆弱性報告窓口の有無を簡単に確認できます。 ③   脆弱性を修正するソフトウェア更新プログラムは自動的にインストールされますか?自動的に更新されないデバイスであれば手動のアップデート入手方法とインストール方法を確認しましょう。   モノのインターネットを楽しみながら、デバイスのセキュリティ状況も意識していきましょう。