セキュリティ アドバイザリ (2659883) の脆弱性を解決する MS11-100 を定例外で公開

2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。 MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。 今回のセキュリティ更新プログラムでは、4件の脆弱性が修正されています。このうち3件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1件の ASP.NET の脆弱性の報告を受け、本日、4件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。 MAPP (Microsoft Active Protection Program) の対応今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に…


セキュリティ アドバイザリ 2659883 の問題を解決するセキュリティ更新の事前通知 (定例外)

マイクロソフトは、「セキュリティ アドバイザリ2659883」で説明している ASP.NET の脆弱性を解決する定例外のセキュリティ更新プログラムを公開する予定です。現時点では、セキュリティ更新プログラムを 2011 年 12 月 30 日 (日本時間) に公開する予定です。 この ASP.NET の脆弱性は、既に詳細情報が一般に公開されており、深刻度は緊急と評価しています。影響を受ける ASP.NET はすべてのバージョンの .NET Framework です。現時点でマイクロソフトは攻撃を確認していませんが、お客様におかれましては、セキュリティ更新プログラムが公開されしだい、早急にテストを行い、適用することをお勧めします。 公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec-ans


Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開

本日マイクロソフトは、Webアプリケーションがサービス拒否となる脆弱性に関するセキュリティ アドバイザリ 2659883 を公開しました。この脆弱性は、いくつかの Web アプリケーションベンダーに影響を与えますが、マイクロソフト製品では ASP.NET を含む IIS サーバーが脆弱性の影響を受けることを確認しています。現在、マイクロソフトはこの問題を解決するセキュリティ更新プログラムを開発中です。現時点ではこの脆弱性が悪用されたとの報告は受けておりませんが、マイクロソフトはこの脆弱性に関する詳細情報が一般に公表されていることを確認しています。   マイクロソフトは、セキュリティ更新プログラムがご利用可能になり次第、脆弱性の影響を受ける製品に対して早急にセキュリティ更新プログラムを適用することをお勧めします。この問題の影響を受ける環境や回避策などの詳細は、セキュリティ アドバイザリ 2659883をご参照ください。   脆弱性の概要 今回公表された脆弱性は、一般的に”ハッシュ衝撃攻撃 (Hash Collision Attack)” と呼ばれ、マイクロソフトのテクノロジーだけでなく、その他ベンダーの Web アプリケーションにも影響を与えます。マイクロソフト製品においては、攻撃者によって送信された細工した HTTP リクエストパケットを ASP.NET の Web サイトで受信するだけで、Web サイトの CPU リソースが一定時間 100% 消費されサービス拒否の状態になります。 マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。また、今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。   本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。   関連情報 マイクロソフト セキュリティ アドバイザリ (2659883): ASP.NET の脆弱性により、サービス拒否が起こる マイクロソフト サポート技術情報 2659883 Microsoft…


長期休暇の前に

寒い日が続きますね。初詣の CM が流れたり、街では歳末大売り出しののぼりや福引を見かけるようになりました。すっかり年末ムードがただよっていますね。 早い方は、もう年末年始休暇という方もいらっしゃるでしょうか? 休暇中は、普段よりもインターネットを利用する時間が長くなり、普段に比べて色々なトラブルや被害に遭う可能性も増えます。またこの時期は、クリスマス カードや年賀状などのグリーティング カードを電子メールで送りあうことも多く、特に電子メール経由での感染という点でも注意していただきたいところです。 日ごろから基本のセキュリティ対策を行い、セキュリティ知識を身につけることで、被害に遭わないようにしていきましょう。   <<ツールを活用する>>ツールを活用して、以下 3 つの基本のセキュリティ対策を行ってください。アクション センターや Windows セキュリティ センターで、それぞれの状態の確認や設定変更ができます。   自動更新を有効にして、ソフトウェアを最新の状態にするソフトウェアを常に最新の状態にしておくことで、ウイルス感染を防ぐことができます。 ウイルス対策ソフトウェアを最新の状態にするウイルス対策ソフトウェアがインストールされていても、最新の状態になっていないとウイルスを検知することができません。ウイルス対策ソフトが期限切れになっているもしくは定義ファイルが最新ではないという方は、更新を検討してください。または、無料のウイルス対策ソフトウェア Microsoft Security Essentials のインストールを検討してください。 ファイアウォールを有効にするインターネットを介してコンピューターに侵入しようとするハッカー、ウイルス、ワームの排除に役立ちます。   また、迷惑メールを減らすために、以下の 6 つの対策を検討してください。詳しくは、「Hotmail: 改良された新セキュリティ機能について」を参照してください。 メールアドレスを秘密にしておく 迷惑メール対策を備えたメール プログラムを使う 迷惑メール用の設定を行い特定のメールをブロックする 画像を無効にし、信頼できる人からの画像だけ見る 送信者がだれであっても、添付ファイルには注意し、ウイルス対策ソフトウェアを使う 迷惑メールや被害を報告する   それでは、みなさま良いお年をお迎えください。 関連リンク ▼ 長期休暇の前に ~セキュリティ対策のお願い~ ▼ セキュリティ対策の基本をビデオで確認する


2011 年 マイクロソフトのセキュリティ公開まとめ

今年最後となる 12月度の月例セキュリティ リリースも終わり、今年 1 年のセキュリティ リリースの振り返りをしてみたいと思います。2011 年は、合計 99 件のセキュリティ情報を公開し、計 232 件の CVE に対応しました。セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークにやや減少傾向にあります (図1)。 図 1: 半期ごとのセキュリティ情報公開数および CVE 対応数 (2006 年上半期 ~ 2011 年下半期)   緊急度の高いセキュリティ情報の減少 セキュリティ情報には「緊急」「重要」「警告」「注意」の 4 段階の深刻度を設定していますが、2011 年は 4 段階で最も高い「緊急」の割合が、全体の 3 分の 1 に留まりました (図 2)。これは、2003 年に月例のセキュリティ リリースを始めて以来初のことです。また、絶対数においても「緊急」のセキュリティ情報の数は 2006 年以降初めて最少となっています (図 3)。 マイクロソフトは 2002 年の「信頼できるコンピューティング」宣言以来、よりセキュアな製品の開発に力を入れてきました。製品自体の脆弱コードを減らす努力に加え、脆弱性が悪用されにくい製品の開発 (既定では実行がブロックされる、実行にはユーザーの操作を介す等) に力を入れており、この結果、お客様に与える影響をより低く抑えることができてきていると分析しています。 図 2: 深刻度別セキュリティ情報の割合…


2011 年 12 月のマイクロソフト ワンポイント セキュリティ

皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 本日 12 月 14 日に公開した新規 13 件 (緊急 3 件、重要 10 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。 ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx 下の画像をクリックして動画を再生してください。 [Video]


2011 年 12 月のセキュリティ情報 (月例)

先週の事前通知でお知らせしました件数から 1 件減り、計 13 件 (緊急 3 件、重要 10 件) のセキュリティ情報を公開しました。 ■今月のセキュリティ リリースで対応したセキュリティアドバイザリ: 「マイクロソフト セキュリティ アドバイザリ 2639658: TrueType フォント解析の脆弱性により、特権が昇格される」の問題について「セキュリティ情報 MS11-087: Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される」で対応しました。  「セキュリティ アドバイザリ 2269637: 安全でないライブラリのロードにより、リモートでコードが実行される」を更新し、「MS11-094 Microsoft PowerPoint の脆弱性により、リモートでコードが実行される」および「MS11-099 Internet Explorer 用の累積的なセキュリティ更新プログラム」を安全でないライブラリのロードに関連する更新プログラムとして追加しました。  「マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる」の問題について、事前通知の際のブログでは、今月のセキュリティ リリースで対応するとお伝えしましたが、セキュリティ更新プログラムの品質テストの過程でサードパーティ製ソフトウェアに影響する互換性の問題が見つかったため、今月の公開は見合わせることになりました。なお、このセキュリティアドバイザリ 2588513 で説明している脆弱性の悪用を試みる攻撃は現時点では確認していません。  ■2011 年 12 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec  ※ 「MS11-088 Microsoft Office IME (中国語版) の脆弱性により、特権が昇格される」のセキュリティ更新プログラムは、中国語版の…


2011 年 12 月 14 日のセキュリティ リリース予定 (月例)

2011 年 12 月 14 日に予定している月例のセキュリティ リリースについてのお知らせです。 来週水曜日に公開を予定している新規月例セキュリティ情報は、合計 14 件 (緊急 3 件、重要 11 件) です。 今月のセキュリティ リリースでは、次のセキュリティ アドバイザリの問題に対応する予定です。 マイクロソフト セキュリティ アドバイザリ 2639658: TrueType Font 解析の脆弱性により、特権が昇格される マイクロソフト セキュリティ アドバイザリ 2588513: SSL/TLS の脆弱性により、情報漏えいが起こる また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。 公開予定の詳細は、以下の事前通知のサイトをご覧ください。 http://technet.microsoft.com/ja-jp/security/bulletin/ms11-dec セキュリティ情報 ID 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア* セキュリティ情報 1 緊急 リモートでコードが実行される 要再起動 Microsoft Windows セキュリティ情報 2…


セキュリティ対策自己診断  あなたのスコアは?

2011 年 10 月、Microsoft Computing Safety Index (MCSI)  という、オンライン セーフティの自己診断ツールが公開されました。 これは、Microsoft  の Trustworthy Computing  (TwC)  グループが開発したもので、ユーザーが自身のPCの設定やオンライン上の行動に関する質問に回答することによって、どの程度オンライン上での安全を確保できているかということを測るためのツールです。 実際の診断ページはこちら(英語)で、 「ソフトウェア更新プログラムの自動更新を有効にしているか」 「コンピューターの Firewall は有効になっているか」 などの質問項目から成り、数分 ~ 5 分程度で診断できるようになっています。 診断結果は 0 ~ 100 点で表示され、スコアに応じて使用すべきツールや参考資料へのリンクが提供されます。 また、TwC では、米国、英国、フランス、ドイツ、ブラジルの 5 か国で行われた診断結果約 2,000 回答分を分析した結果を発表しました。 スコアの平均は 34 点で、大半の回答者がインターネット上での安全を守るために何らかの対策を講じているものの、まだ改善の余地があるようです。 また、分析結果から以下のことがわかりました。 ○ 62% が、不審者からメールで個人情報を尋ねられたことがある(過去 12 か月以内) ○ 53% が、アドウェアやスパイウェアに感染したことがある(過去 12か月以内) ○ 51% が、にウイルスやボットに感染したことがある(過去12 か月以内) ○ 44% が、自分自身に関する情報がどれだけオンラインで入手可能なのか不安に思っている ○ PC のセキュリティ対策ソフトウェアを信頼しているのはわずか 26%…


2011年、これまでの事例にみる脅威とその対策 第5回

  先日、あるミーティングで、長く情報セキュリティの第一線で活躍されている方達と、ネットワークセキュリティーの基本ともいえる境界領域防御の有効性について議論をする機会がありました。標的型攻撃などの最近の攻撃の多くは、従来のワームなどの動作と異なり、ファイアウォールなどの境界領域を突破して、内部ネットワークに直接入ってくるわけですが、このような攻撃に対して、境界領域防御の位置づけを、どのように考えたらよいだろうという議論です。メモを取っていたわけではないので、不正確かもしれませんが、結論は以下のようなものです。  境界領域防御は、即効性があり内部対策の負担の少ない有効な対策である  しかし、昨今の攻撃手法の変化に対しては、内部対策も必要になってきている   当然といえば当然ですが、境界領域防御がダメになったわけではなく、境界領域防御だけでは対策ができない攻撃が顕著化しているという事だと思います。単に「境界領域防御の限界」というと、境界領域防御が必要ないというニュアンスでとられてしまうのかもしれませんが、境界領域+αが求められているのだと思います。  同様の論理的な飛躍が、「出口対策」という言葉の使い方にも見られるように思います。IPAから出ている“「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン[1]“を根拠として、「出口対策」の必要性だけが強調される事があります。このガイドラインでは「入り口対策(基本的な対策)」をとった上で、そこで防げないものについては、被害が発生・拡大しないように「出口対策」が必要だということを指摘したもので、従来の対策が無力だと言っているわけではありません。当たり前なのですが、「出口対策」だけでは対策になりません。  なお、このガイドラインでは、ネットワーク対策が中心とされており、PCやサーバーといったホスト対策については、ほとんど触れていません。この点については、ずいぶんと議論させていただいたのですが、ホスト対策は環境依存が大きく、ガイドラインに実効性を持たせることが難しいとの判断になりました。現状では難しいとしても、新しく導入するシステムや、重要性の高いシステムについては、ホストレベルの対策を導入していく事が重要だと考えていますので、次回以降では、こちらのガイドラインでは割愛されているホスト対策についても取り上げていこうと考えています。    まずは現状の確認から始めよう   公開セグメントの対策において、以下の二つの視点から現状を確認する。まずは、ログやコンテンツからシステムが置かれている状況を調査し、次にネットワークセキュリティ対策の視点から、必要な対策が取られているか、また、早急に対応すべきところがないかを調査する。   ログやコンテンツの確認 ①   コンテンツの確認 ②   公開サーバーのログの確認     セキュリティ対策状況の確認 ③   ノードの洗い出し(ホスト、PC、ネットワークデバイスなど) ④   アクセスコントロールの確認 ⑤   アカウント(パスワード)の確認 ⑥   脆弱性の確認   ログとコンテンツの調査: Log Parser  ログやコンテンツの確認のための方法は色々とあるのだが、今回は、マイクロソフトが無償で公開しているツールLog Parserを使った調査方法を紹介する。  Log Parserは、SQLに似た構文を使って、汎用性の高いログ分析を行うことが出来るツール。基本的な入力として、Webサーバーのログ(IIS, W3C, NCSA等)、イベントログ、ファイルシステム、NETMON, CSV, TSVなどが用意されており、出力は、CSV,TSV, XML, グラフ(CHART)、SYSLOGなどが用意されている。入力、出力とも拡張が可能で、たとえばPCAPの分析や、snortのログも扱うことができる。 Log Parserは、任意のフォルダーで実行できるので、USBメディアや、ネットワーク共有を使って実行出来る点も、使いやすいと考えている。  Log Parser 2.2 日本語版http://technet.microsoft.com/ja-jp/scriptcenter/dd919274   Log Parserがグラフ(CHART)を出力するためには、”Office 2003 アドイン : Office Web Components”が必要となる。これも合わせてインストールする。なお、OfficeWebComponentsには、既知の脆弱性があるので、忘れずにセキュリティ更新も行う。  Office 2003 アドイン :Office Web Componentshttp://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=7287252C-402E-4F72-97A5-E0FD290D4B76&displaylang=ja   Log Parserの使い方は、パラメーターなしでlogparser.exeを実行するとことで確認出来る。詳しく取り上げたいところだが、今回は、コマンドの説明は割愛させていただく。logparser –h…