サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心?

よく、「サポート終了後の製品でも、マルウェア対策ソフトを実行していれば大丈夫?」とのご質問を受けます。答えは No なのですが、今日はマルウェア対策ソフトだけでは不十分である理由をお話します。 リアルタイム保護が有効なマルウェア対策ソフトを実行していても、マルウェアには感染する マイクロソフトの調べでは、リアルタイム保護が有効なマルウェア対策ソフトを実行しているシステム (下図 1 の Protected) でもマルウェアに感染することが示されています。昨今の攻撃においては、有名なマルウェア対策ソフトで検知されないことを確認してからマルウェアを配布したり標的型攻撃を行うケースや、一度端末に侵入するとマルウェア対策ソフトを OFF にしたりパターンファイルの更新を妨害するマルウェアもあります。標的型攻撃が増える中、セキュリティ ベンダーが新型マルウェアを先行入手できない結果、最新のパターンファイルに更新しても最新のマルウェアを捕まえられない状況も起きています。図1: リアルタイム保護が有効・無効な場合のマルウェア感染率 (オペレーティング システム(OS)/Service Pack (SP) 別) サポート終了製品はサポート中の製品に比べ、感染率が高くなるリアルタイム保護が有効なマルウェア対策ソフトを実行していても、サポート終了後の製品 (下図 2 の Windows XP Service Pack 2) は、サポート中の製品 (Windows XP Service Pack 3) よりマルウェア感染率が高くなっています。(Windows XP サポート終了後のセキュリティ~ マルウェア感染率が示すリスク の「サポートが終了したソフトウェアのマルウェア対策」も参照)図 2: リアルタイム保護が有効・無効な場合のマルウェア感染率 (Windows XP SP2 および SP3) 上記 2 の主な理由は、脆弱性に対するセキュリティ更新プログラムが提供されているか否かWindows XP サポート終了後は新しいセキュリティ更新プログラムが提供されず、新規に見つかった脆弱性が野ざらしとなります (※)。攻撃者にとってはおいしい話で、マルウェア対策ソフトさえバイパスすればいいわけですから、日々新しいマルウェアを開発し、マルウェア対策ソフトが追いつけない状況が増えることも考えられます。※ 2012 年 7…


休暇中に被害に遭わないために ~お休み前のセキュリティ チェック

今年の年末年始は大型休暇になる方もいらっしゃるのではないでしょうか。 特に一斉休暇となりオフィスからひとけがなくなることからも、セキュリティに気を付ける必要があります。「休み中に自分のPCがウイルス感染して、踏み台に利用され会社の情報が漏えいしてしまった・・・」なんて事になりたくありませんよね。そのためには、休暇の前に、自分の使っているPC環境をぜひ確認しておきましょう。   休暇前のセキュリティ チェック ポイント  ソフトウェアを最新の状態にする ウイルスなどに代表される悪意のあるソフトウェア(マルウェア)は、製品の脆弱性を悪用します。このような悪用を防ぐために、Windows などのOSに加え、Microsoft Office製品、Adobe Reader, Adobe Flash Player, Oracle Javaなどアプリケーション等も、セキュリティ更新プログラムを適用し最新の状態にしておきましょう。PC にインストールされているソフトウェア製品のバージョンが最新であるか、については、独立行政法人 情報処理推進機構 (IPA) が公開している便利なツール「MyJVN バージョンチェッカ」で簡単に確認できます。ぜひ利用してください。   マルウェア対策ソフトウェアを最新にしておく マルウェア対策ソフトウェアは正しく動いていますか?また、定義ファイルなどの更新は正しく行われていますか? 覚えがないのにマルウェア対策ソフトが無効やエラーになってしまっている場合は、すでにマルウェアに感染している可能性があります。不審な点を感じたら、企業・組織内のIT ヘルプデスクに確認をするか、マイクロソフトが無償で提供しているMicrosoft Safety Scanner を利用して確認を行いましょう。   ファイアウォールを有効にしておく ファイアウォールは正しく有効になっていますか? 企業や組織内で、一括管理をしている場合は、自身で手動変更などしないようにしましょう。   ログオフする 普段は画面ロックを利用している方も、PCからログオフをし、休暇中は利用する必要のないPCは電源をきっておきましょう。また、遠隔地の PC を操作するリモート接続をつなぎっぱなしにしていたり、業務システムへログオンしっぱなし、認証を行うためのスマートカードをPCに挿しっぱなしにしていたりしませんか? 普段から、このような「しっぱなし」はセキュリティ側面からは良くない慣習です。この機会にぜひ見直してください。   机とロッカーを片付ける 書類、ノートやメモは散らかっていませんか?USB デバイスを置きっぱなしにしていませんか?休暇中はオフィスには人影がなくなります。情報漏えい、紛失、盗難の危険を防ぐためにも、整理整頓し、ロッカーや袖机は施錠しましょう。   モバイル機器の管理を確認する 業務で利用している携帯電話、モバイル端末、ノートパソコンは、安全に保管されていますか?休暇中の管理の方法や、業務で社外へ持ち出す必要がある場合は、組織内のポリシーを順守し、安全に管理しましょう。         休暇の時期は、フィッシングなどのオンライン詐欺にも注意が必要です。 MSN ゆりか先生セキュリティ講座「明日は我が身!最新のオンライン詐欺はこんなに怖い」もご覧になってください。   関連サイト 長期休暇の前に…


2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。  概要2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 333 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。 月の傾向セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。 図 1: 2013 年の月別セキュリティ情報公開数 製品の傾向次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013…


2013 年 12 月のセキュリティ更新プログラムのリスク評価

本記事は、Security Research & Defense のブログ “Assessing risk for the December 2013 security updates” (2013 年 12 月 10 日公開) を翻訳した記事です。 本日、24 件の CVE を解決する 11 件のセキュリティ情報をリリースしました。セキュリティ情報の内、5 件は最大深刻度が「緊急」、そして 6 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。   セキュリティ情報 最も起こりうる攻撃ベクター セキュリティ情報最大深刻度 最大悪用可能性指標 公開 30 日以内の影響 プラットフォーム緩和策、および特記事項 MS13-096 (GDI+ TIFF解析) 被害者が悪意のある Office ドキュメントを開く。 緊急 1 CVE-2013-3906 を使用した Office ドキュメントへの攻撃が続く可能性があります。 セキュリティ アドバイザリ 2896666 で初めて解説された脆弱性を解決します。これらの攻撃に関する詳細情報は 11…


2013 年 12 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは!先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日  12 月 11 日に公開した新規 11 件 (緊急 5 件、重要 6 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。 ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169 下の画像をクリックして動画を再生してください。 [Video]


2013 年 12 月のセキュリティ情報 (月例) - MS13-096~MS13-106

2013 年 12 月 11日 (日本時間)、マイクロソフトは計 11 件 (緊急 5 件、重要 6 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティアドバイザリ 3 件の公開、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェアに対応しています。 なお、先日こちらのブログでもお知らせしたセキュリティ アドバイザリ 2896666「Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される」で報告されていた脆弱性については、本日、セキュリティ情報 MS13-096 を公開し、脆弱性を解決するセキュリティ更新プログラムをリリースしました。 お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS13-096 (Graphics), MS13-097(Internet Explorer), MS13-099(Scripting) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。 ■ 新規のセキュリティ アドバイザリの公開 (3 件) セキュリティ アドバイザリ 2871690「非準拠の UEFI モジュールを失効させる更新プログラム」UEFI セキュア ブート時に読み込まれる可能性がある、9 個の非公開のサードパーティ製 UEFI (Unified Extensible Firmware Interface)…


セキュリティ アドバイザリ 2916652「不正なデジタル証明書により、なりすましが行われる」を公開

[2013/12/13 追記] Windows XP および Windows Server 2003 用の更新プログラムがご利用いただけるようになりましたことをお知らせします。 2013 年 12 月 10日、セキュリティ アドバイザリ 2916652「不正なデジタル証明書により、なりすましが行われる」を公開しました。   デジタル証明書は、Web サイトが正規のサイトであることを確認するために利用されます。不正なデジタル証明書は、なりすまし、フィッシング、または中間者攻撃に悪用される可能性があります。このデジタル証明書の悪用からお客様を保護するために、マイクロソフトは証明書信頼リスト (CTL) を更新し不正な証明書の信頼を排除する更新を行いました。   影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2916652 を参照してください。   推奨するアクション Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2においては、証明書の自動更新ツールが既定で実装されており、自動的に保護が行われるので、措置を講じる必要はありません。   Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2 において、証明書の自動更新ツール(サポート技術情報 2677070)を利用している場合、自動的に保護が行われるので、措置を講じる必要はありません。   Windows XP および Windows…


2013 年 12 月 11 日のセキュリティ リリース予定 (月例)

2013 年 12 月の月例セキュリティ リリースの事前通知を公開しました。2013 年 12 月 11 日に公開を予定している新規月例セキュリティ情報は、合計 11 件 (緊急 5 件、重要 6 件) です。 また、来週公開予定のセキュリティ更新プログラムで 2013 年 11 月 6 日 (日本時間) にセキュリティアドバイザリ 2896666 で説明している Microsoft Windows、Microsoft Office、および Microsoft Lync に影響する Microsoft Graphics コンポーネントの脆弱性についても解決する予定です。 2013 年 11 月 28 日に、セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開しましたが、この問題に対応するセキュリティ更新プログラムは、今月のセキュリティ情報には含まれません。セキュリティ アドバイザリ 2914486 をご確認いただき、回避策の適用をご検討ください。 なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト)…


より安全性の高い暗号方式を利用しましょう

こんにちは、村木ゆりかです。 2013 年 11 月度の定例セキュリティ情報公開日に、マイクロソフト セキュリティ アドバイザリ(2868725) 「RC4 を無効化するための更新プログラム」を公開しました。これは、マイクロソフトが安全な暗号化や証明書の利用を促進するための継続的な取り組み (セキュリティ アドバイザリ2854544) の一環です。    暗号は「使ってさえいれば安全」ではない 安全なデータのやり取りのために、とりあえずSSL/TLS などの暗号化は設定しているが、詳細な設定は適当なまま。そんな方も多いのではないでしょうか?  誰でも内容を読めてしまう状態(平文) でデータをやり取りすることが危険だということは明白です。では、例えば、暗号化した文章「NHB LV PV」はどうでしょう?「アルファベット順に 3 つずらす」という仕組み (暗号方式) を利用しており、復号すると「KEY IS MS」となります。この暗号文は、確かにそのままでは文章として読めませんが、単純な暗号方式であるため、勘のいい方はすぐ元の文章がお判りになったか、時間をかけていくつかの知られている暗号化方式を試すことで解読できます。これでは暗号化している意味がありません。  暗号化方式の多くは複雑性や解読までにかかる時間などを基に設計されています。このため、以前は誰も破れなかった暗号方式も、コンピューターの処理速度の向上や、新たな解析手法の登場などにより、解読できてしまい安全性が低下 (危殆化) することがあります。安全性を保つためには、暗号化を利用するだけではなく、より安全な方式を利用することがとても重要です。   RC4 とは? ストリーム型と呼ばれる暗号化方式の 1 つで、高速でコストが安いことから多くのアプリケーションに採用されてきました。現在では、技術の進化から解読可能であることが判明するなどアルゴリズムの安全性が低くなっています。しかしながら、依然として広く利用されており、RC4 を利用する SSL/TLS が攻撃に利用されるケースが広まっています。  Internet Explorer 11では、RC4 以外のより安全性の高い暗号化方式を優先的に利用し、TLS1.2 が既定で有効であるなど、安全な方式を優先的に利用するよう設計されています。BEAST 攻撃などの現在広く知られている攻撃に対して、TLS1.2 は影響を受けません。 ウェブ サイトと、ブラウザーの間でどのような方式を利用するかは、お互いが利用できる方式を優先付けと共に通知し利用可能なものを選択します。マイクロソフトが500 万のウェブ サイトを対象に調査したところ、RC4 以外のより安全な暗号化方式が利用できるにも関わらず、ブラウザーの設定などにより利用されていないケースが約40% もあることが分かりました。Internet Explorer 11 が安全な方式を優先的に利用する設定を既定で行うことで、自動的にユーザーにより安全な環境を提供する事ができます(参考:MSRC 公式ブログ、Internet…


セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開

2013 年 11 月 28 日、セキュリティ アドバイザリ 2914486「Microsoft Windows カーネルの脆弱性により、特権が昇格される」を公開しました。   Windows XP および Windows Server 2003 のカーネル コンポーネントの脆弱性に関するレポートについて調査を行っています。Windows Vista 以降の Windows は、この脆弱性の影響はありません。Microsoft Active Protections Program (MAPP) メンバーの 1 社が、サードパーティ製品のリモートでコードが実行される脆弱性により危険にさらされているシステムで、この問題が悪用されていることを発見しました。この限定的な標的型攻撃は、悪意のある PDF ファイルを開かせることで、Windows XP および Windows Server 2003 に存在するこの脆弱性を悪用します。   現在、この問題に対応するセキュリティ更新プログラムの開発に向け取り組んでいますが、それまでの間、Windows XP または Windows Server 2003 をご利用のお客様は、アドバイザリで説明している「NDProxy.sys を無効にし、Null.sys に経路を切り替える」回避策の展開を検討してください。   関連リンク: Microsoft Security Response Center ブログ…