2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は…


2014 年 12 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは!先ほど 12 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 12 月 10 日に公開した新規 7 件 (緊急 3 件、重要 4 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。 ※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。


2014 年 12 月のセキュリティ情報 (月例) – MS14-075、MS14-080 ~ MS14-085

2014 年 12 月 10 日 (日本時間)、マイクロソフトは計 7 件 (緊急 3 件、重要 4 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新、および、既存のセキュリティ情報 2 件の更新を行いました。 お客様は、できるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、緊急の次のセキュリティ情報 MS14-080 (Internet Explorer)、および、MS14-081 (Word および Office Web Apps) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。 ■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点 MS14-075 (Exchange): 11 月に公開を見合わせた Exchange Server のセキュリティ情報 (セキュリティ情報 12) を MS14-075 として公開しました。  MS14-084 (VBScript): Internet Explorer がインストールされていないか、Internet Explorer 8 以前がインストールされているコンピューターは、CVE-2014-6363 (VBScript のメモリ破損の脆弱性)…


2014 年 12 月 10 日のセキュリティ リリース予定 (月例)

2014 年 12 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 12 月 10 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 3 件、重要 4 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。 公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 https://technet.microsoft.com/ja-jp/library/security/bulletin/ms14-dec   セキュリティ情報 ID 総合的な深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア* セキュリティ情報  1 重要 特権の昇格 再起動が必要な場合あり Microsoft Exchange Server 2007、Exchange Server 2010、および Exchange Server 2013 セキュリティ情報  2 緊急 リモートでコードが実行される 要再起動 サポートされているすべてのリリースの Microsoft…


クラウド サービスの障害モデリング

本記事は、Cyber Trust ブログ “Fault Modeling for Cloud Services” (2012 年 10 月 11 日公開) を翻訳した記事です。 過去数週間に渡り、サービス停止の原因と関連する緩和策の戦略 (英語) および、クラウド サービス障害に備える重要性について投稿しました。今回は、障害によどみなく確実に対応するクラウド サービスを設計および構築するためにマイクロソフトが採用している方法の 1 つをご紹介します。この概念は目新しいものではありませんが、プロバイダーにとっても、お客様にとっても、一考の余地があるのではないかと考えています。 セキュリティ関連の問題を評価する際は、脅威のモデリングが設計プロセスの重要な手順になります。同様に、信頼できるクラウド サービスの設計プロセスでは障害のモデリングが重要です。障害のモデリングとは、サービスの相互作用点や依存関係を特定し、サービスを効率的に監視して問題を速やかに検出するためにはどこに投資すべきかをエンジニアリング チームが見極められるようにすることです。さらに、こうしたモデリングは、エンジニアリング チームを、障害に耐えるまたは障害を軽減するサービスの能力を高める効率的な対処メカニズムに導きます。 障害モデルの構築の主要なステップは次のとおりです。 コンポーネントのインベントリを作成する。インベントリには、Web サーバーでホストされるユーザー インターフェイス コンポーネント、リモート データ センターでホストされるデータベース、モデル化しているこのサービスが依存する外部サービスを含め、サービスが使用するすべてのコンポーネントが含まれます。 ユーザーのシナリオを作成する。シナリオでは、ユーザーがサービスを操作する可能性のある方法をすべて説明します。たとえば、オンライン ビデオ サービスの場合は、ログイン、ビデオ ライブラリの閲覧、ビデオの選択および視聴、視聴後のビデオの評価などについて説明します。 コンポーネントとシナリオを含むマトリックスを構築し、コンポーネントの利用を各シナリオにマッピングする。ユーザーのシナリオをコンポーネント インベントリにマッピングすると、各シナリオでどのコンポーネントにアクセスするかを特定し、依存関係や障害ポイントになりうる箇所を特定できます。  障害を処理するメカニズムを定義する。依存関係ごとに障害を処理するメカニズム (対処戦略) を定義しておけば、障害が起きたときにソフトウェアによって何らかの合理的な処置が確実に実行されます。「合理的」の意味は、サービスの機能や対処戦略で対応する障害の種類によって異なります。たとえば、自動車購入サービスのアーキテクトが、各車種の型式やモデル別の評価を示すアプリケーションを設計するとします。こうした購入サービスは、車種の比較評価を実施する別のサービスに依存することがあります。この場合、評価サービスが故障あるいは利用不能になったときの購入サービスの対処戦略は、車種のリストを一切表示しないのではなく、参考となる評価はなしに車種のリストを表示することであると思われます。つまり、特定の障害が起きても、サービスによって、顧客の立場から見た合理的な成果がもたらされるようにします。   サービスの信頼性に関する最近のホワイトペーパーをダウンロードして、これらの信頼性のトピックの詳細を確認することをお勧めします。   デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト  


セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開

本日、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。 このセキュリティ情報は、こちらのブログでもお知らせしていましたとおり、2014 年 11 月 12 日の月例セキュリティ情報公開日においては、公開が延期されていたものです。   お客様は、できるだけ早期に、セキュリティ更新プログラムを適用するようお願いします。 なお、既定の設定では自動更新が有効であるため、自動でセキュリティ更新プログラムが適用されます。   ■概要 11 月 19 日に、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。 このセキュリティ更新プログラムは、Microsoft Windows Kerberos KDC の非公開で報告された 1 件の脆弱性を解決します。この脆弱性により攻撃者は、特権のないドメイン ユーザー アカウントの特権からドメイン管理者アカウントに特権を昇格します。この脆弱性が悪用されるには、有効なドメイン資格情報を所有していることが攻撃者にとっての必要条件となります。 セキュリティ情報の公開時点で、この脆弱性の内容は一般には公開されていませんが、この脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。既知の攻撃は、Windows Server 2012 または、Windows Server 2012 R2 を実行するシステムには影響を及ぼしません。   ■影響を受けるソフトウェア Windows Server 2003 Windows Vista* Windows Server 2008** Windows 7 * Windows Server 2008 R2** Windows…


2014 年 11 月のセキュリティ更新プログラムのリスク評価

本記事は、Security Research & Defense のブログ “Assessing risk for the November 2014 security updates” (2014 年 11 月 11 日公開) を翻訳した記事です。 本日、33 件の個別の CVE を解決する 14 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、8 件が「重要」、2 件が「警告」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。   セキュリティ情報 最も起こりうる攻撃 セキュリティ情報最大深刻度 最大悪用可能性指標 プラットフォーム緩和策、および特記事項 MS14-064 (Windows OLE コンポーネント) ユーザーが悪意のある Office ドキュメントを開く。 緊急 0 CVE-2014-6352 は、限定的な標的型攻撃での利用が広まっています。 MS14-066 (SChannel) 悪意のあるユーザーが特別に細工されたパケットを公開されているサービスに送信する。 緊急 1 社内で、事前のセキュリティ評価の際に、発見されました。 MS14-065 (Internet Explorer)…


2014 年 11 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは!先ほど 11 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日  11 月 12 日に公開した新規 14 件 (緊急 4 件、重要 8 件、警告 2 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。 ※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。


2014 年 11 月のセキュリティ情報 (月例) – MS14-064 ~ MS14-079

2014 年 11 月 12 日 (日本時間)、マイクロソフトは計 14 件 (緊急 4 件、重要 8 件、警告 2 件) の新規セキュリティ情報を公開しました。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 3 種類のマルウェアに対応しています。 今月 7 日に公開した事前通知の内容から一部変更があります。”セキュリティ情報 5”、”セキュリティ情報 12” としてご案内していたセキュリティ情報は、問題が確認されたため、公開を見合わせています。今後適切なタイミングで公開を行う予定です。 お客様は、できるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS14-064 (Windows OLE)、MS14-065 (Internet Explorer)、および、MS14-066 (Schannel) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。 ■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点 セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」で説明された脆弱性に対処する、MS14-064 を公開しました。 “セキュリティ情報 5” の公開を見合わせたことにより、MS14-068 は公開していません。 “セキュリティ情報 12” の公開を見合わせたことにより、MS14-075 は公開していません。 本日、古いバージョンの Silverlight…


脆弱性緩和ツール EMET 5.1 リリースしました

こんにちは、村木ゆりかです。   本日、脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit, EMET) の新しいバージョン 5.1 を公開しました。 ツール、およびユーザーガイドは、こちらからダウンロードできます。 [12/12 追記] EMET 5.1 の日本語版ユーザーガイドを公開しました。ダウンロードはこちらからできます。 今回のバージョン 5.1 における主な変更点は: Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正 いくつかの緩和策の向上およびバイパスへの対策 「Local Telemetry」機能の追加 この機能により緩和策が実行された際にメモリダンプを保存することが可能になりました。 すべての変更点は、サポート技術情報 3015976 に記載されています。   特に、Windows 7, Windows 8.1 のInternet Explorer 11 にて EMET 5.0 を利用している場合は、EAF+ の緩和策との互換性の問題が報告されていました。この問題は EMET 5.1 で修正されていますので、アップデートをすることをお勧めします。 ■…