[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2

本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしているSSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。 (1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。 2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要がります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください。 (2) セキュリティアドバイザリ 3009008 に記載のある回避策について、クライアントでの回避策とサーバーでの回避策を分かりやすくするよう記載変更しました。 (3) Internet Explorer での回避策 (SSL 3.0無効化)…


セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開

2014/11/12 に本脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-064 として公開しました。 本日、マイクロソフト セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」を公開しました。このアドバイザリでは、すべてのサポートされるバージョンの Windows において確認された OLE オブジェクトの処理に存在する脆弱性の説明、および回避策の情報を提供しています。 ※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。 現在マイクロソフトでは、脆弱性を悪用する悪意のある Microsoft PowerPoint ファイルを利用した限定的な標的型攻撃を確認しています。 脆弱性の詳細の確認および調査が完了次第、マイクロソフトでは適切な措置を実施する予定です。これには、月例あるいは定例外セキュリティ更新プログラムの公開などを含みます。それまでの間、お客様は、アドバイザリに記載されているガイダンスに従い、回避策を適用することを検討してください。     ■影響を受ける環境 ​ Windows Server 2003 を除く、サポートされるすべてのバージョンの Windows   ■発生する可能性のある影響 悪意のあるユーザーは、以下のような方法で、ユーザーを攻撃する可能性があります。 電子メールの添付ファイルなどで、脆弱性を悪用するように細工された Microsoft Office ファイル (PowerPoint ファイル) などをユーザーに送付します。 悪意のあるウェブサイトを閲覧するよう、フィッシング メールなどで誘導します。ウェブサイトに、細工された Microsoft Office ファイル (PowerPoint ファイル) などを配置し、ユーザーに開かせるよう誘導します。  もし、細工された Microsoft Office ファイル (PowerPoint ファイル) などを開いた場合、リモートでコードが実行される可能性があります。リモートでコードが実行された場合、悪意のあるユーザーが遠隔地からあなたのコンピューターを乗っ取り、さまざまな操作を行う可能性があります。 詳細は、「絵でみるセキュリティ:…


[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。   ————————– 以前、こちらのブログでもお伝えしたように、8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS 14-051 (KB2976627) Internet Explorer 用の累積的なセキュリティ更新プログラムにて、古いバージョンの ActiveX コントロールの利用をブロックするセキュリティ強化の機能変更を公開し、2014 年 9 月 10 日 (日本時間) より、古いバージョンの Java のブロックを開始しています。  10 月 14 日 (米国時間) に、このセキュリティ機能の対象および機能を 11 月に拡張することを、IE Blog (英語情報) にてお知らせしました。本ブログで、その内容をお伝えします。…


2014 年 10 月のセキュリティ更新プログラムのリスク評価

本記事は、Security Research & Defense のブログ “Assessing risk for the October 2014 security updates” (2014 年 10 月 15 日公開) を翻訳した記事です。 本日、24 件の個別の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、3 件は最大深刻度が「緊急」、5 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。   セキュリティ情報 最も起こりうる攻撃 セキュリティ情報最大深刻度 最大悪用可能性指標 プラットフォーム緩和策、および特記事項 MS14-058 (カーネル モード ドライバー [win32k.sys]) 攻撃者が Office ドキュメント、または Web ブラウザを利用してユーザーのコンピューターに悪意のあるフォントをロードし、その結果、リモートでコードが実行される。 緊急 0 CVE-2014-4148 および CVE-2014-4113 の悪用が確認されています。CVE-2014-4148 は、リモートコード実行に利用されました。CVE-2014-4113 は特権の昇格に利用されました。 NULL ページ マッピングの緩和策…


セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開

本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。 ※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。 SSL 3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。 マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆弱性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、現時点では、悪用は確認されていません。 詳細は、セキュリティ アドバイザリ 3009008 を参照してください。   ■影響を受けるソフトウェア・環境 サポートされるすべてのバージョンの Windows ※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。   ■ 回避方法 SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。 クライアント側: グループ ポリシー、あるいは、個別にSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2…


2014 年 10 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

皆さん、こんにちは! 先ほど 10 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。 今月から、ビデオは「ゆりか先生」が担当しています。本日  10 月 15 日に公開した新規 8 件 (緊急 3 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。 ※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。 ご利用のブラウザーは video タグをサポートしていません。 ■関連リンク ウイルスやプライバシーなど気になるセキュリティ問題について、簡単に実践できるセキュリティ対策をご紹介していますので、ぜひご覧ください。 ゆりか先生のセキュリティひとくち講座 http://www.microsoft.com/ja-jp/security/msy/default.aspx   ゆりか先生の情報セキュリティ講座 http://www.msn.com/ja-jp/news/microsoft/information


[IT 管理者向け] SHA-1 からの移行を推奨しています

■ 2016/7/13: マイクロソフト ルート証明書プログラムにおける SHA-1 ハッシュ アルゴリズムの廃止に関するガイダンス (IT 管理者向け) を公開しました。 ■ 2015/10/26 更新 SHA-1 ハッシュ アルゴリズムに関する最新情報は https://aka.ms/sha1 をご確認ください。 本ブログの内容は 2015/10/26 時点の https://aka.ms/sha1 情報をもとに更新済みです。   こんにちは、村木ゆりかです。 本日、セキュリティ アドバイザリ 2949927「Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能」にて、SHA-2 サポートを公開しました。 現在マイクロソフトでは、証明書で利用するハッシュ アルゴリズムのうち、SHA-1 を廃止し、SHA-2 を含む、より強固なアルゴリズムに移行することを推奨し利用を促進しています。 今回は、あらためて、SHA-1 ハッシュ アルゴリズムの廃止について、2013 年 11 月に公開したセキュリティ アドバイザリ 2880823「マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止」を中心にご案内したいと思います。…


2014 年 10 月のセキュリティ情報 (月例) – MS14-056 ~ MS14-063

2014 年 10 月 15 日 (日本時間)、マイクロソフトは計 8 件 (緊急 3 件、重要 5 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 2件の公開、既存のセキュリティ アドバイザリ 2 件の更新、および、既存のセキュリティ情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 6 種類のマルウェアに対応しています。 今月 10 日に公開した事前通知の内容から一部変更がありました。セキュリティ情報 4 としてご案内していたセキュリティ情報は、問題が確認されたため、公開を見合わせています。今後適切なタイミングで公開を行う予定です。 お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、いずれも緊急の次の 3 つのセキュリティ情報 MS14-056 (Internet Explorer), MS14-057 (.NET Framework), MS14-058 (カーネルモード ドライバー) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。 ■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点 MS14-059: ASP.NET MVC 5.0、5.1を使用している場合、影響を受けるコンポーネント (System.Web.Mvc.dll) を持つアプリケーションが過去にロードされていないと自動更新経由で、セキュリティ更新プログラムが配布されません。この条件に該当するお客様 (または、これに該当するかどうかわからないお客様) は、セキュリティ情報の「影響を受けるソフトウェア」の表に記載された Microsoft ダウンロード センター…


2014 年 10 月 15 日のセキュリティ リリース予定 (月例)

2014 年 10 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 10 月 15 日に公開を予定している新規月例セキュリティ情報は、合計 9 件 (緊急 3 件、重要 5 件、警告 1 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。 公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 https://technet.microsoft.com/ja-jp/library/security/bulletin/ms14-oct   セキュリティ情報 ID 最大深刻度 脆弱性の影響 再起動の必要性 影響を受けるソフトウェア* セキュリティ情報 1 緊急 リモートでコードが実行される 要再起動 すべてのサポートされているエディションの Microsoft Windows 上の Internet Explorer セキュリティ情報 2 緊急 リモートでコードが実行される 再起動が必要な場合あり すべての影響を受けるリリースの Microsoft Windows…


クラウドのサービス障害に備える重要性

本記事は、Cyber Trus ブログ “The Importance of Planning for Services Failure in the Cloud ” (2012 年 9 月 21 日公開) を翻訳した記事です。   クラウド サービスに関して言えば、サービス障害は起こるもので、生じるかどうかという問題ではなく、いつ生じるかという問題だと思っています。事態が複雑になるほど、障害を想定したり予測することが難しくなります。そのため、信頼を構築してお客様との長期的な関係を維持するためには、障害に耐えうるサービスを設計し、サービスを速やかに復旧させるためのプランを整えておくことが極めて重要です。 私の経験上 (英語)、基本的にクラウド サービスの障害の主な原因には、次の 3 点が挙げられます。 人為的なミス デバイスやインフラストラクチャの障害 ソフトウェアの脆弱性 こうした障害は必ず起こるものと想定する一方で (実際、上記の 3 つは恒常的な脅威です)、過去の記事 (英語)で説明したような組織の目標を堅持していれば、自ずとサービス障害に備えることがいかに大切かが見えてきます。クラウド サービス プロバイダーは、障害が起きたときのお客様への影響を最小限に抑えるために万策と尽くす必要があります。 復旧指向コンピューティング (ROC) (英語) では、上記の 3 点に起因する潜在的な問題を軽減するためにクラウド サービスの設計および実装に適用される研究分野として、次の 6 つを定義しています。 復旧プロセスの訓練: 開発時と実運用時の両方で、復旧プロセスの訓練を日常的に実施して修復メカニズムをテストする。 診断補助: 診断補助を使用して障害の根本的な原因を分析する。 障害ゾーン: クラウド サービスを障害ゾーンに分離して障害を封じ込め、速やかに復旧できるようにする。…