マイクロソフト報奨金プログラムの拡張 – Windows 用の Office Insider ビルドに関する報奨金プログラム

私たちは、Office 製品が設計上セキュアであるように開発し、そのセキュリティ機能を拡張するために継続的な投資を行っています。Office のセキュリティ水準を高く保つ方針のもと、Windows 用の Office Insider ビルドに関する報奨金プログラムを開始します。


Office 365 のセキュリティ研究者の皆さまへ: 2017 年 3 月 ~ 5 月は報奨金が 2 倍になります

ユーザーの保護と研究者への報奨という方針に従って、Online Services Bug Bounty プログラムの更新についてお知らせします。2017 年 3 月 1 日から 5 月 1 日までの間、Exchange Online および Office 365 管理ポータルについて提出された対象となるセキュリティの脆弱性に対して 2 倍の報酬を支払います。


2016 年 9 月のセキュリティ情報 (月例) – MS16-104 ~ MS16-117

2016 年 9 月 14 日 (日本時間)、マイクロソフトは計 14 件 (緊急 7 件、重要 7 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、新規のセキュリティ アドバイザリ 2 件の公開を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに Win32/NightClick、Win32/Prifou、Win32/Suweezy および Win32/Xadupi に対する定義ファイルが追加されています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。


マイクロソフト報奨金プログラムの拡張 – Microsoft .NET Core および ASP.NET Core に関する報奨金プログラム

本日、新たなマイクロソフト報奨金プログラムの拡張をお知らせできることを嬉しく思います。現在実施中の報奨金プログラムに .NET Core および ASP.NET Core を追加します。2016 年 9 月 1 日より、Windows と Linux バージョンの .NET Core および ASP.NET Core に関する報奨金プログラムを開始します。


マイクロソフト報奨金プログラムの拡張 – Microsoft Edge のリモートでのコード実行 (RCE) の脆弱性に関する報奨金プログラム

本日、マイクロソフト報奨金プログラムを新たに拡張することをお知らせします。マイクロソフトは、Windows Insider Preview ビルド上の Microsoft Edge におけるリモートでコードが実行される脆弱性に関して、報奨金プログラムを開始します。


マイクロソフト 報奨金プログラムの拡張 – .NET Core および ASP.NET Beta 報奨金

本記事は、Microsoft Security Response Center のブログ "Microsoft Bounty Programs Expansion – .NET Core and ASP.NET Beta Bounty" (2015 年 10 月 20 日米国時間公開) を翻訳した記事です。    投稿: ジェイソン シャーク – プリンシパル セキュリティ ストラテジスト – MSRC   ーーーーーーーーーーーーーーーーーーーー 本日、マイクロソフト 報奨金プログラム (英語情報) のもう一つの画期的な拡張についてお知らせします。詳細はこちら (英語情報) でご確認いただけます。この新しい報奨金プログラムについては、2015 年 10 月 21 日 (米国時間) に SyScan 360 のセッションでもご説明します。我々は、マイクロソフトが今月の初旬にリリースした .NET Core および ASP.NET…


Windows 10: 強化された脆弱性緩和技術で攻撃のコストを上げる

システムやアプリケーションの脆弱性を悪用し、不正なコードと置き換えて実行させるのは典型的な攻撃手法の 1 つですが、この場合、脆弱性を足がかりに、追加のマルウェアのインストールなどが行われ、結果的にコンピューターを好きなように操作されてしまいます。脆弱性にはセキュリティ更新プログラムを適用するのが最善策ですが、必ずしもすぐに適用できなかったり、ゼロデイのようにセキュリティ パッチが作成される前に攻撃が実行される場合もあります。   そのような状況からシステムを保護するために、Windows 10 では、実効性のある攻撃コードの開発を困難にするための、より強化された機能が搭載されています。   強化された脆弱性緩和機能 脅威に対する耐性の 1 つとして、また攻撃コストを高めるため、Windows には、脆弱性を悪用した不正なコード実行を防ぐ (困難にする) いくつかの緩和機能が搭載されています。Windows のバージョンを重ねるごとに、そのときどきの悪用手法に対抗する機能が追加、強化されており、Windows 10 では、新たな機能として制御フロー ガードという緩和機能が追加されました。     Windows 2003 以前 Windows XP SP2 Windows Vista/7 Windows 8 Windows 10 追加/強化された機能 特になし DEP /GS SafeSEH Heap hardening v1   ASLR v1 SEHOP Heap hardening v2   ASLR v2 Kernel SMEP &…


マイクロソフト 報奨金プログラムの展開 – Azure および Project Spartan

本記事は、Microsoft Security Response Center bのブログ "Microsoft Bounty Programs Expansion – Azure and Project Spartan" (2015 年 4 月 23 日公開) を翻訳した記事です。   投稿: ジェイソン シャーク – プリンシパル セキュリティ ストラテジスト – MSRC   この度、マイクロソフト 報奨金プログラム (英語情報) において意義深い展開をお知らせできることを嬉しく思います。マイクロソフトは、オンライン サービス バグ発見報奨金プログラムを発展させ、Project Spartan 新規報奨金プログラムの立ち上げ、そして緩和策バイパス報奨金プログラムの改定を展開していきます。 オンライン サービス バグ発見報奨金プログラム (英語情報) への追加事項を含む本プログラムの継続的な展開について: Azure Azure は、マイクロソフトのクラウド プラットフォームであり、マイクロソフト クラウド サービスの基幹でもあります。 このプログラムは、Azure Virtual Machine、Azure Cloud…


[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化します

更新情報 2015 年 4 月 15 日: Internet Explorer 11 では SSL 3.0が既定で無効にするセキュリティ更新プログラムを、セキュリティ情報 MS15-032「Internet Explorer 用の累積的なセキュリティ更新プログラム (3038314)」で配信開始しました。詳細についてはマイクロソフト セキュリティ アドバイザリ 3009008 を参照してください。 ——————————————————————————————- セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしている SSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) のウェブサイトでの安全な通信 HTTPS (HTTP over SSL) における対策として、2015 年 4 月 14 日 (米国時間) より Internet Explorer 11 でSSL 3.0 を既定で無効化します。  ■ POODLE 脆弱性とは? SSL 3.0…


2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は…