サポート終了後のセキュリティ~重要な情報は保存していないから大丈夫 ?

皆さん、こんにちは ! このブログを見る方は、セキュリティ意識が高い方が多いため、ご存知かと思いますが、2014 年 4 月 9 日 (水) (日本時間) に、Windows XP と Office 2003 のサポートが終了となります。後 44 日と迫ってきましたが、コンピューターの買い替えや Windows や Office をアップグレードするなどの対策は、すでに完了しましたでしょうか ? 自分のコンピューターには重要な情報は保存していないため、サポート終了後も使い続けて安全だと考えて、継続して使用することを検討している方がいましたら、以下を読んで、今一度、どのような影響があるかを理解いただければ幸いです。  警察庁の発表によると、昨年は、インターネット バンキングの不正送金が 1315 件発生し、被害額は約 14 億 600 万円と過去最大であったとの報道が行われています。このように、攻撃者は、悪意のあるソフトウェア (マルウェア) を利用するなどの手段で、コンピューターから重要な情報を盗み出します。しかし、攻撃者はこれ以外にもさまざまな方法で攻撃を行います。例えば、2012 年の夏から秋にかけて起こったパソコン遠隔操作事件のように、悪意のある攻撃者にあなたのコンピューターを遠隔操作されることもあります。また、コンピューターがボットネットに組み込まれてしまった場合は、あなた自身に被害がなくても、攻撃者の命令を受けて迷惑メールを他人に送る、他のコンピューターにサービス拒否攻撃 (DDoS 攻撃) を仕掛けるなどします。つまり、あなた自身が攻撃者であり、かつ、加害者となってしまう場合もあるのです。以下の図は、ボットネットを説明している図です。   マイクロソフトでは、Digital Crime Unit (DCU) という部署が、こうしたボットネットの活動の停止など、サイバー犯罪を撲滅するために、業界団体、政府、研究機関、法執行機関、NGO 等と協業し活動を行っており、昨年 12 月にも、European Cybercrime Centre (EC3)、米国連邦捜査局 (FBI)、および、A10 Networks などと協力して「ZeroAccess」と呼ばれるボットネットの活動の一部を停止させました。このような活動は継続して行われますが、残念ながらこのような活動のみでは対策は不十分であり、ユーザー 1 人…


サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心?

よく、「サポート終了後の製品でも、マルウェア対策ソフトを実行していれば大丈夫?」とのご質問を受けます。答えは No なのですが、今日はマルウェア対策ソフトだけでは不十分である理由をお話します。 リアルタイム保護が有効なマルウェア対策ソフトを実行していても、マルウェアには感染する マイクロソフトの調べでは、リアルタイム保護が有効なマルウェア対策ソフトを実行しているシステム (下図 1 の Protected) でもマルウェアに感染することが示されています。昨今の攻撃においては、有名なマルウェア対策ソフトで検知されないことを確認してからマルウェアを配布したり標的型攻撃を行うケースや、一度端末に侵入するとマルウェア対策ソフトを OFF にしたりパターンファイルの更新を妨害するマルウェアもあります。標的型攻撃が増える中、セキュリティ ベンダーが新型マルウェアを先行入手できない結果、最新のパターンファイルに更新しても最新のマルウェアを捕まえられない状況も起きています。図1: リアルタイム保護が有効・無効な場合のマルウェア感染率 (オペレーティング システム(OS)/Service Pack (SP) 別) サポート終了製品はサポート中の製品に比べ、感染率が高くなるリアルタイム保護が有効なマルウェア対策ソフトを実行していても、サポート終了後の製品 (下図 2 の Windows XP Service Pack 2) は、サポート中の製品 (Windows XP Service Pack 3) よりマルウェア感染率が高くなっています。(Windows XP サポート終了後のセキュリティ~ マルウェア感染率が示すリスク の「サポートが終了したソフトウェアのマルウェア対策」も参照)図 2: リアルタイム保護が有効・無効な場合のマルウェア感染率 (Windows XP SP2 および SP3) 上記 2 の主な理由は、脆弱性に対するセキュリティ更新プログラムが提供されているか否かWindows XP サポート終了後は新しいセキュリティ更新プログラムが提供されず、新規に見つかった脆弱性が野ざらしとなります (※)。攻撃者にとってはおいしい話で、マルウェア対策ソフトさえバイパスすればいいわけですから、日々新しいマルウェアを開発し、マルウェア対策ソフトが追いつけない状況が増えることも考えられます。※ 2012 年 7…


2009年3月のセキュリティ情報

小野寺です 2009年3月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 3 件 (緊急 1 件、重要 2 件)となります。また、MS08-052の更新プログラムを一部環境向けに再提供しています。セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-006 (Windows Kernel):特別な細工が施された画像ファイルの表示によるリモートでコードが実行される可能性または、プログラムの実行により特権の昇格が可能となる可能性があります。現時点では、脆弱性の詳細は公開されておらず、悪用コードが作成されたとしても安定したコードの提供は難しいと可能性があります。結果、特権の昇格やコードの実行が起こる前に、異常終了等によるサービス拒否状態になる事がおおかもしれません。また、安定したコードが発見された場合の脆弱性としての危険度は高いものとなりますので、不安定なコードで済んでいるうちに、早々に更新を適用するべきです。 MS09-007 (Windows SChannel):この脆弱性により、クライアント認証を持っていない攻撃者が、クライアント認証の所有者になりすます可能性があります。サーバー等で、証明書認証を使用している場合に認証を誤魔化される様な場合が最も想定しやいのですが、実際に悪用しようとすると必要条件(悪用のための前提)が多く、実際の悪用は容易ではないと思われます。しかしながら、必要条件が満たされれば悪用できますので、早めに更新を適用する事をお勧めします。 MS09-008 (DNS/WINS):大胆に簡略化すると、DNS/WINSサーバーの登録情報を改竄できる、または応答をごまかせる、名前解決時のなりすましの可能性があります。これにより、本来のURLや、マシン名で接続しているはずにもかかわらず、攻撃者の要したサイトやマシンに誘導される可能性があります。 MS08-037で対策済みのDNSのなりすまし問題と被害結果は同様ですが、今回の対策した脆弱性については攻撃の成功確率はそれほど高くは有りません。必要条件がそれなりにあり、また、悪用のためのコード(プログラム)の安定化させる事は難しいと思われます。しかし、万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性ですので、早めに更新を適用する事をお勧めします。 セキュリティ情報 (更新):MS08-052 (GDI+):MS08-052 は、GDI+ に関する脆弱性に対応していますが、幾つかの環境向けに更新プログラムを再提供しています。最初に提供した更新プログラを適用後に、サービスパックを適用するこおで、脆弱性に未対応の状態に戻ってしまう場合がある事が分かり、その問題に対処したものを再提供しています。サービスパック適用後に、既存の更新プログラムを適用している様な場合は、再適用の必要はありません。また、今回対象になったのは、以下のOS向けの更新プログラムです。 Windows XP Service Pack 3 (Service Pack 2の時に更新を適用し、その後 Service Pack 3を適用した場合) Windows Server 2003 Service Pack 2 (Service Pack 1の時に更新を適用し、その後 Service Pack 2を適用した場合) 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Koobface に対応しています。

1

2008年最後のセキュリティリリース (2008年12月)

小野寺です 今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。また、セキュリティアドバイザリ 960906 を公開しています。 クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。 セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。 他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。 セキュリティ情報 (新規):今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。 これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS08-070 (VB6 Runtime):特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。今回対処としているランタイム コンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネント ファイルを検索していただく事です。これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。 MS08-071 (GDI):特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。 MS08-072 (Word):特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。 MS08-073 (IE):特別な細工がされた…

1

Windows XP SP3でMS06-069が復活?

小野寺です。 ”Windows XP SP3でMS06-069で復活 (ロールバック)”という話が、幾つか舞い込んできて、耳にしたときは一瞬背筋が寒くなりました・・・確認してみると、色々と誤解があったみたいで、先日の SANS Institute のblogに端を発しているようでが、さらに元を辿ると、MS06-069をWindows XP SP3 に関連して更新したことにあるといえばあります。 5月の定期リリースの時に MS06-069 (Adobe Flash Playerの脆弱性) のセキュリティ情報を更新してたのですが、更新理由は、Windows XP SP3の公開に伴って、MS06-069の「影響を受ける製品」の一覧を更新し、Microsoft UpdateでWindows XP SP3上でも MS06-069が正しく検出できるように変更しました。 SANSの記事は、微妙な書き方ですが、誤解はないのですが、回り回って、「Windows XP SP3 を適用すると昔の MS06-069 が復活する」という話になってしまったみたいですね。 正しくは、Windows XP SP3のパッケージには、MS06-069の更新プログラムに相当するものを含まないため、Windows XP SP3 をPCに新規にインストールした場合等に、他の更新とと一緒に MS06-069 の適用が必要ということです。 Windows XP SP2 で今までセキュリティ更新を適用してきた環境では、Windwos XP SP3を適用しても、MS06-069を再適用する必要ありません。 ちなみに、Windows に含まれているのは、 Flash Version 6 ですが、最新の Flash をインストールしている環境に Windows XP SP3 をインストールしても、Flash…

4