- 2009年12月のワンポイントセキュリティ
-
小野寺です。
12月のワンポイント セキュリティ情報を公開しました。
IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。
以下の画像をクリックすると再生が始まります。
フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx
- 2009年12月09日のセキュリティ情報 (月例)
-
小野寺です
事前通知でお伝えした通り、セキュリティ情報 計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 1 件更新、セキュリティアドバイザリを 2件新規公開、1件を更新しています。
また、ワンポイント セキュリティ (2009/12/09 午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供を開始しています。
セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-dec.mspx
MS09-069 (LSASS):
特別な細工がされたISAKMPを、受信することで、サービス拒否状態になる可能性があります。 しかしながら、悪用には、事前に認証される必要があるため、悪用可能な人間は制限されます。また、悪用した場合は、その悪用者が特定可能となります。
MS09-070 (ADFS):
Active Directory フェデレーション サービス(ADFS)が、特別に細工されたHTTPリクエストの受信することで、リモートでコードが実行される可能性、または、キャッシュされた特定の情報を再利用される事による、なりすましの可能性があります。なりすましは、ブラウザのキャッシュ情報が入手できることが前提ですので、ユーザーアカウントを共有しているような環境や不特定多数が利用している環境以外では悪用は困難です。また、コード実行については、事前に認証される必要があるため、悪用可能な人間は制限されます。また、悪用した場合は、その悪用者が特定可能となります。
MS09-071 (IAS):
特別な細工がされたPEAPを受信することで、リモートでコードが実行される可能性があります。また、特別な細工がされてMS-CHAP2を受信することで、特権の昇格が発生する可能性があります。コード実行に関しては、理論的に可能ですが、多くの場合サービス拒否になる場合が多い思われます。なお、クライアントOSでは、使用形態やコードパスの関係で、緊急度を1段低く評価しています。
MS09-072 (Internet Explorer):
特別な細工のWebサイトを参照することで、コードが実行される可能性があります。セキュリティアドバイザリ 977981でお知らせしていた脆弱性に対処しています。このブログを公開した時点では、悪用は確認されていませんが、早期の適用をお勧めします。
MS09-073 (Wardpad):
特別な細工のされたWord 97形式のファイルを参照することで、コードが実行される可能性があります。悪用の可能性指標は、「2 - 不安定な悪用コードの可能性」です。
MS09-074 (Project):
特別な細工のされたProjectファイルを参照することで、コードが実行される可能性があります。悪用の可能性指標は、「2 - 不安定な悪用コードの可能性」です。
セキュリティ情報 (更新):
MS08-037 (DNS):
Windows 2000上のDNSクライアント用の更新プログラムを再提供しました。Windows 2000環境では、再度適用する必要があります。 Windows 2000以外の環境には、影響はありません。
セキュリティ アドバイザリ情報 (新規):
セキュリティ アドバイザリ 954157:Indeo コーデックのセキュリティ強化機能
Indeo コーデックに関して、多層防御の機能を追加する更新プログラムの提供をお知らせしています。
セキュリティ アドバイザリ 974926: 統合 Windows 認証の、資格情報の中継攻撃
「セキュリティアドバイザリ 973811: 認証に対する保護の強化」に対応し、統合 Windows 認証をより安全にするための更新プログラムの提供をお知らせしています。
セキュリティ アドバイザリ情報 (更新):
セキュリティ アドバイザリ 977981: Internet Explorer の脆弱性により、リモートでコードが実行される
MS09-072で、お知らせしていた脆弱性に対処しました。
セキュリティ アドバイザリ 973811: 認証に対する保護の強化
Windows HTTP Services、HTTP プロトコル スタック、インターネット インフォメーション サービス (IIS) の3種のコンポーネントに関する情報を追加しました。
- 2009年12月9日のセキュリティリリース予定 (定例)
-
小野寺です。
12月9日に予定している定例のセキュリティリリースについてのお知らせです。定例のリリースとしては、2009年最後のリリースとなります。
公開を予定しているセキュリティ情報は、6件 (緊急 3件, 重要 3件)となります。 また、毎月リリースと同日に公開している Webcastのワンポイント セキュリティも、当日に公開予定です。
Bulletin 3のInternet Explorerの更新プログラムでは、セキュリティ アドバイザリ977981でお知らせした件も対策する予定でいます。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx
| セキュリティ情報 識別名 |
最大深刻度および脆弱性の影響 |
再起動に関する情報 |
影響を受けるソフトウェア |
|
Bulletin 1 |
緊急
リモートでコードが実行される |
要再起動 |
Windows |
|
Bulletin 2 |
緊急
リモートでコードが実行される |
再起動の可能性あり |
Office |
|
Bulletin 3 |
緊急
リモートでコードが実行される |
要再起動 |
Windows
Internet Explorer |
|
Bulletin 4 |
重要
サービス拒否 |
要再起動 |
Windows |
|
Bulletin 5 |
重要
リモートでコードが実行される |
要再起動 |
Windows |
|
Bulletin 6 |
重要
リモートでコードが実行される |
要再起動 |
Windows
Office |
- Security Wars: 3.2. 社会からの回答の試み
-
小野寺です。
Security Warsを更新!
Security Wars: 3.2. 社会からの回答の試み
http://technet.microsoft.com/ja-jp/ee847326.aspx
技術者は、社会とのかかわりにおいてどのようなことを意識し、具体的な局面においてどのような行動をとるべきなのか。その一方で、一線を越えた時、社会は、どのような対応をすべきであるのか。社会が、技術者に対し一線を越えたとして対処するのには、社会が技術者に対して事前に十分な活動指針等を提供しておくべきなのではないかという問題がある。倫理的な一線を越えることが許されないとしても、どこからが、その「一線」であるのか。技術者にとって越えてはいけない「一線」というのは何で、どのようにして知ればいいのか。このような、極めて重要な問題を技術者に対して問いただしているだけでは、社会としては、責任を放棄しているということができるであろう。・・・・[続きを読む]
Security Wars:
http://technet.microsoft.com/ja-jp/security/ee308411.aspx
- ブラックスクリーン問題とWindows Update
-
小野寺です。
幾つかの報道等々で、11月に公開したWindows Update後に、以前取り上げたような、ブラックスクリーン状態(黒い画面で停止)となるという報告があります。本件について、調査いたしましたが、報告のような現象は確認することはできませんでした。
報道の元となったレポートにおいて研究者は、以下のレジストリキーのアクセス権を11月のセキュリティ更新プログラムで変更したために、ブラックスクリーンが発生すると指摘していました。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
この件について、指摘されているセキュリティ更新プログラムに加えて、11月に配信した悪意のあるソフトウェア削除ツール (MSRT) や他のセキュリティ以外の更新プログラムについて再度精査しました。結果、レジストリのアクセス権の変更を行っていない事が改めて確認できました。そのため、指摘のあったブラックスクリーン状態は、11月の更新プログラムによるものではないと考えています。また、この件について、日本を含む世界各国のサポート窓口の、問い合わせ状況も確認しましたが、報告されている事象に関連する問い合わせは確認できませんでした。
このブラックスクリーン状態が、先日のDaonolの件の様に、マルウェアの挙動と関連している可能性はありますので、以下の点を再度確認しておきたいところです。
今回のような報告が、誤って出てしまったことは残念ですが、被害を受ける前に上記の点は、繰り返しになりますが強く推奨させていただきます。
- SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法 その2
-
小野寺です。
以前、737dエラーの対処方法を、このブログでお伝えしましたが、特定の環境で解決できないというコメントを頂戴しました。
別の解決策として、以下のサポート技術情報を公開しました。
Windows Update を使用して更新プログラムをインストールすると、エラー コード "737D" が表示される
http://support.microsoft.com/kb/977268/ja
レジストリを編集する方法になりますので、手順を間違わないように注意しながら、実施してみてください。
- Security Wars: 3. 社会と暗黒のハッカーとの闘い
-
小野寺です。
Security Warsを更新!
Security Wars: 3. 社会と暗黒のハッカーとの闘い
http://technet.microsoft.com/ja-jp/security/ee817146.aspx
ジェダイオーダーと日々の修行
「おまえはダゴバ星系へ行き」ベン・ケノービの霊体は命じた「ジェダイ・マスターであるわが師ヨーダの教えを受けるのだ」[1]
ダースベーダーの誕生とオーダー 66 のドロイド軍団の前に、従来のジェダイ騎士団は、崩壊してしまった。最後の希望であるルーク・スカイウォーカーは、ヨーダとともに修行を重ねるのである。もともと、フォースを使う才能のある者は、ジェダイ騎士団 (オーダー) の健在なうちは、ジェダイ・マスターのパダワン (弟子) となり、ジェダイの歴史とモラル (morals) を集団生活の中でおのずと感得していたのである。
これらの事実は、フォースが、その才能と力を用いるためのモラルがもっとも重要な事実と、それを備えた高潔な者のみが、そのような力を使うことができるということを物語っている。・・・・[続きを読む]
[1] ドナルド・F・グルート (著) ジョージ・ルーカス (原作) 石田享 (訳) 「スター・ウォーズ 帝国の逆襲」P.36(株式会社竹書房、1997)(なお、以下、エピソード 5 という
Security Wars:
http://technet.microsoft.com/ja-jp/security/ee308411.aspx
- Microsoft Updateの後にWindows XPが起動しない??
-
小野寺です。
Microsoft Update (11月のセキュリティ更新)を行った後に、Windows XPが起動しないという報告がWeb等でも散見されています。
この件、ですが、 ATI Radeon HD 2400 シリーズの古いバージョンのドライバに起因することが判明しました。
すでに、起動しなくなってしまった場合は、以下の手順で、一時的にセキュリティ更新プログラム (MS09-065/KB969947)をアンストールして対処します。 現象が出ていない場合や、これからのセキュリティ更新プログラムを適用する場合は、まず ATIのサイトで、最新のドライバを入手してインストールした後に、セキュリティ更新プログラムを適用することをお勧めします。
- コンピューターの起動時に、Windows 拡張オプション メニューが表示されるまで、F8 キーを繰り返し押します。
注 : お使いのコンピューターによって、Windows 拡張オプション メニューに表示される項目が異なる場合がございます。
- 方向キーや下方向キーで [セーフ モード] を選択し、Enter キーを押してください。
- セーフ モードで Windows XP が起動します。
- [スタート] ボタンをクリックし、[コントロールパネル] をクリックしてください。
- [コントロールパネル] ウィンドウの中から [プログラムの追加と削除] を開いてください。
- [更新プログラムの表示] チェックボックスにチェックを入れてください。
- [Windows XP セキュリティ更新 (KB969947)] をクリックし、[削除] ボタンをクリックします。
- [ソフトウェア更新の削除ウィザード] で [次へ] をクリックしてください。
注 : KB969947 ダイヤログが表示された場合、そこに表示された更新プログラムをインストールした順番に削除してください。詳しくは http://support.microsoft.com/kb/823836/ja をご覧ください。
- [完了] ボタンが表示されるまで待ち [完了] ボタンをクリックします。自動的に再起動が起こらない場合、[スタート]ボタンから再起動してください。
- Windows XP 起動後に [スタート] ボタンをクリックし 、[コントロールパネル] 、[プログラムの追加と削除] を開いてください。
- ATIのビデオドライバを選択し、削除してください。
- Catalyst Control Centerを選択し、削除してください。
- Microsoft Update もしくは Windows Update を実行し、[Windows XP 用セキュリティ更新プログラム (KB969947)] をインストールしてください。詳細は http://support.microsoft.com/kb/882797/ja をご覧ください。
- ATI のサイトから、ドライバのダウンロードを行い、インストールしてください。
この件に関する情報を、サポート技術情報にも、記載しましたので、更新情報は、http://support.microsoft.com/kb/969947/en-us を見てください。
- 2009年11月のワンポイントセキュリティ
-
小野寺です。
11月のワンポイント セキュリティ情報を公開しました。
先月よりIT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。
以下の画像をクリックすると再生が始まります。
フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx
- 2009年11月11日のセキュリティ情報
-
小野寺です
事前通知でお伝えした通り、セキュリティ情報 計6件 (緊急 3件, 重要 3件)を公開しました。
合わせて、セキュリティ情報を 2 件更新しています。
また、ワンポイント セキュリティでは、IT管理者向けに今月より新たに適用優先順情報や一覧性の高い回避策等の情報を先月より提供を開始しています。
セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-nov.mspx
MS09-063 (WebServices on Device):
特別な細工がされたデータを、Web Services on Devices API (WSDAPI)で処理することで、コードが実行される可能性があります。 Web Services on Device (WSD) は、ネットワーク接続のデバイスの情報取得を有効にするための仕組みです。実際には、コード実行に至らずサービス拒否となるケースが主となります。
MS09-064 (License Logging):
Windows 2000 Server で、特別な細工がされたRPCデータを受け取ることで、コードが実行される可能性があります。実際には、コード実行に至らずサービス拒否となるケースが主となります。
MS09-065 (Kernel mode driver):
特別な細工がされたEOTが使用された場合に、コードが実行される可能性があります。また、特別な細工をされたアプリケーションをローカルで実行した場合に特権の昇格が発生する可能性があります。
EOTは、Emmbeded OpenTypeは、Webで使用するためのフォントのため、不正な細工がされたWebサイトを参照することで、影響を受ける可能性がありますが、このシナリオは、Windows XP, Windows Server 2003以前のOSに限定されます。
MS09-066 (AD):
特別な細工がされた、LDAP/LDAPS通信をActive Direcory (AD), ADMS, AD LDSで受信した場合に、サービス拒否が発生する可能性があります
MS09-067 (Excel):
特別な細工のされたExcelファイルを参照することで、コードが実行される可能性があります。
MS09-068 (Word):
特別な細工のされたWordファイルを参照することで、コードが実行される可能性があります。
セキュリティ情報 (更新):
MS09-045 (JScript):
Windows 2000上のJScript 5.7用の更新プログラムを追加しました。Windows 2000ですでにMS09-051の更新プログラムを適用できていた環境では、新しい更新プログラムを再度適用する必要はありません。
MS09-051 (Media Runtime):
Windows 2000上のオーディオ圧縮マネージャー用更新プログラムに関する検出ロジックを更新しています。検出ロジックのみの修正ですので、更新プログラムの再適用は必要ありません。
(訂正)
2009/11/11 17:30 MS09-064のサービス拒否に関する記述は、MS09-063に関してとなりますので、訂正しました。
- 2009年11月11日のセキュリティリリース予定 (定例)
-
小野寺です。
11月11日に予定している定例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、6件 (緊急 3件, 重要 3件)となります。 また、毎月リリースと同日に公開している Webcastのワンポイント セキュリティも、当日に公開予定です。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-dec.mspx
| セキュリティ情報 識別名 |
最大深刻度および脆弱性の影響 |
再起動に関する情報 |
影響を受けるソフトウェア |
|
Bulletin 1 |
緊急
リモートでコードが実行される |
要再起動 |
Windows |
|
Bulletin 2 |
緊急
リモートでコードが実行される |
要再起動 |
Windows |
|
Bulletin 3 |
緊急
リモートでコードが実行される |
要再起動 |
Windows |
|
Bulletin 4 |
重要
サービス拒否 |
要再起動 |
Windows |
|
Bulletin 5 |
重要
リモートでコードが実行される |
再起動の可能性あり |
Office |
|
Bulletin 6 |
重要
リモートでコードが実行される |
再起動の可能性あり |
Office |
- セキュリティ インテリジェンス レポート 第7版(2009年上半期)
-
小野寺です。
2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。
研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。
マイクロソフト セキュリティ インテリジェンス レポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd
さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。
これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。
このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。
最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。
- ぶたさんシリーズのWindows 7対応
-
小野寺です。
セキュリティ担当としては、待ちに待った、Windows 7が10/22に一般向けに提供公開されました。
セキュリティチームでは、数年前から、家庭向けのセキュリティ教材のひとつとして、ぶたさんをモチーフにした資料を公開してきました。 先日のWindows 7の一般向け提供開始に合わせて、資料もWindows 7にしてみました。
http://www.microsoft.com/japan/security/contents/sec2007.mspx
おまけ:
そして、Windows 7 の発売に合わせた記念の以下の "7" ケーキが用意されました。
"7"のマークが、赤、黄、緑のカップケーキです。お気づきの方もいるかもしれませんが、Windows のマークの4色が由来となっています。
本当は、青のケーキもあったのですが、写真を撮る前に食べられてしまったのです。
- 黒い画面にマウスカーソル (Win32/Daonol)
-
小野寺です。
再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・そんな現象が報告されています。
色々と調べてみると、Win32/Daonol の最近の亜種にWindows XPが感染すると発生するようです (Windows Vista、Windows 7 では起こりません)。Daonolの不具合?なのか、OS の起動シーケンス中に、無限に処理待ちを起こしてしまうことがあるようで、Daonolが起動中に読み込まれないようにすると、解消されます。
さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。
Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが、少なくとも、Microsoft Updateですべての更新プログラムを適用して、使用している他社のアプリケーションも最新の状態にしておけば感染しなかったのですが、アプリケーションの更新に注意を払うということは、まだ十分に根づいていないのかもしれません。
今後も、この手の手法は頻繁に使われるでしょう。そのためにも、以下の点を再確認したいところです。
さて、冒頭で紹介した、Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\<random>.tmp <random>"
PCが2台以上あれば、感染したHDDを正常な PC に接続してウイルス対策ソフトでHDD全体をフルスキャンする方法もありますが、やはりPCに十分に慣れた方以外には難しい作業だと思います。
近隣に詳しい方がいれば、助けを求めて今後感染しないように設定してもらう方法も取れると思いますが、そのような方がいない場合は、各種サービス事業者やサポートに相談するのが良いかもしれません。
- SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法
-
小野寺です。
SQL Server 2005の更新プログラムを適用する際に、Microsoft Updateで 737d エラーが出てしまう事があるようです。
この 737d エラーは、以前に行ったSQL Server 2005に何らかの構成変更(更新やサービスパックの適用も含む)のセットアップが正しく完了していない場合に起こります。
このエラーの一般的な対処方法は以下の様な流れになります。
- Remote Registry サービスを[開始]状態にします。
コマンドラインから、行う場合は、「SC start RemoteRegistry」で行えます。Windows Vista以降は、管理者権限で開いたコマンドプロンプトから行う必要があります。
「Services.msc」 を使って、[Remote Registry]を選択して、右クリックメニューから、[開始]を選択することでも可能です。 既に開始状態の場合は[開始]はグレー表示になります。
- [コントロール パネル] -「プログラムの追加と削除」(XP) または、[コントロール パネル]-[プログラム]-[プログラムと機能] (Vista以降)を開きます。
- 「Microsoft SQL Server 2005」を探して選択します。 その後 [変更] または [アンインストールと変更] を選択します。
- セットアップ画面が表示されるので画面の指示に従って、未完了状態のセットアップを完了させます。 間違って、アンインストールしてしまわない様に注意が必要です。再起動が必要な場合は、再起動を行います。
- その後、再度、Microsoft Update から更新プログラムのインストールを行います。
追記 (2009/11/21): 上記で解決しない場合は、http://blogs.technet.com/jpsecurity/archive/2009/11/21/3295421.aspx をどうぞ