日本のセキュリティチーム

小野寺です。

２月の月例セキュリティリリースで公開したMS10-015を適用すると、ブルースクリーンになる事があるという報告があります。
日本国内では、多くは無いのですが、他国で幾つか報告が上がっています。

この件について、調査を行っており詳細は、追ってこのブログでも報告したいと思います。

他の更新プログラムについては、現時点で特に問題は報告されておらず、引き続き早期の更新プログラムの適用を推奨します。 なお、MS10-015を適用しない場合は、セキュリティアドバイザリ 979682でお知らせしていた脆弱性(CVE-2010-0232)について、FixItを使用して回避策を適用する事が可能です。セキュリティ更新プログラム関連で、サポートが必要な場合は、セキュリティ情報センターのサイトをご覧ください。

[2010/2/12 追記]
なお、調査完了までMS10-015のみ、自動配信を一旦停止しています。Windows Updateおよびダウンロードセンターからの手動ダウンロードは可能です。

小野寺です。
2010年2月のワンポイント セキュリティ情報を公開しました。

IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx

以下の画像をクリックするとサイトに誘導されます。

小野寺です

事前通知でお伝えした通り、セキュリティ情報 計13件 (緊急 5件, 重要 7件, 警告 1件)を公開しました。
合わせて、セキュリティアドバイザリを　1件を新規に公開しています。
また、ワンポイント セキュリティ (2010/2/10　午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx

MS10-003 (MSO):
特別な細工がされた Office 文書を開くことで、リモートでコードが実行される可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、早期の適用をお勧めします。

MS10-004 (PowerPoint):
特別な細工がされた PowerPoint ファイルを開くことで、リモートでコードが実行される可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、早期の適用をお勧めします。

MS10-005 (MSPaint):
特別な細工がされた画像ファイルをMSPaint(ペイント)開くことで、リモートでコードが実行される可能性があります。
このブログを公開した時点では、悪用は確認されていませんが、適用をお勧めします。

MS10-006 (SMB Client):
特別な細工がされたSMBサーバーに接続する事で、サービス拒否または、リモートでコードが実行される可能性があります。
SMBに関する脆弱性ですが、Webブラウザを通じて、不正なSMBサーバーへの接続を誘導することも可能であるため、インターネットにルーター等を介さずに接続しており、SMB通信がインターネット間で可能な場合は、更に注意が必要です。このブログを公開した時点では、悪用は確認されていませんが、早期の適用をお勧めします。

MS10-007 (Shell):
特別な細工がされたURIを処理する際に、リモートでコードが実行される可能性があります。
Webブラウザや、メールクライアントを通じて悪用が可能な可能性があり、悪用は確認されていませんが、早期の適用をお勧めします。

MS10-008 (Killbit):
Microsoft Data Analyzer ActiveX コントロール (OLAP)を特別な細工をされたデータと共に使用されると、リモートでコードが実行される可能性があります。
Webブラウザや、メールクライアントを通じて悪用が可能な可能性があり、悪用は確認されていませんが、早期の適用をお勧めします。
また、同時に他社 (Symantec, Google, Facebook, Panda Security)のActiveXコントロールについても、他社の要請に基づきInternet Explorer で実行されることを防止しています。

MS10-009 (TCP/IP):
特別な細工がされた通信パケットを受信する事で、サービス拒否または、リモートでコードが実行される可能性があります。
悪用は確認されていませんが、早期の適用をお勧めします。

MS10-010 (Hyper-V):
特別な細工がされたプログラムコードを、ゲスト仮想マシン上で実行する事で、サービス拒否が発生する可能性があります。
悪用は確認されていませんが、早期の適用をお勧めします。

MS10-011 (CSRSS):
特別な細工がされたプログラムコードを、実行する事で特権の昇格が発生する可能性があります。
悪用は確認されていませんが、適用をお勧めします。

MS10-012 (SMB Server):
特別な細工がされた通信パケットを受信する事で、サービス拒否または、リモートでコードが実行される可能性があります。
悪用は確認されていませんが、早期の適用をお勧めします。

MS10-013 (DirectShow):
特別な細工がされたAVIファイルを開く、またはストリーミングを受信するような場合にリモートでコードが実行される可能性があります。
Webブラウザや、メールクライアントを通じて悪用が可能な可能性があり、悪用は確認されていませんが、早期の適用をお勧めします。

MS10-014 (Kerberos):
特別な細工がされたチケットを特定の環境下で送受することで、サービス拒否が発生する可能性があります。
Windowsの既定の環境では発生せず、悪用も確認されていませんが、適用をお勧めします。

MS10-015 (Kernel):
特別な細工がされたプログラムコードを、実行する事で特権の昇格が発生する可能性があります。
セキュリティ アドバイザリ 979682 でお知らせしていた脆弱性に対処しています。悪用は確認されていませんが、適用をお勧めします。

セキュリティ アドバイザリ情報 (新規):
セキュリティ アドバイザリ 977377:　TLS/SSL の脆弱性により、なりすましが行われる
トランスポート層セキュリティ (TLS) および Secure Sockets Layer(SSL) プロトコルの脆弱性が確認され、Microsoftを含む多くのベンダーの製品にも影響があります。現在、業界全体で対応方法を検討しています。

小野寺です。

最近、オンライン上での色々な危険が改めて認識され始めています。
セキュリティに携わる方々やIT プロフェッショナル、開発者の多くにとっては、いまさら感のある話かもしれません。しかし、まだまだ、現実社会のように危険がオンライン上でもあり、その危険に対する正しい対処方法を知らない利用者の方もいます。

適切な知識とテクノロジーの選択により、よりオンライン環境を安全に楽しむためのお手伝いを3月1日から始めます。
詳細は、以下のサイトに少しずつ公開していきますので、お楽しみに
http://www.microsoft.com/japan/protect/sop/start.mspx

小野寺です。

2010年2月10日に予定している月例のセキュリティリリースについてのお知らせです。
公開を予定しているセキュリティ情報は、13件 (緊急 5件, 重要 7, 警告 1)となります。 また、毎月リリースと同日に公開している Webcast のワンポイント セキュリティも、当日に公開予定です。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx

今月のリリースで、セキュリティ アドバイザリ 979682 (Kernel) の件に対処予定です。 また、セキュリティ アドバイザリ 977544 (SMB) , セキュリティ アドバイザリ 980088 (IE)の件については、引き続き調査・開発を行っています。それぞれの、詳細や回避策は各アドバイザリをご覧ください。

小野寺です

本日は、情報セキュリティの日ですね。
マイクロソフトでは、株式会社TBSテレビ、および、ヤフー株式会社と協力して、中高生向けの情報セキュリティ対策の啓発活動「C.I.A　～サイバー・インテリジェント・エンジェルズ～」を今日から開始しました。

モデルの前田希美 (まえのん)さん、と黒田瑞貴（みみ）の２名が、インターネットを使いながら様々なセキュリティに関連するミッション挑戦していくというドラマ仕立ての映像を通じて、安全な使い方や便利な使い方を啓発していきます。
映像は、http://www.tbs.co.jp/kids/cia/ (TBS) または、http://gyao.yahoo.co.jp/ (Gayo!) を通じて見ることができます。

また、特設サイトを、http://special.security.yahoo.co.jp/ (Yahoo) に開設し、映像以外の方法でも啓発を行っていきます。 中高生向けの啓発ですが、ぜひ中高生を持つ親にも見てほしいですね。

小野寺です。

今日は、2月15日に開催されるシンポジュウムのお知らせです。
セキュリティ対策をPC、インターネットを利用する全ての人に実施してもらいたいと思っても、手法や必要性について十分な知識を有しない個人（「永遠のビギナー」）が存在します。このような方も含めて安心・安全に向けた活動を行っている方々の講演が予定されています。
最後のパネルには、マイクロソフトからチーフ セキュリティ アドバイザーの高橋正和もパネリストとして参加させていただきます。

詳しいプログラム内容と申し込みは以下のサイトをご覧ください。

「情報セキュリティ人材育成シンポジウム」 ～永遠のビギナー対策を考える～
　　http://www.jnsa.org/seminar/2009/100215/index.html

小野寺です。
本日定例外で公開した MS10-002 の Internet Explorer のセキュリティ更新プログラムに関する特別版のワンポイントセキュリティ情報を公開しました。

以下の画像をクリックするとサイトに誘導されます。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx

小野寺です。

 「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしていた、Internet Explorerの脆弱性 (CVE-2010-0249)に対応するセキュリティ情報および、セキュリティ更新プログラムを公開しました。

http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx　(技術者向け)
http://www.microsoft.com/japan/security/bulletins/ms10-002e.mspx　(簡易版)

また、悪用可能性指標などの情報は、一月の月例リリースの際に公開したページに、今回公開したMS10-002の情報を追加しています。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

今月のワンポイント セキュリティ情報についも、今回の定例外のセキュリティ情報を開設する特別版を、以下のサイトから本日午後までに配信予定です。
http://technet.microsoft.com/ja-jp/dd251169.aspx

なお、MS10-002は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0249)を含めて、計8件に対応しています。
CVE-2010-0249は、Internet Explorer 5.01に影響ありませんが、対応した脆弱性の中には、Internet Exploere 5.01にも影響を与えるものがあるため、Internet Explorer 5.01 ～ Intenret Explorer 8までの各バージョン用の更新プログラムを配信しています。

今回は、定例外の更新プログラムの提供ですが、配信は通常の公開と同様に、ダウンロードセンター、Microsoft Update (Windows Update), 自動更新を通じて行っています。

小野寺です。

Windows カーネルに関連する特権の昇格の脆弱性情報が一般に公開されました。現在調査を行っていますが、現時点では、16bitアプリケーションの互換性を確保するための機能部分が影響を受けることが分かっています。そのため、影響を受けるのは、32bit版Windowsとなり、64bit版は影響を受けません。

 現在、16bit アプリケーションを利用していない場合には、セキュリティ アドバイザリ 979682に記載の回避策を実施する事をお勧めします。この回避策を実施している間、16bitアプリケーションは動作しなくなります。必要に応じて、設定を元に戻すことで、再度16bitアプリケーションを動作させることは可能です。

なお、アドバイザリでは、gpedit.msc (グループポリシーエディタ)を使う方法を紹介しておりますが、Windows のHome Edition等には付属しない場合もあります。その場合は、以下のコマンドを管理者権限で実行することで、同じ効果を得ることが可能です。 (追記) 回避策の適用手順を自動化する FixIT を公開しました。 http://support.microsoft.com/kb/979682

回避策を有効にする:

reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 1

回避策を解除する:

reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 0

16bitアプリケーションの実行が禁止された場合は、環境によって以下のようなメッセージが表示されます。

「指定されたデバイス、パス、またはファイルにアクセスできません。アクセス許可がない可能性があります」

　または

「xxxxxx は、16ビット アプリケーションです。16ビット アプリケーションを実行するためのアクセス許可がありません。システム管理者とアクセス許可を確認してください。」

(2010/1/25: FixITについて追記)

小野寺です。

「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。

今回、リリースするセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan-ans.mspx

小野寺です。

「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている、Internet Explorer 6が悪用された件ですが、セキュリティ更新プログラムを、定例外リリースします。

具体的な公開時期については、日本時間の明日に改めてお知らせしますので、しばらくお待ちください。

また、引き続き、セキュリティ更新プログラムのリリースまでの間の緩和策の一つとして、Internet Explorer 8への移行を推奨しています。

小野寺です。

Internet Explorer 6の脆弱性が悪用されたことを確認し、それに伴い、現在サポートしているすべてのバージョンのInternet Explorerの調査を行っています。　
調査の経過や対応については、セキュリティ アドバイザリ 979352 を通じてお知らせしていきます。　

現在確認している攻撃は、Internet Explorer 6に対してのみで、いわゆる標的型攻撃に使われました。そのため、範囲は限定的ですが、現在調査を行っており、月例のセキュリティリリースまたは、定例外のリリースで本件に対応する予定です。　現時点の調査では、影響を受ける可能性があるのは、Internet Explorer 5.01 (Windows 2000) を除く、Internet Exploer 6以降のバージョンです。

実際に攻撃の確認されている Internet Explorer 6は、Windows 2000 または Windows XP上で動作している可能性があります。 Windows Vistaは、Internet Explorer 7が既定で動作しています。またWindows 7は、既定で Internet Explorer 8となります。Windows Vista 以降のOSでは、Interet Explorerは、保護モードといわれるアクセス権等が制限されたモードで動作するため、Windows 2000, XPよりも、攻撃を成功させることが困難になっています。また、Internet Explorer 8では、DEPにより不正なプログラムが強制停止させられる可能性が高くなることと、SmartScreen機能でマイクロソフトに報告された不正なサイトの表示をブロックすることが可能です。

現時点での回避策および影響を緩和する方法は、アドバイザリに詳細がありますが、こちらにも簡単に列記します。

DEP (データ実行防止機能) を有効にする
DEPを有効にすることで、Internet Explorer上で不正なプログラムを未然に防ぐことができるようになります。 この機能は、Internet Explorer 6, 7 では既定では無効となっています。手動で有効にすることもできますが、Internet Explorer 8にアップグレードする事が最も簡単な方法です。また、Internet Explorer 8では、SmartScreen機能によりマイクロソフトに報告された不正なサイトや、マルウェアを配布するサイトの表示もブロックされます。
手動でDEPを有効にする手順については、セキュリティ アドバイザリ 979352　の「推奨するアクション」に記載しています。

Active スクリプトの実行方法を変更する
Internet ExplorerのActiveスクリプトの実行機能を無効または、実行前に確認する設定にすることで、今回の脆弱性を影響を緩和することができます。しかし、本設定を行うことで、スクリプトを活用したWebサイトの参照時に、確認のダイアログが頻繁に表示される、または、サイトが正常に表示されない可能性があります。手順については、セキュリティ アドバイザリ 979352　の「推奨するアクション」に記載しています。

イントラネットゾーンのセキュリティレベルを引き上げる
イントラネットゾーンは通常、比較的信頼できる組織内のサイトのみが対象になります。これらのサイトを経由した攻撃に備えるために、組織内のイントラネット サイトをインターネット上のサイトと同程度以上にに扱う様に設定することで、影響を緩和することができます。手順については、セキュリティ アドバイザリ 979352　の「推奨するアクション」に記載しています。

小野寺です。
2010年最初の1月のワンポイント セキュリティ情報を公開しました。

IT管理者向けにセキュリティ更新プログラムの適用優先度に関する情報や回避策など、セキュリティ情報について知りたいポイントをより凝縮してお伝えしています。

以下の画像をクリックするとサイトに誘導されます。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。:
http://technet.microsoft.com/ja-jp/dd251169.aspx

小野寺です

事前通知でお伝えした通り、セキュリティ情報 計1件 (緊急 1件)を公開しました。
合わせて、セキュリティ情報を 2 件更新、セキュリティアドバイザリを　1件新規公開しています。
また、ワンポイント セキュリティ (2010/1/13　午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供しています。  (といっても、今月は一件なので優先順位情報は明確ですね)

また、最近悪用が頻繁に発生していた、Adobe Reader (PDFのリーダー)の脆弱性についても本日、更新プログラムが提供される予定ですので、弊社アドバイザリでも触れているFlash Playerと合わせて対応しておきたいものです。
Adobe Reader 9の更新は、Adobe Readerを起動して、[ヘルプ]-[アップデートの有無をチェック]で確認できるようです。(このBlogを書いている時点ではまだ、提供されていませんでした)
また、Adobe製品だけではなく、SUN Java Runtime Environment (JRE), Quicktime も利用している方は最新の状態にしておく事もおすすめします。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

MS10-001 (EOT):
特別な細工がされたEmbedded OpenTypeフォントを読み込むことで、リモートでコードが実行される可能性があります。この脆弱性は実質的にWindows 2000のみが影響を受けます。Windows 2000以外のOSでは、理論的には脆弱性を含むコードが含まれていますが、実質的にそのコードが悪用可能な状態で使用されることはありません。
しかし、Windows 2000を引き続き利用しているユーザーには、早々に対応することをお勧めするともに、サポートが終了する2010年7月前に、Windows 7への移行を強く推奨します。サポート終了後は、セキュリティ更新プログラムの提供もサポートライフサイクルに従って終了となります。

セキュリティ情報 (更新):
MS09-035 (ATL):
Windows Embedded CE 6.0向けのセキュリティ更新プログラムの提供開始しました。他の環境には、影響はありません。なお、本更新プログラムは、Embeddedデバイスを開発者向けのものですので、デバイスの利用者が対応の必要があるかどうかについては、そのデバイスの提供元に確認してください。

MS09-060 (DNS):
Outlook 2007 用の更新プログラム (KB969907)の更新プログラムに関するMicrosoft Updateによる配信ルールを更新しました。すでに更新プログラムが適用されている環境には影響はありません。
詳細は、セキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」 - 「なぜこのセキュリティ情報は 2010 年 01 月 13 日に更新されたのですか?」をご覧ください。

セキュリティ アドバイザリ情報 (新規):
セキュリティ アドバイザリ 979267: Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される
Windows XP には、Adobe 社のAdobe Flash Player 6 が含まれています。そのFlash Plyaerを最新バージョンにすることを推奨することをお知らせするものです。 すでに、最新のAdobe Flashを利用している場合は影響を受けません。
アドバイザリは、Windows XPにFlash Playerが同梱されているために発行していますが、最近のWebを参照することで感染するウイルスが頻繁に悪用する脆弱性の一つとなっているため、Flashを利用するすべてのユーザは、常に最新版を使用することを強くお勧めします。
なお、最新の Flash Player は、以下のURLから入手できますが、インストールの際に Flash Player以外のものもインストールしようとするので、「同時にインストール：」以下のチェックボックスをOFFにしてから、「今すぐインストール」をクリックすることをお勧めします。同時にインストールするものが、何であるか理解して、インストールすることを望むのであれば、チェックボックスをOFFにする必要はありません。
http://get.adobe.com/flashplayer/  (Adobe社提供のサイト)