マイクロソフト セキュリティ アドバイザリ 4022344

マイクロソフトは、Microsoft Malware Protection Engine 用の更新プログラムがマイクロソフトに報告されたセキュリティの脆弱性を解決することをお客様にお知らせするために、このセキュリティ アドバイザリを公開しました。

この更新プログラムは、Microsoft Malware Protection Engine が特別に細工されたファイルをスキャンした場合にリモートでコードが実行される脆弱性を解決します。攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行して、システムを制御する可能性があります。

Microsoft Malware Protection Engine は、マイクロソフトのいくつかのマルウェア対策製品に同梱されています。影響を受ける製品については、「影響を受けるソフトウェア」のセクションを参照してください。Microsoft Malware Protection Engine 用の更新プログラムは、影響を受ける製品向けの更新されたマルウェア定義と共にインストールされます。企業のインストールの管理者は既存の社内プロセスに従い、定義およびエンジンの更新プログラムが更新プログラム管理ソフトウェアで承認され、それに応じてクライアントがその更新プログラムを適用することを確認してください。

通常、この更新プログラムの自動検出および展開のビルトイン メカニズムでは、この更新プログラムがリリース後 48 時間以内に適用されるため、企業の管理者またはエンド ユーザーは、Microsoft Malware Protection Engine 用の更新プログラムをインストールするために対応を行う必要はありません。正確な時間枠は、ご使用中のソフトウェア、インターネット接続およびインフラストラクチャの構成により異なります。

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報	ID
この脆弱性の影響を受ける Microsoft Malware Protection Engine の最新バージョン	バージョン 1.1.13701.0
脆弱性が解決されている Microsoft Malware Protection Engine の最初のバージョン	バージョン 1.1.13704.0

*Microsoft Malware Protection Engine のバージョンがこのバージョンと等しいまたはそれ以降の場合は、この脆弱性の影響を受けないため、それ以上の措置を取る必要はありません。ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、サポート技術情報 2510781 の「更新プログラムのインストールの確認」を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

マルウェア対策ソフトウェア	Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性 - CVE-2017-0290
Microsoft Forefront Endpoint Protection 2010	緊急 リモートでコードが実行される
Microsoft Endpoint Protection	緊急 リモートでコードが実行される
Microsoft Forefront Security for SharePoint Service Pack 3	緊急 リモートでコードが実行される
Microsoft System Center Endpoint Protection	緊急 リモートでコードが実行される
Microsoft Security Essentials	緊急 リモートでコードが実行される
Windows Defender for Windows 7	緊急 リモートでコードが実行される
Windows Defender for Windows 8.1	緊急 リモートでコードが実行される
Windows Defender for Windows RT 8.1	緊急 リモートでコードが実行される
Windows Defender for Windows 10、Windows 10 1511、Windows 10 1607、Windows Server 2016、Windows 10 1703	緊急 リモートでコードが実行される
Windows Intune Endpoint Protection	緊急 リモートでコードが実行される

Exploitability Index (悪用可能性指標)

次の表は、今月解決した各脆弱性の Exploitability (悪用可能性) を提供します。セキュリティ情報の ID 番号、CVE の識別番号の順に示されています。セキュリティ情報で深刻度が「緊急」または「重要」の脆弱性のみ掲載されています。

この表はどのように使用しますか?

この表を使用して、お客様がインストールする必要のある各セキュリティ更新プログラムについて、セキュリティ情報の公開から 30 日以内にコード実行やサービス拒否などの悪用がなされる可能性を確認してください。今月の更新プログラムを適用する優先順位を決定するために、お客様の特定の構成に従って、下記の各評価を検討してください。これらの評価の意味の詳細については、Microsoft Exploitability Index (悪用可能性指標) を参照してください。

下の表では、セキュリティ情報の「影響を受けるソフトウェア」および「影響を受けないソフトウェア」の一覧のように、「最新のソフトウェア リリース」は該当のソフトウェアを示し、「以前のソフトウェア リリース」は、旧バージョンのすべてのサポートされている該当のソフトウェアのリリースを示しています。

CVE の識別番号	脆弱性のタイトル	最新のソフトウェア リリースに関する悪用可能性評価	過去のソフトウェア リリースに関する悪用可能性評価	サービス拒否の 悪用可能性評価
CVE-2017-0290	スクリプト エンジンのメモリ破損の脆弱性	2 - 悪用される可能性は低い	2 - 悪用される可能性は低い	対象外

アドバイザリの「よく寄せられる質問」

マイクロソフトはこの脆弱性を解決するためにセキュリティ情報を公開しますか?
いいえ。マイクロソフトは、Microsoft Malware Protection Engine 用の更新プログラムがマイクロソフトに報告されたセキュリティの脆弱性を解決することをお客様にお知らせするために、この情報セキュリティ アドバイザリを公開しました。

通常、企業の管理者またはエンド ユーザーがこの更新プログラムをインストールするために措置を取る必要はありません。

なぜ、この更新プログラムをインストールするために何もする必要がないのですか?
絶え間なく変化している脅威のランドスケープに対応するため、マイクロソフトはマルウェア定義および Microsoft Malware Protection Engine を頻繁に更新します。新たな脅威および蔓延している脅威を効果的に防御するために、このような更新プログラムにより、適時にマルウェア対策ソフトウェアを最新にする必要があります。

エンド ユーザーと同様に、企業の展開では、マイクロソフトのマルウェア対策ソフトウェアの既定の構成が、マルウェア定義と Microsoft Malware Protection Engine を自動的に最新に保つために役立ちます。製品ドキュメントも、製品を自動更新に構成するように推奨しています。

最善策として、Microsoft Malware Protection Engines の更新プログラムおよびマルウェア定義の自動適用などのソフトウェアの配布が、お客様の環境で予定通りに機能しているかどうかを定期的に確認することを推奨します。

どのくらいの頻度で Microsoft Malware Protection Engine およびマルウェア定義を更新しますか?
マイクロソフトは通常、毎月 1 回または新しい脅威に対する保護の必要性に応じて、Microsoft Malware Protection Engine 用の更新プログラムを公開します。マイクロソフトは一般的にマルウェア定義を毎日 3 回更新し、必要であればその頻度を高くします。

使用しているマイクロソフトのマルウェア対策ソフトウェアやその構成方法により、ソフトウェアはインターネット接続時に毎日、または 1 日に何度もエンジンおよび定義の更新を検索する場合があります。お客様は、更新プログラムをいつでも手動で確認するように選択することもできます。

この更新プログラムはどのようにインストールできますか?
この更新プログラムのインストール方法については、「推奨するアクション」を参照してください。

Microsoft Malware Protection Engine とは何ですか?
Microsoft Malware Protection Engine、mpengine.dll はマイクロソフトのウイルス対策およびスパイウェア対策ソフトウェアにスキャン、検出、クリーニング機能を提供します。

この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。この脆弱性について記載されている変更のほか、この更新プログラムにはセキュリティ関連機能を改善する多層防御の変更が含まれています。

マイクロソフトのマルウェア対策技術に関する詳細情報は、どこで入手できますか?
詳細については、Microsoft Malware Protection Center の Web サイト (英語情報) を参照してください。

Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性 - CVE-2017-0290

Microsoft Malware Protection Engine が特別に細工されたファイルを適切にスキャンせずメモリの破損が発生した場合に、リモートでコードが実行される脆弱性が存在します。

攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行して、システムを制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

この脆弱性を悪用するには、影響を受けるバージョンの Microsoft Malware Protection Engine で、特別に細工されたファイルをスキャンする必要があります。攻撃者が Microsoft Malware Protection Engine によってスキャンされる場所に特別に細工されたファイルを置く方法は数多く存在します。たとえば、攻撃者は Web サイトを使用し、ユーザーが Web サイトを表示したときにスキャンされる被害者のシステムに特別に細工されたファイルを送信する可能性があります。攻撃者はまた、ファイルが開かれたときにスキャンされる電子メールまたはインスタント メッセンジャーのメッセージを使用して、特別に細工されたファイルを送信する可能性もあります。さらに、攻撃者は、ユーザーが提供するコンテンツを受け入れるかホストする Web サイトを利用して、ホスト サーバー上で実行される Malware Protection Engine によってスキャンされる共有の場所に特別に細工されたファイルをアップロードする可能性があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイムの保護が有効になっている場合、Microsoft Malware Protection Engine によってファイルが自動的にスキャンされます。その際に、特別に細工されたファイルがスキャンされると、脆弱性が悪用される結果となります。リアルタイム スキャンが有効にされていない場合、攻撃者が脆弱性を悪用するには、定期的なスキャンが実行されるまで待つ必要があります。影響を受けるバージョンのマルウェア対策ソフトウェアを実行しているすべてのシステムが、主に危険にさらされます。

この更新プログラムは、Microsoft Malware Protection Engine が特別に細工されたファイルをスキャンする方法を修正することにより、この脆弱性を解決します。

マイクロソフトは協調的な脆弱性の公開を通して、この脆弱性に関する情報を受けました。

マイクロソフトは、このアドバイザリが最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

• 更新プログラムがインストールされていることを確認する

  お客様は、最新バージョンの Microsoft Malware Protection Engine および定義の更新プログラムが、各マイクロソフトのマルウェア対策製品に積極的にダウンロードおよびインストールされていることを確認する必要があります。

  ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、サポート技術情報 2510781 の「更新プログラムのインストールの確認」を参照してください。

  ソフトウェアが脆弱性の影響を受けるかどうかについては、Microsoft Malware Protection Engine のバージョンが 1.1.10701.0 以降であることを確認してください。

• 必要な場合は、更新プログラムをインストールする

  マルウェア対策を展開する企業の管理者は、それぞれの更新管理ソフトウェアが、エンジンの更新プログラムおよび新しいマルウェア定義を自動で承認および配布するように、正しく構成してください。企業の管理者は最新の Microsoft Malware Protection Engine および定義の更新プログラムが各環境で積極的にダウンロード、承認および展開されていることも確認してください。

  エンド ユーザーについては、影響を受けるソフトウェアが、この更新プログラムの自動検出および適用のためのビルトイン メカニズムを提供します。これらのお客様には、この更新プログラムが利用可能になってから 48 時間以内に適用されます。正確な時間枠は、ご使用中のソフトウェア、インターネット接続およびインフラストラクチャの構成により異なります。お急ぎのエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。

  Microsoft Malware Protection Engine とマルウェア定義を手動で更新する方法については、サポート技術情報 2510781 を参照してください。

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します

• Google Project Zero の Natalie Silvanovich 氏および Tavis Ormandy 氏

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムなどのセキュリティ ソフトウェアやデバイスを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

• フィードバックをご提供いただく際は、マイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。

サポート

• セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
• その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
• Microsoft セキュリティ TechCenter では、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

• V1.0 (2017/05/09): このアドバイザリを公開しました。