小野寺です。

そろそろ、学生の方は夏休み、社会人は長期休暇の季節が近づいてきましたが、過去の大きなセキュリティ・インシデントもこの時期に起きており、注意が必要です。 関係各所でも注意が行われていますが、最近はフィッシング等の詐欺的な犯罪行為も増加しており、休み中にインターネットを利用する機会の増える人には、ぜひ注意をお願いしたいですね。

システム管理者は、会社的な長期休暇や、IT部門が不在状態になる前にシステム全体のセキュリティ対策に漏れが無いか確認をお願いします。また、８月度の月例のセキュリティ更新の公開予定は、8 月 10 日となりますので、事前通知に注意してください。

ご自宅でお使いの方は、Microsoft Update、 ファイアウォールの利用、ウイルス対策ソフトウェアの利用の 3 点は今まで通りです。加えて、フィッシングなどの詐欺行為に注意してください。

そして、お子様をお持ちの方は、ぜひお休みの間にインターネットを安全に楽しく使うために、お子様と話し合ってみてはいかがでしょうか

では、皆様良き休暇を・・・

小野寺です。

今月も、予告どおり３件のセキュリティ情報を公開しています。 加えて、 MS05-033 を更新し、SFU 2.0/2.1 への影響に関する情報を追加しています。
さて、今月は、 セキュリティアドバイザリ 903144  で公開していた Javaprxy.dll に関する問題を、セキュリティ情報として公開しました。 とはいえ、更新プログラム自体は、アドバイザリで公開していた killbits 処理を行うものと同じものです。
既存環境への影響等々を確認し、コンポーネントの無効化を正式な対策として行っても問題がないこと判断したため、セキュリティ更新として正式公開しました。ですから、アドバイザリで、公開していた更新を適用している方は再適用の必要はありません。

ちなみに、今月から Windows 2000 Service Pack 3 (SP3) のセキュリティ更新を提供していません。 これは、 2005/06/30 に SP3 のサポートライフサイクルが満了したためです。 現在 Windows 2000 は、 Service Pack 4 を適用している環境にのみセキュリティ更新を提供します。 ちなみに、先日公開した Windows 2000 Service Pack 4 Update Rollup Packege (URP) に関しては、セキュリティ更新を適用する際の前提条件とはならず、ライフサイクルにも影響を与えませんので、URP の適用の有無に関係なく今後公開されるセキュリティ更新は、適用可能です。
SP3 で使っている人は、早々に SP4 を適用してから今月のセキュリティ更新を適用することをお勧めします。

5月からはじめたセキュリティアドバイザリですが、これまでも攻撃コードが Public Known にされてしまったものに対して公開をしてきましたが、先週公開した javaprxy.dll に関するアドバイザリについては、日本担当として懸念していた事が指摘されてしまいました・・・
なぜマイクロソフトがセキュリティアドバイザリという形で脆弱性に関しての情報公開を始めたのか、知らない方も多いかもしれません。社内的にはこれらの情報公開については大きなチャレンジなのです。
過去より、脆弱性を公表する事はかならず完全な対策と共に行う、というルールがありました。脆弱性であれば、更新プログラムが出来上がり、テストが行われ、情報も十分な内容が盛り込まれた後に公開を行うというものです。対策情報が無しに情報を公開する事は、特定の機能に脆弱性の存在を示す格好の材料となってしまいます。
それらの情報を事前に公開し、その後更新プログラムを即座に公開してしまえばいいじゃないか、と言われることもありますが、更新プログラムのテストが不十分では、逆にお客様にご迷惑をお掛けしてしまうことが考えられますし、情報が不十分だとお客様に更なる混乱を与えてしまう事は明白です。対策方法が確定してから広く告知を行い対処をお願いするという姿勢は、多くのセキュリティ関係者の賛同を得ると共に、マイクロソフト社内においてもお客様とセキュリティ対策を進める上での共通認識となっています。もちろん現在の対応が十分とはいえないかもしれませんが、インターネット上の犯罪行為と製品の安定性などを天秤にかけた基準としては、既に10年にも及ぶ実績を積んできたわけです。
しかしながら、以前より指摘されてきたことですが、製品開発者が対策を打ち出す前に攻撃コードが周知されてしまう、いわゆる public disclose という行為により、お客様が対策を行う前に攻撃を受けてしまう危険があるわけです。このような開発者への連絡無しに公開されてしまうことへの対応として、情報を公開する、という趣旨で始めたのがセキュリティアドバイザリなのでした。現状では、お客様が本当にこのような情報を必要としているのか、また私たちが何をすべきなのか確認するため、現時点では試験公開版という扱いになっています。
この試験公開版の最中に、javaprxy.dll に関するアドバイザリを公開しました。当初このアドバイザリを公開する際に回避策がいくつか公開されたのですが、脆弱性のある機能を無効化するためのツールが出揃っていなかったために、日本語情報の提供をそれらのツールができあがるまで見合わせておりました。本来は、英語版と同様のタイミングで日本語情報を提供すべきなのですが、頻繁に更新を受ける事が確実なのであれば、その更新により管理者が翻弄させてしまうのも混乱につながってしまうと考えていました。たとえばセキュリティアドバイザリの更新をメールで送信するなどの対策が必要となるでしょうし、その場合には日本のチームで行なうべき仕事も増加しますので、熟考のうえ結論を出さなければ。
ということで、いまだに情報が確定してから日本語化すべきか、常に日本語情報をタイムリーに出すかの判断がついていません。
もしご意見を聞かせていただけるのであれば、このページからご意見をいただければとおもいます。（ごめんなさい、そもそも投稿ページが英語表記です・・・）
また、本 Blog にトラックバックいただければ、貴重な意見として拝見させていただけるとおもいます。

SRT 奥天