小野寺です。

先日 Windows Metafile (WMF) に関連する Exploit Code が公開されましたことをニュースや専門機関からの通知で知った方もいると思います。 それに伴い、マイクロソフトでも調査を行っています。
この件に関して、セキュリティ アドバイザリ 912840 として、調査経過に合わせて随時更新する予定です。

http://www.microsoft.com/technet/security/advisory/912840.mspx (英語情報)
http://www.microsoft.com/japan/technet/security/advisory/912840.mspx (日本語情報)

なお、アドバイザリの公開等をメールで受信したい場合は、以下のサイトからメールアドレスを登録する事をお勧めします。
http://www.microsoft.com/japan/technet/security/secnews/subwiz.mspx
送られてくるメールの詳細については、以下のサイトに情報があります。
http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

小野寺です。

いよいよ今年も残すところ後数日です。このまま年末気分を満喫したいところですが、年末等の四半期の終了はサポート ライフサイクルの終了日でもあります。 サポート ライフサイクルの終了は、マイクロソフトからの"サポート サービス"の提供終了を意味します。以後は、脆弱性への影響の有無、回避策、セキュリティ更新プログラムの提供も終わります。
それでも、色々な都合で使い続けなければならない場合は、そのリスクを認識した上で使う必要があります。 また、セキュリティ情報を収集するには、管理者の努力か有料の専門サービスを活用する必要があります。 日々の運用の負担(コスト)や、リスクのバランスを十分に検討して継続利用するのか決定する事が大切なんですが、簡単ではないのですよね・・・

以下に今年でサポートを終了する(終了した) 主な製品をまとめておきます。

Server 製品:
Exchange Server 5.0 (全 Edition)
Exchange Server 5.5 (全 Edition)

開発製品:
Visual C++ 6.0

Mac:
Internet Explorer 5.1 for Mac
Internet Explorer 5.2 for Mac OS X
Office 2001 for Mac (および、Office 2001に含まれる各製品)

いやー、長かった。
いえ、私が苦労したわけではないのですが、ようやく Windows の現行版である Windows XP シリーズと Windows Server 2003 に ISO15408 Common Criteria Certification の正式認定がでました。

マイクロソフト、Windowsプラットフォーム製品がCC EAL4認定を取得したことを発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2535

この Common Criteria Certification は、ご存知の方も多いと思いますが、IT 関連製品のセキュリティ機能の評価にあわせて、認定が授けられるものです。今回は、EAL4 という、商用ソフトウェアではとりあえず一番高いものが取れましたが、EAL4 は他の製品も取得が進んでいて特に目新しいものではない（とはいっても、とるまでの努力は大変）わけです。これにくわえて今回の認定でも、ALC_FLR.3 を取得していて、Windows 2000 以降継続して修正対応体制への評価を得ているほうが、私個人的には誇らしいです。製品は世に出回ってからが本番ですから、しっかりメンテできる体制があるのは必要条件ですよね。
今回の発表で結構注目なのは、Windows XP のようなクライアント製品も取得されていることですかね？セキュアな使い方さえできれば、しっかりセキュリティを確保できるだけの機能は実装されているってことで。
でも、毎度不安になるのは、とりあえずこの製品を使えば勝手に安全に守ってくれる、と思っている方がいること。基本的に利便性と安全性の中間を取っているわけで、Windows Server 2003 みたいにインストール時からセキュリティを考慮して、管理者が設定を確認しないと動作しないようなプロ向けの OS はともかく、Windows XP などはかなり設定を変えないとならかなったり。今回もドキュメントが出るとおもいますが、どのような設定になっているのか注目ですね。

ちなみに、広報資料にある Steve Lipner さんは、今でこそセキュリティ開発プロセスの責任者になっていますが、数年前までは僕らと同じ MSRC のディレクターだったのですよ。

SRT 奥天

小野寺です。

SUS 1.0 で同期をした際に「更新の許可」が解除される場合がある現象が確認されています。 この問題に関して、サポート技術情報 (KB) 912307 <http://support.microsoft.com/kb/912307/> を公開しました。また、KB に記載の手順のスクリプトの公開準備も進めています。
なお、SUS のオプション設定で、「以前に許可された更新の新しいバージョンを自動的に許可する」を選択している場合は、この問題の影響を受けません。 また、WSUS, SMS 等も同様に影響を受けません。

この現象は、配信機能自体には影響しません。 そのため、更新の配信については、「更新の許可」で許可設定をしていただければ、配信可能です。

小野寺です。

12 月は、新規 2 件 (緊急 1 件, 重要 1 件)、更新 1 件 (MS05-050)、「悪意のあるソフトウェアの削除ツール」を公開しました。
Microsoft Update (WSUS), MBSA 2.0ですべて展開・更新可能です。

新規に公開した MS05-054 (Internet Explorer) には、 セキュリティ アドバイザリ 911302 で情報公開していた脆弱性に対応しています。 また、この更新では、Sony BMG 製の CD に含まれていた First4Internet XCP をアンインストールする ActiveX コントロールに対して KillBit を設定します。 これにより、脆弱性のあるアンインストーラーを悪用した攻撃を防ぎます。他社製のアプリケーションに対して KillBit を設定するのは、異例ではありますがユーザーの保護を考え、開発元の了解の下でこの様な対応を行うこととなりました。
「悪意のあるソフトウェアの削除ツール」では、MS05-054 同様に、 XCP の Rootkit 的な部分に対応しています。 もしかすると、Microsoft Update 実行後に、見慣れないフォルダが現れるかも・・・

このリリースが、2005 年最後の月例リリースです。 2006 年は、1 月 11 日が月例のリリース日となります。正月休み明けですのでご注意ください。
また、 2006 年 6 月には、 Windows 98, Millennium Edition  のサポートもいよいよ終了し、新規セキュリティ更新の提供を終了しますので、こちらもご注意ください。

小野寺です。

12 月の月例のセキュリティリリースは、12/14 (日本時間) を予定しています。
今月は、最大深刻度が緊急の Windows に関するセキュリティ情報を 2 件公開予定です。
それとは別に 「悪意のあるソフトウェアの削除ツール」の更新版 と、セキュリティ以外の更新が Microsoft Update 等々に同時に公開予定です。

SRT 奥天です。

11月は、いろいろ慌しい月だったなぁ、とひとしきり感慨にふけっております。

Antinny の駆除件数 については、自分自身も非常にショックを受けたこともありますし、やっぱりセキュリティの仕事はまだまだ継続しなきゃならないのかなぁ、とちょっと物悲しくなったり。

また、Rootkit のお話 も、こちら で取上げられているように、目立った話題になりましたね。Rootkit も Keylogger も、元々は必要があって出来てきた技術だったわけで、存在自体を全否定することは出来ないわけですが、本来はこれらの技術が使われていることとその影響を使用者が知る術がある、というのが重要なことなんですよね。インターネットの普及が、ユーザーの意見が増幅しあい世論を形成することを可能にしたわけで、技術者としてもモラルとかコンプライアンスといったものを意識する必要が出てきたというのもまた、時代なんだなあと思います。

よくこの業界の人とお話をしていると、セキュリティ技術の将来性についてドウヨ、なんて話になるわけですが、私の最近の持論としては、既にほとんどのコンセプトは製品なり技術として実現されてしまったかなあ、って感じです。もちろんこんごも技術の進歩はあるでしょうが、各レイヤ（意味が分からない方は、多層防御について調べてね）単体においては、脅威への対策技術というのは確立されてきた感があります。それで逆にハッキリしてしまっているのは、何か一つを使えば全ての脅威に対応できる、というのはやっぱり有り得ないということですね。ジャンケンや軍人将棋のように。
ジャンケンは、石、紙、ハサミを模して、それぞれの強み弱みを比較して勝負するゲームで、軍人将棋は、本来強いはずの地雷も工兵には弱いとか、絶対強者は存在しないということを遊びの中で理解できますよね。セキュリティの脅威も同じく、ある側面ではバッチリですが

ある見方からすると弱みを持っているものです。エッジとなるネットワーク越しの攻撃を防げても、内部のネットワークから認証されたユーザーだと防げないとか。そう考えると、戦略をもって色々な側面に対して耐性を持たせなければならないのは、もはや当たり前になってきたと思ってます。
ただ、最近では、特定の組織を狙った攻撃というのが増えてきているらしいですし、いよいよ実際の犯罪に近づいてきた感じです。メジャーじゃない未知攻撃の方法までカバーするとなると、ピンポイントでの対策では厳しいわけで、防げないまでも普段ではない事象を発見で

きることは最低限必要ですね。こう考えると、まだまだここまでの対策が出来る企業は無いのでは。そもそも普段じゃない事象を見つけるには、普段がどうかを知らないとならないわけで・・・

3年位前に、セミナーに参加されたお客様とお話をしたことがあり、セキュリティ対策について質問を受けたことがありました。「危ないのは分かったが、結局何をすればよいのでしょうか」教科書どおりに多層防御の話をしたわけですが、「対策に掛かる費用の裏づけがないと社内稟議が難しい」ともおっしゃられ、まさしくそのとおりだと感じたわけです。対策を行うことと、その結果が見えることは表裏一体になっていなければならないわけで、例えばファイル共有にアクセス制限をかけたなら、アクセス制限で拒否されたユーザーがどのくらい居るのかも把握しなければ、正しくその防御が効いているのかが判断できないことになります。煩わしくない程度にこういった成果測定が出来ることも、今後のセキュリティ技術の導入には必要なことなんだろうと思っています。

ちなみに、前出のお客様は、ウイルス対策ソフトとエッジにファイアウォールを買ったっきりとの事でした。クライアントへのポリシーとか ACL を使った制御とか、せっかくイントラでマイクロソフトの SQL Server をつかってても、標準セキュリティで動かしてたり。。。その後何か対策を進めていらっしゃるのか気になりますが、あの日を境に脅威への対策に邁進されている事を願っております。

そうそう。LAC さん主催のセキュリティセミナーでお話をさせていただきまっす。
http://www.lac.co.jp/news/seminar_training/seminar/20051214.html
得体の知れない不安って、どこから湧き出すものなのかをずっと考えておりまして、そういったものにマイクロソフトはどの様にして向き合っているのか、という視点でお話が出来るといいなと。
まだスライド出来てないですが、興味があるとか、私に一言文句を言いたい（笑）などございましたら、ご参加いただければと思いますm(_ _)m

===追記===
誤解があるといけないので、上の物悲しい気持ちというのは、この仕事がつまらないとか飽きたとかそういうことではなく、まだまだやり切れていないという自分の無力さから来るものだったり、どうせなら輝かしい未来なんかを取上げた華々しく建設的な仕事だったら笑って仕事ができるのに、という部分から来ているので念のため。
チーム内では、僕らの仕事はそもそも自分たちの仕事を終わらせる為に（安全にする為に）行っているという自己矛盾があるね、なんて話をしていますが、因果なものだなあ。