小野寺です。

いくつかのニュースサイトや、MSRC blog で既にご存知の方も多いと思いますが、Internet Explorer の脆弱性が公開されています。この脆弱性に関して、現時点での影響範囲や回避策をお知らせするために、セキュリティ アドバイザリ (917077) を公開しました。

なお、現在ベータ版として公開している Internet Explorer 7 Beta 2 Preview はこの脆弱性の影響を受けません。SDL の効果が出ているといったところでしょうか。しかし、この脆弱性を回避するために、ベータ版をインストールすることは推奨しておりません。ベータ版は、基本的に脆弱性への対応をも含めてサポートされない製品ですのでテスト目的の使用に限定する方が良いでしょう。

SRT 奥天です。
ちょっと Blog から遠ざかっておりました。いえ、川柳を始めたからというわけではなく、本社詣出（レドモンド参りともいいます）が頻繁で、毎月行ってるんじゃないか？ってくらいなのです。良いなあ、カッコいいなあ、なんて思っている方が居たら、それは違うとキッパリ言います。1泊3日なんていうのが普通だったりするわけで、昼に成田を出て、朝向こうについて、仕事してから次の日の朝に向こうを出たりするのです・・・最近の航空機運賃はディスカウントが激しいので、殴りこみ系の仕事の場合にはこういう手段も取ったりするのです。特に Winny に関連する話は入り組んでいるので、困った顔を見せつつ交渉しないとならなかったりするのです。
で、最近は情報漏えいというと Winny に絡むものが多く報道されています。実は Winny での情報漏えい（というのか、情報公開？）は以前からあって、知ってる人は知ってたわけですよね。違いは騒ぎが大きくなることなのかなと思っています。問題の一端には、実は報道の内容がセンセーショナルで、報道によって興味を持ってしまい、それが Winny を使用する方の増加につながっているようです。また、報道をみて問題のファイルを探る、という行為が一気に広がり、折角しばらくするとキャッシュから消えるコンテンツが、あまりに広範囲に行き渡って、結局消せなくなったりするわけです。
Winny を使うことも、ニュースとして知らせて広く周知させることも、どちらも否定できないわけではありますが、その行為がどのような影響につながるのかを深く洞察しなければならないほどに、今の状況は深刻になっていると思っています。
米国に出張に行く理由の一つに、今の Winny とそれを悪用する Antinny に絡む問題点を共有したり次のアクションを考えたりするためでもあります。マイクロソフトには、「悪意あるソフトウェアの削除ツール」を開発しているチームがあります。以前に Blog でも紹介した MSAV というチームです。このチームとこの情報漏えいに結びつくシナリオについて説明をし、今の深刻な事態についても理解を得ようとしました。なぜなら、彼らの解析能力をもって、新しい検体を素早く製品に取り込んで欲しいからです。彼らも全てを理解していて結論は早いのですが、そのつど言われることがあります。

「個人ユーザーならともかく、企業の場合には Winny を実行させなきゃ良いんじゃないの？」
「データを持ち出さなくさせたり、他の人から見れなきゃ良いんじゃないの？」

いえね、そんなことは日本の有識者が口酸っぱく言ってますし、企業や組織の担当も当たり前に考えていることですから、「もちろん」とは答えるわけですが、「ではどうやって」の部分が難しいわけです。
なので、現状としては、ただいま Telecom-ISAC さんと取り組んでいるように、感染 PC の浄化にいそしんでいるわけです。また、どうしても感染がとまらないのであれば、Winny 自体の使用も考えたほうがいい、私もそう思っています。完全な対応ではないことは承知ですが、あまりに状況が悪いうえに被害にあっている人は家でも仕事をしたいと思うまじめな方らしいですから。。。
子供がいつの間にか Winny を入れてしまったとか、Winny の仕様を知らなかったとか、えっそんなことで？という理由が多いことからも、まずは落ち着いて、絶対に失敗しない自身が無い限り、使わないほうが良いのではないか、そんな結論に達してしまいます。

ちなみに、現時点で「悪意あるソフトウェアの削除ツール」は、Antinny 系の 43 種を消せます。来月は、さらに対応ウイルスを増加させ、山田系やドクロも対象にできればと思っています。
あと、SRT の早川さんが、Winny にまつわる問題点を分かり易く理解できるように、イラストを交えた資料を書いてくれました。僕もレビューしましたが、とっても分かり易いので、会社などの組織で印刷して配布をしていただき、啓発活動にご活用いただければとおもいます。

ファイル共有ソフトによる情報の流出について
http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx

＝＝＝＝＝

と、ここまでだと、絶望的に感じてしまうわけですが、私も技術者の端くれなので企業の担当者の方にアドバイスを。ほぼ完全に Winny による脅威を回避する方法があります。もちろんいろいろなハードルがあり、しかもかなり高いハードルではありますが。。。コストも掛かるし技術的にも高いので、だれもが導入できるとは言えませんが不可能ではないのです。

ハードルの第一は、企業内の IT 統治を行う環境にあるか、というものです。以前に LAC さんのセミナーで以下のような説明をさせていただきました。
インプレスさんの紹介記事
http://enterprise.watch.impress.co.jp/cda/topic/2005/12/14/6844.html
IT 管理者が IT の管理をできるよう、企業の統治（ガバナンス）をしてほしいと語ったものですが、まずはこの一番の難題を克服しなければなりません。

第二はコスト。どうしても会社や自宅のクライアント制御をするために、技術の導入が必要となります。これが企業体力に合わないほどに高額になるなら、他の方法を考えたほうが良いです。導入は達成できても、その後継続的にかかるコスト（監視とか、メンテナンスとか）は捻出できないでしょう。

第三に社員のモラルの維持です。Winny が危険とわかっていても、一度楽しさを知ってしまうとなかなかキッパリと止められないものです。また、やってはいけないといわれても、怖いもの見たさで手を出したくなるわけです。俗に言われる ”人が脆弱性”の部分についても、管理者は考えなければならないわけです。

さて、気になる対策方法ですが。。。
ただいまホワイトペーパー化しようと思っています。ちょっと時間がかかるかもしれませんが。。。
キーワードは、
- 持ち込み PC を排除する
- クライアントを完全にコントロールする
- 情報をトレースする
- データを暗号化する
これを実装できれば、家で個人の PC を利用している環境でも、問題なく対策ができます。

どんなシステム構成だと達成できるのか、ぜひ思いを巡らせてください。

小野寺です。

月例のリリースの内容は、事前の通知どおり新規 2 件 (緊急 1 件、重要 1 件) および 「悪意のあるソフトウェアの削除ツール」です。
クライアント側は、基本的に Microsoft Update (WSUS), MBSA 2.0で展開・更新可能ですが。 Office 2000 および Mac 向け Office 製品については注意が必要です。Office 製品向けの更新プログラムは各 Office 製品 (Word/Excel, etc.) 毎に更新がありますので、WSUS や SMS 等で管理していない場合は Office Update または、Microsoft Update で更新することをお勧めします。

加えて、Adobe 社の Macromedia Flash Player に関するアドバイザリ 916208 もあわせて公開しいています。 これは、Windows 製品に、Flash Player の 4x, 5x または 6x が同梱されているためです。 対応方法は、基本的に最新の Flash Player 等をインストールすることになります。詳細は、アドバイザリおよび、Adobe社の情報をご覧ください。

小野寺です。

3 月の月例のセキュリティリリースは、3/15 (日本時間) を予定しています。
今月は、計 2 件 (最大深刻度: 緊急)の公開を予定しており、内訳は以下のようになります。

Windows: 1 件
Office: 1 件

それとは別に 「悪意のあるソフトウェアの削除ツール」の更新版 と、セキュリティ以外の更新が Microsoft Update 等々に同時に公開予定です。　詳しくは、 マイクロソフト セキュリティ情報の事前通知 を見てください。

今月は、2 月に比べると件数が少なくなっていますが、 Office 製品に関する更新は、バージョンにより MBSA だけでは検出できない場合もあり、Enterprise Scan Tool (EST) を使用しなければならないケースもあります。展開と検査には注意が必要です。

MBSA 1.2.1 のサポートが 2006/03/31 をもって完了する事は、少し前から何度か書いていますが、今月のリリースで、検査用のデータベース (mssecure.xml) の更新が最後となり、サポートを終了します。サポート自体は、 今月一杯までですが、セキュリティ更新の公開を行わない限りデータの更新はありませんので、実質、3/15 が最後の更新となります。

小野寺です

「情報漏えい対策ガイド (Windows 編) 」で紹介した、リムーバブルメディアの使用制限機能ですが、Windows Vista では、標準機能として搭載される予定のようです。 ちなみに、この機能は、Windows開発統括部の方々による日本発の機能だったりします。　Vista からは、グループポリシーで USB デバイス等のコントロールが容易になります。 Vista のセキュリティ機能は、個人的に待ち望んでいたものからユニークなものまで数多くの改善があります。この辺は、またの機会に紹介したいと思います。

さて、Vistaの標準機能になったとしてもグループポリシーを最大限に生かすなら、統合管理可能な環境 (Active Directory等) は必須となります。過去の資産や情報システム部門のガバナンスの強弱、部門間の力関係で管理機能を統合することが難しいという話を伺うことがあります。しかし、今の世の中の状況で、統合の為に費やす労力(コスト) と、手動で対策する労力 (または、事後対応の労力) のどちらが得なのか考えてしまう今日この頃です。