次世代型UTM＆ファイアウォール：ウォッチガード・テクノロジー・ジャパン

アドビの定例セキュリティアップデート公開日 Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム 2012年5月8日

2012-05-11T06:43:06Z

アドビの定例セキュリティアップデート公開日
Shockwave、Flash Professional、Illustrator のセキュリティ更新プログラム

2012年5月8日

危険度：高

コーリー・ナクライナー
概要：

対象：
Adobe Shockwave Player、Flash Professional、Photoshop、Illustrator
悪用方法：
悪質なファイルをユーザが開くように仕向けたり、特別に細工したウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
影響：
結果は様々だが、最悪の場合は攻撃者がユーザのコンピュータを完全に操作できるようになる
対策：
状況に適したアドビのセキュリティ更新プログラムを至急インストールするか、アドビの自動アップデート機能に任せることをすすめる

詳細：
今日、アドビは 4 件のセキュリティアドバイザリをリリースし、Shockwave Player、Flash Professional、Photoshop、Illustrator など、多々ある人気のソフトウェアパッケージに見られる脆弱性について説明した。
リモート攻撃者は、その中でも悪質な欠陥を利用しユーザのコンピュータを完全にコントロールできるようになる。

• APSB12-13:
Shockwave のコード実行問題(5）
Shockwaveというインタラクティブな動画のウェブコンテンツやムービーを表示することができる Adobe Shockwave Player は、4 億 5 千万台もの PC にインストールされているとアドビは報告している。
このアドバイザリは、ウィンドウズや Mac で使用しているアドビの Shockwave Player 11.6.4.634 と、それ以前のバージョンに影響している 5 つのセキュリティ脆弱性について警告している。アドビのセキュリティアドバイザリは技術詳細について触れていないが、メモリ破損の脆弱性と分類はされており、影響力はどれも同じと報告されている。攻撃者が悪質に細工した Shockwave コンテンツを含むウェブサイトにユーザが誘導すると、攻撃者はいずれかの欠陥を悪用し、ユーザのコンピュータでユーザの特権を使って、コードを実行できるようになる。また、ウィンドウズ・ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
アドビの評価 : 2 （30 日以内に更新プログラムを取り入れること）

• APSB12-12:
Flash Professional バッファオーバーフローの脆弱性
アドビのFlash はインタラクティブなウェブ動画のコンテンツやビデオの作成に使うプラットフォームで、 Flash Professional はFlashコンテンツを作成するために使うオーサリング環境だ。
しかし Flash Professional 11.5.1.348 と旧バージョンの Windows と Mac はバッファオーバーフローの影響を受けている。アドビはこの欠陥の詳細について一切説明しておらず、攻撃者がどのようにこの問題を悪用するかについても説明していない。しかし、細工済みの Flash コンテンツをユーザが Flash Professional で開いた場合、攻撃者はこの欠陥を利用してユーザの特権で、そのコンピュータでコードを実行できるようになるだろう。例によって、ユーザに管理者またはルート特権が備わっている場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-11:
Photoshop TIFF 処理の脆弱性
Photoshop はイメージ編集に使う人気プログラムだが、Photoshop CS5.5（WindowsおよびMac版）は特別に細工されたTIFFイメージを適切に処理できない点、そして未特定のバッファオーバーフロー問題といった2つの脆弱性の影響を受けている。悪質なイメージをユーザがダウンロードし、それを Photoshop で閲覧するように仕向けると、攻撃者は TIFF 欠陥を悪用してユーザの特権で、そのコンピュータにてコードを実行できるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。アドビは、攻撃者が 2 つめのバッファオーバーフローの脆弱性を利用するかについて説明していない。
アドビの評価: 3 （できる時に更新プログラムを取り入れること）

• APSB12-10:
Illustrator のコード実行問題(5） Illustrator はアドビのベクター・ドローイング・ソフトウェアだが、未特定のメモリ破損問題（5件）の影響を受けている。アドビは欠陥の詳細について説明していないが、コード実行問題と分類はしている。これはおそらく、特別に細工されたIllustrator 互換性ファイル（イメージなど）をユーザが処理すると、攻撃者がこの欠陥を悪用しユーザの特権でそのコンピュータにてコードを実行できるようになるのではないかというのが我々の推測だ。ユーザが管理者である場合、攻撃者はユーザのPCを完全に操作できるようになる。アドビの評価:
3 （できる時に更新プログラムを取り入れること）
アドビが先週公開したFlash Player更新プログラムをまだインストールしていない場合は、今すぐそれを取り入れることをすすめる。今回のリリースよりも、先週リリースされたその更新プログラムの方が、より深刻な問題に対応しているからだ。

解決方法：
アドビは影響を受けているソフトウェアすべてに対してセキュリティ更新プログラムをリリースしている。次のソフトウェアいずれかを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしデプロイするか、アドビの自動アップデート機能に任せて必要なプログラムをインストールすることをすすめる。

注意
アドビはこうしたフィックスのいくつかを有料の更新プログラム（CS6)としてのみリリースするという姿勢を取っている。有料の更新プログラムを利用するつもりがなかった場合は、このようなセキュリティ問題を検討した上で決断しなければならない。しかし、今回問題となっている製品を攻撃者らが頻繁に標的として用いない点は、前向きに考えられるところとも言えるが（(Photoshop、Illustrator、Flash Professional）、最新のセキュリティ更新プログラムをすすめないのは我々にとっても難しい。アドビがこうしたセキュリティ更新プログラムにて全バージョンを対象にしていないことは残念である。

• APSB12-13:Shockwave 11.6.5.635 にアップグレード
• APSB12-12: 最善策は有料のセキュリティ更新プログラム、 Flash Professional CS6 にアップグレードすること
• APSB12-11: Photoshop CS6 にアップグレードすること
• APSB12-10: 最善策は有料のセキュリティ更新プログラム、 Illustrator CS6 にアップグレードすること

解決策：ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用することができる。適切に設定した UTM であれば、こうした問題によるいくつかのリスクを緩和させることができる。とはいっても、ローカル攻撃を阻止することはできず、通常のHTTP トラフィックを利用する攻撃を阻止することもできないので、アドビが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
o アドビのセキュリティ･アップデート APSB12-10
o アドビのセキュリティ･アップデート APSB12-11
o アドビのセキュリティ･アップデート APSB12-12
o アドビのセキュリティ･アップデート APSB12-13
o アドビのセキュリティアドバイザリ（日本語抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

Windows セキュリティ更新プログラム .NET Framework + Office も修正 2012年5月8日

2012-05-11T06:01:39Z

Windows セキュリティ更新プログラム
.NET Framework + Office も修正

2012年5月8日

コーリー・ナクライナー
概要：

対象：
現バージョンのウィンドウズとオプションの.NET Framework コンポーネント Office とSilverlight に影響するアドバイザリ (1 件)
悪用方法：
特別に細工したドキュメントをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
影響：
最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
対策：
状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
今日、マイクロソフトは主にウィンドウズとオプションの.NET Framework コンポーネントに影響を与えている 15 の脆弱性について 4 件のセキュリティアドバイザリをリリースした。その他にも Office と Silverlight にも影響するアドバイザリが 1 件ある。各脆弱性の対象製品のバージョンと影響は異なるが、リモート攻撃者はその中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールできるようになる。できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる（特に深刻と評価されているもの）。危険性の高い問題から順番にまとめた概要は以下の通り：
• MS12-034:
Windows、Office、.NET Framework と SilverLight にも影響普段とは異なるこのマイクロソフトのセキュリティアドバイザリは、4つのマイクロソフト製品（Windows、Office、.NET Framework、Silverlight）において、外見上異なる脆弱性を修正している。こうした製品すべてのファイルに欠陥が影響しているため、マイクロソフトはこれらをひとつのアドバイザリにまとめている。様々なコード実行の脆弱性やドライブバイ･ダウンロード系の問題、ローカルの特権昇格の欠陥、サービス拒否（DoS）の脆弱性などがあり、これら10 件の脆弱性は大きく異なる。アドバイザリによると、研究家または攻撃者達は更新プログラムが用意される前に 3 つの脆弱性を公表、攻撃者達は少なくとも対象が限定されている攻撃 1 つをすでに実行している。通常のユーザにとってもっともリスクの高いのは、フォントやイメージ処理の脆弱性だろう。 TrueType フォントや EMF イメージを処理するためにWindowsが使用するコンポーネントは複数のコード実行欠陥の影響を受けている。細工済みのイメージやTrueTypeフォントをユーザが取り扱うように仕向けることに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用し、そのユーザのコンピュータへのアクセス権を入手できる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。攻撃者はこうした悪質なフォントやイメージをウェブサイトやドキュメントまたはメールなどに埋め込むことができる。しかし、こうした攻撃方法の中には、ユーザからのインタラクションを必要とするものもある。このアドバイザリは様々な製品に見られる深刻な脆弱性を多々修正しているため、（攻撃者達がすでに一般の環境下で悪用しているものも含む）できる限り早急にセキュリティ更新プログラムをダウンロードし、テストしてからデプロイすることをすすめる。マイクロソフトの評価：深刻
• MS12-035 :
.NET Framework 遠隔操作によるコード実行の脆弱性(2）
.NET Framework は新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワークだ。コンピュータにおいて、シリアル化はデータ構造やデジタル保存、トランスミッションを許可する状態のオブジェクトを変換するプロセスだが、.NET Framework はシリアル化プロセスに関与する2つのコード実行問題の影響を受けている。特別に細工したウェブサイトに .NET Frameworkをインストールし、そのサイトにユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はこうした欠陥を利用してユーザのコンピュータを完全に操作できるようにもなる。この欠陥は社内で開発し実際に使用しているカスタムの.NET Framework をベースにしたプログラムにも影響を及ぼすことができるので、.NET Framework をネットワークで使用している場合は、この更新プログラムをできる限り早急に取り入れることをすすめる。マイクロソフトの評価：深刻
• MS12-032 :
TCP/IP 特権昇格の欠陥とファイアウォール迂回問題 Windowsのネットワーキング･コンポーネントの2つがセキュリティ欠陥の影響を受けている。Windows TCP/IP スタックは、IPv6アドレスからローカル･ネットワーク･インターフェイスをバインドする方法に関与するローカル特権昇格の欠陥の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。とはいっても、攻撃者はまず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とする。
また、Windowsのホストベースのファイアウォールはファイアウォール迂回の脆弱性の影響を受けている。Windows ファイアウォールはパケットをブロードキャストするアウトバウンド･ファイアウォール･ポリシーを適切に用いることができず、ユーザのWindowsコンピュータへのアクセス権を持つ攻撃者は、この問題を悪用して Windowsコンピュータに適用していたアウトバウンド・ファイアウォールのポリシーを迂回するために、これを悪用することができる。この欠陥は、外部からの攻撃者がユーザのシステムへのアクセスを得るように許可することはないが、マルウェアがユーザのシステムを感染させ、コマンドやコントロール（C&C)接続を攻撃者に返しやすくすることができる。
マイクロソフトの評価：重要
• MS12-033 :
パーティション管理の特権昇格の脆弱性
コンピュータにおいて、ディスクパーティションはハードドライブを1つのロジカル･ストレージ・ユニット以上に分けることを意味する。 Windowsはパーティション管理コンポーネントを搭載しており、ユーザがハードドライブを分割できるようにしているが、パーティション管理は別のWindowsコンポーネント（特にプラグアンドプレイの設定管理）と相互作用する点に関与する特権昇格の問題の影響を受けている。特別に細工したプログラムを実行すると、ローカル攻撃者はこの欠陥を悪用してユーザのWindowsコンピュータを完全に操作できるようになる。しかし攻撃者は、まず有効なクレデンシャルを使ったユーザのウィンドウズへのローカルアクセス権を必要とするため、この問題の危険性を大きく緩和させている。
マイクロソフトの評価：重要

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。下記のURLからそれぞれのアドバイザリにある「影響を受けているソフトウェアと受けていないソフトウェア」の欄に直接いくことができる。また、各種セキュリティ更新プログラムのダウンロード先も、ここで確認できる。 • MS12-034
• MS12-035
• MS12-032
• MS12-033
• セキュリティ情報一覧（日本語）

解決策：ウォッチガードユーザ専用
攻撃者はユーザがローカルで実行可能ファイルを実行するように説得するなど、様々な方法で欠陥を悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、このような欠陥から自分のネットワークをしっかりと守ることをすすめる。とはいっても、ウォッチガードのファイアウォールやXTMセキュリティアプライアンスは、こうした欠陥の多くのリスクを緩和させることができる。例えば、攻撃者はWindowsファイアウォールの欠陥を利用してホストベースのファイアウォール・ポリシーを迂回するかもしれないが、その攻撃はウォッチガードのゲートウェイ・ファイアウォールをごまかすことはできない。さらに、ウォッチガードのゲートウェイ・ウィルス対策を利用していれば、ウォッチガードのアプライアンスがユーザのコンピュータに対するマルウェア攻撃を阻止するケースもある。
ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
セキュリティ情報一覧（日本語）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

Word / Visio / Excel でドキュメント処理の脆弱性 2012年5月8日

2012-05-11T04:47:28Z

Word / Visio / Excel でドキュメント処理の脆弱性

2012年5月8日

コーリー・ナクライナー
概要：

対象：
Windows や Mac 版の現バージョンのマイクロソフト Office製品
Visio Viewer、Office Compatibility Packs などの関連製品
悪用方法：
悪質に細工されたOffice ドキュメントをユーザが開くように誘導するのが一般的
影響：
攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策：
状況に適した Office のセキュリティ更新プログラムを至急インストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
マイクロソフトは、 Microsoft Office や関連コンポーネントに影響を与えている 8 つの脆弱性について 3 件のセキュリティアドバイザリをリリースした。Windows や Mac で使用している Office に影響するものや、Office Compatibility Pack や Visio Viewer といったコンポーネントに影響するものなどがある。
その他にも、マイクロソフトは Office 関連のセキュリティアドバイザリ (MS12-034) をもう1件リリースしている。この問題は、その他様々なマイクロソフト製品に影響を与えている。このアドバイザリはWindowsユーザにも影響を与えているため、ウォッチガードでは次のウィンドウズ関連のアラートでその詳細を説明する予定。Office を使用しているユーザも、その Windows アドバイザリを参照して更新プログラムを適用することをすすめる。
マイクロソフトがリリースした Office 関連のアドバイザリ 3 件は、Office が別の種類のドキュメントを処理する方法に関与する 8 つのコード実行問題について説明している。欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じだ。悪質に細工された Office ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、攻撃者は任意に脆弱性を悪用してユーザレベルの特権や許可権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。
コメントするに値する唯一の違いは、攻撃者が脆弱性を誘発するために使う Office ドキュメントの種類である。

影響を受けている Office ドキュメントの種類は次のとおり：
• Word で開く Rich Text Files (RTF)
• Excel (XLS)
• Visio (VSD, VSS, etc.)
それぞれの欠陥について知りたければ、下記のセキュリティアドバイザリにある「脆弱性の詳細」を参考にすることをすすめる：
• MS12-029:Word RTF のコード実行問題：　緊急
• MS12-030:Excel のコード実行問題(複数）：　重要
• MS12-031:Visio Viewer のコード実行問題：　重要

解決方法：
マイクロソフトは、こうした脆弱性を修正する更新プログラムをいくつもリリースしている。このアラートで取り上げた Office や Office 関連のコンポーネントを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードしテストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。

注意：
日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」へのリンクについては、次を参照すること。

• MS12-029 - Office + Word セキュリティ更新プログラム
• MS12-030 - Office + Excel セキュリティ更新プログラム
• MS12-031 - Visio Viewer セキュリティ更新プログラム

解決策：ウォッチガードユーザ専用
ウォッチガードのアプライアンスには受信用の Office ドキュメントがネットワークに入り込まないようにすることができるものも多々あるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても Office ドキュメントが必要というのでなければ、更新プログラムをインストールするまでは Firebox のプロキシを使って Office ファイルがネットワークに入り込まないようにすることもできる。ウォッチガードの XTM や Firebox のプロキシ機能を使って、攻撃対象になっている Office ドキュメントを阻止したい場合は下記のビデオ手順を参考にすることをすすめる。
• XTM アプライアンス + WSM 11.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Edge + 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？
• Firebox X Core & X Peak + Fireware 10.x
o FTP プロキシでファイルをブロックするには？
o HTTP プロキシでファイルをブロックするには？
o POP3 プロキシでファイルをブロックするには？
o SMTP プロキシでファイルをブロックするには？

ステータス：
マイクロソフトはこうした脆弱性を修正する Office 対象の更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

ゼロデイ脆弱性を修正する Flash アップデート 2012年5月4日

2012-05-09T05:23:32Z

ゼロデイ脆弱性を修正する Flash アップデート

2012年5月4日

コーリー・ナクライナー
概要：

対象：
すべてのプラットフォーム (Android も対象) で使用されているAdobe Flash Player 11.2.202.233 及びそれ以前のバージョン
悪用方法：
有害な Flash コンテンツを含むウェブサイトにユーザを誘導
影響：
最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
対策：
Adobe Flash Player の最新バージョン（コンピュータの場合はバージョン 11.2.202.235）をダウンロードしインストールすること

詳細：
Adobe Flash PlayerはFlashというインタラクティブな動画ウェブコンテンツを表示することができる。Flash はオプション機能だが、99% の PC ユーザがマルチメディアのウェブコンテンツを閲覧するためにそれをダウンロードし、インストールしている。Flash を使用できるオペレーティングシステムは多々あり、Android のようなモバイルもそれに対応している。

今日リリースされたセキュリティアドバイザリで、アドビはすべてのプラットフォーム (Android も対象) で使用されている Adobe Flash Player 11.2.202.233 とそれ以前のバージョンで発見された深刻な脆弱性を修正するアップデートをリリースした。

そのアドバイザリでAdobe は｢オブジェクト混乱｣の脆弱性 (CVE-2012-0779) という深刻な欠陥について説明し、現在、一般の環境下で攻撃者達がこの欠陥を悪用していると警告した。問題の詳細については触れていないが、その影響力については解説している。攻撃者が特別に細工した Flash を含む悪質なウェブサイトにユーザを誘導したり、ユーザがそうした Flash コンテンツを扱った場合、攻撃者は、この脆弱性を悪用してユーザの特権でそのコンピュータでコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

現在の時点で Adobe が確認しているのは Windowsコンピュータでこの脆弱性が悪用されたケースのみであるため、これは Windows を対象とした｢プライオリティ 1｣レベル問題として評価されている。また、アドビはできる限り早急に（72時間以内）セキュリティ更新プログラムを取り入れることをすすめている。しかし、他のプラットフォームでこの脆弱性を利用することも可能なため、Flash を使うことができるデバイスには、できる限り早急に最新バージョンを取り入れることをすすめる。

解決方法：
アドビはこうした問題を修正する新しいバージョン Flash Player をリリースしている(11.2.202.235 はコンピュータ用のバージョン、Android 版は11.1.11x.x) 。ネットワークで Adobe Flash の使用を許可している場合は、新しいバージョンを至急ダウンロードしインストールすることをすすめる。Flash Player の｢サイレント･アップデート｣オプションをオンにしている場合は、このアップデートを自動的に取り入れることができる。

・ Flash Player コンピュータ用：
・ Android Flash Player の最新バージョンは Google Play からダウンロード可能（Android から直接入手可能）

注意：
Chrome には独自のバージョンの Flash が搭載されているので、 Chrome を使用している場合は、それも別個にアップデートしておく必要がある。とはいっても、大方 Chrome はセキュリティ更新プログラムを自動的に受け取るようになっている。

解決策：ウォッチガードユーザ専用
XTM アプライアンスでは HTTP プロキシを使って Flash コンテンツがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべてのFlash コンテンツを遮断してしまう点に注意しよう。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Flash ファイルを識別するいくつかの方法：

ファイル拡張子：
・ .flv - Adobe Flash ファイル（大方ウェブサイトで使用）
・ .fla - Flash ムービーファイル
・ .f4v - Flash ビデオファイル
・ .f4p - Flash ビデオ保護ファイル
・ .f4a - Flash オーディオファイル
・ .f4b - Flash オーディオブックファイル

MIM タイプ:
・ video/x-flv
・ video/mp4 （普通の Flash より使用率が高い）
・ audio/mp4 （普通の Flash より使用率が高い）

マジックバイトのパターンにより報告された FILExt.com：
・ 16進数（Hex) FLV：46 4C 56 01
・ ASCII FLV:FLV
・ 16進数（Hex) FLA：D0 CF 11 E0 A1 B1 1A E1 00

（ここに表示した16進数やASCIIパターンすべてがコンテンツブロックに適しているのではないことに注意すること。パターンが短すぎたり、それ独自のものでない場合、ブロックすることで様々な誤検知につながることもある。
それでも Flash ファイルをネットワークから遮断したいというのであれば、下記の URL を参考にし、先に説明したファイルや MIME 情報を使った方法で Firebox プロキシのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x
・ FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x
・FTP プロキシでファイルをブロックするには？
・ HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・ SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x
・FTP プロキシでファイルをブロックするには？
・HTTP プロキシでファイルをブロックするには？
・ POP3 プロキシでファイルをブロックするには？
・SMTP プロキシでファイルをブロックするには？

ステータス：
アドビは Flash の脆弱性を修正する更新プログラムをリリースしている。

参考資料：
2012 年 4 月 Adobe Flash セキュリティアドバイザリ
Adobe 最新のセキュリティ情報（日本語版）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。
（ツイッター：(@SecAdept)

XTM 2 Series（確認用）

2012-05-07T08:48:43Z

<$MTInclude module="下層ページメニューヘッダー"$>

	XTM 25	XTM 26
スループットと接続
ファイアウォールスループット*	110 Mbps	350 Mbps
VPNスループット*	35 Mbps	55 Mbps
XTMスループット*	20 Mbps	30 Mbps
10/100インタフェース	-	-
10/100/1000インタフェース	5	5
シリアルサポート	1 シリアル / 1 USB	1 シリアル / 1 USB
ノードサポート（LAN IP）	無制限	無制限
同時セッション	10,000	30,000
ローカルユーザの権限（または認証）DB限度	500	500
アップグレード可能なモデル	はい	N/A
ワイヤレスあり**	802.11b/g/n, WPA, WPA2, WEP, Wireless Guest Services	802.11b/g/n, WPA, WPA2, WEP, Wireless Guest Services
VPN トンネル（含む/最大）
ブランチオフィスVPN	10	40
モバイルVPN IPSec	5/10	5/40
モバイルVPN SSL	1/11	1/25

*スループットは、環境と設定により異なります。

*XTM 2 Seriesのワイヤレスモデル型番は、XTM 25-W、XTM 26-Wです。

オペレーティングシステムの選択: XTM 21、XTM 22モデルにはFireware XTMオペレーティングシステムがバンドルされています。ネットワーク要件が複雑になっても、ダウンロード可能なソフトウェアのライセンスキーを使用して、OSを簡単にProバージョンへアップグレードできます。
（XTM 23にはFireware XTM Proがバンドルされています。）

ネットワーク機能 Fireware XTM

ルーティング: 静的
SSL: SSLトンネルを１つ利用可能
VLANサポート: 20
その他の機能: 独立ポート、トランスペアレント・ドロップイン・モード

ネットワーク機能 Fireware XTM Pro

ルーティング: ポリシーベース
SSL: SSLトンネルを最大数利用可能
VLANサポート: 50
その他の機能: マルチWANフェイルオーバー、マルチWANロードバランス

セキュリティ機能

ファイアウォール: ステートフル・パケット・インスペクション、ディープ・パケット・インスペクション、プロキシー・ファイアウォール
アプリケーションプロキシー: HTTP、HTTPS、SMTP、FTP、DNS、TCP、POP3
脅威保護: スパイウェア、DOS攻撃、フラグメンテッド・パケット、マルフォーム・パケット、複合型脅威、その他
VoIP: H.323. SIP、コールセットアップ、セッションセキュリティ
セキュリティ・サービス: WebBlocker、spamBlocker、Gateway AntiVirus、 Intrusion Prevention Service
（セキュリティ・バンドルで提供）

VPNおよび認証

暗号化: DES、3DES、AES 128-、192-、256-bit
IPSec: SHA-1、MD5、IKE pre-shared key、 3rd party cert import
VPNフェイルオーバー: あり
SSL: シンクライアント、ウェブエクスチェンジ
PPTP: サーバーおよびパススルー
シングルサインオン: トランスペアレントActive Directory認証
XAUTH: Radius、LDAP、Windows Active Directory
その他ユーザ認証: VASCO、RSA SecurID、ウェブベース、ローカル

管理

管理プラットフォーム: WatchGuard System Manager （WSM）v11以上
アラームと通知: SNMP v2/v3、Eメール、管理システムアラート
サーバーサポート: ログ、レポート、検疫、WebBlocker、管理
ウェブUI: Windows、Mac、Linux、Solaris OSをサポート
コマンドラインインタフェース: ダイレクトコネクト、スクリプト含む

標準ネットワーク

QoS: 8 優先キュー、DiffServ、modified strict queuing
IPアドレス・アサインメント: 静的、DynDNS、PPPoE、DHCP （サーバー、クライアント、リレー）

サポート＆メンテナンス

LiveSecurity Service: ハードウェア保証、10/5技術サポート（4時間の対応時間）、ソフトウェア・アップデート、脅威アラート

認証・基準

セキュリティ: ICSA、FIPS、EAL4 （取得中）
安全: NRTL/C、CB
危険物質管理: WEEE、RoHS、REACH

寸法と電源

製品寸法-有線モデル: 19.1x15.6x3.2cm（7.5"x6.125"x1.25"）
製品寸法-ワイヤレスモデル （アンテナを上げた場合）: 26.7x19.7x12.7cm（10.5"x7,75"x5"）
出荷寸法: 26.7x19.7x12.7cm（10.5"x7,75"x5"）
出荷重量-有線モデル: 1.45 kg （3.2 lbs）
出荷重量-ワイヤレスモデル: 1.6kg （3.6 lbs）
AC電源: 100-240VAC 自動検知
消費電力-有線モデル: 100-240VAC 自動検知
消費電力-ワイヤレスモデル: 米国24.0ワット（82 BTU）
ラックマウント可能: いいえ
（テーブルトップウォールマウントブラケット付属）

XTM 2 Series（確認用）

2012-05-07T08:46:45Z

<$MTInclude module="下層ページメニューヘッダー"$>

Compare Models

WatchGuard® Model	products/xtm/xtm-2-series.html">WatchGuard® XTM 25/25-W	products/xtm/xtm-2-series.html">WatchGuard® XTM 26/26-W
img/page_image/clrpxl.gif" alt="" width="1" height="1" hspace="50">	img/page_image/compare_xtm2_xtm25.jpg" alt="WatchGuard XTM 21" width="125" height="70">	img/page_image/compare_xtm2_xtm26.jpg" alt="WatchGuard XTM 22" width="125" height="70">
Ideal For	Remote offices, small businesses that need an affordable solution that easily upgrades to accommodate growth. Available in wired and wireless models.	Remote offices, small business, wireless hotspots that want an affordable, all-in-one security solution. Available in wired and wireless models.
Hardware
Model Upgradeable	img/page_image/check_orange.gif" alt="X" width="9" height="9">	N/A
Interfaces	5 1GbE	5 1GbE
Security
Application Proxies	HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP	HTTP, HTTPS, SMTP, FTP, DNS, TCP, POP3, SIP, H.323, TFTP
Intrusion Prevention (DOS, DDOS, PAD, port scanning, spoofing attacks, address space probes, and more)	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
Wireless Models Only	802.11b/g/n, WPA, WPA2, WEP, Wireless Guest Services	802.11b/g/n, WPA, WPA2, WEP, Wireless Guest Services
User Authentication with transparent Windows authentication	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
Performance
Firewall Throughput**	110 Mbps	350 Mbps
VPN Throughput**	35 Mbps	55 Mbps
XTM Throughput**	20 Mbps	30 Mbps
Concurrent Sessions* (bi-directional)	10,000	30,000
VPN Tunnels
Branch Office VPN Tunnels (Max.)	10	40
Mobile VPN with SSL (Incl/Max)	1/11	1/25
Mobile VPN with IPSec Client Licenses (Bundled)	5	5
Mobile VPN with IPSec Tunnels (Max.)	10	40
VPN Authentication	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
Management
Optional Centralized (Multibox) Management. Optional licenses enable Drag and Drop VPN and one-touch appliance updates.	WatchGuard System Manager Device Upgrade license required.	WatchGuard System Manager Device Upgrade license required.
Networking Features
Dynamic NAT	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
Static NAT	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
One to One NAT	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
VLAN	20, upgradeable to 50 with Fireware® XTM Pro upgrade	20, upgradeable to 50 with Fireware® XTM Pro upgrade
Policy-Based Routing	Optional with Fireware® XTM Pro	Optional with Fireware® XTM Pro
WAN Failover	Optional with Fireware® XTM Pro	Optional with Fireware® XTM Pro
Multi-WAN Load Balancing	Optional with Fireware® XTM Pro	Optional with Fireware® XTM Pro
Server Load Balancing	N/A	N/A
Traffic Management/QoS	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
High Availability Active/Active or Active/Passive	N/A	N/A
Dynamic Routing	Optional with Fireware® XTM Pro	Optional with Fireware® XTM Pro
VoIP (SIP and H.323) Support	img/page_image/check_orange.gif" alt="X" width="9" height="9">	img/page_image/check_orange.gif" alt="X" width="9" height="9">
Additional Security Subscriptions
Application Control	Optional	Optional
Reputation Enabled Defense	Optional	Optional
spamBlocker with Virus Outbreak Detection	Optional	Optional
Gateway AntiVirus/ Intrusion Prevention Service (IPS)	Optional	Optional
WebBlocker with HTTPS URL filtering	Optional	Optional
LiveSecurity® Service	1-year and 3-year subscriptions available	1-year and 3-year subscriptions available

*Concurrent sessions here represent the number of bi-directional connections.

**Throughput rates will vary based on environment & configuration.

2012-04-27T06:57:12Z

Build番号：340614
対象モデル: XTM21/22/23/5 Series/8 Series/1050

BUG66495: keeper can not get response from firewalld for a long time
⇒firewalldプロセスのkeeperが反応しない点を改修しました。

BUG66323: Firebox stack trace and reboot with IPS enabled.
⇒IPS有効時、スタックトレースを起こしリブートが発生する点を改修しました。

BUG65219: Unnecessary IPS/GAV signature sync
⇒Fire Cluster構成時、IPS／GAVシグネチャの同期の関する点を改善しました。

BUG66345 'firewalld' stack trace when save configuration to cluster
⇒Fire Cluster構成において設定ファイルを保存しようとするとfirewalldがスタックトレースを起こす可能性がある点を改修しました。

B338465

2012-04-27T06:54:18Z

Build番号：338465
対象モデル: XTM21/22/23/5 Series/8 Series/1050

BUG65770: Both appliances reboot Acitve Passive 1050 cluster
⇒XTM1050のFire Cluster構成にて機器が自動的にリブートしてしまう可能性がある点を改修しました。

5～6月のトレーニングスケジュールをアップしました

2012-04-20T00:00:00Z

Windows セキュリティ更新プログラム.NET Framework やAuthenticode の欠陥を修正 2012 年4月10日

2012-04-16T07:47:02Z

Windows セキュリティ更新プログラム
.NET Framework やAuthenticode の欠陥を修正

2012 年4月10日

コーリー・ナクライナー
危険度：高

概要：

対象：
現バージョンのウィンドウズとオプションの.NET Framework コンポーネント
悪用方法：
特別に細工した実行可能ファイルをユーザに実行させたり、有害なコンテンツを含むウェブサイトにユーザを誘導するなど、様々な攻撃方法がある
影響：
最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
対策：
状況に適したマイクロソフトのセキュリティ更新プログラムをできる限り早急にインストールするか、ウィンドウズのアップデート機能に任せて必要なプログラムをインストールすること

詳細：
今日、マイクロソフトはウィンドウズと、そのオプションの.NET Framework コンポーネントに影響を与えている脆弱性について 2 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズ・バージョンとその影響は異なるが、リモート攻撃者は中でも悪質な欠陥を利用し、ユーザのウィンドウズ PC を完全にコントロールすることができる。
危険性の高い問題から順番にまとめた概要は以下の通り：
・ MS12-024

Windows Authenticode 署名検証の脆弱性
Windows にはデジタル署名ベースコードの Authenticode 技術が含まれており、ユーザとオペレーティング・システムがソフトウェアの整合性と評判を確認することを可能にしている。例えば、ユーザが WatchGuard （ベンダー）が署名したソフトウェアをダウンロードしたとする。そのソフトウェアが Windows の Authenticode の検証確認をパスしている場合、そのソフトウェアは実際に WatchGuard のものであり、いかなる方法においても変更が施されていないソフトウェアであると信頼することができる。
しかし、このアドバイザリが説明している欠陥は、 Windows の Authenticode 署名検証機能（WinVerifyTrust）が Portable Executable (PE) ファイルをチェックする方法に関与している。つまり、攻撃者は実行可能ファイルを悪質なものに変更した後でも、WindowsのAuthenticode検証をパスできる、特別に細工した PE ファイルを作成することができる。ユーザがそうした実行可能ファイルをダウンロードし、それを実行するように仕向けると、攻撃者は欠陥を悪用してユーザの特権を使い、そのユーザのコンピュータへのアクセス権を手に入れることができる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。しかし、大方のユーザはメールやウェブを介して勝手に送られてきた実行可能ファイルを不審に思うだろう。とはいっても、この欠陥はユーザがファイルの評判を確認できるようにするためにマイクロソフトが使っている機能を迂回するため、腕の立つ攻撃者であれば実行可能ファイルを実行するようにユーザを納得させてしまう場合もあるだろう。こうした理由から、できる限り早急に更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-025

.NET Framework の遠隔操作によるコード実行問題
.NET Framework は、新しいウィンドウズやウェブアプリケーションを作成するために開発者が使うソフトウェア・フレームワーク CISSP だ。.NET Framework は特定のファンクション CISSP にパスされる、特定のパラメータを適切に確認できない点に関係したコード実行問題の影響を受けている。特別に細工したウェブサイトに.NET Frameworkをインストールしたユーザを誘導することに成功すると、攻撃者はこの欠陥を悪用し、そのユーザの特権を使ってコードを実行できるようになる。また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はそれを利用してユーザのコンピュータを完全に操作することもできる。この欠陥は、.NET Framework エレメントを使うウェブサイトにも影響しているほか、社内で開発し実際に使用している多くのカスタム .NET ベースプログラムにも影響している。ひとことで言うならば、サーバやクライアントに.NET framework をインストールしている場合は、更新プログラムを取り入れることをすすめる。
マイクロソフトの評価：緊急

解決方法：
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、状況に適したウィンドウズのプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある
各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。

・ MS12-024

・ MS12-025

解決策：ウォッチガードユーザ専用
攻撃者は、ローカルで実行可能ファイルを実行するようにユーザを説得するなど、こうした欠陥を様々な方法で悪用することができる。ゲートウェイのWatchGuardアプライアンスでローカル攻撃を阻止することはできないため、マイクロソフトの更新プログラムをインストールし、こうした欠陥から自分のネットワークをしっかりと守ることをすすめる。
多くの WatchGuard 製品のプロキシポリシーでは、規定設定により実行可能ファイルを阻止することができるので、ユーザがインターネットで見つけた悪質である可能性を持つ実行可能ファイルへのアクセスを回避できる。つまり、規定設定でプロキシポリシーを使えば、こうした欠陥を利用する悪質な実行可能ファイルへのアクセスを避け、それにより生じるリスクを緩和することができる。

ステータス：
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料：
マイクロソフトセキュリティアドバイザリ一覧（日本語） CISSP

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)

複数の Office セキュリティ更新プログラム:別のサーバ製品に影響も 2012年4月10日

2012-04-16T06:54:55Z

複数の Office セキュリティ更新プログラム:
別のサーバ製品に影響も

2012 年4月10日

コーリー・ナクライナー
概要：

対象：
Microsoft Office, Works, SQL Server, BizTalk Server 2002, Commerce Server, Visual FoxPro, Visual Basic 6.0 Runtime
悪用方法：
有害なウェブサイトや URL にユーザを誘導したり、悪質な Works ファイルを開くように促すなど、様々な攻撃方法がある
影響：
最悪の場合は攻撃者がコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある
対策：
状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること

詳細：
今日、マイクロソフトは Office やそうしたタイプのソフトウェアで見つかった脆弱性について説明したセキュリティアドバイザリを 2 件公開した。マイクロソフトはそのうち1件を深刻、もう 1 つの問題を重要と評価している。この深刻な更新プログラムは、Office の他に下記の機能にも影響を与えている。
・SQL Server（大方のバージョン）

・BizTalk Server 2002

・Commerce Server（すべてのバージョン）

・Visual FoxPro

・Visual Basic Runtime

概要は以下のとおり：
・MS12-027:

コモンコントロールの遠隔操作によるコード実行問題
Office （上記など、その他多くのマイクロソフト製品も対象）には、マイクロソフトが Windows コモンコントロール (MSCOMCTL.OCX)と呼んでいる ActiveX コントロールの一連が搭載されている。この ActiveX ライブラリにある3つのコントロールは、未特定の遠隔操作によるコード実行脆弱性の影響を受けており、攻撃者は有害なウェブページにユーザを誘導したり、特別に作成した URL をユーザにクリックさせたりすることで欠陥のいずれかを悪用し、ユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。マイクロソフトの更新プログラムは、脆弱な ActiveX コントロールでキルビットを設定するようになっている。現在、攻撃者達は、この脆弱性を一般環境下で悪用しているとマイクロソフトは述べており、すでに深刻なこの脆弱性のリスクをさらに高めている。このため、更新プログラムを至急取り入れることをすすめる。
マイクロソフトの評価：緊急
・ MS12-028:

Works 変換ドキュメント解析の脆弱性
マイクロソフトWorksは、マイクロソフト Office に似ている軽めのパッケージで、Office に比べると特性や機能が少ない。マイクロソフト Office や最近のバージョンの Works には、様々な Works ドキュメントを開けるようにする Works 変換コンポーネントが搭載されている。しかし、Works 変換機能は Works.wps ファイルを確認し解析する方法に関係する脆弱性の影響を受けていることが分った。攻撃者は、悪質に細工した .wps ドキュメントをユーザがダウンロードし、それを開くように誘導することに成功すると、脆弱性を悪用してユーザの特権を使い、そのコンピュータでコードを実行できるようになる。また、ユーザにローカル管理者の特権があった場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。（注意：この欠陥の影響を受けているのはOffice 2007 w/SP2 と Works 9 のみ）。
マイクロソフトの評価：重要

解決方法：
マイクロソフトは脆弱性を修正する更新プログラムをいくつもリリースしている。このアラートで取り上げたソフトウェアを使用している場合は、状況に適した更新プログラムをできる限り早急にダウンロードし、テストしてからインストールするか、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムを取り入れることをすすめる。各アドバイザリの「影響を受けるソフトウェアと受けないソフトウェア」や、セキュリティ更新プログラムのダウンロード先については、次のリンクを参照することをすすめる。注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択。

・MS12-027

・ MS12-028

解決策： ウォッチガードユーザ専用
XTM アプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って Works ドキュメントがネットワークから遮断されるように設定できるので、そういった方法でこの問題のリスクを緩和することも可能だ。しかし、そうすることで問題があるないにかかわらず、すべての Works ファイルを遮断してしまう点に注意しよう。仕事上、ネットワークの外に Works ファイルを定期的に移動させている場合は Works を遮断することは避けた方がいいかもしれない。
ウォッチガードのプロキシではファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定することができる。
Works ファイル(.wps)を識別するいくつかの方法：

ファイル拡張子：
・wps - Works ドキュメント

MIME タイプ:
・application/vnd.ms-works

・application/x-msworks-wp

・zz-application/zz-winassoc-wps

マジックバイトのパターンにより報告されたFILExt.com：・16進数（Hex)：D0 CF 11 E0 A1 B1 1A E1 00

それでも Works ファイルをネットワークから遮断したいというのであれば、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定するといいだろう。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

ステータス：
マイクロソフトは脆弱性を修正できる更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧） CISSP この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)

ドライブバイ･ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート 2012年4月10日

2012-04-16T06:41:04Z

ドライブバイ･ダウンロードの可能性を持つ5つの欠陥を修正するIE のアップデート

2012年4月10日

コーリー・ナクライナー

危険度：高

概要：

対象：
現バージョンのウィンドウズで使用している Internet Explorer すべてのバージョン
悪用方法：
有害なウェブページにユーザを誘導する方法が一般的
影響：
この問題による影響は様々だが、最悪の場合には攻撃者がユーザのコンピュータでコードを実行し、それを操作できるようになる
対策：
状況に適した Internet Explorer の更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せること

詳細：
マイクロソフトはパッチデーに発表したセキュリティアドバイザリで、現バージョンのウィンドウズで使われている Internet Explorer (IE) バージョン 9.0 と、それ以前のバージョンで発見された 5 つの新しい脆弱性について説明し、その危険度を「緊急」と評価した。
これら 5 つの欠陥の技術面は異なるが、その作用範囲と影響力はほぼ同じである。これらはすべて様々なHTMLオブジェクトやエレメントを IE が処理する方法に関係した遠隔操作によるコード実行の欠陥だ。有害なウェブコードを含むウェブページにユーザを誘導することに成功した攻撃者は、こうした脆弱性のいずれかを悪用してユーザの特権を利用し、そのユーザのコンピュータでコードを実行できるようになる。通常、ウィンドウズユーザはローカル管理者の特権を持っているため、そうした場合は攻撃者が欠陥を悪用し、そのユーザのコンピュータを完全に操作できるようになる。
欠陥の技術詳細については、マイクロソフトのアドバイザリにある「脆弱性の情報」の欄を閲覧することをすすめる。しかし、技術面を別にしても IE に見られるリモートコード実行の欠陥は深刻なリスクを掲げており、攻撃者がドライブバイ・ダウンロード攻撃を開始できるようにすることがある。さらに、攻撃者は正当なウェブサイトをハイジャックし、有害なウェブコードをホストするように仕向けることがよくある。そのため、このタイプの欠陥はユーザがどのサイトを訪れようとも、影響を及ぼすことができる。IE を使用している場合は、累積修正プログラムを至急ダウンロードしインストールすることをすすめる。
解決方法：
マイクロソフトは、脆弱性を修正するセキュリティ更新プログラムをリリースしているので、状況に適した IE のセキュリティ更新プログラムを至急インストールするか、ウィンドウズの自動アップデート機能に任せることをすすめる。
注意：日本語版をダウンロードするには「Change Language:」と表記されたドロップダウンから「Japanese」を選択しよう。詳細リンクは「影響を受けるソフトウェアおよび影響を受けないソフトウェア」の欄を参照。

解決策：ウォッチガードユーザ専用
通常、このタイプの攻撃は普通の HTTP トラフィックに見せかけた状態でやってくるが、ネットワーク上のユーザがワールドワイドウェブ（www）にアクセスできるようにするには、HTTP トラフィックを許可しなければならないため、セキュリティ更新プログラムを取り入れることが主な対策となる。

ステータス：
マイクロソフトはこうした脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
マイクロソフトのセキュリティアドバイザリ（一覧）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)

Adobe Reader をアップデートまたは悪質な可能性のある PDF を避けよう 2012 年4月10日

2012-04-16T06:06:14Z

Adobe Reader をアップデートまたは
悪質な可能性のある PDF を避けよう

2012 年4月10日

コーリー・ナクライナー
概要：

対象：
ウィンドウズ、Mac、Linux で使用している Adobe Reader、Acrobat X 10.1.2 およびそれ以前のバージョン
悪用方法：
故意に作成した PDF ドキュメントをユーザが閲覧するように誘導
影響：
攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性あり
対策：
ウィンドウズ･ユーザは、アドビの Reader や Acrobat X 10.1.3 もしくは 9.5.1 のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる

詳細：
今月のパッチデーで、アドビは利用可能なプラットフォームで使用している Adobe Reader と Acrobat X 10.1.2 およびそれ以前のバージョンで発見された 4 つのセキュリティ脆弱性について説明したセキュリティアドバイザリをリリースした。アドビはこうした欠陥の技術詳細を説明していないが、Reader や Acrobat コンポーネント内に見られる整数のオーバーフローやメモリ破損に関係しているものが大方である。技術面では異なるものの、4 つの脆弱性の作用範囲と影響力はよく似ている。故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこうしたタイプの問題を悪用して、ユーザの特権を使いユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権がある場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。

PDF ドキュメントを開く際に Adobe Reader を使っている場合は、この Reader の更新プログラムをできる限り早急にダウンロードしインストールすることをすすめる。

解決方法：
アドビは脆弱性を修正できる Reader と Acrobat X 10.1.3 （レガシーユーザ対象の9.5.1 も含む）をリリースしているので、状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェアアップデート機能に任せることをすすめる。

Adobe Reader X 10.1.3

Windows

Mac

Linux

Adobe Acrobat X 10.1.3

Standard & Pro for Windows

Pro Extended for Windows

Pro for Mac

解決策：ウォッチガードユーザ専用
WatchGuard のアプライアンスでは、HTTP プロキシや SMTP プロキシ、FTP プロキシを使って PDF ドキュメントがネットワークから遮断されるように設定することもできる。しかし、そうすることで問題があるないにかかわらず、すべての PDF ファイルを遮断してしまう点に注意しよう。社内で PDF ドキュメントを頻繁に使用している場合、これはベストな回避策ではないかもしれない。

ウォッチガードのプロキシでは、ファイル拡張子やMIMEタイプまたはメッセージ本文に見られる特定の16進数のパターン別など（マジックバイトによる検出としても知られる方法）、様々な方法でファイルやコンテンツをネットワークから遮断するように設定できる。 PDF ドキュメントを識別するいくつかの方法：

ファイル拡張子：

・PDF - Adobe Reader ドキュメント

MIME タイプ:

・application/pdf

・application/x-pdf

・application/acrobat

・applications/vnd.pdf

・ text/pdf

・text/x-pdf

マジックバイトのパターンにより報告されたFILExt.com：

・16進数（Hex)：25 50 44 46 2D 31 2E

・ASCII: %PDF-1

それでも PDF ファイルをネットワークから遮断したいという場合は、下記のURLを参考にし、先に説明したファイルやMIME情報を使った方法で WatchGuard アプライアンスのコンテンツブロック機能を設定すればいい。ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。多くの場合、ただ単に GAV サービスを有効にしておくだけで PDF ベースのマルウェアからネットワークを守ることができる。

XTM アプライアンス + WSM 11.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Edge + 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

Firebox X Core & X Peak + Fireware 10.x

FTP プロキシでファイルをブロックするには？

HTTP プロキシでファイルをブロックするには？

POP3 プロキシでファイルをブロックするには？

SMTP プロキシでファイルをブロックするには？

ステータス：
アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。

参考資料：
アドビ（日本版）のセキュリティ・アップデート（抄訳）

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)

LiveSecurityService有効期限切れ通知のタイミングは？

2012-04-12T03:43:50Z

有効期限切れ　60日前、30日前、15日前、7日前、1日前
有効期限切れ　当日
有効期限切れ後　2週間ごとに3ヶ月間

Mac のマルウェア感染を避けるMac のマルウェア感染を避ける 2012年4月5日

2012-04-11T04:37:37Z

Mac のマルウェア感染を避ける
OS X Java のアップデート

2012年4 月5 日
コーリー・ナクライナー

概要：

対象：
OS X 10.7.x (Lion) および 10.6.x (Snow Leopard)
悪用方法：
故意に作成した Java を含むウェブサイトにユーザを誘導する
影響：
結果は様々だが、最悪の場合は攻撃者がユーザの特権を持った状態で、そのユーザのコンピュータでコードを実行できるようになる
対策：
OS X Lion 2012-001　対象の Java またはOS X 10.6 Update 7 対象の Java を至急インストールするか、アップルの自動更新プログラムに任せること

詳細：
米国時間の 4 月 4 日、アップルは OS X 10.6.x と 10.7.x. を対象にした Java セキュリティ更新プログラムについて説明したアドバイザリをリリースした。この更新プログラムは OS X の Java コンポーネントで発見された 12 件の脆弱性を修正している（数字は CVE-ID による情報）。アップルは、各欠陥の詳細について説明をしていないが、最悪の場合に生じる影響については情報を提供している。故意に作成した Java コードを含むウェブサイトにユーザを誘導することに成功した場合、攻撃者はこうしたタイプの脆弱性を悪用し、ユーザの特権を使ってユーザの OS X コンピュータでコードを実行できるようになる。このアップルの更新プログラムは、オラクルが OS X ユーザ対象に 2 月にリリースした Java セキュリティ更新プログラムを含んでいるのだが、残念なことに攻撃者達はすでに一般の環境下のMacユーザに対し、こうしたJava脆弱性のひとつを使い攻撃を仕掛けている。Mac のトロイの木馬｢フラッシュバック｣は、こうした Java 欠陥やこれまでの Flash 脆弱性を利用し、すでに 600,000 台の Mac を感染させたと報告されている。このため、仕事場で Mac を使っている場合は、アップルの OS X Java のセキュリティ更新プログラムを至急インストールすることを強くすすめる。Flashback マルウェアについて、自分の Mac を調べる方法にはこのリンクを参照することをすすめる。
解決方法：
アップルは、こうした欠陥を修正する OS X Lion 2012-001 対象の Java と、OS X 10.6 Update 7 対象のJava をリリースしている。OS X 10.6.x または 10.7.x を入れているコンピュータを管理している場合は、こうしたセキュリティ更新プログラムをダウンロードしデプロイするか、自動ソフトウェア更新プログラムツールに任せることを強くすすめる。

解決策：ウォッチガードユーザ専用
攻撃の中には、悪質なJava バイトコードを含むウェブページにユーザが訪れることに依存しているものもある。大方のウォッチガード製品に搭載されている HTTP プロキシー･ポリシーは、Java バイトコードを規定設定でブロックするようになっているため、このような脆弱性をいくつかを緩和することが可能だ。

ステータス：
アップルは欠陥を修正する更新プログラムをリリースしている。

参考資料：
アップルのOS X：Javaアドバイザリ（3月分）

アップルのソフトウェア･ダウンロード先

アップルのセキュリティ更新プログラム

この記事はコーリー・ナクライナー CISSP が調査し執筆したものです。（ツイッター：(@SecAdept)