2015年5月12日　COREY NACHREINER 著

マイクロソフトは先日開催された Microsoft Ignite で、Windows 10 では毎月の定例パッチ公開を実施しないと発表しましたが、5月もこれまでどおり、火曜日に定例パッチが公開されました。マイクロソフトは今日、深刻度が「重要」の 3件を含む 13件のセキュリティ情報を発表しました。マイクロソフト製品の管理者の皆さんは、発表されたアップデートを速やかに入手してください。

件数について:

マイクロソフトは本日、定例パッチとして、同社の各種製品に存在する 48個の脆弱性を修正するために、13件のセキュリティ情報を公開しました。影響を受ける製品は以下のとおりです。

• 現在のバージョンの Windows（およびそのコンポーネント）
• Internet Explorer（IE）
• Office
• SharePoint Server
• .NET Framework
• Silverlight

3件については深刻度が「緊急」であり、残りは「重要」となっています。ところで、マイクロソフトの概要をまとめた発表記事には、脆弱性危険度指標を始めとする有益な情報がたくさん紹介されています。実世界におけるそれぞれの脆弱性の危険度に基づいたアップデートの優先度の判断にこれらの情報が役立つはずです。

定例パッチの概要:

今日の定例パッチ公開では主に、深刻度が「緊急」の問題を解決するパッチが発表されました。ほとんどの企業にとって最も重要なのは、IE のアップデートを最初に適用することでしょう。このパッチによって、22件の脆弱性だけでなく、最近の 1 つの主流であるドライブバイダウンロード攻撃に関連する脆弱性も解決されます。

悪意あるドキュメントをメールに添付するスピアフィッシングが増えていることから、ドキュメント関連の脆弱性についてもその優先順位を判断する必要があります。また、Windows のフォントドライバ、ジャーナル、Office のアップデートも優先順位を付けてパッチを適用することをお勧めします。

つまり、アップデートのパッチを短時間で効率よく適用したいのであれば、マイクロソフトが発表したリストの順番に従ってパッチを適用すると良いでしょう。

各セキュリティ情報の概要:

深刻度の高い順に 4月のセキュリティ情報の概要を説明していきます。影響を受ける製品を使用されている場合には、この優先順位の通りに、アップデートを適用することを推奨します。

MS15-043 – 緊急 – IE のアップデートで 22件の脆弱性を修正 – マイクロソフトが毎月公開する累積的なアップデートは、メモリ破損の多くの脆弱性を修正できる有効な方法です。今月の IE のアップデートは対象とする脆弱性の種類が通常よりも少し多く、権限昇格のいくつかの問題やアドレス空間配置のランダム化（ASLR）迂回の脆弱性などが修正されます。ただし、メモリ破損の問題のリスクが依然として最も高いと考えられます。悪意のあるコードが仕込まれたサイトに誘導されると、この脆弱性が攻撃され、ユーザのマシンで任意のコードが実行される恐れがあります。ユーザにローカル管理者の権限がある場合、攻撃者はコンピュータを完全に乗っ取ることが可能です。IE のそれ以外のいくつかの脆弱性も、Windows のセキュリティメカニズムを迂回し、権限昇格に悪用されるリスクにつながります。これらすべての脆弱性は、ドライブバイダウンロード攻撃で悪用される格好の標的であるため、IE のアップデートを最優先で適用することをお勧めします。

MS15-044 – 緊急 – Windows フォントドライバコード実行の脆弱性 – Windows が OpenType と TrueType のフォントの表示に使用するフォントドライバに、2件のセキュリティ脆弱性があります。2件の深刻度は同じではありません。要点としては、特別に細工されたフォントを含む Web ページにユーザを誘導できれば、深刻度がさらに高い脆弱性を悪用して、ユーザの権限を使ってユーザのコンピュータで任意のコードを実行できるようになります。

MS15-045 – 緊急 – 6件のジャーナルコード実行の脆弱性 – ジャーナルは、Windows に付属している、ワードプロセッシングやメモ作成の簡易プログラムです。このプログラムに関連する 6件の脆弱性がありますが、いずれもその影響の範囲と深刻度は同じです。特別に細工されたジャーナルドキュメントをユーザが表示してしまうと、これらの脆弱性のいずれかが攻撃され、そのユーザの権限を使ってコンピュータで任意のコードが実行される恐れがあります。

MS15-046 – 重要 – 2件の Office コード実行の脆弱性 – Office に、2件のメモリ破損の脆弱性があります。これら 2件の脆弱性の影響の範囲と深刻度は同じです。特別に細工された Office ドキュメントをユーザが開いてしまうと、いずれかの脆弱性を悪用してコンピュータでコードを実行されてしまう恐れがあります。

MS15-047 – 重要 – SharePoint コード実行の脆弱性 – SharePoint Server に、アップロードしたページのコンテンツを正しくサニタイズできなくなるという、詳細は特定されていない、コード実行の脆弱性があります。特別に細工されたコンテンツが Sharepoint Server にアップロードされてしまうと、そのコードをサーバの W3WP サービスアカウントで実行される恐れがあります。

MS15-048 – 重要 – 2件の .NET Framework の脆弱性 – Windows のタスクスケジューラに、権限昇格に関連する脆弱性が存在します。攻撃者が（たとえ、低い権限のものであっても）有効な資格情報を使って Windows システムにログインできさえすれば、この脆弱性を悪用するプログラムを実行し、コンピュータを完全に制御できるようになります。

MS15-049 – 重要 – Silverlight EoP の脆弱性 – Silverlight に、「ブラウザーに起因する」権限昇格の脆弱性があります。Silverlight のほとんどのアプリケーションは、限られた権限で実行すると考えられますが、攻撃者にこの脆弱性を悪用されてしまうと、その「権限のサンドボックス」を回避して、ユーザの権限またはそれを上回る権限でプログラムを実行されてしまう恐れがあります。ただし、悪意ある Silverlight アプリケーションを実行するには、攻撃者が有効な資格情報でシステムにログインするか、ユーザにアプリケーションを実行させるように仕向ける必要があります。

MS15-050 – 重要 – ローカル SCM EoP の脆弱性 – Windows SCM（Service Control Manager）に、ローカル権限昇格の脆弱性があります。攻撃者が特別に細工されたプログラムを実行することでこの脆弱性を悪用し、Windows システムで権限を昇格する恐れがあります。ただし、そのためには有効な資格情報でシステムにログインする必要があり、したがって、この脆弱性の深刻度は限定的であると考えられます。

MS15-051 – 重要 – 6件のカーネルモードドライバの脆弱性 – Windows のカーネルモードドライバに、6件の脆弱性が存在します。最も深刻なのは、ローカルの権限昇格の脆弱性です。ローカルの攻撃者に悪意あるアプリケーションを実行されてしまうと、ユーザの元の権限にかかわらず、この脆弱性を悪用して、Windows コンピュータを完全に制御されてしまう恐れがあります。これ以外の 5件の脆弱性は、情報漏えいに関する問題で、システムに関する情報を攻撃者に知られて、Window の ASLR などの一部のセキュリティ機能を迂回されてしまう恐れがあるというものです。

MS15-052 – 重要 – Windows カーネルのセキュリティ迂回の脆弱性 – アドレス空間配置のランダム化（ASLR）は、メモリを難読化する手法の1つであり、いくつかのオペレーティングシステムでは ASLR を使用して攻撃者がメモリで特定の情報を見つけることができないようにし、メモリ破損の脆弱性が攻撃されにくくしています。カーネル ASLR（KASLR）はどのカーネルメモリであっても基本的には同じですが、Windows のカーネルには、情報漏えいの脆弱性が存在し、そのために攻撃者に ASLR の保護を迂回されてしまう恐れがあります。コードを単体で実行することはできませんが、メモリ関連の他の脆弱性を利用しやすくなります。

MS15-053 – 重要 – VBScript と JScript ASLR の迂回の脆弱性 – Windows の JScript と VBScript のコンポーネントに、上記と同様の ASLR 迂回の脆弱性が存在します。上記の脆弱性と同様に、攻撃者がコードを単体で実行することはできませんが、メモリ破損の他の脆弱性を利用しやすくなります。

MS15-054 – 重要 – MMC DoS の脆弱性 – Windows の MMC（Microsoft Management Console）に、.MSC ファイル内のアイコン情報の操作に関する脆弱性が存在します。特別に細工された .MSC ファイルをユーザが実行するように誘導し、それによってシステムが応答しなくなってしまう恐れがあります。

MS15-055 – 重要 – Schannel 情報漏えいの脆弱性 – セキュアチャネル（Schannel）は、SSL/TLS の Microsoft の実装です。Schannel では引き続き、弱い暗号鍵長（具体的には 512 バイト DFE 鍵）の使用が可能であるため、攻撃の標的になることが多いと言えます。このアップデートでは、解読を難しくするために最小鍵長がこれまでより長くなりました。

解決策:

上記に記載されているソフトウェアを使用している場合には、速やかに対応するアップデートを適用してください。「緊急」のアップデートを今すぐに適用し、その後のなるべく早い時期に「重要」のアップデートを適用してください。

次の3つの方法で、アップデートを入手できます。

Windows の自動アップデートでこのアップデートを適用する – パッチを適用すると新しい問題が発生する場合がありますが、サーバほど頻繁にはクライアントでは問題が発生していないようです。ネットワークを安全に維持するために、Windows クライアントについてはアップデートを自動的に適用するように設定しておき、迅速に適用することを推奨します。

パッチを手動でダウンロードしてインストールする – そうは言っても、多くの企業は、本番サーバとサーバソフトウェアに非常に依存しています。そのため、新しいサーバアップデートの場合には、本番サーバに手動で適用する前に、必ずテストしておくことを推奨しています。仮想化でテスト環境を構築し、テスト用に本番環境のダミーを作成しておくと良いでしょう。各セキュリティ情報にはリンクを付けていますので、リンクから各種のアップデートをダウンロードできます。

5月の完全なセキュリティアップデートの ISO をダウンロードする – マイクロソフトはすべてのセキュリティアップデートを統合した ISO イメージを公開するようになりました。管理者は、この ISO を利用すると、すべてのアップデートを一度に利用できます。毎月のセキュリティ ISO へのリンクはここからアクセスできますが、定例パッチの数日後にこの ISO イメージは公開されます。

WatchGuard のユーザの皆様へ:

WatchGuard の Gateway Antivirus（GAV）、不正侵入防止サービス、APT Blocker サービスによって、これらのいくつかのタイプの攻撃を防止でき、攻撃者が拡散しようとしているマルウェアを防止できます。 たとえば、ウォッチガードの IPS シグニチャチームは、次のマイクロソフトのアラートで説明されている多くの攻撃を検出してブロックできるシグニチャを開発しています。

• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1658）
• FILE Microsoft Windows のジャーナルリモートコード実行の脆弱性（CVE-2015-1675）
• FILE Microsoft Windows のジャーナルリモートコード実行の脆弱性
• FILE Microsoft Word のメモリ破損の脆弱性（CVE-2015-1682）
• WEB-CLIENT Microsoft Internet Explorer ASLR 迂回（CVE-2015-1685）
• WEB-CLIENT Microsoft Internet Explorer VBScript と JScript の ASLR 迂回（CVE-2015-1686）
• FILE Microsoft Internet Explorer の権限昇格の脆弱性（CVE-2015-1688）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1689）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1691）
• WEB-CLIENT Microsoft Internet Explorer クリップボードの情報漏えいの脆弱性（CVE-2015-1692）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1705）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1706）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1708）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1718）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1717）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1714）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1712）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1711）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1710）
• WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1709）

Firebox や XTM アプライアンスには、この新しい IPS シグネチャアップデートがすぐに適用されます。

さらに、当社の Reputation Enabled Defense（RED）と WebBlocker サービスは、これらの攻撃コードが仕組まれた悪意のある Web サイト（または攻撃者に乗っ取られた正規のサイト）に間違ってアクセスすることがないようにします。しかし、これらのすべての脆弱性から完全に保護するためにマイクロソフトのアップデートをインストールすることを推奨します。

ところで、マイクロソフトは今日、2件の新しいセキュリティ関連の勧告も発表しました。マイクロソフトの暗号化スイートや Flash のセキュリティの改善点に興味がある方は、マイクロソフトのセキュリティ勧告のページで最新情報をご確認ください。