2015年3月10日　COREY NACHREINER 著

マイクロソフト社製品の管理者は、今月、長期間にわたってパッチを適用することになるでしょう。マイクロソフト社は 3 月の定例パッチで、数多くの緊急の問題を修正するために、14 件のセキュリティ情報を公開しました。詳細を説明していきますので、パッチを適用する準備を進めてください。

件数について:

本日、マイクロソフト社は 2 月の定例パッチとして、同社の各種の製品に存在する 45 個の脆弱性を修正するために、14 件のセキュリティ情報を公開しました。影響を受ける製品は以下のとおりです。

・Windows の現在のすべてのバージョン
・Internet Explorer（IE）
・Office
・Exchange サーバ、
・および VBScript

5件については深刻度が「緊急」であり、残りは「重要」となっています。

定例パッチの概要:

今月は修正が必要な多くの脆弱性がありますが、特に、2つの大きな問題があります。

FREAK の問題は覚えていらっしゃるでしょう。このブログやビデオでも説明してきましたが、FREAK は、SSL 実装の脆弱性です。この問題は、Windows にも影響を及ぼすため、同社は今月修正しています。悪意のあるハッカーが SSL 通信を盗聴することを懸念されるのでしたら、FREAK のアップデート（MS15-031）を適用してください。

また、スタクスネットも覚えていると思います。スタクスネットは、産業用制御システムを攻撃するこれまででも最も高度な脅威でした。この脅威が検出されたときに、4 件のゼロデイの脆弱性が拡散に悪用されていました。.LNK ファイルの脆弱性はその 1 つであり、USB ストレージデバイスを介して別のマシンに拡散するために利用されていました。マイクロソフト社は、この脆弱性を数年前に修正しようとしていましたが、完全に修正できていなかったようです。MS15-020 のアップデートは、不完全であった過去の対応を修正するものです。必ずこのアップデートも適用してください。このアップデートとスタクスネットの関連の詳細については、HP のブログ記事をご覧ください。

これらの 2 つのアップデートは恐らく皆さんにとって最も重要だと思いますが、今月はその他にも多くの緊急のセキュリティ情報があります。たとえば、3 月の Internet Explorer（IE）のアップデートでは、ドライブバイダウンロードで悪用される恐れがある 12 件のセキュリティ脆弱性が修正されています。マイクロソフト社は Exchange の問題の深刻度を「重要」としていますが、Exchange の管理者は、アップデートを速やかに適用しなければならないでしょう。会社の電子メールを利用するユーザがリンクをクリックすると、Exchange に存在する各種の脆弱性が攻撃され、ユーザの OWA アカウントにアクセスされます。マイクロソフト社のアップデートは速やかに適用しましょう。以下の説明の順番にパッチを適用してください。

各セキュリティ情報の概要:

深刻度の高い順に 3 月のセキュリティ情報の概要を説明していきます。影響を受ける製品を使用されている場合には、この優先順位の通りに、アップデートを適用することを推奨します。

MS15-018 – 緊急 – IE メモリ破損の脆弱性 – Internet Explorer（IE）のアップデートでは、リモートから任意のコードが実行される恐れのあるメモリ破損の多くの脆弱性が修正されます。これらは、ドライブバイダウンロードで一般的に悪用される脆弱性です。悪意のあるコードが仕込まれたサイトに誘導されると、この脆弱性が攻撃され、ユーザのマシンで任意のコードが実行される恐れがあります。ユーザにローカル管理者の権限がある場合、攻撃者はコンピュータを完全に乗っ取ることが可能です。Web ベースのドライブバイダウンロードは、一般的な攻撃になっているため、このアップデートを速やかに適用することを推奨します。

MS15-019 – 緊急- VBScript RCE の脆弱性 – VBScript は、Windows と IE に同梱されているマイクロソフト社特有のスクリプト言語です。VBScript には、攻撃者が任意のコードを実行することを可能にするメモリ破損の脆弱性が存在します。この問題は、上記で説明した IE アップデートによって修正される脆弱性の 1 つですが、マイクロソフト社はこの製品を個別に出荷しているために VBScript の脆弱性も修正する必要がありました。IE の脆弱性と同じように、この問題はドライブバイダウンロード攻撃で悪用される恐れがあります。

MS15-020 – 緊急 – Windows で任意のコードが実行される 2 つの脆弱性 – スタクスネットで悪用された脆弱性このアップデートは、スタクスネットで悪用されたゼロデイの脆弱性の 1 つをもう一度修正するものです。Windows には、Windows Text Services（WTS）が DLL をロードする方法について任意のコードが実行される脆弱性が 2 件存在します。WTS の脆弱性は、最もリスクが高くなっています。悪意のある Web サイトにユーザをアクセスさせる、あるいは特殊な細工をしたファイルを開かせることができれば、WTS の問題を攻撃し、ユーザのコンピュータでそのユーザの権限で任意のコードを実行できます。ユーザがローカル管理者になっている場合には、ユーザの PC が完全に乗っ取られてしまいます。この「DLL Planting」の脆弱性は、極めて悪質です。実際に数年前に検出された悪名高いスタクスネットで実際に悪用されていた脆弱性の 1 つです。マイクロソフト社のアラートではこの点については触れていませんが、DLL ロードの問題の修正は、2010 年に修正されていたと思われていた .LNK の脆弱性と関連しています。詳細はこのブログでご確認ください。

MS15-021 – 緊急 – Adobe フォントドライバに存在する複数の脆弱性 – Windows には、Adobe 社のフォントを処理するための Adobe フォントドライバが同梱されています。このドライバには、サービス拒否（DoS）の問題、情報漏えいの問題、そして多くのメモリ破損の脆弱性などが存在します。攻撃者は、メモリ破損の脆弱性を攻撃して、ユーザのコンピュータで任意のコードを実行する可能性があります。その場合、悪意のある Web サイトにアクセスするように、または悪意を持って細工されたフォントを埋め込んだファイルを開くように誘導されます。

MS15-022 – 緊急 – 複数の Office コンポーネントの脆弱性 – Office、および Word、Excel、および Sharepoint サーバなどのそのコンポーネントには、さまざまな脆弱性が存在します。最も深刻なのは、悪意のあるハッカーによって不正な Office ドキュメントを開くように誘導されると任意のコードが実行される問題です。Sharepoint には、また、いくつかのクロスサイトスクリプティング（XSS）の問題も存在します。

MS15-026 – 重要 – Exchange Server の 5 つの脆弱性 – 人気の高いマイクロソフト社の電子メールサーバである Exchange には、5 つの脆弱性が存在します。最も深刻な脆弱性は 4 件で、すべてクロスサイトスクリプティング（XSS）の問題であり、Outlook Web Access（OWA）のさまざまな部分に存在します。これらの脆弱性は技術的には異なっていますが、影響についてはすべて同じです。特別に細工されたリンクをクリックするように、または悪意のあるリンクが仕組まれたサイトにアクセスするように誘導されると、これらの 4 つの脆弱性のいずれかが攻撃され、ユーザの OWA アカウントが完全に乗っ取られ、電子メールの送受信など、あらゆる操作が実行される恐れがあります。OWA は、Exchange 管理者が非常によく利用しているため、このアップデートは優先的に適用することを推奨します。

MS15-023 – 重要 – カーネルモードドライバに存在する 4 件の脆弱性- Windows のカーネルモードドライバには、4 件のセキュリティ脆弱性が存在します。最も深刻な脆弱性は、ローカルで権限が昇格される問題です。攻撃者が、ユーザのシステムにログインでき、特別に細工したプログラムを実行できれば、この権限昇格の脆弱性を攻撃して、Windows コンピュータを完全に乗っ取ることが可能です。その他の 3 件の問題は、メモリ漏えいの問題であり、システムに関する情報が攻撃者に入手される恐れがあります。

MS15-024 – 重要 – PNG の情報漏えいの脆弱性 – Windows は、PNG 画像を適切に処理していません。悪意のある PNG 画像を開くように誘導されると、この脆弱性が攻撃され、システムに関する情報を攻撃者が入手し、さらなる攻撃に悪用されるかもしれません。

MS15-025 – 重要 – Windows カーネルの権限昇格の脆弱性 – Windows カーネルには、ローカルで権限が昇格される 2 件の脆弱性が存在します。これらの脆弱性は技術的には異なりますが、その影響範囲は同じです。特別に細工したプログラムを実行することで、正しい認証情報でログインしたローカルの攻撃者は、Windows システムを完全に乗っ取ることが可能になります。しかし、システムにログオンできなければこの脆弱性は攻撃されることはありません。

MS15-027 – 重要 – NETLOGON で盗聴が可能になる脆弱性 – Windows NETLOGON コンポーネントには、ローカルの攻撃者が、Windows ネットワークの別の正規ユーザの情報を盗聴することが可能になる脆弱性が存在します。しかし、この脆弱性を攻撃するために、有効なドメイン認証情報を使用してネットワークにログインしている必要があるため、深刻度は大幅に軽減されています。

MS15-028 – 重要 – タスクスケジューラでセキュリティ機能が迂回される問題 – ユーザが指定した時間にプログラムを実行できるようにする Windows のタスクスケジューラは、ユーザの権限を適切に強制できない問題が存在します。つまり、権限のないユーザでも、この問題を悪用し、本来は権限のないプログラムを実行できるようになります。しかし、この脆弱性を攻撃するには、システムにログインするための認証情報が必要です。

MS15-029 – 重要 – JPEG XR 情報漏えいの脆弱性 – 特定の JPG 画像を表示するために使用されるコンポーネントは、適切にメモリを処理できない問題があり、システム情報が不正に漏えいする恐れがあります。悪意のある画像を表示すると、さらなる攻撃に有用となる情報にアクセスされる恐れがあります。

MS15-030 – 重要 – RDP DoS の脆弱性- Windows リモートデスクトッププロトコル（RDP）には、サービス拒否（DoS）の問題が存在します。特別に細工したパケットを送信することで、認証情報がない攻撃者が RDP サーバに不正な操作を実行し、正規ユーザが接続できないようにします。RDP へのアクセスを許可している場合には、この脆弱性を修正してください。

MS15-031 – 重要 – Schannel にある FREAK の脆弱性 – SSL の脆弱性 FREAK についてはご存知でしょう。これまでブログやビデオで説明していますのでご確認ください。この Schannel のアップデートは、Windows におけるこの問題を修正します。SSL の中間者攻撃（MitM）が懸念される場合には、このパッチを適用してください。

解決策:

上記に記載されているソフトウェアを使用している場合には、速やかに対応するアップデートを適用してください。緊急のアップデートは今すぐに適用し、重要のアップデートはその後に適用してください。警告のアップデートは最後で構いません。

次の3つの方法で、アップデートを入手できます。

Windows の自動アップデートでこのアップデートを適用する – パッチを適用すると新しい問題が発生する場合がありますが、サーバほど頻繁にはクライアントでは問題が発生していないようです。ネットワークを安全に維持するために、Windows クライアントについてはアップデートを自動的に適用するように設定しておき、迅速に適用することを推奨します。

パッチを手動でダウンロードしてインストールする – そうは言っても、多くの企業は、本番サーバとサーバソフトウェアに非常に依存しています。そのため、新しいサーバアップデートの場合には、本番サーバに手動で適用する前に、必ずテストしておくことを推奨しています。仮想化でテスト環境を構築し、テスト用に本番環境のダミーを作成しておくと良いでしょう。各セキュリティ情報にはリンクを付けていますので、リンクから各種のアップデートをダウンロードできます。

2 月の完全なセキュリティアップデートの ISO をダウンロードする – ついに、マイクロソフト社はすべてのセキュリティアップデートを統合した ISO イメージを公開するようになりました。管理者は、この ISO を利用すると、すべてのアップデートを一度に利用できます。毎月のセキュリティ ISO へのリンクはここからアクセスできますが、定例パッチの数日後にこの ISO イメージは公開されます。

WatchGuard のユーザの皆様へ:

WatchGuard の Gateway Antivirus（GAV）、不正侵入防止サービス、APT Blocker サービスによって、これらのいくつかのタイプの攻撃を防止でき、攻撃者が拡散しようとしているマルウェアを防止できます。たとえば、ウォッチガードの IPS シグニチャチームは、次のマイクロソフト社のアラートで説明されている多くの攻撃を検出してブロックできるシグニチャを開発しています。

WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1634）
WEB クロスサイトスクリプティング -11
WEB クロスサイトスクリプティング -7
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1626）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1625）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1624）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1623）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-1622）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-0100）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-0099）
FILE Adobe フォントドライバの FILE の脆弱性によってリモートからコードが実行される
SMB NETLOGON の盗聴の脆弱性（CVE-2015-0005）
WEB-CLIENT Microsoft Internet Explorer VBScript メモリ破損の脆弱性（CVE-2015-0032）
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性（CVE-2015-0056）
WEB-CLIENT Microsoft Internet Explorer の権限昇格の脆弱性（CVE-2015-0072）
WEB-CLIENT Microsoft Internet Explorer JPEG XR Parser の情報漏えいの脆弱性（CVE-2015-0076）
WEB-CLIENT Microsoft Internet Explorer の不正な PNG 処理によって情報が漏えいする脆弱性（CVE-2015-0080）
WEB-CLIENT Microsoft Internet Explorer WTS でリモートから任意のコードが実行される脆弱性（CVE-2015-0081）
FILE Microsoft Office コンポーネントで解放済みメモリが使用される脆弱性（CVE-2015-0085）
FILE Microsoft Word のメモリ破損の脆弱性（CVE-2015-0086）
FILE Microsoft Word ローカルゾーンのリモートコード実行の脆弱性（CVE-2015-6357）
FILE Microsoft DLL Planting のリモートコード実行の脆弱性（CVE-2015-0096）

Firebox や XTM アプライアンスには、この新しい IPS シグネチャアップデートがすぐに適用されます。

さらに、当社の Reputation Enabled Defense（RED）と WebBlocker サービスは、これらの攻撃コードが仕組まれた悪意のある Web サイト（または攻撃者に乗っ取られた正規のサイト）に間違ってアクセスすることがないようにします。しかし、これらのすべての脆弱性から完全に保護するためにマイクロソフト社のアップデートをインストールすることを推奨します。