日本マイクロソフトは11日、毎月提供しているセキュリティ更新プログラム(月例パッチ)の4月分を公開した。6件の脆弱性情報が公表されており、危険度の大きさを表す最大深刻度が最も高い「緊急」が4件、2番目の「重要」が2件となっている。すでにインターネット上での悪用が確認されている脆弱性もあり、対象となるユーザーはWindows Updateなどから早急にパッチを適用する必要があるだろう。

Windows コモンコントロールの脆弱性により、リモートでコードが実行される (2664258)(MS12-027)

MS12-027は、Windowsのコモンコントロールである「MSCOMCTL.OCX」に脆弱性が存在し、リモートでコードが実行されるというもの。MSCOMCTL.OCXは、ActiveXコントロールであるMSCOMCTL.TreeView、MSCOMCTL.ListView2、MSCOMCTL.TreeView2、MSCOMCTL.ListViewをそれぞれ含み、OSの標準機能として提供される。マイクロソフトのソフトウェアなどは、このコントロールを使うことでさまざまな機能を実現している。

特別に細工されたRFTファイルをメールに添付して、ユーザーにMicrosoft WordやWordpadで開かされることで攻撃が行われ、ログオンユーザーと同じ権限で任意のコードが実行される危険性がある。Word 2010の場合、メール添付ファイルを開く時に「保護されたビュー」モードになり、ActiveXが自動起動しないため、その時点でファイルを閉じれば攻撃は行われない。また、Internet Explorerで悪意のあるWebサイトにアクセスさせて攻撃を行うこともできる。

今回の更新プログラムを適用すると、MSCOMCTL.OCXが更新されて脆弱性が解消するほか、IEにKill Bitが設定され、IEからコントロールが呼び出されないようになる。

MSCOMCTL.OCXは、サードパーティ製ソフトウェアからも利用できるが、ソフトウェアに同梱して配布している場合、今回のパッチでは更新されず、脆弱性が残ったままになる。同ファイルを同梱しているソフトウェアの開発者は、チェックをして最新版に更新する必要がある。

脆弱性の詳細自体は公開されていないが、現時点で限定的な標的型攻撃での悪用が確認されているという。

対象となるのはOffice 2003 SP3/2003 Web Components SP3、Office 2007/2010、SQL Server 2000/2005/2008/2008 R2、BizTalk Server 2002、Commerce Server 2002/2007/2009/2009 R2、Visual FoxPro 8.0/9.0、Visual Basic 6.0 Runtimeで、すべての製品で最大深刻度は「緊急」。悪用しやすさを示す悪用可能性指標は「1」、適用優先度は「1」となっている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (2675157)(MS12-023)

MS12-023は、Internet Explorerに含まれる複数の脆弱性を解消するもので、以下の5件の脆弱性が含まれる。

  • 印刷機能のリモートでコードが実行される脆弱性
  • JScript9 のリモートでコードが実行される脆弱性
  • OnReadyStateChange のリモートでコードが実行される脆弱性
  • SelectAll のリモートでコードが実行される脆弱性
  • VML スタイルのリモートでコードが実行される脆弱性

いずれもリモートでコードが実行される脆弱性で、最悪の場合、Webサイトにアクセスしただけで攻撃が行われる。

対象となるのはInternet Explorer 6/7/8/9。バージョンとOSの組み合わせによって危険度は異なるが、全体として最大深刻度は「緊急」、悪用可能性指標は最大で「1」、適用優先度は「1」となっている。

Windows の脆弱性により、リモートでコードが実行される (2653956)(MS12-024)

MS12-024は、Windowsのデジタル署名検証機能である「Windows Authenticode Signature Verification(WinVerifyTrust)」に関する脆弱性。デジタル署名されたポータブル実行可能(PE)ファイルで問題が発生する。

本来、デジタル署名されたPEファイルが改変されると、実際のインストール時にWindowsが警告を発するが、今回の脆弱性を悪用することで、PEファイルの特定個所を改変した場合にこの警告を回避される可能性がある。

対象となるのはWindows XP/Vista/7/Server 2008/2008 R2で、最大深刻度は「緊急」、悪用可能性指標は「1」、適用優先度は「2」となっている。

なお、今回のパッチを適用した場合、デジタル署名の検証がより厳格化されることで、一部のデジタル署名されたPEファイルでデジタル署名が「ない」と認識されてしまうことがあるという。

.NET Framework の脆弱性により、リモートでコードが実行される (2671605)(MS12-025)

MS12-025は、.NET Frameworkがデータを受け渡す際のパラメータの検証に問題があり、リモートでコードが実行されるというもの。

特別に細工されたXBAP(XAML Browser Application)を含むWebサイトにアクセスしたり、WebサーバーにASP.NETアプリケーションをアップロードしたり、.NETアプリケーションを使わせたりといった攻撃が行われる可能性がある。ただし、昨年6月の.NET Frameworkのセキュリティパッチを適用している環境では、Webサイトアクセス時、.NET Frameworkが起動される場合にダイアログが表示されるようになっており、ここで実行しなければ攻撃は成功しない。

対象となるのはWindows XP Media Center 2005/Tablet PC 2005 SP3に含まれる.NET Framework 1.0 SP3、Windows XP/Vista/Server 2003/2008/に含まれる.NET Framework 1.1/2.0/3.0/3.5/3.5.1/4、Windows 7/Server 2008 R2に含まれる.NET Framework 3.5/3.5.1/4で、最大深刻度は「緊急」、悪用可能性指標は「1」、適用優先度は「2」となっている。

最大深刻度「重要」の脆弱性

これに加えて、最大深刻度が「重要」の脆弱性が2件公開されている。公開されているのは以下の通り。

Forefront Unified Access Gateway (UAG) の脆弱性により、情報漏えいが起こる (2663860)(MS12-026)

Microsoft Office の脆弱性により、リモートでコードが実行される (2639185)(MS12-028)

セキュリティの徹底と新人教育を

マイクロソフトでは、新年度最初のセキュリティ更新プログラムの公開にあたり、「改めてセキュリティ対策の確認」を行うよう呼びかけている。特に企業内で、Windows Updateなどの定期更新の設定が徹底されているかどうか、セキュリティソフトが適切に導入、設定されているかどうか、複雑なパスワードの利用とアカウントのロックアウトが徹底されているか、といった確認を求めている。

また、新入社員の入社時期ということもあり、「新人向けの教育」として、次の項目を実施するよう要請している。1つ目は「日常的に扱う情報の重要さの教育」で、日常的に社内で扱う情報でも、社外秘、部外秘のものや個人情報にまつわるものなど、重要な情報があり、「日常の情報でも重要である」との認識を徹底させる。

2つ目は「社内外での情報の扱い方・伝え方の指導」で、例えば重要情報をTwitterやFacebookなどのSNSを始め、友人や知人に話してしまったり、別部門に出してはいけない情報を話してしまったり、情報の取扱いに注意することを指導する。

3つ目は「事故が発生した場合の対応と対処の指導」で、対処が分からないと隠ぺいしたり、事故に気付かなかったり、といった問題が起こりえる。合理的な対策・対処をした場合は、処罰でなく未然に事故を防げたことを伝えておかないと、今後の隠ぺいにつながってしまう。

マイクロソフトでは、こうした新人教育を行うことで、社内のセキュリティレベル向上を訴えている。