今月もアップデートしましたか。

マイクロソフトは6日、12月11日に提供するセキュリティアップデートの事前情報を公開した。「緊急」5件、「重要」6件となる計11件のセキュリティ情報が公開されている。

今回公開された、深刻度が「緊急」となる5件の内容は、いずれもリモートでコードが実行される恐れがあるもの。Windows OSやMicrosoft Office、Microsoft Lync、Internet Explorer、Microsoft Exchangeなどがこの影響を受ける。また、「重要」の6件は、OfficeやWindows、開発者ツールなどにて、リモートでのコード実行のほか、特権の昇格や情報漏えい、セキュリティ機能のバイパスが起こり得る脆弱性に対処する。

2013年12月のセキュリティ情報　事前通知の概要

米Adobe Systemsは今年9月にサイバー攻撃を受け、数千万人のユーザーに関する情報を盗まれたが、同社によれば、この問題に関するユーザーへの連絡に予想以上に時間がかかっているという。攻撃から10週間が経過した今もなお、この件について連絡を受けていないユーザーがいるということだ。

　インターネット上には現在、Adobeから流出した大量のデータの一部が出回っており、まだAdobeからの通知を受け取っていないユーザーはオンライン詐欺やID盗難にあうリスクが高まっていることになる。

　「これは大失態だ。誰でもこのリストにアクセスしてダウンロードできる。少しも秘密になっていない」。アンチウイルスソフトウェアメーカーである英Sophosの上級セキュリティアドバイザー、チェスター・ウィスニウスキー氏はそう指摘する。

　Adobeの広報担当者、ヘザー・エデル氏によれば、Adobeは9月17日にこの攻撃に気付き、顧客への連絡はこの情報流出について10月3日に発表してから「すぐに開始した」という。

　「メールでの通知に、予想よりも時間がかかっている」と同氏は語る。

　「攻撃の影響を受けたメールアドレスを検証しなければならず、一度に送信する通知の数も制限する必要がある。メールプロバイダーにブロックされたり、スパムとしてタグ付けされたりしないようにだ」と同氏は説明を続ける。

　同氏によれば、この攻撃でクレジットカード情報やデビットカード情報を盗まれた約290万人の顧客に対しては、既にメールと書面で連絡済みという。

　「今は、当社サイトを利用する際に必要となるAdobe IDアカウントを持つ、その他数千万人のユーザーに連絡を行っているところだ」とエデル氏は語る。同氏は、実際に影響を受けたアカウントの件数については、現在も調査が継続中であることを理由に、具体的な数字の公表を断っている。

　インターネットでは少なくともここ3週間、約1億5200万件のAdobe IDアカウントに関するデータを含むファイルが出回っている。その内容を確認した複数のセキュリティ企業によると、このファイルにはメールアドレスの他、暗号化されたパスワード、パスワードを忘れたときのための「パスワードのヒント」が含まれているという。

　だがエデル氏によれば、攻撃されたデータベースは廃棄予定のバックアップシステムであったため、「1億5200万人のユーザーのアカウント情報が流出した」とするのは正確ではないという。

　同氏によれば、漏えいしたデータには、現在は使われていないメールアドレスを含むものが約2500万件と、無効なパスワードを含むものが1800万件含まれるという。「アカウントはかなりの割合で偽物だった。無料のソフトウェアやその他各種の特典を入手するために、最初から使い捨てのつもりで設定されたものだ」と同氏は語る。

　
それでも、Sophosなどのセキュリティ企業の専門家は、パスワードのヒントを分析し、その他各種のテクニックを駆使して、ファイルに含まれる不特定数のパスワードの割り出しに成功している。

　またFacebookなど一部の企業は、Adobeの顧客情報を含むファイルが広く出回ったことを受けて、このファイルに含れているのと同じアカウントとパスワードの組み合わせを自社のサービスでも使用しているユーザーの特定を進めている。

　Facebookはその上で、該当するユーザーに対し、本人確認とパスワードの変更を求めている。

　Facebookの広報担当者、ジェイ・ナンカロウ氏は次のように語る。「Facebookユーザーのアカウントが危険にさらされかねない状況には、積極的に対処する。たとえそれが、外部のサービスで発生した脅威であってもだ。そうした危険な状況を察知した場合は、該当するユーザーにメッセージを送り、アカウントのセキュリティ確保に努めている」

　Sophosのウィスニウスキー氏は、情報漏えいに関するAdobeからの通知を装いつつ、実際には悪意のあるリンクを含んでいる詐欺メールに注意するようユーザーに呼び掛け、次のように語っている。

　「悪い輩は、狙った相手がAdobeと関わりがあることを既に承知している。その分、だますのも簡単になる」

マイクロソフトは13日、優先度の高さを示す深刻度が緊急3件、重要5件となる11月のセキュリティ情報計8件を発表した。緊急の3件はInternet Explorer(IE)およびWindows、ActiveXコントロールにおける脆弱性に関するもので、リモートでのコード実行の恐れに対処する。

IEの更新プログラムは、Internet Explorer 11を含むInternet Explorerに存在する10件の脆弱性を解決するもの。細工されたWebページをIEで開くとリモートでコード実行されたり、利用ユーザーと同等の権限を取得されたりする恐れがある。Windowsでは、細工されたWindows Writeファイルをワードパッドで開いた場合に発生するコード実行などの恐れがある1件の脆弱性を解決する。また、ActiveXコントロールの脆弱性では、IEで細工されたWebページを開きActiveXコントロールをインスタンス化した場合、リモートでコードが実行される恐れがある。

いずれもMicrosoft Update、Windows Updateを利用して、更新プログラムを適用できる。

「緊急」のセキュリティ更新プログラムの内容は以下の3件。

・MS13-088 Internet Explorer用の累積的なセキュリティ更新プログラム
・MS13-089 Windows Graphics Device Interfaceの脆弱性により、リモートでコードが実行される
・MS13-090 ActiveX の Kill Bitの累積的なセキュリティ更新プログラム