【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)

画像クレジット: Akos Stiller/Bloomberg / Getty Images

マイクロソフト は、Windows 10を実行している何億台ものコンピューターに影響を及ぼす、危険な脆弱性に対するセキュリティパッチをリリースした。

この脆弱性は、CryptoAPIという名で知られている、数十年前から存在するWindows暗号化コンポーネントの中で発見された。このコンポーネントはさまざまな機能を持っているが、その中の1つが、ソフトウェアが改ざんされていないことを証明するために、開発者がソフトウェアにデジタル署名を行う機能だ。しかし、今回発見されたバグによって、攻撃者は正当なソフトウェアを偽装することできるようになり、ランサムウェアなどの悪意のあるソフトウェアを、脆弱なコンピューター上で実行することが容易になる可能性がある。

「そうしたデジタル署名は信頼できる提供者からのもののように見えるため、ユーザーは、ファイルが悪意のあるものであることを知る手段はありません」とマイクロソフトは言う。

カーネギーメロン大学の脆弱性開示センターであるCERT-CCは、その勧告の中で、このバグはHTTPS(またはTLS)通信の傍受および変更にも使用できると述べている。

マイクロソフトは、このバグが攻撃者に積極的に悪用されていることを示す証拠は見つかっていないと述べた上で、バグを「重要」に分類した。

独立系セキュリティジャーナリストのブライアン・クレブス(Brian Krebs)氏が今回のバグの詳細を最初に報告した

国家安全保障局(NSA)は報告者たちとの電話を通して、この脆弱性の存在を確認し、Microsoftが修正を開発できるように詳細を引き継いだことを発表した。

わずか2年前、NSAはMicrosoftに見つけた欠陥を警告する代わりに、Windowsの脆弱性を見つけて利用することで、監視行為を行ったと批判された。同組織はその脆弱性を利用して、脆弱なコンピューターに密かにバックドアを設置する手段であるEternalBlueと言う名の攻撃手段を作成したのだ。しかし、この攻撃手段は後に流出し、多数のコンピューターにWannaCryランサムウェアを感染 させるために利用され、数百万ドル(数億円)単位の損害をもたらした。

NSAのサイバーセキュリティディレクターであるアン・ニューバーガー(Anne Neuberger)氏は、TechCrunchに対して、今回の脆弱性は発見されたあと、脆弱性エクイティプロセス(発見された欠陥をセキュリティ攻撃作戦のために使えるように残すべきか、あるいはベンダーに対して開示するべきかを決定するプロセス)を経たと語っている。バグがMicrosoftに報告される前に、NSAによって攻撃的な作戦に使用されたかどうかは不明だ。

「このような重大な脆弱性が、武器化されるのではなくベンダーに引き継がれたのは心強く感じます」

ニューバーガー氏は、攻撃者がバグを積極的に悪用しているのをNSAは確認していない、というマイクロソフトの調査結果を認めた。

元NSAハッカーであり、Rendition Infosecの創業者であるジェイク・ウィリアムス(Jake Williams)氏はTechCrunchに対して、この欠陥が「兵器化されずに」ベンダーに開示されたことは「心強い」ことだと語った。

「これは一般的なハッカーよりも、政府にとって使いやすいバグなのです」と彼は言う。「これは、ネットワークの中間でアクセスする人間にとって、理想的な攻撃手段となったことでしょう」。

マイクロソフトは、バグが悪用され脆弱なコンピューターたちが激しい攻撃に晒される恐れがあるため、火曜日の一般リリースに先立って、米国政府、軍事、その他の著名な企業に対して、Windows 10および(やはり影響を受ける)Windows Server 2016向けのパッチをリリースしたと言われている。

マイクロソフトは脆弱性の詳細に関して、その存在に気がつく企業がほとんどないように極めて厳しい管理を行ったと、情報筋はTechCrunchに語っている。政府のサイバーセキュリティアドバイザリーユニットである国土安全保障省国家保護・プログラム総局(CISA)など、マイクロソフト社外のほんの一部と、NSAだけが説明を受けたのだ。

CISAはまた、連邦機関に対して脆弱性に対するパッチを早急に適用するよう指示を出した。

ウィリアムス氏は、既に修正されたこの欠陥は、「エンドポイントのセキュリティ制御をいくつでもバイパスできる合鍵」のようなものだったとTechCrunchに語った。

熟練した攻撃者たちは、証明書を取得し盗むことによって、マルウェアを正当なソフトウェアとして偽装させることを、長年試みてきた。昨年攻撃者たちが、コンピューターメーカーAsus(エイスース)の所有する証明書を、ソフトウェア更新ツールのバックドアバージョンに署名するために盗んだ。このツールが会社のサーバーに投入されることで、結果として「数十万」ものAsusの顧客が危険にさらされた。

証明書が紛失または盗難に遭った場合には、それらを使用してアプリ作成者になりすまし、悪意のあるソフトウェアに署名して、元の開発者から提供されたもののように見せかけることができる。

セキュリティ会社CrowdStrikeの共同創業者兼最高技術責任者であるドミトリー・アルベロビッチ(Dmitri Alperovitch)氏は、そのツイートで、NSAが発見したバグは「深刻な問題」だと述べている。

「全員がパッチを当てなければなりません。待っていては駄目だ」と彼は述べている。

原文へ
(翻訳:sako)

Microsoftが待望のWindows10のタイムライン機能のテストを開始した

MicrosoftがWindows 10 Fall Creatorsアップデートを発表した際に、デモされた最も興味深い機能の1つはタイムラインだった。これはPC、iOS、そしてAndroid携帯の間で、最近のアクティビティを共有し、再開することができるようにするものだ。基本的には、Microsoftのクラウドサービスを利用した、グローバルタスクビューである。他のいくつかの機能と同様に、タイムラインは、Fall Creatorsアップデートには間に合わなかった。しかし本日(米国時間12月19日)になって、ようやくタイムラインは、最新のWindows 10 Insiderプレビュービルドでデビューを飾った(実際に利用するためには、より実験的なFastリングに登録している必要があるだけでなく、Skip Aheadビルドの利用にオプトインしている必要がある)。

基本的なアイデアは、利用者の最近の全てのアクティビティを一覧しやすくするということで、Wordで作成中だったドキュメントや、Edgeブラウザ(たとえそれがAndroid携帯電話でも)で閲覧中だったウェブサイトなどに対して、ラップトップまたはデスクトップに戻った際に、アクセスできるようにするというものだ。タイムラインは、作業を継続したいと思われる文書を強調表示するが、同時に時間別に整理された最近の完全なアクティビティのリストも表示される。Cortanaも、ユーザーがデバイスを切り替えた際に、再開したいと思われるアクティビティをリマインドすることができる。

もし最新のアップデートをインストール済みの場合には、新しいタイムラインビューはタスクバーの中の新しいタスクビューアイコンの中に隠れている。もしくはWindowsのキーとタブを同時に押すことで、アクセスすることができる。

アプリ開発者たちは、自分のアプリ内でこの機能を明示的にサポートしなければならないという点は、強調しておいた方が良いだろう。すなわち現時点では、Microsoft Edgeによるブラウジングと、Microsoft Officeのドキュメントに加えて、マップ、ニュース、マネー、スポーツ、天気などのWindows 10のアプリケーションのアクティビティだけが、サポートされているということだ。

Edgeブラウザの多くのアップデートに加えて、実際にかなり役に立つもう一つの新機能がSetsだ(これは同社が先月発表したものだが、Insiderユーザーの一部だけが今回のリリースでこれを手に入れるだろう)。Microsoftによれば、Setsの基本的なアイデアは、特定のタスクに属するドキュメントや他のファイル、アプリケーションをグループ化し、ワンクリックで利用できるようにすることだ。

おそらくWord、OneNote、そしてブラウザなどの様々なアプリケーションを、1つのウィンドウにグループ化することで、まるでブラウザのタブを行き来するように、アクティビティの切り替えができるようになる、と考える方が分かりやすいだろう。

いつものように、このリリースによる変更(数は膨大だ)の完全なリストは、ここから参照できる。

[原文へ]
(翻訳:sako)

Windows10版のNetflixでもオフライン視聴が可能に

NetflixがiOSとAndroid向けにオフライン視聴機能のサポートを開始したのは昨年後半のことだった。そして、今日からWindows10のNetflixにも同じ機能が追加されることになった。ただし、Windows 10のモバイルデバイスには対応していない。本日アップデートされたばかりのWindows 10版Netflixアプリを利用することで、映画をダウンロードしてオフライン環境でも視聴できるようになる ― 旅行などの際には重宝する機能だ。

これを最初に発見したのは、MicrosoftやWindowsの最新情報を伝える非公式ニュースサイトのMSPoweruserだった。

Netflixのスポークスパーソンもこれを認め、「本日より、Windows 10ラップトップおよびタブレット版のNetflixアプリはオフライン視聴機能のサポートを開始します。今後も、本機能をさらに多くのユーザーに提供する方法を探し、Netflixをより簡単に楽しめるようにしていきます」とコメントしている。

iOSとAndroidの場合と同様、著作権の関係上、この機能ですべてのタイトルをダウンロードできるわけではない。オフラインで視聴可能なのは、Netflixのオリジナル作品とライセンス取得済みのタイトルだけだ。

しかし、Netflixのオリジナル作品は数多くある。だから、この機能によってダウンロードできる作品数は少なくない。Stranger Things、House of Cards、Orange Is the New Black、Narcos、The Crown、Bloodline、Sense8、そしてスタンドアップコメディやドキュメンタリー作品など、ダウンロード可能なタイトルには人気作も多い。

ダウンロード可能な作品のリストはすべてのOS(iOS、Android、Windows10)で共通しているが、利用する国や地域によって多少の違いはあるだろう。

ダウンロードは簡単だ ― 作品紹介の画面にある「矢印ボタン」をタップするだけでいい。「Available for Download」というセクションでダウンロード可能な作品だけをチェックすることもできる。 また、「My Downloads」ではダウンロード済みの作品を管理することが可能だ。

Netflixによれば、この機能は今日から全世界のWindows 10ユーザーに提供されるそうだ。

ただ、この機能をいち早く試したユーザーからは「ダウンロードができない」という声もあるようだ。サポートされたデバイスでダウンロードを試みても、「問題が発生しています」とのメッセージとともに「ダウンロードエラー」と表示されてしまうようだ(Netflixは現在このバグの修正を試みている)。

Windows10のNetflixアプリはこのリンクから入手可能だ。

Image credits: Windows Central