日本マイクロソフトは12月9日、12月の月例セキュリティ情報を公開した。更新プログラムは、深刻度「緊急」の8件を含む全12件が公開されている。 悪用が確認されているプログラムは2件、情報がすでに公開されているものは2件となる。修正された脆弱性の総数は71件。主な注意点としては、MS15-124は「CVE-2015-6161」の脆弱性の保護のために、MS15-135の更新プログラムが適用された上で、新たに追加される特定のレジストリを有効にする手順を実行する必要がある。そのためマイクロソフトは、IT管理者に、この設定をグループ ポリシーで配布する検討を行うよう呼びかけている。 また、セキュリティ情報の公開に合わせて最新ではないバージョンのInternet Explorer(IE)のサポート終了についてもアナウンスが行われた。 このサポート終了について同社は「提供当時の環境を前提に開発された古い

解説 マイクロソフトのデータベース製品「SQL Server」は、Windowsベースの社内システムを中心に広く普及している。またアプリケーションによっては、ログの保存といった用途のために無償のSQL Server Expressエディションが同梱されていて、アプリケーションと一緒にインストールされていることもよくある。 関連リンク： 「隠れSQL Server」、まさかこんな場所に……（＠IT Database Expertフォーラム） そのSQL Serverもソフトウエア製品である以上、サポート終了という「寿命」からは逃れられない。特筆すべきは、マイクロソフトによる延長サポートが終了すると、セキュリティパッチの無償提供が停止されることだ。それ以後に発覚した脆弱（ぜいじゃく）性は修正されず、セキュリティ面でひどく脆くなってしまう。 従って、サポートが終了するまでには、SQL Serve

12月2日、日本マイクロソフトは2016年4月12日をもってサポートを終了するMicrosoft SQL Server 2005の移行支援策についての記者説明会を開催した。説明会では、セキュリティ面の危険性や移行のメリットがアピールされたほか、高い移行実績を誇るパートナーの講演も行なわれた。 サイバー攻撃に耐えうる最新のSQL Server 説明会に登壇した日本マイクロソフト 業務執行役員 技術統括部 ディレクターの田丸健三郎氏は、サイバー攻撃の高度化によって、組織内での脅威が深刻になっている現状を説明した。 田丸氏は「従来はファイアウォールを設置しておけばよかったが、現在はわれわれが把握している限りでは、約9割以上の組織に脅威が侵入済みである」と語り、企業の7割はセキュリティ事故を経験、侵入から発見されるまで242日（中央値）、被害額の推定総額は360兆円といった現状を説明した。インター

米Microsoftは1月15日（現地時間）、4月8日にサポートを終了する「Windows XP」のマルウェア対策ソフトの定義ファイルおよびエンジンに関する更新プログラムの提供を2015年7月14日まで延長すると発表した。サポートの終了予定は変わらない。 企業顧客の場合はSystem Center Endpoint Protection、Forefront Client Security、Forefront Endpoint Protection、Windows Intuneが、一般ユーザーの場合はMicrosoft Security Essentialsが対象になる。 同社は、この延長は企業などの組織がOSの移行を完了することを助けるためであるが、サポート対象外のOSにおけるマルウェア対策の効果は限定的であるため、迅速に移行するよう推奨している。 変更履歴：公式ブログ（原文）の「upda

Windowsカーネルの特権昇格の脆弱性は、PDFの脆弱性と組み合わせて悪用しようとする攻撃が確認されている。 米Microsoftは米国時間の1月14日（日本時間15日）、予告通りに4件の月例セキュリティ情報を公開し、WindowsやOfficeの脆弱性に対処した。最大深刻度は4件とも、上から2番目の「重要」評価で、今回は深刻度が最も高い「緊急」レベルのセキュリティ情報は含まれていない。 4件の中でもMicrosoftが最優先で適用を勧告しているのが、Windowsカーネルの特権昇格の脆弱性に対処する更新プログラム（MS14-002）。この脆弱性は同社が2013年11月にアドバイザリを出して注意を呼び掛けていたもので、システムにログオンした攻撃者が特権を昇格して、細工を施したアプリケーションを実行できてしまう恐れがある。 影響を受けるのはWindows XPとWindows Server

日本マイクロソフトは12月17日、非正規品のWindowsやOfficeを購入したユーザーからの問い合わせが急増しているとして注意を呼びかけた。これらのユーザーは大手のECサイトで非正規品を購入しており、返金されないだけではなく、コンピューターウイルスが混入されているケースも存在しているという。 急増している要因としては、多くのユーザーが「有名なサイトで売られているから」と、誤って非正規品であることに気付かずにオンラインで購入している点が挙げられるという。 日本マイクロソフトや業界団体は、相互に連携を取りながら継続的な注意喚起と、疑わしい商品を発見するたびにECサイト運営者に対応を要請しているものの、根絶に至っていない現状があるという。 非正規品は購入しても利用ができず、販売した業者に問い合わせを行っても、殆どのケースで返品や返金に応じてもらえず、購入したユーザーの個人情報漏えいリスクも存

セキュリティ情報の内訳は「緊急」が5件、「重要」が6件。このうちの4件で脆弱性を突く攻撃の発生を確認しているという。 米Microsoftは12月10日（日本時間11日）、予告通りに11件のセキュリティ情報を公開した。内訳は、深刻度が最も高い「緊急」が5件、上から2番目の「重要」が6件。11月上旬に発覚したグラフィックスコンポーネントの脆弱性を含め、Microsoftはこのうちの4件で脆弱性を突く攻撃の発生を確認している。 緊急レベルの5件のうち、グラフィックスコンポーネントの脆弱性（MS13-096）は、標的型攻撃の発生が確認され、Microsoftが11月上旬にアドバイザリーを出して注意を呼びかけていたもの。細工を施したTIFFファイルが含まれるコンテンツを表示した場合、攻撃者にリモートでコードを実行される恐れがある。この問題はWindows VistaとWindows Server

米Microsoftは12月4日（現地時間）、政府によるインターネットデータへの違法アクセスに関する多数の報道を受け、同社のサービスの暗号化、ユーザーデータの法的保護、コードの透明化に取り組むと発表した。 法務担当上級副社長、ブラッド・スミス氏は公式ブログで、もし一連の報道が真実であれば、「政府によるスパイ行為は“APT攻撃（特定のターゲットに対して執拗なスパイ行為を行うサイバー攻撃）”だ」と語った。 暗号化強化の対象となるのはOutlook.com、Office 365、SkyDrive、Windows Azureなどで、ユーザーとMicrosoft間、データセンター間のみならず、メールプロバイダーなど外部サービスとも協力し、すべてのデータをForward Secrecyや2048ビットSSLなどの高度な技術で暗号化するという。 Azure上に構築された顧客のサービスの暗号化については顧

Windows XPのサポート打ち切りが2014年4月に迫る中、米Microsoftは脆弱性が放置されることの危険性を指摘して、改めてWindows 7やWindows 8への移行を促した。 Microsoftは米国時間2014年4月8日でWindows XPのサポートを打ち切り、以後はたとえ深刻な脆弱性や不具合が見つかったとしても、修正のためのアップデートは提供しない。 同社は8月15日のブログで、サポート期限が切れた後もWindows XPを使い続けていれば、攻撃者に狙い撃ちにされる恐れがあると警告した。 攻撃者は、Microsoftが月例セキュリティ更新プログラムなどを公開すると、即座にそのコードをリバースエンジニアリングして、まだ脆弱性を修正していないシステムを攻撃するコードを作成しているのが現状だという。しかし、Windows XPについては2014年4月以降は脆弱性が修正されな

英Guardianは7月11日（現地時間）、米Microsoftが米連邦捜査局（FBI）と協力し、米国家安全保障局（NSA）がOutlook.comの暗号化を回避する方策を立てていたと報じた。元米中央情報局（CIA）職員のエドワード・スノーデン氏から入手した米連邦政府の極秘文書の情報という。 この文書によると、Microsoftが昨年7月に「Outlook.com」を発表した際、チャットが暗号化されて傍受できなくなることをNSAが懸念したため、MicrosoftとFBIが協力してNSAにチャットの暗号化を迂回する手段を提供したという。Outlook.comの正式立ち上げより2カ月前の同年12月には、この手段が利用できるようになっていたという。 また、文書には「Hotmail、Windows Live、Outlook.comのメールに関するPRISMのデータ収集については、これらのデータが暗

Windows Storeなどで配信するアプリに脆弱性が発覚した場合は180日以内の修正を義務付け、開発元が従わない場合はアプリの配信を停止する。 米Microsoftは7月9日、Windows Storeなどで配信するアプリの脆弱性対応に関する新しいポリシーを発表した。アプリ開発元に対し、脆弱性が発覚した場合は180日以内に修正することを義務付けた。 対象となるのはWindows Store、Windows Phone Store、Office Store、Azure Marketplaceで提供するアプリ。サードパーティーのアプリやMicrosoft自身のアプリを含め、全アプリに同日から新ポリシーを適用する。 新ポリシーではアプリに「緊急」または「重要」レベルのセキュリティ問題が見つかった場合、開発元は180日以内にアップデート版のアプリを提出しなければならないと規定した。 開発元がこ

米Microsoftは6月11日（日本時間12日）、予告通りに5件のセキュリティ情報を公開した。内訳は、深刻度が最も高い「緊急」レベルが1件と、上から2番目の「重要」レベルが4件となっている。 緊急レベルに指定されたIEの累積的なセキュリティ更新プログラム（MS13-047）では、計19件の脆弱性を修正した。脆弱性はIE 6～IE 10までの全バージョンに存在し、クライアント版のWindowsが特に深刻な影響を受ける。脆弱性は全て非公開で報告され、現時点で攻撃の発生は確認されていないという。 一方、重要レベルの4件の中では、Officeの脆弱性に対処する更新プログラム（MS13-051）の適用を優先する必要がある。この脆弱性の悪用を試みる「限定的な標的型攻撃」が発生しているという。 この脆弱性は「Office 2003 Service Pack 3」と「Office for Mac 201

IPA(情報処理推進機構 セキュリティセンター)およびJPCERT/CC(JPCERTコーディネーションセンター)は7日、Internet Explorer(IE) 6/7/8/9においてXMLファイルの取扱いに関する情報漏えいの脆弱性が存在すると発表した。 細工されたXMLファイルをローカルファイルとして開くことで、PCに保存されている別のローカルファイルの内容が漏洩する可能性があるという。 紹介されている対策方法は、IE10へアップグレードする手段。この方法をとれるのは、Windws 7以降またはWindows Server 2008 R2以降のWindowsユーザーのみとなる。 なお、IE9以前のバージョンについては開発者が修正予定なしとしているという。よって、IE9以前のバージョンでは「ローカルディスク上に信頼できないファイルを保存しない」ことを回避策として紹介している。この脆弱性

米Microsoftは4月17日、Microsoftアカウントのセキュリティ強化策として、2要素認証を利用できるオプションを導入すると発表した。数日中にメジャーアップグレードを行って、Microsoftアカウントの画面に2要素認証のオプションを表示する予定だという。 MicrosoftアカウントはWindows PC、Windows Phone、Xbox、Outlook.com、SkyDrive、Skype、Officeなど、Microsoftのさまざまな製品やサービスに使われており、これら全アカウントでユーザーが2要素認証のオプションを選択できるようにする。オンラインサービスの普及に伴いアカウント乗っ取りなどの被害が多発する中、対策強化を求める声が強まっていたことに対応した。 2要素認証を有効にすると、パスワードに加えて、例えばスマートフォンに送信されるコードや、登録した電子メールアドレ