Microsoft OLEのゼロデイ脆弱性公表(3010060):Surface(RT/Pro)で実行できる対策
ゼロデイ攻撃を回避するFix it 51026
Surfaceにゼロデイ脆弱性再び。冷静に対処を
Surfaceを含むほぼすべてのWindowsマシンに影響する新たなゼロデイ脆弱性の存在が公表されました。
Microsoftによると、すでにPowerPoint を介して脆弱性を悪用しようとする限定的な標的型攻撃の試みを確認しているとのこと。
詳しくは、以下の公式発表をご参照ください。
これを受け、一般社団法人 JPCERT コーディネーションセンターも注意喚起しています。
2014年10月 Microsoft OLE の未修正の脆弱性に関する注意喚起
さて、詳細は原文に記載されていますが、現時点でできる対策を抜粋してみました。
Microsoftの提示する対策は4つ:まずは2.と3.を
公式アドバイザリが提示する対策は以下の4種類です。
- この脆弱性の悪用を阻止するマイクロソフト Fix it ソリューション、「OLE パッケージ Shim 回避策」を適用する
- 信頼できないソースからのマイクロソフト PowerPoint ファイル、あるいはその他のファイルを開かない
- ユーザー アカウント制御 (UAC) を有効にする
- Enhanced Mitigation Experience Toolkit 5.0 を適用し、攻撃対象領域の削減を設定する
このうち、2.と3.は、誰でも今すぐに実行できる一般的な対策です。まずは、この2つを直ちに実施されるのがよいと思いました。
なお、3.のUAC(ユーザーアカウント制御)は初期設定で有効になっているので、自分で変更していない場合は特に何もする必要はありません。
平たく言えば、
「怪しいパワポファイルその他を開かない」
「UAC(ユーザーアカウント制御)の警告が出たら簡単に許可しない」
Surface 2/RTでは、残りの2つの対策(Fix itとEMET)は実行できないので、現時点ではこれらを徹底するしかありません。(ただし、ARM CPUを狙う攻撃は少ないかもしれませんが)
Surface Proの場合:技術的対策のうち、一般的な個人ユーザーが実施しやすいのはFix it
さて、1.と4.は、Surface Proシリーズ限定の技術的対策になります。
このうち、一般的な個人ユーザーが実施しやすいのは、Fix itプログラムを実施するだけで済む1.の方だと思いました。
ただ、こちらも英語版のHPから自力でインストールしなければならないので、わからないところがあれば無理に適用する必要はないと思います。
この"Fit it 51026"は下記のページからダウンロードできます。2つ並んでいるうちの左がそれです。ダウンロードした"MicrosoftFixit51026.msi"を実行するとインストールが開始されます。
4.は、「EMET5.0」という個人ユーザー向けではない英語版のツールをインストールする必要がある上に、推奨設定では防御できず、手動で設定ファイルを追加する必要があるので、ハードルはかなり高いです。
結論:「怪しいファイルは開くな」
ファイルを開かせるタイプの攻撃は、安易にダブルクリックしなければやられることはありません。
怪しいファイル、怪しいサイト、怪しいプログラムは開かない。
その上で、可能ならFix itを実施し、Microsoftからの対策プログラムの提供を待つのがよいでしょう。