特に重要なセキュリティ欠陥・ウイルス情報

一太郎、ATOK など、ジャストシステム製のソフトウェアの多くに添付されている「JUSTオンラインアップデート」に欠陥があり、電子署名が不正であってもアップデートを実行してしまうことが明らかとなりました。

• ジャストシステム商品に添付のオンラインアップデート機能の脆弱性対策 (ジャストシステム)

アップデートモジュールが用意されています。JUSTオンラインアップデートを利用するか、あるいは上記 URL からアップデートモジュールをダウンロード・インストールしてください。

Microsoft から 2014 年 5 月の月例セキュリティ更新プログラムが公開されています。13 件のセキュリティ欠陥が修正されています。

• 2014 年 5 月のマイクロソフト セキュリティ情報の概要 (Microsoft)
• 2014 年 5 月のセキュリティ情報 (月例) - MS14-022 ～ MS14-029 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• .NET Framework の更新が含まれています。更新の適用には時間がかかりますのでご注意ください。更新中に電源を切ったり再起動したりすると不具合の原因になります。気長にお待ちください。詳細については、.NET Framework セキュリティ更新プログラムのインストールに関する注意 を参照してください。
• MS14-028 は Windows Server 2008 (Storage Server 2008)、Server 2008 R2、Server 2012・2012 R2 に影響する欠陥ですが、Windows Server 2008 (Storage Server 2008) 用の更新プログラムは提供されません。
• Windows XP と Office 2003 へのセキュリティ更新の提供は終了しました。Windows XP・Office 2003 を利用している方は、早急に Windows 7・8、Office 2010・2013 などに移行してください。

関連キーワード: Windows, Office

Internet Explorer (IE) 6〜11 に未修正の欠陥があることが判明しました。攻略 Web ページを IE で閲覧すると、マルウェア（ウイルス）が自動的に実行されます。IE 9〜11 を攻撃対象とするマルウェアが実際に出回っています。

• セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 (Microsoft)

更新プログラムは現在開発中です。今回、Fix it は提供されていません。EMET 4.1 をインストールして回避してください。

• EMET 4.1 を公開 〜 構成ファイルや管理機能の強化（マイクロソフト）

EMET 4.1 のインストールには .NET Framework 4.0 が必要になります。インストールされていない場合は、あらかじめインストールしておいてください。

• Microsoft .NET Framework 4 (Web インストーラー)（マイクロソフト）

加えて、Firefox や Chrome といった代替 Web ブラウザを利用する事も効果があります（それだけで完全に回避できるわけではありませんが）。

関連キーワード: Internet Explorer

2014.04.30 追記

VGX.dll を無効化することでも本欠陥を回避できます。これを容易に実行できるようにしたソフトウェアが公開されました。

• IE6～11の深刻な脆弱性の対策ソフト IE_Remove_VGX_DLL (西村誠一のパソコン無料サポートとオンラインソフト)

EMET 4.1 のインストールが困難、あるいは不具合が発生するなどの場合には、こちらをお試しください。

2014.05.02 追記

更新プログラムが公開されました。サポートが終了したはずの Windows XP 用の更新プログラムも「特例として」公開されています。Microsoft Update や Microsoft Windows Software Update Services などを利用してインストールしてください。

• MS14-021 - 緊急: Internet Explorer 用のセキュリティ更新プログラム (2965111)（マイクロソフト）
• セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開（マイクロソフト）

VGX.dll の無効化による回避策を実施している場合には、更新プログラムの適用後に VGX.dll の有効化を行ってください。

EMET 4.1 をインストールした方は、ひきつづきインストールしたままにされることをお勧めします。

Microsoft から 2014 年 3 月の月例セキュリティ更新プログラムが公開されています。23 件のセキュリティ欠陥が修正されています。

• 2014 年 3 月のセキュリティ情報 (Microsoft)
• 2014 年 3 月のセキュリティ情報 (月例) - MS14-012 ～ MS14-016 (Microsoft)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

関連キーワード: Windows

Internet Explorer (IE) 9、10 に未修正の欠陥があることが判明しました。攻略 Web ページを IE で閲覧すると、マルウェア（ウイルス）が自動的に実行されます。IE 10 を攻撃対象とするマルウェアが実際に出回っています。

• マイクロソフト セキュリティ アドバイザリ (2934088) Internet Explorer の脆弱性により、リモートでコードが実行される (Microsoft)

更新プログラムは現在開発中です。この欠陥を悪用する攻撃を回避するための Fix it が公開されていますので、適用してください。KB 2934088 に掲載されている Fix it 51007 を実行すると、回避コードが有効になります。回避コードを無効にしたい場合は、KB 2934088 に掲載されている Fix it 51008 を適用してください。

Fix it に加えて EMET 4.1 を併用すると、より効果的です。

• EMET 4.1 を公開 〜 構成ファイルや管理機能の強化 (Microsoft)

この欠陥は IE 11 には存在しないため、IE 11 をインストールすることでも対応できます。Windows 7 の場合はこちらからダウンロードしてインストールしてください。Windows 8 の場合は Windows 8.1 にアップデートすることで IE 11 がインストールされます。

関連キーワード: Internet Explorer

2014.02.25 追記

この欠陥を悪用した攻撃事例が、日本国内でも確認されました。

• 日本国内で Internet Explorer9、10 へのゼロデイ攻撃を確認 (トレンドマイクロ)
• サイト改ざんの影響について (ヤマレコ)

IE 9、10 の利用者は Fix it 51007 を適用してください。あわせて EMET 4.1 を併用すると、より効果的です。

2014.03.12 追記

MS14-012 で修正されました。Microsoft Update などを用いて、更新プログラムを適用してください。Fix it 51007 を実行して回避策を有効にしている場合は、更新プログラムの適用後に、Fix it 51008 を適用して回避策を無効にください。