セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2506014

Windows オペレーティング システム ローダーの更新プログラム

公開日: 2011 年 4 月 12 日

バージョン: 1.0

一般情報

概要

Microsoft は、ドライバー署名の適用に関する問題に対処するために、winload.exeする更新プログラムの提供を発表しています。 これはセキュリティ更新プログラムを必要とする問題ではありませんが、この更新プログラムは、署名されていないドライバーをwinload.exeによって読み込むことができるメソッドに対処します。 この手法は、多くの場合、初期感染後にシステムに常駐し続けるためにマルウェアによって利用されます。

この問題は影響を受け、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 の x64 ベースのエディションで更新プログラムを利用できます。 このリリースの詳細については、マイクロソフト サポート技術情報の記事2506014を参照してください。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

影響を受けるソフトウェアと影響を受けないもの

このアドバイザリでは、次のソフトウェアについて説明します。

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリでは、ドライバー署名の適用に関する問題に対処するために、セキュリティ以外の更新プログラムが利用可能かどうかの明確化と通知が提供されます。 この更新プログラムは、署名されていないドライバーをwinload.exeによって読み込むことができるメソッドに対処します。 この手法は、多くの場合、最初の感染後にシステムに常駐するために、ルートキットなどのマルウェアによって利用されます。 この問題は、上記の「影響を受けるソフトウェア」の表に 記載されているソフトウェア に影響します。

この問題が発生する原因は何ですか?
起動プロセス中に、winload.exeはシステム バイナリの署名済み状態を決定します。 このプロセスの特定の不十分な場合、署名されていないバイナリを読み込むことができます。 この場合、Windows は特定のコア オペレーティング システム コンポーネントの整合性を保証できません。

Windows OS ローダー (winload.exe) とは
Windows OS ローダー (winload.exe) は、Windows カーネルとその依存関係とブート開始ドライバーを読み込みます。 このコンポーネントには、システムの BIOS を照会して基本的なデバイスと構成情報を取得するコードも含まれています。 このアプリケーションはオペレーティング システムの一部であり、特定のバージョンの Windows を読み込みます。 ファームウェアを使用してオペレーティング システム カーネルを読み込み、ローカル ハード ディスクから重要なデバイス ドライバーを起動します。

ドライバーの署名とは
ドライバー署名は、デジタル署名をドライバー パッケージに関連付けます。 Windows デバイスのインストールでは、デジタル署名を使用してドライバー パッケージの整合性を確認し、ドライバー パッケージを提供するベンダー (ソフトウェア発行元) の ID を確認します。 さらに、Windows Vista およびそれ以降のバージョンの Windows の x64 ベースのエディションのカーネル モード コード署名ポリシーでは、ドライバーが読み込まれるにはカーネル モード ドライバーに署名する必要があることを指定します。 ドライバーの署名の詳細については、MSDN の記事 「ドライバーの署名」を参照してください。

ルートキットとは
ルートキットとは、システム管理者が簡単に検出または元に戻すことができない特定の機能 (非表示など) を実行することをメイン目的とするプログラムです。

この更新プログラムは、感染したシステムからルートキットを削除しますか?
いいえ。 この更新プログラムは、ルートキットがマルウェア対策プログラムから隠すために使用する既知の方法を防ぎます。 更新プログラムがインストールされた後でも、ルートキットに感染したシステムは、他の方法でクリーンする必要があります。

システムがルートキットに感染しているかどうかを確認するにはどうすればよいですか?
更新プログラムが適用されると、インストールされているマルウェア対策プログラムがルートキットを検出し、その存在を通知できる必要があります。

ルートキット操作方法アンインストールしますか?
ほとんどのルートキットでは、手動による削除はお勧めしません。 Microsoft 悪意のあるソフトウェア削除ツール、 Microsoft Security Essentials、 Windows Live OneCare セーフティ スキャナー、または別の最新のスキャンおよび削除ツールを使用して、この脅威やその他の不要なソフトウェアを検出してコンピューターから削除します。 Microsoft セキュリティ製品の詳細については、「https:」を参照してください。

この更新プログラムは、今後の感染の発生を防ぎますか?
いいえ。 この更新プログラムにより、ルートキットの非表示が困難になりますが、セキュリティの脆弱性に対処しないため、将来のマルウェア感染が発生するのを防ぐことはありません。

この更新プログラムが x64 ベースのシステムでのみ使用できるのはなぜですか?
ドライバーの署名は、一覧表示されている Windows オペレーティング システムバージョンの 32 ビット エディションの要件ではありません。 Itanium ベースのシステムは、この問題の影響を受けません。

私は署名されたバイナリを出荷する開発者です。 この更新プログラムでは、すべてのバイナリに再署名する必要がありますか?
いいえ。 この更新プログラムでは、既存の署名済みバイナリを変更する必要はありません。

Microsoft は Windows Update Web サイトでこの更新プログラムを一覧表示する方法を説明します。
Windows カーネルの更新プログラムは、Windows Update Web サイトの優先度の高い更新プログラムです。 Windows Update サイトでは、更新プログラムをまだ受け取っおらず、上記のソフトウェアを実行しているお客様の "優先度の高い" 更新 カテゴリに表示されます。

この更新プログラムは自動更新で配布されますか?
はい。この更新プログラムは、上記の影響を受けるソフトウェアの表に記載されているシステムに自動更新経由で配布されます。

これは、セキュリティ情報を必要とする更新プログラムですか?
いいえ。これは、Microsoft のセキュリティ情報とセキュリティ更新プログラムを必要とする問題ではありません。 上記のようにプログラムがコードを実行するには、プログラムが特権レベルで既に実行されている必要があります。 この更新プログラムは、有効な証明機関によって署名された目的のプログラムのみが、ブート フェーズ中にwinload.exeで実行できるように変更を加えます。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 矛盾しているのではないですか?
セキュリティ アドバイザリは、セキュリティ情報を必要としないが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題や、セキュリティ情報がリリースされていない問題に関するセキュリティ関連情報を Microsoft が顧客に伝える方法です。 この場合、セキュリティ更新プログラムを含む、後続の更新プログラムを実行する機能に影響を与える更新プログラムの可用性が通知されます。 したがって、このアドバイザリは特定のセキュリティの脆弱性には対処しません。むしろ、それはあなたの全体的なセキュリティに対処します。

推奨されるアクション

このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認する

これらの更新プログラムをインストールすることをお勧めします。 これらの更新プログラムの詳細については、マイクロソフト サポート技術情報の記事2506014を参照してください。

"更新" など、このアドバイザリに表示される用語の詳細については、マイクロソフト サポート技術情報の記事824684を参照してください。

コンピューターを保護する

ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。

Windows を更新したままにする

すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。

その他の情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

フィードバック

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

• V1.0 (2011 年 4 月 12 日): アドバイザリが公開されました。

2014-04-18T13:49:36Z-07:00</https にビルド:>