Advanced Threat Analytics プレイブックを使って攻撃をシミュレーションし検出する方法
Monday, April 03, 2017
本記事は、Microsoft Advanced Threat Analytics Team のブログ “How to simulate and detect attacks with the Advanced Threat Analytics Playbook” (2017 年 2 月 23
jsecteam
マイクロソフト報奨金プログラムの拡張 – Windows 用の Office Insider ビルドに関する報奨金プログラム
Thursday, March 30, 2017
本記事は、Microsoft Security Response Center のブログ “Announcing the new Bug Bounty Program for Office Insider Builds on Windows”
2017 年 3 月のセキュリティ情報 (月例) - MS17-006 ~ MS17-023
Tuesday, March 14, 2017
2017 年 3 月 15 日 (日本時間)、マイクロソフトは計 18 件 (緊急 9 件、重要 9 件) の新規セキュリティ情報を公開し
Office 365 のセキュリティ研究者の皆さまへ: 2017 年 3 月 ~ 5 月は報奨金が 2 倍になります
Thursday, March 02, 2017
本記事は、Microsoft Security Response Center のブログ “Office 365 security researchers: Double your bounties March-May 2017” (2017 年 3 月 1 日 米国時間
Adobe Flash Player の脆弱性を修正するセキュリティ更新プログラムを定例外で公開
Tuesday, February 21, 2017
本日、セキュリティ情報 MS17-005「Adobe Flash Player のセキュリティ更新プログラム」を公開しました。
2017 年 2 月のセキュリティ更新プログラム リリース
Tuesday, February 14, 2017
本記事は、MSRC のブログ “February 2017 security update release” (2017 年 2 月 14 日 米国時間公開) を翻訳し
シンプル化された Windows 7 および Windows 8.1 のサービス モデル: 最新の改善点について
Tuesday, January 17, 2017
本記事は、Windows for IT Pros のブログ “Simplified servicing for Windows 7 and Windows 8.1: the latest improvements” (2017 年 1 月 13 日 米国時間公開) を翻訳したもの
2017 年 1 月のセキュリティ情報 (月例) - MS17-001 ~ MS17-004
Tuesday, January 10, 2017
2017 年 1 月 11 日 (日本時間)、マイクロソフトは計 4 件 (緊急 1 件、重要 3 件) の新規セキュリティ情報を公開し
2016 年 12 月のセキュリティ情報 (月例) - MS16-144 ~ MS16-155
Tuesday, December 13, 2016
2016 年 12 月 14 日 (日本時間)、マイクロソフトは計 12 件 (緊急 6 件、重要 6 件) の新規セキュリティ情報を公開し
SHA-1 ウェブサーバー証明書は警告!ウェブサイト管理者は影響の最終確認を
Thursday, November 24, 2016
こんにちは、村木ゆりかです。
以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。
マイクロソフトでは、2017 年 2 月 14 日 (米国時間) ~~2017 年中旬 ~~ 2017 日 5 月 9 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。インターネットに公開しているウェブサーバーの管理者は、自サイトが 信頼しないサイトとして表示されないように、いまいちど確認をお願いいたします。
補足:すべての構成やシナリオに対応するために Microsoft Edge および Internet Explorer 11 における SHA-1 廃止に受けたタイムラインについて 2017 年中旬へ変更しました。2017 年 5 月より、SHA-1 証明書を利用したサイトを閲覧した場合、警告を表示し保護します。また、Windows 10 の次のリリースにおいては、SHA-1 証明書を既定のブラウザでブロックするようにアップデートを行う予定です。すぐに、SHA-1 証明書を利用したサイトをブロックしたい場合は、the Microsoft Edge Developer Blog にある手順に従い、ブロックを行ってください。
更新 (4/28) : 2017 年 5 月 9 日 (米国時間) に、Microsoft Edge and Internet Explorer 向けの更新プログラムの配信を開始します。これにより、SHA-1 証明書を利用したサイトを閲覧した場合、無効な証明書として警告を表示し、サイトをブロックします。なお、Windows 10 Creators Update は既定で Sha-1 証明書をブロックします。
更新 (5/9):マイクロソフト セキュリティ アドバイザリ 4010323
2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「マイクロソフト セキュリティ アドバイザリ 4010323」 および 「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。
(1) マイクロソフト SHA-1 証明書の制限措置 全体ロードマップ
マイクロソフト SHA-1 証明書に対する利用制限の措置は、3 段階で実施予定です。まずは、HTTPS ウェブサイトなどに利用されている TLS サーバー証明書を、Microsoft Edge および Internet Explorer 11 で閲覧した際から警告を表示し、徐々に、対象の証明書と対処の利用シナリオの範囲を広げます。