Windows

(Source:ZDNet / eTeknix)

＜ザックリ意訳＞
Microsoftは2017年6月8日にブログで　「Windows 10 Sは既知のランサムウェアの影響を受けない」　と豪語した。これが本当かどうか、ZDNetはセキュリティ研究者のMatthew Hickey氏に依頼してWindows 10 Sをランサムウェアに感染させることが可能か試すことにした。

結果、Matthew Hickey氏はわずか3時間ほどで成功した。Matthew Hickey氏は　「簡単すぎて正直驚いている」　と述べている。

攻撃には悪意のあるマクロベースのWord文書を作成し、Word文書を開くとDLLインジェクションが行われる方法を利用した。そこを起点にクラックを進め、最終的にはシステム特権を得てコンピュータを自由にリモートアクセスできるようになった。

Matthew Hickey氏は　「この状態はアンチマルウェアやファイアウォールなどを無効にしたり、重要なWindowsのファイルを上書きすることができる。ランサムウェアをインストールすることもできる。ゲームオーバーだ」　と述べた。

上記内容がZDNetなどの海外メディア各所で報じられました。

Windows 10 Sは基本的にWindowsストアのアプリケーションしか動作しないため、比較的ウイルスの影響を受けにくい仕様だとは思いますが、Microsoftが主張する　「Windows 10 Sは既知のランサムウェアの影響を受けない」　というのは誇大広告だったようです。

(Source:Announcing Windows 10 Insider Preview Build 16226 for PC)

MicrosoftはWindows 10 Insider Preview Build 16226でタスクマネージャにGPU使用率を追加しました。これに関してはナイスですね。むしろ今までなかったのが不思議！

まだInsider Previewでテスト中ですが、上手くいけばそう遠くないうちに通常のWindows 10にも実装されるでしょう。

2017年6月14日にWindows Updateなどで配信されたInternet Explorer(以下、IE)関連を含むパッチを適用するとIEで印刷が正常にできなくなる問題について、Microsoftは2017年6月20日付けで不具合が生じる各パッチに　「既知の問題」　として掲載しました。

Windows 10 Enterprise LTSB(以下、LTSB版)でInternet Explorer 11を起動すると『Microsoft Edge をぜひお試しください』というWebページのタブが毎回表示されるようになったという報告がMsdnフォーラムで出ています。

2017年6月度のWindows Updateで、Internet Explorer(以下、IE)の印刷に関する不具合が見つかりました。2017年6月度のパッチを適用していると、フレーム(iframe)のあるページをページ内の印刷ボタンなどから印刷ができなくなります。(空白のページが表示されたり　「404 - ファイルまたはディレクトリが見つかりません。」　などと表示されるようになります)

この問題はMicrosoftのEdgeデベロッパフォーラムで報告されましたが、Microsoftからは

2017年6月14日に配信されたWindows 7 / 8.1用KBのザックリまとめです。この記事は足りないKBや不具合等が見つかった場合に随時更新いたします。

2017年6月14日のAM02:00～03:00頃は鯖が混んでいたのか、ダウンロードの失敗報告が複数出ています。自動更新の人は失敗の履歴が残っているかもしれません。

以下、2017年6月14日配信分のザックリ説明＆ファイルの直リンクになります。(OfficeやSkype等のMS製品類は割愛しています)

/////////////////////
更新履歴
① .NET Framework 4.7 KB3186497(Win7用) / KB3186539(Win8.1用)を記載。
② 今回の月例で気づいた人もいるかもしれないので、KB2952664とKB2976978を一応記載。
③ 7用.NET4.7(KB3186497)の直リンク先が8.1用FLASH(KB4022730)と同じだったため修正。
④ .NET Framework 4.7用の言語パックKB3186499(Win7用) / KB3186606(Win8.1用)を記載。
⑤ IE関連が含まれるパッチに印刷の不具合有。詳細は別ページにまとめました。
⑥ ⑤の問題の修正パッチが出ました。詳細は別ページにまとめました。
/////////////////////

2017年6月7日、テレメトリパッチのKB2952664(Win7用) / KB2976978(Win8.1用)がWindows Updateに配信されました。

この糞パッチは2017年度は2月10日、2月22日、3月8日に配信されており、今回で今年4回目になります。ほんとしつこい。以下、いつも通りの注意喚起なコピペになります。

KB2952664(Win7) / KB2976978(Win8.1)を入れても何も良いことはありません。非表示推奨の紛うことなき糞パッチです。このパッチでシステムの互換診断なんてしても、CPUの無駄遣いで電力を消費されるだけです。　「MSに協力したい！」　って人はご自由にどうぞ。

注意事項として、KB2952664(Win7用)は何回アンインストールしても消えない場合があります。この症状に陥ってしまった場合、数回から多くて数十回、繰り返しアンインストールしないと消えません。アンインストールするには

アンインストール ⇒ 再起動せずにリストを確認 ⇒ あったらまたアンインストール、無くなるまでやる、無くなったら再起動

この手順でお試しくださいませ。あるいはBATファイルで処理するのも手です。

KB2976978(Win8.1用)はアンインストールをしても最終的に残る場合があります。これはMSのサイトで公開されている『最初からKB2976978入りのWindows8.1 ISO』を使ってWindows8.1をインストールした場合に起こります。

関連記事
【Win】 KB2952664絶対殺すマン
【Win】 WindowsUpdateで入れなくても良いKBリスト

(Source:In a throwback to the ’90s, NTFS bug lets anyone hang or crash Windows 7, 8.1)

＜ザックリ意訳＞
Windows 7 / 8.1に新しいバグが見つかった。

WindowsはNTFSファイルシステムで使用されるメタデータファイルに『$MFT』という名前を使用しており、このファイル名がディレクトリ名であるかのように扱われると(例えば『C:\$MFT\123』)、正常に処理することができず、NTFSドライバはファイルをロックしてしまい解放を行わない。

これにより、NTFSファイルシステムにアクセスする全ての試みがブロックされてしまい、再起動するまでマシンが使用不能に陥る。

つまり、ブラウザなどから『C:\$MFT\123』を開こうとするだけでPCがクラッシュすることになる。Microsoftには知らせてあるが、いつ修正されるかはまだわからない。

上記内容が海外メディアのArs Technicaで報じられました。しかし、何も起こらないという報告も出ており、クラッシュするしないの条件はいまいち不鮮明な感じです。

もし、このバグを悪用したブラクラを作業中なんかに踏んでしまったら、割とひどいことになりそうですね。修正パッチの公開が待たれます。

2017年5月23日、KB890830こと『悪意のあるソフトウェアの削除ツール』が配信されました。2017年5月10日の月例でも配信されているので、今月2回目となります。

MSの情報によると、メタデータとバイナリに変更があったため再配信されたようです。(具体的に何がどう変わったのかは書かれていません) Microsoft Updateカタログから直接落としたい人は下記の直リンクからどうぞ。

　KB890830ファイル直リンク: 7/8.1/10共用 64bit / 32bit | その他のエディション
　いつもの悪意のソフトウェア削除ツール。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などで呼ばれるランサムウェアによって暗号化されたファイルを復号する『Wannakey』が有志により作成されました。この復号ソフトは下記サイトからダウンロードが可能で、対象OSはWindows XP専用となります。

　GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
　https://github.com/aguinet/wannakey

復号の仕組みは、暗号化の際に使用したメモリ領域が開放されていなければ、メモリ上の情報を読み取って復号を可能にするとのこと。つまるところ、PCの再起動や、その他の処理などでメモリ上の情報が消えているとNGとなります。

条件はかなり厳しく、また、これらの条件が揃っていても成功するとは限らず　「成功するには運が必要になる」　と作者は語っています。

「まじさー、Windows 10の頻繁な大型アップデートとかくっそ面倒なだけなんで。機能追加とかいらねぇから？　OSに求めているのは安定性なのよ。いわば道具箱なのよ。わかる？　粛々とバグ修正とセキュリティアップデートだけを提供してくんない？？」

といったような思考の方はいらっしゃいませんか。そういった方で、尚且つWindows 10の導入を検討している方はWindows 10 Enterprise LTSB(以下、LTSB版)に行き着くと思います。

しかしながらLTSB版は通常のショップなどでは販売されていません。どうすれば入手できるのか。調べてみたら、

2017年4月に『Wana Decrypt0r 2.0』『WannaCry 2.0』の元となったエクスプロイトを流出させたハッカー集団のShadow Brokersですが、2017年6月に新たなエクスプロイトの販売を開始することをBlogで予告しました。

Blogでは、毎月の会費を支払うことで『Windows 10の新たなエクスプロイト』『ブラウザやルータ、スマートフォン向けのエクスプロイト』などを提供すると述べています。

これらが『Wana Decrypt0r 2.0』『WannaCry 2.0』の第2波となるほど脅威になるかはわかりませんが、バックアップ等、万が一に備えた対策をしっかりととっておくことが推奨されます。

関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』
【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]

2017年5月17日、Windows Updateに.NETの非セキュリティアップデートと、同じく非セキュリティアップデートの『マンスリー品質ロールアップのプレビュー』が配信されました。以下、Windows 7 / 8.1向けのザックリ説明＆直リンクになります。

世間を賑わせているランサムウェアの『Wana Decrypt0r 2.0』『WannaCry 2.0』ですが、有志によりその実行ファイル名等が判明しました。

(Source:日産英工場にも被害…サイバー攻撃100か国に)

『ランサム（身代金）ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、　「攻撃は前例を見ない水準だ」　とする声明を発表し、国際協力を呼びかけた。

12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板

上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。

『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。

しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。

　Microsoft Updateカタログ 『KB4012598』
　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

＜ Update 1: Win7/8.1/10でSMB1自体を無効化する方法 ＞