Conficker の脅威について ~ マイクロソフト セキュリティ インテリジェンス レポート 第 12 版より


先日、こちらのブログでもお伝えしたように、最新のセキュリティ脅威動向をまとめたマイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) を公開しています。

※ SIRv12 は 2011 年下半期 (7 月 ~ 12 月) を中心に、確認されたソフトウェアの脆弱性やエクスプロイト、ウイルスなど悪意のあるコードの最新の動向を分析し、調査結果の概要をまとめたものです。日本語版については 20 ページ程度でまとめられています。

今日は特集の 1 つ、Conficker について解説したいと思います。

Conficker とは?

Conficker は、2008 年 11 月に初めて検出された Windows を標的とするコンピューター ワームです。Conficker は、感染すると他のマルウェアをダウンロードする、ボットネットを構築する、Spam の送信、アカウント情報の収集などのアンダーグラウンドの活動を行います。また、様々なセキュリティ機能を無効にするため、さらなる被害に遭う可能性が増します。Conficker はこの 2.5 年間、企業における最大のマルウェア脅威となっています。Conficker がターゲットとする脆弱性 (MS08-067 Server サービス) への対処は進んでいる一方、弱いパスワードを用いた攻撃が成功要因となっているのが実情です。2011 年第 4 四半期では、170 万のシステムで検出され、2009 年と比較して四半期の検出は 225% 以上の増加率となっています。(図 1)

図 1: MS セキュリティ製品により Win32/Conficker が検出されたシステム数

Confickerの攻撃方法

企業における感染原因は、分析の結果では以下のとおりになります。(詳細の内訳は図 2 参照)

1)    弱いまたは盗まれたパスワードを悪用され、侵害された - 92%
Conficker ワームでは、共通または弱いパスワードの組み込みリストを使用して感染し、そのシステムにログインするすべてのユーザーの資格情報を盗んで他のコンピューターに侵入しようとします。

2)    更新プログラムの未適用による脆弱性への攻撃 - 8%
8% は、セキュリティ更新プログラムの未適用による脆弱性への攻撃であると、分析により明らかになりました。該当の脆弱性 CVE-2008-4250 は、MS08-067 を適用することで解決できます。

Credential-based
  attack

Exploit

Autorun

Windows 2003

91%

9%

0%

Windows 7

100%

0%

0%

Windows Vista

100%

0%

0%

Windows XP

88%

12%

0%

図 2: 企業内において Forefront によりブロックされた Conficker 感染の内訳

狙われやすい弱いパスワードとは?

Conficker に狙われやすい弱いパスワードの一例です。表に示すように、大文字と小文字、数字、および記号が混在していないパスワードが多く該当します。

11111

222

5

99999999

business

Internet

password123

sql

1111

22

654321

9999999

campus

intranet

password12

student

111

2

66666666

999999

changeme

job

password1

super

11

321

6666666

99999

cluster

killer

Password

superuser

123123

33333333

666666

9999

codename

letitbe

private

supervisor

12321

3333333

66666

999

codeword

letmein

public

system

123321

333333

6666

99

coffee

Login

pw123

temp123

1234567890

33333

666

9

computer

lotus

q1w2e3

temp

123456789

3333

66

a1b2c3

controller

love123

qazwsx

temporary

 

Conficker はどのように広がるのか?

組織内での Conficker の動きは、まず、弱いパスワードの PC に侵入し、組織内のネットワークに侵入していきます。続けて、ネットワーク上の他人のパスワードを盗み、増殖を続けていきます。

 

 

一例として、以下のような手順で感染していくことが確認されています。

①    弱いパスワードなどを用いたユーザーの PC が Conficker に感染する。

②    ユーザーが異常事態に気づき、管理者にヘルプを要請。

③    管理者は、ネットワーク管理者のパスワードを使用して、感染 PC にログインしトラブルシュートを実施。

④ Conficker が管理者パスワードを盗み、ネットワーク上のすべての PC にログインして感染する。

セキュリティの基本的な対策

Conficker 含め、広範囲の攻撃および標的型攻撃いずれについても、以下の基本的なセキュリティ対策を実施することが重要な第一歩になります。

― 強固なパスワードの使用

まずは、強固なパスワードの使用することを強くお勧めします。以下のパスワードチェッカーサイトを使用して、強固なパスワードを確認することができますので、ぜひご利用ください。
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
Active Directory をご使用の場合は、グループポリシーで複雑なパスワードを徹底することとをお勧めします 

参考:http://technet.microsoft.com/ja-jp/library/cc781633(v=WS.10).aspx 

― インストールしているソフトウェアについて、定期的に更新を適用してください。

― 信頼できる発行元から入手したウイルス対策ソフトウェアを使用 してください。

― より高いソフトウェア保護機能を提供する最新の製品への投資を検討ください。

最新の製品はより高いセキュリティ機能を実装していますので、投資をご検討ください。

― ビジネスリソースとしてのクラウドを検討する。

Windows Azure をはじめ、クラウド環境は常に最新のソフトウェア環境が提供されており、セキュリティ面でも最新の安全性が提供されていますので、検討してみるのもいいでしょう。

皆さんもお客様、ご家族、ご友人などにしっかりと対策の呼びかけのご協力をお願いいたします。

Skip to main content