Kerberos 認証に対する攻撃と対策:KRBTGT Account Password Reset Scripts

日本でも標的型攻撃が大きな話題となっていますが、標的型メール等の入り口の話に終始していることが多いように思います。しかし、標的型攻撃対策の難しさは、1台のPCへの攻撃をきっかけに、徐々に重要な権限を獲得し、最終的にはイントラネット全体を奪われる点にあります。このような、権限を獲得する代表的な手段として、Pass-the-Hashと呼ばれる手法が知られています。   Pass-the-Hashは、LM認証やNTLM認証といった、Windows特有の認証システムの問題と考えられることが多いのですが、実際にはKerberosが攻撃の対象となることも少なくありません。   Kerberosでは、Ticket Granting Ticket (TGT)が重要な意味を持ちます。TGTはKerberosサービスのkrbtgtアカウントのパスワードに基づいた情報で暗号化することで保護されます。しかし、この情報を攻撃者が手に入れた場合、配下にあるすべてのアカウントにアクセス許すことになります。 このリスクを回避するためには、定期的にkrbtgtアカウントのパスワードをリセットすることが有効です。なお、悪用されているTGTを確実に無効化するためには、履歴から消去するために、リセットを2回行う必要があります。   krbtgtアカウントのパスワードをリセットした場合、新しいkrbtgtキーの配布遅延によるエラーが発生する場合があります。2015年2月にポストされたBLOG ”KRBTGT Account Password Reset Scripts now available for customers”では、安全にkrbtgtアカウントのパスワードをリセットするための” krbtgt account password reset script” を紹介しています。 Kerberosは安全性の高い仕組みですが、適切な運用が不可欠です。加えて、このBLOGでは、Pass-the-Hashなどの認証情報に対する攻撃の全般的な対策も紹介をしていますので、リファレンスされているドキュメントも合わせてご覧ください。   KRBTGT Account Password Reset Scripts now available for customers http://blogs.microsoft.com/cybertrust/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/   なお、MS14-068を使った同様の攻撃手法については、ソフトバンク・テクノロジーの辻さんが書かれている、こちらの記事が参考になると思います。   CVE-2014-6324 – 脆弱性調査レポート WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する調査レポート https://www.softbanktech.jp/information/2014/20141217-01/   Pass-the-Hashの対策をするためには、上記の対策を行うだけでなく、総合的な対策が必要となります。上記、BLOGで紹介されているPass-the-Hash対策を以下にリファレンスしておきます。ぜひ、一度目を通してください。 New Strategies and Features to Help Organizations…


信頼性の高いクラウド サービスの構築

本記事は、Trustworthy Computing のブログ “Building reliable cloud services” (2014 年 1 月 29 日公開) を翻訳した記事です。 David Bills (デビッド・ビルズ)、信頼性主任ストラテジスト オンライン サービスに携わるすべての人にとって、信頼性は常に最重要課題です。エンジニアリング チームは、堅牢なサービスを設計して構築し、稼働中のサイトのインシデントを最小限に抑えたいと考え、サービス プロバイダーは、予測可能な一貫性のある結果を提供することで顧客へのインシデントの影響を軽減したいと考えています。 マイクロソフトでは、現在ホワイト ペーパーの最新版『信頼性の高いクラウド サービスを設計するには』を公開しています。 このホワイト ペーパーでは、クラウド サービスを作成、導入、利用する組織に向けて信頼性の基本概念と信頼性の設計時プロセスについて説明しています。その目的は、クラウド サービスの信頼性を高める要因とプロセスについて、意思決定者が理解できるようにすることです。 ここで取り上げられている重要な概念の 1 つは、信頼性の向上を目指してサービスに回復性を組み込むことの重要性です。すべてのサービス プロバイダーは、信頼性の高いサービスをお客様に提供できるように取り組んでいますが、うまくいかないこともあるのが現実です。信頼性に関連する脅威がなくなることはありませんが、回復性の高いサービスが完全に機能し、お客様自身で作業の完了に必要な操作を実行できるようにすることが必要です。 サービスは次のことを考慮する必要があります。 お客様に与える障害の影響を最小限に抑える。 障害の影響を受けるお客様の数を最小限に抑える。 お客様がサービス全体を利用できなくなる時間を最小限に抑える。 重要なのは、既知の障害が発生したときに、自社のサービスがどのように稼働し、またどのように稼働すべきかについて組織が考えることです。たとえば、サービスが依存する別のクラウド サービスを利用できない場合、またサービスがプライマリ データベースに接続できない場合に、サービスが何をすべきかを考えます。トラフィックが突然増加し、容量が逼迫した場合は、サービスがどのように対応すべきかを考えます。 経験上、障害の主な原因は次の 3 つです。 デバイスおよびインフラストラクチャの障害 – 予想される障害や寿命末期のデバイスの障害から、不可抗力の自然災害や事故によってしばしは引き起こされる致命的な障害まで、多岐にわたります。 人為的なミス – 管理者のミスや、組織ではしばしば制御できない構成の間違いなどがあります。 ソフトウェアの欠陥 – 導入されているオンライン サービスのコードの不備やソフトウェア関連の問題などがありますが、これらはリリース前のテストである程度軽減できます。 これら 3 つの原因の影響と、それらに対処するための軽減戦略について組織が考察できるようにするために、マイクロソフトでは回復性のモデル化を推奨しています。このホワイト…


更なる透明性と制御の実現

本記事は、The Official Microsoft Blog の記事 “Enabling greater transparency and control” (2015 年 4 月 21 日公開) を翻訳した記事です。 2015 年 4 月 21 日 投稿者 スコット チャーニー – Corporate Vice President, Trustworthy Computing 過去数年間にわたり、私たちはセキュリティ環境の変化と進化を目の当たりにしてきました。サイバー脅威は資産の破壊を伴う新たな水準に達しており、政府はテクノロジーの保護者と悪用者のどちらにも機能しています。この変化する環境の最中、私はお客様との会話で、お客様は 1) 更なる透明性とデータの制御をプロバイダーに求めている、2) 最先端のセキュリティ対策をもってお客様のデータを保護する企業を求めている、という 2 つのテーマが浮かびました。 IT が、変わらず従業員にアプリや彼らが選択したデバイスを利用して生産性を向上しながら、企業の情報保護の必要性に取り組んでいる間、モバイル デバイスやクラウド アプリケーションの爆発的な普及は複雑さを増しています。長年、マイクロソフトにとって、セキュリティは最優先かつ製品開発プロセスの主要な要素とされてきました。当社の製品およびサービスには、強固な暗号化など、サイバー犯罪からお客様を保護するセキュリティ機能が搭載されており、当社はセキュリティ技術革新および信頼の境界の強化を推進し続けます。 今朝私は、RSA カンファレンス 2015 にて、マイクロソフトのクラウド顧客の更なる透明性とマイクロソフト クラウド上の企業データの制御を試みる、いくつかの新規および既存のセキュリティ技術革新について話しました。 透明性 昨年の RSA カンファレンスで述べたように、当社は現在のデータ アクセス ポリシーに関する率直な議論を強く支持します。この業界が、原則に基づいたセキュリティへのアプローチ、プライバシーおよび透明性を保つことが重要なのです。しかしまた、当社の透明性を拡張する機能と特長を活性化することも重要です。 今日、マイクロソフトは、ユーザーのアクティビティー ログ、運営管理およびポリシー関連の操作を強化したことを発表します。これにより、お客様とパートナーが活用でき、また、新しい…


2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は…


[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能

2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls (英語情報)を開設いたしました。 および今後追加されるブロックされるActiveX コントロールのリストは、Blocked out-of-date ActiveX controls (英語情報)で告知を行いますのでご参照ください。 —————————————————- 8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS14-051 の Internet Explorer 用の累積的なセキュリティ更新プログラム 2976627 では、古いバージョンの Java ActiveX コントロールを利用している場合、警告を表示して利用をブロックするための、セキュリティ強化の機能変更が含まれています。現時点では、対象となる古い ActiveX コントロールは設定されていませんので、ブロックはされません。ただし、2014 年 9 月 9 日 (米国時間)/2014 年 9 月 10 日 (日本時間) から、古いバージョンの Java の ActiveX コントロールをブロック対象とする予定です。…


近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx…


2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。  概要2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 333 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。 月の傾向セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。 図 1: 2013 年の月別セキュリティ情報公開数 製品の傾向次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013…


セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開

2013 年 11 月 6 日、セキュリティ アドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開しました。 Microsoft Windows、Microsoft Office、および Microsoft Lync に影響を与える Microsoft Graphics コンポーネントの脆弱性に関する非公開のレポートについて調査を行っています。マイクロソフトは Microsoft Office に存在するこの脆弱性を悪用しようとする標的型攻撃を確認しています。   攻撃者は、特別に細工された電子メール メッセージをユーザーにプレビューさせるか開かせる、特別に細工されたファイルを開かせる、または特別に細工された Web コンテンツを閲覧させることにより、この脆弱性を悪用する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。   Fix It ツールを実行するか、手動でレジストリを編集し TIFF コーデックを無効にすることで、この脆弱性を使用した攻撃を回避することができます。また、Enhanced Mitigation Experience Toolkit (EMET) を展開することでも、回避が可能です。 影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティ アドバイザリ 2896666 を参照してください。   関連リンク: Microsoft Security Research & Defense ブログ CVE-2013-3906: a graphics vulnerability exploited…


Windows XP を 2014 年 4 月のサポート終了後も使い続けることのリスク

本記事は、Microsoft Security のブログ “The Risk of Running Windows XP After Support Ends April 2014” (2013 年 8 月 15 日公開) を翻訳した記事です。 今年の 4 月、私は Windows XP のサポート終了に関する「カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了」というタイトルのブログを投稿しました。それ以来、話す機会のあった多くのお客様が、所属組織で Windows XP から Windows 7 や Windows 8 などの最新オペレーティング システムへの移行を完了したか、または現在移行作業を進めています。 実際のところ、事態は切迫しています。というのも、2014 年 4 月 8 日以降、Windows XP Service Pack…


新セキュリティ インテリジェンス レポート、新データ、新たな視点

本記事は、Microsoft Malware Protection Center のブログ “New Security Intelligence Report, new data, new perspectives” (2013 年 10 月 29 日公開) を翻訳した記事です。 本日、マイクロソフトは マイクロソフト セキュリティ インテリジェンス レポート (SIRv15) (英語版) の第 15 版を公開しました。このレポートは、世界中の莫大な数のシステム、および幾つかのインターネットの活発なオンライン サービスのデータに基づいて、マルウェア、悪用について分析しています。 昨年中、私達はセキュリティ インテリジェンス レポートの第 15 版について企画していました。お客様に提供するガイダンスの範囲、および正確性を向上するためにはどうすれば良いのか考慮したため、過去のレポートで提供したデータ以上にマルウェアの蔓延率を最も良く示すにはどうしたら良いかについて熟慮しました。 私達は、リアルタイムの防御製品に基づいてマルウェアの影響度を測る測定基準を設ける必要がありました。 私達は、既に、感染率については悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行した場合に駆除を受けたコンピューターの数を示す Computers Cleaned per Mille (CCM) と呼ばれる測定基準を使用して報告しています。これにより、感染がいかに広範に広がっているのか説明することが可能です。 現在、コンピューターに影響を与えている脅威の範囲についてより深く理解するためには、決して感染につながらない試みを含む、感染の試みについて考慮することが益々重要になってきています。このデータは、リアルタイムのセキュリティ製品によってのみ提供されるものですが、これは、新たな測定基準「遭遇率」で測られています。遭遇率とは、マルウェアを偶然見つける、あるいは遭遇する、マイクロソフトのリアルタイムのセキュリティ製品を稼働しているコンピューターの割合です。並べて見比べると、感染率、および遭遇率はマルウェアの全体像を見る場合に異なる視点を授けてくれ、実態を解明することでより情報に通じたリスク評価に貢献します。 例えば、昨年中の遭遇率、および感染率による分析で浮上したキーとなる発見の 1 つは、Windows XP を稼働しているコンピューターが Windows…