Rustock の脅威との闘い ~官・民・学の連携で実現~

「Rustock の脅威との闘い – セキュリティ インテリジェンス レポート: スペシャル エディション」を公開しました。ルートキットタイプのバックドア型のトロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定データと分析結果を紹介したものです。 Rustock は、世界最大のスパムボットの 1 つと報告され、約 100 万台の感染したコンピューターを制御下に置いていたと推定され、毎日数十億通ものスパムメッセージを配信していました。(1 日に 300 億通ものスパムメッセージを発信したこともあります。) その内容は、マイクロソフトの宝くじ (そういったものはありません) に当選したかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、偽の処方薬 (性的な医薬品) の提供を持ちかけるといったものです。 マイクロソフトは、業界および学術研究者と協力して、2011 年 3 月 16 日に Rustock ボットネットの遮断に成功したことを発表しました。法的措置と技術的措置の両方により、アップストリームプロバイダーからの支援を受け、このボットネットを制御している IP アドレスを分断し、通信を遮断してボットネットを無効化することに成功しました。 以下のグラフは、2011 年の 1 月から 4 月までに Rustock ボットネットによって行われ、Microsoft Forefront Online Protection for Exchange (FOPE) によって検出されたスパム活動を、受信したメッセージの数と使用された一意の IP…


IPv6 なう - 迫るWorld IPv6 Day。セキュリティ面の実態は?

2011 年 4 月に日本での IPv4 アドレスが枯渇したことを受け、IPv6 への移行が加速してきました。 そのためか最近にわかに IPv6 関連の記事などを目にするようになりましたが、移行に際してセキュリティ面での不安を持っている方も多いのではないでしょうか。 確かに、IPv6 の運用実績が少ないため、未知のセキュリティ問題が潜んでいる可能性がありますし、IPv4/IPv6 の共存時代にはそれぞれに固有の問題を解決しなくてはいけないという困難な状況も予想できます。 が、セキュリティ機能の強化が IPv6 のメリットの 1 つであることも忘れてはいけません。 たとえば、IPSec の標準サポートです。IPv4 ではオプションとしてサポートされていた IPSec ですが、NAT による IP ヘッダー書き換えが IPsec の改ざん防止機能とうまく連携しないという問題があったためにあまり利用されず、結局、データ送信元と受信側でファイアウォールや SSL といったセキュリティ対策を施す必要がありました。しかし、IPv6 では IPSec が必須機能として規定され、データそのものが保護された状態で通信されるので、データが盗み見されたり改ざんされる危険性が非常に低くなります。また、IPv6 のアドレス空間は IPv4 よりもはるかに広大なため、ポート スキャンが非常に困難になるという利点もあります。 さて、そんな期待と不安が入り混じった IPv6 ですが、明日、6 月 8 日が「World IPv6 Day」であることはご存じでしょうか? これは、世界規模の IPv6 トライアルで、IPv6 によるサービス提供に問題がないことを確かめ、問題があった場合には今後の課題解決に役立てることを目的として実施されます。具体的には、日本時間 6 月 8 日午前 9:00 から…


2011 年スタート!

あけまして、おめでとうございます。セキュリティ ニュースレター編集長の早川です。 お正月が終わってしまいましたね… 特に何をするということも無いのですが、お正月がとっても好きです。 三が日が過ぎるころには、「あぁー。お正月が終わってしまった…。早く、お正月が来ないかな…。」と、早くも翌年のお正月に向けてのカウントダウンです。 今年は、大雪による被害が連日のように報道されていました。 実は、青森に住む叔母の家でも大雪のため家からでることもできず、また、停電が発生したため炊飯器が使えずに薪ストーブでご飯を炊いて過ごしていたのだと、つい昨日聞いたところでした。 災害に備えて飲料水や食料のほかにカセットボンベなども用意しておかないといけないなと、あらためて物理セキュリティについて考えさせられました。   すでに休暇を終え、お仕事を始められている方も多いかも知れませんが、会社で PC を利用する前に以下について注意してください。 1)    ウイルス対策ソフトウェアの定義ファイルを最新状態にする 2)    休暇中に持ち出した PC や USB が無防備に社内リソースに接続されないよう Windows Server 2008 のネットワーク アクセス保護 (NAP) などを使用して、社内リソースの保護を強化する   仕事始めの昨日にセキュリティ アドバイザリをリリースするという、波乱の幕開けとなりました 2011 年ですが、可能な限り日本語によるセキュリティ情報をいち早くお届けできるよう努力してまいります。 今年もセキュリティ レスポンスチームをよろしくお願いします。


2010 年上半期の脅威の動向を確認!

2010 年 1 月~ 6 月の脅威の動向をまとめた「セキュリティインテリジェンス レポート 第 9 版」を公開しました。 セキュリティ インテリジェンス レポートは、悪意のあるソフトウェアの削除ツールや Microsoft Security Essentials、Hotmail、Internet Explorer など、多くのセキュリティ ツールによって収集された世界中の 6 億台以上のコンピューターのデータを基に分析しています。 ボットネットやマルウェアの感染率や、マイクロソフト製品のみならず業界全体における脆弱性の公開についてのデータも掲載しています。 また、セキュリティ インテリジェンス レポートの概要を約 10 分にまとめたビデオを公開しました。 以下の画像をクリックするとビデオをご覧いただけます。脅威の動向の概要の把握にご活用ください。 [Video]


「協調的な脆弱性の公開」の発表

2010 年 7 月 22 日 (米国日付) に、MSRC blog (英語情報) で、Trustworthy Computing Security の統括マネージャーである Matt Thomlinson が、マイクロソフトの新たな方針である「協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure)」を発表しました。 以下にその発表内容の日本語抄訳を掲載します。 —– 本日、マイクロソフトは脆弱性の公開への対応方法に関する方針を「責任ある公開 (Responsible Disclosure)」から「協調的な脆弱性の公開」へと、変更することを発表します。「責任ある公開」と「完全な公開 (Full Disclosure)」の支持者との終わりなき議論、またその有意義かつ、生産的な業界の連携とお客様の保護を損なうことを鑑みると、マイクロソフトは“お客様へのリスクおよび影響を最小限に抑えて問題を解決するためには、協調および協力が必要である“という重要な柱を構成し、コミュニティの考え方を改めることが必要であると信じています。 協調的な脆弱性の公開 (CVD): 新たに確認されたハードウェア、ソフトウェアおよびサービスの脆弱性は、影響を受ける製品のベンダー、CERT-CC やベンダーに非公開で報告を行うコーディネーター、またはベンダーに非公開で報告するような専用サービスに直接レポートされます。ファインダーにより、ベンダーは脆弱性の詳細または悪用情報が一般に共有される前に、分析を行い、完全にテストを実施した更新プログラム、回避策またはその他の修正策を提供できることになります。一般で攻撃が行われた場合、お客様自身の防御のための継続的な通知およびガイダンスを提供するためにファインダーおよびベンダーが緊密に協力して脆弱性を早期公開することが可能になります。 責任は今後も絶対に欠かせないものです。しかし、それはセキュリティ リサーチャー、セキュリティ製品の提供者およびその他のソフトウェアベンダーのコミュニティにおける共通の責任です。このディフェンダー コミュニティの各メンバーが役割を果たし、コンピューティング エコシステムの全般的なセキュリティを強化します。 CVD は、現在定義している「責任ある公開」から大きく離れるものではありません。マイクロソフトはこれらのガイドラインから外れた、広範に公開された脆弱性の詳細は、お客様を不必要なリスクレベルの状態にするものであると一貫して考えています。しかし、CVD では問題を一般的に解決する方法について、より焦点を絞った協調が可能になります。CVD の中心的な原則は単純なものです。ベンダーおよびファインダーが解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むことが必要になります。その際にもできる限り緊密に協調していく必要があります。 マイクロソフトがマイクロソフトの方針を新たなアプローチに転換するに伴い、幅広いセキュリティコミュニティにお願いしたいのは、最終的にお客様のリスクが最低限に抑えられるというこの変更の目的を受けいれていただくことです。この違いは重要な意味を持ちます。 マイクロソフトは、マイクロソフトが知らないうちに、非常に限定的な攻撃が発生する可能性があることを認識しています。しかし、基本的に (また、過去 10 年に渡るマイクロソフトの経験が示すように)、一旦脆弱性の詳細が一般で公開されると、悪用の確率が顕著に上昇することを確信しています。協調的にセキュリティ更新プログラムまたはテスト済みの回避策を提供しなければ、お客様に対する影響が大幅に増幅するのです。 公開に関する議論の中で、両方の極論を聞いてみると、私達すべてが目指しているものがひとつ – 「お客様を守る」ことであるのは明らかです。数年に渡り、マイクロソフトはセキュリティ コミュニティと緊密に協力し、お客様の利益のために連携した活動を行ってきました。協調的な脆弱性の公開により、これからもユーザーの安全が保持されます。 —–


Windows Update を実行後、シャットダウン時にフリーズする、またはウイルス対策ソフトから警告メッセージが表示される場合

Windows Update 実行時に下記いずれかの現象が発生した場合、まずは下記サイトで紹介されている解決策を試してみてください。いずれの解決策も有効でない場合、またその他セキュリティ更新プログラム関連でサポートが必要な場合は、セキュリティ情報センターのサイトをご覧ください。 Windows Update 実行後、自動的にシャットダウンされない場合 ([x 個中 x 個のインストール]の画面で停止する): Windows Updateが途中で停止してWindowsが自動的にシャットダウンされない現象についてhttp://www.mcafee.com/Japan/mcafee/support/faq/answer_p_alert.asp?wk=AR-00006 Windows Update を実行後、インストールされているウイルス対策ソフトから警告メッセージが出る場合: マカフィー旧製品を利用されている場合、Windowsのモジュール「Msiexec.exe」が不審なプログラムとして検出されます。http://www.mcafee.com/Japan/mcafee/support/faq/answer_p_alert.asp?wk=AR-00007  警告: 「悪質なスクリプトを検出しました」が MsiExec.exe ファイルに対して表示される (Norton 2005 以前の製品をインストールしたコンピュータで Windows Update 実行時)http://www.symantec.com/norton/support/kb/web_view.jsp?wv_type=public_web&docurl=20100615004324JP&selected_nav=partner 一部のお客様で、6 月に公開したセキュリティ更新プログラムを Windows Update からインストールした後、コンピューターのシャットダウン時に更新プログラムのインストールメッセージの画面 (x 個中 x 個のインストール) で止まってしまったり、再起動後にWindows Updateを実行するとインストールされているウイルス対策ソフトから「悪質なスクリプトが検出されました」などの警告メッセージが表示されるといった報告が寄せられていました。この報告について、マイクロソフトのコミュニティ サイトである Microsoft Answers やお問い合わせをいただいたお客様の情報を基に原因調査を行っていました。 原因調査の結果、この現象はサードパーティ製の古い状態のウイルス対策ソフトが MS10-041 のセキュリティ更新プログラムに含まれた特定のモジュールをブロックしていることが原因であることが分かり、本日サポート技術情報でも情報を公開しました。なお、いずれの製品も最新版を使用している場合は発生しないとのことです。 なお、マイクロソフトでは、無償のウイルス対策ソフト Microsoft Security Essentials (MSE) を提供中です。


Microsoft Security Essentials FAQ風まとめ

小野寺です。  Microsoft Security Essentials (MSE)を公開してから、このBlogにも多数のコメントを頂きました。その中で、いくつかあった疑問・質問をここにFAQ風にまとめてみます。 Q Microsoft Security Essentialsをインストールするべきですか?A ウイルス対策ソフトを使っていない、最新の(状態の)ウイルス対策ソフトでは無い場合はインストールする事を強よ~くお勧めします。 Q 今、ウイルス対策ソフトを使っています。切り替えるべきですか?A 使っているウイルス対策ソフトが、最新(の状態)であれば、切り替える必要はありません。しかしながら、セキュリティセンターやアクションセンターから「対策ソフトが入っていない」旨のメッセージが出ている場合は、偽ウイルス対策ソフトを導入してしまっている可能性もあります。その場合は、Microsoft Security Essentialsを試してみることも検討してください。 Q Windows Defenderとの違いはなんですか?A Windows Defenderは、スパイウェアと呼ばれる特定の脅威にのみ対応します。Microsoft Security Essentialsは、スパイウエアはもちろんですが、ウイルス等を含めた脅威全般に対応するため、Windows Defenderの機能を包含しています。 Q Microsoft Security Essentialsを利用していれば、Windows Defenderは不要ですか?A はい。Windows Vista, Windows 7には、Windows Defenderが標準で組み込まれています。これらの環境では、Microsoft Security Essentialsをインストールすることで、Windows Defenderが自動的に無効となります。 Windows XPについては、Windows Defenderをアンインストールする事をお勧めします。 Q Microsoft Security Essentialsは、Windows XP でなぜ1GBものメモリを必要とするのですか?A Microsoft Security EssentialsをWindows XPで動作させる場合に必要なメモリは、256MBとなります。近日中に1GBと記載されているサイトを更新予定ですしました。 Q Window XP 64bit用のMicrosoft Security Essentialsはありますか?A…


無料のマルウェア(ウイルス)対策ソフト

小野寺です。 すでに一部で報道されておりますが、本日からMicrosoft製の無料のマルウェア(ウイルス、ワーム等)対策ソフトの提供を始めました。以前に、Morro の開発コード名で公表し、Microsoft Security Essentials (MSE, マイクロソフト セキュリティ エッセンシャルズ) と命名しました。以下のサイトから、ダウンロードして使用することができます。   http://www.microsoft.com/security_essentials/?mkt=ja-jp  MSEは、基本的なマルウェア対策に機能を絞ってはいますが、マルウェア対策の機能は一切限定していません。いわゆる常駐監視型で、マルウェアの定義情報(パターンファイル)も、企業向けの対策製品であるForefrontと同様にフルセットの定義情報が提供されます。セキュリティ インテリジェンス レポート (SIR) でも、ここ数回は世界で最も感染率の低い国との結果が出ていますが、最近の詐欺ウイルス対策ソフトや、脆弱なアプリケーションを通じた感染等、さまざまな要因で若干ですが、感染率が上昇傾向にあります。 このMicrosoft Security Essentialsによって、今までマルウェア対策ソフトの導入をためらっていた人や、期限切れの更新されていない対策ソフトを使い続けてしまっている人に、まず導入していただいて少しでも感染率を下げていきたいと思っています。 日本は、あまりにも感染率が低くて、犯罪者も狙わない国になれば最高なんですけどね。 ちなみに、MSE が使用できるOS環境は、 以下の通りです。 Windows XP (Service Pack 2, Service Pack 3) Windows Vista (初期出荷版:RTM, Service Pack 1, Service Pack 2) Windows 7 一応、XP のService Pack 2 や、Vista のRTM, Service Pack 1にも導入可能ですが、セキュリティ更新プログラムの適用を考えると、最新のサービスパックをMSEを導入するついでに、ぜひインストールしてください。サービスパックやOSのバージョンが上がるにつれ、感染率が劇的に下がっていくこともデータに現れており、マルウェア対策のための重要な要素となっています。 導入や使いかたについては、Microsoft answers が役立つかもしれません。


GWの前にやれ!

小野寺です。 早い方は、今週末からゴールデン  ウィーク (GW) に入るのではないでしょうか?長~いお休みに入るにあたって、IT 管理者として、また、一個人として気をつけていただきたい事があります。 その辺を、「長期休暇の前に」のページにまとめてありますので、一度は確認いただき、実践してください。そして、今年は、詐欺的ソフトウェアの増加や、先日の Conficker の感染等があり、今まで気をつけてきた人も、改めて注意していただきたいと考え、日々、インターネットの安全に取り組むGIAIS パートナーの方々とも連絡を取り合い、通年よりもより広い範囲に呼び掛けを行っていきます。GIAIS (The Global Infrastructure Alliance for Internet Safety) は、世界中の主要なインターネット サービス プロ バイダーで構成するセキュリティのためのアライアンスで、日本では、「GIAIS パートナー」7 社が参加しています。 「長期休暇の前に」のページでは、各 GIAIS パートナーの方々のセキュリティ対策サイトやサービスも紹介しています。 また、先日 Power To The Pro 2009 の発表の際にお約束した、セキュリティの新ビデオ シリーズのプレビュー版もご紹介します。内容は、この時期に合わせて長期休暇対策です。しかし、今回のビデオは、いつもと少し違います。何が違うかは、自分の目で確認してください。http://technet.microsoft.com/ja-jp/security/cc263898.aspx 今回は、プレビュー版ですが、5 月には正式に専用 Web ページにまとめ、シリーズ物として定期的に提供していく予定です。フィードバックや、取り扱ってほしい話題は、このブログのコメントに書き込んでください。 色々と書きましたが、GW のためだけでなく、時間に余裕のある長期休暇を利用して、忙しい毎日で見過ごしているかもしれない、確認をしてみては如何でしょう?  

1

なにもなし

小野寺です。   4/1 にまつわる話が色々あった Conficker ですが、概ね世界中で平穏な様です。 これは、(各社が警告を発する事で)事前に十分な準備ができたからなのか、Conficker の登場から時間が経過して既に十分な駆除が行われていたからなのかは、はっきりとはしませんが、一部ベンダーが警告していた様な危機的な状況は、避けられたようです。   しかしながら、今回のConfickerは、数年ぶりの目に見えて話題となったマルウェア (ワーム) だと思います。最近は、MSRT や ForeFront の検出データでは、凄い事になっていても、誰も気づかないので騒ぎにならない・・・という静かに動くマルウェアが主流だったからです。   また、現時点までを見てみると、セキュリティ更新プログラムを概ね速やかに適用していた個人利用者からの被害報告や問い合わせは、皆無と言って良いほど少なかったのですが、ニュースにも一部報道された様に、世界各国の企業では、幾つか感染が報告されています。   企業システムで、「検証のためにパッチが直ぐに適用できない」という意見を聞きますが、本当にそうなのでしょうか?確かに、2000 年前後は、セキュリティ更新プログラムを適用すると問題が発生する事も有ったのは事実ですが、現在の月例化したリリース プロセスにしてからは、品質的にかなり安定してきていると感じています。また、品質面以外にも再起動の問題もあるかもしれませんが、再起動が許されない様な高可用性システムが、何のフェールセーフもなく、1 台で稼働しているとは思えません (実際に有るのは知っています)。何らかのフェールセーフのある 2 台以上で構成されるシステムであれば、1 台ずつ適用する事で問題はないはずなのです。そして、これらの問題点について、サーバーシステムも、クライアントも同列に考えられている様に思えます。少なくとも、クライアント側の再起動が問題になる場合は、非常に限られている気がします。   もちろん、Conficker に関しては、脆弱なパスワードの問題 (と、それに関連した高権限アカウントによる感染拡大) や、USB メモリを経由した持ち込み感染があるので、パッチ管理だけが問題ではないですが、根底は、管理・掌握が十分ではないという点で同じではないかと、思っています。 日本では、システム稼働後は、”変更せずに” 安定運用させる事を良しとする傾向がありますが、それは周りの環境が変化しなかった時代の話で、今のビジネスも、セキュリティも日々状況が変化する中では、容易に柔軟に変更できるシステムやクライアント群を前提に考えてもいいのではないかと思います。 残念なことに、RFP とかを読んでも、定期・不定期 (突発性) の保守・メンテナンスに対する要求事項が記載された物をあまり見た事がありません。   取りとめなく書きましたが、Conficker に絡んで思った事を徒然に書いたので、落ちも、ネタも、なにもなし・・・です。

1