サポート終了後のセキュリティ~重要な情報は保存していないから大丈夫 ?

皆さん、こんにちは ! このブログを見る方は、セキュリティ意識が高い方が多いため、ご存知かと思いますが、2014 年 4 月 9 日 (水) (日本時間) に、Windows XP と Office 2003 のサポートが終了となります。後 44 日と迫ってきましたが、コンピューターの買い替えや Windows や Office をアップグレードするなどの対策は、すでに完了しましたでしょうか ? 自分のコンピューターには重要な情報は保存していないため、サポート終了後も使い続けて安全だと考えて、継続して使用することを検討している方がいましたら、以下を読んで、今一度、どのような影響があるかを理解いただければ幸いです。  警察庁の発表によると、昨年は、インターネット バンキングの不正送金が 1315 件発生し、被害額は約 14 億 600 万円と過去最大であったとの報道が行われています。このように、攻撃者は、悪意のあるソフトウェア (マルウェア) を利用するなどの手段で、コンピューターから重要な情報を盗み出します。しかし、攻撃者はこれ以外にもさまざまな方法で攻撃を行います。例えば、2012 年の夏から秋にかけて起こったパソコン遠隔操作事件のように、悪意のある攻撃者にあなたのコンピューターを遠隔操作されることもあります。また、コンピューターがボットネットに組み込まれてしまった場合は、あなた自身に被害がなくても、攻撃者の命令を受けて迷惑メールを他人に送る、他のコンピューターにサービス拒否攻撃 (DDoS 攻撃) を仕掛けるなどします。つまり、あなた自身が攻撃者であり、かつ、加害者となってしまう場合もあるのです。以下の図は、ボットネットを説明している図です。   マイクロソフトでは、Digital Crime Unit (DCU) という部署が、こうしたボットネットの活動の停止など、サイバー犯罪を撲滅するために、業界団体、政府、研究機関、法執行機関、NGO 等と協業し活動を行っており、昨年 12 月にも、European Cybercrime Centre (EC3)、米国連邦捜査局 (FBI)、および、A10 Networks などと協力して「ZeroAccess」と呼ばれるボットネットの活動の一部を停止させました。このような活動は継続して行われますが、残念ながらこのような活動のみでは対策は不十分であり、ユーザー 1 人…


Microsoft Digital Crimes Unit の活躍 – Zeus ボットネット の C & C サーバー押収へ

米  Microsoft  が、金融業界の各社と協力して、Zeus (Zbotとも呼ばれます) ボットネットの大部分を利用不能にすることに成功しました。ここ数日、ニュースなどでも取り上げられたので、ご存じの方もいらっしゃるかもしれませんね。 Zeusは、トロイの木馬型マルウェアで、感染すると個人情報や識別情報を盗用されたり、PCを乗っ取られる恐れがあるものです。特にオンライン バンキングや E  コマースサイトのアカウント情報の盗用を目的に 2007 年に誕生しました。 悪意のあるソフトウェア削除ツールも 2010 年に Zeus に対応しましたが、Zeus を簡単に作成できるツールキットがアンダーグラウンドで出回っていたことなどから、Zeus の被害はなかなか減少せず、感染が疑われるコンピューター は全世界で 1300 万台、損害総額は 5 億ドルにも上るということです。 今回、Microsoft  内で実際に調査、分析、捜査協力を行ったのは、Digital Crime Unit (DCU) という部署で、法律の専門家、調査員、技術解析者等から成るスペシャリスト集団です。DCU の存在は、Microsoft がサイバー犯罪撲滅に対して真剣に臨んでいることの証とも言えるかと思います。 DCU は、業界団体、政府、研究機関、法執行機関、NGO 等と協業し、あらゆるサイバー犯罪を撲滅するための活動を行っていますが、特にボットネット関連の攻撃については実績があり、過去、Waledac や Rustock といった大規模なボットネットのテイクダウンと容疑者逮捕に成功しています。 今回の Zeus ボットネットに関しては、DCU が金融業界団体、セキュリティ ベンダー、連邦保安官と協力してボットネットの管理に利用されていた C & C サーバーを押収し、多数のボットネットを停止させました。 組織の複雑さから完全なテイクダウンには至っていないものの、業界を越えた連携が成し遂げた素晴らしい成果だと言えるでしょう。 関連記事: Microsoftのオフィシャル ブログ : Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations…


Rustock の脅威との闘い ~官・民・学の連携で実現~

「Rustock の脅威との闘い – セキュリティ インテリジェンス レポート: スペシャル エディション」を公開しました。ルートキットタイプのバックドア型のトロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定データと分析結果を紹介したものです。 Rustock は、世界最大のスパムボットの 1 つと報告され、約 100 万台の感染したコンピューターを制御下に置いていたと推定され、毎日数十億通ものスパムメッセージを配信していました。(1 日に 300 億通ものスパムメッセージを発信したこともあります。) その内容は、マイクロソフトの宝くじ (そういったものはありません) に当選したかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、偽の処方薬 (性的な医薬品) の提供を持ちかけるといったものです。 マイクロソフトは、業界および学術研究者と協力して、2011 年 3 月 16 日に Rustock ボットネットの遮断に成功したことを発表しました。法的措置と技術的措置の両方により、アップストリームプロバイダーからの支援を受け、このボットネットを制御している IP アドレスを分断し、通信を遮断してボットネットを無効化することに成功しました。 以下のグラフは、2011 年の 1 月から 4 月までに Rustock ボットネットによって行われ、Microsoft Forefront Online Protection for Exchange (FOPE) によって検出されたスパム活動を、受信したメッセージの数と使用された一意の IP…


Security Wars: エピソード 2. 第 2: 匿名軍団 1-1 - オーダー 66 対 ボット指令 -

Security Wars を更新しました。 Security Wars Epsode 2: 第 2 匿名軍団 1-1. オーダー 66 対 ボット指令 http://technet.microsoft.com/ja-jp/security/ff595129.aspx クローン軍団にはジェダイの抹殺指令が組み込まれている。アナキンが、ドゥークー伯爵を倒し、怒りに任せて、ダークサイドに転落していくのと時を同じくして、パルパティーン議長 (後の皇帝) は、あらかじめクローン軍団に組み込まれているオーダー 66 を実行するにいたった。・・・・[続きを読む]


Security Wars: エピソード 2. 2-1 - 悪者の特定のための手間 -

Security Wars を更新しました。 Security Wars Epsode 2: 2-1. 悪者の特定のための手間 http://technet.microsoft.com/ja-jp/security/ff595129.aspx マスター・サイフォ=ディアスは、賞金稼ぎのジャンゴ・フェットの遺伝子をもとに、クローン戦士の製造を依頼した。クローンは、思考力を有するものの、独立心を排除され、成長が加速されて、10 年もすれば、一人前の戦士として育っていった。あたかも効率を高めるために幼少時代の半分を奪われていたも同然であった。クローン戦士には、個性も独立心も無かったのである。・・・・[続きを読む]


Security Wars: エピソード 2 - ボット大戦 - 匿名軍団の攻撃 -

小野寺です。 Security Wars エピソード 2が始まりました。 Security Wars: 1. 大衆インターネット社会の到来 http://technet.microsoft.com/ja-jp/ff404121.aspx 悪意あるハッカーによる攻撃に対して、インターネットのセキュリティが、技術やマネジメントの力を用いて防御するということによって保たれていた時には、バランスがいまだ保たれていたということがいえよう。 しかしながら、そのような古典的な力のバランスは、21世紀に至り、完全に崩壊するにいたった。スター・ウォーズにおける力のバランスの崩壊の象徴となるのが、クローン・トルーパーである。・・・・[続きを読む] Security Wars: 1-1. インターネット原理の崩壊 http://technet.microsoft.com/ja-jp/ff458625.aspx 絶頂にあった共和国も例外ではなかった。そびえ立つ巨木のごとく外的にはびくともしなかった共和国だが、実は内側から腐りはじめていた。外部から窺いしれぬかたちで存亡の危機を迎えていたのである “。[1] 古典的なインターネット社会は、特別の意味をもった「ネット市民 (ネチズン)」から構成されるのを理想像としていたように思われる。彼らは、ネットワークについてのリテラシーが高く、また、自分で自分を護ることができるし、共同体でまもるべきエチケット (ネチケット) についても精通している・・・・[続きを読む] [1]ジョージ・ルーカス著、石田享訳「スター・ウォーズ あらたなる希望」(竹書房、1997)   Security Wars: 1-2. 永遠のビギナー http://technet.microsoft.com/ja-jp/ff512474.aspx ジェダイは、戦いに赴くだけで失われた。彼らは酷使され、銀河全体に広く薄く配置されていた。(略) 戦いはフォースに闇をそそぎこむ。フォースが追う雲が次第に厚く、濃くなるにつれ、ジェダイの洞察力は効かなくなる[1] 大衆インターネット社会へのインターネットの転換は、インターネットにおけるセキュリティの問題についても、あらたな局面を追加するにいたった。・・・・[続きを読む] [1]ジョージ・ルーカス著、石田享訳「スター・ウォーズ あらたなる希望」(竹書房、1997) 


ブラックスクリーン問題とWindows Update

小野寺です。 幾つかの報道等々で、11月に公開したWindows Update後に、以前取り上げたような、ブラックスクリーン状態(黒い画面で停止)となるという報告があります。本件について、調査いたしましたが、報告のような現象は確認することはできませんでした。 報道の元となったレポートにおいて研究者は、以下のレジストリキーのアクセス権を11月のセキュリティ更新プログラムで変更したために、ブラックスクリーンが発生すると指摘していました。  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell  この件について、指摘されているセキュリティ更新プログラムに加えて、11月に配信した悪意のあるソフトウェア削除ツール (MSRT) や他のセキュリティ以外の更新プログラムについて再度精査しました。結果、レジストリのアクセス権の変更を行っていない事が改めて確認できました。そのため、指摘のあったブラックスクリーン状態は、11月の更新プログラムによるものではないと考えています。また、この件について、日本を含む世界各国のサポート窓口の、問い合わせ状況も確認しましたが、報告されている事象に関連する問い合わせは確認できませんでした。 このブラックスクリーン状態が、先日のDaonolの件の様に、マルウェアの挙動と関連している可能性はありますので、以下の点を再度確認しておきたいところです。 Microsoft Upateを使用したMicrosoft製品の最新状態への更新 マルウェア対策 (対策していない方に、マルウェア対策ソフト、Microsoft Security Essentials を無償で提供中) 他社アプリケーションへのセキュリティ更新の適用 最新のブラウザーの使用 今回のような報告が、誤って出てしまったことは残念ですが、被害を受ける前に上記の点は、繰り返しになりますが強く推奨させていただきます。


セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。


2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ…


無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

小野寺です。 昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム’Morro’)を提供するとアナウンスしておりました。既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。 Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。 Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。 対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。 マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。 日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。 このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。 しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。 司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。 ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

3