セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。


黒い画面にマウスカーソル (Win32/Daonol)

小野寺です。 再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・そんな現象が報告されています。色々と調べてみると、Win32/Daonol の最近の亜種にWindows XPが感染すると発生するようです (Windows Vista、Windows 7 では起こりません)。Daonolの不具合?なのか、OS の起動シーケンス中に、無限に処理待ちを起こしてしまうことがあるようで、Daonolが起動中に読み込まれないようにすると、解消されます。 さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。 Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが、少なくとも、Microsoft Updateですべての更新プログラムを適用して、使用している他社のアプリケーションも最新の状態にしておけば感染しなかったのですが、アプリケーションの更新に注意を払うということは、まだ十分に根づいていないのかもしれません。 今後も、この手の手法は頻繁に使われるでしょう。そのためにも、以下の点を再確認したいところです。 Microsoft Update のすべての更新を適用するセキュリティ上は、最新のサービスパックと、セキュリティ更新プログラムの適用のみで十分ですが、他の安定性向上のための各種更新も適用することをお勧めします。利用の手順は、http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx に掲載しています。 信頼できる、最新の状態のマルウェア対策ソフトを使用するまだ、マルウェア対策ソフトを導入していない場合は、すぐに販売店等で信頼できるものを入手して欲しい。 または、無償で提供している Microsoft Security Essentials の導入を検討することをお勧めします。企業では、Forefront の利用をお勧めしています。 他社のアプリケーションを常に最新の状態にする他社のアプリケーションにも、脆弱性はあります。 しかし、この事を十分に認識して、対策を行っている利用者はまだまだ十分な数ではないと感じています。アプリケーションを導入する際には、自動的に更新機能が有るかを確認する、またはユーザー登録などを通じて重要な通知を受け取れるようにしておくことをお勧めします。参考: http://www.microsoft.com/japan/protect/yourself/downloads/applupdate.mspx  さて、冒頭で紹介した、Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32] “midi9″=”C:\\WINDOWS\\<random>.tmp <random>” PCが2台以上あれば、感染したHDDを正常な PC に接続してウイルス対策ソフトでHDD全体をフルスキャンする方法もありますが、やはりPCに十分に慣れた方以外には難しい作業だと思います。近隣に詳しい方がいれば、助けを求めて今後感染しないように設定してもらう方法も取れると思いますが、そのような方がいない場合は、各種サービス事業者やサポートに相談するのが良いかもしれません。


2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ…


無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

小野寺です。 昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム’Morro’)を提供するとアナウンスしておりました。既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。 Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。 Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。 対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。 マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。 日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。 このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。 しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。 司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。 ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

3

2009年6月のセキュリティ情報

小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-018 (Active Directory):特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。 MS09-019 (Internet Explorer):幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。 MS09-020 (IIS):特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。 MS09-021 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。 しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。 MS09-022 (Spooler):特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。 MS09-023 (Windows Search):特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。 MS09-024…

3

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

小野寺です。 2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第6版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。 マイクロソフト セキュリティ インテリジェンス レポートhttp://www.microsoft.com/japan/sir/ さて、恒例?の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。 さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか? 日本も、マルウェアを配布してしまっている事が分かります。 これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。  この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。 この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。


2008年最後のセキュリティリリース (2008年12月)

小野寺です 今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。また、セキュリティアドバイザリ 960906 を公開しています。 クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。 セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。 他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。 セキュリティ情報 (新規):今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。 これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS08-070 (VB6 Runtime):特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。今回対処としているランタイム コンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネント ファイルを検索していただく事です。これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。 MS08-071 (GDI):特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。 MS08-072 (Word):特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。 MS08-073 (IE):特別な細工がされた…

1

2008年11月のセキュリティリリース & Vista Antivirus 2008 (偽)

小野寺です 今月は、事前通知からの変更はなく、予定通り、計 2 件 (緊急 1 件, 重要 1 件)を公開しました。 セキュリティ情報 (新規):セキュリティ情報の展開に関する情報およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx MS08-068 (SMB):ユーザーが、悪意のあるサイトに誘導された場合に、Microsoft Server Message Block (SMB) プロトコルの脆弱性が悪用される可能性に対処しています。 MS08-069 (MSML):特別に細工されたコンテンツを読み込んだ場合に、不正なコードの実行、情報漏洩などの可能性のある脆弱性に対処しています。また、今回インストールにも関連する既知の問題が幾つかありますので、http://support.microsoft.com/kb/955218 を参照することをお勧めします。 悪意のあるソフトウェアの削除ツール(MSRT):今月は、Win32/FakeSecSen および、Win32/Gimmiv に対応しています。FakeSecSen は、最近特に問題になっている偽ウイルス対策ソフトの一つに対処しています。 今回対処したのは、Vista Antivirus 2008 と呼ばれるもので、Windows Vista の正規の機能を装って、以下の様な警告画面を表示します。ウイルスを削除していると見せかけ、逆に「偽ウイルス対策ソフト = ウイルス」に感染させられてしまいます。 この他にも、このようなソフトウェアは幾つか発見されており、Webにアクセスして突然、感染の警告が Webブラウザ内に出て、正規版の購入を勧めるような場合は、ほぼ間違いなく偽ソフトの警告だと思って良いと思います。 とはいえ、本来ブラウザが表示している警告は無視しないようにしなければなりませんので、不慣れな方には区別は難しいのかもしれません。   ワンポイントセキュリティ情報:毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、11/12の午後に以下のサイトとこのBlogで公開を予定しています。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

4