セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。


2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ…


無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

小野寺です。 昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム’Morro’)を提供するとアナウンスしておりました。既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。 Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。 Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。 対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。 マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。 日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。 このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。 しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。 司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。 ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

3

Forefront Client Security (FCS) 体験版

小野寺です。 実は、Microsoftも、OneCare以外のセキュリティ対策製品を提供していたりします。 OneCareは個人向け、組織向けには、Forefront Client Security (FCS)を提供しています。マルウェア対策の為のエンジンや定義ファイルの更新頻度が個人向けよりも細かかったり、全体監視・統合管理の機能で、パッチも含めた企業内の対策状況を可視化するなど企業向けの機能がついているのが、OneCareとの違いですね。 この辺りは、ご存じない方もいるような気もするので、FCSをとりあえず試してみる事ができるキャンペーンを始めてみました。以下のサイトから申し込んでいただくと、OS等も含めた体験版(評価版)一式と導入ガイド(自習書)がセットで送られてきます。http://www.microsoft.com/japan/forefront/msbc/ ちなみに、Microsoftで行っているマルウェア対策の実績などは、半期毎にレポートにまとめて以下のサイトに公開しています。http://www.microsoft.com/japan/security/contents/sir.mspx 余談ですが、Forefront Client Security (FCS)は、クライアント単体でも使う事もできます。


2009年5月のセキュリティ情報

小野寺です 2009年5月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 1 件 (緊急 1 件)となります。また、合わせて、セキュリティ アドバイザリを 1 件更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-017 (PowerPoint):特別な細工が施されたPowerPointファイルを開くことで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ (969136) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Winwebsec と FakePowav に対応しています。 どちらも、最近特に俗化を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。 (2009/05/15: MSRTで対応したマルウェアを訂正しました)

1

2009年4月のセキュリティ情報

小野寺です 2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。また、合わせて、セキュリティ アドバイザリを 4 件更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-009 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。 MS09-010 (Wordpad):特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。 MS09-011 (DirectShow):特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。 MS09-012 (MSDTC):WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。 MS09-013 (WinHTTP):WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。今回対応している3つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。 MS09-014 (IE):基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。 MS09-015 (SearchPath):セキュリティ アドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode…

3

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

小野寺です。 2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第6版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。 マイクロソフト セキュリティ インテリジェンス レポートhttp://www.microsoft.com/japan/sir/ さて、恒例?の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。 さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか? 日本も、マルウェアを配布してしまっている事が分かります。 これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。  この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。 この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。


Conficker(Downadup)ワームに関するまとめ

小野寺です。 日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。追記(2009/2/27 Conficker.C の情報を、公開しました) Conficker ワームに関するまとめ マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。 まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。 最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。 ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、”in the wild”の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067…

5

2009年1月のワンポイントセキュリティ

小野寺です。 2009年1月のワンポイントセキュリティを公開しました。 2009年1月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。 最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。


2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

小野寺です 今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。 セキュリティ情報 (新規):概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-001 (SMB):特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Banload および MS08-067 を悪用する Conficker に対応しています。すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。 また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。技術的な詳細については、このブログの Conficker.B に記載してあります。 さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。 企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開http://support.microsoft.com/kb/891716/ 悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。http://www.microsoft.com/japan/security/malwareremove/default.mspx  

2