「Emotet」の大規模感染を阻止した人工知能のしくみ

2 月 3 日午前 12 時 46 分 (現地時間)、ノースカロライナ州に住む Windows 7 Pro のお客様が Trojan:Win32/Emotet (英語情報) と呼ばれる新手のマルウェア キャンペーンの攻撃の最初の被害者となりました。その後 30 分の間に 1,000 人以上に攻撃が仕掛けられましたが、Windows Defender AV の瞬時の自動保護により、すべてのお客様が被害を免れました。


マイクロソフト、法執行機関などとの連携により Gamarue (Andromeda) を撲滅

このたび、マイクロソフトのデジタル犯罪対策部門 (Digital Crimes Unit、DCU) は、マイクロソフトのセキュリティ研究者や世界各国の法執行機関 (英語) と連携し、Gamarue (英語) を撲滅したことを発表しました。Gamarue は、感染したコンピューターのネットワークで広く使用されてきたマルウェアで、Andromeda ボットネットと総称されます。


マイクロソフトだってウイルスに感染します

こんにちは、村木ゆりかです。 マイクロソフト社では、100 以上の国に約 15 万人の社員が在籍し、社内 IT 環境 (Microsoft IT) では、約 60 万台のデバイスが利用されています。社内 IT 環境では、最先端のソフトウェアや技術が利用されており、物理的にも IT システム的にも最新のセキュリティ対策が施されています。 そんな最新の社内環境ゆえに、「マイクロソフトは、ウイルスになんて感染しないでしょ?」と聞かれることがあります。 いいえ、そんなことはありません。実は、2015 年下半期、社内環境では、約 200 万件のウイルスを検出し、41 件の感染を確認しています。   マイクロソフトのマルウェア感染状況 マイクロソフト社内 IT 環境では、社内ネットワークに接続するすべてのデバイスは、リアルタイム監視が動作しているマルウェア対策ソフト (ウイルス対策ソフト) が、6 日以内の定義ファイルを持っている最新のソフトウェア バージョンで稼働している必要があります。Windows 8 以降に無償で付属している Windows Defender か、System Center Endpoint Protection 2012 (SCEP) がマルウェア対策ソフトとして利用されています。(なお、Windows Defender も SCEPも定義ファイルやエンジンは同じです) 2015 年下半期 (7 月から 12 月) では、月の平均で約 98% のデバイスがこのポリシーに準拠しています。   ウイルスをはじめとした悪意のあるソフトウェア…


Windows Defender Offline 概要

皆さん、こんにちは ! 今回は、Windows Defender Offline の概要について解説します。あまり馴染みのないソフトウェアであり、使う場面が無い方が望ましいソフトウェアですが、自分のコンピューターがマルウェアに感染した際や友人や家族のコンピューターが感染した際の手助けにも使用できますので、内容を把握し事前準備しておくと良いと思います。ぜひ、ご一読ください。 Windows Defender Offline とは Windows Defender Offline は、CD/DVD/USB などのメディアから起動を行い、マルウェアやルートキットが存在するかどうかのスキャン、および、除去を行うことが可能なソフトウェアです。Microsoft Security Essentials (MSE) や Windows 8 / Windows 8.1 に搭載されている Windows Defender などの一般的なマルウェア対策ソフトは、Windows などの OS 上で動作しますが、この Windows Defender Offline は、メディアからコンピューターを起動することで、Windows 上からは確認できなくなっているルートキットなどの対処を行うことが可能です。なお、エンジンや定義ファイルは、MSE などのマイクロソフトの他のマルウェア対策ソフトと同等のものが使用されます。 Windows Defender Offline の準備 注意 : Windows Defender Offline のダウンロードやメディアの作成は、マルウェアに感染していないコンピューターで実行してください。これは、マルウェアによっては、メディアの作成が正常に行えない場合があるためです。 空の CD/DVD メディアか、パスワードで保護されていない 250M バイト以上の空き容量がある USB メディアを準備してください。 Windows…


猛威を振るう Zbot ~ 不正送金を行うマルウェアにご注意ください

皆さん、こんにちは!8 月下旬となり、猛暑も多少落ち着きましたが、まだまだ暑い日が続いています。こまめに水分補給を行い熱中症にはご注意ください。 さて、今回は、インターネット バンキングの不正送金に関してお話ししたいと思います。これまでにも多くの報道が行われていますが、Zbot ファミリーが原因と考えられる不正送金被害が多発しており、今年は、件数、被害額ともに、過去最悪の状況となっているようです。 Zbot は、Zeus と呼ばれるサイバー ワールド ブラック マーケットで売買されるキットにより作成されたトロイの木馬の名称で、マイクロソフトのマルウェア対策ソフトでは、「PWS:Win32/Zbot」として検出されます。このマルウェアは、新しいものではなく、約 5 年前から存在しており、多数の変遷を遂げつつ今にいたっています。なお、これまでは海外の金融機関がターゲットとなっており、日本での被害は、海外での被害と比較すると小さいものでした。 以下は、マイクロソフトのマルウェア対策ソフトでの「PWS:Win32/Zbot」の日本国内での検出数の推移を表した表です。   図 : 「PWS:Win32/Zbot」の日本国内での検出数の推移 (2013 年 8 月は 25 日時点の数値) この図を見ると一目瞭然ですが、去年末と比べると、今年に入ってから検出数が多い傾向が続いていることから、日本の金融機関 (日本のユーザー) がメジャーなターゲットとなってきていることが分かります。なお、この Zbot ファミリーは、別のマルウェアによりインストールされるか、Blackhole (マイクロソフトでは Blacole として検出) などのエクスプロイト キットのペイロードとしてダウンロードされることが確認されています。被害にあわないためにも、インターネット バンキングを利用する前に、以下の対策が出来ているかを再度確認してください。 マルウェア対策ソフトを導入し正しく利用する マルウェアは、日々進化しています。常に最新の定義ファイルに更新して使用してください。また、使用期限が切れ停止しているなどということが無いように正しく利用してください。 セキュリティ更新プログラムをインストールし最新の状態に更新する マイクロソフト製品は、もちろん、それ以外のブラウザやアプリケーションなどにもセキュリティ更新プログラムをインストールするなどして、最新の状態に更新してください。なお、サポートが終了した製品は、脆弱性の対策が行われないため安全に使用することは難しくなります。使用を中止し、新しいバージョンの製品に移行することを推奨します。また、サービスパックにもサービスパック サポートライフサイクルがあり、サポートが終了するとセキュリティ更新プログラムが提供されなくなります。早めに最新のサービスパックをインストールすることを検討して下さい。 ワンポイント : 定例のセキュリティ情報の公開時に、同時に公開している「悪意のあるソフトウェアの削除ツール」でも Zbot の削除が可能です。Microsoft Updateから実行できるため、毎月、セキュリティ更新プログラムのインストールと同時に、最新の「悪意のあるソフトウェアの削除ツール」も併せて実行してください。「悪意のあるソフトウェアの削除ツール」の詳細は、以下の Web ページを参照してください。 悪意のあるソフトウェアの削除ツールにより駆除されるファミリー また、不審なサイトの閲覧はせず、不審なメールや添付されたファイルは開かないよう、常日頃から注意してください。そして、インターネット バンキングのログオン画面がいつもと違うなど不審に思うようなことがあれば、ID やパスワードなどの入力は行わずに、直ちに金融機関に通報するなどの対策を行うようにしてください。 日々進化するマルウェアから守り、コンピュータを安全に使用するためにも必ず実施するようお願いいたします。   関連情報 PWS:Win32/Zbot (英語)…


セキュリティ インテリジェンス レポート第 14 版 ~特集: リアルタイム保護の効果を知る~

インターネット ユーザーがマルウェアからコンピューターを守り、安全に Web ブラウズを行うには、充実したセキュリティ機能が搭載された Web ブラウザーを使用し、不用意にリンクをクリックしないなど、日頃から注意を払うことが重要です。しかしながら、経験値の高いユーザーであっても、昨今のソーシャル エンジニアリングやドライブ バイ ダウンロードなどの巧みな攻撃手法によるマルウェア感染を完全に防ぐのは難しい場合も多くあります。 今回のセキュリティ インテリジェンス レポート第 14 版では、リアルタイム保護を提供するマルウェア対策製品がどれ程マルウェア感染に対して効果があるのかについて、マイクロソフト独自のテレメトリ観測データを分析した結果を初めて発表しています。今日は、その内容を紹介したいと思います。   リアルタイム保護されていないコンピューターの感染率は 5 倍以上 2012 年下半期、マルウェア対策製品のリアルタイム保護が有効に機能しているコンピューターと比較して、リアルタイム保護が機能していないコンピューターでは、マルウェアおよび迷惑なソフトウェアへの感染率は、およそ 5.5 倍高いという数字が出ました (図 1)。リアルタイム保護が重要だということがわかるデータです。 図 1: 保護された PC (緑) と保護されていない PC (赤) における、1000 台あたりの感染 PC の台数 (2012 年下半期の各月)   上記データは、全世界で約 6 億台以上のコンピューター上で実行される悪意のあるソフトウェアの削除ツール (MSRT) により収集したデータを基にしており、コンピューターの管理者ユーザーがデータ収集に同意している場合、そのコンピューター上のマルウェア対策製品のリアルタイム保護の状態を確認し、それを感染状況と相関分析しています。   保護されていないコンピューターの割合は 24 %、Windows 8 ではわずか 7~8% 今回のデータでは、保護されていないコンピューターは感染率が高くなることが示されましたが、悪意のあるソフトウェアの削除ツール (MSRT) で収集されたデータによると、2012 年下半期平均で、約…


セキュリティ インテリジェンス レポート (SIR) 第 13 版 ~ 特集「ダウンロード詐欺」

昨日ポストした「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 13 版概要」に続き、本日は、第 13 版の特集「Deceptive Downloads: Software, music, and movies」の概要をお伝えしていきます。 サプライ チェーンに潜む危険様々なフリーウェアや音楽、映画などのファイルがインターネット経由で入手できる便利な時代ですが、一方でこういったファイル配布サイトやチャネルを悪用した活動も盛んに見られます。それは、海賊版ソフトウェアやメディアがやり取りされているアンダーグラウンドから、シェアウェアやフリーの音楽ファイルを置く合法的なウェブサイトまで、本物に見せかけてその実マルウェアを含むソフトウェアや音楽ファイルを置き、ダウンロードしたユーザーのコンピューターを感染させているのです。時として、新しい PC の販売時に既にマルウェアが組み込まれていることもあり、それは「販売されている PC に組み込まれた Nitol ボットネットのTakedown(オペレーション b70)」でもご紹介した通りです。 Keygen の例安全でないサプライ チェーンやファイル配布サイト等でよく見られる脅威のファミリはいくつかありますが、なかでも、様々なソフトウェア (一般的に不正入手版ソフトウェア) のプロダクト キーを生成するツール「Key Generator」(図 1) の一般検出である Win32/Keygen は、2012 年上半期で最も多く検出された脅威のファミリでした (図 2)。図 1: Keygen ツールの例 図 2: 2011 年下半期~2012 年上半期の脅威のファミリの傾向 (検出コンピューターの台数) Keygen は今期、本レポートが対象とする 105 の国・地域においてトップ 10 の脅威に入る割合が 98% と全世界的に流行が見られたものですが、他のマルウェアを伴ったり、また…


セキュリティ インテリジェンス レポート (SIR) 第 13 版概要

皆さんこんにちは。今日は、2012 年上半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート第 13 版」(2012 年 10 月 9 日 (米国時間) 公開) の概要をお伝えします。 脆弱性の傾向2012 年上半期に業界全体で公開された脆弱性数は、前期から 11.3% 増の計 2,037 件でした。この増加は、図 1 からもわかるように、主にアプリケーションの脆弱性の増加によります。OS の脆弱性は近年減少傾向が続いています。また、業界全体で公開された脆弱性のうち、マイクロソフト製品に関する脆弱性数は、図 2  が示すように全体の 4.8% でした。 悪用 (エクスプロイト) の傾向前期から引き続き、2012 年上半期においても、HTML または JavaScript を介した悪用が多く見られました (図 3)。主な原因は JS/Blacole の拡散が続いていることによります。JS/Blacole は、”ブラックホール” と呼ばれるエクスプロイト キットを使用したファミリで、感染した Web ページを通じてマルウェアを広めます。このマルウェアは Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment…


セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化

2012/06/19 17:00 : 「Flame への対策」セクションに、失効した証明書を自動で処理する更新プログラム (KB2677070) の記載を追加しました。 2012/6/11 18:45: ターミナル サーバーライセンス インフラストラクチャに以下の変更について記載を、一部修正いたしました。 2012 年 6 月 4 日に公開した セキュリティ アドバイザリ 2718704 に関し、このブログでも注意喚起をしてきましたが、ここでは Flame マルウェアの攻撃特徴および Windows Update に対して行った強化について説明します。 Flame マルウェアの攻撃特徴 Flame は、一部のコンポーネントがマイクロソフトの製品と思い込ませるよう、現在は無効化されているマイクロソフトターミナル サーバー ライセンス サービスの証明書を悪用し自らのコードを署名していました。そして、Windows Vista 以降の OS に対しては、この証明書があっても既定では有効に機能しないため、攻撃者は MD5 ハッシュ衝突攻撃 (Collision Attack) を行い、証明書がコード署名に対して有効であるよう偽造していました。Windows Vista より前の Windows に対しては、この証明書があることで、MD5 ハッシュの衝突なしで攻撃が可能でした。ハッシュ衝突攻撃の詳細に関しては、Security Research & Defense Blog “Flame malware collision…


Microsoft Digital Crimes Unit の活躍 – Zeus ボットネット の C & C サーバー押収へ

米  Microsoft  が、金融業界の各社と協力して、Zeus (Zbotとも呼ばれます) ボットネットの大部分を利用不能にすることに成功しました。ここ数日、ニュースなどでも取り上げられたので、ご存じの方もいらっしゃるかもしれませんね。 Zeusは、トロイの木馬型マルウェアで、感染すると個人情報や識別情報を盗用されたり、PCを乗っ取られる恐れがあるものです。特にオンライン バンキングや E  コマースサイトのアカウント情報の盗用を目的に 2007 年に誕生しました。 悪意のあるソフトウェア削除ツールも 2010 年に Zeus に対応しましたが、Zeus を簡単に作成できるツールキットがアンダーグラウンドで出回っていたことなどから、Zeus の被害はなかなか減少せず、感染が疑われるコンピューター は全世界で 1300 万台、損害総額は 5 億ドルにも上るということです。 今回、Microsoft  内で実際に調査、分析、捜査協力を行ったのは、Digital Crime Unit (DCU) という部署で、法律の専門家、調査員、技術解析者等から成るスペシャリスト集団です。DCU の存在は、Microsoft がサイバー犯罪撲滅に対して真剣に臨んでいることの証とも言えるかと思います。 DCU は、業界団体、政府、研究機関、法執行機関、NGO 等と協業し、あらゆるサイバー犯罪を撲滅するための活動を行っていますが、特にボットネット関連の攻撃については実績があり、過去、Waledac や Rustock といった大規模なボットネットのテイクダウンと容疑者逮捕に成功しています。 今回の Zeus ボットネットに関しては、DCU が金融業界団体、セキュリティ ベンダー、連邦保安官と協力してボットネットの管理に利用されていた C & C サーバーを押収し、多数のボットネットを停止させました。 組織の複雑さから完全なテイクダウンには至っていないものの、業界を越えた連携が成し遂げた素晴らしい成果だと言えるでしょう。 関連記事: Microsoftのオフィシャル ブログ : Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations…