Windows Defender Advanced Threat Protection の機械学習: 未知の侵入アクティビティの検出

マイクロソフトは積極的に次世代のセキュリティ テクノロジに投資しており、マイクロソフトが誇る膨大なデータ セットを集約する能力を使用し、そのデータから学習するインテリジェントなシステムを構築しています。機械学習 (ML) システムでは、日々の膨大な数のイベントに潜む脅威や、従来のセンサーでは反応しない未知の小さな異常を見つけ出すことができます。


セキュリティ更新プログラム ガイドに関するフィードバックをお待ちしています

2016 年 11 月からセキュリティ更新プログラム ガイド (Security Update Guide) のパブリック プレビューを開始しました。セキュリティ更新プログラムの情報を完全に新しい形式のみで公開したのは、今月のリリースが初めてです。ここ数か月の間、お客様やパートナーからセキュリティ更新プログラム ガイドの方向性と実装に関する多くのフィードバックをいただきました。今月プレビュー期間が終了しましたが、引き続き皆さまからのフィードバックをお待ちしています。そして、これからも皆さまのエクスペリエンスの向上に取り組みます。


2014 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。 概要2014 年の対応実績は、以下の通りです。2013 年は 106 件のセキュリティ情報を公開し、333 件の脆弱性の対処を行っていることから、比較するとセキュリティ情報の公開数は減少しましたが、脆弱性の対処数は、若干増えています。 85 件のセキュリティ情報を公開 (MS14-001 〜 MS14-085) 341 件の一意の脆弱性 (CVE) を対処 定例外のリリースとして以下の 2 つを公開 5 月に MS14-021 (Internet Explorer) 11 月に MS14-068 (Kerberos) 月別の傾向セキュリティ情報は、毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、事前に人員確保やインストール準備を行えるようにするためにこのように決められています。 2014 年の月別の公開数を見てみると、月 7 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 18 件のセキュリティ情報 (脆弱性数は 20 件) が該当しました。これらは、すべて限定的な標的型攻撃での悪用でした。過去の公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数と比較すると、2013 年は 11 件、2012 年は…


近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx…


2013 年マイクロソフトのセキュリティ情報まとめ

皆さん、こんにちは!関東地方では、雪が降るとの予報がでていますが、今日はとても寒いです。仕事も私生活もイベントが多く何かと忙しい時期でもありますので、体調管理には十分ご注意くださいね。さて、今回は、今年最後の月例セキュリティ情報の公開が終わりましたので、簡単ではありますが振り返りをしたいと思います。  概要2013 年は、全 106 件のセキュリティ情報 (MS13-001 〜 MS13-106) を公開しました。なお、これらの 106 件のセキュリティ情報で 333 件の一意の脆弱性 (CVE) の対処を行いました。また、定例外[i]のリリースとして、MS13-008 (Internet Explorer) を 1 月に公開しました。2012 年は 83 件のセキュリティ情報を公開していることから、比較するとセキュリティ情報の公開数が著しく増加しているように見えますが、2011 年は 100 件、2010 年は 106 件だったことから、増加というより平均的な公開数に戻ったと考えられます。 月の傾向セキュリティ情報は毎月 1 回、第 2 火曜日 (米国日付) に公開されます。これは、IT 管理者が、人員確保や適用準備を事前に行えるよう考慮し定めています。2013 年の月別の公開数を見てみると、月 8 件前後の公開が多く見られました (図 1)。なお、公開時点で脆弱性の悪用が確認されていたセキュリティ情報の数を “Yes (赤)” としていますが、計 11 件のセキュリティ情報が該当しました。昨年は、7 件だったため、今年は少々増えているようです。 図 1: 2013 年の月別セキュリティ情報公開数 製品の傾向次に、製品タイプ別影響を受けるソフトウェアの傾向を見てみます (図 2)。2013…


ユーザーを守る上でのセキュリティ サイエンスの効果

本記事は、Microsoft Security Blog のブログ “The Impact of Security Science in Protecting Customers” (2013 年 7 月 25 日公開) を翻訳した記事です。 Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。この分析は、過去 7 年 (2006 ~ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。 本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。 悪用が発見されたリモートでコードが実行される (RCE) 脆弱性の年間件数は減少している。 脆弱性が頻繁に悪用されるのは主にセキュリティ更新プログラムが提供された後であるが、ここ数年はセキュリティ更新プログラムが提供される前に脆弱性が悪用されるケースの割合が増加傾向にある。 図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較   スタック破損の脆弱性の悪用はこれまで最も頻度が高い脆弱性クラスだったが、最新の調査結果ではほとんど発生しなくなっている。悪用された件数は、2006 年の 43% から 2012 年の 7% に減少した。 図 2: 悪用が発見された CVE の脆弱性クラスの分布   現在最も発生頻度の高い脆弱性クラスは、解放後使用の脆弱性である。…


「モノのインターネット」上のセキュリティ

皆さん、こんにちは!日本マイクロソフトのセキュリティチームの新メンバーのモーリスと申します。   昨今、インターネットに接続しているデバイスが話題になったことを機に、今回は「モノのインターネット」上のセキュリティについてお話したいと思います。   ■「モノのインターネット」とは何でしょうか? 「モノのインターネット (Internet of Things)」とは 1999 年にマサチューセッツ工科大学に属していた研究者のケヴィン・ アシュトンに作られた言葉で、従来のパソコンとサーバーで主に構成されているインターネットとは対照的に、あらゆる電子機器やセンサーと通信機能の付いていたさまざまなモノで構成されているインターネットとのことです。   この造語が生まれた 1999 年では、「モノのインターネット」はあえて言えば理論上のものでしたが、近年ますます実現化の方向へ進んでいます。現実世界には携帯電話は勿論のこと、テレビ、HDD レコーダー、ゲーム機、ベビーモニター、デジカメ、メモリカード、洗濯機、冷蔵庫、腕時計など、身の回りにインターネットに接続しているデバイスが既に溢れています。集積回路の縮小化と低エネルギー化の技術の進展、IPv6、Bluetooth、WiFi などの技術標準の普及により、近い将来、このようにインターネットに接続しているデバイスが更に飛躍的に増えるでしょう。   ■「モノのインターネット」の実現によりセキュリティにどんな影響があるでしょうか? 一般のユーザーが意識しなくても、モノのインターネットを構成しているデバイスは、さまざまな機能を持っており、インターネットに接続すると、パソコンと同様の脅威に直面します。   長年の取り組みにより近代のパソコン用のオペレーティング システムはオープン インターネット上の多岐に渡る脅威に対して強化されています。Windows の場合、Windows XP がリリースされてからの 12 年間にたくさんの先進セキュリティ技術が開発され、Windows Vista、Windows 7、Windows 8 のリリースに伴い段階的に導入されてきました。(Windows XP 時代から導入されてきた記述についてはこちらで詳しく説明されています。) その上、セキュリティ技術の他、新興脅威の発生に向けて健常な対応プロセスが整っています。継続的に脅威の状況を監査し、脆弱性が確認されたらセキュリティ更新プログラムを速やかに作成、速やかに広く配信するシステムがあります。   しかし、残念なことに全てのインターネットに接続できるデバイスは十分なセキュリティ対策が実装されていない現状もあります。最近、セキュリティ会社が度々デバイスの脆弱性についてのアドバイザリを発表し、「不正アクセス」、「特権の昇格」、「リモートコード実行」、など、かつてパソコンやサーバーでしか見られなかった脆弱性の影響が一般の家電や携帯用インターネットデバイスにも見られるようになってきました。それに、健全な脆弱性対策プロセスと安全な自動的なソフトウェアのアップデート機能が整備されていないデバイスもたくさんあります。   ■こんな実情でセキュリティをどう守れるでしょうか? インターネットに接続可能なデバイスを購入するときに、まず下記の 3 点を考えましょう。 ①   リスクの測定: デバイスの悪用により個人情報の漏洩や安全性の問題はあり得ますか? ②   デバイスのメーカーは脆弱性対応プロセスを完備していますか?プロセスの健常性を測るのが難しいかもしれませんが、ウェブを検索すれば脆弱性報告窓口の有無を簡単に確認できます。 ③   脆弱性を修正するソフトウェア更新プログラムは自動的にインストールされますか?自動的に更新されないデバイスであれば手動のアップデート入手方法とインストール方法を確認しましょう。   モノのインターネットを楽しみながら、デバイスのセキュリティ状況も意識していきましょう。


決意を持った敵対者と標的型攻撃 その 1 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~

マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要、Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。 前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。                                                            標的型攻撃の実態 SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。 これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。 標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。 未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。 また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。 初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。   標的型攻撃対策の課題 標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。 ○ 悪意のある実行役が多数存在する ○ これら実行役の動機がさまざまである ○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい ○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない   では、実際にはどのような対策を立てることが可能なのか …


安全なソフトウェア開発が改めて重視 – SDL 導入の手始めに役立つガイドライン

近頃、セキュリティ業界の会合やお客様との会話の中で、マイクロソフトのセキュリティ開発ライフサイクル (SDL) [i] が改めて注目を集めていると感じます。インターネット空間におけるサイバー攻撃がますます高度化かつ巧妙化する中、組織の資産をセキュリティ製品だけでは守っていけない状況は多く、ソフトウェアそのものの脆弱性をなくすこと、特に自社開発製品についてきちんと見直しを行い、より強固なソフトウェアやサービスに変えていくことが求められています。 図 1: SDL 開発プロセス   2002 年提唱の「信頼できるコンピューティング」から 10 年、マイクロソフト製品は常に研究者や悪意のあるクラッカーのハッキング対象となってきました。長年に亘るそのような状況にも鍛えられ、また徹底した SDL により、マイクロソフト製品のセキュリティは確実に向上しています。下図 2 は製品ごとの、1000 台の PC における感染 PC 台数を示していますが、より新しい製品ほど、感染率が下がっていることがわかります。 図 2: Windows OS 毎の感染率 (Security Intelligence Report v.11 より)   何から始めれば良いか? Microsoft SDL の簡単な実装というドキュメントを公開しています。ソフトウェア開発に完全な SDL フレームワークを導入するには、相応のリソースやコストが必要で、時間もかかります。このドキュメントでは SDL に準拠するための必要最小限のプロセスを説明しています。 たとえば「SDL 最適化モデル」は、以下 5 つの機能領域に基づいて構成されており、各領域におけるプラクティスと機能について 4 段階の成熟度 (基本、標準、高度、動的) を定義しています。このドキュメントでは、”高度” レベルの成熟度を実現するために必要なタスクとプロセスを重点的に説明しています。 トレーニング、ポリシー、および組織の機能 要件と設計 実装 検証 リリースと対応…