セキュリティ インテリジェンス レポート (SIR) 第 20 版公開

概要 2016 年 5 月 5 日  (米国時間)、マイクロソフトは「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 20 版」を公開しました。SIR は、進化する脅威のランドスケープに関して、IT プロフェッショナル、組織のセキュリティ責任者、政府、およびセキュリティ産業全体から、信頼性が高く比類のない情報源として広くみなされています。このレポートには、全世界約 10 億台以上のシステムから収集されるセキュリティのデータが含まれており、業界の中で最も包括的なレポートの 1 つです。その内容は 1200 ページ以上にのぼり、100 を超える国と地域における脅威の評価が含まれます。第 20 版では、2015 年 7 月から 12 月の脅威のランドスケープに関する詳細分析と共に、長期的な傾向も紹介します。 ハイライト クラウド環境でアカウントを保護するには: パスワード攻撃を緩和する SIR のこのセクションでは、攻撃者が有効なアカウント認証情報を所有している場合も含めて、アカウントへの不正アクセスを防止するためにマイクロソフトが実施していることに焦点を当てます。 マイクロソフトの大規模なクラウド環境では、悪意のある行為に関する膨大な量の情報を収集することができます。この情報を活用して、Microsoft アカウントおよび Azure Active Directory アカウントへの不正アクセスを防止し、漏えいした、あるいは盗まれた認証情報の利用をブロックします。 PLATINUM: 南アジアおよび東南アジアにおける標的型攻撃 このセクションでは、新たに発見され、マイクロソフトがPLATINUMというコード名をつけた攻撃者グループの詳細について紹介します。このグループは 2009 年以来、東南アジアの政府に関連する組織や関係機関を標的として、数回のサイバースパイ活動を実施してきました。この情報は、組織がこのようなグループから受けるリスクを著しく減らす緩和策を理解するために役立ちます。   ダウンロード SIR は以下いずれのサイトからもダウンロードいただけます。フルレポートは英語のみの公開、Key Findings は追って日本語訳も公開予定です。 http://www.microsoft.com/sir  英語サイト…


セキュリティ インテリジェンス レポート (SIR) 第 19 版公開

2016/1/8 更新: Key Findings Summary の日本語版を公開しました。「マイクロソフト セキュリティ インテリジェンス レポート 第 19 版 主な調査結果の概要」 2015 年 11 月 18 日 (米国時間)、2015 年上半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 19 版」を公開しました。   セキュリティ インテリジェンス レポートは、半期に一度公開しており、世界における脆弱性の傾向、エクスプロイト (悪用) の傾向、マルウェアの傾向や、各国・地域での脅威の傾向などを、全世界約 10 億台以上のシステムから収集されるデータを基に分析しています。    また、第 19 版では特集として、標的型攻撃を行う集団 STRONTIUM について詳説しています。さらには、Exchange Online の機能である Advanced Threat Protection についても紹介していますので、本ブログではこれらについて少し説明を入れたいと思います。   攻撃グループ STRONTIUM Microsoft Malware Protection Center…


攻撃コードのトレンド(Exploitation Trend)~セキュリティ インテリジェンスレポート第16版から~

5月に公表された「マイクロソフト セキュリティ インテリジェンスレポート第16版」の特集記事、「攻撃コードのトレンド(Exploitation Trend)」を紹介します。 マイクロソフト セキュリティ インテリジェンスレポート(以下、SIR)は、半期に一度マイクロソフトが公開しているセキュリティに関する分析レポートで、ソフトウェアの脆弱性、攻撃コード(Exploit)、マルウエア、フィッシング、悪性のWebサイト等に関する分析を中心としたものです。今回公表された第16版では、2013年下半期(2013年7月―12月)を対象としています。SIRでは、特集記事として話題性の高いテーマを取り上げており、これまでボットネットへの取組み、クラウドのセキュリティ、オンライン広告を使ったサイバー犯罪などを取り上げてきました。今回は、紹介する「攻撃コードのトレンド」も、第16版の特集記事として掲載されている内容です。 SIRは主要なレポートだけでも約140ページの分厚い資料ですが、興味深い内容も多いので、ぜひオリジナルのレポートをご覧いただければと思います。 セキュリティ インテリジェンスレポートhttp://www.microsoft.com/ja-jp/security/resources/sir.aspx Security Intelligence Reporthttp://www.microsoft.com/security/sir/default.aspx 攻撃コードのトレンド ~潜在的なリスクから現実の脅威へ~ ゼロデイ攻撃が話題になる機会が増えていますが、ゼロデイ攻撃を含め、攻撃コードやマルウエア対策を進めるためには、現状を出来るだけ正確に理解する必要があります。本特集記事では、脆弱性と脆弱性に対する攻撃の推移に着目し、脆弱性悪用の技術的な傾向と、流通状況等の分析を行っています。 脆弱性の悪用に関する状況 最初に脆弱性に対する攻撃コードが確認された割合の分析です。Figure.1は、リモートコード実行可能な脆弱性のうち、実際に攻撃コードが確認された脆弱性の割合を表したグラフです。最も危険で悪用が容易な脆弱性にも関わらず、2013年はわずかに10%の脆弱性だけが悪用されるにとどまりました。現在の攻撃コード開発者は、脆弱性情報や攻撃コードを販売し、これを購入した攻撃者が、マルウエア感染を通じた不法行為通により収益を上げるというエコシステムになっています。このため、攻撃コードの開発に見合った収益が見込めない場合は、その脆弱性は攻撃コード開発の対象とならない傾向にあります。Figure.1は、この傾向がよく表れています。 攻撃コードが確認されたタイミング Figure.2は、リモートコード実行可能な脆弱性に対する、最初の攻撃コードが確認された時期を分析したものです。2011年から、このカテゴリのゼロデイ攻撃は減少していますが、あわせて脆弱性の総数が減少しています。このため、相対的にゼロデイ攻撃の割合が増えており、2013年には公表された脆弱性の大半を占めるようになりました。この変化は、セキュアコーディングの普及により、新たにリモートコード実行可能な脆弱性を見つけることが難しくなったことが背景になっています。脆弱性の発見が難しくなったことで脆弱性の総数が減少し、その結果として未公開の攻撃コードの価値が高まったと考えられます。攻撃コードの開発者は、収益を最大化するため、脆弱性対策が公表され、セキュリティソフトが検知するようになるまでは、極めて限定的な相手(顧客など)を対象に取引をするようになっており、これがゼロデイ攻撃の割合が増えた要因となっています。ゼロデイとは対照的に、公開後30日を超えてから、最初の攻撃コードが出現するケースは減少しています。これは、一カ月以内に脆弱性の対処が行われるコンピューターの割合が増え、古い脆弱性を悪用した攻撃が成功する可能性が減少しているためだと考えられます。   悪用された脆弱性カテゴリ(root cause)の傾向 Figure.3では、悪用されたマイクロソフト製品のリモートコード実行可能な脆弱性の脆弱性カテゴリ(root cause)に関する分析です。 まず目につくのが、Stack Overflowに代表されるスタックに関する脆弱性の減少です。2007年には、54.2%を占めていましたが、2013年には5%まで減少しています。これは、コンパイラ(Visual Studio等)の対策が進展したことより、/GSやSafeSEH等の緩和策が機能していることや、開発時の静的な分析ツール(コード解析ツール)の精度の向上が貢献していると考えられます。スタックに関する脆弱性の減少に合わせるように、Useafter-free脆弱性の悪用が増加しています。Drive-by-Download等の手法が一般化したことで、クライアントが主要な標的になりました。Userafter-freeは、クライアント側で稼働するアプリケーションによく見られる脆弱性である事から、攻撃コード開発の主要なターゲットなってきたものと考えられます。なお、Stuxnetで悪用された、DLLロードの脆弱性は、2009年から2012年にかけては悪用が確認されていますが、2013年では悪用が確認されませんでした。   DEP(Data Execution Prevention)と、ASLR(Address Space Layout Randomization)は、脆弱性の悪用方法に大きな影響を与えています。Figure.4は、マイクロソフト製品に対する攻撃手法を分析したもので、DEPとASLRを回避する新たな手法を見つける事が、攻撃者の焦点となっていることがうかがえます。DEPを回避するための手法としてROP(Return Oriented Program)が主要な手法となっていますが、ROPを成功させるためにはASLRを回避する必要があります。このため、ROPとASLRを回避する新たな手段が研究の焦点となっています。ASLRの回避には、ASLRが利用されていないイメージを使うか、アドレス情報が取得可能な脆弱性が利用される場合が大半を占めています。なお、DEPとASLRに加えて、最新のInternet ExplorerとEMETの利用率の向上は、実効性のある攻撃コードの開発を困難なものにしています。   誰が攻撃コードを使うのか 脆弱性が明らかになる経緯は様々です。攻撃コードが犯罪者の手に渡る様子を、2012年1月から2014年2月に攻撃コードが発見された、16の脆弱性について分析をしました。最初に攻撃コードが明らかになった経緯を分析すると、標的型攻撃9件、攻撃フレームワーク3件、トレーダー(販売業者)2件、セキュリティ研究者2件でした。これらの攻撃のうち8件は、後に攻撃フレームワークに取り込まれ、8件のうち2件は犯罪者向けの攻撃キットに取り込まれました。少ないサンプル数ではありますが、攻撃コードは標的型攻撃で使用され、このうちの一部が数か月後を経て広範囲に影響を与える犯罪者向けの攻撃キットに取り込まれています。このことは、セキュリティ更新プログラムを迅速に適用することが、攻撃コードによる攻撃をリスクを避ける上で有効な対策であることを裏付けています。   攻撃コードの開発者は、限定的な取引ばかりでなく、商用の攻撃キットを通じて収益を上げています。誰でもハッカーフォーラムなどで、攻撃キットの購入やレンタルすることで、容易に攻撃者となることが可能です。典型的なキットではFigure.6のように、Webブラウザやアドオンの脆弱性に対する攻撃コードが用意されています。これを攻撃者が自ら用意したサイトや侵入して改竄したWebサーバーに仕掛けます。そして適切な対策を取っていないユーザーが閲覧すると、Drive by Download攻撃によりマルウエアに感染することになります。このような商用の攻撃キットの存在は、遅くとも2006年には確認されていますが、使いこなすためには専門的な知識が必要でした。2010年に登場したBlackholeと呼ばれる攻撃キットは、専門的な知識がなくても使いやすいように設計されており、お金を払えばだれでもサイバー犯罪ができるようになりました。サイバー犯罪で大きな収益を得る例も報告されており、たとえばランサムウエアの一種Revetonを使った犯罪者グループは、攻撃キットを使ってRevetonを感染させ、2012年には$50,000/日の収益を上げていたと言われています。  悪用される製品の推移 初期の攻撃キットは、様々な製品に対する攻撃コードが用意されていましたが、徐々にAdobe Flash/Reader, Microsoft Windows / Internet Explorer, Oracle Java等の主要な製品に絞り込まれるようになりました。最近では、特にJava Runtime…


新データでサイバー犯罪の手法の変化が明らかに

[2014/06/02 追記] セキュリティ インテリジェンスレポート 第 16 版の日本語要約版を公開しました。 本記事は、Microsoft Security のブログ “New Data Sheds Light on Shifting Cybercriminal Tactics” (2014 年 5 月 7 日公開) を翻訳した記事です。 本日公開された新しいデータは、マイクロソフトが最新のソフトウェアに搭載されたセキュリティ緩和策が、攻撃者予備軍の活動を難しくしていると示しています。有効なセキュリティ緩和策により、セキュリティ犯罪者の活動にかかる費用が上がりました。また、このデータは、サイバー犯罪が、システムを侵害しようとする試みにおいて、詐欺的な手法をこれまで以上に利用していることを示しています。 これからお話するのは、マイクロソフトがお客様、パートナー様、および、より広範なサイバー セキュリティ コミュニティの方々が、サイバー犯罪者によるツール、手法、および脅威について理解を深められるように、年 2 回公開しているサイバー セキュリティ レポートの主要な調査結果についてです。これは、サイバー犯罪からご自身と所属する組織を保護しようとしている IT および セキュリティの専門家に必須な情報です。 Trustworthy Computing (信頼できるコンピューティング) 部門のセキュリティ サイエンス チームが実施した新しい調査の結果、2010 年から 2013 年の間で、マイクロソフト製品において悪用された深刻な脆弱性 (リモートでコードが実行される可能性があるもの) の数が、70 %低下したと判明しました。これは、脆弱性が存在するような場合であっても、最新の製品が強固な保護策を提供していると明らかに示しています。このように希望に満ちた傾向が見られる一方で、サイバー犯罪者も諦めてはいません。マイクロソフトのデータでは、2013 年の下半期に、攻撃者が欺瞞的な行為を利用したサイバー犯罪活動に顕著な上昇がみられたと明らかになっています。詐欺的な手法の継続的な上昇は際立っています。2013 年の第 4 四半期には、詐欺的な手法の結果による影響を受けたコンピューターの台数が 3 倍以上に達したのですが。最新のマイクロソフト製品に搭載されているセキュリティ緩和策で、攻撃者予備軍にとって技術面でのハードルを上げましたが、これは、詐欺的な手法の使用を急上昇させている要因の 1…


Windows XP サポート終了後のセキュリティ~ マルウェア感染率が示すリスク

こんにちは。村木ゆりかです。  前回の記事でご紹介したように、セキュリティ インテリジェンスレポート (SIR) 第 15 版にて、最新のセキュリティ脅威についての調査結果を公開しています。今回は、SIR 第 15 版の内容に加え、マイクロソフト マルウェア プロテクション センター(英語) や、マイクロソフト セキュリティ ブログ(翻訳版) で公開している調査結果を基に、Windows XP サポートが終了におけるマルウェア感染に対するリスクを中心にご紹介したいと思います。   なぜ Windows XP の感染率は高いのか SIR 15 版における調査では、どのバージョンのWindowsも同程度のマルウェアに遭遇しているものの、感染率はWindows XPが突出して高く、Windows 8 の約6 倍でした。(詳細は前回の記事を参照) これは何故でしょうか?  Windows XP が発売開始されたのは、約 12 年前です。現在は、インターネットユーザーは約 7 倍以上に増え、生活に欠かせないものとなりました。犯罪者はインターネットユーザーを狙うようになり、いたずらや自己顕示ではなく、金銭や政治的理由から組織的な犯罪として攻撃が行われるようになりました。 こうした背景から、セキュリティ技術は攻撃技術も大きな進化を遂げ、1991 年には、1,000 種類程しかなかった攻撃手法は、現在は数百万も存在しています。最新の攻撃手法に対抗するためには、セキュリティ更新プログラムやサービスパックレベルでの更新が難しく、OS レベルでの変更がどうしても必要となるセキュリティ機能があります。 また、マルウェアによる攻撃は、マルウェア対策ソフトに加え、OS に備わっている機能により防御します。最新の攻撃手法マルウェアに遭遇した場合、より新しいOS に備わっている機能による防御ができても、Windows XP による防御には限界があります。このため、結果的に Windows XP の感染率が高くなります。(詳細は前回の記事を参照)   サポートが終了したソフトウェアのマルウェア感染率は1.6 倍 2014…


新セキュリティ インテリジェンス レポート、新データ、新たな視点

本記事は、Microsoft Malware Protection Center のブログ “New Security Intelligence Report, new data, new perspectives” (2013 年 10 月 29 日公開) を翻訳した記事です。 本日、マイクロソフトは マイクロソフト セキュリティ インテリジェンス レポート (SIRv15) (英語版) の第 15 版を公開しました。このレポートは、世界中の莫大な数のシステム、および幾つかのインターネットの活発なオンライン サービスのデータに基づいて、マルウェア、悪用について分析しています。 昨年中、私達はセキュリティ インテリジェンス レポートの第 15 版について企画していました。お客様に提供するガイダンスの範囲、および正確性を向上するためにはどうすれば良いのか考慮したため、過去のレポートで提供したデータ以上にマルウェアの蔓延率を最も良く示すにはどうしたら良いかについて熟慮しました。 私達は、リアルタイムの防御製品に基づいてマルウェアの影響度を測る測定基準を設ける必要がありました。 私達は、既に、感染率については悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行した場合に駆除を受けたコンピューターの数を示す Computers Cleaned per Mille (CCM) と呼ばれる測定基準を使用して報告しています。これにより、感染がいかに広範に広がっているのか説明することが可能です。 現在、コンピューターに影響を与えている脅威の範囲についてより深く理解するためには、決して感染につながらない試みを含む、感染の試みについて考慮することが益々重要になってきています。このデータは、リアルタイムのセキュリティ製品によってのみ提供されるものですが、これは、新たな測定基準「遭遇率」で測られています。遭遇率とは、マルウェアを偶然見つける、あるいは遭遇する、マイクロソフトのリアルタイムのセキュリティ製品を稼働しているコンピューターの割合です。並べて見比べると、感染率、および遭遇率はマルウェアの全体像を見る場合に異なる視点を授けてくれ、実態を解明することでより情報に通じたリスク評価に貢献します。 例えば、昨年中の遭遇率、および感染率による分析で浮上したキーとなる発見の 1 つは、Windows XP を稼働しているコンピューターが Windows…


セキュリティ インテリジェンス レポート第 14 版 ~特集: リアルタイム保護の効果を知る~

インターネット ユーザーがマルウェアからコンピューターを守り、安全に Web ブラウズを行うには、充実したセキュリティ機能が搭載された Web ブラウザーを使用し、不用意にリンクをクリックしないなど、日頃から注意を払うことが重要です。しかしながら、経験値の高いユーザーであっても、昨今のソーシャル エンジニアリングやドライブ バイ ダウンロードなどの巧みな攻撃手法によるマルウェア感染を完全に防ぐのは難しい場合も多くあります。 今回のセキュリティ インテリジェンス レポート第 14 版では、リアルタイム保護を提供するマルウェア対策製品がどれ程マルウェア感染に対して効果があるのかについて、マイクロソフト独自のテレメトリ観測データを分析した結果を初めて発表しています。今日は、その内容を紹介したいと思います。   リアルタイム保護されていないコンピューターの感染率は 5 倍以上 2012 年下半期、マルウェア対策製品のリアルタイム保護が有効に機能しているコンピューターと比較して、リアルタイム保護が機能していないコンピューターでは、マルウェアおよび迷惑なソフトウェアへの感染率は、およそ 5.5 倍高いという数字が出ました (図 1)。リアルタイム保護が重要だということがわかるデータです。 図 1: 保護された PC (緑) と保護されていない PC (赤) における、1000 台あたりの感染 PC の台数 (2012 年下半期の各月)   上記データは、全世界で約 6 億台以上のコンピューター上で実行される悪意のあるソフトウェアの削除ツール (MSRT) により収集したデータを基にしており、コンピューターの管理者ユーザーがデータ収集に同意している場合、そのコンピューター上のマルウェア対策製品のリアルタイム保護の状態を確認し、それを感染状況と相関分析しています。   保護されていないコンピューターの割合は 24 %、Windows 8 ではわずか 7~8% 今回のデータでは、保護されていないコンピューターは感染率が高くなることが示されましたが、悪意のあるソフトウェアの削除ツール (MSRT) で収集されたデータによると、2012 年下半期平均で、約…


セキュリティ インテリジェンス レポート (SIR) 第 14 版を公開 (2012 年下半期の脅威の傾向)

皆さんこんにちは。2013 年 4 月 17 日 (米国時間)、2012 年下半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート第 14 版」を公開しましたのでそのお知らせです。 セキュリティ インテリジェンス レポートは、世界における脆弱性の傾向、エクスプロイト (悪用) の傾向、マルウェアの傾向や、各国・地域での脅威の傾向などを、全世界約 6 億台以上のシステムから収集されるデータを基に分析しています。 さらに、第 14 版の特集記事では、マルウェア対策製品を最新の状態に保つことの効果を具体的なデータとともに提示しています。マルウェア対策製品への投資が組織にとってどう重要なのか、費用対効果についての説明材料が欲しい IT 管理者様必見です。 レポート (英語) のダウンロードは、以下英語もしくは日本語の Web ページより行えます。なお、日本語版のサマリ (Key Findings Summary) は、後日公開しますので少しお待ちください (公開次第、下記日本語のページおよびこのブログでもアナウンスしていきます)。また、追ってレポートの内容を解説したブログを公開する予定です。 英語のランディング ページ http://www.microsoft.com/sir  日本語のランディング ページ http://www.microsoft.com/japan/sir


セキュリティ インテリジェンス レポート (SIR) 第 13 版 ~ 特集「ダウンロード詐欺」

昨日ポストした「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 13 版概要」に続き、本日は、第 13 版の特集「Deceptive Downloads: Software, music, and movies」の概要をお伝えしていきます。 サプライ チェーンに潜む危険様々なフリーウェアや音楽、映画などのファイルがインターネット経由で入手できる便利な時代ですが、一方でこういったファイル配布サイトやチャネルを悪用した活動も盛んに見られます。それは、海賊版ソフトウェアやメディアがやり取りされているアンダーグラウンドから、シェアウェアやフリーの音楽ファイルを置く合法的なウェブサイトまで、本物に見せかけてその実マルウェアを含むソフトウェアや音楽ファイルを置き、ダウンロードしたユーザーのコンピューターを感染させているのです。時として、新しい PC の販売時に既にマルウェアが組み込まれていることもあり、それは「販売されている PC に組み込まれた Nitol ボットネットのTakedown(オペレーション b70)」でもご紹介した通りです。 Keygen の例安全でないサプライ チェーンやファイル配布サイト等でよく見られる脅威のファミリはいくつかありますが、なかでも、様々なソフトウェア (一般的に不正入手版ソフトウェア) のプロダクト キーを生成するツール「Key Generator」(図 1) の一般検出である Win32/Keygen は、2012 年上半期で最も多く検出された脅威のファミリでした (図 2)。図 1: Keygen ツールの例 図 2: 2011 年下半期~2012 年上半期の脅威のファミリの傾向 (検出コンピューターの台数) Keygen は今期、本レポートが対象とする 105 の国・地域においてトップ 10 の脅威に入る割合が 98% と全世界的に流行が見られたものですが、他のマルウェアを伴ったり、また…


セキュリティ インテリジェンス レポート (SIR) 第 13 版概要

皆さんこんにちは。今日は、2012 年上半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート第 13 版」(2012 年 10 月 9 日 (米国時間) 公開) の概要をお伝えします。 脆弱性の傾向2012 年上半期に業界全体で公開された脆弱性数は、前期から 11.3% 増の計 2,037 件でした。この増加は、図 1 からもわかるように、主にアプリケーションの脆弱性の増加によります。OS の脆弱性は近年減少傾向が続いています。また、業界全体で公開された脆弱性のうち、マイクロソフト製品に関する脆弱性数は、図 2  が示すように全体の 4.8% でした。 悪用 (エクスプロイト) の傾向前期から引き続き、2012 年上半期においても、HTML または JavaScript を介した悪用が多く見られました (図 3)。主な原因は JS/Blacole の拡散が続いていることによります。JS/Blacole は、”ブラックホール” と呼ばれるエクスプロイト キットを使用したファミリで、感染した Web ページを通じてマルウェアを広めます。このマルウェアは Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment…