決意を持った敵対者と標的型攻撃 その 2 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~

決意を持った敵対者と標的型攻撃ブログ「その 2 」です。 「その1」では、標的型攻撃の課題と実態について紹介しましたが、今回は対策について触れたいと思います。 従来のセキュリティモデルの中心は、セキュリティ対策製品の導入でしたが、標的型攻撃に対しては複数の対策を準備する必要があります。 具体的には、以下の 4 種類の対策が挙げられます。 Prevention ( 予防 ) 従来のセキュリティ対策と同様、ウイルス対策ソフトウェアやファイアウォールといった予防措置が必要です。しかし、リサーチの結果は、そのような対策を講じているにも関わらず、ソフトウェアのセキュリティ設定を正しく設定していなかったり、セキュリティ更新プログラムをタイムリーに適用していないために攻撃されるケースが多いことを示しています。このような基本的な対策をしっかり講じることで標的型攻撃が成功する可能性を少しでも減らすことは非常に重要です。   Detection ( 検出 ) 抑止策だけでは十分ではないという前提で、侵入検知装置やルーター、ホスト、プロキシ サーバーなどからのデータを利用して、ホストの運用状況やセキュリティの状況を評価します。また、リアルタイムの対策だけではなく長期的な視点で、ポリシー、コントロール、監視方法の確立、大量のデータを分析できるような人材の育成なども考慮すべき点であると言えます。   Containment  ( 封じ込め ) 攻撃者は、初回の攻撃だけで目的を達成することは殆どなく、まずは標的の環境を偵察し、侵入するスキを見つけようとします。製品に組み込まれているセキュリティ機能を利用することによって、攻撃者の活動を抑止し、攻撃を発見、軽減することが大切です。また、ドメイン管理モデルの構築、管理者権限の利用の制限管理者権限の制限、IPsecベースの論理的セグメント化および暗号化といった、不必要な接続が行えないような措置を講じる必要があります。   Recovery  ( 回復 ) 攻撃によるダメージを軽減する、または早期にダメージから回復するために、回復計画を準備しておきます。そのためには、ビジネス部門とIT部門が協力し合って準備すること、非常事態に備えて演習や訓練を実施すること、外部専門家の知識を参考にすることが望まれます。また、顧客の信頼を保つために、明確でタイムリーなメッセージを発信できるようなコミュニケーションプランを準備しておくことも大事です。   標的型攻撃への対策は、1 個人、1  社の企業だけで行うのには限界があります。標的型攻撃の被害を拡大させないためにも、政府機関と民間が協力して迅速な情報共有を行う必要があり、また、そのために被害者が適切に情報交換できるような環境を構築することが大切です。 さらに、上記にある予防、検知、封じ込め、回復によるリスク マネジメントを、組織、ビジネス、政府の主要な戦略として標的型攻撃に対応することが求められます。   参考情報: Microsoft_Security_Intelligence_Report_Volume_12_Determined_Adversaries_And_Targeted_Attacks_English.pdf      


Internet Explorerのセキュリティ更新プログラムを提供開始 (MS10-018)

昨日の事前通知の通り、Internet Explorerの脆弱性 (CVE-2010-0806) に対応するセキュリティ情報および、セキュリティ更新プログラムを公開しました。 http://www.microsoft.com/japan/technet/security/bulletin/MS10-018.mspx (技術者向け)http://www.microsoft.com/japan/security/bulletins/MS10-018e.mspx (簡易版) また、悪用可能性指標などの情報は、3月の月例リリースの際に公開したページに、今回公開したMS10-018の情報を追加しています。http://www.microsoft.com/japan/technet/security/bulletin/ms10-mar.mspx 今月のワンポイント セキュリティ情報についも、今回の定例外のセキュリティ情報を開設する特別版を、以下のサイトから本日午後までに配信予定です。http://technet.microsoft.com/ja-jp/dd251169.aspx なお、MS10-018は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0806)を含めて、計10件に対応しています。CVE-2010-0806は、Internet Explorer 8には影響が無いことはお伝えしたとおりですが、対応した10件のうち脆弱性の3件 (緊急2,重要1) は、Internet Exploere 8にも影響を与えるものがあるため、Internet Explorer 5.01 ~ Intenret Explorer 8までの各バージョン用の更新プログラムを配信しています。 今回は、定例外の更新プログラムの提供ですが、配信は通常の公開と同様に、ダウンロードセンター、Microsoft Update (Windows Update), 自動更新を通じて行っています。


Internet Explorerのセキュリティ更新の事前告知 (定例外)

「セキュリティ アドバイザリ 981374」でお伝えしている脆弱性の脆弱性の悪用を確認したことを、お伝えしておりました。この脆弱性を悪用する攻撃からお客様を保護するために、今回Internet Explorerの累積的な更新プログラムを定例外で、2010/3/31 に公開します。 今回の悪用が確認されている脆弱性は、Intenet Explorer 6 および 7のみが影響を受けます。そのため、Internet Explorer 8を使っているお客様は現時点で攻撃を受ける心配はありません。しかしながら、セキュリティ更新プログラム自体は、全てのバージョンのInternet Explorerに適用する事を推奨しています。 定例外の公開ではありますが、配信はすべて、月例の公開時と同様にMicrosoft Update等を通じて行います。 公開予定のセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms10-mar-ans.mspx なお、4/1 (エイプリルフール)が近いですが、このブログやセキュリティ関連のサイト・サービスでは、ネタを仕込むことはしません。仮に、4/1に情報が公開・更新した場合でも情報は本物ですのでご注意を。 追記:2010/03/31: セキュリティ更新プログラムの提供を開始しました


Internet Explorerのセキュリティ更新プログラムを提供開始 (MS10-002)

小野寺です。  「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしていた、Internet Explorerの脆弱性 (CVE-2010-0249)に対応するセキュリティ情報および、セキュリティ更新プログラムを公開しました。 http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx (技術者向け)http://www.microsoft.com/japan/security/bulletins/ms10-002e.mspx (簡易版) また、悪用可能性指標などの情報は、一月の月例リリースの際に公開したページに、今回公開したMS10-002の情報を追加しています。http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx 今月のワンポイント セキュリティ情報についも、今回の定例外のセキュリティ情報を開設する特別版を、以下のサイトから本日午後までに配信予定です。http://technet.microsoft.com/ja-jp/dd251169.aspx なお、MS10-002は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0249)を含めて、計8件に対応しています。CVE-2010-0249は、Internet Explorer 5.01に影響ありませんが、対応した脆弱性の中には、Internet Exploere 5.01にも影響を与えるものがあるため、Internet Explorer 5.01 ~ Intenret Explorer 8までの各バージョン用の更新プログラムを配信しています。 今回は、定例外の更新プログラムの提供ですが、配信は通常の公開と同様に、ダウンロードセンター、Microsoft Update (Windows Update), 自動更新を通じて行っています。


Internet Explorerのセキュリティ更新の事前告知 (定例外)

小野寺です。 「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。 今回、リリースするセキュリティ情報、セキュリティ更新プログラムに関する詳細は、以下の事前告知サイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan-ans.mspx  


Internet Explorerのセキュリティ更新を定例外リリースします

小野寺です。 「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている、Internet Explorer 6が悪用された件ですが、セキュリティ更新プログラムを、定例外リリースします。 具体的な公開時期については、日本時間の明日に改めてお知らせしますので、しばらくお待ちください。また、引き続き、セキュリティ更新プログラムのリリースまでの間の緩和策の一つとして、Internet Explorer 8への移行を推奨しています。


Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)

小野寺です。 Internet Explorer 6の脆弱性が悪用されたことを確認し、それに伴い、現在サポートしているすべてのバージョンのInternet Explorerの調査を行っています。 調査の経過や対応については、セキュリティ アドバイザリ 979352 を通じてお知らせしていきます。  現在確認している攻撃は、Internet Explorer 6に対してのみで、いわゆる標的型攻撃に使われました。そのため、範囲は限定的ですが、現在調査を行っており、月例のセキュリティリリースまたは、定例外のリリースで本件に対応する予定です。 現時点の調査では、影響を受ける可能性があるのは、Internet Explorer 5.01 (Windows 2000) を除く、Internet Exploer 6以降のバージョンです。 実際に攻撃の確認されている Internet Explorer 6は、Windows 2000 または Windows XP上で動作している可能性があります。 Windows Vistaは、Internet Explorer 7が既定で動作しています。またWindows 7は、既定で Internet Explorer 8となります。Windows Vista 以降のOSでは、Interet Explorerは、保護モードといわれるアクセス権等が制限されたモードで動作するため、Windows 2000, XPよりも、攻撃を成功させることが困難になっています。また、Internet Explorer 8では、DEPにより不正なプログラムが強制停止させられる可能性が高くなることと、SmartScreen機能でマイクロソフトに報告された不正なサイトの表示をブロックすることが可能です。 現時点での回避策および影響を緩和する方法は、アドバイザリに詳細がありますが、こちらにも簡単に列記します。 DEP (データ実行防止機能) を有効にするDEPを有効にすることで、Internet Explorer上で不正なプログラムを未然に防ぐことができるようになります。 この機能は、Internet Explorer 6, 7 では既定では無効となっています。手動で有効にすることもできますが、Internet Explorer 8にアップグレードする事が最も簡単な方法です。また、Internet Explorer 8では、SmartScreen機能によりマイクロソフトに報告された不正なサイトや、マルウェアを配布するサイトの表示もブロックされます。手動でDEPを有効にする手順については、セキュリティ…


セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。


2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ…


無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

小野寺です。 昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム’Morro’)を提供するとアナウンスしておりました。既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。 Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。 Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。 対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。 マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。 日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。 このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。 しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。 司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。 ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

3