Autorun

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

AutoPlay Windows 7 behavior backported

Back in April we talked about the Windows 7 improvements in AutoPlay that disables certain functionality which has been abused by malware (like Conficker). We also mentioned that these changes will be backported to down level platforms. On August 25th this functionality was made available for Windows XP, Windows Server 2003, Windows Vista and Windows …

AutoPlay Windows 7 behavior backported Read More »

自動実行(自動再生/AutoPlay/Autorun)の動作変更

小野寺です。  先日、セキュリティ アドバイザリ 967940を更新して、自動実行の動作を変更する更新プログラムの提供を開始したことをお知らせしました。 Windows 7からは、CD-ROMやDVDなどのメディア以外のUSBメディア (Mass storage device等) では、自動実行機能が働かないように動作仕様を変更しています。 この変更をWindows Vita, Windows XP, Windows Server 2003にも反映させるための更新プログラムをサポート技術情報 971029から提供しています。 この変更により、USBメモリ等による自動実行は行われなくなりますが、USBメモリでの自動実行を期待するソフトウェア入りのUSBメモリでは、手動でソフトウェアを実行する必要が出てくるかもしれません。また、USBを利用したWireness LANの自動設定機能なんかも影響をうけます。 この更新を利用する際には、互換性に十分、注意して適用する必要があります。 また、この更新は、あくまでも自動実行機能の動作を変更するためのもので、USBからのウイルス感染を防ぐものではありません。USBメモリを接続して、USBメモリ内の実行ファイル(ウイルス)をクリックして実行してしまえば、ウイルスに感染します。ウイルス対策ソフトも引き続き最新の状態で使うことを忘れずに

AutoRun changes in Windows 7

As some of our readers are well aware, Conficker and other malware is taking advantage of the AutoRun functionality as a spreading mechanism. Furthermore, over the last couple of months, there has been a significant increase of this threat, as more malware is abusing this functionality. Further information about this specific threat has been highlighted …

AutoRun changes in Windows 7 Read More »

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

小野寺です。 2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第6版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。 マイクロソフト セキュリティ インテリジェンス レポートhttp://www.microsoft.com/japan/sir/ さて、恒例?の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。 さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか? 日本も、マルウェアを配布してしまっている事が分かります。 これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。  この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。 この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

Conficker.C (Downadup)

小野寺です。 Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に!」等と刺激的な言葉を散見しますが、以前お知らせしたConfickerの対策を行っていれば、Conficker.Cの感染を防ぐ事は可能です。 ただ、感染してしまった場合は、従来のConficker以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染PCに持ち込まれる可能性があります。Confickerに関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ 以下に、Conficker.C の情報の日本語抄訳を転記しておきます。 —– 別名:TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) Conficker B++ (その他) 概要:Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。 脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステム サービスやセキュリティ製品などが無効にされます。 マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワーク パスワードを使用するよう推奨します。詳細情報は こちら をご覧ください。 現象システム設定の変更:マルウェアが存在する場合、次のようにシステムが変更される可能性があります: 次のサービスが無効になる、または実行しなくなります:Windows Update ServiceBackground Intelligent Transfer Service (BITS)Windows DefenderWindows Error Reporting Services 次のレジストリが変更されたことで、ネットワーク上で大量のコネクションを作成し、ログオンを試行します。そのため、アカウント ロックアウトが発生しやすくなる場合があります。HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters“TcpNumConnections” = “0x00FFFFFE” ユーザーは次の文字列が含まれている Web サイトまたはオンライン サービスに接続できなくなる場合があります。virus, spyware, malware, …

Conficker.C (Downadup) Read More »

自動再生 (Autorun) & Excel 0-day

小野寺です 本日、2つのセキュリティ アドバイザリを新たに公開しました。 アドバイザリ 968272 (Excel):  Microsoft Office Excel の脆弱性により、リモートでコードが実行される  http://www.microsoft.com/japan/technet/security/advisory/968272.mspx このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。 Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイル ブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。 アドバイザリ 968272 (Autorun):  Windows Autorun (自動実行) 用の更新プログラム  http://www.microsoft.com/japan/technet/security/advisory/967940.mspx このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリ キーを設定する必要があるのですが、レジストリ キーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。 今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。 なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。