Bot

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

小野寺です。 昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム’Morro’)を提供するとアナウンスしておりました。既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。 Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。 Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。 対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。 マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。 日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。 このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。 しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。 司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。 ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

2009年6月のセキュリティ情報

小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-018 (Active Directory):特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。 MS09-019 (Internet Explorer):幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。 MS09-020 (IIS):特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。 MS09-021 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。 しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。 MS09-022 (Spooler):特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。 MS09-023 (Windows Search):特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。 MS09-024 …

2009年6月のセキュリティ情報 Read More »

Internet Explorerのセキュリティ更新プログラム提供開始

小野寺です。 先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。Microsoft Update または 自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。  http://update.microsoft.com/microsoftupdate/ 今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。  MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)  http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx   絵で見る MS08-078 : Internet Explorer の重要な更新  http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx 今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。 また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

Internet Explorerの更新の事前通知

小野寺です。 先日から、セキュリティ アドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。 マイクロソフト セキュリティ情報の事前通知 – 2008 年 12 月 (定例外)http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx 本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。通常の Windows XP 向け更新プログラムになります。 セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。  

ワームとMS08-067

小野寺です。 報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。 ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。 対処としては、基本的に以下の流れになります。 MS08-067の適用 駆除 (http://safety.live.com) ファイアウォールの設定見直しなります。 しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。 詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A 別名 (Also Known As): TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) W32.Downadup (シマンテック) 概要 (Summary):ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。 現象 (Symptoms): この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。 技術的な情報(Technical Information):Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。 感染方法:このワームは Windows の実行可能ファイル ‘services.exe’ を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステム …

ワームとMS08-067 Read More »

セキュリティに関する 10 の鉄則

小野寺です。先日、実在する弊社担当者名を使った英文の詐欺メールが出回りましたが、その担当者 Scott Culpは、非常に初期のころから、Microsoftのセキュリティ対応に取り組んでいた人の一人です。その彼が、書いたコラムをに、「セキュリティに関する 10 の鉄則」と「セキュリティ管理に関する 10 の鉄則」があります。今でも、十分に通用するというか、今だからこそ実感がわくというか・・・ 仕事で煮詰まった時(別に普通の問いでもOKです)にでも、一度読んでみると面白いと思います。各鉄則だけ、Blogで紹介しておきます。 個人的には、「セキュリティに関する 10 の鉄則」の鉄則1は、多くの方に再認識いただきたいと感じてしまします。「セキュリティに関する 10 の鉄則」http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true  鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない  鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない  鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない  鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない  鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである  鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている  鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている  鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である  鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない  鉄則 10: テクノロジは万能ではない  「セキュリティ管理に関する 10 の鉄則」http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true …

セキュリティに関する 10 の鉄則 Read More »

マルウェア対策研究人材育成ワークショップ 2008

小野寺です 先週 2008/10/08 ~ 2008/10/10 の3日間開催された、「マルウェア対策研究人材育成ワークショップ 2008 (MWS 2008) 」に参加してきました。 http://css2008.la.coocan.jp/mws2008/ http://css2008.la.coocan.jp/mws2008/aboutMWS.html (MWS の目的など) サイバークリーンセンター (http://www.ccc.go.jp) で採取しているボットの観測データの一部を「研究用データセット」として使用した分析・検討が行われました。研究所や大学からの発表だけではなく、実務的な現場からの発表もあり、はたまた沖縄の山の中で何かを攻めてみたり(これはMWSと関係はない)など充実した3日間でした。実施に扱われたテーマについては、プログラムを見てください。  http://css2008.la.coocan.jp/mws2008/program.html そして、私の参加したパネルでも議題に上りましたが、Microsoftを含めていわゆる対策ベンダーや通信事業者にとっては、検体や実データを得る事は可能な事ですが、研究者の方にとっては、困難な場合も多く研究を困難なものとしているなどの声もありました。またデータを得たとしても、全ての人が同じデータを参照する機会というのは、皆無に近く、共通の同じデータに対して多くの視点から考察が実現された今回のワークショップは、私にとっても意義深いものでした。 今後も、この様な形でワークショップが継続され、より多くの産業界と学術界が交わる事で、具体的に実世界に適用できるソリューションが数多く生み出されるよいサイクルが作られるといいな~と思っています。 従来の様なテクニカル・カンファレンスも重要で面白いですが、この様な形での知識の形成もよいものです。次回は、もっと多くの企業やセキュリティコミュニティーのメンバーが参加してくる事を期待してます。

Microsoft Updateと再起動とネットワーク

小野寺です。 株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。  http://www.iij.ad.jp/development/iir/ ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。 攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗?)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。 その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。 IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

日本は安全か? – Security intelligence Report Vol4

小野寺です。 突然ですが、日本は安全な国なんでしょうか? もちろんIT的な意味でです。 感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。 そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。 意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。 白は、データ不足の地域です。 具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。 そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。 もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。) しかし、この日本の1/685台が「安全!」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。 話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。 最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。 また、検出を難しくする要因になっていたりもします。 文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。 そして、アプリケーションの更新も忘れないようにしないといけません。 極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。 もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。  では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。 一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが 、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。 しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。 …

日本は安全か? – Security intelligence Report Vol4 Read More »

2008年6月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 7 件 (緊急3件, 重要 3件、警告1件)を公開しました。また、MS06-078 と MS07-068 を改定しています。 では、内容を見ていきます。 MS08-030 (Bluetooth): 今回初となる Bluetooth(ブルートゥース)に関する脆弱性です。Bluetoothは、ご存じの通り無線接続方式の一つですが、その通信スタックに脆弱性が発見されたものですが。ReqSD (service description request) を大量に送られることで、結果としてコードが実行される可能性があります。 Bluetoothが有効になっている環境では、可能な限り早めに当てておきたいですね。 とはいえ、10m ~ 100m 以内に攻撃者 (または攻撃用マルウェアに感染した PC) が存在する必要がありますので、屋外で攻撃を受けるケースよりも、社内やPC持ち込み可能な喫茶店等のある程度の人口密集度がある場所が危ないのかもしれませんね。 MS08-031 (IE): 2つの脆弱性に対応していますが、一方の CVE-2008-1544 (要求ヘッダーのクロス ドメインの情報漏えいの脆弱性) が一般に公開され CVE-2008-2243 としても知られていますが、これを書いている時点では具体的な悪用の事例は確認していません。 MS08-032 (Kill Bit): Speech API に関するコントロールを Kill Bitしています。”Vista Speach Recognition “として、セキュリティコミュニティーで知られていましたが、悪用の報告例はありません。また、あわせてサードパティー製品をについても、1件 Kill bit しています。また、この脆弱性については悪用方法が、ユニークでその為に非常に困難になっています。 MS08-034 (WINS): WINS を運用している企業では、可能な限り早期の適用をお勧めします。「重要」としていますが、不正なパケットをWINSが受信することで攻撃が成立する可能性があります。WINSですので、LAN内からの悪用が最も懸念されると思いますが、LAN利用者が完全に信用できる場合は、適用時期を考慮する余地もあります。とはいえ、社内に侵入した攻撃者やマルウェアがより高い権限を得るために、悪用を試みる可能性もあるので早いに越したことはありません。なにより、WINSが動いているサーバは、AD/DC …

2008年6月のセキュリティリリース Read More »