EMET

EMET 5.2 is available (update)

Today, we’re releasing the Enhanced Mitigation Experience Toolkit (EMET) 5.2, which includes increased security protections to improve your security posture. You can download EMET 5.2 from microsoft.com/emet or directly from here. Following is the list of the main changes and improvements: Control Flow Guard: EMET’s native DLLs have been compiled with Control Flow Guard (CFG). …

EMET 5.2 is available (update) Read More »

脆弱性緩和ツール EMET 5.1 リリースしました

こんにちは、村木ゆりかです。   本日、脆弱性緩和ツール (Enhanced Mitigation Experience Toolkit, EMET) の新しいバージョン 5.1 を公開しました。 ツール、およびユーザーガイドは、こちらからダウンロードできます。 [12/12 追記] EMET 5.1 の日本語版ユーザーガイドを公開しました。ダウンロードはこちらからできます。 今回のバージョン 5.1 における主な変更点は: Internet Explorer, Adobe Reader, Adobe Flash そして、Mozilla Firefox に EMET の緩和策を適用時に発生していた互換性の問題の修正 いくつかの緩和策の向上およびバイパスへの対策 「Local Telemetry」機能の追加 この機能により緩和策が実行された際にメモリダンプを保存することが可能になりました。 すべての変更点は、サポート技術情報 3015976 に記載されています。   特に、Windows 7, Windows 8.1 のInternet Explorer 11 にて EMET 5.0 を利用している場合は、EAF+ の緩和策との互換性の問題が報告されていました。この問題は EMET 5.1 で修正されていますので、アップデートをすることをお勧めします。 ■ …

脆弱性緩和ツール EMET 5.1 リリースしました Read More »

EMET 5.1 is available

Today, we’re releasing the Enhanced Mitigation Experience Toolkit (EMET) 5.1 which will continue to improve your security posture by providing increased application compatibility and hardened mitigations. You can download EMET 5.1 from microsoft.com/emet or directly from here. Following is the list of the main changes and improvements: Several application compatibility issues with Internet Explorer, Adobe …

EMET 5.1 is available Read More »

Security Advisory 3010060 released

Today, we released Security Advisory 3010060 to provide additional protections regarding limited, targeted attacks directed at Microsoft Windows customers. A cyberattacker could cause remote code execution if someone is tricked into opening a maliciously-crafted PowerPoint document that contains an infected Object Linking and Embedding (OLE) file. As part of this Security Advisory, we have included an easy, …

Security Advisory 3010060 released Read More »

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問

こんにちは、村木ゆりかです。 マイクロソフトが無償で提供している脆弱性緩和ツール EMET について、はじめて EMET に触れる方向けに基本を解説している本連載、前回は EMET とは? そして EMET を利用するシナリオを説明しました。  第 2 回となる今回は、早速 EMET の実際の使い方を・・・と言いたいところですが、その前に、EMET のツールの位置づけや利用においての注意点について、よりご理解いただくために、よく寄せられる 10 の疑問についてお答えしたいと思います。   疑問 1: EMET って何て読むの? そもそもこのツールの名前、なんて呼ぶの? と戸惑う声が聞かれます。「エメット」と呼びます。   疑問 2: EMET はどの OS でも利用できるの? はい、サポート対象内の OS にてご利用いただけます。現在最新バージョンの EMET 5.0 では、Windows Vista Service Pack 2、Windows 7 Service Pack 1、Windows 8、Windows 8. 1、Windows Server 2003 Service Pack 2、Windows …

Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問 Read More »

Enhanced Mitigation Experience Toolkit (EMET) 基本解説 ~ 第 1 回 EMET とは

こんにちは、村木ゆりかです。 先日、脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET) の最新版である EMET 5.0 を公開しました。また、日本語のユーザーガイドも公開しましたので、ご覧下さい。 EMET は昨今セキュリティ情報でも緩和策として説明することもあり、目にしていただく機会も増えてきました。そもそも EMET ってなに?どうやって使うの?というご質問を多くいただきます。 そこで、数回に分けて、EMET の基本について解説していきたいと思います。   ■EMET の入手先 EMET は、マイクロソフトが無償で提供しているセキュリティ ツールです。とりあえずツールを入手して触ってみたい!という方は、以下から入手してください。  セキュリティ TechCenter Enhanced Mitigation Experience Toolkit (URL: http://technet.microsoft.com/ja-jp/security/jj653751)  現在の最新版は、EMET 5.0 です。EMET 5.0 をダウンロードする (英語情報) からダウンロードください。   ■Enhanced Mitigation Experience Toolkit (EMET) とは? EMET は、ひとことでいうと、「システムやアプリケーションに対して、攻撃を緩和する機能を有効にすることで、脆弱性の悪用を防ぐ」ためのツールです。   攻撃者が、被害者の端末で何か悪事を働こうとする場合、被害者の端末にあるソフトウェアの脆弱性 (プログラム上にあるセキュリティの問題点) を悪用します。 たとえば、「細工された Word 文書ファイルを開くと、Microsoft Word …

Enhanced Mitigation Experience Toolkit (EMET) 基本解説 ~ 第 1 回 EMET とは Read More »

EMET 5.0 公開しました

  こんにちは、村木ゆりかです。   Enhanced Mitigation Experience Tool (EMET) の最新版 5.0 を 7 月 31 日 (米国時間) にリリースしました。ツールのダウンロードはこちらからできます。   なお、今回も、ユーザー ガイドを公開しております。日本語版は翻訳が完了しだい、こちらのブログでお知らせしますので、今しばらくお待ちください。  [8月20日 追記] EMET 5.0 ユーザーガイド日本語版を公開しました。   EMET 5.0 では、プレビュー版にも含まれていた新しい緩和策 Attack Surface Reduction (ASR) , Export Address Table Filtering Plus (EAF + ) が含まれています。また、64 ビットの ROP、より強化した証明書のチェック、などの進化もあります。管理の観点からも EMET をサービス追加、アプリケーション互換性の問題の改善などを行っています。これらの新機能については、また後日ブログでご紹介していく予定です。   ■参考 Security Research and Defense Blog http://blogs.technet.com/b/srd/archive/2014/07/31/announcing-emet-v5.aspx …

EMET 5.0 公開しました Read More »

General Availability for Enhanced Mitigation Experience Toolkit (EMET) 5.0

Today, we are excited to announce the general availability of Enhanced Mitigation Experience Toolkit (EMET) 5.0. EMET is a free tool, designed to help customers with their defense in depth strategies against cyberattacks, by helping block and terminate the most common techniques adversaries might use in comprising systems. EMET 5.0 further helps to protect with …

General Availability for Enhanced Mitigation Experience Toolkit (EMET) 5.0 Read More »

攻撃コードのトレンド(Exploitation Trend)~セキュリティ インテリジェンスレポート第16版から~

5月に公表された「マイクロソフト セキュリティ インテリジェンスレポート第16版」の特集記事、「攻撃コードのトレンド(Exploitation Trend)」を紹介します。 マイクロソフト セキュリティ インテリジェンスレポート(以下、SIR)は、半期に一度マイクロソフトが公開しているセキュリティに関する分析レポートで、ソフトウェアの脆弱性、攻撃コード(Exploit)、マルウエア、フィッシング、悪性のWebサイト等に関する分析を中心としたものです。今回公表された第16版では、2013年下半期(2013年7月―12月)を対象としています。SIRでは、特集記事として話題性の高いテーマを取り上げており、これまでボットネットへの取組み、クラウドのセキュリティ、オンライン広告を使ったサイバー犯罪などを取り上げてきました。今回は、紹介する「攻撃コードのトレンド」も、第16版の特集記事として掲載されている内容です。 SIRは主要なレポートだけでも約140ページの分厚い資料ですが、興味深い内容も多いので、ぜひオリジナルのレポートをご覧いただければと思います。 セキュリティ インテリジェンスレポートhttp://www.microsoft.com/ja-jp/security/resources/sir.aspx Security Intelligence Reporthttp://www.microsoft.com/security/sir/default.aspx 攻撃コードのトレンド ~潜在的なリスクから現実の脅威へ~ ゼロデイ攻撃が話題になる機会が増えていますが、ゼロデイ攻撃を含め、攻撃コードやマルウエア対策を進めるためには、現状を出来るだけ正確に理解する必要があります。本特集記事では、脆弱性と脆弱性に対する攻撃の推移に着目し、脆弱性悪用の技術的な傾向と、流通状況等の分析を行っています。 脆弱性の悪用に関する状況 最初に脆弱性に対する攻撃コードが確認された割合の分析です。Figure.1は、リモートコード実行可能な脆弱性のうち、実際に攻撃コードが確認された脆弱性の割合を表したグラフです。最も危険で悪用が容易な脆弱性にも関わらず、2013年はわずかに10%の脆弱性だけが悪用されるにとどまりました。現在の攻撃コード開発者は、脆弱性情報や攻撃コードを販売し、これを購入した攻撃者が、マルウエア感染を通じた不法行為通により収益を上げるというエコシステムになっています。このため、攻撃コードの開発に見合った収益が見込めない場合は、その脆弱性は攻撃コード開発の対象とならない傾向にあります。Figure.1は、この傾向がよく表れています。 攻撃コードが確認されたタイミング Figure.2は、リモートコード実行可能な脆弱性に対する、最初の攻撃コードが確認された時期を分析したものです。2011年から、このカテゴリのゼロデイ攻撃は減少していますが、あわせて脆弱性の総数が減少しています。このため、相対的にゼロデイ攻撃の割合が増えており、2013年には公表された脆弱性の大半を占めるようになりました。この変化は、セキュアコーディングの普及により、新たにリモートコード実行可能な脆弱性を見つけることが難しくなったことが背景になっています。脆弱性の発見が難しくなったことで脆弱性の総数が減少し、その結果として未公開の攻撃コードの価値が高まったと考えられます。攻撃コードの開発者は、収益を最大化するため、脆弱性対策が公表され、セキュリティソフトが検知するようになるまでは、極めて限定的な相手(顧客など)を対象に取引をするようになっており、これがゼロデイ攻撃の割合が増えた要因となっています。ゼロデイとは対照的に、公開後30日を超えてから、最初の攻撃コードが出現するケースは減少しています。これは、一カ月以内に脆弱性の対処が行われるコンピューターの割合が増え、古い脆弱性を悪用した攻撃が成功する可能性が減少しているためだと考えられます。   悪用された脆弱性カテゴリ(root cause)の傾向 Figure.3では、悪用されたマイクロソフト製品のリモートコード実行可能な脆弱性の脆弱性カテゴリ(root cause)に関する分析です。 まず目につくのが、Stack Overflowに代表されるスタックに関する脆弱性の減少です。2007年には、54.2%を占めていましたが、2013年には5%まで減少しています。これは、コンパイラ(Visual Studio等)の対策が進展したことより、/GSやSafeSEH等の緩和策が機能していることや、開発時の静的な分析ツール(コード解析ツール)の精度の向上が貢献していると考えられます。スタックに関する脆弱性の減少に合わせるように、Useafter-free脆弱性の悪用が増加しています。Drive-by-Download等の手法が一般化したことで、クライアントが主要な標的になりました。Userafter-freeは、クライアント側で稼働するアプリケーションによく見られる脆弱性である事から、攻撃コード開発の主要なターゲットなってきたものと考えられます。なお、Stuxnetで悪用された、DLLロードの脆弱性は、2009年から2012年にかけては悪用が確認されていますが、2013年では悪用が確認されませんでした。   DEP(Data Execution Prevention)と、ASLR(Address Space Layout Randomization)は、脆弱性の悪用方法に大きな影響を与えています。Figure.4は、マイクロソフト製品に対する攻撃手法を分析したもので、DEPとASLRを回避する新たな手法を見つける事が、攻撃者の焦点となっていることがうかがえます。DEPを回避するための手法としてROP(Return Oriented Program)が主要な手法となっていますが、ROPを成功させるためにはASLRを回避する必要があります。このため、ROPとASLRを回避する新たな手段が研究の焦点となっています。ASLRの回避には、ASLRが利用されていないイメージを使うか、アドレス情報が取得可能な脆弱性が利用される場合が大半を占めています。なお、DEPとASLRに加えて、最新のInternet ExplorerとEMETの利用率の向上は、実効性のある攻撃コードの開発を困難なものにしています。   誰が攻撃コードを使うのか 脆弱性が明らかになる経緯は様々です。攻撃コードが犯罪者の手に渡る様子を、2012年1月から2014年2月に攻撃コードが発見された、16の脆弱性について分析をしました。最初に攻撃コードが明らかになった経緯を分析すると、標的型攻撃9件、攻撃フレームワーク3件、トレーダー(販売業者)2件、セキュリティ研究者2件でした。これらの攻撃のうち8件は、後に攻撃フレームワークに取り込まれ、8件のうち2件は犯罪者向けの攻撃キットに取り込まれました。少ないサンプル数ではありますが、攻撃コードは標的型攻撃で使用され、このうちの一部が数か月後を経て広範囲に影響を与える犯罪者向けの攻撃キットに取り込まれています。このことは、セキュリティ更新プログラムを迅速に適用することが、攻撃コードによる攻撃をリスクを避ける上で有効な対策であることを裏付けています。   攻撃コードの開発者は、限定的な取引ばかりでなく、商用の攻撃キットを通じて収益を上げています。誰でもハッカーフォーラムなどで、攻撃キットの購入やレンタルすることで、容易に攻撃者となることが可能です。典型的なキットではFigure.6のように、Webブラウザやアドオンの脆弱性に対する攻撃コードが用意されています。これを攻撃者が自ら用意したサイトや侵入して改竄したWebサーバーに仕掛けます。そして適切な対策を取っていないユーザーが閲覧すると、Drive by Download攻撃によりマルウエアに感染することになります。このような商用の攻撃キットの存在は、遅くとも2006年には確認されていますが、使いこなすためには専門的な知識が必要でした。2010年に登場したBlackholeと呼ばれる攻撃キットは、専門的な知識がなくても使いやすいように設計されており、お金を払えばだれでもサイバー犯罪ができるようになりました。サイバー犯罪で大きな収益を得る例も報告されており、たとえばランサムウエアの一種Revetonを使った犯罪者グループは、攻撃キットを使ってRevetonを感染させ、2012年には$50,000/日の収益を上げていたと言われています。  悪用される製品の推移 初期の攻撃キットは、様々な製品に対する攻撃コードが用意されていましたが、徐々にAdobe Flash/Reader, Microsoft Windows / Internet Explorer, Oracle Java等の主要な製品に絞り込まれるようになりました。最近では、特にJava Runtime …

攻撃コードのトレンド(Exploitation Trend)~セキュリティ インテリジェンスレポート第16版から~ Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983(MS14-021)によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。   ゆりか先生のセキュリティひとくち講座:第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx   今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。   脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム(以下、更新プログラム)の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日(米国時間)に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日(米国時間)の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。   この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。 主要な脆弱性のハンドリング(取扱い)には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。 これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。 この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく(少々楽しく)述べられており、日本のセキュリティチームBlogでも概要を紹介しています。  Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx  「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »