malware

Flame malware collision attack explained

Since our last MSRC blog post, we’ve received questions on the nature of the cryptographic attack we saw in the complex, targeted malware known as Flame. This blog summarizes what our research revealed and why we made the decision to release Security Advisory 2718704 on Sunday night PDT. In short, by default the attacker’s certificate would …

Flame malware collision attack explained Read More »

Microsoft certification authority signing certificates added to the Untrusted Certificate Store

Today, we released Security Advisory 2718704, notifying customers that unauthorized digital certificates have been found that chain up to a Microsoft sub-certification authority issued under the Microsoft Root Authority. With this blog post, we’d like to dig into more technical aspects of this situation, potential risks to your enterprise, and actions you can take to …

Microsoft certification authority signing certificates added to the Untrusted Certificate Store Read More »

Microsoft Digital Crimes Unit の活躍 – Zeus ボットネット の C & C サーバー押収へ

米  Microsoft  が、金融業界の各社と協力して、Zeus (Zbotとも呼ばれます) ボットネットの大部分を利用不能にすることに成功しました。ここ数日、ニュースなどでも取り上げられたので、ご存じの方もいらっしゃるかもしれませんね。 Zeusは、トロイの木馬型マルウェアで、感染すると個人情報や識別情報を盗用されたり、PCを乗っ取られる恐れがあるものです。特にオンライン バンキングや E  コマースサイトのアカウント情報の盗用を目的に 2007 年に誕生しました。 悪意のあるソフトウェア削除ツールも 2010 年に Zeus に対応しましたが、Zeus を簡単に作成できるツールキットがアンダーグラウンドで出回っていたことなどから、Zeus の被害はなかなか減少せず、感染が疑われるコンピューター は全世界で 1300 万台、損害総額は 5 億ドルにも上るということです。 今回、Microsoft  内で実際に調査、分析、捜査協力を行ったのは、Digital Crime Unit (DCU) という部署で、法律の専門家、調査員、技術解析者等から成るスペシャリスト集団です。DCU の存在は、Microsoft がサイバー犯罪撲滅に対して真剣に臨んでいることの証とも言えるかと思います。 DCU は、業界団体、政府、研究機関、法執行機関、NGO 等と協業し、あらゆるサイバー犯罪を撲滅するための活動を行っていますが、特にボットネット関連の攻撃については実績があり、過去、Waledac や Rustock といった大規模なボットネットのテイクダウンと容疑者逮捕に成功しています。 今回の Zeus ボットネットに関しては、DCU が金融業界団体、セキュリティ ベンダー、連邦保安官と協力してボットネットの管理に利用されていた C & C サーバーを押収し、多数のボットネットを停止させました。 組織の複雑さから完全なテイクダウンには至っていないものの、業界を越えた連携が成し遂げた素晴らしい成果だと言えるでしょう。 関連記事: Microsoftのオフィシャル ブログ : Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations …

Microsoft Digital Crimes Unit の活躍 – Zeus ボットネット の C & C サーバー押収へ Read More »

人を見たら泥棒と思え? メールが来たら迷惑メールと思え???

少し前の話ですが、某ソーシャル ネットワーク サービスのアカウント宛に、いわゆる「ともだちリクエスト」なるものが届きました。そのサービスは「本名を公開する」タイプのもので、リクエストの送り主は以前の会社で一緒に働いていた、元同僚でした。 すぐにリクエストを承諾しようと思ったのですが、仕事が忙しかったのでその場では承諾しませんでした。 翌日、別の元同僚で今でも親しくお付き合いしている友人から次のようなメールが届きました。 「○田◇男さんから、ともだちリクエストが来なかった? あれ、偽者だから、注意してね」 えっ、偽者? 一体何のために? 友人によると、その偽者は、私が以前働いていた会社の複数の人たちに「ともだちリクエスト」を送っていたようです。リクエストを受け取ったひとりがたまたま本者の○田◇男さんと食事に出かけ、それを話題にしたことであっけなく偽者の存在が明らかになったのでした。 同様の例はあちこちで発生しているようで、身近にも同じような体験をしている人が複数いることに驚きます。偽者たちの動機はさまざまなのでしょうが、どこかの誰かが自分の名前を勝手に騙って自分の友人知人とネット上でつながろうとしている、というのはそれだけで大変気持ちの悪いものです。   危ない、危ない。知っている人からのリクエスト、ということで大して疑いもしなかった私ですが、友人からの連絡がなければ、承諾してしまっていたかも知れません。素直に信じてしまうのは、自分の警戒心が薄いのか、騙すほうのテクニックが長けているのか(この場合、テクニックというほどのものではありませんが) ? いずれにせよ、次回からはこのようなリクエストが来ても、本人からのものであるという確証が持てるまでは承諾するのは控えようと思いました。   ともだちリクエストの話はさておき、最近、ウイルスを使った新しいフィッシング詐欺が出現し、数百万もの被害が発生しているようです。 先日IPAが注意喚起していましたが、このフィッシング詐欺は、 1) 大手銀行を装った文面で、ウイルスが添付されたメールが送られる 2) メールに従って添付ファイルを開くと、送金手続きに必要な契約者番号やパスワードを入力するように促す画面が現れる 3) 情報を入力して送信すると、外部サーバーに情報入力済み画面が画像データとして送られ、契約者番号、パスワード等を盗まれる というもので、従来のフィッシング手口のように、偽のウェブサイトに利用者を誘導するものとは違い、メールの添付ファイルそのものに情報を入力させるものです。が、手口は非常に単純です。なのに、なぜ引っ掛かってしまうのでしょう? 自分が契約している金融機関からのメール、ということで安易に信用してしまうのでしょうか。 いずれにせよ「自分の知人」「自分の契約している金融機関」という判断をした段階で警戒心をオフにしてしまうボタンが作動することは間違いないようです。 いつも「これって本物?」と考える警戒心を持たなくてはいけないのは、何とも寂しいことですが、必要なことですね。   ところで、昨日、アップル社のスティーブ ジョブス元CEOがこの世を去りました。 IT業界の生みの親のひとりであるジョブス氏の逝去に、私も深い悲しみを覚えています。 ジョブス氏は、ITで人々の可能性を広げ楽しく豊かな世界を築くことを目指していました。 それが実現されたことは、皆さんもご存じのとおりですが、彼がアップルを設立した30数年前、マルウェアやフィッシングが横行するような今日の世の中を予見していたでしょうか?  偉大なるリーダー亡き後も、創造力溢れ楽しく豊かなITの世界が続いていくように、私たちも IT 業界の片隅で「安全なコンピューティング環境」を守るために尽力していきたいと思います。 ありがとう、そして、さようなら、スティーブ ジョブス…

質問: ソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーは?答え: Internet Explorer 9

日本で Internet Explorer 9 の自動配信が開始されてから 1 か月が経過しました。Internet Explorer 9 はパフォーマンスの改善や使いやすさ、互換性など多くの優れた点がありますが、その利点の一つとして“信頼性”があります。先日、セキュリティ研究機関である NSS Labs から最新のブラウザー セキュリティ調査の分析結果が発表されました。今回はヨーロッパ地域で確認されている悪意のある URL サンプルを対象にした調査でしたが、Internet Explorer 9 がソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーであることが報告されています。 図 1 は、各 Web ブラウザーで悪意のある URL サンプルからソーシャル エンジニアリング型マルウェアをダウンロードしようとした際、どの程度 Web ブラウザー上でマルウェアのダウンロードをブロックできるかを示したもので、Internet Explorer 8 と Internet Explorer 9 はブロック率が非常に高いことが分かります。 図 1 – 出典: NSS Labs “Web Browser Security Socially-Engineered Malware Protection”) Internet Explorer 9 が Internet …

質問: ソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーは?答え: Internet Explorer 9 Read More »

Rustock の脅威との闘い ~官・民・学の連携で実現~

「Rustock の脅威との闘い – セキュリティ インテリジェンス レポート: スペシャル エディション」を公開しました。ルートキットタイプのバックドア型のトロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定データと分析結果を紹介したものです。 Rustock は、世界最大のスパムボットの 1 つと報告され、約 100 万台の感染したコンピューターを制御下に置いていたと推定され、毎日数十億通ものスパムメッセージを配信していました。(1 日に 300 億通ものスパムメッセージを発信したこともあります。) その内容は、マイクロソフトの宝くじ (そういったものはありません) に当選したかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、偽の処方薬 (性的な医薬品) の提供を持ちかけるといったものです。 マイクロソフトは、業界および学術研究者と協力して、2011 年 3 月 16 日に Rustock ボットネットの遮断に成功したことを発表しました。法的措置と技術的措置の両方により、アップストリームプロバイダーからの支援を受け、このボットネットを制御している IP アドレスを分断し、通信を遮断してボットネットを無効化することに成功しました。 以下のグラフは、2011 年の 1 月から 4 月までに Rustock ボットネットによって行われ、Microsoft Forefront Online Protection for Exchange (FOPE) によって検出されたスパム活動を、受信したメッセージの数と使用された一意の IP …

Rustock の脅威との闘い ~官・民・学の連携で実現~ Read More »

Security Wars: エピソード 2. 第 2: 匿名軍団 1-1 – オーダー 66 対 ボット指令 –

Security Wars を更新しました。 Security Wars Epsode 2: 第 2 匿名軍団 1-1. オーダー 66 対 ボット指令 http://technet.microsoft.com/ja-jp/security/ff595129.aspx クローン軍団にはジェダイの抹殺指令が組み込まれている。アナキンが、ドゥークー伯爵を倒し、怒りに任せて、ダークサイドに転落していくのと時を同じくして、パルパティーン議長 (後の皇帝) は、あらかじめクローン軍団に組み込まれているオーダー 66 を実行するにいたった。・・・・[続きを読む]

Security Wars: エピソード 2. 2-1 – 悪者の特定のための手間 –

Security Wars を更新しました。 Security Wars Epsode 2: 2-1. 悪者の特定のための手間 http://technet.microsoft.com/ja-jp/security/ff595129.aspx マスター・サイフォ=ディアスは、賞金稼ぎのジャンゴ・フェットの遺伝子をもとに、クローン戦士の製造を依頼した。クローンは、思考力を有するものの、独立心を排除され、成長が加速されて、10 年もすれば、一人前の戦士として育っていった。あたかも効率を高めるために幼少時代の半分を奪われていたも同然であった。クローン戦士には、個性も独立心も無かったのである。・・・・[続きを読む]

Security Wars: エピソード 2 – ボット大戦 – 匿名軍団の攻撃 –

小野寺です。 Security Wars エピソード 2が始まりました。 Security Wars: 1. 大衆インターネット社会の到来 http://technet.microsoft.com/ja-jp/ff404121.aspx 悪意あるハッカーによる攻撃に対して、インターネットのセキュリティが、技術やマネジメントの力を用いて防御するということによって保たれていた時には、バランスがいまだ保たれていたということがいえよう。 しかしながら、そのような古典的な力のバランスは、21世紀に至り、完全に崩壊するにいたった。スター・ウォーズにおける力のバランスの崩壊の象徴となるのが、クローン・トルーパーである。・・・・[続きを読む] Security Wars: 1-1. インターネット原理の崩壊 http://technet.microsoft.com/ja-jp/ff458625.aspx 絶頂にあった共和国も例外ではなかった。そびえ立つ巨木のごとく外的にはびくともしなかった共和国だが、実は内側から腐りはじめていた。外部から窺いしれぬかたちで存亡の危機を迎えていたのである “。[1] 古典的なインターネット社会は、特別の意味をもった「ネット市民 (ネチズン)」から構成されるのを理想像としていたように思われる。彼らは、ネットワークについてのリテラシーが高く、また、自分で自分を護ることができるし、共同体でまもるべきエチケット (ネチケット) についても精通している・・・・[続きを読む] [1]ジョージ・ルーカス著、石田享訳「スター・ウォーズ あらたなる希望」(竹書房、1997)   Security Wars: 1-2. 永遠のビギナー http://technet.microsoft.com/ja-jp/ff512474.aspx ジェダイは、戦いに赴くだけで失われた。彼らは酷使され、銀河全体に広く薄く配置されていた。(略) 戦いはフォースに闇をそそぎこむ。フォースが追う雲が次第に厚く、濃くなるにつれ、ジェダイの洞察力は効かなくなる[1] 大衆インターネット社会へのインターネットの転換は、インターネットにおけるセキュリティの問題についても、あらたな局面を追加するにいたった。・・・・[続きを読む] [1]ジョージ・ルーカス著、石田享訳「スター・ウォーズ あらたなる希望」(竹書房、1997) 

[続報3] MS10-015のマルウェア感染PC以外への配信再開

小野寺です。 本日より、32ビット版システムへのMS10-015の更新プログラムの配信を順次再開しています。64ビット版システムは、カーネル保護機能により影響がなかったため、すでに配信を再開済みなのは前回お伝えしたとおりです。再開に当たり、Alureonへの感染を含めて、カーネルに何らかの不正な変更が行われ、MS10-015の適用互換性が損なわれているかを確認したうえで、配信するようにしています。これにより、MS10-015の配信により、マルウェアに浸食されてしまっているPCが再度、ブルースクリーンとならない様にしています。 ちなみに、カーネルに何らかの非互換性が検出された場合には、Microosft Update で、以下の様なエラーが示されます。 WindowsUpdate_8007F0F4 (または 0x8007F0F4) WindowsUpdate_FFFFFFFF (または 0xFFFFFFFF) 加えて、以下のメッセージが表示されます。 Your computer might not be compatible with Microsoft Security Update MS10-015. Proceeding with installation of the update could prevent your system from starting successfully. For additional information please visit http://www.microsoft.com/security/updates/015. コンピューターはマイクロソフト セキュリティ更新プログラム MS10-015 と互換性がない可能性があります。更新プログラムのインストールを続行すると、コンピューターが正常に起動しなくなる可能性があります。追加情報は http://www.microsoft.com/japan/security/updates/015 をご覧ください。 このほか、事前に確認した場合は、FixIt の利用をお勧めします。以下のサポート技術情報から、FixItのアイコンをクリックすることで、確認ツールが起動します。http://support.microsoft.com/kb/980966 また、組織内で、複数のPCの確認を行いたい、感染の疑いのあるPCを洗い出したい場合は、上記サポート技術情報から入手できるコマンドラインツールのMpSysChk.exeを使用してください。このファイルは自己解凍のファイルで、検査ツールと、検査のためのバッチファイルのサンプルが付属しています。