malware

[続報] MS10-015で再起動やブルースクリーンが発生する件について

小野寺です。先週掲載した「MS10-015で再起動やブルースクリーンが発生する件について」の続報です。一部のお客様でMS10-015を適用後に再起動やブルースクリーンが発生する報告があり、引き続き調査を進めています。これまでの調査では、システム上のマルウェアがこの動作を引き起こすことが分かっています。その他の原因等の詳細については、調査中ですが、追ってこのブログでも報告します。このブルースクリーンの問題がマルウェアの挙動に関連している可能性もありますので、引き続き「コンピューターを守るための 4 つのステップ」に従って、コンピューターを保護されることをお勧めします。マルウェア対策ソフトを導入されていない方は、マルウェア対策ソフト、Microsoft Security Essentials を無償で提供中です。なお、類似した現象が発生した場合や、セキュリティ更新プログラム関連でサポートが必要な場合は、セキュリティ情報センターのサイトをご覧ください。 [2010/2/19 追記]続報があります:[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因 [2010/3/4 追記]続報があります:[続報3] MS10-015のマルウェア感染PC以外への配信再開

今ここにある危険~オンラインの安全のために~

小野寺です。 最近、オンライン上での色々な危険が改めて認識され始めています。セキュリティに携わる方々やIT プロフェッショナル、開発者の多くにとっては、いまさら感のある話かもしれません。しかし、まだまだ、現実社会のように危険がオンライン上でもあり、その危険に対する正しい対処方法を知らない利用者の方もいます。 適切な知識とテクノロジーの選択により、よりオンライン環境を安全に楽しむためのお手伝いを3月1日から始めます。詳細は、以下のサイトに少しずつ公開していきますので、お楽しみにhttp://www.microsoft.com/japan/protect/sop/start.mspx

偽セキュリティソフトを振り返る

小野寺です。 ちょうど、「偽セキュリティソフト被害は1億5000万ドル超、FBIが注意喚起」という記事に目がとまりました。2008年の11月頃から”悪意のあるソフトウェアの削除ツール (MSRT)” で、いわゆる偽セキュリティソフト (詐欺的なセキュリティソフトウェア)の中でも特に被害の大きなものに対応してきました。 少し前に、MMPC (Microsoft Malware Protection Center) Blogで、「Fake Security Software All Up」という記事が公開され、偽セキュリティソフトの一覧が掲載されています。その一覧を抜粋したものが以下となります。MSRTでは削除していないものも相当数あるわけです。”偽”ではない、ウイルス対策ソフトを導入していれば良いのですが、少なくとも、セキュリティ センター (Windows Vista, XP)やアクション センター (Windows 7)で、セキュリティの警告が出ている人は、偽セキュリティソフトを導入してしまっているか、最新の状態になっていないかのどちらかを疑った方がいいでしょう。そういう方は、Microsoft Security Essentials (MSE) という常駐型のウイルス対策ソフトを無償で配布していますので、とりあえずインストールしてスキャンしてみてください。  FakeXPA FakePowav MalwareBurn UnSpyPc DriveCleaner DocrorTrojan Winfixer FakeScanti Cleanator MalwareCrush PrivacyChampion SystemLiveProtect Yektel FakeSmoke Spyguarder AntivirusGold SystemGuard2009 WorldAntiSpy SpywareSecure IEDefender MalWarrior Malwareprotector SpywareSoftStop AntiSpyZone Antivirus2008 PrivacyCenter SpyLocked Trojanguarder MyBetterPC NeoSpace Winwebsec …

偽セキュリティソフトを振り返る Read More »

ブラックスクリーン問題とWindows Update

小野寺です。 幾つかの報道等々で、11月に公開したWindows Update後に、以前取り上げたような、ブラックスクリーン状態(黒い画面で停止)となるという報告があります。本件について、調査いたしましたが、報告のような現象は確認することはできませんでした。 報道の元となったレポートにおいて研究者は、以下のレジストリキーのアクセス権を11月のセキュリティ更新プログラムで変更したために、ブラックスクリーンが発生すると指摘していました。  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell  この件について、指摘されているセキュリティ更新プログラムに加えて、11月に配信した悪意のあるソフトウェア削除ツール (MSRT) や他のセキュリティ以外の更新プログラムについて再度精査しました。結果、レジストリのアクセス権の変更を行っていない事が改めて確認できました。そのため、指摘のあったブラックスクリーン状態は、11月の更新プログラムによるものではないと考えています。また、この件について、日本を含む世界各国のサポート窓口の、問い合わせ状況も確認しましたが、報告されている事象に関連する問い合わせは確認できませんでした。 このブラックスクリーン状態が、先日のDaonolの件の様に、マルウェアの挙動と関連している可能性はありますので、以下の点を再度確認しておきたいところです。 Microsoft Upateを使用したMicrosoft製品の最新状態への更新 マルウェア対策 (対策していない方に、マルウェア対策ソフト、Microsoft Security Essentials を無償で提供中) 他社アプリケーションへのセキュリティ更新の適用 最新のブラウザーの使用 今回のような報告が、誤って出てしまったことは残念ですが、被害を受ける前に上記の点は、繰り返しになりますが強く推奨させていただきます。

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

小野寺です。 2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティ インテリジェンス レポート (SIR) 第7版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。 研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。 マイクロソフト セキュリティ インテリジェンス レポート v7http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd さて、今回も感染率で色分けした、世界地図から確認してみます。今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。 単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。 最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

黒い画面にマウスカーソル (Win32/Daonol)

小野寺です。 再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・そんな現象が報告されています。色々と調べてみると、Win32/Daonol の最近の亜種にWindows XPが感染すると発生するようです (Windows Vista、Windows 7 では起こりません)。Daonolの不具合?なのか、OS の起動シーケンス中に、無限に処理待ちを起こしてしまうことがあるようで、Daonolが起動中に読み込まれないようにすると、解消されます。 さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。 Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが、少なくとも、Microsoft Updateですべての更新プログラムを適用して、使用している他社のアプリケーションも最新の状態にしておけば感染しなかったのですが、アプリケーションの更新に注意を払うということは、まだ十分に根づいていないのかもしれません。 今後も、この手の手法は頻繁に使われるでしょう。そのためにも、以下の点を再確認したいところです。 Microsoft Update のすべての更新を適用するセキュリティ上は、最新のサービスパックと、セキュリティ更新プログラムの適用のみで十分ですが、他の安定性向上のための各種更新も適用することをお勧めします。利用の手順は、http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx に掲載しています。 信頼できる、最新の状態のマルウェア対策ソフトを使用するまだ、マルウェア対策ソフトを導入していない場合は、すぐに販売店等で信頼できるものを入手して欲しい。 または、無償で提供している Microsoft Security Essentials の導入を検討することをお勧めします。企業では、Forefront の利用をお勧めしています。 他社のアプリケーションを常に最新の状態にする他社のアプリケーションにも、脆弱性はあります。 しかし、この事を十分に認識して、対策を行っている利用者はまだまだ十分な数ではないと感じています。アプリケーションを導入する際には、自動的に更新機能が有るかを確認する、またはユーザー登録などを通じて重要な通知を受け取れるようにしておくことをお勧めします。参考: http://www.microsoft.com/japan/protect/yourself/downloads/applupdate.mspx  さて、冒頭で紹介した、Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32] “midi9″=”C:\\WINDOWS\\<random>.tmp <random>“ PCが2台以上あれば、感染したHDDを正常な PC に接続してウイルス対策ソフトでHDD全体をフルスキャンする方法もありますが、やはりPCに十分に慣れた方以外には難しい作業だと思います。近隣に詳しい方がいれば、助けを求めて今後感染しないように設定してもらう方法も取れると思いますが、そのような方がいない場合は、各種サービス事業者やサポートに相談するのが良いかもしれません。

Microsoft Security Essentials FAQ風まとめ

小野寺です。  Microsoft Security Essentials (MSE)を公開してから、このBlogにも多数のコメントを頂きました。その中で、いくつかあった疑問・質問をここにFAQ風にまとめてみます。 Q Microsoft Security Essentialsをインストールするべきですか?A ウイルス対策ソフトを使っていない、最新の(状態の)ウイルス対策ソフトでは無い場合はインストールする事を強よ~くお勧めします。 Q 今、ウイルス対策ソフトを使っています。切り替えるべきですか?A 使っているウイルス対策ソフトが、最新(の状態)であれば、切り替える必要はありません。しかしながら、セキュリティセンターやアクションセンターから「対策ソフトが入っていない」旨のメッセージが出ている場合は、偽ウイルス対策ソフトを導入してしまっている可能性もあります。その場合は、Microsoft Security Essentialsを試してみることも検討してください。 Q Windows Defenderとの違いはなんですか?A Windows Defenderは、スパイウェアと呼ばれる特定の脅威にのみ対応します。Microsoft Security Essentialsは、スパイウエアはもちろんですが、ウイルス等を含めた脅威全般に対応するため、Windows Defenderの機能を包含しています。 Q Microsoft Security Essentialsを利用していれば、Windows Defenderは不要ですか?A はい。Windows Vista, Windows 7には、Windows Defenderが標準で組み込まれています。これらの環境では、Microsoft Security Essentialsをインストールすることで、Windows Defenderが自動的に無効となります。 Windows XPについては、Windows Defenderをアンインストールする事をお勧めします。 Q Microsoft Security Essentialsは、Windows XP でなぜ1GBものメモリを必要とするのですか?A Microsoft Security EssentialsをWindows XPで動作させる場合に必要なメモリは、256MBとなります。近日中に1GBと記載されているサイトを更新予定ですしました。 Q Window XP 64bit用のMicrosoft Security Essentialsはありますか?A …

Microsoft Security Essentials FAQ風まとめ Read More »

無料のマルウェア(ウイルス)対策ソフト

小野寺です。 すでに一部で報道されておりますが、本日からMicrosoft製の無料のマルウェア(ウイルス、ワーム等)対策ソフトの提供を始めました。以前に、Morro の開発コード名で公表し、Microsoft Security Essentials (MSE, マイクロソフト セキュリティ エッセンシャルズ) と命名しました。以下のサイトから、ダウンロードして使用することができます。   http://www.microsoft.com/security_essentials/?mkt=ja-jp  MSEは、基本的なマルウェア対策に機能を絞ってはいますが、マルウェア対策の機能は一切限定していません。いわゆる常駐監視型で、マルウェアの定義情報(パターンファイル)も、企業向けの対策製品であるForefrontと同様にフルセットの定義情報が提供されます。セキュリティ インテリジェンス レポート (SIR) でも、ここ数回は世界で最も感染率の低い国との結果が出ていますが、最近の詐欺ウイルス対策ソフトや、脆弱なアプリケーションを通じた感染等、さまざまな要因で若干ですが、感染率が上昇傾向にあります。 このMicrosoft Security Essentialsによって、今までマルウェア対策ソフトの導入をためらっていた人や、期限切れの更新されていない対策ソフトを使い続けてしまっている人に、まず導入していただいて少しでも感染率を下げていきたいと思っています。 日本は、あまりにも感染率が低くて、犯罪者も狙わない国になれば最高なんですけどね。 ちなみに、MSE が使用できるOS環境は、 以下の通りです。 Windows XP (Service Pack 2, Service Pack 3) Windows Vista (初期出荷版:RTM, Service Pack 1, Service Pack 2) Windows 7 一応、XP のService Pack 2 や、Vista のRTM, Service Pack 1にも導入可能ですが、セキュリティ更新プログラムの適用を考えると、最新のサービスパックをMSEを導入するついでに、ぜひインストールしてください。サービスパックやOSのバージョンが上がるにつれ、感染率が劇的に下がっていくこともデータに現れており、マルウェア対策のための重要な要素となっています。 導入や使いかたについては、Microsoft answers が役立つかもしれません。

自動実行(自動再生/AutoPlay/Autorun)の動作変更

小野寺です。  先日、セキュリティ アドバイザリ 967940を更新して、自動実行の動作を変更する更新プログラムの提供を開始したことをお知らせしました。 Windows 7からは、CD-ROMやDVDなどのメディア以外のUSBメディア (Mass storage device等) では、自動実行機能が働かないように動作仕様を変更しています。 この変更をWindows Vita, Windows XP, Windows Server 2003にも反映させるための更新プログラムをサポート技術情報 971029から提供しています。 この変更により、USBメモリ等による自動実行は行われなくなりますが、USBメモリでの自動実行を期待するソフトウェア入りのUSBメモリでは、手動でソフトウェアを実行する必要が出てくるかもしれません。また、USBを利用したWireness LANの自動設定機能なんかも影響をうけます。 この更新を利用する際には、互換性に十分、注意して適用する必要があります。 また、この更新は、あくまでも自動実行機能の動作を変更するためのもので、USBからのウイルス感染を防ぐものではありません。USBメモリを接続して、USBメモリ内の実行ファイル(ウイルス)をクリックして実行してしまえば、ウイルスに感染します。ウイルス対策ソフトも引き続き最新の状態で使うことを忘れずに

2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ …

2009年7月のセキュリティ情報 Read More »