malware

Conficker.C (Downadup)

小野寺です。 Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に!」等と刺激的な言葉を散見しますが、以前お知らせしたConfickerの対策を行っていれば、Conficker.Cの感染を防ぐ事は可能です。 ただ、感染してしまった場合は、従来のConficker以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染PCに持ち込まれる可能性があります。Confickerに関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ 以下に、Conficker.C の情報の日本語抄訳を転記しておきます。 —– 別名:TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) Conficker B++ (その他) 概要:Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。 脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステム サービスやセキュリティ製品などが無効にされます。 マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワーク パスワードを使用するよう推奨します。詳細情報は こちら をご覧ください。 現象システム設定の変更:マルウェアが存在する場合、次のようにシステムが変更される可能性があります: 次のサービスが無効になる、または実行しなくなります:Windows Update ServiceBackground Intelligent Transfer Service (BITS)Windows DefenderWindows Error Reporting Services 次のレジストリが変更されたことで、ネットワーク上で大量のコネクションを作成し、ログオンを試行します。そのため、アカウント ロックアウトが発生しやすくなる場合があります。HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters“TcpNumConnections” = “0x00FFFFFE” ユーザーは次の文字列が含まれている Web サイトまたはオンライン サービスに接続できなくなる場合があります。virus, spyware, malware, …

Conficker.C (Downadup) Read More »

2009年2月のセキュリティ情報

小野寺です 2009年2月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 4 件 (緊急 2 件、重要 2 件)となります。また、新規に、Internet ExplorerのKillbit設定に関するセキュリティ アドバイザリを公開しています。セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-002 (IE):特別な細工が施されたWeb ページを表示すると、リモートでコードが実行される可能性があります。現時点では、脆弱性の詳細は公開されていませんが、最近の流れから早々に解析し、悪用コードとして公開される可能性が考えられます。また、悪用コードが作られた場合、脆弱性悪用指標でもお伝えしているとおり、比較的安定した悪用コードになる可能性が高いと予測しています。 最近のマルウェアの拡散手法としてWeb経由が多いと考えられています、この更新だけではありませんが、早々に適用する事を強くお勧めします。 MS09-003 (Exchange):特別に細工されたメールまたは、通信により、リモートでコードが実行される可能性があります。電子メールでの悪用となると、通常では悪用が行いやすい傾向にあると言えますが、比較的不安定な悪用コードになる可能性があると予測しています。そのため、コード実行されExchange Serverが侵害される可能性より、悪用コードによりExchange Serverが不安定になりサービス拒否攻撃の状態になるケースが多いかもしれません。この脆弱性については、緩和要素がなく、かつ攻撃の経路として電子メールなどを使った外部からの攻撃が容易な事を考えると、早期に適用するべきと考えます。 MS09-004 (SQL):特定のストアドプロシジャーに不正なパラメータを与える事により、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 961040でお知らせしたいた、脆弱性に対処したものとなります。 既にアドバイザリで示された回避策を実施している場合も、更新プログラムの適用を推奨しますが、その場合の回避策の解除手順は、セキュリティ情報に記載しています。 MS09-005 (Visio):特別な細工が施されたファイルをVisioで読み込むことによって、リモートでコードが実行される可能性があります。外部から送られてきたVisioに関するファイルを開かない事である程度回避できますが、人間の注意には限界がありますので、更新プログラムは適用し置いた方が良いでしょう。 セキュリティ アドバイザリ (新規): アドバイザリ (960715):このアドバイザリは、Internet Explorerに、KillbitとよばれるActiveXコントロールの動作禁止設定を行う為の更新プログラムの公開をお知らせしています。 通常はセキュリティ更新プログラムとしてセキュリティ情報と共に公開いたしますが、新規にマイクロソフト製品に関するKillbitを含まないため、セキュリティ情報の公開は行っていません。 今回は、Internet Explorerを使っている利用者がより安全となるよう、他社の脆弱性による影響を緩和させるために行っています。 また、本日よりセキュリティ アドバイザリのフォーマットを見直し、日本語版のみ以下の様な要訳情報を付加しています。Webサイトに寄せられるフィードバックから、一目で概略的な情報が得られるようにしています。しかし、あくまでも概略ですので、関連があると思った場合は、概略に続く詳細情報を呼んでいただきたいと考えています。 お知らせ内容 更新プログラムの公開 更新プログラム サポート技術情報 960715 被害報告 他社製品のため被害報告は掲載していません。 回避策 あり 対応方法 サポート技術情報 960715 で提供している更新プログラムをインストールしてください。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Srizbi  …

2009年2月のセキュリティ情報 Read More »

Conficker(Downadup)ワームに関するまとめ

小野寺です。 日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。追記(2009/2/27 Conficker.C の情報を、公開しました) Conficker ワームに関するまとめ マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。 まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。 最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。 ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、”in the wild”の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 …

Conficker(Downadup)ワームに関するまとめ Read More »

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

小野寺です 今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。 セキュリティ情報 (新規):概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-001 (SMB):特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Banload および MS08-067 を悪用する Conficker に対応しています。すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。 また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。技術的な詳細については、このブログの Conficker.B に記載してあります。 さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。 企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開http://support.microsoft.com/kb/891716/ 悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。http://www.microsoft.com/japan/security/malwareremove/default.mspx  

Conficker.B

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。 技術的な情報 Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。 ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。   感染 Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。   %ProgramFiles%\Internet Explorer%ProgramFiles%\Movie Maker   次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。   値の追加: “<random string>”データ: “rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>”サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run   また、システム ファイル svchost.exe が netsvcs …

Conficker.B Read More »

Internet Explorerのセキュリティ更新プログラム提供開始

小野寺です。 先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。Microsoft Update または 自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。  http://update.microsoft.com/microsoftupdate/ 今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。  MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)  http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx   絵で見る MS08-078 : Internet Explorer の重要な更新  http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx 今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。 また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

Internet Explorerの更新の事前通知

小野寺です。 先日から、セキュリティ アドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。 マイクロソフト セキュリティ情報の事前通知 – 2008 年 12 月 (定例外)http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx 本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。通常の Windows XP 向け更新プログラムになります。 セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。  

2008年最後のセキュリティリリース (2008年12月)

小野寺です 今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。また、セキュリティアドバイザリ 960906 を公開しています。 クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。 セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。 他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。 セキュリティ情報 (新規):今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。 これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS08-070 (VB6 Runtime):特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。今回対処としているランタイム コンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネント ファイルを検索していただく事です。これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。 MS08-071 (GDI):特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。 MS08-072 (Word):特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。 MS08-073 (IE):特別な細工がされた …

2008年最後のセキュリティリリース (2008年12月) Read More »

ワームとMS08-067

小野寺です。 報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。 ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。 対処としては、基本的に以下の流れになります。 MS08-067の適用 駆除 (http://safety.live.com) ファイアウォールの設定見直しなります。 しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。 詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A 別名 (Also Known As): TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) W32.Downadup (シマンテック) 概要 (Summary):ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。 現象 (Symptoms): この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。 技術的な情報(Technical Information):Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。 感染方法:このワームは Windows の実行可能ファイル ‘services.exe’ を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステム …

ワームとMS08-067 Read More »

セキュリティに関する 10 の鉄則

小野寺です。先日、実在する弊社担当者名を使った英文の詐欺メールが出回りましたが、その担当者 Scott Culpは、非常に初期のころから、Microsoftのセキュリティ対応に取り組んでいた人の一人です。その彼が、書いたコラムをに、「セキュリティに関する 10 の鉄則」と「セキュリティ管理に関する 10 の鉄則」があります。今でも、十分に通用するというか、今だからこそ実感がわくというか・・・ 仕事で煮詰まった時(別に普通の問いでもOKです)にでも、一度読んでみると面白いと思います。各鉄則だけ、Blogで紹介しておきます。 個人的には、「セキュリティに関する 10 の鉄則」の鉄則1は、多くの方に再認識いただきたいと感じてしまします。「セキュリティに関する 10 の鉄則」http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=true  鉄則 1: 悪意のある攻撃者の誘惑に乗って、攻撃者のプログラムをあなたのコンピュータで実行した場合、もはやそれはあなたのコンピュータではない  鉄則 2: 悪意のある攻撃者があなたのコンピュータのオペレーティング システムを改ざんした場合、もはやそれはあなたのコンピュータではない  鉄則 3: 悪意のある攻撃者があなたのコンピュータに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピュータではない  鉄則 4: 悪意のある攻撃者にあなたの Web サイトに対して自由にプログラムをアップロードさせてしまうのなら、もはやそれはあなたの Web サイトではない  鉄則 5: セキュリティが強力であっても、パスワードが弱ければ台無しである  鉄則 6: コンピュータのセキュリティが守られているかどうかは、その管理者が信頼できるかどうかにかかっている  鉄則 7: 暗号化されたデータのセキュリティが守られているかどうかは、解読キーのセキュリティにかかっている  鉄則 8: 古いウイルス検出プログラム (ウイルス定義ファイル) はウイルス検出プログラムがないも同然である  鉄則 9: 現実の生活でも Web 上でも完全な匿名などあり得ない  鉄則 10: テクノロジは万能ではない  「セキュリティ管理に関する 10 の鉄則」http://www.microsoft.com/japan/technet/archive/community/columns/security/essays/10salaws.mspx?mfr=true …

セキュリティに関する 10 の鉄則 Read More »