Security Essentials

Conficker(Downadup)ワームに関するまとめ

小野寺です。 日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。追記(2009/2/27 Conficker.C の情報を、公開しました) Conficker ワームに関するまとめ マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。 まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。 最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。 ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、”in the wild”の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 …

Conficker(Downadup)ワームに関するまとめ Read More »

日本は安全か? – Security intelligence Report Vol4

小野寺です。 突然ですが、日本は安全な国なんでしょうか? もちろんIT的な意味でです。 感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。 そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。 意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。 白は、データ不足の地域です。 具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。 そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。 もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。) しかし、この日本の1/685台が「安全!」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。 話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。 最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。 また、検出を難しくする要因になっていたりもします。 文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。 そして、アプリケーションの更新も忘れないようにしないといけません。 極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。 もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。  では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。 一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが 、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。 しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。 …

日本は安全か? – Security intelligence Report Vol4 Read More »

2008年6月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 7 件 (緊急3件, 重要 3件、警告1件)を公開しました。また、MS06-078 と MS07-068 を改定しています。 では、内容を見ていきます。 MS08-030 (Bluetooth): 今回初となる Bluetooth(ブルートゥース)に関する脆弱性です。Bluetoothは、ご存じの通り無線接続方式の一つですが、その通信スタックに脆弱性が発見されたものですが。ReqSD (service description request) を大量に送られることで、結果としてコードが実行される可能性があります。 Bluetoothが有効になっている環境では、可能な限り早めに当てておきたいですね。 とはいえ、10m ~ 100m 以内に攻撃者 (または攻撃用マルウェアに感染した PC) が存在する必要がありますので、屋外で攻撃を受けるケースよりも、社内やPC持ち込み可能な喫茶店等のある程度の人口密集度がある場所が危ないのかもしれませんね。 MS08-031 (IE): 2つの脆弱性に対応していますが、一方の CVE-2008-1544 (要求ヘッダーのクロス ドメインの情報漏えいの脆弱性) が一般に公開され CVE-2008-2243 としても知られていますが、これを書いている時点では具体的な悪用の事例は確認していません。 MS08-032 (Kill Bit): Speech API に関するコントロールを Kill Bitしています。”Vista Speach Recognition “として、セキュリティコミュニティーで知られていましたが、悪用の報告例はありません。また、あわせてサードパティー製品をについても、1件 Kill bit しています。また、この脆弱性については悪用方法が、ユニークでその為に非常に困難になっています。 MS08-034 (WINS): WINS を運用している企業では、可能な限り早期の適用をお勧めします。「重要」としていますが、不正なパケットをWINSが受信することで攻撃が成立する可能性があります。WINSですので、LAN内からの悪用が最も懸念されると思いますが、LAN利用者が完全に信用できる場合は、適用時期を考慮する余地もあります。とはいえ、社内に侵入した攻撃者やマルウェアがより高い権限を得るために、悪用を試みる可能性もあるので早いに越したことはありません。なにより、WINSが動いているサーバは、AD/DC …

2008年6月のセキュリティリリース Read More »

2008年5月のセキュリティリリース予定

小野寺です。 今月は、計 4 件 (緊急3件, 警告1件) の公開を予定しています。リリース日は、週明け水曜日 (05/14) です。今年は、GW後に1週間の余裕があったので、正直なところ助かりました。昨年は、GW明けすぐのリリースだったため、色々と大変でした・・・ さて、話がそれましたが、セキュリティ更新のほかに、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx をご覧ください。 ちなみに、セキュリティ情報の識別番号を (セキュリティ情報 1等)を、より内容のわかる名前に変更しましました。今月からは、セキュリティ情報の識別名と名前を変え、”Wordのセキュリティ情報”といった形で製品・テクノロジ名を含む形にしてみました。さて、今月対応予定の製品として、「Diagnostics and Recovery Toolset (DaRT) 6.0 の Standalone System Sweeper」なるものがありますが、多くの方はあまり見慣れていないのではないかと思います。 これは、MDOP (Microsoft Deplyment Optipazation Pack)というSA契約者向けに提供しているツールキットに含まれるものひとつです。この Standalone System Sweeper は、ウイルスやスパイウェアなどのマルウェアに感染したPCをオフラインで駆除するものとなります。事前に別のPCで最新の定義ファイルを含めて、CDを作成する事で、感染PCでCD起動して駆除できるという意外と便利な一品だったりします。 そのほか、JETの更新も予定しています。どんな更新かは、たぶん皆様のご想像のとおりです。 影響を受ける製品 最大深刻度 影響 検出方法 再起動 Word のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される MBSA 不要 Publisher のセキュリティ情報 Microsoft Office 緊急 リモートでコードが実行される …

2008年5月のセキュリティリリース予定 Read More »

なめ猫スクリーンセーバー&セキュリティ対策キット

小野寺です。 現在、「スキルチャージ プログラム」なるエンジニア向けにスキルアップの為の無償支援をしようという企画を行っています。 その中で、もちろんセキュリティも含まれており、左の画像の、「セキュリティ対策キット」として、セキュリティリンク集とマイクロソフトの情報源、製品情報をひとまとめにしたものを提供しています。 そして、人によっては新しい、人によっては懐かしい「なめ猫」を使ったスクリーンセーバーも用意してみました。このスクリーンセーバーは、RSSを使って、このBlogとセキュリティ情報をお知らせします。ちなみに、毎日、なめ猫があなたのセキュリティ?を占ってくれます。  このほか、OneCareプレゼントや、セキュリティ以外でも面白い企画があるので、興味のある人はぜひ。  http://www.microsoft.com/japan/powerpro/skillcharge/default.mspx          

VB100% Award 受賞

小野寺です。 イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。 2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました。これまで、対応するプラットフォームでのテストにはすべて参加しているのですが、OneCareが過去4回のテストで3度目の受賞、Forefrontは、5回のテストですべて受賞することができています。   Microsoft Forefront Client Security (1.5.1937.0)      Microsoft Windows Live OneCare (2.0.2500.22)    より詳細な結果は、以下から誰でも見ることができます。(登録は必要ですが・・・)http://www.virusbtn.com/vb100/archive/results?display=vendors この結果だけで、すべての性能が決まるわけではありませんが、やはり受賞できるというのは、中々に良いものです。

不安と対策

小野寺です。 最近、以前の様な大規模で、ネットワーク全体に被害が及ぶようなセキュリティ事故は、あまり目にしなくなっています。 とはいえ、Bot (ボット) や、Targeted Attack (標的型攻撃)の特定の組織や個人を狙った問題が増えています。 フィッシング詐欺なんかも、標的型の攻撃の一種ですね。 トレンドマイクロさんが調べた結果だと、何らかの不安を感じている利用者は 98% に上っているようです。 しかし、その一方で、同じ母集団ではないですが、対策をしている利用者は 2割~3割程度という調査結果もあります。少し乱暴な推測ですが、利用者は不安は感じているけれども、対策はしていないという事になります。 実社会において、何らかの不安を感じたら何か不安に対処するために対策を取っていると思います。 (もしかすると、不安を対策とは別の手段で打ち消しているかもしれませんが・・・)しかし、実際には、インターネットやパソコンに関して、不安と感じても対策を取っていないわけです。 対策しない理由は、「現実感が無い (自分だけは被害にあわない)」、「対策にお金が掛かる」、「対策方法が分からない」、「理由は無いが対策したくない」など色々とあると思っていますが、 少なくとも、「現実感が無い」「対策にお金が掛かる」の部分は、セキュリティに関わるものとして何とかしたいと思っています。 OenCare などの有償のサービスもありますが、セキュリティーに関する資料や無償のツールも併せて公開しています。 我々の活動がまだまだ不足しているのか、本当に伝えたい利用者には伝えるべき事が伝え切れていないと軽い無力感を感じます。しかし、 先日の TechED でも MVP の方々とお話させていただいた中で、親として子供に、いつから何を教えていけば子供が安全に使えるのか、分からないと言う事をききました。この話を聞いたとき、まだまだやるべき事は多く残っていると感じました。セキュリティチームでは、家庭向けのセキュリティコンテンツも提供していますが、彼らの悩みに直接答えるものではありませんでした。 些か愚痴っぽくなりましたが、少しずつでもインターネットが安心して使える安全な環境である様にしていきたいですね。もちろんそれは、私個人ができるものでは、ないですし、マイクロソフトだけでできるものではありません。 きっと、インターネットの成り立ちの様に利用する個人・個人が少しだけ意識することで、状況が改善していくのだと感じています。 そのための、お手伝いできる事は何なのかを最近考えます。