Targeted Attack

2008年最後のセキュリティリリース (2008年12月)

小野寺です 今年最後のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 8 件 (緊急 6 件, 重要 2 件)を公開しました。また、セキュリティアドバイザリ 960906 を公開しています。 クリスマスや正月 (New Year)の様な特定日には、脆弱性を悪用しようとする攻撃や詐欺的なメールが毎年増加する傾向にあります。 セキュリティ更新プログラムを早期に適用し、被害を予防することを強く推奨します。 他に被害にあわないために最低限確認しておきたいポイントは、「長期休暇の前に」にまとめています。 セキュリティ情報 (新規):今月から、セキュリティ情報のサイトのフォーマットを変更し、当月リリース全体の概要をつかみやすくしています。 これらの概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、12/10の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS08-070 (VB6 Runtime):特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。今回対処としているランタイム コンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネント ファイルを検索していただく事です。これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。 MS08-071 (GDI):特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。 MS08-072 (Word):特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。 MS08-073 (IE):特別な細工がされた …

2008年最後のセキュリティリリース (2008年12月) Read More »

2008年8月のセキュリティリリース

小野寺です 今月は、事前通知でお知らせしていた件数から変更があり、計 11 件 (緊急 6 件、重要 5 件)となります。予定していた、「Media Player のセキュリティ情報」が、品質上の理由で延期となりました。これに加えて、セキュリティ アドバイザリを、新規に1件公開し、3件変更しています。そして、セキュリティ情報 4 件を変更しています。 セキュリティ情報 (新規):MS08-041 (Snapshot): セキュリティ アドバイザリ 955179 でお知らせしていた Microsoft Access Snapshot Viewer の Active Xの脆弱性に対処しています。 単体で、入手可能な Microsoft Access Snapshot Viewer の更新プログラムについては準備を進めており、準備ができ次第セキュリティ情報を更新してお知らせする予定です。通常は、すべての更新の準備ができてから公開するのですが、今回は既に悪用が確認されていることもあり、この様なリリースを行うことにしました。 MS08-042 (Word): セキュリティ アドバイザリ 953635 でお知らせしていた Word の脆弱性に対処しています。Office XP (Word 2002) と Office 2003 (Word 2003) が影響を受けます。 MS08-043 (Excel): サポートしているすべてのバージョンのExcel と、Microsoft …

2008年8月のセキュリティリリース Read More »

日本は安全か? – Security intelligence Report Vol4

小野寺です。 突然ですが、日本は安全な国なんでしょうか? もちろんIT的な意味でです。 感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。 そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。 意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。 白は、データ不足の地域です。 具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。 そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。 もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。) しかし、この日本の1/685台が「安全!」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。 話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。 最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。 また、検出を難しくする要因になっていたりもします。 文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。 そして、アプリケーションの更新も忘れないようにしないといけません。 極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。 もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。  では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。 一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが 、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。 しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。 …

日本は安全か? – Security intelligence Report Vol4 Read More »

セキュリティ デベロップメント “ライフサイクル”:裏側と表側

小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの?ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。 そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。 最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。

2008年5月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急3件, 警告1件)を公開しました。加えて、Jetに関するセキュリティ更新の提供に伴って、セキュリティアドバイザリ 950627 を更新しています。 また、MS06-069 も更新していますが、こちらは今月の公開との関連性はありません。 少し詳しく見ていきます。 まずは、MS08-028 (Jetのセキュリティ情報) ですが、セキュリティアドバイザリ 950627 で言及していた問題について対策を行っています。 アドバイザリに関していれば、Wordを通じてJetを悪用する方法だったわけですが、Jetの脆弱性は、MS08-028のみで対策可能です。MS08-026の適用により、WordからSQL コマンドまたはクエリを実行する前にユーザーに確認メッセージを表示します。将来的な攻撃経路 (Attacking vector)を減らすためにJet同様に適用をお勧めしたいですね。ちなみに、Jetですが・・・よく Office 製品 (Access) が入っていない環境は関係ないと誤解されているみたいですが、セキュリティ情報に書いてあるとおり、Jet自体はWindowsのコンポーネントです。Access(*.mdb)は、Jetを使うアプリケーションの一つに過ぎず、Jet形式は、結構色々な処で使われていたりします。 次に、MS08-029 (セキュリティ ソフトウェアのセキュリティ情報) は、Forefront Client Protection, OneCare, Windows Defender 等で利用している。Microsoft Malware Protection Engine で発生しうるサービス拒否の問題に対処しているのです。とはいえ、常に最新の状態で使っているユーザーは、基本的に新たにアクションをとる必要がありません。 対策されたエンジン自体は、いわゆる定義ファイルとして配信しているためです。 セキュリティ製品といえば、2007年7月~12月期について分析した セキュリティインテリジェンスレポート (SIR) の最新版(4版) を先日から公開しています。日本語の要約版も公開していますので、これを機に今のマルウェアや脆弱性の動向を見てみるのも良いかも。 このレポートは、世界中のデータをもとに編纂していますが、近いうちに日本に特化したものも、Blogで触れてみたいとは思っております。 今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

Jet Database Engine (Jet) の脆弱性

小野寺です。 Microsoft Jet Database Engine (Jet) に関する脆弱性 Word を通じて悪用された事がわかり現在調査を行っています。今回は、OSとWordのバージョンの組み合わせによって、影響の有無が変化します。 攻撃の入り口となる Word は、以下の通りです。   Microsoft Word 2007 および Microsoft Word 2007 Service Pack 1  Microsoft Word 2003 Service Pack 2 および Service Pack 3  Microsoft Word 2002 Serivce Pack 3  Microsoft Word 2000 Service Pack 3 実際に脆弱性の悪用が可能中のは以下の OS と上記に Word が組み合わされた場合になります。   Windows Server 2003 Service …

Jet Database Engine (Jet) の脆弱性 Read More »

セキュリティ インテリジェンス レポート 第3版を公開

小野寺です 2007年上半期 (1月~6月)のセキュリティの脅威の動向をまとめた、セキュリティ インテリジェンス レポートの第3版を公開しました。もちろん、日本語版もあります。今回から、要約版 ‘主要な調査結果の概要  (Key Findings Summary)’を公開しています。日本語版は、約 10 ページとなっており、第2版のボリュームに比べると、かなり読みやすくなっているのではないかと思います。 2007年上半期のデータとして、興味深いのはマルウェアのタイプとしてダウンロード型が劇的に増加している点です。 従来のウイルス・ワームやBotがメール等にそのまま添付されてくるのに対して、添付は、ダウンローダーのみであり、その後に攻撃者の意図したマルウェア本体が侵入したダウンローダーにより外部より取得され、インストールされるわけです。そのため、ダウンローダーとダウンロードされたマルウェアの両面に対処する必要があります。私見ですが、攻撃者側が今まで以上に組織的で戦略的に攻撃を仕掛けているように思います。これに対して、企業のITシステムを個々のPCではなく、一つの大きな塊として企業全体を見通して継続的にリスクを集中管理できているのか、不安に感じることがあります。 ちなみに、要約版ではない、完全版は 92 ページあり、最初は英語版のみのていきょうとなります。完全版の日本語版については、時期も含めて検討しています。

不安と対策

小野寺です。 最近、以前の様な大規模で、ネットワーク全体に被害が及ぶようなセキュリティ事故は、あまり目にしなくなっています。 とはいえ、Bot (ボット) や、Targeted Attack (標的型攻撃)の特定の組織や個人を狙った問題が増えています。 フィッシング詐欺なんかも、標的型の攻撃の一種ですね。 トレンドマイクロさんが調べた結果だと、何らかの不安を感じている利用者は 98% に上っているようです。 しかし、その一方で、同じ母集団ではないですが、対策をしている利用者は 2割~3割程度という調査結果もあります。少し乱暴な推測ですが、利用者は不安は感じているけれども、対策はしていないという事になります。 実社会において、何らかの不安を感じたら何か不安に対処するために対策を取っていると思います。 (もしかすると、不安を対策とは別の手段で打ち消しているかもしれませんが・・・)しかし、実際には、インターネットやパソコンに関して、不安と感じても対策を取っていないわけです。 対策しない理由は、「現実感が無い (自分だけは被害にあわない)」、「対策にお金が掛かる」、「対策方法が分からない」、「理由は無いが対策したくない」など色々とあると思っていますが、 少なくとも、「現実感が無い」「対策にお金が掛かる」の部分は、セキュリティに関わるものとして何とかしたいと思っています。 OenCare などの有償のサービスもありますが、セキュリティーに関する資料や無償のツールも併せて公開しています。 我々の活動がまだまだ不足しているのか、本当に伝えたい利用者には伝えるべき事が伝え切れていないと軽い無力感を感じます。しかし、 先日の TechED でも MVP の方々とお話させていただいた中で、親として子供に、いつから何を教えていけば子供が安全に使えるのか、分からないと言う事をききました。この話を聞いたとき、まだまだやるべき事は多く残っていると感じました。セキュリティチームでは、家庭向けのセキュリティコンテンツも提供していますが、彼らの悩みに直接答えるものではありませんでした。 些か愚痴っぽくなりましたが、少しずつでもインターネットが安心して使える安全な環境である様にしていきたいですね。もちろんそれは、私個人ができるものでは、ないですし、マイクロソフトだけでできるものではありません。 きっと、インターネットの成り立ちの様に利用する個人・個人が少しだけ意識することで、状況が改善していくのだと感じています。 そのための、お手伝いできる事は何なのかを最近考えます。