April, 2009

小野寺です

2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。
また、合わせて、セキュリティ アドバイザリを 4 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-009 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティ アドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-010 (Wordpad):
特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティ アドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-011 (DirectShow):
特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。
現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。

MS09-012 (MSDTC):
WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。
セキュリティ アドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。

MS09-013 (WinHTTP):
WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。
今回対応している３つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。

MS09-014 (IE):
基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。
セキュリティ アドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。

MS09-015 (SearchPath):
セキュリティ アドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。
脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode というAPIを追加して、今後アプリケーションを開発するにあたり、意図しないファイル探査を抑制できるようにしています。

MS09-016 (ISA):
Webプロキシの機能部分が、不正なパケットを受信することでサービス拒否が発生する可能性があります。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Waledac に対応しています。

小野寺です。

2009年4月のワンポイントセキュリティを公開しました。

2009年4月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。

小野寺です。

早い方は、今週末からゴールデン  ウィーク (GW) に入るのではないでしょうか？
長～いお休みに入るにあたって、IT 管理者として、また、一個人として気をつけていただきたい事があります。

その辺を、「長期休暇の前に」のページにまとめてありますので、一度は確認いただき、実践してください。
そして、今年は、詐欺的ソフトウェアの増加や、先日の Conficker の感染等があり、今まで気をつけてきた人も、改めて注意していただきたいと考え、日々、インターネットの安全に取り組むGIAIS パートナーの方々とも連絡を取り合い、通年よりもより広い範囲に呼び掛けを行っていきます。GIAIS (The Global Infrastructure Alliance for Internet Safety) は、世界中の主要なインターネット サービス プロ バイダーで構成するセキュリティのためのアライアンスで、日本では、「GIAIS パートナー」7 社が参加しています。

「長期休暇の前に」のページでは、各 GIAIS パートナーの方々のセキュリティ対策サイトやサービスも紹介しています。

また、先日 Power To The Pro 2009 の発表の際にお約束した、セキュリティの新ビデオ シリーズのプレビュー版もご紹介します。
内容は、この時期に合わせて長期休暇対策です。しかし、今回のビデオは、いつもと少し違います。何が違うかは、自分の目で確認してください。

http://technet.microsoft.com/ja-jp/security/cc263898.aspx

今回は、プレビュー版ですが、5 月には正式に専用 Web ページにまとめ、シリーズ物として定期的に提供していく予定です。
フィードバックや、取り扱ってほしい話題は、このブログのコメントに書き込んでください。

色々と書きましたが、GW のためだけでなく、時間に余裕のある長期休暇を利用して、忙しい毎日で見過ごしているかもしれない、確認をしてみては如何でしょう？

セキュリティ ニュースレターの編集長をしています早川です。

4/1 にまつわる話が色々あった Conficker ですが、概ね世界中で平穏な様です。

これは、(各社が警告を発する事で)事前に十分な準備ができたからなのか、Conficker の登場から時間が経過して既に十分な駆除が行われていたからなのかは、はっきりとはしませんが、一部ベンダーが警告していた様な危機的な状況は、避けられたようです。

しかしながら、今回のConfickerは、数年ぶりの目に見えて話題となったマルウェア (ワーム) だと思います。最近は、MSRT や ForeFront の検出データでは、凄い事になっていても、誰も気づかないので騒ぎにならない・・・という静かに動くマルウェアが主流だったからです。

また、現時点までを見てみると、セキュリティ更新プログラムを概ね速やかに適用していた個人利用者からの被害報告や問い合わせは、皆無と言って良いほど少なかったのですが、ニュースにも一部報道された様に、世界各国の企業では、幾つか感染が報告されています。

企業システムで、「検証のためにパッチが直ぐに適用できない」という意見を聞きますが、本当にそうなのでしょうか？確かに、2000 年前後は、セキュリティ更新プログラムを適用すると問題が発生する事も有ったのは事実ですが、現在の月例化したリリース プロセスにしてからは、品質的にかなり安定してきていると感じています。また、品質面以外にも再起動の問題もあるかもしれませんが、再起動が許されない様な高可用性システムが、何のフェールセーフもなく、1 台で稼働しているとは思えません (実際に有るのは知っています)。何らかのフェールセーフのある 2 台以上で構成されるシステムであれば、1 台ずつ適用する事で問題はないはずなのです。そして、これらの問題点について、サーバーシステムも、クライアントも同列に考えられている様に思えます。少なくとも、クライアント側の再起動が問題になる場合は、非常に限られている気がします。

もちろん、Conficker に関しては、脆弱なパスワードの問題 (と、それに関連した高権限アカウントによる感染拡大) や、USB メモリを経由した持ち込み感染があるので、パッチ管理だけが問題ではないですが、根底は、管理・掌握が十分ではないという点で同じではないかと、思っています。

日本では、システム稼働後は、”変更せずに” 安定運用させる事を良しとする傾向がありますが、それは周りの環境が変化しなかった時代の話で、今のビジネスも、セキュリティも日々状況が変化する中では、容易に柔軟に変更できるシステムやクライアント群を前提に考えてもいいのではないかと思います。

残念なことに、RFP とかを読んでも、定期・不定期 (突発性) の保守・メンテナンスに対する要求事項が記載された物をあまり見た事がありません。

取りとめなく書きましたが、Conficker に絡んで思った事を徒然に書いたので、落ちも、ネタも、なにもなし・・・です。

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティ インテリジェンス レポート (SIR) 第6版を公開しました。 本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。 最新のレポートは、以下のサイトから入手できます。 要約版である、主要な調査結果の概要は、日本語でご覧いただけます。 この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフト セキュリティ インテリジェンス レポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？ 日本も、マルウェアを配布してしまっている事が分かります。 これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

 この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

小野寺です。
今月は、計8件 (緊急5 件, 重要 2 件, 警告 1 件) の公開を予定しています。
リリース日は、週明け水曜日 (4/15) となります。

公開予定の詳細は、以下の事前通知のサイトをご覧ください。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx