日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
2012 年 5 月 9 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 3 件、重要 4 件) です。 また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフト ワンポイント セキュリティも、当日午後に公開予定です。公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-may
セキュリティ情報 ID
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア*
セキュリティ情報 1
緊急
リモートでコードが実行される
再起動が必要な場合あり
Microsoft Word 2003、Word 2007、Office Compatibility Pack、Office 2008 for Mac、および Office for Mac 2011.
セキュリティ情報 2
Microsoft Office 2003、 Office 2007、Office 2010、 .NET Framework、 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Silverlight 4、および Silverlight 5.
セキュリティ情報 3
Microsoft .Net Framework、Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2.
セキュリティ情報 4
重要
Microsoft Excel 2003、Excel 2007、Excel 2010、Excel Viewer、Office 2007、Office 2010、Office Compatibility Pack、Office 2008 for Mac、および Office for Mac 2011.
セキュリティ情報 5
Microsoft Visio Viewer 2010
セキュリティ情報 6
特権の昇格
要再起動
Microsoft Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2.
セキュリティ情報 7
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、下記リンクの「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
先週の事前通知でお知らせしたとおり、計 7 件 (緊急 3 件、重要 4 件) のセキュリティ情報を公開しました。また、新規にセキュリティ アドバイザリを 1 件公開しました。
今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
□ MS12-029 について
Microsoft Word (RTF) に脆弱性が存在します。攻撃者は Outlook を電子メール攻撃の方法として悪用して、特別に細工した RTF の電子メール メッセージを標的のユーザーに送信する可能性があります。Outlook 2007 では Word が電子メールのリーダーとして既定で選択されているため、特別に細工された RTF メッセージをユーザーが Outlook のプレビューで表示しただけで悪用される危険があります。Outlook 2003 では既定で Word がリーダーにはなっておらず、表示にユーザーのアクションが必要となり緊急度は下がりますが、Word をリーダーに設定した場合はプレビュー表示で悪用が行われます。いずれのバージョンにおいても早急にセキュリティ更新プログラムをインストールされることをお勧めします。なお、Microsoft Word 2010 は影響を受けるコードを含まないため、この脆弱性の影響を受けません。
□ MS12-034 について
主に TrueType フォントおよび GDI+ の脆弱性を修正しています。複数の関連コンポーネントに影響するため、このセキュリティ情報は、TrueType フォント、GDI+、カーネル モード ドライバー、.NET Framework、および Silverlight について対応しています。脆弱性から防御するために、影響を受けるソフトウェアに対して提供されているすべての更新プログラムを適用する必要があります。
Windows 8 Consumer Preview リリース向けの KB2658846、KB2660649、KB2676562 の更新プログラムが利用可能です。Windows 8 Consumer Preview をご使用のお客様は、システムにこれらの更新プログラムを適用することをお勧めします。更新プログラムは Windows Updateからのみ利用可能です。
その他、各セキュリティ情報について注意事項がある場合は、下記の表の下に補足していますので併せてご覧ください。
■今月のセキュリティ リリースで対応したセキュリティ アドバイザリ:
新規に ActiveX の Kill Bit 更新プログラムのロールアップに関するセキュリティアドバイザリ 2695962 「ActiveX の Kill Bit 更新プログラムのロールアップ」を公開しました。この更新プログラムは、サードパーティのソフトウェアである Cisco Clientless VPN ソリューションの ActiveX コントロールの Kill Bit を設定します。
■2012 年 5 月のセキュリティ情報:各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms12-may
マイクロソフトは新たに確認した脆弱性について、次の 7 件のセキュリティ情報を公開しました。
セキュリティ情報タイトル
影響を受けるソフトウェア:
MS12-029
Microsoft Word の脆弱性により、リモートでコードが実行される (2680352)
Microsoft Word 2003、Word 2007、Office 互換機能パック、Office 2008 for Mac および Office for Mac 2011.
MS12-030
Microsoft Office の脆弱性により、リモートでコードが実行される (2663830)
Microsoft Excel 2003、Excel 2007、Excel 2010、Excel Viewer、Office 2007、Office 2010、Office互換機能パック、Office 2008 for Mac およびOffice for Mac 2011.
MS12-031
Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2597981)
MS12-032
TCP/IP の脆弱性により、特権が昇格される (2688338)
Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
MS12-033
Windows Partition Manager の脆弱性により、特権が昇格される (2690533)
MS12-034
Microsoft Office、Windows、.NET Framework、Silverlight 用のセキュリティ更新プログラムの組み合わせ (2681578)
Microsoft Office 2003、Office 2007、Office 2010、.NET Framework、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Silverlight 4 および Silverlight 5
MS12-035
.NET Framework の脆弱性により、リモートでコードが実行される (2693777)
Microsoft .NET Framework、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2
■最新のセキュリティ情報を動画と音声でまとめて確認マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Webキャスト公開後に、こちらのブログでもお知らせします。
皆さん、こんにちは!先ほど 5 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 5 月 9 日に公開した新規 7 件 (緊急 3 件、重要 4 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
先日、こちらのブログでもお伝えしたように、最新のセキュリティ脅威動向をまとめたマイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) を公開しています。
※ SIRv12 は 2011 年下半期 (7 月 ~ 12 月) を中心に、確認されたソフトウェアの脆弱性やエクスプロイト、ウイルスなど悪意のあるコードの最新の動向を分析し、調査結果の概要をまとめたものです。日本語版については 20 ページ程度でまとめられています。
今日は特集の 1 つ、Conficker について解説したいと思います。
Conficker とは?
Conficker は、2008 年 11 月に初めて検出された Windows を標的とするコンピューター ワームです。Conficker は、感染すると他のマルウェアをダウンロードする、ボットネットを構築する、Spam の送信、アカウント情報の収集などのアンダーグラウンドの活動を行います。また、様々なセキュリティ機能を無効にするため、さらなる被害に遭う可能性が増します。Conficker はこの 2.5 年間、企業における最大のマルウェア脅威となっています。Conficker がターゲットとする脆弱性 (MS08-067 Server サービス) への対処は進んでいる一方、弱いパスワードを用いた攻撃が成功要因となっているのが実情です。2011 年第 4 四半期では、170 万のシステムで検出され、2009 年と比較して四半期の検出は 225% 以上の増加率となっています。(図 1)
図 1: MS セキュリティ製品により Win32/Conficker が検出されたシステム数
Confickerの攻撃方法
企業における感染原因は、分析の結果では以下のとおりになります。(詳細の内訳は図 2 参照)
1) 弱いまたは盗まれたパスワードを悪用され、侵害された - 92%Conficker ワームでは、共通または弱いパスワードの組み込みリストを使用して感染し、そのシステムにログインするすべてのユーザーの資格情報を盗んで他のコンピューターに侵入しようとします。
2) 更新プログラムの未適用による脆弱性への攻撃 - 8%8% は、セキュリティ更新プログラムの未適用による脆弱性への攻撃であると、分析により明らかになりました。該当の脆弱性 CVE-2008-4250 は、MS08-067 を適用することで解決できます。
Credential-based attack
Exploit
Autorun
Windows 2003
91%
9%
0%
Windows 7
100%
Windows Vista
Windows XP
88%
12%
図 2: 企業内において Forefront によりブロックされた Conficker 感染の内訳
狙われやすい弱いパスワードとは?
Conficker に狙われやすい弱いパスワードの一例です。表に示すように、大文字と小文字、数字、および記号が混在していないパスワードが多く該当します。
11111
222
5
99999999
business
Internet
password123
sql
1111
22
654321
9999999
campus
intranet
password12
student
111
2
66666666
999999
changeme
job
password1
super
11
321
6666666
99999
cluster
killer
Password
superuser
123123
33333333
666666
9999
codename
letitbe
private
supervisor
12321
3333333
66666
999
codeword
letmein
public
system
123321
333333
6666
99
coffee
Login
pw123
temp123
1234567890
33333
666
9
computer
lotus
q1w2e3
temp
123456789
3333
66
a1b2c3
controller
love123
qazwsx
temporary
Conficker はどのように広がるのか?
組織内での Conficker の動きは、まず、弱いパスワードの PC に侵入し、組織内のネットワークに侵入していきます。続けて、ネットワーク上の他人のパスワードを盗み、増殖を続けていきます。
一例として、以下のような手順で感染していくことが確認されています。
① 弱いパスワードなどを用いたユーザーの PC が Conficker に感染する。
② ユーザーが異常事態に気づき、管理者にヘルプを要請。
③ 管理者は、ネットワーク管理者のパスワードを使用して、感染 PC にログインしトラブルシュートを実施。
④ Conficker が管理者パスワードを盗み、ネットワーク上のすべての PC にログインして感染する。
セキュリティの基本的な対策
Conficker 含め、広範囲の攻撃および標的型攻撃いずれについても、以下の基本的なセキュリティ対策を実施することが重要な第一歩になります。
― 強固なパスワードの使用
まずは、強固なパスワードの使用することを強くお勧めします。以下のパスワードチェッカーサイトを使用して、強固なパスワードを確認することができますので、ぜひご利用ください。https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspxActive Directory をご使用の場合は、グループポリシーで複雑なパスワードを徹底することとをお勧めします 。
参考:http://technet.microsoft.com/ja-jp/library/cc781633(v=WS.10).aspx
― インストールしているソフトウェアについて、定期的に更新を適用してください。
― 信頼できる発行元から入手したウイルス対策ソフトウェアを使用 してください。
― より高いソフトウェア保護機能を提供する最新の製品への投資を検討ください。
最新の製品はより高いセキュリティ機能を実装していますので、投資をご検討ください。
― ビジネスリソースとしてのクラウドを検討する。
Windows Azure をはじめ、クラウド環境は常に最新のソフトウェア環境が提供されており、セキュリティ面でも最新の安全性が提供されていますので、検討してみるのもいいでしょう。
皆さんもお客様、ご家族、ご友人などにしっかりと対策の呼びかけのご協力をお願いいたします。
2012 年 5 月 15 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) の最新版となる EMET 3.0 を公開しました。
EMET とは?
EMET (エメット) は、任意のアプリケーションに対して DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization)、SEHOP (Structured Exception Handler Overwrite Protection) など計 7 つの「脆弱性緩和技術」を簡単に導入できる無料ツールで、ソフトウェアの脆弱性が任意のコード実行等で悪用されるのを防止します。EMET の詳細は過去のブログ「X’mas ギフト」(後半) および「EMET の新しいバージョン V2.1 をリリースしました!」でも説明していますのでご参考ください。
EMET による防御のイメージ
��図2 が EMET による防御のイメージです。セキュリティ更新プログラム未適用のソフトウェアの脆弱性が攻撃された場合でも最終的な悪用 (コード実行) を防ぐことができます。多層防御の観点で、セキュリティ更新と併用することで、組織や個人の資産をより確実に守ることができます。
図1: セキュリティ更新プログラムにより攻撃が防御されるイメージ
図2: 緩和策の設定によりセキュリティ更新未適用のソフトウェアの脆弱性 (0-day 含む) に対する悪用が回避されるイメージ
EMET 3.0 の新機能
使い勝手の観点で以下の 3 つが追加されています。
1.構成を容易にする “プロファイル”
EMET 3.0 では、3 つのプロファイルを提供しています (下述)。これらプロファイルは、よく使用されるマイクロソフトおよびサードパーティ アプリケーションに対し、予め EMET の設定を構成した XML ファイルです。EMET をインストールしたディレクトリ配下の Deployment\Protection Profiles に含まれています。プロファイルを修正したりこれを基に他のプロファイルを作成したりできます。プロファイルの中身を見るとどのアプリケーションに対してどの緩和策が設定されているかも確認できます。
2.グループ ポリシーや SCCM との連携
以前より、EMET を組織で容易に展開できるようにしてほしいというご要望をいただいていました。V3.0 では、上述の 3 つのプロファイルを含む ADMX ファイルを含んでおり、Active Directory グループ ポリシーにより組織に展開できます。独自の EMET の構成を展開するためのポリシーも含まれています。また、System Center Configuration Manager との連携も追加されています (詳細は SCCM チームのブログをご参考ください)。
今回の連携により、管理者は組織への展開や構成変更、また EMET インストールの監視が容易に行えるようになります。
3.レポーティング機能
EMET Notifierという機能が追加されました。以下の 2 つの機能があります。
その他お伝えしたいこと
是非、使い勝手も良くなった EMET を一度お試しください。
リソース
Introducing EMET v3: このブログで説明している内容が詳細に書かれています
新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って?: EMET に含まれるどの緩和策がマイクロソフト製品の OS やアプリケーションで有効になっているかについての表があります
マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要、Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。
前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。
標的型攻撃の実態
SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。
これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。
標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。
未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。
また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。
初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。
標的型攻撃対策の課題
標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。
○ 悪意のある実行役が多数存在する
○ これら実行役の動機がさまざまである
○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい
○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない
では、実際にはどのような対策を立てることが可能なのか ?
それについては、次回のブログでご紹介したいと思います。