日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
先日、こちらのブログでもお伝えしたように、最新のセキュリティ脅威動向をまとめたマイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) を公開しています。
※ SIRv12 は 2011 年下半期 (7 月 ~ 12 月) を中心に、確認されたソフトウェアの脆弱性やエクスプロイト、ウイルスなど悪意のあるコードの最新の動向を分析し、調査結果の概要をまとめたものです。日本語版については 20 ページ程度でまとめられています。
今日は特集の 1 つ、Conficker について解説したいと思います。
Conficker とは?
Conficker は、2008 年 11 月に初めて検出された Windows を標的とするコンピューター ワームです。Conficker は、感染すると他のマルウェアをダウンロードする、ボットネットを構築する、Spam の送信、アカウント情報の収集などのアンダーグラウンドの活動を行います。また、様々なセキュリティ機能を無効にするため、さらなる被害に遭う可能性が増します。Conficker はこの 2.5 年間、企業における最大のマル���ェア脅威となっています。Conficker がターゲットとする脆弱性 (MS08-067 Server サービス) への対処は進んでいる一方、弱いパスワードを用いた攻撃が成功要因となっているのが実情です。2011 年第 4 四半期では、170 万のシステムで検出され、2009 年と比較して四半期の検出は 225% 以上の増加率となっています。(図 1)
図 1: MS セキュリティ製品により Win32/Conficker が検出されたシステム数
Confickerの攻撃方法
企業における感染原因は、分析の結果では以下のとおりになります。(詳細の内訳は図 2 参照)
1) 弱いまたは盗まれたパスワードを悪用され、侵害された - 92%Conficker ワームでは、共通または弱いパスワードの組み込みリストを使用して感染し、そのシステムにログインするすべてのユーザーの資格情報を盗んで他のコンピューターに侵入しようとします。
2) 更新プログラムの未適用による脆弱性への攻撃 - 8%8% は、セキュリティ更新プログラムの未適用による脆弱性への攻撃であると、分析により明らかになりました。該当の脆弱性 CVE-2008-4250 は、MS08-067 を適用することで解決できます。
Credential-based attack
Exploit
Autorun
Windows 2003
91%
9%
0%
Windows 7
100%
Windows Vista
Windows XP
88%
12%
図 2: 企業内において Forefront によりブロックされた Conficker 感染の内訳
狙われやすい弱いパスワードとは?
Conficker に狙われやすい弱いパスワードの一例です。表に示すように、大文字と小文字、数字、および記号が混在していないパスワードが多く該当します。
11111
222
5
99999999
business
Internet
password123
sql
1111
22
654321
9999999
campus
intranet
password12
student
111
2
66666666
999999
changeme
job
password1
super
11
321
6666666
99999
cluster
killer
Password
superuser
123123
33333333
666666
9999
codename
letitbe
private
supervisor
12321
3333333
66666
999
codeword
letmein
public
system
123321
333333
6666
99
coffee
Login
pw123
temp123
1234567890
33333
666
9
computer
lotus
q1w2e3
temp
123456789
3333
66
a1b2c3
controller
love123
qazwsx
temporary
Conficker はどのように広がるのか?
組織内での Conficker の動きは、まず、弱いパスワードの PC に侵入し、組織内のネットワークに侵入していきます。続けて、ネットワーク上の他人のパスワードを盗み、増殖を続けていきます。
一例として、以下のような手順で感染していくことが確認されています。
① 弱いパスワードなどを用いたユーザーの PC が Conficker に感染する。
② ユーザーが異常事態に気づき、管理者にヘルプを要請。
③ 管理者は、ネットワーク管理者のパスワードを使用して、感染 PC にログインしトラブルシュートを実施。
④ Conficker が管理者パスワードを盗み、ネットワーク上のすべての PC にログインして感染する。
セキュリティの基本的な対策
Conficker 含め、広範囲の攻撃および標的型攻撃いずれについても、以下の基本的なセキュリティ対策を実施することが重要な第一歩になります。
― 強固なパスワードの使用
まずは、強固なパスワードの使用することを強くお勧めします。以下のパスワードチェッカーサイトを使用して、強固なパスワードを確認することができますので、ぜひご利用ください。https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspxActive Directory をご使用の場合は、グループポリシーで複雑なパスワードを徹底することとをお勧めします 。
参考:http://technet.microsoft.com/ja-jp/library/cc781633(v=WS.10).aspx
― インストールしているソフトウェアについて、定期的に更新を適用してください。
― 信頼できる発行元から入手したウイルス対策ソフトウェアを使用 してください。
― より高いソフトウェア保護機能を提供する最新の製品への投資を検討ください。
最新の製品はより高いセキュリティ機能を実装していますので、投資をご検討ください。
― ビジネスリソースとしてのクラウドを検討する。
Windows Azure をはじめ、クラウド環境は常に最新のソフトウェア環境が提供されており、セキュリティ面でも最新の安全性が提供されていますので、検討してみるのもいいでしょう。
皆さんもお客様、ご家族、ご友人などにしっかりと対策の呼びかけのご協力をお願いいたします。