日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
皆さん、こんにちは!寒い日が続きましたが、ここ最近は多少暖かい日もあり徐々に春が近づいてきたようにも思います。季節の変わり目ですので風邪など引かぬようご注意ください。
さて、今回は、サービスパック サポート ライフサイクルについてお話ししたいと思います。既にご存知の方もいらっしゃるとは思いますが、マイクロソフトの製品には、システム移行など将来の様々なプランを立てやすくするために、ほとんどのビジネス製品、開発用製品、および、コンシューマー製品などにサポート ライフサイクル ポリシーが適用されています。例えば、Windows XP のサポートは、2014 年 4 月 8 日 (米国時間) に終了しますし、まだ、あまりニュースにはならないですが、同日、Office 2003 のサポートも終了します。これらのサポート期間は、サポート ライフサイクル ポリシーにより定められています。詳細は、サポート ライフサイクルの Web ページ に記載されていますが、以下に Windows XP と Office 2003 の情報を抜粋してみました。
Windows XP Service Pack 3
2008/04/21
備考参照
サポート対象期間は、次のうち先に訪れた方となります。
詳細は、マイクロソフト サポート ライフサイクル でご確認ください。
Windows XP Professional
2001/12/31
2009/04/14
2014/04/08
2005/08/30
Office 2003 Service Pack 3
2007/09/18
次のサービス パックがリリースされた日より 12 ヶ月間後、もしくは製品のサポート ライフサイクルの終了日のいずれか早いほうがサポートの対象となります。特定の製品のサポート期間については マイクロソフト サポート ライフサイクル をご覧ください。
Office Professional Edition 2003
2003/11/17
2005/07/27
表 1. Windows XP と Office 2003 のサポート ライフサイクル情報抜粋 (2013 年 2 月 28 日現在)※ 表内の日付は、すべて米国時間です。
ここを見るとお気づきかと思いますが、サービスパックにもサポート終了日が定められており、製品により異なりますが、サービスパックのリリース後一定期間を経過すると、1 つ前にリリースされたサービス パック (最初のサービスパックのリリースの場合は、サービスパック未インストール状態の製品) のサポートは終了してしまいます。サービス パックのサポートが終了した場合、そのサービスパックに対する製品の不具合に対処した修正プログラムなどの更新は提供されなくなります。また、サポート窓口に問い合わせを行ったとしても、サポート中のサービスパックのインストールを行った上でのサポートの提供となる場合があります。特に重要なのは、脆弱性に対処した新たなセキュリティ更新プログラムの提供が行われなくなることです。これにより、新たな脅威に対応できなくなり、安心・安全なパソコンの維持が難しくなってしまいますが、今後サポートが終了した製品が攻撃対象となる可能性も十分に考えられますし、危険度が増すことも予想されますので、注意が必要です。
なお、以下は、Windows 7 のサポート ライフサイクルの情報ですが、Windows 7 (サービスパック未インストール) は、2013 年 4 月 9 日 (米国時間) にサポートが終了となります。残り 1 ヶ月少々ですので、サービスパックをインストールしていない場合は、このページを参照し早めにインストールすることをご検討ください。
Windows 7 Service Pack 1
2011/02/22
Windows 7 Professional
2009/10/22
2015/01/13
2020/01/14
2013/04/09
表 2. Windows 7 のサポート ライフサイクル情報抜粋 (2013 年 2 月 28 日現在)※ 表内の日付は、すべて米国時間です。※ Windows 7 のサポート ライフサイクルの詳細は、このページを参照してください。
関連情報Windows 製品のサポート ライフサイクル についてWindows 7 サポート ライフサイクルWindows 7 Service Pack 1 概要Windows 7 Service Pack 1 インストール方法Windows XP サポート ライフサイクルOffice 2003 サポート ライフサイクル
本記事は、Security Research & Defense のブログ “Assessing risk for the February 2013 security updates” (2013 年 2 月 12 日公開) を翻訳した記事です。
本日、私たちは 57 件の CVE (脆弱性) を解決する 12 件のセキュリティ情報をリリースしました。セキュリティ情報の内、5 件は最大深刻度が「緊急」、そして 7 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃方法
セキュリティ情報最大深刻度
最大悪用可能性指標
公開 30 日以内の影響
プラットフォーム緩和策、および特記事項
MS13-010
(VML)
被害者が、悪意のある Web ページを閲覧する。
緊急
1
標的型攻撃において、アドレス漏えいの脆弱性に利用されていました。
30日以内に、情報の漏えい、あるいはコード実行の脆弱性として再度、利用される可能性があります。
VGX.dll は、ごく最近、 Internet Explorer の累積的な更新プログラムに含まれました。DLL は元々、Office コンポーネントとして出荷されていました。プラットフォームによっては、MS13-009 に修正が含まれている場合があります。修正がすべてのプラットフォームで利用可能であることを確実にするため、MS13-009 が既にインストールされているプラットフォームも含め、WU 検出ロジックは MS13-010 をすべてのプラットフォームに対して対象としています。
MS13-009
(Internet Explorer)
30 日以内に悪用コードが作成される可能性があります。
MS13-020
(OLEAUT32)
被害者が、 Word あるいは Wordpad に Active X コントールが埋め込まれた悪意のある RTF ファイルを開いた結果、ログイン中のユーザー コンテキストで、コードが実行される可能性がある。
ドキュメント形式の攻撃は、一般に「重要」と評価されます。しかし、この OLEAUT32.dll のコアメモリ管理機能における脆弱性は、サードパーティーの ActiveX コントロールで使用される傾向があります。マイクロソフトのブラウザーを原因とした攻撃方法は 1 つも特定していませんが、サードパーティーの Active X コントロールによりブラウザー内でこの脆弱性がさらされる可能性があります。
MS13-011
(Windows メディア)
サードパーティーのコーデックをインストールした被害者が、悪意のある Web ページを閲覧する。
30 日以内に悪用コードが作成される可能性があります。サードパーティー コーデックが (発生の) 必要条件であるため、広範囲の攻撃がみられる可能性は低いです。
サードパーティーのコーデックのインストールなしには、脆弱性は引き起こされません。
MS13-012
(Oracle Outside In for Exchange)
攻撃者は、悪意のある添付ファイルを含む電子メールを被害者に送信し、被害者が Outlook Web アクセスで添付ファイルを Web ページとして閲覧するよう誘導します。攻撃者は、Web ページを作り出すサーバー側のプロセスを侵害する可能性があります。
2
これらの脆弱性について、悪用コードを作成することは困難です。
Oracle Outside In は、特権の低いレベルである、ローカル サービスで作動します。この問題に関する遠因の詳細については、この SRD ブログ投稿 (英語情報) を参照してください。
MS13-015
(.NET Framework)
被害者が、 XBAP あるいは ClickOnce アプリケーションを提供する、悪意のあるイントラネット Web ページを閲覧する。
重要
脆弱性そのものは、悪用可能です (それゆえに、評価を「1」に設定)。しかしながら、XBAP が IE9 上、および Internet Explorer の初期バージョンのインターネット ゾーンでは無効になっています。したがって、広範囲で悪用される可能性は低いです。
MS13-016
(Windows ドライバー[win32k.sys])
すでにマシン上でコードを実行している攻撃者が、これらの脆弱性を悪用し、特権の低いアカウントからシステム アカウントに昇格する。
30 の異なる win32k.sys の関数に存在する同様の脆弱性が、高い (30 件) CVE 数につながっています。
MS13-017
(Windows カーネル)
すでにマシン上でコードを実行している攻撃者が、これらの脆弱性を悪用し、特権の低いアカウントからシステムに昇格する。
MS13-019
(CSRSS)
この脆弱性について、悪用コードを作成することは困難です。
MS13-013
(FAST Search Server for Sharepoint)
Sharepoint サーバーに悪意のあるコンテンツをアップロードできる権限を持つ攻撃者はそういったコンテンツをアップロードする、それが FAST Search サーバーによりインデックス付けされる。結果として、インデックス サービスによって使用される制限されたトークンというコンテキストで、コードが実行される可能性がある。
インデックス利用のために Oracle Outside In テクノロジーを活用する SharePoint Advanced Filter Pack は、既定で有効にはなっていません。有効になっている場合に SharePoint がインデックスに使用するプロセスは、Office 2010 の保護されたビューのサンドボックスと同様に、制限されたトークンで作動します。詳細については、この SRD ブログ投稿 (英語情報) を参照してください。
MS13-018
(TCP/IP)
攻撃者は、何百万もの TCP/IP 接続を犠牲者サーバーに対して作成し、犠牲者から攻撃者に FIN を送信し接続終了を行うようにしむける。時間が経つと、犠牲者の非ページプールが使い果たされ、犠牲者は新しいネットワーク接続を作成することができなくなる。
対象外
サービス拒否のみ。
サービス拒否のみ – コードが実行されることはありません。この問題に関する遠因の詳細については、この SRD ブログ投稿 (英語情報) を参照してください。
MS13-014
(NFS サーバー ロール)
攻撃者は、 NFS の役割が有効になっているWindows サーバーに、サービス拒否の状態を引き起こす。
NFS の役割が有効になっていないサーバーには影響を与えません。
ジョナサン・ネス、MSRC エンジニアリング
多くの方にとって、PCやスマートフォンを利用することが日常的になっていますが、安全な使い方を確認する機会は、意外に少ないように思います。週末は、PCやスマートフォンの安全な使い方について、見直してみてはいかがでしょうか?
2月1日から進めているLOVE PCでは、「IT護身術」として次の3点を取り上げ、IPAやJNSAなどのお力もお借りして、出来るだけ具体的な対策を「極意」としてご紹介するように努めています。
しかしながら、これら「極意」を日常生活のなかで実践していくのは、なかなか難しいのが実情です。
そこで、IT業界で活躍されている三名のセキュリティ女子の方々との「IT護身術」についての座談会を行い、この模様をホームページに掲載しました。座談会は、JNSA 「IT・セキュリティキャリア女性活動推進WG(通称セキュ女)」から、北澤様、高橋様、そして事務局から尾崎様にご参加いただきました。他の方が実践しているセキュリティ対策を知る機会は意外に少ないので、私自身も参考になる点が多々ありました。一度、ご自身が実践している対策と比較されてはいかがでしょうか。
皆さん、こんにちは!先ほど 2 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 2 月 13 日に公開した新規 12 件 (緊急 5 件、重要 7 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。ダウンロード用の Web キャストは以下のサイトから入手可能です。http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
Format: wmvDuration:
先週の事前通知でお知らせしましたとおり、計 12 件 (緊急 5 件、重要 7 件) の新規セキュリティ情報を公開しました。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たな脅威ファミリ 1 件に対応しています。
公開時点で悪用が確認されている脆弱性はありませんが、可能な限り早期にセキュリティ更新プログラムを適用するようお願いします。なお、企業ユーザーで適用に優先付けが必要なお客様は、MS13-010 (Vector Markup Language), MS13-009 (Internet Explorer), MS13-020 (OLE Automation) を優先的に適用いただくことを推奨いたします。
なお、MS13-009 (Internet Explorer) は、先日定例外で公開したMS13-008Internet Explorer 用のセキュリティ更新プログラム (2799329) の修正も含まれています。まだ適用されていない方は、MS13-009 を適用ください。
また、以前公開した以下のセキュリティ アドバイザリを更新しました。
■セキュリティ アドバイザリ 2755801
セキュリティ アドバイザリ 2755801「Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム」を更新し、最新の更新プログラムに KB2805940を追加しました。
■2 月は情報セキュリティ月間 ~ LOVE PC ~ 今年は IT 護身術
2007 年に 2 月 2 日を「情報セキュリティの日」としたことに始まり、毎年 2 月は「情報セキュリティ月間」として、政府はもとより多くの関係企業や団体が、情報セキュリティの向上のために取り組みを行っています。マイクロソフトでは、特に、IT に詳しくない方にもセキュリティに興味を持っていただくために、「Love PC」という活動に参加しています。今年は、「IT 護身術」をキーワードに、安全に IT を利用するための “心技体” を伝えています。ぜひ公式サイトや、「ぱそ子」がセキュリティ ニュースおよび、護身術の極意を投稿している Facebookをチェックしてください。
■2013 年 2 月のセキュリティ情報一覧各セキュリティ情報の概要、各脆弱性の悪用可能性指標、更新プログラムのダウンロード先などがご覧いただけます。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Feb
マイクロソフトは新たに確認した脆弱性について、次の 12 件のセキュリティ情報を公開しました。
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア
Internet Explorer 用の累積的なセキュリティ更新プログラム (2792100)
リモートでコードが実行される
要再起動
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 およびWindows RT 上の Internet Explorer
Vector Markup Language の脆弱性により、リモートでコードが実行される (2797052)
再起動が必要な場合あり
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 および Windows RT 上の Internet Explorer
メディア解凍の脆弱性により、リモートでコードが実行される (2780091)
Microsoft Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008
Microsoft Exchange Server の脆弱性により、リモートでコードが実行される (2809279)
Microsoft Exchange Server 2007 および Microsoft Exchange Server 2010
FAST Search Server 2010 for SharePoint の解析の脆弱性により、リモートでコードが実行される (2784242)
Microsoft FAST Search Server 2010 for SharePoint および Advanced Filter Pack
NFS サーバーの脆弱性 により、サービス拒否が起こる (2790978)
サービス拒否
Microsoft Windows Server 2008 R2および Windows Server 2012
.NET Framework の脆弱性により、特権が昇格される (2800277)
特権の昇格
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および
Windows Server 2012
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2778344)
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 およびWindows RT
Windows カーネルの脆弱性により、特権が昇格される (2799494)
TCP/IP の脆弱性により、サービス拒否が起こる (2790655)
Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012 および Windows RT
Windows クライアント/サーバー ランタイム サブシステムの脆弱性により、特権が昇格される (2790113)
Microsoft Windows 7 および Windows Server 2008 R2
OLE オートメーションの脆弱性により、リモートでコードが実行される (2802968)
Microsoft Windows XP
■最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフト セキュリティ レスポンス チームが IT プロの皆様に向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声で紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
2013 年 2 月の月例セキュリティ リリースの事前通知を公開しました。2013 年 2 月 13 日に公開を予定している新規月例セキュリティ情報は、合計 12 件 (緊急 5 件、重要 7 件) です。また、毎月リリース同日に公開している最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミングビデオ (Web キャスト) の今月のマイクロソフトワンポイントセキュリティも、当日午後に公開予定です。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://technet.microsoft.com/ja-jp/security/bulletin/ms13-feb
影響を受けるソフトウェア*
セキュリティ情報 1
Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 および Windows RT上の Internet Explorer
セキュリティ情報 2
セキュリティ情報 3
セキュリティ情報 4
セキュリティ情報 5
Microsoft FAST Search Server 2010 for SharePoint and Advanced Filter Pack
セキュリティ情報 6
Microsoft Windows Server 2008 R2 および Windows Server 2012
セキュリティ情報 7
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 および Windows Server 2012
セキュリティ情報 8
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 and Windows RT
セキュリティ情報 9
Microsoft Windows XP、 Windows Server 2003、 Windows Vista、 Windows Server 2008、 Windows 7、 Windows Server 2008 R2、 Windows 8、 Windows Server 2012、 および Windows RT
セキュリティ情報 10
セキュリティ情報 11
セキュリティ情報 12
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
本記事は、Microsoft Security Blog – “Using the Past to Predict the Future: Top 5 Threat Predictions for 2013” (2012 年12 月 13 日公開) を翻訳した記事です。前編からの続きです。
予測 #3: ドライブ バイ攻撃、およびクロスサイト スクリプティング攻撃は攻撃者のお気に入りになるだろう長期的なトレンドは明らかです: 攻撃者は、年々ますますドライブバイ ダウンロード攻撃、およびクロスサイト スクリプティング攻撃を利用しています。Blacole エクスプロイト キット (英語情報) などのエクスプロイト キットが広く利用可能ななったことにより、ドライブバイ ダウンロード攻撃は、より実行し易くなっています。このようなキットによって、攻撃者は、更新の頻度が低い、あるいは最新の状態に更新するのが難しいユビキタスソフトウェアの脆弱性に関心を集中させることが可能になります。攻撃者がドライブバイ ダウンロード攻撃、およびクロスサイト スクリプティング攻撃を、 2012 年に利用したのよりもさらに多く、2013 年に利用し続けるであろうということについて、私は自分が大胆な予測をしているとは思いません。
図 4 (左): 2011 年第 1 四半期 ~ 2012 年第 2 四半期中、種類の異なる悪用を報告した一意のコンピューターの台数図 5 (右): 2004 年 ~ 2012 年に、クロスサイト スクリプティングに関わるものであると特定されたマイクロソフトセキュリティ レスポンス センター (MSRC) の脆弱性調査ケースの割合を年別に表示
クロスサイト スクリプティング攻撃、およびその緩和方法に関する追加情報は、クロスサイト スクリプティング クイック セキュリティ レファレンス (英語情報) を参照してください。ドライブバイ ダウンロード攻撃に関する詳細情報は、私が書いた以下のシリーズ記事を参照してください:
予測 #4: ソフトウェアの更新はより簡単になり、脆弱性の悪用はより難しくなる 前述のドライブバイ ダウンロード攻撃のデータが示すように、多くの攻撃者はシステムをうまく侵害するために、最新ではないソフトウェアを利用しています。これは長年に亘って成功している方法で、攻撃者は近い将来もこの方法を利用し続けるでしょう。先ほど私が予想したように、私たちは 2013 年に多くのドライブバイ ダウンロード攻撃、および悪用の試みの検出、そしてそのブロックを目にすると思われます。しかし、これらの攻撃は今後、過去と比べて有効性が弱くなるでしょう。すでにその兆候がみられます。たとえば、2011 年の第三四半期にピークを迎えた検出の急増後、Adobe Flash Player の脆弱性を標的とした悪用の検出は、アップデートの容易さが作用して、以降の各四半期では大幅に減少しました。
図 6: 2011 年第一四半期 ~ 2012 年第二四半期において、マイクロソフト アンチマルウェア製品によって検出、およびブロックされたAdobe Flash Player の悪用数 – 悪用にさらされた一意のコンピューターの台数で表示
Adobe、Oracle、およびその他のベンダーが、ユビキタス ソフトウェアを常に最新に更新することを、顧客にとってより容易にするにつれて、攻撃者が古い脆弱性を悪用する機会はどんどん減っていきます。また、私はアプリケーションストアの配信モデルも、ソフトウェア ベンダーが、最新、そして最も安全なバージョンのソフトウェアを上手く配信できる手助けをしてくれるだろうと楽観視しています。
予測 #5: ルートキットは、 2013 年に進化を遂げるだろう新しい 2 つのテクノロジ、Unified Extensible Firmware Interface (UEFI)、およびセキュア ブートは、ルートキット、そしてその他のブート ローダー攻撃をより防御します。これらのテクノロジを適用するシステムがより普及するにつれ、ルートキットの提供者は彼らのマルウェアを革新、および進化させようと試みるだろうと予想しています。
UEFI とセキュア ブート について知識を深めるには、Windows 8 ビルド blog (英語情報) を参照してください。ルートキットについて知識を深めるには、Microsoft Malware Protection Center の最新のルートキットに関する脅威レポート (英語情報) を参照してください。
おわりに、すべてのソフトウェアを最新の状態に更新し、信頼できる提供元のマルウェア対策ソフトウェアを実行し、そしてSecurity Development Lifecycle (SDL) を利用して開発されたソフトウェアを求めていくことが、2013 年においてもベストプラクティスであり続けるでしょう。これらは、脅威がいかに進化しているかという点を考えた際、人々がとることのできる最良の措置です。
ティム・レインズディレクターTrustworthy Computing
本記事は、Microsoft Security Blog – “Using the Past to Predict the Future: Top 5 Threat Predictions for 2013” (2012 年12 月 13 日公開) を翻訳した記事 (前編) です。後編に続いています。
休暇が近づき 2013 年が目前に迫っているため、12 月は 1 年の出来事を振り返り、そこから何を学んだのか省察するのに最適な時期です。その結果、毎 12 月には、必然的に、来年の脅威の見通しがどのようなものになるのか、推定あるいは予測することが求められます。私はノストラダムスではありませんし、私たちは過去を利用して、将来を極めて高い精度で予測することはできないと知っています。しかしながら、脅威の状況に対する現在の観察に基づいて、来年、予想されるトップ 5 の傾向に関して、私の考えを共有したいと思います。
私の予測について話す前に説明しておきたいのですが、プライバシー、およびサイバーセキュリティが、 2013 年も注目の話題であり続けるであろう、2 つのテーマであることは周知の事実です。プライバシーに関連する複数のトピックが幾つかある中で、とりわけ、Differential Privacy (英語情報)、および Do Not Track (DNT) (英語情報) が、注目を集めています。分かりきったことを言いますが、 2013 年に、プライバシーは最も重要なテーマになるでしょう。 世界各地の政府が、その地域の安全性、および安定性に影響を与える可能性のある攻撃から、重要なインフラを最善に保護する、様々な方法について検討しています。私の同僚である、ポール・ニコラスが、 2012 年初頭に、このテーマを洞察する、サイバーセキュリティの将来: 10 億人の潜在的なユーザーがサイバースペースをどのように変更するかについて学ぶ (英語情報) という記事を公開しました。これら、より明白なトレンドについて述べたので、私のトップ 5 予測を掘り下げていきましょう。
予測 #1: 犯罪者が予期せぬ電子的諜報活動 (サイバーエスピオナージ) の結果、恩恵を受ける 過去数年に亘って、洗練されたマルウェアを使用する標的型攻撃の発端に関するいくつかの報道がされています。スタックスネット (Stuxnet) はその一例です。 これらの報道が正確で、政府各国が自国の軍事/経済諜報活動プログラムの一環としてマルウェアを開発しているのであれば、これまで意図しない結果があったのだと考えるのが賢明で、これは2013 年、およびそれ以降も続くものといえます。たとえば、スタックスネットが使用する脆弱性の 1 つが、2010 年に更新プログラム(MS10-046) がリリースされたCVE-2010-2568 です。それ以降、多くのマルウェア作成者が、可能な限りたくさんのシステムをセキュリティ侵害しようと企て、作成したマルウェアがこの脆弱性を使用するよう適用しました (英語情報)。 マイクロソフト セキュリティ インテリジェンスレポート 第 13 版 (英語情報) で公表したデータによれば、CVE-2010-2568 を標的とした悪用 (エクスプロイト) は、2012 年上半期では、全世界のオペレーティング システムにおけるエクスプロイト検出の 85 % を占めており、 2012 年の第二四半期だけで、 100 万のシステムの内 4 分の 3 が、このエクスプロイトの検出を報告しています。対応するセキュリティ更新プログラムがリリースされてからほぼ 2 年後においてもです。
熟練した専門家が開発し、使用しているマルウェアおよび脆弱性が発見される度に、犯罪者が高度に洗練された技術を攻撃に適用する敷居は低くなっています。これは、今後数年間、電子的諜報活動の意図しない結果を増大させる可能性があります。
図 1 (左): 2011 年第一四半期 ~ 2012 年第二四半期中、マイクロソフト アンチマルウェア製品によって検出、およびブロックされたオペレーティング システムの悪用数。悪用にさらされた一意のコンピューターの台数で表示; 図 2 (右): 2011 年 7 月 ~ 2012 年 6 月に、CVE-2010-2568 と共に見つかったマルウェア ファミリ
予測 #2: 攻撃者はマルウェアをインストールするために、ますますアプリケーション、映画、および音楽を利用するようになる攻撃者が戦術を変更するにつれて、マイクロソフト アンチマルウェア製品およびツールが、全世界のシステムでブロックし、除去するマルウェア カテゴリの相対的な蔓延度合は変わります。 たとえば、下図に見られるように、ワームは過去、攻撃者と共に流行し、廃れていきました。過去数年間、トロイの木馬 (および、ソーシャルエンジアニリング) が最も蔓延している脅威のカテゴリになりました。これは、図 1 の、Android ユーザーを標的とする Unix/Lotoorの脅威からも分かるように、モバイル アプリケーションのマーケットプレイスについても同様です。この傾向は 2013 年も継続するだろうと予測します。
図 3: 2006 年以降の半年/四半期毎のマルウェア、および望まれていない可能性のあるソフトウェア カテゴリ
私たちは、最近、ソフトウェアユーザーに対して、攻撃者がソフトウェア キージェネレーターを使用してユーザーのシステムにマルウェアをインストール (英語情報) していると警告しました。最近、さまざまな異なるベンダーから、いくつかの新しいオペレーティング システム、およびデバイスがリリースされたことを考えれば、 2013 年はキージェネレーターのダウンロードが急増すると予想されます。結局のところ、人が新しいデバイスを入手後最初に行うのは、アプリケーションをインストールすることです。キージェネレーターのダウンロードが引き続き増加するにつれ、トロイの木馬が蔓延します。私の持論は、「ソフトウェアの提供元を信用できないのであれば、ソフトウェアを信用してはならない」というものです。 2013 年もこのアドバイスは、これまでもそうであったように妥当と言えるはずです。
ここしばらくの間増加している同様の傾向の一つが、マルウェアのインストールにビデオ、およびオーディオファイルを利用するものです。 この戦術を使用する ASX/Wimadと呼ばれるトロイの木馬のダウンローダー ファミリは、全世界の複数の場所で、脅威のトップ10 リストに入りました。この上昇傾向は、攻撃者が、人々の無料エンターテインメント、およびソフトウェアを欲する気持ちを巧みに利用しながら、 2013 年も続くと思います。
最後に、図 3 のアドウェアの比較的最近の減少を見てください。この減少は、オンライン広告が、すぐにでも姿を消すという意味ではありません。アドウェアの減少は、オンライン広告主が、製品、およびサービスの価値提案について、より宣言的、且つ透過的になった結果である可能性が高いです。広告経済活動が、アプリ内の広告に移行するにつれて、広告業界の収益構造は変わるでしょう。
「情報セキュリティ月間」をご存知ですか?
「情報セキュリティ月間」は、情報セキュリティ政策会議が “政府機関はもとより、広く他の関係機関、団体の協力の下に、国民各層の幅広い参加を得た取り組みを集中的に推進する。”*1 ために2007年に2月2日を「情報セキュリティの日」としたことが始まりで、2010年からは、 “国民の皆様が情報セキュリティについての関心を高め、理解を深めていただくため”*2 2月を「情報セキュリティ月間」としたものです。
マイクロソフトでは、2007年の情報セキュリティの日から、「みんなで情報セキュリティ!」という活動を通じて参加してきました。昨年からは、ITに詳しくない方にもセキュリティに興味を持っていただくことを目指した「LOVE PC」という(ある意味、異色の)活動を行っています。
今年のLOVE PCは、「IT護身術」をキーワードに、安全にITを利用するための“心技体”を伝えていく予定です。
LOVE PC 2013
*1 「情報セキュリティの日」関連資料 http://www.nisc.go.jp/isd/isd_detail.html
*2 情報セキュリティ月間 http://www.kantei.go.jp/jp/tyokan/hatoyama/2010/0129message.html