日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
答えは NO! です。
2014 年 4 月 8 日 (火) (米国時間) に Windows XP と Office 2003 のサポートが終了となるまで残り 30 日。たとえ Windows Vista や Windows 7 などの、サポートが継続しているオペレーティング システム上であっても、サポート終了後の Office 2003 を使い続けることは危険です。オペレーティング システムと同様、Office などのアプリケーションにも脆弱性が存在し、サポート終了後は、新たな脆弱性が発見されてもセキュリティ更新プログラムが提供されないためです。また、通常セキュリティ更新プログラムが公開されると、攻撃者はリバース エンジニアリングを行って脆弱性を特定し悪用コードを作成するのですが、サポート中の上位 Office バージョンにセキュリティ更新プログラムが提供されれば、Office 2003 に存在する同じ脆弱性はすぐに特定されるため、サポート終了によりセキュリティ更新プログラムが提供されない Office 2003 は永遠に「ゼロデイ」状態となります。
新しい Office のセキュリティ機能
標的型攻撃 (APT) や情報漏えいが日々話題となりますが、そんな現代のセキュリティ脅威に対し、新しい Office は耐性があります。Office 2003 のリリースから 10 年以上経つ中で得られた経験が蓄積されているのです。例えば、Office 2007 以降では、Office ドキュメントを使った攻撃を行いにくくするため、デフォルトのフォーマットを XML (構造化されたテキスト) に変更し (.docx, .pptx, .xlsx など)、攻撃コードの挿入を困難にしました (図 1)。また、最近のOfficeのリリースはもちろんのこと、攻撃を受けやすい部分を軽減する機能 (ファイル検証機能、ファイル制限機能、Active Contents の無効化、危険な Active X の無効化など) や、攻撃を受けやすい部分を強化する機能 (ASLR や DEP など)、また、保護されたビュー (サンドボックス)などを実装しています (図 2)。
図 1: .pptx と .ppt の構造の違い
図 2: Office 2010・Office 2013 の対策例
そのほか、こちらの Office 365 ProPlus セキュリティ ホワイトペーパーでも強化されたセキュリティについて紹介しています。Office 365 は、多要素認証、Office 365 Message Encryption、S/MIME 暗号化機能、ディレクトリベースのエッジ ブロックや Exchange Online Protectionの機能 など、セキュリティとプライバシーの保護に徹底的なクラウドサービス機能もいくつかありますので、ご興味のある方はぜひご確認ください。
おわりに
10 年以上前に開発された Office 2003 のセキュリティ対策は、セキュリティ更新プログラムの適用による脆弱性対応のみです。しかし、その脆弱性対応も、間もなく訪れるサポートの終了に伴い行えなくなります。Office や PDF などのドキュメントは標的型攻撃やソーシャル エンジニアリング攻撃でよく利用されます。Windows Vista や Windows 7 などサポート中のオペレーティング システム上かどうかにかかわらず、サポート終了後の Office 2003 を使用するのは危険ですので、早めにサポートが継続している製品へ移行されることをお勧めします。なお、ご参考までですが、Office Professional 2010 は 2020 年 10 月 13 日まで、Office Professional 2013 は 2023 年 4 月 11 日まで、延長サポート対象外の Office 2011 for Mac は 2016 年 1 月 12 日までサポートを提供しています。(すべて米国時間)
関連リンク
サポート終了後のセキュリティ~重要な情報は保存していないから大丈夫 ?
サポート終了後のセキュリティ~危険なサイトにアクセスしなければ大丈夫?
サポート終了後のセキュリティ~ネットに接続しなければ大丈夫?
サポート終了後の Windows XP、マルウェア対策ソフトが動いていれば安心?
Windows XP サポート終了後のセキュリティ~ マルウェア感染率が示すリスク
こんにちは、村木ゆりかです。
マイクロソフトでは、Windows において信頼するルート証明書を管理する仕組みであるルート証明書プログラムを筆頭に、ユーザーのみなさんが、安全に公開鍵基盤 (PKI) 環境を利用できる基盤作りを行っています。
PKI を取り巻く環境は、技術変化や脅威の拡大に伴い、急速に変化しています。数年前までは、「証明機関を信頼する」という作業で安全な PKI 環境の利用ができましたが、最近は、証明機関がサイバー攻撃を受け侵害されるなど脅威が増し、信頼していた証明機関に問題が発生した場合の対応を含めた利用を行う必要があります。
Windows においては、暗号化アルゴリズムの転換などを契機とし、特に Windows Vista 以降においては CAPI2 や CNG (Cryptography Next Generation) への対応など大きくデザイン更新をし、その後もさまざまな機能追加を提供しています。
証明書を更新する機能についても、更新の方法や多様なシナリオへの対応を行うべく、仕組みの更新を行っています。OS 毎の、証明書自動更新機能一覧は以下の通りです。
◎ は既定で自動更新を利用可であり特に追加で作業が必要ではないものを示します。(ドメイン環境などで固有の環境に合わせるための設定を除く)
○ は更新プログラムを適用する事で自動更新を利用可であり、証明書を更新するための方法 (補足 2) を示します。
△ は既定の自動更新機能はなく手動更新や定期的な更新の適用が必要であり、証明書を更新するための方法 (補足 2) を示します。
Windows で提供される信頼・非信頼リストの更新機能
Windows XP サポート終了におけるリスク
Windows XP のサポート終了もあとわずかに迫りました。上述の表の通り、Windows XP では、証明書の自動更新機能は限定的な機能です。また、サポート終了に伴い、セキュリティ アドバイザリや、手動で更新するためのパッケージの提供が終了します。
証明書は、インターネットで安全なやりとりを行うためのSSL/TLS で多く利用されており、クラウド サービスを始めとしたオンライン サービスで、安全に利用するためには欠かせません。サポート終了後は、これらのサービスへのセキュリティ影響が発生します。具体的な例は以下の通りです。
・信頼できない証明書が更新できず、悪意のあるサイトと通信を行ってしまう
Windows XP 向けに提供されていた信頼できない証明書を更新するためのパッケージは、サポート終了に伴い提供が終了します。もし、正規に発行された証明書だったが、その後、セキュリティ攻撃などにより信頼が失われたなどの理由から、利用を停止したい証明書や証明機関が発生しても、対応させるための更新パッケージが提供されません。ユーザーは自ら、信頼を失った証明書の情報を把握し、MMC 証明書スナップインなどから追加する必要がありますが、これは容易な作業ではありません。
もし、信頼できない証明書をそのまま利用してしまった場合、悪意のある HTTPS ウェブサイトへ接続してしまったり、悪意のあるものと、SSL/TLS 通信をしてしまったりする可能性があります。
・ドメイン環境等で信頼する証明機関の更新が行えず接続障害が発生する
HTTPS サイトへの接続などの SSL/TLS など証明書を利用する場合は、信頼するルート証明機関の証明書をインストールしておく必要があります。これまでは、ドメイン環境やプロキシでインターネットへの接続を制限しているなどの非インターネット環境 (補足 1) のため自動証明書更新が利用できない環境に対して、手動で更新するためのパッケージを用意して提供していました。サポートが終了すると、このパッケージの提供も終了します。
このため、追加が必要な証明機関を把握し、MMC 証明書スナップインなどから証明書をインストールする、あるいは、新たなグループポリシーを構成して展開するなど、自身で信頼されたルート証明書を管理する必要があります。信頼できるルート証明機関の構成が正しく行��れていない場合は、SSL/TLS がエラーになるなど、接続に障害が発生します。
安全な PKI 環境を利用するために
今回ご紹介したルート証明書更新プログラムの他にも、暗号化の仕組みなど、最新の OS では、昨今の脅威に対応した仕組みを既定の機能として提供しています。PKI や暗号化は複雑でわからないものが多いと思っていらっしゃる方もいると思います。Windows では既定の機能としてより安全な環境を提供することで、仕組みが分からなくても自動的に守られることを目指し、最新製品に反映しています。ぜひ、最新の OS や最新の状態で PCを利用することを、検討してみてください。
■ 関連ブログポスト
マイクロソフトが提供する信頼できる証明書利用基盤
セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化
失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨
■補足 1: 非インターネット環境
証明書の自動更新機能は、windowsupdate.com のサイト上のアドレスへアクセスして最新の信頼リスト・非信頼リストを取得するように設定されています。企業環境などにおいて、windowsupdate.com のサイト上のアドレスへアクセスができない場合などは、証明書の自動更新機能を利用できません。Windows Update 機能とは別に独立して行われます。
■補足 2
Windows における証明書更新機能
手動更新 (IEXPRESS パッケージ):
信頼されるルート証明機関、および信頼できない証明機関のリストは定期的に更新されます。KB931125 (IEXPRESS パッケージ) を Windows Update またはダウンロードセンターから入手し端末にインストールし、最新の状態に更新します。
自動更新:
自動更新メカニズムを使用して信頼するルート証明書をダウンロードまたは更新することができます。参考「マイクロソフトが提供する信頼できる証明書利用基盤」
自動失効ツール:
Windows Vista/7 または、Windows Server 2008/2008 R2 では、KB2677070 または KB2813430 をインストールすることで、自動更新メカニズムを使用して信頼されていないルート証明書をダウンロードまたは更新することができます。 なお、Windows 8 /Windows Server 2012 以降をご利用の場合は、既定でこの機能は利用可能になっています。
参考「マイクロソフトが提供する信頼できる証明書利用基盤」「失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨」
ドメイン環境用自動更新:
KB2813430 を適用し構成することで、ドメイン環境などインターネットに接続していないクライアントへの自動更新を行うことができます。参考「セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化」
セキュリティ アドバイザリ
信頼を失った証明書は、セキュリティ アドバイザリにて公開を行い、信頼しないようにするための更新プログラムを提供しています。参考「セキュリティ アドバイザリ 2916652」
■補足 3
Windows では、証明書を信頼するかどうか、という確認を行う仕組みは複数あり、今回のルート証明書更新プログラム (信頼できる証明機関のリスト、および信頼できない証明機関のリストによる検証) の動作は、PKI で一般的に利用される失効リスト (CRL), オンライン レスポンダ (OCSP) による失効確認とは別の動作です。
2014/03/25 16:45 更新: 回避策④ EMET を導入するの記載を更新し、Mandatory ASLR および anti-ROP features のいずれかで阻止できることを明確にしました。
2014/03/25 15:50 更新: セキュリティ アドバイザリ 2953095 の日本語版を公開しました。
本日マイクロソフトは、セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開しました。
このアドバイザリは、Microsoft Word において確認されている脆弱性の説明、および脆弱性から保護するための回避策を提供しています。ユーザーが、影響を受けるバージョンの Word で特別に細工された RTF ファイルを開く、または特別に細工された RTF 形式の電子メール メッセージを Word を電子メール リーダーとして使用した Outlook でプレビューもしくは開いた場合に、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。
この脆弱性の悪用状況は、現在のところ Microsoft Word 2010 を対象とした限定的な標的型攻撃のみを確認しています。アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。
■ 影響を受ける環境
Microsoft Word 2003
Microsoft Word 2007
Microsoft Word 2010
Microsoft Word 2013
Microsoft Word 2013 RT
Microsoft Word Viewer
Microsoft Office 互換機能パック
Microsoft Office for Mac 2011
Word Automation Services on Microsoft SharePoint Server 2010
Word Automation Services on Microsoft SharePoint Server 2013
Microsoft Office Web Apps 2010
Microsoft Office Web Apps Server 2013
■ 回避策
セキュリティ更新プログラム公開までの間お客様の環境を保護するために、以下のいずれかまたは併せて回避策を実施してください。
回避策①Fix It を適用する
本脆弱性による攻撃を防ぐFix It ソリューションを提供開始しています。現在、本脆弱性を悪用した攻撃が限定的な範囲ですが報告されていますので、早期に対応するために、Fix It ソリューションの適用を検討してください。Fix It を適用することで、Office ファイル制限機能が構成され Word で RTF ファイルが開かれないようになります。
Fix It 適用方法
注意事項
補足事項
回避策② 電子メールをプレーン テキストで読む
Outlook 2003, Outlook 2007, Outlook 2010, Outlook 2013 では電子メール メッセージをプレーン テキスト形式で読むためのオプションを提供しています。詳細は、サポート技術情報 831607 およびテキスト形式で電子メール メッセージを閲覧するをご覧ください。
回避策③ MOICE を使用して、Word で RTF ファイルが開かれるのを防ぐ
MOICE を利用して、Excel, PowerPoint, Word の特定のファイル形式をブロックするように設定できます。Word 2007, Word 2010, Word 2013 をお使いのお客様は、Office 2013 のファイル制限機能の設定を計画するをご覧ください。Word 2003 をお使いのお客様はアドバイザリに記載の手順でレジストリを設定してください。
回避策④ EMET を導入する
Enhanced Mitigation Experience Toolkit (EMET) の既定の構成で、現在確認されている悪用を防ぐことを確認しています。今回の場合、Mandatory ASLR および anti-ROP features が効果的に悪用を阻止します。(追記: Mandatory ASLR または anti-ROP features のいずれかを設定いただければ現在確認されている攻撃を阻止することができます)
EMET については、私たちのチームのブログでも解説をご用意しています。まだご存知のない方は、ぜひこの機会に導入をご検討ください。
セキュリティ TechCenter「Enhanced Mitigation Experience Toolkit」
日本のセキュリティ チーム ブログ 「EMET 4.1 を公開 ~ 構成ファイルや管理機能の強化」
■ 参考リンク
Microsoft Security Response Center (MSRC) ブログ
Microsoft Releases Security Advisory 2953095 (英語情報)
Security Research and Defense ブログ
Security Advisory 2953095: recommendation to stay protected and for detections (英語情報)
2014 年 3 月 12 日 (日本時間)、マイクロソフトは計 5 件 (緊急 2 件、重要 3 件) の新規セキュリティ情報を公開しました。新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。
お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、MS14-012 (Internet Explorer) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。この更新プログラムはマイクロソフト セキュリティ アドバイザリ 2934088「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明した脆弱性に対応したものです。
■ 既存のセキュリティ アドバイザリの更新 (2 件)
セキュリティ アドバイザリ 2934088「Internet Explorer の脆弱性により、リモートでコードが実行される」 セキュリティ情報 MS14-012 (Internet Explorer) を公開し、本脆弱性に対処したセキュリティ更新プログラムを公開しました。
セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」 Adobe セキュリティ速報 APSB14-08 で説明している脆弱性を解決する更新プログラム 2938527 を公開しました。
■2014 年 3 月のセキュリティ情報一覧 各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-Mar
マイクロソフトは新たに確認した脆弱性について、次の 5 件の新しいセキュリティ情報を公開しました。
セキュリティ情報 ID
セキュリティ情報タイトル
最大深刻度
脆弱性の影響
再起動の必要性
影響を受けるソフトウェア
MS14-012
Internet Explorer 用の累積的なセキュリティ更新プログラム (2925418)
緊急
リモートでコードが実行される
要再起動
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、 および Windows RT 8.1 上の Internet Explorer
MS14-013
Microsoft DirectShow の脆弱性により、リモートでコードが実行される (2929961)
再起動が必要な場合あり
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2
MS14-014
Silverlight の脆弱性により、セキュリティ機能のバイパスが起こる (2932677)
重要
セキュリティ機能のバイパス
再起動不要
Windows 用の Silverlight 5、および Mac 用の Silverlight 5
MS14-015
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2930275)
特権の昇格
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1
MS14-016
Security Account Manager Remote (SAMR) プロトコルの脆弱性により、セキュリティ機能のバイパスが起こる (2934418)
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2
■最新のセキュリティ情報を動画と音声でまとめて確認 マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。
■Windows XPとOffice 2003のサポート終了について
2014 年 4 月 8 日 (火) (米国時間) に Windows XP と Office 2003 のサポートが終了となります。Windows XPのサポート終了についてWindows XP上でポップアップでも通知される予定です (詳細はこちら)。ぜひ以下のセキュリティ リスクをご確認いただき、まだの方は移行をご検討ください。
本記事は、Security Research & Defense のブログ “Assessing risk for the March 2014 security updates” (2014 年 3 月 11 日公開) を翻訳した記事です。
本日、23 件の CVE を解決する 5 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 3 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報
最も起こりうる攻撃
セキュリティ情報最大深刻度
最大悪用可能性指標
公開 30 日以内の影響
プラットフォーム緩和策、および特記事項
(Internet Explorer)
被害者が悪意のある Web ページを閲覧する。
1
30 日以内に悪用コードが作成される可能性があります。
標的型攻撃における問題点について、セキュリティ アドバイザリ 2934088 で説明している脆弱性を解決します。
(DirectShow)
3
30 日以内に悪用コードが作成される可能性は低いです。
悪意のある Web ページから到達可能な qedit.dll における 1 件のダブル フリーの脆弱性を解決します。
(Silverlight)
攻撃者は、ブラウザーのセキュリティ コンテクスト内で任意コードを実行するために、この脆弱性と (別の) コード実行の脆弱性を組み合わせる。
なし
この脆弱性で直接コードが実行されることはありません。
この脆弱性では直接のコード実行は行われません。しかしながら、コンポーネントの攻撃者が ASLR のバイパスを利用する可能性があります。
(カーネル モード ドライバー)
低い特権でコードを実行している攻撃者が、SYSTEM に昇格するため悪用バイナリを実行する。
(Security Account Manager)
Security Account Manager のパスワード API に API コールができる攻撃者は、アカウントのロックアウト ポリシーを始動させることなく、手当たり次第にパスワードを予測することができる。
攻撃者は、影響を受けた API をコールする前に認証を行わなければなりません。認証後、ロックアウトのリスクなく、自らのパスワード、またはユーザーのパスワードを予測することが可能です。
ジョナサン・ネス、MSRC エンジニアリング
本記事は、Microsoft Security のブログ “Microsoft Cybersecurity Report: Top 10 Most Wanted Enterprise Threats” (2013 年 11 月 26 日公開) を翻訳した記事です。
長年にわたる海外出張で大勢の企業のお客様にお会いし、進化している脅威の動向について話し合う機会がありました。こちらから情報を提供するだけでなく、お客様から自身の環境の中でリスクをどのように管理しているかを教えていただきました。多くのお客様は、エンタープライズ環境で見つかる主要な脅威に関心をもたれています。エンタープライズ環境で最も一般的な脅威を知ることで、現在のセキュリティ態勢を評価して、セキュリティに対する投資の優先順位付けに役立ちます。この情報に対する高い関心を考えると、最新版のマイクロソフト セキュリティ インテリジェンス レポート (SIRv15) の新しい情報に基づいて、企業のお客様が直面するトップ 10 の脅威を詳しく見ていくことがお役に立つと思われます。
最新のレポートでは、2012 年第 3 四半期 (3Q12) と 2013 年第 2 四半期 (2Q13) の間に、世界中のエンタープライズ環境にあるシステムの平均で約 11% がマルウェアに遭遇しています。この “遭遇率” は、マイクロソフトのリアルタイム セキュリティ ソフトウェアを実行しているコンピューターが、マルウェアを検出してインストールをブロックした際のレポートに基づいた割合です。これは、実際にマルウェアに感染したシステムの数、つまり CCM (1,000 回ごとに駆除されたコンピューター数) と呼ばれる測定値とは異なります。
図 1 (左): 消費者向けおよび企業向けコンピューターでのマルウェア遭遇率 (3Q12 ~2Q13)。図 2 (右): マイクロソフト エンタープライズ セキュリティ製品が検出した上位 10 ファミリーの四半期ごとの傾向 (3Q12 ~ 2Q13)、2Q13 に各ファミリーに遭遇したコンピューターの割合。
上のリストで世界中のエンタープライズの脅威のトップ 10 を見てみると、現代の企業が一般的にどのような場合にマルウェアに接触しているかがわかります。このリストによると、企業がマルウェアに遭遇するのは、主に次の 3 つの方法からです。
悪意のある、または侵害された Web サイトから
ネットワーク ドライブから広がったワーム、自動実行機能の悪用、脆弱なパスワードなど
悪意のある、または侵害された Web サイト 2012 年末までに、Web ベースの攻撃は従来のネットワーク ワームを超えて、企業が直面する最も多い脅威になりました。 最新のセキュリティ インテリジェンス ��ポートは、この傾向が 2013 年の前半まで続いていることを示しています。
図 3: マイクロソフト エンタープライズ セキュリティ製品が検出した上位 10 種のファミリーの四半期ごとの傾向 (2012 年第3 四半期 ~ 2013 年第2 四半期)、各ファミリーに遭遇したコンピューターの割合
実際、2Q13 に企業が遭遇した上位 10 種の脅威のうち 6 つは、悪意があるか侵害された Web サイトに関連するものです。このような脅威には、JS/Seedabutor、HTML/IframeRef、Win32/Sirefef、JS/BlacoleRef、Java/CVE-2012-1723、Blacole などがあります。企業のコンピューター ユーザーは通常、社内システムを使用して Web を閲覧しているときに、この種の悪意のあるまたは侵害された Web サイトに思いがけなく接触してしまいます。
HTML/IframeRef を例にとると、攻撃者は、Web サイトを調べて脆弱な Web サーバーを見つけ、感染させる自動システムを作っています。侵害されて感染したサーバーは、リダイレクターとして使用される、見た目は無害な小さいコードをホストします。ところが、このコードはチェーンの一部で、被害者がその Web サイトにアクセスすると、リダイレクターが別の悪意のあるサーバーから悪意のあるページを提供して、その被害者をマルウェアに感染させます。この種の攻撃テクニックについては、以前に書いた一連の記事でご覧になれます。
What You Should Know About Drive-By Download Attacks - Part 1 (ドライブバイ ダウンロード攻撃に関する注意 - その 1)
What You Should Know About Drive-By Download Attacks – Part 2 (ドライブバイ ダウンロード攻撃に関する注意 - その 2)
システムがマルウェアに侵害されると、感染したマシンを混乱させるだけでなく、やり取りする他のシステムに危害を与える可能性もあります。感染したシステムは企業の内外でマルウェアの拡散に使用され、知的財産などの情報が盗まれる場合があります。
ネットワーク ドライブ、自動実行、脆弱なパスワード 企業が直面する最も多い脅威は Web ベースの攻撃ですが、ワームも無視できません。2013 年第 2 四半期で企業が直面した上位 10 種の脅威のうちの 3 つは、Win32/Conficker、INF/Autorun、Win32/Dorkbot などのワームに関連するものです。ワームは一般的に、ネットワーク ドライブ、自動実行機能の悪用、脆弱パスワードの悪用によって広がります。
たとえば、Conficker ワームは通常、脆弱なパスワードを悪用して拡散されます。このワームは、一般的なパスワードや脆弱なパスワードの組み込みリストを使用して、他のコンピューターを侵害しようとしたり、感染したシステムにログインするユーザーの資格情報を盗もうとします。"admin"、"admin123"、"administrator"、"default"、"test"、"12345"、"security" などのパスワードは、Conficker のパスワード リストに載っています。Conficker はシステムを侵害すると、IT 管理者の資格情報を盗んで内部ネットワークに広がる可能性があります。Conficker がこのテクニックを使って広がるしくみは次のとおりです。
システムが侵害される
ユーザーにある問題が起きて、それについて管理者にサポートを求める
管理者がその問題に対処するため、ネットワーク管理パスワードを使って、感染したマシンにログインする
ソーシャル エンジニアリング 最新の脅威に関する情報によると、企業がマルウェアに直面する 3 番目に多い方法は、ソーシャル エンジニアリングを介したものです。これには、Win32/Obfuscator などが挙げられます。サイバー犯罪者は、マルウェアを隠してだまし、インストールさせるように仕向けます。これはさまざまな場合に起きる可能性があります。
たとえば、攻撃者は侵害したシステムを使って、悪意を持ったサイトやマルウェアへのリンクが含まれる間違いメール、友達リクエスト、インスタント メッセージなどを送信します。その他に、オンラインでダウンロードできる人気のあるソフトウェアや映画、音楽にバンドルする方法が、攻撃者が人々をだましてマルウェアをインストールさせようとする方法としてよく使われます。この方法については、マイクロソフト セキュリティ インテリジェンス レポート第 13 版で詳しく説明されています。
幸いなことに、企業の保護に役立つ、次のような効果的な緩和策やベスト プラクティスがあります。
すべてのソフトウェアを最新の状態に保つ: 攻撃者は、さまざまなベンダーのあらゆる種類のソフトウェアにある脆弱性を利用しようとします。したがって、環境内のすべてのソフトウェアを最新の状態にして、可能なかぎり最新版を実行することが重要です。これにより、企業で見られるこの種の脅威が広がりにくくなります。この対策は、2013 年の前半に企業環境で検出された上位 10 種の脅威のうちの 6 つを軽減するのに役立ったはずです。
セキュリティ開発ライフサイクルで開発されたソフトウェアを要求する: 影響を受けるベンダーからソフトウェアの更新プログラムを入手し、テストし、配置するまで、攻撃者が脆弱性を利用して環境を侵害しようとするリスクを管理することが重要です。ソフトウェア ベンダーが ASLR、DEP、SEHOP などのプラットフォームに組み込まれたセキュリティ緩和策を使用することは、これに対処する効果的な方法です。これらの緩和策で、攻撃者による脆弱性の悪用がかなり抑えられます。ベンダーにこれらの緩和策を使用するソフトウェアを要求してください。環境内のソフトウェアでこれらの緩和策が取られているかどうかは、Binscope や EMET などのツールでチェックできます。環境内に配置されたソフトウェアでこのような緩和策が取られていない場合は、EMET によって有効にできる場合もあります。これらの緩和策によって、セキュリティ更新プログラムやソフトウェアの新しいバージョンをテストして配置する時間ができるため、リスク管理に役立ちます。ベンダーがセキュリティ開発ライフサイクルを使用しているかどうかを確認する簡単な方法は、ISO 27034 という国際標準の指針に適合しているか尋ねることです。
Web サイトを制限する: 社内のユーザーがアクセスできる Web サイトを制限します。社内では不満が出るかもしれませんが、企業で見つかる脅威の多くが悪意のある Web サイトから伝達されることを考えると、Web サイトの制限を正当化できる十分なデータであると言えるでしょう。また、サーバーから Web へのアクセスを制限することは、これまでずっとベスト プラクティスでした。
Web サイトのセキュリティを管理する: 多くの企業は、このような攻撃で使われる悪意のあるコンテンツを自社の Web サイトがホストする可能性があることに気付いていません。自社の Web コンテンツを定期的に評価して、顧客とその評判に影響を与えるような侵害が起きないようにします。
もちろん、最新のマイクロソフト セキュリティ インテリジェンス レポートには、その他のデータがたくさんあります。このレポートは、お客様のリスク管理と資産保護に役立つ規範的なガイダンスを提供するためのものです。企業のリスク管理担当者の方はすぐに、http://www.microsoft.com/ja-jp/security/resources/sir.aspx からこれをダウンロードして、最新の脅威について確認されることをお勧めします。
Trustworthy Computing (信頼できるコンピューティング) 部門 ディレクター Tim Rains (ティム・レインズ)
2014 年 3 月の月例セキュリティ リリースの事前通知を公開しました。 2014 年 3 月 12 日に公開を予定している新規月例セキュリティ情報は、合計 5 件 (緊急 2 件、重要 3 件) です。
来週公開予定のセキュリティ更新プログラムで、2014 年 2 月 20 日に公開したセキュリティ アドバイザリ 2934088 で説明している Internet Explorer の脆弱性を解決する予定です。この脆弱性を悪用する Internet Explorer 10 を対象とした限定的な標的型攻撃を確認しています。
なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。
公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。 http://technet.microsoft.com/ja-jp/security/bulletin/ms14-mar
影響を受けるソフトウェア*
セキュリティ情報 1
Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT、および Windows RT 8.1 上の Internet Explorer
セキュリティ情報 2
Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、 Windows Server 2012、および Windows Server 2012 R2
セキュリティ情報 3
Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、 Windows 7、Windows Server 2008 R2、 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、 Windows RT、および Windows RT 8.1
セキュリティ情報 4
Windows XP、Windows Server 2003、 Windows Vista、Windows Server 2008、 Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2
セキュリティ情報 5
Mac 用のSilverlight 5 および Windows 用の Silverlight 5
* サマリの表に記載している影響を受けるソフトウェアの一覧は要約です。影響を受けるコンポーネントの完全な一覧は、上記リンクの「事前通知の Web ページ」の「影響を受けるソフトウェア」のセクションをご覧ください。
本記事は、Trustworthy Computing のブログ “Ransomware: Ways to Protect Yourself & Your Business” (2013 年 11 月 19 日公開) を翻訳した記事です。
Trustworthy Computing (信頼できるコンピューティング) 部門、ディレクター、Tim Rains (ティム レインズ)
世界の数か所で出現して数を増やしている、ある悪意のあるソフトウェアについてご説明します。"ランサムウェア" はマルウェアの一種で、攻撃者に支払いをするまで、コンピューターやそのファイルを使えなくします。ランサムウェアはよく、米国連邦捜査局 (FBI) やロンドン警視庁など、有名な警察組織からの 一見公的な警告を装います。
中小企業はこの種の脅威を認識して、ランサムウェアから身を守る予防策を講じることが重要です。もし攻撃者に会社のシステムをロックされてファイルを暗号化されてしまうと、ビジネスが甚大な影響を受けるからです。幸いなことに、この種の脅威から身を守ることは実に簡単です。
基本的なコンピューター検疫の中に、ランサムウェアから企業システムを保護するために役立つものがあります。
信頼できるベンダーから最新のマルウェア対策のリアルタイム ソリューションを入手して、インストールします。マルウェア対策ソフトウェア オプションのいくつかは、マイクロソフトのセキュリティ パートナーの Web ページから入手できます。
システムにインストールするソフトウェアをすべて最新の状態に保ちます。これには、マイクロソフト、Adobe、Oracle、Java などのソフトウェアが含まれます。
信頼できない提供元から送信されたリンクをクリックしたり添付ファイルを開いたりしないようにします。悪意のあるメール (スパムやフィッシング) は、ランサムウェアによく使われる手段の 1 つです。
重要なファイルのバックアップを定期的に取ります。 これには、OneDrive などのクラウド ストレージ サービスを利用できます。このサービスは現在、Windows 8 と Microsoft Office に完全に統合されています。
クラウドを使うという最後に挙げた推奨事項は、ランサムウェアのような脅威からデータを保護する効果的な方法です。クラウドにデータのバックアップがあれば、データを破壊しようとするランサムウェアの感染などの攻撃から回復する際の負担がかなり軽減されます。クラウド サービス プロバイダーがリスク管理を助けてくれます。
ランサムウェアについて詳しくは、マイクロソフト セキュリティ ブログ (英語情報) に 公開されている記事をご覧ください。また、http://www.microsoft.com/ja-jp/security/resources/ransomware-whatis.aspx のページもお勧めします。ランサムウェアの詳細と、コンピューター ユーザーがこれらの脅威を避ける方法を確認できます。
皆さん、こんにちは!先ほど 3 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。本日 3 月 12 日に公開した新規 5 件 (緊急 2 件、重要 3 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。
※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。
ご利用のブラウザーは video タグをサポートしていません。