皆さん、こんにちは ! 今回は、Windows Defender Offline の概要について解説します。あまり馴染みのないソフトウェアであり、使う場面が無い方が望ましいソフトウェアですが、自分のコンピューターがマルウェアに感染した際や友人や家族のコンピューターが感染した際の手助けにも使用できますので、内容を把握し事前準備しておくと良いと思います。ぜひ、ご一読ください。

Windows Defender Offline とは

Windows Defender Offline は、CD/DVD/USB などのメディアから起動を行い、マルウェアやルートキットが存在するかどうかのスキャン、および、除去を行うことが可能なソフトウェアです。Microsoft Security Essentials (MSE) や Windows 8 / Windows 8.1 に搭載されている Windows Defender などの一般的なマルウェア対策ソフトは、Windows などの OS 上で動作しますが、この Windows Defender Offline は、メディアからコンピューターを起動することで、Windows 上からは確認できなくなっているルートキットなどの対処を行うことが可能です。なお、エンジンや定義ファイルは、MSE などのマイクロソフトの他のマルウェア対策ソフトと同等のものが使用されます。

Windows Defender Offline の準備

注意 : Windows Defender Offline のダウンロードやメディアの作成は、マルウェアに感染していないコンピューターで実行してください。これは、マルウェアによっては、メディアの作成が正常に行えない場合があるためです。

1. 空の CD/DVD メディアか、パスワードで保護されていない 250M バイト以上の空き容量がある USB メディアを準備してください。
2. Windows を起動し、32 ビット版 (mssstool32.exe)、もしくは、64 ビット版 (mssstool64.exe) のWindows Defender Offline インストーラーをダウンロードします。どちらのバージョンをダウンロードすべきか判断できない場合は、サポート技術情報 958406「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」を参照してください。
   ※ メディアを作成するコンピューターではなく、スキャンを行うコンピューターのアーキテクチャーで決定します。
3. ダウンロードしたファイルを実行してください。ウィザードに従って進んでいくと、下記画面が表示されます。使用するメディアを挿入後、該当するメディアを選択し、[次へ >] をクリックします。
   
4. 最新のエンジンや定義ファイルを含むファイルがインターネットからダウンロードされ、メディアから起動可能な状態にインストールが行われます。完了画面が表示されたら、[完了] ボタンをクリックします。
   
   
   
   

Windows Defender Offline の起動、および、実行

1. 作成した Windows Defender Offline のメディアを使って、コンピューターを起動します (作成したメディアを挿入して、コンピューターの電源を入れます)。
2. Windows プレインストール環境 (Windows PE) が起動し、Windows Defender Offline が起動されます。
   
3. 自動的に “クイック スキャン” が開始されます。すべてのファイルをスキャンするには、[スキャンを取り消す] をクリックして ”クイック スキャン” を取り消すか、終了後に [フル] を選択して [今すぐスキャン] をクリックし、”フル スキャン” を実行してください。
   

なお、Windows Defender Offline の画面や操作は、MSE や Windows Defender とほぼ同じですので、操作方法については割愛させていただきます。操作についての不明点は、「Windows Defender を使用する」を参照してください。

注意点

• 作成した Windows Defender Offline のメディアは、作成したコンピューターと異なるバージョンの Windows が動作するコンピューターでも使用可能です。ただし、アーキテクチャー (32 ビット / 64 ビット) は合わせる必要があります。
• USB メディアを使用して Windows Defender Offline を作成する場合、フォーマットされてしまうため、既存のファイルは事前にバックアップしてください。
• 今後、エンジンや定義ファイルの更新を可能とするために USB メディアを使用することを推奨します。
• USB メディアで Windows Defender Offline を作成後、日付が経過している場合は、以下のいずれかの方法で、エンジンと定義ファイルの更新を行ってからスキャンを実施してください
  • Windows Defender Offline を起動後、[更新] を行う。
  • Windows Defender Offline インストーラーを起動し、作成済みの USB メディアをコンピューターに挿入後、[パスワードで保護されていない USB フラッシュ ドライブを使用します。] を指定して [次へ >] をクリックします。インストーラーは作成済みのメディアであることを自動で識別し更新が行われます。
• BitLocker を設定している場合は、保護を中断してから再起動し、作成したメディアを使ってスキャンを実行してください。

メディアの作成時にエラーが発生した場合や、メディアの起動が正常に行えない場合は、「Windows Defender Offline: FAQ」に情報がありますので、参照するようお願いいたします。

最後に

マルウェアの感染の疑いがある場合、または、Windows Defender の使用時にルートキットが見つかり除去できないような場合にお試しください。

なお、日々進化するマルウェアからコンピューターを守り、コンピューターをより安全に使用するためにも下記 3 つを必ず実施するようお願いいたします。

• 正規のマルウェア対策ソフトを導入し、最新の定義ファイルに使用してリアルタイム保護を有効にする。
• セキュリティ更新プログラムをインストールし、コンピューターを最新の状態に更新する。
• 不審な Web サイトの閲覧は行わない。不審なメールや添付されたファイルは開かない。

[2014/6/11 11:45]

(注 1) を記載しました。

2014 年 6 月 11 日 (日本時間)、マイクロソフトは計 7 件 (緊急 2 件、重要 5 件) の新規セキュリティ情報を公開しました。なお、Internet Explorer のセキュリティ更新プログラムには、CVE-2014-1770 の対処が含まれています。そして、新規セキュリティ情報を公開すると共に、既存のセキュリティ アドバイザリ 2 件の更新を行いました。また、今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 1 種類のマルウェアに対応しています。

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。企業のお客様で適用に優先付けが必要な場合は、次の 2 つのセキュリティ情報 MS14-034 (Word)、および、MS14-035 (Internet Explorer) のセキュリティ更新プログラムを優先的に適用することを推奨いたします。その他のセキュリティ情報の適用優先度は次の表を参照してください。

■ セキュリティ情報・セキュリティ アドバイザリに関する主な注意点

• 今回の定例リリースから、Windows 8.1 / Windows Server 2012 R2 Update (2919355) がインストールされていない Windows 8.1、および、Windows Server 2012 R2 コンピューターには、Windows Update / Microsoft Update からセキュリティ更新プログラムが配信されません。また、ダウンロード センターにもセキュリティ更新プログラムが公開されません。(注 1) Windows 8.1 / Windows Server 2012 R2 Update (2919355) をインストールしていないコンピューターは、速やかにインストールを行うようお願いいたします。なお、自動更新を有効にしているコンピューターには、自動的に Windows 8.1 / Windows Server 2012 R2 Update (2919355) がインストールされます。

• MS14-035: 更新プログラム 2929437 がインストールされていない Windows 7、または、 Windows Server 2008 R2 上で Internet Explorer 11 を実行しているコンピューターには、Windows Update / Microsoft Update からセキュリティ更新プログラムが配信されません。また、ダウンロード センターにもセキュリティ更新プログラムが公開されません。(注 1) 更新プログラム 2929437 をインストールしていないコンピューターは、速やかにインストールを行うようお願いいたします。なお、自動更新を���効にしているコンピューターには、自動的に更新プログラム 2929437 がインストールされます。

(注 1) Windows 8.1 Updateの展開上の指針に基づく措置です。詳細は、「Windows 8.1 Update : WSUS での公開と展開タイミングの延長について」をご参照ください。

■ 既存のセキュリティ アドバイザリの更新 (2 件)

• セキュリティ アドバイザリ 2755801「Internet Explorer 上の Adobe Flash Player の脆弱性に対応する更新プログラム」
  この更新プログラムは、Adobe セキュリティ速報 APSB14-16 で説明されている脆弱性を解決します。この更新プログラムに関するダウンロード先などの詳細情報は、サポート技術情報 2966072 を参照してください。

• セキュリティ アドバイザリ 2862973「マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム」
  Windows Embedded 8 または Windows Server 2012 for Embedded Systems を実行しているシステムにインストール可能とするために、Windows 8 および Windows Server 2012 用の更新プログラム 2862973 を更新し再リリースしました。他のオペレーティング システムを実行している場合は、この再リリースの影響を受けないため作業は不要です。

■ 2014 年 6 月のセキュリティ情報一覧
各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
https://technet.microsoft.com/ja-jp/library/security/ms14-Jun

マイクロソフトは新たに確認した脆弱性について、次の 7 件の新しいセキュリティ情報を公開しました。

■ 最新のセキュリティ情報を動画と音声でまとめて確認
マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。

本記事は、The Official Microsoft のブログ “Microsoft helps FBI in GameOver Zeus botnet cleanup” (2014 年 6 月 2 日公開) を翻訳した記事です。

以下は、Microsoft Digital Crimes Unit のアシスタント ゼネラル カウンスルである、リチャード・ドミンゲス・ボスヴィッチ (Richard Domingues Boscovich) の投稿です。

月曜日の GameOver Zeus ボットネットに対する多国間の措置 (英語情報) を受けて、マイクロソフトは FBI、および業界のパートナーと連携してマルウェアを削除するための措置を講じたことをお知らせします。これにより、感染したコンピューターが被害拡散のために使用されることはありません。

GameOver Zeus は、Zeus (Zbot とも呼ばれます) (英語情報) が変異したマルウェア ファミリの一種で、マイクロソフト セキュリティ インテリジェンス レポートによると、非常に蔓延している、パスワードを盗用するトロイの木馬型マルウェアです。Dell Secure Works Counter Threat Unit は、2013 年に最も蔓延したのが、銀行口座を狙うトロイの木馬だったと報告しています。ですが、GameOver Zeus の影響は金融業界のみに留まるものではありません。なぜなら、ほとんどの大企業、および公共部門の組織が影響を受けているからです。セキュリティ研究者の推測では、世界規模で 50 万から 100 万のコンピューターが感染しており、FBI (アメリカ合衆国司法連邦捜査局) は GameOver Zeus が 1 億ドルを超える損失をもたらしていると予想しています。

GameOver Zeus に対する FBI 主導の法的な措置、および民間主導の技術的な措置により、マルウェアが生成したドメインおよびサイバー犯罪者が登録したドメインとリンクしているコマンド アンド コントロール (C&C) インフラストラクチャの一部を崩壊させました。コード名 b157 と名付けられたこのオペレーションで FBI は登録されたドメインを差し押さえました。マイクロソフトは、この問題に関してはこれまでの措置のように、民事訴訟を申し立てはしませんでした。C&C サーバーに集中するほとんどのボットネットと違い、GameOver Zeus はピアツーピア (P2P) 手法を利用して C&C を分散させるため、これまでのボットネットよりも、さらに捉えにくく、修復力もより高くなっています。

技術的な措置におけるマイクロソフトの役割は、P2P ネットワークの分析の実施とクリーニング ソリューションの開発です。また、Shadow Server から得られた追加情報により、より多くの影響を受けた IP アドレス数をマイクロソフトの Cyber-Threat Intelligence Program (C-TIP) に組み込むことができます。そして、感染したコンピューターの所有者が、システムのコントロール権を回復できるように、グローバルな Community Emergency Response Teams (CERT)、およびインターネット サービス プロバイダー (ISP) と協力します。これら措置に基づいて、サイバー犯罪者のビジネス モデルを崩壊でき、サイバー犯罪者もまた、犯罪のインフラストラクチャの再構築を余儀なくされます。さらに重要なのは、GameOver Zeus の被害者には、これまでのように引き続き通知され、将来の被害を防ぐために感染したコンピューターがクリーンアップされます。

今回のオペレーションは、11 月 14 日の新設 Microsoft Cybercrime Center (英語情報) 披露以降、マイクロソフトが行った 2 度目のボットネット オペレーションです。このセンターはサイバー犯罪に対するグローバルな戦いを前進させる卓越した機関で、ボットネット オペレーションにおいて、マイクロソフトはその関与の度合いで 9 位でした。2013 年 12 月の ZeroAccess (英語情報) ボットネットのケースと同様に、GameOver Zeus のケースもまた、世界中の人々がコンピューター デバイス、およびサービスを、確実に信頼して利用できるように、業界のパートナー、そして法的執行機関がサイバー犯罪ネットワークを排除するために行った cooperative effort (協力的な努力) (英語情報) の一環です。

GameOver Zeus について

GameOver Zeus は、サイバー犯罪者が、Web サイトを作成し、そのサイトを訪問した、保護されていないすべてのコンピューターにマルウェアがダウンロードされる、ドライブ バイ ダウンロードにより蔓延しています。また、サイバー犯罪者が、一見して、よく知られた企業や組織から送られた、合法なコミュニケーションに見える偽造メールを送る、フィッシングを利用した Cutwail スパム ボットネットを介しても拡散されます。これらの偽造電子メールには、受信者がリンクや添付をクリックするように誘導する現実的な言葉が並んでおり、最終的に、GameOver Zeus マルウェアが被害者のコンピューターに展開されます。感染したコンピューターのユーザーが Web ブラウザーに入力すると、ボットネットは自動的にキー ロギングを開始し、知らないうちにサイバー犯罪者がパスワード、および個人のアカウント情報にアクセスできてしまいます。感染したコンピューターはボットネットの C&C サーバーに盗用したデータを送信し、後日、犯罪者がデータを利用できるようにサーバーに保存します。

GameOver Zeus は、銀行口座の情報を盗用するためのキーストローク ロギングなど、Zeus (英語情報) と類似した多数の特性がありますが、金融機関に対してサービス拒否 (DDoS) 攻撃の拡散を許す、悪意のある機能とパッケージ化されています。ボットネットの変異により、GameOver Zeus は暗号化された EXE ファイルを装って、ファイアウォール、Web フィルター、およびネットワーク侵害検出システムを含む、境界セキュリティを回避できます。また、GameOver Zeus は、「Web インジェクト」として知られているプロセスを持ち、標的とした Web サイトの HTML を変更し、被害者を騙して、通常の銀行口座資格情報を超える機密情報を入力するように、追加のフィールドをフォームに差し込みます。金融機関を狙うだけではなく、GameOver Zeus はさらに百貨店、ソーシャル ネットワーキング サイト、および Web メールサービスを標的とする Web インジェクトを展開しています。ごく最近では、亜種が、求職者、および求人募集者を標的とし、人気の求人検索サイトからログインの資格情報を盗用しようと試みています。ICE IX、Spy Eye および Citadel など幾つかの Zeus の古いバージョンと違い、GameOver Zeus は一般ドメインで売り込みや販売はされていません。

本ケース、およびオペレーションは現在も進行中で、利用可能になり次第、更新情報を引き続きお知らせします。サイバー犯罪に対する戦いに関する最新の開発情報を入手していくには、Facebook (英語情報)、および Twitter (英語情報) で Microsoft Digital Crimes Unit をフォローください。

マルウェア削除、およびウイルス対策ソフトウェアを利用して、早急にトロイの木馬型 GameOver Zeus を削除してください。削除方法の詳細説明はhttp://support.microsoft.com/gp/cu_sc_virsec_master を参照してください。

Windows XPのサポート終了や、セキュリティ アドバイザリ 2963983（MS14-021）によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座：第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。

ゆりか先生のセキュリティひとくち講座：第 8 回: ゼロデイ攻撃ってなんだろう?
http://www.microsoft.com/ja-jp/security/msy/msy008.aspx

今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。

脆弱性とセキュリティ更新プログラム公開のタイミング

Windows Update / Microsoft Updateによるセキュリティ更新プログラム（以下、更新プログラム）の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日（米国時間）に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日（米国時間）の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。

この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。

主要な脆弱性のハンドリング（取扱い）には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。

これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。

この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。

Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)��す。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。

Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく（少々楽しく）述べられており、日本のセキュリティチームBlogでも概要を紹介しています。 

Coordinated Vulnerability Disclosure: Bringing Balance to the Force
http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx

 「協調的な脆弱性の公開」の発表
http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx

前述の通り、Coordinated Vulnerability Disclosureにおいてポイントとなるのが、修正プログラム公開前に攻撃が確認されたケースです。いわゆるゼロデイ攻撃がこれに該当しますが、セキュリティ情報のFAQ「このセキュリティ情報のリリース時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?」という項目で、該当する脆弱性に対するゼロデイ攻撃の有無を確認することができます。

ゼロデイ攻撃が確認された場合、脆弱性の存在をすぐに公開をするのが望ましいように思われます。しかし、情報は悪意のある人たちにも公開されることから、公開した情報に基づいて新たに攻撃コードが開発され、修正プログラムがない状況の下で攻撃が拡大することが懸念されます。このため、マイクロソフトでは、脅威の増大を防ぎ、更新プログラムを確実に適用していただくためには、できる限り定例の更新プログラムとして公開することが望ましいと考えています。

一方で、深刻な状況にあることが確認された場合は、定例外で更新プログラムを公開しています。しかし、この場合においても、定例更新と同様の高い品質で更新プログラムを提供する必要があります。高い品質とは、単に該当するプログラムが正しく動作することではありません。修正前のプログラムの挙動を前提としたアプリケーションやドライバーがあった場合、更新プログラムを適用することでシステムに問題が生じてしまいます。このような問題を避けるためには、OSのバージョン、言語、各国で異なる主要なアプリケーション、多様なハードウェアなど、膨大な組み合わせの検証が必要となります。修正が容易で他のプログラムへの影響がない場合は迅速な公開ができますが、一連のテストで問題が発見されると、結果として更新プログラムの公開に時間がかかってしまうことになります。

なお、脆弱性と攻撃コードの流通状況については、先日公開されたセキュリティインテリジェンスレポート 第16版の特集記事に詳しく述べられています。意外な事実も記載されているので、ぜひご一読ください。

セキュリティ インテリジェンス レポート
http://www.microsoft.com/ja-jp/security/resources/sir.aspx

Microsoft Security Intelligence Report Volume 16
http://www.microsoft.com/security/sir/default.aspx

ゼロデイ攻撃の対策　STEP-1 （更新プログラムの適用とMAPP）

各国のCERT組織、セキュリティ研究者、セキュリティベンダー等の協力の下で、Coordinated Vulnerability Disclosureに基づいて脆弱性ハンドリングを行っていますが、残念ながら未知の脆弱性を悪用したゼロデイ攻撃がみつかることも少なくありません。

ゼロデイ攻撃が公表された際に最初にやって頂きたいのは、意外かもしれませんが、これまで公開されている更新プログラムをすべて適用し、セキュリティソフトが最新の状態で稼働していることを確認することです。

ゼロデイ攻撃は、現実に行われている多用な攻撃の極一部に過ぎず、攻撃の大半は公開済みの脆弱性に対して行われます。このため、マイクロソフト製品に限らず、すべてのソフトウェアを最新の状態に維持することが、被害を防ぐ上では重要となります。

また、攻撃がマイクロソフト社の製品に対するものであれば、MAPP (Microsoft Active Protection Program)を通じて、主要なセキュリティベンダーに脆弱性や攻撃に関する情報が提供されており、更新プログラムが公開される前であっても、セキュリティ製品による該当するゼロデイ攻撃からの保護が期待できます。セキュリティベンダーのBlogなどでも、MAPPによる情報提供と、自社製品の対応について述べられている場合も少なくありません。

MAPPおよびMAPPメンバーの対応状況については以下をご参照ください。

Microsoft Active Protections Program
http://www.microsoft.com/ja-jp/security/msrc/mapp.aspx

MAPP Partners with Updated Protections
http://technet.microsoft.com/en-US/security/dn568129

ゼロデイ攻撃の対策　STEP-2（緩和策の適用）

一般に、ゼロデイが公表される際には合わせて緩和策も公開されます。この内容をよく理解することが、対策を進める上での重要なステップとなります。特に、グループポリシーを使ってPC等を管理している場合は、緩和策を迅速かつ確実に適用することが可能なので、緩和策を正確に理解することが重要になります。

例えば、セキュリティアドバイザリ 2963983（MS14-021）では、以下の緩和策が記載されており、どの緩和策も「現在確認されている悪用を防ぐことを確認しています。」とあります。つまり、どれかひとつの緩和策を適用することで、該当する攻撃を防ぐことが可能となります。

• VML を無効にする

• 拡張保護モードを有効にする

• EMET を導入する

[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx

攻撃に関連するVMLを無効化する対策はわかりやすいのですが、「拡張保護モード」と「EMET」については、なぜ保護できるのかをご存じない方が多いようです。ここでは、「拡張保護モード」と「EMET」の保護の仕組みについて紹介します。

ゼロデイ攻撃の対策　拡張保護モード（Windows 8/8.1）

拡張保護モードは、Windows 7以降で稼働する Internet Explorer 10, Internet Explorer 11に実装されている機能です。Windows 7とWindows 8では、拡張保護モードの動作に違いがあるのですが、ここではWindows 8以降のシステムで稼働する拡張保護モードについてご紹介します。

Windows 8以降で動作する拡張保護モードはAppContainer上で動作します。AppContainer上で動作するプロセスは、システムや他のプロセスと分離されて動作するため、システムや他のプロセスに対するアクセスができません。このため、脆弱性が悪用された場合でも、攻撃コードはAppContainer上でしか動作せず、プログラムの悪用を阻止することが可能となります。

拡張保護モードは、ゼロデイ攻撃の有無にかかわらず、有効性の高い技術です。オンラインバンクの不正送金が問題となっていますが、このような攻撃に対しても有効性の高い技術だと考えています。

拡張保護モード
http://blogs.msdn.com/b/ie_ja/archive/2012/03/21/enhanced-protected-mode.aspx

Understanding Enhanced Protected Mode
http://blogs.msdn.com/b/ieinternals/archive/2012/03/23/understanding-ie10-enhanced-protected-mode-network-security-addons-cookies-metro-desktop.aspx
IE10 & IE11 : 拡張保護モードの実態
http://blogs.technet.com/b/jpieblog/archive/2013/11/30/3614857.aspx

ゼロデイ攻撃の対策　EMET: Enhanced Mitigation Experience Toolkit

EMETは、マイクロソフトが無償で提供している、脆弱性の悪用を防止するためのツールで、EMET 3.0からはグループポリシーやSCM(System Center Configuration Manager)にも対応しています。

EMET 5.0 Technical Preview 公開しました
http://blogs.technet.com/b/jpsecurity/archive/2014/02/26/emet-5-0-technical-preview.aspx

EMETは、「システム緩和策の強制適用」と「EMET特有の緩和策の適用」によって脆弱性の悪用を防ぎます。

最新のシステムで、DEPやASLRなどWindowsが備えているセキュリティ機構が有効であれば、大半の攻撃を防ぐことが可能です。しかし、これらの機構を無効にしているプログラムやDLLが少なからず存在し、攻撃の糸口になることがあります。「システム緩和策の強制適用」は、このようなプログラムに対して強制的にセキュリティ機構を有効にすることがで、攻撃を防ぐことが可能となります。

「EMET特有の緩和策の適用」は、主にシステム緩和策を回避する攻撃を防ぎます。たとえば、DEP・ASLRの回避に悪用される、ROP(Return Oriented Program)、Heap Sprayなどを防止し、Null Page Allocationの防止、スタックやヒープのランダム化、Export Address Table Access Filtering (EAF)等の汎用性の高い対策も提供します。EMETが提供する具体的な緩和策については、上記URLからリンクされているユーザーガイドが参考になります。また、脆弱性とシステム側の対策（セキュリティ機構）の推移について、より詳しい内容に興味のある方は、Matt Millerのこちらの資料が参考になります。

A Brief History of Exploitation Techniques & Mitigations on Windows
http://hick.org/~mmiller/presentations/misc/exploitation_techniques_and_mitigations_on_windows.pdf

EMETは、メンテナンスが出来ないカスタムアプリケーションの保護にも利用できるなど有効性の高いツールです。一方で、PCがグループポリシーの管理下にない場合、ゼロデイ攻撃が報道されてからEMETの導入を行うことは、現実的な対策ではないかもしれません。

ゼロデイを前提とした対策の一環として、前もってEMETをOpt-IN、つまりEMETで保護するプログラムがない状態で各PCにインストールしておき、ゼロデイが公表された時点で、該当するプログラムの保護を有効にすることも、現実性の高い運用だと思います。

むすび

セキュリティインテリジェンスレポート第16版では、Windowsに様々なセキュリティ機構が有効に機能することにより、ゼロデイ攻撃が難しくなり、そして、その価値が高まったと分析しています。このため、ゼロデイ攻撃は、できる限り発見を遅らせるために極めて限定的に悪用される傾向にあります。そして、脆弱性と攻撃手法が一般に知られるようになり、金銭で入手可能な攻撃ツールキットに組み込まれてはじめて、広く攻撃が行われる傾向にあります。

ゼロデイ攻撃対策というと、何か難しいことをするように思いますが、一般的なセキュリティ対策の延長線上で考えることで、対応可能な問題とすることができます。本文中でも述べましたが、更新プログラムの確実な適用、セキュリティプログラムの適切な利用、そしてシステムやアプリケーションを安全な設定で利用することで、多くのゼロデイ攻撃を未然に防ぐことが可能です。

加えて、グループポリシーを使ってPC等を管理し、EMETのような緩和策を事前に展開しておくことで、ゼロデイの対応手順を一般化することもできると思います。

なお、以下の記事は、ゼロデイ攻撃の対策を振り返り、今後の対策を進める上で、大変参考になる記事だと考えています。
あわせてご参照ください。

ゼロディ脆弱性が発覚！あなたはどうする？ ～セキュリティ担当者として心得ておくべきことは～

http://itpro.nikkeibp.co.jp/article/COLUMN/20140523/559004/?ST=security&P=1

IEに見つかった「ゼロディ脆弱性」、“タイミング”と“誤解”で騒ぎ拡大
http://itpro.nikkeibp.co.jp/article/COLUMN/20140507/554903/?ST=security&P=1

なぜ、IEの脆弱性問題は過剰報道になったのか?
http://pc.watch.impress.co.jp/docs/column/gyokai/20140513_647964.html

日本における脆弱性ハンドルについては、経産省が取り纏めており、以下のURLから必要な情報を確認することができます。

ソフトウエア等脆弱性関連情報取扱基準（平成16年経済産業省告示第235号）
http://www.meti.go.jp/policy/netsecurity/law_guidelines.htm

IPA:　脆弱性対応ガイドライン
http://www.ipa.go.jp/security/vuln/index.html#section10

JPCERT/CC：脆弱性情報ハンドリングとは？
http://www.jpcert.or.jp/vh/

今年の3月から5月にかけて、Internet Explorerを含めて多くの脆弱性や、攻撃が話題となりました。一連の事案を振り返ると、企業や組織のIT管理者は、単に更新プログラムを適用するだけではなく、リスクの本質を理解し、適切な対応を行うことが求められるようになっていると感じています。
この資料が、安全性を高める上で何らかのご参考になれば幸いに思います。

[2014/6/18 14:50 追記]
セキュリティ アドバイザリ 2974294 の日本語ページを公開しました。

本日マイクロソフトは、セキュリティ アドバイザリ 2974294「Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる」を公開しました。

※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

このアドバイザリでは、Microsoft Antimalware 製品で使用される Microsoft Malware Protection Engine において確認された脆弱性の説明、および、脆弱性に対処するための更新プログラムに関する情報を提供しています。影響を受けるバージョンの Microsoft Malware Protection Engine が含まれるソフトウェアは、下記を参照してください。なお、特別な細工がされたファイルをスキャンした場合に、サービス拒否が起こる可能性があります。この脆弱性が悪用された場合、特別な細工がされたファイルを取り除き、サービスを再起動するまでの間、マルウェアからの保護が行われないため注意が必要です。

通常のエンジンと定義ファイルの配布プロセスで、脆弱性の対処が行われたバージョンのエンジンが配布されるため、一般向け製品には、既定の機能により、48 時間以内に自動で更新が行われます。よって、追加で必要な作業はありません。ただし、企業向け製品では、エンジンと定義ファイルの配布が組織内でコントロールされている場合がありますので、その際は、IT 管理者による展開が必要となります。

■ 影響を受けるソフトウェア

Microsoft Forefront Client Security

Microsoft Forefront Endpoint Protection 2010

Microsoft Forefront Security for SharePoint Service Pack 3

Microsoft System Center 2012 Endpoint Protection

Microsoft System Center 2012 Endpoint Protection Service Pack 1

Microsoft 悪意のあるソフトウェアの削除ツール [1]

Microsoft Security Essentials

Microsoft Security Essentials Prerelease

Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2

Windows Defender for Windows RT and Windows RT 8.1

Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2

Windows Defender Offline

Windows Intune Endpoint Protection

[1] 2014 年 5 月以前の Microsoft 悪意のあるソフトウェアの削除ツールのみが影響を受けます。

本記事は、Security Research & Defense のブログ “Assessing risk for the June 2014 security updates” (2014 年 6 月 10 日公開) を翻訳した記事です。

本日、66 件の個別の CVE を解決する 7 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 5 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

ジョナサン・ネス、MSRC エンジニアリング

5月に公表された「マイクロソフト セキュリティ インテリジェンスレポート第16版」の特集記事、「攻撃コードのトレンド（Exploitation Trend）」を紹介します。

マイクロソフト セキュリティ インテリジェンスレポート（以下、SIR）は、半期に一度マイクロソフトが公開しているセキュリティに関する分析レポートで、ソフトウェアの脆弱性、攻撃コード(Exploit)、マルウエア、フィッシング、悪性のWebサイト等に関する分析を中心としたものです。今回公表された第16版では、2013年下半期（2013年7月―12月）を対象としています。
SIRでは、特集記事として話題性の高いテーマを取り上げており、これまでボットネットへの取組み、クラウドのセキュリティ、オンライン広告を使ったサイバー犯罪などを取り上げてきました。今回は、紹介する「攻撃コードのトレンド」も、第16版の特集記事として掲載されている内容です。

SIRは主要なレポートだけでも約140ページの分厚い資料ですが、興味深い内容も多いので、ぜひオリジナルのレポートをご覧いただければと思います。

セキュリティ インテリジェンスレポート
http://www.microsoft.com/ja-jp/security/resources/sir.aspx

Security Intelligence Report
http://www.microsoft.com/security/sir/default.aspx

攻撃コードのトレンド　～潜在的なリスクから現実の脅威へ～

ゼロデイ攻撃が話題になる機会が増えていますが、ゼロデイ攻撃を含め、攻撃コードやマルウエア対策を進めるためには、現状を出来るだけ正確に理解する必要があります。本特集記事では、脆弱性と脆弱性に対する攻撃の推移に着目し、脆弱性悪用の技術的な傾向と、流通状況等の分析を行っています。

脆弱性の悪用に関する状況

最初に脆弱性に対する攻撃コードが確認された割合の分析です。
Figure.1は、リモートコード実行可能な脆弱性のうち、実際に攻撃コードが確認された脆弱性の割合を表したグラフです。最も危険で悪用が容易な脆弱性にも関わらず、2013年はわずかに10%の脆弱性だけが悪用されるにとどまりました。
現在の攻撃コード開発者は、脆弱性情報や攻撃コードを販売し、これを購入した攻撃者が、マルウエア感染を通じた不法行為通により収益を上げるというエコシステムになっています。このため、攻撃コードの開発に見合った収益が見込めない場合は、その脆弱性は攻撃コード開発の対象とならない傾向にあります。Figure.1は、この傾向がよく表れています。

攻撃コードが確認されたタイミング

Figure.2は、リモートコード実行可能な脆弱性に対する、最初の攻撃コードが確認された時期を分析したものです。
2011年から、このカテゴリのゼロデイ攻撃は減少していますが、あわせて脆弱性の総数が減少しています。このため、相対的にゼロデイ攻撃の割合が増えており、2013年には公表された脆弱性の大半を占めるようになりました。
この変化は、セキュアコーディングの普及により、新たにリモートコード実行可能な脆弱性を見つけることが難しくなったことが背景になっています。脆弱性の発見が難しくなったことで脆弱性の総数が減少し、その結果として未公開の攻撃コードの価値が高まったと考えられます。攻撃コードの開発者は、収益を最大化するため、脆弱性対策が公表され、セキュリティソフトが検知するようになるまでは、極めて限定的な相手（顧客など）を対象に取引をするようになっており、これがゼロデイ攻撃の割合が増えた要因となっています。
ゼロデイとは対照的に、公開後30日を超えてから、最初の攻撃コードが出現するケースは減少しています。これは、一カ月以内に脆弱性の対処が行われるコンピューターの割合が増え、古い脆弱性を悪用した攻撃が成功する可能性が減少しているためだと考えられます。

悪用された脆弱性カテゴリ(root cause)の傾向

Figure.3では、悪用されたマイクロソフト製品のリモートコード実行可能な脆弱性の脆弱性カテゴリ（root cause）に関する分析です。

まず目につくのが、Stack Overflowに代表されるスタックに関する脆弱性の減少です。2007年には、54.2%を占めていましたが、2013年には5%まで減少しています。これは、コンパイラ(Visual Studio等)の対策が進展したことより、/GSやSafeSEH等の緩和策が機能していることや、開発時の静的な分析ツール（コード解析ツール）の精度の向上が貢献していると考えられます。
スタックに関する脆弱性の減少に合わせるように、Useafter-free脆弱性の悪用が増加しています。Drive-by-Download等の手法が一般化したことで、クライアントが主要な標的になりました。Userafter-freeは、クライアント側で稼働するアプリケーションによく見られる脆弱性である事から、攻撃コード開発の主要なターゲットなってきたものと考えられます。
なお、Stuxnetで悪用された、DLLロードの脆弱性は、2009年から2012年にかけては悪用が確認されていますが、2013年では悪用が確認されませんでした。

DEP（Data Execution Prevention）と、ASLR(Address Space Layout Randomization)は、脆弱性の悪用方法に大きな影響を与えています。Figure.4は、マイクロソフト製品に対する攻撃手法を分析したもので、DEPとASLRを回避する新たな手法を見つける事が、攻撃者の焦点となっていることがうかがえます。DEPを回避するための手法としてROP(Return Oriented Program)が主要な手法となっていますが、ROPを成功させるためにはASLRを回避する必要があります。このため、ROPとASLRを回避する新たな手段が研究の焦点となっています。ASLRの回避には、ASLRが利用されていないイメージを使うか、アドレス情報が取得可能な脆弱性が利用される場合が大半を占めています。
なお、DEPとASLRに加えて、最新のInternet ExplorerとEMETの利用率の向上は、実効性のある攻撃コードの開発を困難なものにしています。

誰が攻撃コードを使うのか

脆弱性が明らかになる経緯は様々です。攻撃コードが犯罪者の手に渡る様子を、2012年1月から2014年2月に攻撃コードが発見された、16の脆弱性について分析をしました。
最初に攻撃コードが明らかになった経緯を分析すると、標的型攻撃9件、攻撃フレームワーク3件、トレーダー（販売業者）2件、セキュリティ研究者2件でした。これらの攻撃のうち8件は、後に攻撃フレームワークに取り込まれ、8件のうち2件は犯罪者向けの攻撃キットに取り込まれました。
少ないサンプル数ではありますが、攻撃コードは標的型攻撃で使用され、このうちの一部が数か月後を経て広範囲に影響を与える犯罪者向けの攻撃キットに取り込まれています。このことは、セキュリティ更新プログラムを迅速に適用することが、攻撃コードによる攻撃をリスクを避ける上で有効な対策であることを裏付けています。

攻撃コードの開発者は、限定的な取引ばかりでなく、商用の攻撃キットを通じて収益を上げています。誰でもハッカーフォーラムなどで、攻撃キットの購入やレンタルすることで、容易に攻撃者となることが可能です。典型的なキットではFigure.6のように、Webブラウザやアドオンの脆弱性に対する攻撃コードが用意されています。これを攻撃者が自ら用意したサイトや侵入して改竄したWebサーバーに仕掛けます。そして適切な対策を取っていないユーザーが閲覧すると、Drive by Download攻撃によりマルウエアに感染することになります。
このような商用の攻撃キットの存在は、遅くとも2006年には確認されていますが、使いこなすためには専門的な知識が必要でした。2010年に登場したBlackholeと呼ばれる攻撃キットは、専門的な知識がなくても使いやすいように設計されており、お金を払えばだれでもサイバー犯罪ができるようになりました。
サイバー犯罪で大きな収益を得る例も報告されており、たとえばランサムウエアの一種Revetonを使った犯罪者グループは、攻撃キットを使ってRevetonを感染させ、2012年には$50,000/日の収益を上げていたと言われています。
 

悪用される製品の推移

初期の攻撃キットは、様々な製品に対する攻撃コードが用意されていましたが、徐々にAdobe Flash/Reader, Microsoft Windows / Internet Explorer, Oracle Java等の主要な製品に絞り込まれるようになりました。最近では、特にJava Runtime Environment(JRE)に絞り込まれ、攻撃キットに含まれる攻撃コードの約3/4がJREの脆弱性を悪用するものになっています。

 
　　　（JavaとWindowsに関する線は、筆者が追記したもの）

攻撃キットは、Webページだけが対象ではなく、様々なプログラムやコンポーネントに対する攻撃コードが含まれていますが、実際に検知された攻撃を見ると、JREへの集中傾向をより鮮明にみる事が出来ます（Figure.8)。
2013年には、攻撃キットに関連して検知された攻撃のうち、84.6-98.5%を占めており、2番目に検知されているAdobe Readerへの攻撃よりもはるかに高い検出率になっています。Internet Explorerを含む3番目以降のプロダクトに対する攻撃は、すべてを合計しても平均すると1.1%に過ぎませんでした。

DEPやASLRなどのメモリ破壊への対策が進んだことで、Stack Overflowに代表されるようなメモリに関する攻撃が減少しています。メモリに関する攻撃は、2010年には明らかに主要な攻撃対象でしたが、悪用が難しくなったことから、攻撃キットの主要な攻撃対象ではなくなっています。

ガイダンス

脆弱性に対する攻撃が成功するためには、脆弱性のタイプ、製品のバージョン、攻撃コード作成者の能力、攻撃コードの開発の難易度など、多くの条件が整っている必要があります。逆に攻撃が成立する条件を消していくことで、攻撃の被害にあうリスクを効果的に軽減することができます。
ここでは、企業での利用、個人での利用に関わらず、攻撃によるリスクを減らすための効果的な手法をご紹介します。

常に最新を維持する（セキュリティ更新プログラムを迅速に適用する）

多くの場合、脆弱性に対する攻撃は、セキュリティ更新プログラムが公開された後に行われます。特に、広範囲な被害に結びつく攻撃キットでは、更新プログラム公開後しばらくしてから、該当する脆弱性への攻撃コードが組み込まれる傾向にあります。このため、セキュリティ更新プログラムを早急に適用することは、リスクを低減するための重要な対策と位置づけられます。

• マイクロソフト製品を更新する
  • アクションセンターを開き、セキュリティの項目がすべて有効・ONになっていることを確認する
• ORACLE Javaが自動的に更新されるようにする

• • Java自動更新とは何ですか。通知設定を変更するにはどうすればよいですか
    http://java.com/ja/download/help/java_update.xml

• Adobe Flash Player / Readerが自動的に更新されるように設定します。

• Flash Player Help / Flash Player 自動更新の手順
  http://helpx.adobe.com/jp/flash-player/kb/cpsid_91630.htm
• Acrobat Help / 自動アップデートの環境設定（Acrobat XI/Adobe Reader XI）
  http://helpx.adobe.com/jp/acrobat/kb/cq10291847.html

最新のバージョンのアプリケーションを利用する

Windows 8.1, Internet Explorer 11, Office 2013は、悪用されている攻撃手法に対する効果的な対策が導入されています。これらの最新の製品を利用することで、主要な脅威を軽減することが可能です。
加えて、64bit版のInternet Explorer 11を利用し、拡張保護モードを利用することで、Internet Explorerに対する広範囲な脅威を軽減することができます。

マイクロソフトの製品に限らず、主要な製品のバージョンを確認するためには、IPAが公開している MyJVNバージョンチェッカーが便利です。

•  MyJVN バージョンチェッカを利用する
  http://jvndb.jvn.jp/apis/myjvn/vccheck.html

MyJVNバージョンチェッカーを利用するためには、Javaのインストールが必要なのが難点ですが、主要なプログラムの最新版が利用されているかを確認でき、アップデートの方法についても解説されます。色々と調べるよりも、このツールで確認をするのが、一番簡単で確実だと思います。
Javaの最新版がインストールされていても、古いバージョンが残っている場合があるのですが、このツールを使うことで、この問題も回避することが可能です。

（MyJVNバージョンチェッカー）

EMET(Enhanced Mitigation Experience Toolkit)を利用する

EMETは、すべてのサポートされているWindows上で稼働し、アプリケーションを保護することが可能です。EMETに搭載された技術は、脆弱性の悪用を防ぐための最新の技術が実装されています。
いわゆるゼロデイ攻撃のケースでも、EMETを使うことで対処できる場合も少なくありません。日常的に利用するのが効果的ですが、ゼロデイ攻撃対策という観点からは、事前にEMETをインストールして最低限の保護をしておき、ゼロデイ攻撃が公表されたときに、該当するプログラムをEMETによる保護の対象とする運用も効果が期待できると思います。

• EMET 5.0 Technical Preview 公開しました
  http://blogs.technet.com/b/jpsecurity/archive/2014/02/26/3623734.aspx
• EMET 5 Techinical Preview の日本語版ユーザーガイド
  http://download.microsoft.com/download/B/F/B/BFBFDAB1-225C-4ECD-906F-C1DF61D7DB64/EMET%20User's%20Guide_J_5.0TP.pdf
•  EMET 5.0でUse Recommended Settingsを利用する
  とりあえず使ってみるという場合には、インストール時に表示されるウィザードから、Use Recommended Settingsを選択してください。設定される内容は図の通りですが、このレポートでも述べている、Oracle Java, Adobe Readerも保護されます。

むすび

SIRはメインレポートだけでも140ページ、加えてWorldwide Threat Assessment, Regional Threat Assessmentといった、詳細な分析資料が含まれます。膨大な分量があるので、なかなか通しで読むことは難しいのですが、丹念に読んでいくと、漠然と見ていた傾向の変化に対して、明確な要因が示されていることが少なくありません。
例えば、観測された攻撃コードの推移についても分析では、2013年の第4四半期で大きく傾向が変化しています。SIR16では、この変化はBlacole関係者の逮捕により、更新が止まったことを要因としてあげています。
SIR16では、マイクロソフト社内でのマルウエア対策の状況と、検知されたマルウエアに対する分析という、ちょっと興味深い内容も掲載しています。こちらについても、近日中にこちらのBlogでご紹介する予定です。

[2014/6/6 14:30 追記]

2014 年 6 月の月例セキュリティ リリースで、Internet Explorer に関するセキュリティ更新プログラムを公開する予定です (下記表のセキュリティ情報 1)。この Internet Explorer の更新プログラムには、CVE-2014-1770 の対処が含まれる予定です。

2014 年 6 月の月例セキュリティ リリースの事前通知を公開しました。
2014 年 6 月 11 日に公開を予定している新規月例セキュリティ情報は、合計 7 件 (緊急 2 件、重要 5 件) です。なお、最新のセキュリティ情報の概要を動画と音声でお伝えするストリーミング ビデオ (Web キャスト) の「今月のマイクロソフト ワンポイント セキュリティ」も同日午後に公開する予定です。

公開予定のセキュリティ情報の詳細は、以下の事前通知のサイトをご覧ください。
https://technet.microsoft.com/ja-jp/library/security/ms14-jun

変更履歴:

2014/07/11: Microsoft Interflow の日本語ページ公開に伴い、英語ページへのリンクから日本語ページへのリンクに変更しました。

本記事は、Microsoft Security のブログ “Driving a Collectively Stronger Security Community with Microsoft Interflow” (2014 年 6 月 23 日公開) を翻訳した記事です。

本日、マイクロソフトは、サイバー セキュリティ業界に従事しているアナリスト、および研究者用のセキュリティ、そして脅威に関する情報を交換するプラットフォーム、Microsoft Interflow のプライベート プレビューを発表致します。Interflow は、脅威、およびセキュリティの情報をコンピューターで読み取り可能なフィードを自動で作成し、ほぼリアルタイムに業界およびグループに情報を共有できるようにするために業界規格を利用しています。このプラットフォームはセキュリティ専門家がより早く脅威に対応できるための支援を目的としています。また、以前は手動で実施していたプロセスを自動化することでコスト削減ができます。

マイクロソフトが継続している、サイバー セキュリティ コミュニティとの積極的なコラボレーションは、10 年以上にわたって尽きないアイディア、そしてイノベーションの源になっています。Microsoft Active Protections Program (MAPP) は、セキュリティ ソフトウェアのプロバイダーがソフトウェアの脆弱性情報に早期にアクセスできるようにと、2008 年に開設されました。同様に、コミュニティは Interflow の発想源でもあります。今日、データ交換における問題、例えば、フォーマットの不一致、管理面での問題、そしてデータ相関性の複雑さなどが、インシデント レスポンス業界のより効率的な対応���阻んでいます。FireEye 社のセキュリティ研究者 VP である Zheng Bu 氏は、「サイバー セキュリティ コミュニティが、より生産的な方法で協力し、行動に移していけば利益につながります。マイクロソフトが、このようなプラットフォームに投資し、コミュニティ全体が利益を得られるように展開していくのを目の当たりにするのは心強いです。」と述べています。

より強力に連携したサイバーセキュリティ エコシステムとは、消費者およびビジネスのためのより良い保護を意味します。業界の連携には、教育および金融の分野などで確立された連携など、たくさんの例があります。最近、これと同様に、小売業界でサイバー セキュリティの連携が始まりました (英語情報)。小売業者、およびその他の人々が脅威の指標を共有して直ちに行動を起こすため、サイバー攻撃を阻止できる、あるいは攻撃による損害や攻撃が波及するのを最小限に留めることができます。Interflow は、コミュニティが国際的な Computer Emergency Response Teams (CERTs) によって形成されているか、あるいは業界が形成しているかに関わらず、この種のコミュニティ、そしてピア ベースの共有を実現化します。

Interflow を利用して、セキュリティ、および脅威の情報を共有するのが、正確には何を意味するのか、疑問に思う人がいるかもしれません。その答えは非常にシンプルです。Interflow とは、ユーザーが何のコミュニティを形成するのか、何のデータ フィードを自身のコミュニティに持ってくるのか、そしてそれらデータ フィードを誰と共有するのかを決定する、配信されたシステムです。さらに、公開されている規格、STIX™ (Structured Threat Information eXpression) (英語情報)、TAXII™ (Trusted Automated eXchange of Indicator Information) (英語情報)、そして CybOX™ (Cyber Observable eXpression standards) (英語情報)は、プラグイン構造を介して、Interflow が既存の運営、および分析ツールと統合できるのです。つまり、サイバー セキュリティにかかる費用を上げる、独占所有権のあるデータ フォーマット、アプライアンス、または定期購読に対して縛りがないのです。

レスポンス コミュニティでオペレーションを行っている多くの人々にとって、脅威データが急激に増加している中で、防御にかかる費用を削減、そして管理していくのは極めて重要な課題です。Microsoft Azure パブリック クラウド上で起動している Interflow は、クラウド コンピューティングの主要な基盤である、迅速なスケールアウトが可能で、セキュリティ インフラストラクチャにかかる費用を削減できます。Interflow が、セキュリティ、および脅威のデータのインプット、および流し込みを自動化するため、組織は、手動のデータ編集に時間を割かずに、カスタマイズされた監視リストを介して分析、および行動に移すことに優先順位付けができます。

Interflow の早期のユーザーとして、マイクロソフトのさまざまなネットワーク セキュリティ チームはこれらの利益の恩恵を受けました。マイクロソフトは、プライベート プレビューの期間中に、Interflow コミュニティで、自社製品、およびサービスを保護するために利用したセキュリティ、および脅威のデータを共有しようと計画しています。専任のセキュリティ インシデント レスポンス チームを抱える組織、および企業は、自社のテクニカル アカウント マネージャー、あるいは電子メールで、mappbeta@microsoft.com (英語のみ) にプライベート プレビューについてお問い合わせいただけます。マイクロソフトは、将来的には MAPP メンバー全員が Interflow を利用可能にする計画を立てています。

初めに、Interflow の発想源となったのがサイバー セキュリティ コミュニティだったと述べました。マイクロソフトは、今後のロードマップをコミュニティと連携して作成していくのを心待ちにしています。本日の発表は、ボストン、マサチューセッツで開催される第 26 回 FIRST Conference (英語情報) に合わせたものです。会議の参加者は、マイクロソフト ブース #8 に立ち寄れば、デモ版を見学し、Interflow のプライベート プレビュー版への参加を検討いただけます。

最後になりますが、よく寄せられる質問に対する回答はこちら (英語情報) を参照してください。また、Interflow がどのようにして、より強力に連携したサイバーセキュリティ コミュニティを実現可能にしているかについては、http://technet.microsoft.com/ja-jp/security/dn750892 でご確認ください。

Microsoft Security Response Center (MSRC)

リード シニア セキュリティ ストラテジスト

ジェリー・ブライアント

皆さん、こんにちは！
先ほど 6 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

本日  6 月 11 日に公開した新規 7 件 (緊急 2 件、重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

※ ご利用のブラウザーにより、ビデオが表示されない場合は、「今月のマイクロソフト ワンポイント セキュリティ情報」からご視聴ください。

本記事は、Trustworthy Computing のブログ“Improve the reliability of your service with resilience modeling & analysis” (2013 年 5 月 31 日公開) を翻訳した記事です。

以前 (英語)、クラウドの複雑さについて書きました。そこでは、不具合が発生する場合の概念、および実際に不具合が発生した場合にお客様への影響を最小限にする事前計画の重要性などが記載されています。マイクロソフトは本日、ホワイトペーパー「クラウド サービスのための設計による回復性」を新たにリリースしました。これには、回復性のモデル化の方法と詳細なガイダンス、クラウド サービス チームが使用するテンプレートの例が記載されています。実装を容易にし、整合性をとることを目的にしています。

このホワイトペーパーは、回復性のモデル化と分析 (RMA) について記載しています。故障モード影響解析 (FMEA) という業界標準技術を基にしていますが、障害の検出、軽減、復旧時の作業により重点を置くように変更しました。これらはすべてクラウド サービスの復旧時間 (TTR) 短縮の重要な要素だからです。

RMA のプロセスには次の 4 つの主要フェーズがあります。

1. 前作業 このプロセスで最も重要なフェーズで、このフェーズ中に作成した成果物の質によって、最終的なアウトプットの質が大きく変わるということを認識しておくことが重要です。このフェーズでは 2 つの作業を行います。まず、チームはサービスの全体的な論理図 (概略図) を作成し、すべてのコンポーネント、データソース、データフローを視覚的に表現します。次に、作成した論理図を使い、障害の発生する可能性の高いコンポーネントをすべて特定します (障害ポイント)。これらのコンポーネント間の相互作用 (関連) と、エコシステムでの各コンポーネントの動作を把握します。

2. 検出 このステップでは、コンポーネントごとの潜在的な障害モードすべてを確認します。たとえば、サービスの基になるインフラストラクチャ要素と、その要素間のさまざまな依存関係などです。システムで障害が発生する可能性のある箇所 (ポイント) と、障害の状況 (モード) の把握が目的です。障害カテゴリチェックリストを用意してあるので、作業の際に利用してくださ���。

3. 評価 このフェーズでは、検出フェーズで識別した障害で生じる可能性のある影響を分析、記録します。RMA ワークブックはドロップダウンで選択できるようになっており、特定の障害の影響と可能性を指定しやすくなっています。列には、障害の影響、障害で影響を受けるユーザー、障害の検出に要する時間、障害からの復旧時間、障害が発生する可能性などがあります。このフェーズでは、すべての障害タイプごとに算出したリスク値のリストを作成し、そのリスク値に基づいて、技術的な投資の優先順位付けができます。

4. 実施 最後のフェーズでは、RMA ワークシートで把握した項目に対してアクションを実行し、サービスの信頼性向上のために必要な投資を行います。評価フェーズで確認した障害ランクにより、影響が非常に大きい箇所の改善に重点を置くことができます。

大規模なクラウドサービスを設計および展開する予定がある場合、このホワイトペーパーをダウンロードし、回復性のモデル化と分析 (RMA) の詳細に目を通し、このプロセスの実装がオンラインサービスの信頼性の向上に役立つかをご検討ください。

デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト