日本のセキュリティチーム (Japan Security Team) : Forefront

セキュリティインテリジェンスレポート第7版(2009年上半期)

JSECTEAM — Mon, 02 Nov 2009 20:07:00 GMT

小野寺です。

2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティインテリジェンスレポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。

研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。

マイクロソフトセキュリティインテリジェンスレポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。

これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。

このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

2009年7月のセキュリティ情報

JSECTEAM — Tue, 14 Jul 2009 18:56:00 GMT

小野寺です

2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。
合わせて、セキュリティアドバイザリを 2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-028 (DirectX):
特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。
対応した３つの脆弱性の中の一つは、セキュリティアドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。

MS09-029 (EOT):
特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。

MS09-030 (Publisher):
特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。

MS09-031 (ISA):
特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。

MS09-032 (Killbit - Video):
特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。
セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。

MS09-033 (Virtual PC/Server):
特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。
特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (971778): Microsoft DirectShow の脆弱性により、リモートでコードが実行される
 MS09-028 で脆弱性に対処したため、更新しています。

セキュリティアドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
 MS09-032 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Win32/Fakespypr に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

JSECTEAM — Fri, 19 Jun 2009 11:46:00 GMT

小野寺です。

昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム'Morro')を提供するとアナウンスしておりました。
既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。

Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。

Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。
マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。

マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。

このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。

ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

Forefront Client Security (FCS) 体験版

JSECTEAM — Thu, 28 May 2009 04:53:00 GMT

小野寺です。

実は、Microsoftも、OneCare以外のセキュリティ対策製品を提供していたりします。 OneCareは個人向け、組織向けには、Forefront Client Security (FCS)を提供しています。
マルウェア対策の為のエンジンや定義ファイルの更新頻度が個人向けよりも細かかったり、全体監視・統合管理の機能で、パッチも含めた企業内の対策状況を可視化するなど企業向けの機能がついているのが、OneCareとの違いですね。

この辺りは、ご存じない方もいるような気もするので、FCSをとりあえず試してみる事ができるキャンペーンを始めてみました。以下のサイトから申し込んでいただくと、OS等も含めた体験版(評価版)一式と導入ガイド(自習書)がセットで送られてきます。
http://www.microsoft.com/japan/forefront/msbc/

ちなみに、Microsoftで行っているマルウェア対策の実績などは、半期毎にレポートにまとめて以下のサイトに公開しています。
http://www.microsoft.com/japan/security/contents/sir.mspx

余談ですが、Forefront Client Security (FCS)は、クライアント単体でも使う事もできます。

2009年5月のセキュリティ情報

JSECTEAM — Tue, 12 May 2009 22:11:00 GMT

小野寺です

2009年5月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 1 件 (緊急 1 件)となります。
また、合わせて、セキュリティアドバイザリを 1 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-may.mspx

MS09-017 (PowerPoint):
特別な細工が施されたPowerPointファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (969136) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Winwebsec と ~~FakePowav~~ に対応しています。どちらも、最近特に俗化を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

(2009/05/15: MSRTで対応したマルウェアを訂正しました)

2009年4月のセキュリティ情報

JSECTEAM — Wed, 15 Apr 2009 00:15:00 GMT

小野寺です

2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。
また、合わせて、セキュリティアドバイザリを 4 件更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

MS09-009 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-010 (Wordpad):
特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。

MS09-011 (DirectShow):
特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。
現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。

MS09-012 (MSDTC):
WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。

MS09-013 (WinHTTP):
WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。
今回対応している３つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。

MS09-014 (IE):
基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。

MS09-015 (SearchPath):
セキュリティアドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。
脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode というAPIを追加して、今後アプリケーションを開発するにあたり、意図しないファイル探査を抑制できるようにしています。

MS09-016 (ISA):
Webプロキシの機能部分が、不正なパケットを受信することでサービス拒否が発生する可能性があります。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Waledac に対応しています。

セキュリティインテリジェンスレポート第6版(2008年下半期)

JSECTEAM — Thu, 09 Apr 2009 04:30:00 GMT

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第6版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？日本も、マルウェアを配布してしまっている事が分かります。これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

Conficker(Downadup)ワームに関するまとめ

JSECTEAM — Sat, 24 Jan 2009 08:32:00 GMT

小野寺です。

日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker ワームに関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフトセキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

ここで、このワームの蔓延方法を分析に話を戻します。現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザーアカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザーアカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
USB ドライブやその他のポータブルストレージなどのリムーバルメディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブルメディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。下のスクリーンショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。ユーザーが最初のオプションを選択した場合、ワームが実行されます。

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
また、さまざまなサービスを終了させ、再起動させようとします。詳細情報はこちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
さらに、ウイルス対策およびセキュリティベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
お客様の環境の、すべてのユーザーアカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップバイステップの手順で駆除してください。

役立つリンク:

セキュリティ更新プログラム:
- セキュリティ情報 MS08-067
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
- WSUS を構成する
  http://technet.microsoft.com/ja-jp/wsus/default.aspx
- マイクロソフトの修正プログラムの管理に関する 10 の原則
  http://technet.microsoft.com/en-us/library/cc512589.aspx (英語情報)
- MS08-067 に関する SVRD のブログ:
  http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx (英語情報)
パスワード:
- 堅牢なパスワードポリシーを作成する
  http://technet.microsoft.com/en-us/library/cc736605.aspx (英語情報)
- Windows Server 2003 セキュリティガイド
  http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#E4D
- パスワード強度の簡易チェック
  https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
- 強力なパスワード : その作り方と使い方
  https://www.microsoft.com/japan/protect/yourself/password/create.mspx
リムーバブルメディア:
- Windows Vista セキュリティガイド | 第 3 章 : 機密性の高いデータの保護 | デバイス管理:
  http://technet.microsoft.com/ja-jp/library/bb629455.aspx#4
- Windows で強制"無効"に自動実行レジストリキーを修正する方法
  http://support.microsoft.com/kb/953252
ウイルス対策:
- Encyclopedia: Win32/Conficker.B (英語情報)
  http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker.B
- Encyclopedia: Win32/Conficker.B (抄訳)
  http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
- Win32/Conficker.B ワームに関するウイルス対策情報
  http://support.microsoft.com/kb/962007
MSRT:

悪意のあるソフトウェアの削除ツール:
http://support.microsoft.com/?kbid=890830
企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開:
http://support.microsoft.com/kb/891716

2009年1月のワンポイントセキュリティ

JSECTEAM — Wed, 14 Jan 2009 11:48:00 GMT

小野寺です。

2009年1月のワンポイントセキュリティを公開しました。

2009年1月のワンポイントセキュリティ情報は、過去のワンポイントセキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイントセキュリティ情報は、今月のワンポイントセキュリティ情報からご視聴いただけます。

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

JSECTEAM — Tue, 13 Jan 2009 19:07:00 GMT

小野寺です

今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。

セキュリティ情報 (新規):
概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-001 (SMB):
特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。

また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
技術的な詳細については、このブログの Conficker.B に記載してあります。

さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。

企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
http://support.microsoft.com/kb/891716/

悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/security/malwareremove/default.mspx

Conficker.B

JSECTEAM — Tue, 13 Jan 2009 18:55:00 GMT

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。
原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。

技術的な情報

Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。

ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブルドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステムサービスやセキュリティ製品が無効になります。

感染

Worm:Win32/Conficker.B は、Windows のシステムフォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリエントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。

値の追加: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システムファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。

さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:

Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

また、表示名を作成するため、文字をランダムに組み合わせる可能性があります。

蔓延方法

脆弱なパスワードが含まれている共有ネットワークを悪用する

Worm:Win32/Conficker.B は、脆弱な ADMIN$ の共有パスワードが含まれているネットワーク内のマシンを感染させようとします。次のパスワードを使用し、このようなシステムへ管理者ログインを試行します。

123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999

Win32/Conficker.B がマシンへのログオンに成功した場合、アクセス可能な admin の共有に、ADMIN$\System32\<random letters>.dll としてそれ自身をコピーします。このワームはリモートでジョブスケジュールを作成 (コマンド - “rundll32.exe <malware file name>.dll,<malware parameters>")、コピーを有効にします。

マップされたドライブ

Worm:Win32/Conficker.B は、<random> ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。このワームはマップされたドライブのルートに 'RECYCLER' という名称のフォルダーを作成します。 Windows XP またはそれ以前のバージョンでは、フォルダー "RECYCLER" は "Recycle Bin" と示されます。次に、このワームは次のようにそれ自身をコピーします:

<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

%d の部分は文字がランダムに選択されます。このワームは関連の autorun.inf ファイルをドロップするので、ドライブのアクセスおよび自動再生機能が有効になった場合、自動でワームのコピーが実行されます。

MS08-067 HTTP 'コール バック'

システムで蔓延する Worm:Win32/Conficker.B について、Windows Server サービス (SVCHOST.EXE) の脆弱性に対してセキュリティ更新プログラムを適用しておらず、脆弱性が悪用された場合、このワームが標的のコンピューターに侵入し、1024 から 10000 の間のランダムポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。この脆弱性に関する説明は、Microsoft Security Bulletin MS08-067 をご覧ください。

ペイロード

システムの構成を変更する

Worm:Win32/Conficker.B はシステム構成を変更するので、ユーザーは隠しファイルを表示できません。次のレジストリエントリを変更して実行します。

値の追加: "CheckedValue"
データ: "0"
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

システムの TCP 構成を変更し、多くの同時接続を許可します (0x00FFFFFE は 16 進で、16,777,214 デシマル値です)。

値の追加: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP を再起動させようとします。このドロップされたファイルは Trojan:WinNT/Conficker.B として検出されました。

サービスの終了および無効化

Worm:Win32/Conficker.B は、次のような重要なシステムサービスをいくつか終了させます。

Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services

Win32/Conficker.B は Windows Defender 向けのレジストリキーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。

また、次のいずれかの文字列が含まれるモジュール名を持つプロセスが、ネットワークトラフィックまたはデータに送信できなくなります。 (文字列のほとんどがウイルス対策およびセキュリティソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください):

virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

システムの復元ポイントをリセットする

Win32/Conficker.B は、コンピューターのシステムの復元ポイントをリセットする場合があり、システムの復元を使用するリカバリに失敗する可能性があります。

インターネット接続を確認する

Win32/Conficker.B はシステムがインターネット接続されているかを確認するため、次の Web サイトへの接続を試行します:

aol.com

cnn.com

ebay.com

msn.com

myspace.com

任意のファイルをダウンロードする

システムの日付により、Win32/Conficker.B は、ファイルをダウンロードするため、次のフォーマットのように 2009 年 1 月 1 日付で URL を構築する可能性があります。

http://<pseudo-random generated URL>/search?q=%d

生成された URL は、現在のシステムの日付が基になります。

構築された URL は、次の最上位のドメインのいずれかひとつを使用します:

.cc

.cn

.ws

.com

.net

.org

.info

.biz

構築された URL の例は以下の通りです:

aaovt.com
aasmlhzbpqe.com
addgv.com
ajsxarj.org
apwzjq.ws
aradfkyqv.org
arztiwbeh.cc
baixumxhmks.ws
bfwtjrto.org
bfwvzxd.info
bmaeqlhulq.cc
byiiureq.cn
cbizghsq.cc
cbkenfa.org
ciabjhmosz.cc
cruutiitz.com
ctnlczp.org
ctohyudfbm.cn
dcopyoojw.com
djdgnrbacwt.ws
dmwemynbrmz.org
dofmrfqvis.cn
doxkknuq.org
dozjritemv.info
dyjsialozl.ws
eaieijqcqlv.org
eewxsvtkyn.net
eidqdorgmbr.net
eiqzepxacyb.cn
ejdmzbzzaos.biz
ejmxd.com
ejzrcqqw.net
ekusgwp.cc
eprhdsudnnh.biz
evmwgi.ws
falru.net
fctkztzhyr.org
fdkjan.net
fhfntt.org
fhspuip.biz
fjpzgrf.net
fkzdr.cn
ftjggny.com
fuimrawg.info
ghdokt.cn
glbmkbmdax.biz
gmhkdp.org
gocpopuklm.org
grwemw.biz
gtzaick.cc
gxzlgsoa.info
gypqfjho.info
hduyjkrouop.info
hfgxlzjbfka.biz
hkgzoi.com
hliteqmjyb.net
hmdtv.ws
hoyolhmnzbs.net
hprfux.cc
hqbttlqr.org
hueminaii.org
hvogkfiq.info
ifylodtv.ws
iivsjpfumd.ws
ilksbuv.cn
imuez.biz
izxvu.biz
jaumgubte.biz
jhbeiiizlfk.cn
jrdzx.cc
jshkqnnkeao.biz
judhei.com
jxfiysai.cc
jzoowlbehqn.info
karhhse.com
kbyjkjkbb.info
kjsxokxg.org
krudjhvk.org
kuiwtbfa.org
lauowjef.cn
lhirjymcod.net
liugwg.net
lksvlouw.ws
llgkuclk.info
lnpsesbcm.cn
lssvxqkqfmf.org
lygskbx.cc
mafwkeat.cn
mgqrrsxhnj.com
mhklpsbuh.cc
mknuzwq.cc
mqjkzbov.net
myfhc.com
navjrj.org
nbpykcdsoms.com
ncbeaucjxd.org
npfxmztnaw.cn
nuiptipwjj.cc
nvpmfnlsh.ws
oagwongs.ws
odvsz.net
okkpuzqck.ws
oqolfrjq.cn
orduhippw.cn
orpngykld.com
orxfq.ws
othobnrx.org
otnqqaclsgx.info
otukeesevg.biz
pbfhhhvzkp.cc
pbpigz.cn
pcnpxbg.cc
pdfrbmxh.biz
pfdthjxs.cc
phaems.cc
phetxwmjqsj.cc
pmanbkyshj.ws
pnjlx.cc
ppzwqcdc.cc
psabcdq.cc
ptdlwsi.cn
pvowgkgjmu.biz
pwsjbdkdewv.info
qbuic.com
qdteltj.org
qeotxrp.com
qfeqsagbjs.biz
qfhqgciz.org
qfogch.com
qijztpxaxk.cn
qlqrgqordj.ws
qpiivu.cn
qpuowsw.cc
qqbbg.cc
qrrzna.net
qvrgznvvwz.ws
qwdervbq.org
qwnydyb.cc
qzbpqbhzmp.com
rkfdx.org
rpphv.org
rskvraofl.info
ryruatsot.biz
sdkhznqj.info
sezpo.org
sfozmwybm.com
skwmyjq.org
solmpem.com
sqmsrvnjits.cc
stlgegbye.net
syryb.org
tdwrkv.ws
tfpazwas.cc
tigeseo.org
tjyhrcfxuc.cn
tkbyxr.ws
tlmncy.cn
tmlwmvv.ws
tnerivsvs.net
tomxoa.org
trpkeyqapp.net
tyjtkayz.com
uazlwwiv.org
ucgqvyjgpk.cn
uixvflbyoyi.biz
ujawdcoqgs.org
upxva.net
uuvjh.biz
uzugvbnvs.cn
vgmkhtux.ws
vjllpcucnp.cn
vkgxgxto.com
vwiualt.com
waxggypgu.org
wccckyfrtf.net
wfdnvlrcb.org
whjworuc.com
wmiwxt.biz
wohms.biz
wqqfbutswyf.info
wsdlzmpbwhj.net
xiclytmeger.cc
xkjdzqbxg.cn
xldbmaztfu.biz
xlwcv.cn
xqbovbdzjz.info
xwbubjmhinr.info
yfpdcquil.info
yfybk.ws
yhrpqjhp.biz
yoblqeruib.org
yoyze.cc
yshpve.cc
ysrixiwyd.com
ytfvksowgul.org
ywsrtetv.org
yzymygez.biz
zcwjkxynr.com
zfgufbxi.net
zkimm.info
zmoeuxuh.ws
zokxy.net
zqrsbqzhh.cc
zttykt.info
zutykstmrxq.ws

システムの日付が 2009 年 1 月 1 日またはそれ以降であるかを確認します。また、次の Web サイトについて日付を確認しますが、おそらく検証のためであると考えられます。

baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org

Internet Explorerのセキュリティ更新プログラム提供開始

JSECTEAM — Thu, 18 Dec 2008 00:10:00 GMT

小野寺です。

先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。
Microsoft Update または自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。
http://update.microsoft.com/microsoftupdate/

今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。
MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx

絵で見る MS08-078 : Internet Explorer の重要な更新
http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx

今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。

また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

Internet Explorerの更新の事前通知

JSECTEAM — Wed, 17 Dec 2008 03:25:00 GMT

小野寺です。

先日から、セキュリティアドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。
これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。
通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。

マイクロソフトセキュリティ情報の事前通知 - 2008 年 12 月 (定例外)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx

本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。
通常の Windows XP 向け更新プログラムになります。

セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。

日本は安全か？ - Security intelligence Report Vol4

JSECTEAM — Mon, 23 Jun 2008 15:50:00 GMT

小野寺です。

突然ですが、日本は安全な国なんでしょうか？もちろんIT的な意味でです。感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。

意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。白は、データ不足の地域です。具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。)

しかし、この日本の1/685台が「安全！」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。

話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。また、検出を難しくする要因になっていたりもします。

文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。そして、アプリケーションの更新も忘れないようにしないといけません。極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。

では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。

一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。

しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。

これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。

シマンテックの調査では、「保存データがすべて失われたりした時のストレスは失恋を上回る」という面白い結果もでており、もし、マルウェア等により写真等のデータが失われれば相当にいやな思いをするということです。そうなる前に対策を打つか、いやな思いをしてから反省するかは利用者次第・・・とは言いたくないので、以下の3点で〆ておきます。

1) Microsoft Update を実施し、できれば自動にしてしまう
2) マルウェア対策とスパイウェア対策をするソフトを導入するか、ISPのサービスを導入する
3) ファイアウォールをオフにしようなんて考えない

次のSecurity Intelligence Report は、2008年上半期を分析したものになりますが、そのときには、さらに日本の感染率が低くなっていることを祈ります。

2008年6月のセキュリティリリース

JSECTEAM — Wed, 11 Jun 2008 00:17:00 GMT

小野寺です

今月は、事前通知でお伝えしていたとおり計 7 件 (緊急3件, 重要 3件、警告1件)を公開しました。また、MS06-078 と MS07-068 を改定しています。

では、内容を見ていきます。

MS08-030 (Bluetooth): 今回初となる Bluetooth(ブルートゥース)に関する脆弱性です。Bluetoothは、ご存じの通り無線接続方式の一つですが、その通信スタックに脆弱性が発見されたものですが。ReqSD (service description request) を大量に送られることで、結果としてコードが実行される可能性があります。 Bluetoothが有効になっている環境では、可能な限り早めに当てておきたいですね。とはいえ、10m ～ 100m 以内に攻撃者 (または攻撃用マルウェアに感染した PC) が存在する必要がありますので、屋外で攻撃を受けるケースよりも、社内やPC持ち込み可能な喫茶店等のある程度の人口密集度がある場所が危ないのかもしれませんね。

MS08-031 (IE): ２つの脆弱性に対応していますが、一方の CVE-2008-1544 (要求ヘッダーのクロスドメインの情報漏えいの脆弱性) が一般に公開され CVE-2008-2243 としても知られていますが、これを書いている時点では具体的な悪用の事例は確認していません。

MS08-032 (Kill Bit): Speech API に関するコントロールを Kill Bitしています。"Vista Speach Recognition "として、セキュリティコミュニティーで知られていましたが、悪用の報告例はありません。また、あわせてサードパティー製品をについても、1件 Kill bit しています。また、この脆弱性については悪用方法が、ユニークでその為に非常に困難になっています。

MS08-034 (WINS): WINS を運用している企業では、可能な限り早期の適用をお勧めします。「重要」としていますが、不正なパケットをWINSが受信することで攻撃が成立する可能性があります。WINSですので、LAN内からの悪用が最も懸念されると思いますが、LAN利用者が完全に信用できる場合は、適用時期を考慮する余地もあります。とはいえ、社内に侵入した攻撃者やマルウェアがより高い権限を得るために、悪用を試みる可能性もあるので早いに越したことはありません。なにより、WINSが動いているサーバは、AD/DC であることが多いと考えると油断はしたくないですね。

MS08-036 (PGM): まず最初に、PGM ってなに？と言われそうですが、簡単に言うと、「受信側が、データを正しく受信できる仕組みを色々と備えたマルチキャストプロトコル」です。Windows では、MSMQ (非同期メッセージキュー) を使っている環境でのみPGMが使用できます。サーバだけではなく、クライアントアプリケーションがMSMQを使っていることもありますので、その点は注意です。

あと、更新した2件は、MS06-078/MS07-68を適用していない環境で、Windows XP SP3を導入した場合に、Microsoft Updateで更新が検出されるように、検出ルールの見直しを図った事をお知らせするものです。

最後に、悪意のあるソフトウェアの削除ツール (MSRT)ですが、今月は、多くのオンラインゲームのIDを狙ったマルウェアに対応しています。市場調査をしたわけではないですが、オンラインゲームの利用者の多くが、「ウイルス対策ソフトは重い」という理由で対策ソフトを導入していないという話を良く耳にします。以前のバージョンで実際に動作の”重かった”対策ソフトもありましたが、最新版では改善されてきているようです。ちなみに、OneCareは、私も使っていますが、軽いですよ。
もし、MSRTで検出された時は、覚悟を決めて導入をお勧めします (できれば、感染してなくても)。

今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

日本のセキュリティチーム (Japan Security Team) : Forefront

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

2009年7月のセキュリティ情報

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

Forefront Client Security (FCS) 体験版

2009年5月のセキュリティ情報

2009年4月のセキュリティ情報

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

Conficker(Downadup)ワームに関するまとめ

2009年1月のワンポイントセキュリティ

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

Conficker.B

Internet Explorerのセキュリティ更新プログラム提供開始

Internet Explorerの更新の事前通知

日本は安全か？ - Security intelligence Report Vol4

2008年6月のセキュリティリリース

セキュリティインテリジェンスレポート第7版(2009年上半期)

セキュリティインテリジェンスレポート第6版(2008年下半期)