日本のセキュリティチーム (Japan Security Team) : One Care

Conficker(Downadup)ワームに関するまとめ

JSECTEAM — Sat, 24 Jan 2009 08:32:00 GMT

小野寺です。

日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker ワームに関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフトセキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

ここで、このワームの蔓延方法を分析に話を戻します。現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザーアカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザーアカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
USB ドライブやその他のポータブルストレージなどのリムーバルメディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブルメディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。下のスクリーンショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。ユーザーが最初のオプションを選択した場合、ワームが実行されます。

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
また、さまざまなサービスを終了させ、再起動させようとします。詳細情報はこちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
さらに、ウイルス対策およびセキュリティベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
お客様の環境の、すべてのユーザーアカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップバイステップの手順で駆除してください。

役立つリンク:

セキュリティ更新プログラム:
- セキュリティ情報 MS08-067
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
- WSUS を構成する
  http://technet.microsoft.com/ja-jp/wsus/default.aspx
- マイクロソフトの修正プログラムの管理に関する 10 の原則
  http://technet.microsoft.com/en-us/library/cc512589.aspx (英語情報)
- MS08-067 に関する SVRD のブログ:
  http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx (英語情報)
パスワード:
- 堅牢なパスワードポリシーを作成する
  http://technet.microsoft.com/en-us/library/cc736605.aspx (英語情報)
- Windows Server 2003 セキュリティガイド
  http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#E4D
- パスワード強度の簡易チェック
  https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
- 強力なパスワード : その作り方と使い方
  https://www.microsoft.com/japan/protect/yourself/password/create.mspx
リムーバブルメディア:
- Windows Vista セキュリティガイド | 第 3 章 : 機密性の高いデータの保護 | デバイス管理:
  http://technet.microsoft.com/ja-jp/library/bb629455.aspx#4
- Windows で強制"無効"に自動実行レジストリキーを修正する方法
  http://support.microsoft.com/kb/953252
ウイルス対策:
- Encyclopedia: Win32/Conficker.B (英語情報)
  http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker.B
- Encyclopedia: Win32/Conficker.B (抄訳)
  http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
- Win32/Conficker.B ワームに関するウイルス対策情報
  http://support.microsoft.com/kb/962007
MSRT:

悪意のあるソフトウェアの削除ツール:
http://support.microsoft.com/?kbid=890830
企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開:
http://support.microsoft.com/kb/891716

日本は安全か？ - Security intelligence Report Vol4

JSECTEAM — Mon, 23 Jun 2008 15:50:00 GMT

小野寺です。

突然ですが、日本は安全な国なんでしょうか？もちろんIT的な意味でです。感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。

意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。白は、データ不足の地域です。具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。)

しかし、この日本の1/685台が「安全！」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。

話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。また、検出を難しくする要因になっていたりもします。

文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。そして、アプリケーションの更新も忘れないようにしないといけません。極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。

では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。

一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。

しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。

これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。

シマンテックの調査では、「保存データがすべて失われたりした時のストレスは失恋を上回る」という面白い結果もでており、もし、マルウェア等により写真等のデータが失われれば相当にいやな思いをするということです。そうなる前に対策を打つか、いやな思いをしてから反省するかは利用者次第・・・とは言いたくないので、以下の3点で〆ておきます。

1) Microsoft Update を実施し、できれば自動にしてしまう
2) マルウェア対策とスパイウェア対策をするソフトを導入するか、ISPのサービスを導入する
3) ファイアウォールをオフにしようなんて考えない

次のSecurity Intelligence Report は、2008年上半期を分析したものになりますが、そのときには、さらに日本の感染率が低くなっていることを祈ります。

2008年6月のセキュリティリリース

JSECTEAM — Wed, 11 Jun 2008 00:17:00 GMT

小野寺です

今月は、事前通知でお伝えしていたとおり計 7 件 (緊急3件, 重要 3件、警告1件)を公開しました。また、MS06-078 と MS07-068 を改定しています。

では、内容を見ていきます。

MS08-030 (Bluetooth): 今回初となる Bluetooth(ブルートゥース)に関する脆弱性です。Bluetoothは、ご存じの通り無線接続方式の一つですが、その通信スタックに脆弱性が発見されたものですが。ReqSD (service description request) を大量に送られることで、結果としてコードが実行される可能性があります。 Bluetoothが有効になっている環境では、可能な限り早めに当てておきたいですね。とはいえ、10m ～ 100m 以内に攻撃者 (または攻撃用マルウェアに感染した PC) が存在する必要がありますので、屋外で攻撃を受けるケースよりも、社内やPC持ち込み可能な喫茶店等のある程度の人口密集度がある場所が危ないのかもしれませんね。

MS08-031 (IE): ２つの脆弱性に対応していますが、一方の CVE-2008-1544 (要求ヘッダーのクロスドメインの情報漏えいの脆弱性) が一般に公開され CVE-2008-2243 としても知られていますが、これを書いている時点では具体的な悪用の事例は確認していません。

MS08-032 (Kill Bit): Speech API に関するコントロールを Kill Bitしています。"Vista Speach Recognition "として、セキュリティコミュニティーで知られていましたが、悪用の報告例はありません。また、あわせてサードパティー製品をについても、1件 Kill bit しています。また、この脆弱性については悪用方法が、ユニークでその為に非常に困難になっています。

MS08-034 (WINS): WINS を運用している企業では、可能な限り早期の適用をお勧めします。「重要」としていますが、不正なパケットをWINSが受信することで攻撃が成立する可能性があります。WINSですので、LAN内からの悪用が最も懸念されると思いますが、LAN利用者が完全に信用できる場合は、適用時期を考慮する余地もあります。とはいえ、社内に侵入した攻撃者やマルウェアがより高い権限を得るために、悪用を試みる可能性もあるので早いに越したことはありません。なにより、WINSが動いているサーバは、AD/DC であることが多いと考えると油断はしたくないですね。

MS08-036 (PGM): まず最初に、PGM ってなに？と言われそうですが、簡単に言うと、「受信側が、データを正しく受信できる仕組みを色々と備えたマルチキャストプロトコル」です。Windows では、MSMQ (非同期メッセージキュー) を使っている環境でのみPGMが使用できます。サーバだけではなく、クライアントアプリケーションがMSMQを使っていることもありますので、その点は注意です。

あと、更新した2件は、MS06-078/MS07-68を適用していない環境で、Windows XP SP3を導入した場合に、Microsoft Updateで更新が検出されるように、検出ルールの見直しを図った事をお知らせするものです。

最後に、悪意のあるソフトウェアの削除ツール (MSRT)ですが、今月は、多くのオンラインゲームのIDを狙ったマルウェアに対応しています。市場調査をしたわけではないですが、オンラインゲームの利用者の多くが、「ウイルス対策ソフトは重い」という理由で対策ソフトを導入していないという話を良く耳にします。以前のバージョンで実際に動作の”重かった”対策ソフトもありましたが、最新版では改善されてきているようです。ちなみに、OneCareは、私も使っていますが、軽いですよ。
もし、MSRTで検出された時は、覚悟を決めて導入をお勧めします (できれば、感染してなくても)。

今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

2008年5月のセキュリティリリース予定

JSECTEAM — Fri, 09 May 2008 05:37:00 GMT

小野寺です。
今月は、計 4 件 (緊急3件, 警告1件) の公開を予定しています。
リリース日は、週明け水曜日 (05/14) です。今年は、GW後に１週間の余裕があったので、正直なところ助かりました。昨年は、GW明けすぐのリリースだったため、色々と大変でした・・・さて、話がそれましたが、セキュリティ更新のほかに、「悪意のあるソフトウェアの削除ツール」とセキュリティ以外の更新プログラムを Microsoft Update 経由で配信します。詳細は、http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx をご覧ください。

ちなみに、セキュリティ情報の識別番号を (セキュリティ情報 1等)を、より内容のわかる名前に変更しましました。今月からは、セキュリティ情報の識別名と名前を変え、”Wordのセキュリティ情報”といった形で製品・テクノロジ名を含む形にしてみました。
さて、今月対応予定の製品として、「Diagnostics and Recovery Toolset (DaRT) 6.0 の Standalone System Sweeper」なるものがありますが、多くの方はあまり見慣れていないのではないかと思います。これは、MDOP (Microsoft Deplyment Optipazation Pack)というSA契約者向けに提供しているツールキットに含まれるものひとつです。この Standalone System Sweeper は、ウイルスやスパイウェアなどのマルウェアに感染したPCをオフラインで駆除するものとなります。事前に別のPCで最新の定義ファイルを含めて、CDを作成する事で、感染PCでCD起動して駆除できるという意外と便利な一品だったりします。

そのほか、JETの更新も予定しています。どんな更新かは、たぶん皆様のご想像のとおりです。

	影響を受ける製品	最大深刻度	影響	検出方法	再起動
Word のセキュリティ情報	Microsoft Office	緊急	リモートでコードが実行される	MBSA	不要
Publisher のセキュリティ情報	Microsoft Office	緊急	リモートでコードが実行される	MBSA	不要
Jet のセキュリティ情報	Microsoft Windows	緊急	リモートでコードが実行される	MBSA	必要な場合あり
セキュリティソフトウェアのセキュリティ情報	Windows Live OneCare, Microsoft Antigen, Microsoft Windows Defender, Microsoft Forefront Security	警告	サービス拒否	MBSA	不要

なめ猫スクリーンセーバー＆セキュリティ対策キット

JSECTEAM — Fri, 02 May 2008 05:53:00 GMT

小野寺です。

現在、「スキルチャージプログラム」なるエンジニア向けにスキルアップの為の無償支援をしようという企画を行っています。

その中で、もちろんセキュリティも含まれており、左の画像の、「セキュリティ対策キット」として、セキュリティリンク集とマイクロソフトの情報源、製品情報をひとまとめにしたものを提供しています。

そして、人によっては新しい、人によっては懐かしい「なめ猫」を使ったスクリーンセーバーも用意してみました。このスクリーンセーバーは、RSSを使って、このBlogとセキュリティ情報をお知らせします。ちなみに、毎日、なめ猫があなたのセキュリティ？を占ってくれます。

このほか、OneCareプレゼントや、セキュリティ以外でも面白い企画があるので、興味のある人はぜひ。

http://www.microsoft.com/japan/powerpro/skillcharge/default.mspx

VB100% Award 受賞

JSECTEAM — Tue, 08 Apr 2008 04:44:00 GMT

小野寺です。

イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。
このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。

2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました。これまで、対応するプラットフォームでのテストにはすべて参加しているのですが、OneCareが過去4回のテストで3度目の受賞、Forefrontは、5回のテストですべて受賞することができています。

Microsoft Forefront Client Security (1.5.1937.0)
Microsoft Windows Live OneCare (2.0.2500.22)

より詳細な結果は、以下から誰でも見ることができます。(登録は必要ですが・・・)
http://www.virusbtn.com/vb100/archive/results?display=vendors

この結果だけで、すべての性能が決まるわけではありませんが、やはり受賞できるというのは、中々に良いものです。

不安と対策

JSECTEAM — Tue, 11 Sep 2007 08:19:00 GMT

小野寺です。

最近、以前の様な大規模で、ネットワーク全体に被害が及ぶようなセキュリティ事故は、あまり目にしなくなっています。とはいえ、Bot (ボット) や、Targeted Attack (標的型攻撃)の特定の組織や個人を狙った問題が増えています。フィッシング詐欺なんかも、標的型の攻撃の一種ですね。

トレンドマイクロさんが調べた結果だと、何らかの不安を感じている利用者は 98% に上っているようです。しかし、その一方で、同じ母集団ではないですが、対策をしている利用者は 2割～3割程度という調査結果もあります。少し乱暴な推測ですが、利用者は不安は感じているけれども、対策はしていないという事になります。

実社会において、何らかの不安を感じたら何か不安に対処するために対策を取っていると思います。（もしかすると、不安を対策とは別の手段で打ち消しているかもしれませんが・・・）
しかし、実際には、インターネットやパソコンに関して、不安と感じても対策を取っていないわけです。対策しない理由は、「現実感が無い (自分だけは被害にあわない)」、「対策にお金が掛かる」、「対策方法が分からない」、「理由は無いが対策したくない」など色々とあると思っていますが、少なくとも、「現実感が無い」「対策にお金が掛かる」の部分は、セキュリティに関わるものとして何とかしたいと思っています。 OenCare などの有償のサービスもありますが、セキュリティーに関する資料や無償のツールも併せて公開しています。

我々の活動がまだまだ不足しているのか、本当に伝えたい利用者には伝えるべき事が伝え切れていないと軽い無力感を感じます。しかし、先日の TechED でも MVP の方々とお話させていただいた中で、親として子供に、いつから何を教えていけば子供が安全に使えるのか、分からないと言う事をききました。この話を聞いたとき、まだまだやるべき事は多く残っていると感じました。セキュリティチームでは、家庭向けのセキュリティコンテンツも提供していますが、彼らの悩みに直接答えるものではありませんでした。些か愚痴っぽくなりましたが、少しずつでもインターネットが安心して使える安全な環境である様にしていきたいですね。もちろんそれは、私個人ができるものでは、ないですし、マイクロソフトだけでできるものではありません。きっと、インターネットの成り立ちの様に利用する個人・個人が少しだけ意識することで、状況が改善していくのだと感じています。そのための、お手伝いできる事は何なのかを最近考えます。