日本のセキュリティチーム (Japan Security Team) : 時事ネタ

Microsoft Security Essentials FAQ風まとめ

JSECTEAM — Wed, 07 Oct 2009 02:00:00 GMT

小野寺です。

Microsoft Security Essentials (MSE)を公開してから、このBlogにも多数のコメントを頂きました。
その中で、いくつかあった疑問・質問をここにFAQ風にまとめてみます。

Q Microsoft Security Essentialsをインストールするべきですか？
A ウイルス対策ソフトを使っていない、最新の(状態の)ウイルス対策ソフトでは無い場合はインストールする事を強よ～くお勧めします。

Q 今、ウイルス対策ソフトを使っています。切り替えるべきですか？
A 使っているウイルス対策ソフトが、最新(の状態)であれば、切り替える必要はありません。しかしながら、セキュリティセンターやアクションセンターから「対策ソフトが入っていない」旨のメッセージが出ている場合は、偽ウイルス対策ソフトを導入してしまっている可能性もあります。その場合は、Microsoft Security Essentialsを試してみることも検討してください。

Q Windows Defenderとの違いはなんですか？
A Windows Defenderは、スパイウェアと呼ばれる特定の脅威にのみ対応します。Microsoft Security Essentialsは、スパイウエアはもちろんですが、ウイルス等を含めた脅威全般に対応するため、Windows Defenderの機能を包含しています。

Q Microsoft Security Essentialsを利用していれば、Windows Defenderは不要ですか？
A はい。Windows Vista, Windows 7には、Windows Defenderが標準で組み込まれています。これらの環境では、Microsoft Security Essentialsをインストールすることで、Windows Defenderが自動的に無効となります。 Windows XPについては、Windows Defenderをアンインストールする事をお勧めします。

Q Microsoft Security Essentialsは、Windows XP でなぜ1GBものメモリを必要とするのですか？
A Microsoft Security EssentialsをWindows XPで動作させる場合に必要なメモリは、256MBとなります。~~近日中に~~1GBと記載されているサイトを更新~~予定です~~しました。

Q Window XP 64bit用のMicrosoft Security Essentialsはありますか？
A Window XP 64bit用のMicrosoft Security Essentialsは提供しておりません。64bit版は、Windows Vista以降のOSに対してのみ提供しています。

Q Microsoft Security Essentialsを導入した後、他のセキュリティ対策製品を導入することで、ウイルスに感染する可能性は低くなりますか？
A 複数のセキュリティ対策製品を同時に使うことで、各対策ソフトの強みが生かされる場合があります。しかし、多くの場合は複数のソフトを同時に使うことを前提としていないため、システムのパフォーマンスを損ない、場合によっては相性問題(競合問題)を起こす可能性があります。もし、その様な問題が発生した場合は、どちらか一方を選択する事をお勧めします。

Q Microsoft Security Essentials でグループポリシーの管理は可能ですか？
A いいえ。Microsoft Security Essentials では、グループポリシーの管理はできません。管理機能が必要なお客様は、Microsoft Forefrontシリーズをおすすめします。

Q 最新の定義情報の更新を知るにはどうすればいいですか？
A Microsoft Malware Protection Center のサイトで公開しています。更新情報は、RSSでもフィードしています。

無料のマルウェア(ウイルス)対策ソフト

JSECTEAM — Wed, 30 Sep 2009 03:45:00 GMT

小野寺です。

すでに一部で報道されておりますが、本日からMicrosoft製の無料のマルウェア(ウイルス、ワーム等)対策ソフトの提供を始めました。
以前に、Morro の開発コード名で公表し、Microsoft Security Essentials (MSE, マイクロソフトセキュリティエッセンシャルズ) と命名しました。
以下のサイトから、ダウンロードして使用することができます。
http://www.microsoft.com/security_essentials/?mkt=ja-jp

MSEは、基本的なマルウェア対策に機能を絞ってはいますが、マルウェア対策の機能は一切限定していません。いわゆる常駐監視型で、マルウェアの定義情報(パターンファイル)も、企業向けの対策製品であるForefrontと同様にフルセットの定義情報が提供されます。セキュリティインテリジェンスレポート (SIR) でも、ここ数回は世界で最も感染率の低い国との結果が出ていますが、最近の詐欺ウイルス対策ソフトや、脆弱なアプリケーションを通じた感染等、さまざまな要因で若干ですが、感染率が上昇傾向にあります。

このMicrosoft Security Essentialsによって、今までマルウェア対策ソフトの導入をためらっていた人や、期限切れの更新されていない対策ソフトを使い続けてしまっている人に、まず導入していただいて少しでも感染率を下げていきたいと思っています。　日本は、あまりにも感染率が低くて、犯罪者も狙わない国になれば最高なんですけどね。

ちなみに、MSE が使用できるOS環境は、以下の通りです。

Windows XP (Service Pack 2, Service Pack 3)
Windows Vista (初期出荷版:RTM, Service Pack 1, Service Pack 2)
Windows 7

一応、XP のService Pack 2　や、Vista のRTM, Service Pack 1にも導入可能ですが、セキュリティ更新プログラムの適用を考えると、最新のサービスパックをMSEを導入するついでに、ぜひインストールしてください。サービスパックやOSのバージョンが上がるにつれ、感染率が劇的に下がっていくこともデータに現れており、マルウェア対策のための重要な要素となっています。

導入や使いかたについては、Microsoft answers が役立つかもしれません。

GWの前にやれ！

JSECTEAM — Wed, 22 Apr 2009 11:03:00 GMT

小野寺です。

早い方は、今週末からゴールデンウィーク (GW) に入るのではないでしょうか？
長～いお休みに入るにあたって、IT 管理者として、また、一個人として気をつけていただきたい事があります。

その辺を、「長期休暇の前に」のページにまとめてありますので、一度は確認いただき、実践してください。
そして、今年は、詐欺的ソフトウェアの増加や、先日の Conficker の感染等があり、今まで気をつけてきた人も、改めて注意していただきたいと考え、日々、インターネットの安全に取り組むGIAIS パートナーの方々とも連絡を取り合い、通年よりもより広い範囲に呼び掛けを行っていきます。GIAIS (The Global Infrastructure Alliance for Internet Safety) は、世界中の主要なインターネットサービスプロバイダーで構成するセキュリティのためのアライアンスで、日本では、「GIAIS パートナー」7 社が参加しています。

「長期休暇の前に」のページでは、各 GIAIS パートナーの方々のセキュリティ対策サイトやサービスも紹介しています。

また、先日 Power To The Pro 2009 の発表の際にお約束した、セキュリティの新ビデオシリーズのプレビュー版もご紹介します。
内容は、この時期に合わせて長期休暇対策です。しかし、今回のビデオは、いつもと少し違います。何が違うかは、自分の目で確認してください。

http://technet.microsoft.com/ja-jp/security/cc263898.aspx

今回は、プレビュー版ですが、5 月には正式に専用 Web ページにまとめ、シリーズ物として定期的に提供していく予定です。
フィードバックや、取り扱ってほしい話題は、このブログのコメントに書き込んでください。

色々と書きましたが、GW のためだけでなく、時間に余裕のある長期休暇を利用して、忙しい毎日で見過ごしているかもしれない、確認をしてみては如何でしょう？

なにもなし

JSECTEAM — Wed, 01 Apr 2009 09:48:00 GMT

小野寺です。

4/1 にまつわる話が色々あった Conficker ですが、概ね世界中で平穏な様です。

これは、(各社が警告を発する事で)事前に十分な準備ができたからなのか、Conficker の登場から時間が経過して既に十分な駆除が行われていたからなのかは、はっきりとはしませんが、一部ベンダーが警告していた様な危機的な状況は、避けられたようです。

しかしながら、今回のConfickerは、数年ぶりの目に見えて話題となったマルウェア (ワーム) だと思います。最近は、MSRT や ForeFront の検出データでは、凄い事になっていても、誰も気づかないので騒ぎにならない・・・という静かに動くマルウェアが主流だったからです。

また、現時点までを見てみると、セキュリティ更新プログラムを概ね速やかに適用していた個人利用者からの被害報告や問い合わせは、皆無と言って良いほど少なかったのですが、ニュースにも一部報道された様に、世界各国の企業では、幾つか感染が報告されています。

企業システムで、「検証のためにパッチが直ぐに適用できない」という意見を聞きますが、本当にそうなのでしょうか？確かに、2000 年前後は、セキュリティ更新プログラムを適用すると問題が発生する事も有ったのは事実ですが、現在の月例化したリリースプロセスにしてからは、品質的にかなり安定してきていると感じています。また、品質面以外にも再起動の問題もあるかもしれませんが、再起動が許されない様な高可用性システムが、何のフェールセーフもなく、1 台で稼働しているとは思えません (実際に有るのは知っています)。何らかのフェールセーフのある 2 台以上で構成されるシステムであれば、1 台ずつ適用する事で問題はないはずなのです。そして、これらの問題点について、サーバーシステムも、クライアントも同列に考えられている様に思えます。少なくとも、クライアント側の再起動が問題になる場合は、非常に限られている気がします。

もちろん、Conficker に関しては、脆弱なパスワードの問題 (と、それに関連した高権限アカウントによる感染拡大) や、USB メモリを経由した持ち込み感染があるので、パッチ管理だけが問題ではないですが、根底は、管理・掌握が十分ではないという点で同じではないかと、思っています。

日本では、システム稼働後は、”変更せずに” 安定運用させる事を良しとする傾向がありますが、それは周りの環境が変化しなかった時代の話で、今のビジネスも、セキュリティも日々状況が変化する中では、容易に柔軟に変更できるシステムやクライアント群を前提に考えてもいいのではないかと思います。

残念なことに、RFP とかを読んでも、定期・不定期 (突発性) の保守・メンテナンスに対する要求事項が記載された物をあまり見た事がありません。

取りとめなく書きましたが、Conficker に絡んで思った事を徒然に書いたので、落ちも、ネタも、なにもなし・・・です。

IT勉強会業界では神？

JSECTEAM — Wed, 18 Mar 2009 10:49:00 GMT

小野寺です。

面白い記事が出ていたので、ご紹介です。
MVP のここがすごい！vol.2: 「つながりを大切にし、コミュニティを楽しむ事が一番！」
http://www.microsoft.com/japan/communities/mvp/outstandingmvp/09mar2.mspx

ここに登場する、はなずきんさんは、関西のまっちゃ139勉強会などのセキュリティのコミュニティを中心にして活躍されている方で、マイクロソフトのMVPでもあります。「IT勉強会カレンダー」という日本全国の勉強会を網羅するカレンダーを立ちあげ、維持している方でもあります。

私自身も、勉強会に参加させていただいて色々と勉強させていただいていますが、いつも勉強会の雰囲気や熱気がすごいのです。発表者も、参加者も活発で、行くだけでも色々な刺激を受ける事ができます。
ほぼ毎週(というか毎日)、日本全国のどこかで、何らかの勉強会が開かれており、その様子が「IT勉強会カレンダー」で見て取れます。これを見るたびに、知りたいと思えば、いつでも学ぶ事ができるのだと改めて思います。問題は、魅力的な勉強会は数あれど、体は一つしかないので、同時に一つにしか参加できないことでしょうか・・・

自分の周りで勉強会がどの程度あるかを見てみるだけでも、面白いかもしれません。

ISP視点のセキュリティ

JSECTEAM — Tue, 10 Feb 2009 12:43:00 GMT

小野寺です。

前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。
http://www.iij.ad.jp/development/iir/

MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。
また、フォーカスリサーチで、DNSのキャッシュポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。

そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

ワームとMS08-067

JSECTEAM — Fri, 28 Nov 2008 11:13:00 GMT

小野寺です。

報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。

ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。

対処としては、基本的に以下の流れになります。

MS08-067の適用
駆除 (http://safety.live.com)
ファイアウォールの設定見直しなります。

しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。
このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。

詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A

別名 (Also Known As):
TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
W32.Downadup (シマンテック)

概要 (Summary):
ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。
マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。

現象 (Symptoms):
この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。

技術的な情報(Technical Information):
Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。

感染方法:
このワームは Windows の実行可能ファイル 'services.exe' を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステムフォルダーに <random>.dll の名でそれ自身をコピーします。<random> の部分はアルファベットの小文字 (5-8 文字) で 'nxyme.dll' のような名称になります。

このワームは感染時間についてフォレンジックの証拠を隠すため、DLL ワームのコピーがドロップされたファイルの時間を、システムの kernel32.dll ファイルと同じ時間に調節します。このレジストリはドロップされた DLL のワームコピーをサービスとして実行するように変更されます。

追加の値: "DisplayName"
データ: "0"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

追加の値: "ServiceDll"
データ: "<system folder>\nxyme.dll"
サブキー: HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters

マシンがワームに感染すると、このワームはすでに影響を受けているこのマシンが再感染しないように、シンプルなコードのフックを介して悪用された機能を修正します。ワームはポート 1024 および 10000 の間をランダムに選択してポートを開き、接続の試行情報を確認し、API を使用している Windows ファイアウォールを回避します。また、このワームはインターネット接続共有サービスを停止します。

拡散方法:
ネットワークのコンピューター
Win32/Conficker. A はメモリにそれ自身をコピーし、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上でランダムに選択した IP アドレスに蔓延し始めます。脆弱性が悪用された場合、ワームは標的のコンピューターを操り、ワームに開かれたランダムなポートを使用して HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
このワームは次の URL を利用して、コンピューターの地域的な場所を判断します:

getmyip.org
getmyip.co.uk
checkip.dyndns.org

Win32/Conficker.A はウクライナの地域のコンピューターの感染を避けます。

ペイロード (Payload):
HTTP サーバーを作成する
ワームは 1024 から 10000 の間のポートをランダムに開き、Web サーバー (HTTP サーバー) のように動作します。リモートのマシンが悪用された場合、犠牲者が http サーバーに再度接続し、ワームのコピーをダウンロードします。

システムの復元ポイントのリセット
ワームは API 機能を呼び出し、コンピューターのシステムの復元ポイントをリセットし、システム復元を使用してリカバリさせないようにします。

ファイルのダウンロード
日付が 2008 年 11 月 25 日以降である場合、このワームは URL を次のフォーマットで構築し、そこからファイルをダウンロードしようと試みます:

<random ip>/search?q=%d&aq=7

日付が 2008 年 12 月 1 日以降である場合、Win32/Conficker.A はドメイン 'trafficconverter.biz' から 'loadadv.exe' のファイルのダウンロードを試行します。

セキュリティインテリジェンスレポート第5版

JSECTEAM — Tue, 04 Nov 2008 05:21:00 GMT

小野寺です。

2008年上半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第5版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/security/sir.mspx

幾つか、特徴がありますが、まずあげると、今回も、日本が突出して安全であることがあげられます。とはいえ油断はできず、世界的に悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM)が増加の傾向にあります。これは、最近のダウンロード型マルウェアの増加や、サードパーティソフトウェアへの攻撃増加が一因にあるようです。

また、以前から脆弱性や攻撃の対象が、OSから、アプリケーションに移っているといわれて久しいですが、Windows XPとWindows Vistaでも違いがでています。Windows XPでは、Microsoft由来の脆弱性が42%ですが、Windows Vistaでは、Microsoft由来の脆弱性は6%となっており、アプリケーション側の脆弱性への対応の必要性がより顕著になっています。

これらの情報は、世界中のデータをまとめたものですが、日本のデータに絞ったものも、近いうちに公開したいと思います。

2008年10月24日のセキュリティリリース (定例外)

JSECTEAM — Thu, 23 Oct 2008 22:55:00 GMT

小野寺です

本日は通常のセキュリティ情報をリリース日ではありませんが、昨日お伝えした通り、セキュリティ情報 (緊急 1件)を公開しました。

MS08-067: Server サービスの脆弱性により、リモートでコードが実行される (958644)
http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx

今回対応した脆弱性は、ファイル共有などをになっている Server サービスに存在し、139/TCP, 445/TCPで不正に細工された悪意のある通信パケットを受信することで、システムを完全に掌握される可能性があります。
Windows 2000, Windows XP, Windows Server 2003の深刻度が緊急で Windows XP および Windows Server 2003 において標的型攻撃を確認しています。 Windows Vista, Windows Server 2008 については、深刻度は重要で、悪用も比較的困難であると分析しています。

すでに悪用も確認されていますので、可能な限り早期に適用することを推奨しています。

定例外のセキュリティ情報の事前通知

JSECTEAM — Thu, 23 Oct 2008 07:40:00 GMT

小野寺です

先ほど、定例外のセキュリティ情報の事前通知を公開しました。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct-ans.mspx

Windowsに関するリモートでコードが実行できる可能性ある脆弱性が発見され、11月の定期公開日を待たずに対応する必要があると判断したため、今回の定例外リリースとなりました。

Windows 2000, Windows XP および Windows Server 2003 は、深刻度は緊急、Windows Vista および Windows Server 2008 は、深刻度は重要となります。各OS向けのセキュリティ更新プログラムの提供は、通常通り、Microsoft Update, 自動更新等を通じて行います。

通常の事前通知では、３営業日前に行っていますが、今回の定例外リリースで、セキュリティ情報の公開を10/24に行います。公開は、10/24の早朝に行う予定ですが、公開が完了次第、セキュリティ警告サービスで通知します。

マイクロソフトプロダクトセキュリティ警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

無線LANの暗号が数秒で！？

JSECTEAM — Wed, 22 Oct 2008 12:26:00 GMT

小野寺です。

無線LANの暗号が数秒で解読されるという話が、ニュースになり、総務省の「国民の為の情報セキュリティサイト」でも重要なお知らせとして通知が行われています。

無線LANに関係する家庭向けの脅威としては、盗聴や通信回線の不正使用などが考えられます。
その辺の情報をまとめたものとして、以下の2つをご紹介。

家庭のシステムがハイジャックされないようにするためのヒントhttp://www.microsoft.com/japan/protect/yourself/home/homewireless.mspx
公共のワイヤレスネットワークをより安全に使用する方法
http://www.microsoft.com/japan/protect/yourself/mobile/publicwireless.mspx

とくに、「公共の・・・」はぜひ読んでいただきいですね。暗号が解読されるよりも、街中で誰が設置したのかもわからないフリーのアクセスポイントに接続する方がよほど危険だったりします。公共の無線接続を使うときは、SSLやVPNなどの別の暗号化の手段を取っておいた方が良いですよね・・・今さらかもしれませんが。

ちなみに、 Windows Vista 等で今自分が接続している無線LANの暗号化の状態を確認したいときは、以下のコマンドを、実行することで確認できます。

netsh wlan show interface

実行後、少し待つと結果が表示されますが、「暗号」という項目があり、「なし」とか「WEP」の場合は、WPAに切り替えることを検討したいですね。Windows XP/Vista 共に最新の暗号に対応しているます。機器側の設定を切り替える方法は・・・無線LANルーター/アダプターの説明書をみてください。
機器側が対応しいない場合は・・・悩ましいですね。

WEPを使っているからと言って、今すぐ被害にあうわけではありません。しかし、不心得者が近くにいれば被害にあう可能性があるということですので、何かの機会に無線LAN環境をグレードアップさせる時には、こういうセキュリティ面も注意して機器の選択をしていきたいですね。

2008年10月のセキュリティリリース予定

JSECTEAM — Fri, 10 Oct 2008 03:37:00 GMT

小野寺です。
今月は、計11件 (緊急 4 件, 重要 6 件, 警告 1件) の公開を予定しています。
リリース日は、週明け水曜日 (10/15) です。

公開予定の詳細は、事前通知のサイトをご覧ください。

セキュリティ情報	影響を受ける製品	最大深刻度	影響	検出方法	再起動
Active Directory	Microsoft Windows	緊急	リモートでコードが実行される	MBSA	必要
Internet Explorer	Microsoft Windows, Internet Explorer	緊急	リモートでコードが実行される	MBSA	必要
Host Integration Server	Microsoft Host Integration Server	緊急	リモートでコードが実行される	MBSA	必要な場合あり
Excel	Microsoft Office	緊急	リモートでコードが実行される	MBSA	不要
Windows 1	Microsoft Windows	重要	特権の昇格	MBSA	必要
Windows 2	Microsoft Windows	重要	特権の昇格	MBSA	必要
Windows 3	Microsoft Windows	重要	リモートでコードが実行される	MBSA	必要
Windows 4	Microsoft Windows	重要	リモートでコードが実行される	MBSA	必要
Windows 5	Microsoft Windows	重要	特権の昇格	MBSA	必要
Windows 6	Microsoft Windows	重要	リモートでコードが実行される	MBSA	必要
Office	Microsoft Office	警告	情報漏洩	MBSA	不要

Microsoft Updateと再起動とネットワーク

JSECTEAM — Tue, 07 Oct 2008 09:38:00 GMT

小野寺です。

株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。
http://www.iij.ad.jp/development/iir/

ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。
それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗？)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。

その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。

IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

2008年8月のセキュリティリリース

JSECTEAM — Tue, 12 Aug 2008 22:18:00 GMT

小野寺です

今月は、事前通知でお知らせしていた件数から変更があり、計 11 件 (緊急 6 件、重要 5 件)となります。予定していた、「Media Player のセキュリティ情報」が、品質上の理由で延期となりました。
これに加えて、セキュリティアドバイザリを、新規に1件公開し、3件変更しています。そして、セキュリティ情報 4 件を変更しています。

セキュリティ情報 (新規):
MS08-041 (Snapshot): セキュリティアドバイザリ 955179 でお知らせしていた Microsoft Access Snapshot Viewer の Active Xの脆弱性に対処しています。単体で、入手可能な Microsoft Access Snapshot Viewer の更新プログラムについては準備を進めており、準備ができ次第セキュリティ情報を更新してお知らせする予定です。通常は、すべての更新の準備ができてから公開するのですが、今回は既に悪用が確認されていることもあり、この様なリリースを行うことにしました。

MS08-042 (Word): セキュリティアドバイザリ 953635 でお知らせしていた Word の脆弱性に対処しています。Office XP (Word 2002) と Office 2003 (Word 2003) が影響を受けます。

MS08-043 (Excel): サポートしているすべてのバージョンのExcel と、Microsoft Office SharePoint Server 2007 が影響を受けます。SharePoint Server 2007 は、サーバー側でExcelファイルを処理し、Webサイトに埋め込み表示する機能があります。この機能が、SharePoint Server 2007が対象になっている理由です。

MS08-044 (Office フィルター): Office や Worksに付属の画像フィルタの脆弱性に対処しています。

MS08-045 (Internet Explorer): Internet Explorerの幾つかの脆弱性に対処しています。そのうち、CVE-2008-2255のみ悪用は確認されていませんが、セキュリティ情報の公開前に、一般に認知されていました。

MS08-046 (ICM): ICM - Image Color Management - に関する脆弱性に対処しています。ICMの機能に関する情報を持った、画像や文書ファイルを開く事で影響を受ける可能性があります。

MS08-047 (IPSec): IPSec に関する脆弱性に対処していますが、IPSecのプロトコル自体ではなく、各クライアントでIPSecをどの様に設定するかを決めるIPSecポリシーに関する挙動を修正しています。この脆弱性により、管理者の意図とは別にIPSecが暗号化されず、クリアテキスト(平文)による通信モードで構成される場合があり、結果的に通信の盗聴を可能にしていました。

MS08-048 (Outlook Express, Windows メール): Outlook Express (Windows 2000, XP), Windows メール (Windows Vista以降) の脆弱性なのですが、アプリケーション自体というよりも、昨日の一部である MHTML を処理する部分の脆弱性に対処しています。脆弱性の悪用は、メールによるもの以外に、MHTML ファイル、プロトコルハンドラが使われる場合に影響を受けます。そのため、これらのメールソフトを使用していなくても、適用の必要があります。

MS08-049 (Event System): イベントシステムに関する脆弱性に対処しています。

MS08-050 (Messenger): Windows Messenger に関する脆弱性です。Windows Messengerには、Messenger.UIAutomation.1 という他のアプリケーションからMessengerをコントロールするインターフェイスを提供しています。これを悪用する事で、Messengerに関する情報が漏えいする可能性がある問題に対処しています。MSN Messenger, Live Messenger自体は、影響を受けません。

MS08-051 (PowerPoint): PowerPointのファイルを処理する際の幾つかの脆弱性に対処しています。

セキュリティ情報 (更新):
変更したセキュリティ情報の4件のうち、MS07-047 および MS08-033 は、Windows XP SP3に関連した情報を追記しています。 MS08-022 と MS08-040 については、更新プログラムを再リリースしています。

MSS08-022 (VBScript): Internet Explorer 7 をインストールしている環境でインストールに失敗するケースがありそれに対処しています。そのため、すでにインストール済みの環境には影響はありません。

MSS08-040 (SQL Server): SQL Server 2005 の環境で、インストールに失敗するケースがありそれに対処しています。特に、0x2b08 というエラーとなる場合に有効です。今回は、インストラーのみの変更ですので、、すでにインストール済みの環境には影響はありません。

セキュリティアドバイザリ:
アドバイザリは、2件は、MS08-041 および MS08-042 の公開に伴う更新です。残りの更新 1 件と、新規公開の 1 件は、以下の通りです。

アドバイザリ 954960 「Microsoft Windows Server Update Services (WSUS) によるセキュリティ更新プログラムの展開がブロックされる」:
この問題に対処した更新プログラムをダウンロードセンターを通じて提供していましたが、Windows Update/Microsoft Updateを通じて配信し始めた事をお知らせしています。

アドバイザリ 953839 「ActiveX の Kill Bit の累積的なセキュリティ更新プログラム」:
このアドバイザリは、AciveX コントロールのKill Bitを設定するための更新プログラムの提供をお知らせするものです。通常は、セキュリティ更新プログラムとして公開しますが、今回は、Microsoft製品が一切含まれず、3rd パーティ製品のActiveX コントロールにのみ対処しているため、通常の更新プログラムとして公開し、アドバイザリでお知らせする事としました。

悪意のあるソフトウェアの削除ツール(MSRT):
今月のMSRTでは、Win32/Matcashに対応しています。また、今まで追加したマルウェアファミリの亜種に対処しています。対応した幾つかの亜種の中には、Windows Updateに必要なサービスを止めるものが確認されています。この種のマルウェアは以前からありましたが、最近顕著なようです。もし、Microsoft Update で、エラー 1058 やエラー 0x8DDD0018 が出る場合には、ダウンロード版のMSRTを使用した後に、以前に紹介した「DNSの脆弱性とか、自動更新を止めるワームとか」の対処方法を参考にしてください。

ワンポイントセキュリティ情報:
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、8/13の午後に公開を予定しています。今月からは、内容をリニューアルしてお伝えする予定です。

DNSの脆弱性とか、自動更新を止めるワームとか

JSECTEAM — Fri, 25 Jul 2008 10:23:00 GMT

小野寺です。

DNS の脆弱性について
さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・

ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。その後は、アッと言う間に情報が拡散しています。自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。

今日はまず、自分自身の環境を再度、見直して欲しい！
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。

Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント社から提供されている更新を適用する必要があります。

また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。

Microsoft Updateを妨害するワーム
この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。最近だと Vundo ファミリー辺りが多い様です。通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。

自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft Updateのサイトで、エラー 1058 やエラー 0x8DDD0018 が表示される事が多い様です。

以下に、設定を既定の推奨設定に戻すコマンドとレジストリファイルを手順と共にをサンプルとして載せておきます。

1. OneCare Live PC Safety でウイルス検査
駆除できないものがある場合は、セキュリティ情報センターに相談
感染していたワームが駆除てきた場合は、2 へ

2. 自動更新の設定の回復
以下の内容をメモ帳等に張り付けて、"au.reg"等のファイル名で、デスクトップに保存し、au.regをダブルクリックする。

~~Windows Registry Editor Version 5.00~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003

3. 自動更新の実行
以下の内容をメモ帳等に張り付けて、"au.cmd"等のファイル名で、デスクトップに保存し、au.cmdをダブルクリックする。Windows Vista の場合は、"sc config BITS start= demand" を "sc config BITS start= delayed-auto”に変更しておくと、完全に既定の設定です。

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions /t REG_DWORD /d 4 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d 4 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallTime /t REG_DWORD /d 3 /f

sc config BITS start= demand
sc config wuauserv start= auto
sc start wuauserv

4. ウイルス対策ソフトが未導入なら導入する
Microsoftからは、Windows Defender (スパイウェア対策、無償) や、OneCare (総合セキュリティ対策ソフト) を提供しています。
また、各 ISP から、色々なセキュリティサービスを提供していますので、自分の加入しているISPのサイトをみてみると良いでしょう

2008/07/29: 対応方法を変更

日本のセキュリティチーム (Japan Security Team) : 時事ネタ

Microsoft Security Essentials FAQ風まとめ

無料のマルウェア(ウイルス)対策ソフト

GWの前にやれ！

なにもなし

IT勉強会業界では神？

ISP視点のセキュリティ

ワームとMS08-067

セキュリティ インテリジェンス レポート 第5版

2008年10月24日のセキュリティリリース (定例外)

定例外のセキュリティ情報の事前通知

無線LANの暗号が数秒で！？

2008年10月のセキュリティリリース予定

Microsoft Updateと再起動とネットワーク

2008年8月のセキュリティリリース

DNSの脆弱性とか、自動更新を止めるワームとか

セキュリティインテリジェンスレポート第5版