日本のセキュリティチーム (Japan Security Team) : レポート

セキュリティインテリジェンスレポート第7版(2009年上半期)

JSECTEAM — Mon, 02 Nov 2009 20:07:00 GMT

小野寺です。

2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティインテリジェンスレポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。

研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。

マイクロソフトセキュリティインテリジェンスレポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。

これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。

このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

セキュリティインテリジェンスレポート第6版(2008年下半期)

JSECTEAM — Thu, 09 Apr 2009 04:30:00 GMT

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第6版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？日本も、マルウェアを配布してしまっている事が分かります。これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

2008年上半期デスクトップ OS ベンダーレポート～脆弱性と DoR ～

JSECTEAM — Tue, 10 Mar 2009 12:55:00 GMT

小野寺です。

少し前になりますが、Jeff Jonesが、主な4つのデスクトップOSを調査して、脆弱性の対応状況等をレポートとして公表していました。
脆弱性に対する考え方の一つとして面白いため、翻訳版を作ってみました。冒頭部分を以下に抜粋します。

----
このレポートでは 2008年上半期にApple、Microsoft、Red HatおよびUbuntuが対応した全脆弱性について考察しており、Days of Risk (DoR) 、一般的にインストールされているデスクトップのオペレーティングシステムのコンポーネントに影響する問題について、詳細に検証しています。

2008 年上半期の主要な調査結果:

2008 年上半期、ベンダー企業 4 社は、総数 585 件の脆弱性に対応しました。
影響を受けた複数のベンダー企業 26.8% のうち、同日に修正されたのは 8 件のみでした。残りについては、最初に公開された利用可能な修正プログラムと最後に公開された修正プログラムとの間に平均 35 日間の遅れ (差) がありました。
マイクロソフトは、全脆弱性について Days of Risk （脆弱性が一般に公開されてからベンダーの対策が利用可能になるまでの時間）の平均日数が最も低く、24.22 日間でした。次点のベンダー企業では 72 日間でした。
デスクトップ OS の脆弱性では、2008 年上半期、Windows Vista の脆弱性が最も少なく 21 件でした。次に低い数字は Windows XP SP2 の 26 件です。 Windows Vistaの利用者にとって、2008年上半期でWindows XP SP2に影響を与えた26件の脆弱性うち、その46%で、完全な、または部分的な緩和策が存在しました。しかし、1件の脆弱性が新規コード部分に発見されました。

これらのベンダー企業および製品の測定に加え、本レポートではより低い深刻度のためにあまり問題にされない場合について、深刻度の程度を調整した分析を行っています。詳しくは、レポートをご覧ください。

XPS 版:
http://download.microsoft.com/download/E/0/2/E02A3C08-547F-477E-BE9B-205BFF86A1BC/1H08-desktop-vuln-report.xps

PDF版:
http://download.microsoft.com/download/E/0/2/E02A3C08-547F-477E-BE9B-205BFF86A1BC/1H08-desktop-vuln-report.pdf

ISP視点のセキュリティ

JSECTEAM — Tue, 10 Feb 2009 12:43:00 GMT

小野寺です。

前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。
http://www.iij.ad.jp/development/iir/

MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。
また、フォーカスリサーチで、DNSのキャッシュポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。

そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

セキュリティインテリジェンスレポート第5版

JSECTEAM — Tue, 04 Nov 2008 05:21:00 GMT

小野寺です。

2008年上半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第5版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/security/sir.mspx

幾つか、特徴がありますが、まずあげると、今回も、日本が突出して安全であることがあげられます。とはいえ油断はできず、世界的に悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM)が増加の傾向にあります。これは、最近のダウンロード型マルウェアの増加や、サードパーティソフトウェアへの攻撃増加が一因にあるようです。

また、以前から脆弱性や攻撃の対象が、OSから、アプリケーションに移っているといわれて久しいですが、Windows XPとWindows Vistaでも違いがでています。Windows XPでは、Microsoft由来の脆弱性が42%ですが、Windows Vistaでは、Microsoft由来の脆弱性は6%となっており、アプリケーション側の脆弱性への対応の必要性がより顕著になっています。

これらの情報は、世界中のデータをまとめたものですが、日本のデータに絞ったものも、近いうちに公開したいと思います。

マルウェア対策研究人材育成ワークショップ 2008

JSECTEAM — Tue, 14 Oct 2008 03:11:00 GMT

小野寺です

先週 2008/10/08 ～ 2008/10/10 の3日間開催された、「マルウェア対策研究人材育成ワークショップ 2008 (MWS 2008) 」に参加してきました。
http://css2008.la.coocan.jp/mws2008/
http://css2008.la.coocan.jp/mws2008/aboutMWS.html (MWS の目的など)

サイバークリーンセンター (http://www.ccc.go.jp) で採取しているボットの観測データの一部を「研究用データセット」として使用した分析・検討が行われました。
研究所や大学からの発表だけではなく、実務的な現場からの発表もあり、はたまた沖縄の山の中で何かを攻めてみたり(これはMWSと関係はない)など充実した3日間でした。
実施に扱われたテーマについては、プログラムを見てください。
http://css2008.la.coocan.jp/mws2008/program.html

そして、私の参加したパネルでも議題に上りましたが、Microsoftを含めていわゆる対策ベンダーや通信事業者にとっては、検体や実データを得る事は可能な事ですが、研究者の方にとっては、困難な場合も多く研究を困難なものとしているなどの声もありました。またデータを得たとしても、全ての人が同じデータを参照する機会というのは、皆無に近く、共通の同じデータに対して多くの視点から考察が実現された今回のワークショップは、私にとっても意義深いものでした。

今後も、この様な形でワークショップが継続され、より多くの産業界と学術界が交わる事で、具体的に実世界に適用できるソリューションが数多く生み出されるよいサイクルが作られるといいな～と思っています。

従来の様なテクニカル・カンファレンスも重要で面白いですが、この様な形での知識の形成もよいものです。
次回は、もっと多くの企業やセキュリティコミュニティーのメンバーが参加してくる事を期待してます。

Microsoft Updateと再起動とネットワーク

JSECTEAM — Tue, 07 Oct 2008 09:38:00 GMT

小野寺です。

株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。
http://www.iij.ad.jp/development/iir/

ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。
それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗？)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。

その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。

IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

日本は安全か？ - Security intelligence Report Vol4

JSECTEAM — Mon, 23 Jun 2008 15:50:00 GMT

小野寺です。

突然ですが、日本は安全な国なんでしょうか？もちろんIT的な意味でです。感覚的には「絶対に安全とは言い切れない」人がほとんどだと思います。そこで、弊社CSAの高橋の記事でも紹介していますが、2007年下半期の「悪意のあるソフトウェアの削除ツール(MSRT)」等の実行結果を基に各国のマルウェア感染率(感染したPCの検出率)を地図にしたものが以下になります。

意外に感じるか、当然と感じるかは人それぞれだと思いますが、日本だけが緑いろになっており最も低い感染率を示しています。この地図では、赤くなるほど感染率の高いエリアであることを示しています。白は、データ不足の地域です。具体的には、日本は 685台の1台の割合で感染してしていますが、最も感染率が高かったアフガニスタン(Afghanistan)では、17台に1台の確立となっています。幾つか他の組も見てみると、韓国(Korea)が 1/67台、ロシア (Russia)が 1/88台、米国 (United States) が 1/112台、中国(China)が1/214台となっています。ちなみに、低感染率2位は、セネガル (Senegal) で、1/372台となっています。そして、世界平均では、1/123台となっています。こうみると、相対的に日本は世界の中で結構安全な国というか、安全な運用を心掛けている国と言えると思います。もしかすると、心掛けているというよりは、守られている国と言えるのかもしれません。というのも、日本には、サイバークリーンセンターの活動があり、国、ISP、セキュリティベンダーが連携して各端末を1台づつケアしていくという世界的に類を見ない取り組みが行われているためです。(詳細は、SIR 第4版の英語版 (MS_Security_Report_Jul-Dec)をみてください。)

しかし、この日本の1/685台が「安全！」と言い切るのに十分かというと、少し疑問が浮かびます。日本でMSRTが実行されているPCの台数を考えると、まだまだ気を抜くわけにはいかないと感じています。そして、最近の傾向としてこのようなマルウェアによらない、フィッシング等の詐欺的な手法にもさらに注意を払っていかなければなりません。

話をマルウェアに戻して、日本国内でどのような種類のマルウェアが跋扈しているかを見て見たのが、左のグラフです。最も高いのが Worm の26.71%ですが、2007年の上半期から、Trojan Downloaderが急速に伸びており、25.90%に達しています。このダウンローダーが結局 WormやTrojanをダウンロードして感染したり、別のDownloaderをさらにダウンロードしたりと、複雑な状況を作り出しています。また、検出を難しくする要因になっていたりもします。

文書ファイルの脆弱性を悪用し侵入するマルウェアも Trojan/Downloaderが多くなっており、その後にダウンロードされてるマルウェアは刻々と姿を変えています。このような状況を考えると、マルウェア対策は今まで通りしっかりと実施しつつ、Office用のMOICEの導入や、一度ゲートウェイやクラインでのチェックをすり抜けたファイルが保存されていても大丈夫なように、ファイルサーバーや、文書共有サーバー上での定期的な検査などの多層的な防御を検討してみたいところです。また、Web経由で脆弱性を悪用して侵入するマルウェアの多くも Downloaderです。こちらについては、基本に立ち返り、OSを含めて常に最新の更新を必ず適用することです。そして、アプリケーションの更新も忘れないようにしないといけません。極端ではありますが、更新機能のないアプリケーションや、情報発信に問題のある提供元のアプリケーションは、今後使用について検討が必要なのかもしれません。もちろん、更新をする必要がないのが最高なのですが、人間の作るものですから、更新の必要がある前提で考えていった方がより安全なのかもしれません。

では、実際にどのマルウェアが日本で流行っているTop5なのかを調べてみたのが、下のグラフです。

一位は幸か不幸か、Antinnyではありません。一時話題となった CnsMin が最上位に来ています。これは、スパイウェアなのですが、たまたま国内で同じコンポーネントを使った、スパイウェアではない製品があった事も要因の一つかもしれませんが、8.6%とそれなりの比率を占めています。2位が Zlobの 4.3%、3位がAntinny の 3.9%となっています。 Antinny がいまだに日本の全検出数の 4% 近くを占めると思うと、まだまだ啓発が行き届いていない事がうかがえてしまいます。「永遠のビギナー」ということばもありますが、技術やプロセスも絡めて、何とかしたいと思いつつ、一足飛びでは対策できない数字なのだと重さを感じてしまいます。

しかし、そう悲観したする必要もないことが、以下のTop5を月別推移をグラフ化したものでわかります。諸々の事情で数値は省きますが、横軸ひとつで万単位だと思ってください。

これを見ると、Antinnyは一月からみると、減少傾向にあることがわかりますが、依然として結構な数が検出されています。 CNSMinの検出も非常に興味深いものがあり、なぜか昨年の夏ごろに乱高下していました。これについては、理由は明確ではないのですが、現在は緩やかに減少傾向になっています。ただ、グラフには出ていませんが、国内のスパウェアの状況をみると、もう少しスパイウェアの対策が進む必要がある様に感じています。このスパイウェアがまた、厄介で情報の流出の危険ももちろんありますが、システム(PC)を中途半端に不安定にします。ブルースクリーンの原因の多くがスパイウェアであった時期もあります。また、Internet Explorerの異常終了、動作の遅さの原因になっている場合も多く報告されています。こういう背景もありWindows Vistaでは、スパイウェア対策ソフトのWindows Defenderを標準機能としています。XPでは残念ながら、Windows Defenderをダウンロードして導入する必要があり、これを知っているユーザーはまだまだ十分ではないと言わざるを得ません。または、この辺が難しいと感じる場合は、ISPが提供するセキュリティサービスに一任してしまうのも手だと思います。

シマンテックの調査では、「保存データがすべて失われたりした時のストレスは失恋を上回る」という面白い結果もでており、もし、マルウェア等により写真等のデータが失われれば相当にいやな思いをするということです。そうなる前に対策を打つか、いやな思いをしてから反省するかは利用者次第・・・とは言いたくないので、以下の3点で〆ておきます。

1) Microsoft Update を実施し、できれば自動にしてしまう
2) マルウェア対策とスパイウェア対策をするソフトを導入するか、ISPのサービスを導入する
3) ファイアウォールをオフにしようなんて考えない

次のSecurity Intelligence Report は、2008年上半期を分析したものになりますが、そのときには、さらに日本の感染率が低くなっていることを祈ります。

MBSAが久しぶりにバージョンアップ

JSECTEAM — Tue, 27 May 2008 09:55:00 GMT

小野寺です。

MBSA (Microsoft Baseline Security Analizer)が久しぶりにバージョンアップして、2.1となりました。
前回、2.01を公開したのが、2006年6月ですから、実に2年ぶりですね・・・

一応 MBSA を知らない人向けに語弊を恐れず簡単に説明すると、「セキュリティパッチの適用具合と製品の設定を確認するツール」という感じです。実際には、このツールで確認するのは、名前の通り 'baseline' となる最低限のセキュリティだけですので、このツールの検査に合格しても、ビジネス的に十分かどうかはまた別の話です。逆に、このツールで不合格になるような環境は、多くのケースで不適切と言えます。

さて、今回、マイナーバージョンが一つ上がって、2.1 となりましたが、今回の目玉は、Windows Vista と Windwos Server 2008対応です。2.0.1 も Windows Vista の更新プログラムのスキャンはできたのですが、脆弱性レポートなどの幾つかの機能には対応していませんでした。今回のバージョンアップで、その辺の機能にひと通り対応しています。また、64bit 環境, Windows Embedded, SQL Server 2005 の脆弱性評価にも正式に対応しました。

新機能を列挙すると以下のようなものがあります。

Windows Vista および Windows Server 2008 のサポート
更新されたグラフィカルユーザーインターフェイス
64-bit プラットフォームのフルサポートおよび 64-bit のプラットフォームおよびコンポーネントに対する脆弱性評価 (VA) チェック
Windows XP Embedded プラットフォームのサポート
SQL Server 2005 の脆弱性評価 (VA) チェックのサポート
Microsoft Udate の登録およびエージェントの更新
ユーザーが選択したディレクトリパスまたはネットワーク共有に完了したスキャンレポートを出力する機能
Windows Server Update Services 2.0 および 3.0 のWUAへの対応

ちなみに、ダメ環境のレポートはこんな感じです。

詳しいことは、MBSAのページとそのFAQ (よくある質問) を見てください。
http://www.microsoft.com/japan/technet/security/tools/mbsa2_1/default.mspx

日本のセキュリティチーム (Japan Security Team) : レポート

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

2008年上半期 デスクトップ OS ベンダー レポート ～脆弱性と DoR ～

ISP視点のセキュリティ

セキュリティ インテリジェンス レポート 第5版

マルウェア対策研究人材育成ワークショップ 2008

Microsoft Updateと再起動とネットワーク

日本は安全か？ - Security intelligence Report Vol4

MBSAが久しぶりにバージョンアップ

セキュリティインテリジェンスレポート第7版(2009年上半期)

セキュリティインテリジェンスレポート第6版(2008年下半期)

2008年上半期デスクトップ OS ベンダーレポート～脆弱性と DoR ～

セキュリティインテリジェンスレポート第5版