小野寺です。

最近、ワームの関するものが多くなっていましたが、ワームへの感染もふくめて、事件・事故に合わないために・・・ということで、「知っとく！なっとく！親子トクトク　情報セキュリティ・ワークショップ」を近日おこないます。

タイトルにもある通り、子供とその親が対象です。最近ですと、小学校に入るころにはほぼ自由に使えているようです。しかし、その使い方は、利用のモラル、情報の取捨、自己防衛の方法は知らないと思いますし、それを子供に正しく伝えることは、大人でも難しいようです。

今までも、この部分の啓発には取り組んできましたが、今年はTBS, Yahoo, Microsoft共同で、今までと少し違った形で、ワークショップを開催することにしました。

http://www.tbs.co.jp/kids/workshop/security_ws.html

ＴＢＳアナウンサーの青木裕子さん、または新井麻希さんの司会で、親子ともども楽しめる形になっています。

いつもと違う休日の過ごし方として、いかがですか？

小野寺です。

日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker ワームに関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。 この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

1. MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。 この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
   
2. ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。 まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザー アカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。 これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザー アカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。 これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
   
3. USB ドライブやその他のポータブル ストレージなどのリムーバル メディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブル メディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。 下のスクリーン ショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。 ユーザーが最初のオプションを選択した場合、ワームが実行されます。
   

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
また、さまざまなサービスを終了させ、再起動させようとします。詳細情報は こちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティ ソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
さらに、ウイルス対策およびセキュリティ ベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

• お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
• Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
• お客様の環境の、すべてのユーザー アカウントおよび共有ファイルの両方に堅牢なパスワ���ドを使用してください。
• 自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップ バイ ステップの手順で駆除してください。

• セキュリティ更新プログラム:
  • セキュリティ情報 MS08-067
    http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
  • WSUS を構成する
    http://technet.microsoft.com/ja-jp/wsus/default.aspx
  • マイクロソフトの修正プログラムの管理に関する 10 の原則
    http://technet.microsoft.com/en-us/library/cc512589.aspx (英語情報)
  • MS08-067 に関する SVRD のブログ:
    http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx (英語情報)
• パスワード:
  • 堅牢なパスワード ポリシーを作成する
    http://technet.microsoft.com/en-us/library/cc736605.aspx (英語情報)
  • Windows Server 2003 セキュリティ ガイド
    http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#E4D
  • パスワード強度の簡易チェック
    https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
  • 強力なパスワード : その作り方と使い方
    https://www.microsoft.com/japan/protect/yourself/password/create.mspx
• リムーバブル メディア:
  • Windows Vista セキュリティ ガイド | 第 3 章 : 機密性の高いデータの保護 | デバイス管理:
    http://technet.microsoft.com/ja-jp/library/bb629455.aspx#4
  • Windows で強制"無効"に自動実行レジストリ キーを修正する方法
    http://support.microsoft.com/kb/953252
• ウイルス対策:
  • Encyclopedia: Win32/Conficker.B (英語情報)
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker.B
  • Encyclopedia: Win32/Conficker.B (抄訳)
    http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
  • Win32/Conficker.B ワームに関するウイルス対策情報
    http://support.microsoft.com/kb/962007
• MSRT:
• 悪意のあるソフトウェアの削除ツール:
  http://support.microsoft.com/?kbid=890830
• 企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開:
  http://support.microsoft.com/kb/891716

小野寺です

Microsoft MVPでもある まっちゃさんとはなずきんさん に声をかけていただいて久しぶりに、セキュリティ勉強会に参加してきました。
今回参加したのは、1/17に京都で行われた 「第17回 まっちゃ139」ですが、その一こまを頂いて、セキュリティ インテリジェンス レポート等から見えてるセキュリティの状況などを少しお話させていただきました。(詳細は、http://d.hatena.ne.jp/ripjyr/20090119/1232299639)

この日も各地で色々な勉強会が30以上並行で行われており、その活発さに驚かされます。 内容も幅広く、誰でも入っていきやすい雰囲気は独特だと思います。

今週末も、香川県で、新しいセキュリティ勉強会 「セキュリティうどん(かまたま)」の第1回が行われます。セッションも各分野の一人者を読んでおり、こういう人たちに会えるのも勉強会の醍醐味かもしれませんね。 お近くの方は、一度参加されては？キット世界が人がります。

小野寺です。

先ほど、2009年 IT Security Award のクイズ出題を開始しました。
監督賞、主援賞、作品賞の3つのコースがあり、すべてのコースで豪華(だと私はおもっている)賞品と、最優秀者への表彰とトロフィーを準備しています。

皆様の挑戦をおまちしています。挑戦は何度でも行えますので、100点が取れるまで挑戦してみてください。
http://www.microsoft.com/japan/technet/security/award/2009/default.mspx
(ちなみに、クイズサイトはSilverlightでつくってあります)

小野寺です。

2009年1月のワンポイントセキュリティを公開しました。

2009年1月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。