麻生です。 

ある日、自分が開発したアプリケーションをサーバーにインストールしたいと管理者に頼んだら、追加されるサービス、変更されるファイアウォールの設定、追加されるユーザーやグループ等の情報が必要だと言われた。「あ、Attack Surface Analyzer って使えるかも？」と閃くあなた・・・。

Attack Surface Analyzer って何?

マイクロソフトでは自社製品のセキュリティ開発ライフサイクルの規定により、出荷する全製品について必ず攻撃面の分析を行う必要があります。

攻撃面ってあまり聞かない単語だと思いますが、早い話、将来攻撃されるかも知れないモジュールやサービス等です。攻撃面の分析では、攻撃されるかもしれないモジュールや設定等を洗い出し、開発の段階でリスク分析や対応を行います。ただし、攻撃面の洗い出し等を一つ一つやる事を考えると、どこにそんな時間があるんだ！と叫びたくなることもあると思います。そこで、開発されたのが Attack Surface Analyzer です。

Attack Surface Analyzerですが、本来ソフトウェア開発における、設計の分析・検証用に作られたツールとなります。つまり、開発したソフトウェアをシステム上で動かした場合、そのソフトウェアがシステムにもたらす攻撃面を、入っていない状態と比較することで検証します。具体的には、ソフトウェア (プログラムやモジュール) に設定された攻撃面となりうるACL設定、関連レジストリや登録されたCOMの攻撃面となりうるACL設定等を確認できます。また、ソフトウェアのインストールによって生じた、以下のようなシステム上の攻撃面についても併せて確認できます。

以下の様なレポートが生成され、ソフトウェアがインストールされる前後を比較することが可能です。

え？でも私、開発者じゃなくて、管理者なんですが・・・。 

私は実はシステム管理者出身のセキュリティ屋だったりします。Attack Suface Analyzer を初めて聞いた時は、開発者向けのツールかな？と思っていました。が、記憶をさかのぼって見ると管理者でも使用できる要素があるんじゃないかなと考えています。例えば、管理者時代によく、このアプリケーションインストールしたら何が変更されるの？とか、インストール前と後で何が変更されたかちゃんとログしといてね。とか、上司や監査系の人に言われてたのですが、Attack Surface Analyzer でアプリケーションのインストール前と後でスナップショットを取得して、比べれば、システム上で何が変更されたかすぐに分かったりします。

マイクロソフト社内では数年使用されてきたツールですが、今回はあえて、Beta 版として公開しています。Attack Surface Analyzer Beta を使用していただいたお客様が、今後このツールに求める機能等の情報をまずは集めて、それを反映し、Attack Surface Analyzer をより使えるツールにしていきたいと考えています。

マイクロソフト ダウンロードセンターから Attack Surface Analyzer Beta を入手できます。

また、Attack Surface Analyzer Beta への今後の期待や、追加して欲しい機能や、こんな風にも使えるんじゃない？があれば、こちらにアイディアを募集中です！

先日、マイクロソフトから無料でダウンロード可能な ”Microsoft Safety Scanner”という新しいマルウェア スキャン ツールがご利用いただけるようになりましたのでこのブログでも少し紹介したいと思います。

Microsoft Safety Scanner は以前公開していた Windows Live PC セーフティ スキャナーの置き替えとなる新しいツールで、お使いのコンピューターがマルウェアに感染していないかを診断し、可能な場合は駆除も行います。現在サポート中の 32 ビット・64 ビット版 OS (Windows 7、Windows Vista、Windows XP、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2) でダウンロード、実行可能です。

Microsoft Safety Scanner の大きな特徴としては、Web サイトから、最新の定義ファイルがパッケージ化された 1 つの実行ファイルをダウンロードして (インストールなしで) 使用することができ、他のセキュリティ対策ソフトウェアがインストールされている環境でも、セカンド オピニオンとしても使用可能な点です。このツールはインストール不要ですので、レジストリの書き換えなども行いません。また、Web サイトのツールは随時最新の定義ファイルに更新されます。

万一システムが Conficker 等のマルウェアに感染してネットワークが切断されている場合や、どうしてもインターネットに接続できない環境でも、友人等に依頼して Microsoft Safety Scanner を USB などのリムーバブル ドライブにダウンロードしてもらい、実行・駆除することもできます。

Microsoft Safety Scanner は、ダウンロードしてから 10 日間ご利用いただけますが、ダウンロード後 10 日以上経つと期限切れとなり、使用できなくなります。最新のマルウェア対策定義を使用してスキャンを再実行したい場合は、再度ダウンロードして実行する必要があります。

なお、重要な注意点としては、Microsoft Safety Scanner は定義ファイルの更新機能は備えておらず、一般にシステムにインストールして使用する常駐型のセキュリティ対策ソフトウェアの代替となるツールではありません。昨今、新しいセキュリティの脅威は毎分毎秒と出回っている状況ですので、万一お使いの環境に常駐型のセキュリティ対策ソフトウェアがインストールされていない場合は、リアルタイム保護機能の備わったセキュリティ対策ソフトウェアをインストールされることをお薦めします。マイクロソフトは、家庭および小規模ビジネス向けに無償のマルウェア対策ソフトウェア、Microsoft Security Essentials (通称 MSE) を提供しています。なお、PC 10 台以上の企業向けの総合的なセキュリティソリューションとしては Microsoft Forefront 製品があります。


最後に、下記に Microsoft Safety Scanner のダウンロード・実行方法を簡単に記載します。
※ Windows 7 Service Pack 1 (32 ビット版) で実行した場合の手順です。

1. Microsoft Safety Scanner サイトで、[今すぐダウンロード] ボタンをクリックします。
   
   
   
   
2. 表示された画面で [ダウンロードの開始] をクリックします。
   
3. [ファイルのダウンロード - セキュリティの警告] ダイアログボックスが表示されたら、[実行] ボタンをクリックします。
   
   
   
   
4. [Internet Explorer - セキュリティの警告] ダイアログボックスが表示されたら、[実行する] ボタンをクリックします。
   
   
   
   
5. ユーザー アカウント制御が表示されたら、[はい] をクリックします。
   
   
6. [使用許諾契約に同意します] にチェックを入れて、[次へ] ボタンをクリックし、次に進みます。
   
   
   
   
7. Microsoft Safety Scanner 開始の画面が表示されたら、[次へ] ボタンをクリックし、次へ進みます。
   
   
   
   
8. スキャンの種類を選ぶ画面が表示されたら、いずれかの種類を選択します。
   
   Microsoft Safety Scanner では、3 種類のスキャンが実行できます。
   用途に合わせてスキャンを選択してください。
   • クイック スキャン: マルウェアやウイルスが感染しやすいシステムの領域をスキャン。
   • フル スキャン: システム全体のスキャン。環境によっては完了するのに数時間かかる場合もある。
   • カスタム スキャン: クイック スキャン対象領域以外にスキャンしたいフォルダーを指定できる。
   
   
   
   
9. スキャンが始まります。
   お使いの環境やスキャンの種類によって完了までの時間が異なります。
   
   
   
   
10. スキャンが正常に完了し、特にマルウェアが検出されない場合は、完了画面が表示されます。
    
    

※ 万一、マルウェアが検出された場合、駆除を施すダイアログボックスが表示されますので、画面に従って、駆除を行ってください。

EMET (Enhanced Mitigation Experience Toolkit) v2.1 を 2011 年 5 月 18 日 (US 時間) に公開しました。今回はマイナー バージョンアップですが、いくつかの修正のみならず、新しい緩和策や、使い勝手を向上する新機能がいくつか追加され、さらに使いやすく、さらに強固に進化しています！また、この EMET v2.1 から公式にサポートを提供し始めました。

※ EMET とは？という方は、以前 EMET を紹介した こちらのブログ (後半に記載) や デモを交えて解説している Webキャスト をご参考ください。

では、EMET v2.1 の主な変更点をご紹介します。

• 公式サポートを開始！
  EMET v2.1 から、TechNet フォーラム で公式サポートを開始しました。現時点では、英語での対応となります。
• 新緩和策 “Bottom-up Randomization“ を追加！
  ボトムアップ型のメモリ アロケーション (ヒープ、スタック、その他のメモリ アロケーションを含む)  のベース アドレスをランダム化します (8 ビットのエントロピ)。
• EAF (Export Address Table Access Filtering) が 64 ビット OS にも対応！
  EAF は Export Address Table (EAT) へのアクセスをフィルタしシェルコードがペイロードに必要な Windows API のアドレスを取得するのをブロックする緩和技術です。現在存在するほとんどのシェルコードに有効です。V2.1 からは 64 ビット OS でも使用できるようになりました。
• コマンド ライン サポートの改善・拡充！
  企業環境での展開や構成を容易にします。
• EMET 設定のエクスポート/インポート
  コマンド ラインから EMET 設定のエクスポート/インポートを実行できます。
• SEHOP (structured exception handler overwrite protection) の改善
  SEHOPの不完全な部分を修正しました。
• その他いくつかの修正

なお、GUI にはほとんど変更はありませんが、[Application Configuration] 画面で、新しい緩和策 Bottom-up Randomization が追加されていますね！


私も早速 EMET v2.1 をインストールしてみました。0-day にも有効で、他社もセキュリティ更新を出すまでの緩和策として EMET を推奨しているほどです。多層防御の一環として、お使いのシステムを EMET でより強固にし、不要な不安や攻撃を振り払ってください。EMET の使い方や機能詳細については、EMET v2.1 パッケージと一緒にダウンロードされる Users Guide にも載っています。参考にしてみてください。

関連情報
EMET v2.1 ダウンロード サイト
http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409

Security Research and Defense ブログ – EMET v2.1 のアナウンス
http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx

EMET 公式サポート サイト – TechNet Forum
http://social.technet.microsoft.com/Forums/ja-JP/emet/threads

先週の金曜日 (2011/5/13) に、セキュリティ インテリジェンス レポート (SIR) 第 10 版を公開しました。

SIR は、エクスプロイト、脆弱性、マルウェアについて、全世界の 6 億台以上のシステム、インターネット サービス、マイクロソフトのセキュリティ センター (MMPC、MSEC、MSRC) のデータを基に、セキュリティの脅威の動向を分析したレポートです。

半期ごとに公開しているレポートですが、今回で第 10 版目となりました。この第 10 版では、2010 年下半期 (7 月から 12 月) に焦点を当て分析しています。

 どういった内容のレポートがされているのか、ほんの一部だけご紹介します。

 以下は、2010 年の月別のフィッシングインプレッションの構成比を示しています。フィッシング インプレッションは、Internet Explorer で既知のフィッシングサイトを訪問しようとしてブロックされたユーザーの単一のインスタンスです。

このグラフから、どういった種類のサイトがフィッシング攻撃の標的とされているかがわかります。

フィッシング サイトの種類別のインプレッション (2010 年、各月の構成比)

以前は、金融機関のサイトがフィッシング攻撃の最大の標的となっていました。しかし、2010 年の後半には金融機関のサイトからソーシャル ネットワーク サイトに標的が変化しています。1 月には 8.3% にすぎなかった値が、12 月には 84.5% にまで上昇しました。数の多い金融機関の場合、フィッシング攻撃者は各社サイトをそれぞれフィッシング攻撃用にカスタマイズする必要がありますが、ソーシャルネットワーク サイトの場合、ごく一部の人気サイトに多数のユーザーが集中するため、1 サイトあたりで標的にできる人数が多くなり、効果的な攻撃が可能となります。このため、標的とされることが増加していると考えられています。

日本では、まだソーシャル ネットワーク サイトを標的としたフィッシング サイトを目にすることはありませんが、今後台頭してくると予想されています。先月の Internet Explorer 9 についてのブログでも紹介しましたが、Internet Explorer 8 やInternet Explorer 9 には Microsoft SmartScreen と呼ばれるフィッシング攻撃やソーシャル エンジニアリング マルウェア等に対する保護機能が組み込まれています。こういった保護機能を搭載したブラウザーを利用し、フィッシングから身を守るようにしてください。Microsoft SmartScreen の詳細については、「Microsoft SmartScreen を使用してフィッシングから身を守る方法」をご覧ください。 

このように世界での脅威の動向を含め、各国の動向も把握することができます。

感染率の他にも、以下の内容についての分析を掲載しています。

• 脆弱性
• 悪用コード
• マルウェアと望ましくない可能性のあるソフトウェア
• 電子メールの脅威
• 悪意のある Web サイト

 「彼を知り、己を知れば百戦して危うからず」

脅威の動向を知り、システムの安全利用に SIR をご活用ください。

皆さん、こんにちは！今月のマイクロソフトワンポイントセキュリティ情報担当者です。
先ほど 5 月のワンポイント セキュリティ情報を公開しました。

本日 5 月 11 日に公開した新規 2 件 (緊急 1 件、重要 1 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日更新したセキュリティ情報 MS11-028、セキュリティ アドバイザリ 2425375 についても、併せて説明しています。

また、先ほどこのブログでもお伝えした、MS11-022 のセキュリティ更新プログラム適用後の問題の対応についても Web キャスト内で説明しています。

フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration: