• 日本の最新セキュリティ脅威の傾向と感染率が低いワケ

    Posted over 3 years ago
    by JSECTEAM y}

    5 年ほど前からマイクロソフトが半期に一度公開している、最新のセキュリティ脅威の傾向をまとめた資料”セキュリティ インテリジェンス レポート (SIR) “で、日本は継続して、世界各国の中でもマルウェア感染率が低い国として挙げられてきました。先日本社のセキュリティチームのブログにて、日本の感染傾向と感染率が低い理由について分析している記事が発表されましたので、このブログでも要約してご紹介したいと思います。

    今回、感染率の低い国として挙げられているのは、オーストリア、フィンランド、ドイツ、そして日本の 4 か国です。ここで言う感染率は、SIR の中で使用される CCM (Computers Cleaned per Mile)* の数値を基にしています。下図は、2009 年上半期から 2010 年下半期までの 4 か国のCCM の数値と世界平均の数値を比較したデータですが、2010 年第 4 半期における最新の日本の CCM スコアは 3.3 となり、悪意のあるマルウェアの削除ツール (MSRT) によって、1,000 台のコンピューターにつき 3.3 個の割合でマルウェアが検出されたという結果でした。

    *CCM: 悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行するごとに駆除が報告されたコンピューターの台数を表す正規化された値

    2009 年上半期から 2010 年下半期までの 4 か国の CCM の数値と世界平均の数値比較:

    (出典:  Finale - Lessons from Some of the Least Malware Infected Countries in the World – Part 6)

     

    <日本における脅威の傾向>

    下図左は 2010 年第 4 四半期 (10 月~ 12 月) における日本でのマルウェアや望ましくない可能性のあるソフトウェア (Potentially Unwanted Software) のカテゴリ、下図右は同時期の日本における脅威のファミリ トップ 10 を示しています。日本の感染率の絶対数は世界平均 (CCM 8.7) と比べてかなり低い値 (CCM 3.3) となっている中でも、全体比としてワームとアドウェアが多く見られました。

    日本に特化した企業環境と家庭の PC 環境全体の脅威の傾向:

    (出典: 脅威の分析 – 日本)


    最新の SIR で日本の脅威のトップであった JS/Pornpop は、日本に限らず感染率の低い国として挙げられた他の 3 か国でも、2010 年下半期に発生し、広く蔓延した上位の脅威として確認された新種のアドウェアです。JS/Pornpop は、一般にアダルト コンテンツで利用され、ユーザーの Web ブラウザーにポップアンダー広告の表示を試みます。また、JavaScript 対応として特別に細工されているため、JavaScript が有効などの Web ブラウザーでも実行可能です。JS/Pornpop は最近数年間で最も急速に蔓延したマルウェア ファミリに数えられており、日本で駆除された PC の 24% 以上が JS/Pornpop に感染していました。また Win32/ConfickerWin32/Taterf 等のワームの蔓延手法としてよく使用される Windows 自動再生/実行 (Autorun) 機能を悪用した脅威の対策として、マイクロソフトは更新プログラム 971029 を2011 年初めから自動更新での提供を開始しています。自動更新経由での配信に伴い、この更新プログラムの適用率が向上することで、今後これらのマルウェアへの感染が減少することが期待されています。この更新プログラムの適用による Windows 自動再生(Autorun) 機能の動作変更の詳細については、以前このブログで公開した USB 経由のマルウェア感染に対する予防策- Autorun の更新プログラム (971029) の記事をご参照ください。

    <日本の感染率が低いのはナゼ>

    日本が世界平均と比較して感染率が低いとはいえ、感染率が低いとされる国ではマルウェアの脅威が少ない、サイバー犯罪のない安全な地域というわけではありません。また、低い感染率を維持しているのには、脅威に対する様々な取り組みや対策が行われていることも重要な差別要因となっていると考えられます。

    例えば、SIR 第 7 版で日本のベストプラクティスとしても挙げられた Cyber Clean Center (CCC) プロジェクトはその代表格で、ドイツではこの取り組みを参考にして類似したプロジェクトがスタートしています。CCC は ISP とマイクロソフトを含むセキュリティ対策ベンダー、および日本の政府機関が協力し、インターネットの脅威となっているボットの特徴を解析するとともに、ボットを駆除するために必要な情報をユーザーに提供するという安全なインターネット環境の実現に向けたボット対策の取り組みです。取り組みの結果として、プロジェクト開始当初の 2005 年 4 月には 2.5% だったワーム感染率が 2008 年 6 月には 1% まで減少させることに貢献しました。また、CCC のハニーポットによって採取された検体をセキュリティベンダーに共有することで、セキュリティ製品のマルウェア検出率向上に貢献しました。

    また、日本の高いブロードバンド普及率についても、要因の一つとして考えられると言われています。日本のインターネット利用者の 80% はブロードバンド接続を使用しており、ルーターを経由してネットワークに接続するため、ルーターがファイアウォールの役割を果たすためです。この仕組みがマルウェア感染を防ぐ機能を果たしていると言えます。

    言うまでもなく、インターネット環境の安全性は、単一の取り組みや要因で、短期間で確立されるものではありません。今回感染率の低い国として挙げられた地域では、CERT や ISP、および政府機関がセキュリティ脅威に対する迅速なレスポンス プロセスを確立していたり、Windows 利用者の Windows Update/Microsoft Update の使用率が高いなど、インフラの要素も影響していることも分かりました。日本に特化した分析結果の詳細は、Japan - Lessons from Some of the Least Malware Infected Countries in the World – Part 5 (英語情報)、感染率の低い国の分析結果全体に関しては、Finale - Lessons from Some of the Least Malware Infected Countries in the World – Part 6 (英語情報) をご覧ください。



    参考資料:

  • SSL/TLS の脆弱性に関するセキュリティ アドバイザリ 2588513 を公開

    Posted over 3 years ago
    by JSECTEAM}

     

    本日、SSL (Secure Sockets Layer) 3.0 および TLS (Transport Layer Security) 1.0 の脆弱性について説明したマイクロソフト セキュリティ アドバイザリ 2588513 を公開しました。

    このアドバイザリでは、SSL および TLS に存在する情報漏えいの脆弱性の説明と、その回避策となるガイダンスを提供しています。この脆弱性は、Windows オペレーティング システムに特化した問題ではなく、HTTPS プロトコル自体に影響を及ぼすものです。攻撃された場合、HTTPS セッションの Cookie 情報などが傍受されます。

    マイクロソフトでは、他のプロトコルやコンポーネントでのこの問題を悪用する手法については確認しておらず、現時点で報告された悪用を試みる攻撃についても確認していません。マイクロソフトでは、引き続きこの問題を調査していますが、この攻撃シナリオを考慮し、この脆弱性はお客様に高いリスクをもたらすものではないと考えます。

    この問題の悪用が行われるには、いくつかの条件があります。

    ·           標的となるユーザーが HTTPS セッションを使用している必要があります。

    ·           攻撃者が HTTPS トラフィックを解読するには、悪意のあるコードをユーザーのブラウザーセッションに挿入し実行する必要があります。かつ、

    ·           既存の HTTPS 接続にピギーバック攻撃を仕掛けるには、攻撃者の悪意のあるコードは、HTTPS サーバーと同じ発信元である必要があります。

    また、中間者攻撃の悪用手法として、攻撃者は標的に対する比較的広帯域の接続が必要となります。TLS (1.1 および1.2) 以降のバージョンでは、この手法の影響を受けにくいため、セキュリティアドバイザリで TLS 1.1 および 1.2 を有効にする方法を回避策として説明しています。

     

    詳細および回避策については、マイクロソフト セキュリティ アドバイザリ 2588513 をご覧ください。

    より技術的な詳細は、SDL ブログ Is SSL broken? – More about Security Advisory 2588513” (英語情報) をご参照ください。

  • 不正なデジタル署名の問題の影響と対策

    Posted over 3 years ago
    by JSECTEAM}

    マイクロソフトは、不正なデジタル署名の問題に関して、アドバイザリ 2607712 やブログ(12)を公開し情報提供してきました。ここでもう一度、何が問題なのか、影響の範囲、気を付ける点、対策方法を整理してみたいと思います。

    問題の概要
    オランダの DigiNotar 社に悪意のあるハッカーが不正侵入し、勝手に不正なルート証明書を発行した事件が発生しました。これにより、もし悪意のあるハッカーが不正なルート証明書を使った Web サイトを構築し、ユーザーがその Web サイトに訪れた場合、あたかも正規の電子証明書を使った Web サイトと見誤る可能性があります。また、入力した情報(個人情報など)が悪意のあるハッカーに盗み見される可能性があります。本来、https 通信で訪れた Web サイトの証明書に問題がある(ドメイン名とそれに対応する証明書が一致しない)場合、ブラウザ上で図1 のような警告画面が表示されますが、今回の問題が悪用されると警告画面が表示されなくなる可能性があります。 今回、不正なルート証明書の中には、マイクロソフトに関連するものでは *.microsoft.com、*.windowsupdate.com、www.update.microsoft.com、他社に関連するものでは *.google.com、www.facebook.com、*.skype.com、twitter.com といったドメインに偽装する証明書が含まれます。つまり、これらのサイトにアクセスした場合、通信内容が盗み見される可能性があります。

    1. Internet Explorer 問題のある証明書の Web サイトにアクセスした場合表示されるメッセージ


    影響の範囲
    不正なデジタル署名の問題について何も対策を行わない場合、個人情報など秘密にしておきたい情報が他人に盗み見される可能性があります。あまり日本では馴染みのないDigiNotar 社の証明書であっても、日本のユーザーも被害に遭う可能性はあります。

     

    • セキュリティーで保護された通信(SSL 通信など)が盗み見される可能性
      (例:インターネット メールの内容を第三者に見られる)



    図2. 不正なデジタル署名の悪用の方法


    ただし、この攻撃が成功するには一定の条件があります。攻撃者が、ユーザーの情報を盗み見するには、不正なサーバーを準備しユーザーを不正なサーバーに誘導する必要があります。これを実現するには、攻撃者がユーザーが参照する DNS の内容を改ざんする(図2の②)、あるいはユーザーの PC をマルウェアに感染させ hosts ファイルを改ざんする(図2の③)などが必要です。

    逆に、対策を行った場合の影響としては、 DigiNotar 社の証明書を使用していると、次のような影響が発生する可能性があります。

    • デジタル署名されたアプリケーションが使えなくなる可能性
    • S/MIME、IPSec 通信など証明書を使ったサービス・通信が使えなくなる可能性

     

    気を付ける点

    マイクロソフト製品については更新プログラムを適用するだけで対応が可能です(Windows Vista 以降の
    OS では、自動的に証明書をチェックするメカニズムがあるのでユーザーは特に対応する必要はありません。)。他社製品についても対策が必要な場合があり、製品をアップグレードするなどの対応が必要です。他社製品については、下記情報をご参考ください。

     

    不正な電子証明書発行に関する問題について

    http://www.ipa.go.jp/security/ciadr/vul/20110915-sslcert.html


    対策方法

    • 企業ユーザー
      • WSUS を使用している場合、更新プログラム KB2616676 がユーザーに配信されるよう承認する
      • System Center などのシステム管理プログラムを利用している場合、更新プログラム
        KB2616676 が配信されるよう構成する
      • KB931125を適用していない環境では対応の必要はなし

     

     

     


  • 2011年9月マイクロソフトワンポイントセキュリティ

    Posted over 3 years ago
    by JSECTEAM y}

    皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。
    先ほど 9 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

    本日 9 月 14 日に公開した新規 5 件 (重要 5 件) のセキュリティ更新プログラムの適用優先度、既知の問題、    回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。

    また本日更新した 2 件のセキュリティ情報 (MS10-035 および MS11-049) や 2 件のセキュリティ アドバイザリ (セキュリティアドバイザリ 2562937 および セキュリティ アドバイザリ 2607712) の概要    についても、併せて説明していますので、概要把握のために是非ご視聴ください。

    また内容に関するフィードバックも随時受け付けています。今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

    フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
    http://technet.microsoft.com/ja-jp/security/dd251169.aspx

    下の画像をクリックして動画を再生してください。

    Format: wmv
    Duration:

  • 2011 年 9 月のセキュリティ情報 (月例)

    Posted over 3 years ago
    by JSECTEAM}

    先週の事前通知でお伝えした通り、セキュリティ情報 計 5 件 (重要 5 件) を公開しました。9 月は、Windows、Office クライアントおよび Office サーバー製品などがセキュリティ更新プログラムの適用対象になります。


    ■ 2011 年 9 月のセキュリティ情報:

    各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。
    http://technet.microsoft.com/ja-jp/security/bulletin/ms11-sep


    Office バージョンによって適用が必要なセキュリティ更新プログラムの数が異なるため注意

    今月は、Office スイート用のセキュリティ情報を 2 件 (MS11-072, MS11-073) 公開していますが、お使いの Office 製品のバージョンによって、適用対象のセキュリティ更新プログラムの数が異なりますので、以下に整理しておきます。なお、自動更新を有効にしているお客様はご使用のソフトウェアに合わせて適切なセキュリティ更新プログラムが自動で配信およびインストールされますので、特に意識していただく必要はありません。

    Office のバージョン毎に適用が必要なセキュリティ更新プログラム一覧

    Office バージョン

      ※1

    MS11-072

      ※2

    MS11-073

    今月適用対象の

      セキュリティ更新プログラム

    Office 2003

    KB2553072

    KB2584052

    KB2584052
    KB2553072

    Office 2007

    KB2553073
    KB2553089
    KB2553090
    KB2553074

    KB2584063

    KB2553074
    KB2553089
    KB2553090
    KB2584063
    KB2553073

    Office 2010

    KB2553070
    KB2553096
    KB2553091

    KB2584066

    KB2553070
    KB2553096
    KB2553091
    KB2584066

    1 最新の SP のOffice製品について、適用対象のセキュリティ更新プログラムを記載しています。

    ※2 MS11-072 について、Excel をインストールしていない場合でも、上記と同じセキュリティ更新プログラムが適用対象です。

    Office ファイル検証機能のアドイン適用後の問題に対応する更新プログラムを公開

    また、以前このブログでもお伝えした「Office ファイル検証機能のアドイン(KB2501584) 適用後、ネットワーク共有上の Excel ファイルを開くのに時間がかかる」問題に対応する更新プログラム (KB2553065) が本日通常の配信チャネルからご利用可能になりました。Office ファイル検証機能のアドイン (KB2501584) を適用済みで、自動更新が有効な環境については、「重要な更新」として該当の環境へ自動的に提供されます。また、サポート技術情報 2553065 から手動でダウンロードも可能です (※ 2011/09/14 正午現在はご利用可能でないため、確認中です)

    なお、サポート技術情報 2575312 記載の回避策で、アドインを一時的に無効化している場合は、KB2553065 の更新プログラムをインストール後 (またはインストール前、どちらでも可) に、回避策を解除していただく必要があります。


    ■最新のセキュリティ情報を動画と音声でまとめて確認

    マイクロソフト セキュリティ レスポンスチームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web キャスト公開後に、こちらのブログでもお知らせします。


    ■ セキュリティ情報サイト URL 変更のお知らせ

    セキュリティ情報およびセキュリティ アドバイザリの URL が段階的に変わります
    (既に一部については変更済みです)。なお、各 URL は、言語指定をしなくても、ブラウザーのロケールに従って各言語のページに自動的にリダイレクトされるしくみになっています。

    ※ 以下 x は数字を表します。

    [新 URL]

    セキュリティ情報:
    http://technet.microsoft.com/security/bulletin/msxx-xxx

    セキュリティ アドバイザリ:
    http://technet.microsoft.com/security/advisory/xxxxxxx

    [旧 URL]

    セキュリティ情報:
    http://www.microsoft.com/japan/technet/security/bulletin/msxx-xxx.mspx

    セキュリティ アドバイザリ:
    http://www.microsoft.com/japan/technet/security/advisory/xxxxxxx.mspx