• 決意を持った敵対者と標的型攻撃 その 1 ~マイクロソフト セキュリティ インテリジェンス レポート第 12 版より~

    Posted over 2 years ago
    by JSECTEAM_a}

    マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) について、こちらのブログでも概要Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。

    前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。

                                                              

    標的型攻撃の実態

    SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor(首謀者)と複数の Actor (実行役)から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。

    これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。

    標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。

    未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。

    また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャル エンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピア フィッシングなどが特によく用いられます。

    初期の標的型攻撃では、特定のファイルやファイル タイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。

     

    標的型攻撃対策の課題

    標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。

    ○ 悪意のある実行役が多数存在する

    ○ これら実行役の動機がさまざまである

    ○ 類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい

    ○ 広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではない

     

    では、実際にはどのような対策を立てることが可能なのか  ?

    それについては、次回のブログでご紹介したいと思います。

     

  • EMET の最新バージョン EMET 3.0 を公開しました

    Posted over 2 years ago
    by Norie Tamura}

    2012 年 5 月 15 日 (米国時間)、Enhanced Mitigation Experience Toolkit (EMET) の最新版となる EMET 3.0 を公開しました。

    EMET とは?

    EMET (エメット) は、任意のアプリケーションに対して DEP (Data Execution Prevention) や ASLR (Address Space Layout Randomization)、SEHOP (Structured Exception Handler Overwrite Protection) など計 7 つの「脆弱性緩和技術」を簡単に導入できる無料ツールで、ソフトウェアの脆弱性が任意のコード実行等で悪用されるのを防止します。EMET の詳細は過去のブログ「X’mas ギフト」(後半) および「EMET の新しいバージョン V2.1 をリリースしました!」でも説明していますのでご参考ください。

    EMET による防御のイメージ

    下図2 が EMET による防御のイメージです。セキュリティ更新プログラム未適用のソフトウェアの脆弱性が攻撃された場合でも最終的な悪用 (コード実行) を防ぐことができます。多層防御の観点で、セキュリティ更新と併用することで、組織や個人の資産をより確実に守ることができます。


    図1: セキュリティ更新プログラムにより攻撃が防御されるイメージ


    図2: 緩和策の設定によりセキュリティ更新未適用のソフトウェアの脆弱性 (0-day 含む) に対する悪用が回避されるイメージ

    EMET 3.0 の新機能

    使い勝手の観点で以下の 3 つが追加されています。

    1. 構成を容易にする “プロファイル”
    2. グループ ポリシーや SCCM との連携
    3. レポーティング機能

    1.構成を容易にする “プロファイル”

    EMET 3.0 では、3 つのプロファイルを提供しています (下述)。これらプロファイルは、よく使用されるマイクロソフトおよびサードパーティ アプリケーションに対し、予め EMET の設定を構成した XML ファイルです。EMET をインストールしたディレクトリ配下の Deployment\Protection Profiles に含まれています。プロファイルを修正したりこれを基に他のプロファイルを作成したりできます。プロファイルの中身を見るとどのアプリケーションに対してどの緩和策が設定されているかも確認できます。

    • Internet Explorer.xml: サポートされたバージョンの Internet Explorer に対する緩和策を有効にする
    • Office Software.xml: サポートされたバージョンの Internet Explorer、Office スイートに含まれる製品、Adobe Acrobat 8-10、Adobe Acrobat Reader 8-10 に対する緩和策を有効にする
    • All.xml: Internet Explorer や Officeなど、一般的に家庭や企業で使用されるアプリケーションに対する緩和策を有効にする

    2.グループ ポリシーや SCCM との連携

    以前より、EMET を組織で容易に展開できるようにしてほしいというご要望をいただいていました。V3.0 では、上述の 3 つのプロファイルを含む ADMX ファイルを含んでおり、Active Directory グループ ポリシーにより組織に展開できます。独自の EMET の構成を展開するためのポリシーも含まれています。また、System Center Configuration Manager との連携も追加されています (詳細は SCCM チームのブログをご参考ください)。

    今回の連携により、管理者は組織への展開や構成変更、また EMET インストールの監視が容易に行えるようになります。

    3.レポーティング機能

    EMET Notifierという機能が追加されました。以下の 2 つの機能があります。

    • EMET に関する情報をイベント ログに記録する: アプリケーション イベント ログに EMET というイベント ソースで記録されます。情報 (EMET Notifier が開始した、等)、警告 (EMET の構成が変更された、等)、エラー (EMET の緩和策によりアプリケーションが停止した場合等) の 3 種類あります。
    • タスクバー付近に通知メッセージを表示する: EMET はアプリケーションを停止させることで Exploit (悪用) を阻止しますが、そのような時にポップアップの形でユーザーのタスクバー付近にメッセージが表示されます。

    その他お伝えしたいこと

    • EMET v3.0 は Windows 8 Consumer Preview に対しても問題なく利用できることを確認済みです
    • EMET v2.1 がインストールされている環境でも問題なくインストール (アップグレード) でき、設定も引き継がれます
    • EMET はマイクロソフトが公式にサポートしているツールです

    是非、使い勝手も良くなった EMET を一度お試しください。

    リソース

    Introducing EMET v3: このブログで説明している内容が詳細に書かれています

    新ガイダンス公開 -「ソフトウェアの脆弱性を緩和する」って?: EMET に含まれるどの緩和策がマイクロソフト製品の OS やアプリケーションで有効になっているかについての表があります


     

  • Conficker の脅威について ~ マイクロソフト セキュリティ インテリジェンス レポート 第 12 版より

    Posted over 2 years ago
    by 笹瀬 行弘}

    先日、こちらのブログでもお伝えしたように、最新のセキュリティ脅威動向をまとめたマイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) を公開しています。

    ※ SIRv12 は 2011 年下半期 (7 月 ~ 12 月) を中心に、確認されたソフトウェアの脆弱性やエクスプロイト、ウイルスなど悪意のあるコードの最新の動向を分析し、調査結果の概要をまとめたものです。日本語版については 20 ページ程度でまとめられています。

    今日は特集の 1 つ、Conficker について解説したいと思います。

    Conficker とは?

    Conficker は、2008 年 11 月に初めて検出された Windows を標的とするコンピューター ワームです。Conficker は、感染すると他のマルウェアをダウンロードする、ボットネットを構築する、Spam の送信、アカウント情報の収集などのアンダーグラウンドの活動を行います。また、様々なセキュリティ機能を無効にするため、さらなる被害に遭う可能性が増します。Conficker はこの 2.5 年間、企業における最大のマルウェア脅威となっています。Conficker がターゲットとする脆弱性 (MS08-067 Server サービス) への対処は進んでいる一方、弱いパスワードを用いた攻撃が成功要因となっているのが実情です。2011 年第 4 四半期では、170 万のシステムで検出され、2009 年と比較して四半期の検出は 225% 以上の増加率となっています。(図 1)

    図 1: MS セキュリティ製品により Win32/Conficker が検出されたシステム数

    Confickerの攻撃方法

    企業における感染原因は、分析の結果では以下のとおりになります。(詳細の内訳は図 2 参照)

    1)    弱いまたは盗まれたパスワードを悪用され、侵害された - 92%
    Conficker ワームでは、共通または弱いパスワードの組み込みリストを使用して感染し、そのシステムにログインするすべてのユーザーの資格情報を盗んで他のコンピューターに侵入しようとします。

    2)    更新プログラムの未適用による脆弱性への攻撃 - 8%
    8% は、セキュリティ更新プログラムの未適用による脆弱性への攻撃であると、分析により明らかになりました。該当の脆弱性 CVE-2008-4250 は、MS08-067 を適用することで解決できます。

    Credential-based
      attack

    Exploit

    Autorun

    Windows 2003

    91%

    9%

    0%

    Windows 7

    100%

    0%

    0%

    Windows Vista

    100%

    0%

    0%

    Windows XP

    88%

    12%

    0%

    図 2: 企業内において Forefront によりブロックされた Conficker 感染の内訳

    狙われやすい弱いパスワードとは?

    Conficker に狙われやすい弱いパスワードの一例です。表に示すように、大文字と小文字、数字、および記号が混在していないパスワードが多く該当します。

    11111

    222

    5

    99999999

    business

    Internet

    password123

    sql

    1111

    22

    654321

    9999999

    campus

    intranet

    password12

    student

    111

    2

    66666666

    999999

    changeme

    job

    password1

    super

    11

    321

    6666666

    99999

    cluster

    killer

    Password

    superuser

    123123

    33333333

    666666

    9999

    codename

    letitbe

    private

    supervisor

    12321

    3333333

    66666

    999

    codeword

    letmein

    public

    system

    123321

    333333

    6666

    99

    coffee

    Login

    pw123

    temp123

    1234567890

    33333

    666

    9

    computer

    lotus

    q1w2e3

    temp

    123456789

    3333

    66

    a1b2c3

    controller

    love123

    qazwsx

    temporary

     

    Conficker はどのように広がるのか?

    組織内での Conficker の動きは、まず、弱いパスワードの PC に侵入し、組織内のネットワークに侵入していきます。続けて、ネットワーク上の他人のパスワードを盗み、増殖を続けていきます。

     

     

    一例として、以下のような手順で感染していくことが確認されています。

    ①    弱いパスワードなどを用いたユーザーの PC が Conficker に感染する。

    ②    ユーザーが異常事態に気づき、管理者にヘルプを要請。

    ③    管理者は、ネットワーク管理者のパスワードを使用して、感染 PC にログインしトラブルシュートを実施。

    ④ Conficker が管理者パスワードを盗み、ネットワーク上のすべての PC にログインして感染する。

    セキュリティの基本的な対策

    Conficker 含め、広範囲の攻撃および標的型攻撃いずれについても、以下の基本的なセキュリティ対策を実施することが重要な第一歩になります。

    ― 強固なパスワードの使用

    まずは、強固なパスワードの使用することを強くお勧めします。以下のパスワードチェッカーサイトを使用して、強固なパスワードを確認することができますので、ぜひご利用ください。
    https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
    Active Directory をご使用の場合は、グループポリシーで複雑なパスワードを徹底することとをお勧めします 

    参考:http://technet.microsoft.com/ja-jp/library/cc781633(v=WS.10).aspx 

    ― インストールしているソフトウェアについて、定期的に更新を適用してください。

    ― 信頼できる発行元から入手したウイルス対策ソフトウェアを使用 してください。

    ― より高いソフトウェア保護機能を提供する最新の製品への投資を検討ください。

    最新の製品はより高いセキュリティ機能を実装していますので、投資をご検討ください。

    ― ビジネスリソースとしてのクラウドを検討する。

    Windows Azure をはじめ、クラウド環境は常に最新のソフトウェア環境が提供されており、セキュリティ面でも最新の安全性が提供されていますので、検討してみるのもいいでしょう。

    皆さんもお客様、ご家族、ご友人などにしっかりと対策の呼びかけのご協力をお願いいたします。

  • 2012 年 5 月のマイクロソフト ワンポイント セキュリティ ~ビデオで簡単に解説 ~

    Posted over 2 years ago
    by JSECTEAM}

    皆さん、こんにちは!
    先ほど 5 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。

    本日 5 月 9 日に公開した新規 7 件 (緊急 3 件、重要 4 件) のセキュリティ更新プログラムの適用優先度、既知の問題、    回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

    また内容に関するフィードバックも随時受け付けています。今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

    ダウンロード用の Web キャストは以下のサイトから入手可能です。
    http://technet.microsoft.com/ja-jp/security/dd251169.aspx

    下の画像をクリックして動画を再生してください。

    Format: wmv
    Duration:

  • 2012 年 5 月のセキュリティ情報 (月例)

    Posted over 2 years ago
    by JSECTEAM}

    先週の事前通知でお知らせしたとおり、計 7 件 (緊急 3 件、重要 4 件) のセキュリティ情報を公開しました。また、新規にセキュリティ アドバイザリを 1 件公開しました。

    今月の「悪意のあるソフトウェアの削除ツール」では、新たに確認した 2 種類のマルウェアに対応しています。

    □  MS12-029 について

    Microsoft Word (RTF) に脆弱性が存在します。攻撃者は Outlook を電子メール攻撃の方法として悪用して、特別に細工した RTF の電子メール メッセージを標的のユーザーに送信する可能性があります。Outlook 2007 では Word が電子メールのリーダーとして既定で選択されているため、特別に細工された RTF メッセージをユーザーが Outlook のプレビューで表示しただけで悪用される危険があります。Outlook 2003 では既定で Word がリーダーにはなっておらず、表示にユーザーのアクションが必要となり緊急度は下がりますが、Word をリーダーに設定した場合はプレビュー表示で悪用が行われます。いずれのバージョンにおいても早急にセキュリティ更新プログラムをインストールされることをお勧めします。なお、Microsoft Word 2010 は影響を受けるコードを含まないため、この脆弱性の影響を受けません。

     

    □   MS12-034 について


    主に TrueType フォントおよび GDI+ の脆弱性を修正しています。複数の関連コンポーネントに影響するため、このセキュリティ情報は、TrueType フォント、GDI+、カーネル モード ドライバー、.NET Framework、および Silverlight について対応しています。脆弱性から防御するために、影響を受けるソフトウェアに対して提供されているすべての更新プログラムを適用する必要があります。

    Windows 8 Consumer Preview リリース向けの KB2658846、KB2660649、KB2676562 の更新プログラムが利用可能です。Windows 8 Consumer Preview をご使用のお客様は、システムにこれらの更新プログラムを適用することをお勧めします。更新プログラムは Windows Updateからのみ利用可能です。

    その他、各セキュリティ情報について注意事項がある場合は、下記の表の下に補足していますので併せてご覧ください。

     

    ■今月のセキュリティ リリースで対応したセキュリティ アドバイザリ:

    新規に ActiveX の Kill Bit 更新プログラムのロールアップに関するセキュリティアドバイザリ 2695962 「ActiveX の Kill Bit 更新プログラムのロールアップ」を公開しました。

    この更新プログラムは、サードパーティのソフトウェアである Cisco Clientless VPN ソリューションの ActiveX コントロールの Kill Bit を設定します。

     

    ■2012 年 5 月のセキュリティ情報:

    各セキュリティ情報の概要、各脆弱性の悪用可能性指標 (Exploitability Index)、更新プログラムのダウンロード先などがご覧いただけます。

    http://technet.microsoft.com/ja-jp/security/bulletin/ms12-may
      

     

    マイクロソフトは新たに確認した脆弱性について、次の 7 件のセキュリティ情報を公開しました。

     

    セキュリティ情報 ID

    セキュリティ情報タイトル

    最大深刻度

    脆弱性の影響

    再起動の必要性

    影響を受けるソフトウェア:

    MS12-029

    Microsoft Word
      の脆弱性により、リモートでコードが実行される (2680352)

    緊急

    リモートでコードが実行される

    再起動が必要な場合あり

    Microsoft Word 2003、Word 2007、Office 互換機能パック、Office 2008 for Mac および Office for Mac 2011.

    MS12-030

    Microsoft
      Office の脆弱性により、リモートでコードが実行される (2663830)

    重要

    リモートでコードが実行される

    再起動が必要な場合あり

    Microsoft Excel 2003、Excel 2007、Excel 2010、Excel Viewer、Office 2007、Office 2010、Office互換機能パック、Office 2008 for Mac およびOffice for Mac 2011.

    MS12-031

    Microsoft Visio
      Viewer 2010 の脆弱性により、リモートでコードが実行される (2597981)

    重要

    リモートでコードが実行される

    再起動が必要な場合あり

    Microsoft Visio Viewer 2010

    MS12-032

    TCP/IP  の脆弱性により、特権が昇格される (2688338)

    重要

    特権の昇格

    要再起動

    Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2

    MS12-033

    Windows Partition Manager の脆弱性により、特権が昇格される
      (2690533)

    重要

    特権の昇格

    要再起動

    Microsoft Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2

    MS12-034

    Microsoft Office、Windows、.NET Framework、Silverlight 用のセキュリティ更新プログラムの組み合わせ (2681578)

    緊急

    リモートでコードが実行される

    再起動が必要な場合あり

    Microsoft Office 2003、Office 2007、Office 2010、.NET Framework、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Silverlight 4 および Silverlight 5

    MS12-035

    .NET Framework
      の脆弱性により、リモートでコードが実行される (2693777)

    緊急

    リモートでコードが実行される

    再起動が必要な場合あり

    Microsoft .NET Framework、Windows
      XP、Windows Server 2003、Windows  Vista、Windows Server 2008、Windows 7
      および Windows Server 2008 R2

     

    ■最新のセキュリティ情報を動画と音声でまとめて確認

    マイクロソフト セキュリティ レスポンス チームが IT プロの皆さまに向けて、短時間で最新のセキュリティ更新プログラムの知りたいポイントを動画と音声でご紹介する今月のマイクロソフト ワンポイント セキュリティ情報は本日午後公開予定です。ご視聴いただくことで、最新のセキュリティ更新プログラムの適用優先度や再起動・回避策の有無、確認している既知の問題などをまとめて入手できます。Web
    キャスト公開後に、こちらのブログでもお知らせします。