隣国のセキュリティ事案を教訓とするために

Posted over 1 year ago

by

Masakazu Takahashi

隣国、韓国で3月20に起きたセキュリティ事案は、日本でも大きく取り上げられ注目されている。

この事案について、一部でWindows Updateが利用された可能性が指摘されているが、Windows Updateでは各モジュールのコード署名を確認しているため、このような単純な手法では悪用することはできない。また、関連するセキュリティベンダーが公表した資料を見ると、そのベンダーが提供している資産管理サーバーが利用されたもので、Windows Updateが利用されたわけではないようだ[1] 。

韓国の事案とFlameの相違

Windows Updateを悪用した攻撃としては、2012年5-6月にかけて話題となったFlameが思い起こされる[2]。Flameはマイクロソフトの証明書を偽造し、自身のモジュールにマイクロソフトのコード署名することで、イントラネット内でのWindows Updateを悪用したと考えられている。悪用を避けるためのコード署名が、逆手に取られた格好である。なお、研究者の発表によれば、Flameの証明書偽造は”世界トップクラスの暗号解析技術使われた”と分析している[3]。

高度で執拗な攻撃（APT）事案としての側面

この事件をいわゆる高度で執拗な攻撃（APT）として捉えると違った側面が見えてくる。報告書によれば、資産管理サーバーの管理者権限が盗られ、この権限を使ってマルウェアの配布が行われたと推定している。一歩踏み込んで考えると、2011年に大きな話題となった、日本における政府機関や防衛産業の攻撃のように、アカウント管理サーバーが侵害を受けている可能性が高い。つまり、今回は特定の製品が利用されたが、その他の攻撃方法を使う選択肢も持っていたと考えた方が自然である。

今回の事案を教訓とする

今回の事件を教訓として捉えると、標的型攻撃などによる社内ネットワークに侵入への対策実施されている事に加え、万一、侵入を許してしまった場合でも、重要なサーバーが保護されることを確認する、ということだと思う。特に、重要サーバーの対策の重要性が、あまり認識されていないようにも感じることがある。

マイクロソフトでは、高度で執拗な攻撃（APT）などの現在の攻撃手法の分析と必要とされる対策について、以下のホワイトペーパーをまとめている。参考にしていただければ幸いである。

組織に対する標的型攻撃を緩和する
http://blogs.technet.com/b/jpsecurity/archive/2013/03/14/3558580.aspx
Determined Adversaries and Targeted Attacks (Oct 2012)
http://download.microsoft.com/download/C/9/A/C9A544AD-4150-43D3-80F7-4F1641EF910A/Microsoft_Security_Intelligence_Report_Volume_12_Determined_Adversaries_And_Targeted_Attacks_English.pdf
Microsoft Security Intelligence Report, Jan-June 2012, vol 13,　section “Defending Against Pass-the-Hash Attacks”
http://download.microsoft.com/download/C/1/F/C1F6A2B2-F45F-45F7-B788-32D2CCA48D29/Microsoft_Security_Intelligence_Report_Volume_13_English.pdf
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft　Techniques (Dec 2012),with step-by-step instructions in Appendix A
http://www.microsoft.com/en-us/download/details.aspx?id=36036

[1]방송사 및 금융사 공격 관련 중간 분석 결과 발표(放送会社および金融会社攻撃関連中間分析結果発表)
http://blog.ahnlab.com/ahnlab/1728

[2] セキュリティアドバイザリ 2718704: Flame の攻撃と WU の強化
http://blogs.technet.com/b/jpsecurity/archive/2012/06/11/3503098.aspx

[3] Windows Update」をハッキングする「Flame」マルウェア、制作には世界トップクラスの暗号解析技術が必要と研究者
Flameに未知のMD5衝突攻撃亜種が用いられていたことが明るみに
http://www.computerworld.jp/topics/666/203423
CWI cryptanalyst discovers new cryptographic attack variant in Flame spy malware
http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware

セキュリティアドバイザリ 2819682「Microsoft Windows ストアアプリケーション用のセキュリティ更新プログラム」を公開

Posted over 1 year ago

by

JSECTEAM

2013 年 3 月 27 日、セキュリティアドバイザリ 2819682「Microsoft Windows ストアアプリケーション用のセキュリティ更新プログラム」を公開しました。

Windows 8、Windows RT、および Windows Server 2012 上で稼働する Windows モダンメールの脆弱性を解決します。なお、Windows Server 2012 Server Core インストールは影響を受けません。Windows ストアアプリの更新プログラム機能を利用して、早急に更新プログラムを適用することを推奨します。

なお、マイクロソフトでは、情報の透明性を保証するため、Windows ストアのマイクロソフトアプリ用のセキュリティ更新プログラムをすべてドキュメント化し、Windows ストアアプリケーション用のセキュリティ更新プログラムを新しく公開した際には、セキュリティアドバイザリ 2819682 を更新します。

セキュリティ更新プログラムのプロセス自体は、その他の Windows ストアアプリケーション用の更新プログラムと同一のもので、お客様はストアタイルを選択し、更新プログラムを選択します。

Windows ストアアプリケーションに対するセキュリティ更新プログラムのポリシーは、以下のサイトを参照してください。

マイクロソフトアプリの更新プログラム
Microsoft Apps Updates (英語情報)

2013 年 3 月のセキュリティ更新プログラムに関してリスクを評価する

Posted over 1 year ago

by

JSECTEAM

本記事は、Security Research & Defense のブログ “Assessing risk for the March 2013 security updates” (2013 年 3 月 12 日公開) を翻訳した記事です。

本日、私たちは 20 ��の CVE (脆弱性) を解決する 7 件のセキュリティ情報をリリースしました。セキュリティ情報の内、4 件は最大深刻度が「緊急」、そして 3 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

セキュリティ情報	最も起こりうる攻撃方法	セキュリティ情報最大深刻度	最大悪用可能性指標	公開 30 日以内の影響	プラットフォーム緩和策、および特記事項
MS13-021 (Internet Explorer)	被害者が、悪意のある Web ページを閲覧する。	緊急	1	IE8 に影響を与える問題、CVE-2013-1288 の悪用コードは、公表されており利用可能です。この更新プログラムで、脆弱性が解決されたその他の脆弱性に対して、30 日以内に悪用コードが作成される可能性があります。	Windows 7 上の IE 10 は影響を受けません。
MS13-022 (Silverlight)	被害者が、悪意のある Web ページを閲覧する。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	Silverlight 5 に影響を与えます。
MS13-027 (Windows USB ドライバー)	攻撃者が、被害者のワークステーション、あるいはサーバーに、実際に、悪意のある USB デバイスを挿入することによって、システム上でコードが実行される。	重要	1	30 日以内に悪用コードが作成される可能性があります。	事前認証のコード実行は、実際に、被害者のコンピューターに悪意のあるハードウェアデバイスを挿入できる攻撃者のみが行えます。この脆弱性の背景に関する詳細は、こちらの記事 (英語情報) を参照してください。
MS13-024 (SharePoint 2010)	攻撃者は、SharePoint サイト上に、クエリ文字列に悪意のあるスクリプトを含む、検索クエリを発行する。スクリプトを含んだ攻撃者の検索クエリが、SharePoint 管理者のセッションコンテキストで作動するという特定の状況下で、SharePoint の管理者が検索クエリを閲覧する可能性がある。	緊急	1	30 日以内に悪用コードが作成される可能性があります。	影響があるのは、SharePoint Server 2010 Service Pack 1 のみで、SharePoint の旧バージョンまたは最新バージョンは影響を受けません。
MS13-023 (Visio Viewer 2010)	被害者は、悪意のある Visio .DXF ファイルを開くために、Visio Viewer 2010 を利用する。	緊急	2	この脆弱性に対する悪用コードが作成される可能性は低いです。Visio Viewer の悪用は、実際の現場ではあまり目にする機会はありませんが、これは、コード実行を悪用することが、通常と比べて難しいと考えられます。	Visio 自体は、この脆弱性から直接の影響は受けません。Visio Viewer 2010 のみが影響を受けます。
MS13-025 (OneNote 2010)	攻撃者が、悪意のある、あるいは攻撃者のコントロール下にあるディレクトリから OneNote ファイルを開くよう、被害者を誘導する。攻撃者は、被害者の OneNote プロセスにおいて、攻撃者のディレクトリ内のファイルに記入し、攻撃者への情報漏えいにつながる可能性のある、プロセスメモリを引き起こすために、この脆弱性を利用する。	重要	対象外	この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみです。	影響があるのは、OneNote 2010 Service Pack 1 のみで、OneNote の旧バージョンまたは最新バージョンには影響を受けません。攻撃者は、攻撃者がコントロール可能なサーバーあるいはロケーションから、被害者がファイルを開くよう誘導する必要があります。ユーザーが悪意のあるファイルを開こうとするタイミングで、OneNote の処理プロセス中の情報で、攻撃者がアクセスできるようになります。
MS13-026 (Microsoft Office for Mac)	攻撃者が、被害者に対して外部コンテンツへのリンクを含む電子メールを送信する。ユーザーへの確認なく、コンテンツが読み込まれる。	重要	対象外	この脆弱性を、直接、コード実行に利用することはできません。情報漏えいのみが起こります。

ジョナサン・ネス、MSRC エンジニアリング

組織に対する標的型攻撃を緩和する

Posted over 1 year ago

by

JTWCBLOG

本記事は、Microsoft Trustworthy Computing のブログ “Mitigating Targeted Attacks on Your Organization” (2012年 12 月 12 日公開) を翻訳した記事です。

Trustworthy Computing (信頼できるコンピューティング)、ディレクター、Tim Rains (ティム・レインズ)

筆者がこの数年間に話をしたことのある CISO (情報セキュリティ最高責任者) やセキュリティ関連業務担当役員のほぼ全員が、“APT” (Advanced Persistent Threats: 高度で執拗な脅威) 型の攻撃によってもたらされるリスクをより緩和するために、自社のセキュリティ態勢を向上させる方法を学ぶことに関心を示していました。マイクロソフトでは、APT という用語を使用しません。こうした攻撃では通常、古典的でよく知られた手法とテクノロジを使用しており、本当の意味で「高度」ではないからです。

たとえば攻撃者が通常よく行うことの 1 つに侵害したネットワークからユーザー名とパスワードを盗み出すというものがあります。これにより、攻撃者はより多くのリソースにアクセスし、可能な限り長く検出されずにネットワークにとどまることができてしまいます。攻撃者が一般的に使用するある種の攻撃は、“pass-the-hash” (ハッシュ化された資格情報を悪用した攻撃) と呼ばれています。攻撃者は脆弱化したネットワークからユーザー名とパスワードのハッシュバージョン (一方向の数学的変換を行った後の表現形式) を盗み出し、それらの資格情報を使用することでネットワークのリソースやデータにアクセスできるようになります。この分野では何年にもわたって多大な研究とツールの開発が行われてきており、その結果攻撃者は pass-the-hash や他の資格情報の窃取と再使用による攻撃を、より簡単に行えるようになりました。

マイクロソフトは今日、組織がこの種の攻撃を緩和するのに役立つ、実地テスト済みガイダンスを掲載した新しいホワイトペーパーをリリースしました。お客様の IT 部門が容易に実施できるように、このホワイトペーパーではこれらの緩和策を、有効性や実施に要する作業などに基づいて評価しています。

レポートのダウンロード (英語情報)

部門とベンダーがお客様のネットワークのセキュリティ態勢を向上させて標的型攻撃からお客様を守ることができるように、是非このホワイトペーパーと緩和策に関する新しいガイダンスを皆様の IT 部門やベンダーと共有してください。

2013 年 3 月のマイクロソフトワンポイントセキュリティ～ビデオで簡単

Posted over 1 year ago

by

早川里美

皆さん、こんにちは！
先ほど 12 月のマイクロソフトワンポイントセキュリティ情報を公開しました。

本日 3 月 13 日に公開した新規 7 件 (緊急 4 件、重要 3 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知っておきたい情報を凝縮してお伝えしています。今月のセキュリティ更新プログラム適用前の概要把握のために是非ご視聴ください。

また内容に関するフィードバックも随時受け付けています。「今月のマイクロソフトワンポイントセキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

ダウンロード用の Web キャストは以下のサイトから入手可能です。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

隣国のセキュリティ事案を教訓とするために

セキュリティ アドバイザリ 2819682「Microsoft Windows ストア アプリケーション用のセキュリティ更新プログラム」を公開

2013 年 3 月のセキュリティ更新プログラムに関してリスクを評価する

組織に対する標的型攻撃を緩和する

2013 年 3 月のマイクロソフト ワンポイント セキュリティ ～ビデオで簡単

セキュリティアドバイザリ 2819682「Microsoft Windows ストアアプリケーション用のセキュリティ更新プログラム」を公開

2013 年 3 月のマイクロソフトワンポイントセキュリティ～ビデオで簡単