皆さん、こんにちは！8 月下旬となり、猛暑も多少落ち着きましたが、まだまだ暑い日が続いています。こまめに水分補給を行い熱中症にはご注意ください。

さて、今回は、インターネット バンキングの不正送金に関してお話ししたいと思います。これまでにも多くの報道が行われていますが、Zbot ファミリーが原因と考えられる不正送金被害が多発しており、今年は、件数、被害額ともに、過去最悪の状況となっているようです。

Zbot は、Zeus と呼ばれるサイバー ワールド ブラック マーケットで売買されるキットにより作成されたトロイの木馬の名称で、マイクロソフトのマルウェア対策ソフトでは、「PWS:Win32/Zbot」として検出されます。このマルウェアは、新しいものではなく、約 5 年前から存在しており、多数の変遷を遂げつつ今にいたっています。なお、これまでは海外の金融機関がターゲットとなっており、日本での被害は、海外での被害と比較すると小さいものでした。

以下は、マイクロソフトのマルウェア対策ソフトでの「PWS:Win32/Zbot」の日本国内での検出数の推移を表した表です。

  図 : 「PWS:Win32/Zbot」の日本国内での検出数の推移 (2013 年 8 月は 25 日時点の数値)

この図を見ると一目瞭然ですが、去年末と比べると、今年に入ってから検出数が多い傾向が続いていることから、日本の金融機関 (日本のユーザー) がメジャーなターゲットとなってきていることが分かります。なお、この Zbot ファミリーは、別のマルウェアによりインストールされるか、Blackhole (マイクロソフトでは Blacole として検出) などのエクスプロイト キットのペイロードとしてダウンロードされることが確認されています。被害にあわないためにも、インターネット バンキングを利用する前に、以下の対策が出来ているかを再度確認してください。

• マルウェア対策ソフトを導入し正しく利用する

マルウェアは、日々進化しています。常に最新の定義ファイルに更新して使用してください。また、使用期限が切れ停止しているなどということが無いように正しく利用してください。

• セキュリティ更新プログラムをインストールし最新の状態に更新する

マイクロソフト製品は、もちろん、それ以外のブラウザやアプリケーションなどにもセキュリティ更新プログラムをインストールするなどして、最新の状態に更新してください。なお、サポートが終了した製品は、脆弱性の対策が行われないため安全に使用することは難しくなります。使用を中止し、新しいバージョンの製品に移行することを推奨します。また、サービスパックにもサービスパック サポートライフサイクルがあり、サポートが終了するとセキュリティ更新プログラムが提供されなくなります。早めに最新のサービスパックをインストールすることを検討して下さい。

また、不審なサイトの閲覧はせず、不審なメールや添付されたファイルは開かないよう、常日頃から注意してください。そして、インターネット バンキングのログオン画面がいつもと違うなど不審に思うようなことがあれば、ID やパスワードなどの入力は行わずに、直ちに金融機関に通報するなどの対策を行うようにしてください。

日々進化するマルウェアから守り、コンピュータを安全に使用するためにも必ず実施するようお願いいたします。

関連情報

PWS:Win32/Zbot (英語)

Blacole (英語)

オンラインでより安全な財務処理を行うための 6 つのルール

フィッシング詐欺メール メッセージ、リンクまたは電話を識別する方法

本記事は、Trustworthy Computing のブログ “Cloud services: building resiliency and business continuity” (2013 年 1 月 17 日公開) を翻訳した記事です。

デビッド・ビルズ、信頼できるコンピューティング、信頼性主任ストラテジスト

クラウド コンピューティングが複雑なものである以上、私たちクラウド サービス プロバイダーは、不具合は起こるもので、生じるかどうかという問題ではなく、いつ生じるかという問題であることを肝に銘じておく必要があります。 クラウド プロバイダーは、サービスの信頼性が最大になり、不具合が生じたときのお客様への影響が最小になる方法で、サービスを設計および構築する必要があります。 このアプローチの主要な面は、事業継続性、つまり惨事が発生しても基幹のビジネス機能が継続して可用であることを保証することです。 私はこの点について、『Disaster Recovery Journal』という事業継続計画に関する学術誌の冬季号でインタビューを受けました。

信頼性について、私はすべてのサービス プロバイダーが目指す成果であると考えています。 サービスは設計したとおりに機能し、必要なときに予想どおりの対応をするものです。 信頼性を向上させる 1 つの方法は、耐性の高いサービス、つまり、一定のタイプの障害に耐えながら、顧客の立場から見れば完全に機能し続ける能力を備えたサービスを構築することです。

伝統的にこの業界全体では、耐性をハードウェアのレベル (RAID、デバイスの冗長ペア、複数のパスなど) で実装することに焦点を当ててきました。 ハードウェア メーカーが製造するデバイスの長期的な信頼性という点で、私たちもその充実した機能のメリットを享受してきました。 しかし、ハードウェアのレベルで設計され実装される耐性に頼ってばかりはいられないと考えています。 ソフトウェアも信頼性の重要な役割を担います。 信頼性の高いクラウドベースのサービスとなるのは、インテリジェントなインフラストラクチャの設計と、同様にインテリジェントなソフトウェアの設計が二人三脚で提供される場合です。

信頼性の高いサービスの設計および構築には、さまざまな問題が伴います。 前述のとおり、クラウド サービスは複雑です。 設計者が直面する最大の難点の 1 つが、インターネット規模で運用するクラウドベースのサービスの実稼働コンピューティング環境に潜在的な予測不能性があることです。 クラウド プロバイダーが共有型インフラストラクチャを幅広く使用し、サード パーティが提供する機能への依存を高めれば、各自のクラウド サービスのあらゆる面を直接的に制御することが困難になります。 設計者は、この点を踏まえて、自らが構築するクラウドベース サービスが、こうしたレベルの潜在的な予測不能性にどのように対処するかを考える必要があります。

重要な点は、クラウド サービスの複数のレベルに耐性を構築する方法を検討することのほか、不具合が生じた事態に備えることです。 また、事業継続性と障害復旧も極めて重要です。信頼性とは、通常の状況ですべてが動作しているときに予測可能で信頼できるだけでなく、予測不能な事態が生じたときに合理的な方法で対応できることでもあるためです。

Disaster Recovery Journal のサイトでこの記��の全文 (英語) をご覧いただけます。

本記事は、Microsoft Trustworthy Computing のブログ “Challenges and Opportunities in Defining Cybersecurity Norms” (2013 年 3 月 21 日公開) を翻訳した記事です。

信頼できるコンピューティング (Trustworthy Computing) 担当バイス プレジデント スコット チャーニー (Scott Charney) 記

先日、ジョージ ワシントン大学で開催されたサイバーセキュリティの国際的な規範づくりに関するパネル ディスカッションで講演を行いました。

サイバーセキュリティの規範づくりは難しい作業ですが、これからのサイバースペースには欠かすことのできないものです。すでに 20 年以上にわたり、サイバーの脅威を理解し、国家を含む組織や個人にとってのリスクを評価し、適切に対応するための努力が続けられてきました。多くの組織が情報保証に多大な投資を行ってきましたが、大多数のコンピューター セキュリティ専門家は、特に攻撃に対する唯一の対応が防御を強化することである場合、攻撃側に豊富なリソースと粘り強さがあればシステムへの攻撃は成功すると考えています。

サイバーセキュリティの脅威に対応することは難しく、そこには多くの理由が存在します。私はそのうち 6 つの理由について、『Rethinking Cyber Threat – A Framework and Path Forward (サイバーの脅威を再考する - 枠組みと方針)』という文書にまとめていますが、ここではその中から、政府がサイバーセキュリティに関連する国際的なセキュリティの課題をじっくり検討しようとするときに特に困難となる 3 つをご紹介します。

• インターネットは統合された共有のドメインである。インターネットは市民、企業、政府によって共有されており、それぞれを分離することは困難です。自由な言論、商取引、諜報活動、サイバー戦争などが、この統合された共有のドメインで、すべて同時に、同一の輸送媒体上で発生している可能性があります。活動の主体とその内容を解析する能力が限られた状況で、特定の脅威に合わせて調整した対応を準備することはきわめて難しい作業です。
• 攻撃の潜在的な結果を予測することは非常に困難である。ネットワーク スキャンや許可されていないシステム アクセスなど特定の不正な行動は、情報の窃盗やデータ完全性の侵害、サービス中断の前触れである可能性があります。さらに、システム間の複雑な相互関係は予期しない連鎖的な影響が生じる可能性をはらんでおり、意図された影響よりも重大な事態につながることもあります。また、重要なインフラストラクチャに対するサービス拒否など明白な攻撃に対しては迅速な対応ができる一方で、検出するのが難しい攻撃もあります。重要なシステムからデータが引き出されることについて言及した文書は多くありますが、より問題となるシナリオは重要データの改ざんかもしれません。検出が難しいだけでなく、データが許可なく変更されたのがいつなのかを識別しにくい場合もあるため、正常だとわかっている状態に「ロール バック」することが難しくなります。
• 想定される最悪の事態は憂慮すべき甚大なものである。マスコミや政府機関、シンク タンクが想定する最悪のシナリオには、重要なインフラストラクチャ サービスの中断、主要な経済機能の妨害、治安や国の安全保障の危機などが挙げられています。こういった事態の複雑さは、システム間の大規模な相互接続と依存性も原因の 1 つなのですが、このことは必ずしもよく理解されていません。しかしこの複雑さが、攻撃から予想される結果についてコンセンサスを確立することを困難にしてきました。このような攻撃から迅速に回復できるかと言えば、社会は IT システムとそこに含まれるデータへの依存が高まっており、これは、訓練を受けた人々が行う従来の手動のプロセスに頼れなくなっていることを意味している可能性があります。

こういった課題や急速に変化する脅威のランドスケープは、サイバースペースにおける潜在的な衝突の危険に対する懸念も引き起こしています。国連によると、30 か国以上がサイバースペースの使用に関する原則を確立しており、一部はサイバー防衛センターも構築しています。それに呼応し、国際的なサイバーセキュリティに関する政府間の対話も大幅に増加しています。

これまで、こういった国際的な話し合いはほとんどが政府間で行われてきました。各国政府は、サイバースペースにおける国家のふるまいがインターネットの基本的な信用とセキュリティ メカニズムを損なわないようにする有効な規範を、協力して構築する必要があります。また、このような対話からは、数十億人にのぼる世界中の顧客の安全を守るための技術的課題や優先事項といった、民間セクターの観点からの恩恵も得ることができます。

サイバースペースを実現するインフラストラクチャのほとんどを構築し、運用するのは産業界です。また、脆弱性の公開管理、セキュアな開発、セキュリティ インシデント対応、リスク管理などにおいて、ベスト プラクティスと技術的なサイバーセキュリティの規範を生み出し、革新を続けているのも産業界です。これらのトピックの多くが、国家レベルでサイバーセキュリティのリスクを管理する官民の協力体制に関わるものです。しかし、このような協力体制はしばしば国境によって制限されます。政府がサイバーセキュリティおよびサイバースペースにおける規範に沿った行動に関する見解を広げていくのに伴い、国際的な官民の協力体制を形成することは、インフラストラクチャの回復力と複雑なサイバーセキュリティ イベントに対応する俊敏性の確保に役立ちます。

私は 2009 年に、経済スパイとサイバー戦争に関連するサイバーセキュリティの課題に国家的に対応する必要があると提言し、特に次のことに対処するよう呼びかけました。

• 経済スパイおよびその他、哲学的な面で意見が一致しない分野。国際的な討論を経て、規範の確立につなげる必要があります。そうして確立された規範を、国家政策および国際機関を通して実施します。
• サイバー戦争の問題。各国はまず、この新しいドメインに対する規則をどのように定めるかについて、国内の態度を確立する必要があります。その際、このドメインの共有・統合という性質の認識にもしかるべき注意を払います。その後、国際的な対話を行い、サイバースペースでの行動に関する国際的な規範を構築しなければなりません。これらの規範を構築することが困難であるのは間違いありませんが、やはり必要であり、結局は避けられないことです。このような取り決めがない場合、一方的で、規範に沿わない可能性がある行動は、取り返しのつかない結果につながります。

これらの問題の重要性は、今日一層高まっていると思います。政府および民間セクターは、有意義なサイバーセキュリティ規範の理解と構築において協力する必要があります。今後についてですが、(1) サイバースペースのインフラストラクチャを構築・運用する民間セクターに対しては、政府と協力してサイバーセキュリティ規範に対する共同のアプローチを形成すること、(2) 政府に対しては、2013 年のサイバースペースに関するソウル会議 (2013 Seoul Conference on Cyberspace) とそれ以降へ向けて民間セクターと協力することを要請していきます。

本記事は、Security Research & Defense のブログ “Assessing risk for the August 2013 security updates” (2013 年 8 月 14 日公開) を翻訳した記事です。

本日、私たちは 23 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、3 件は最大深刻度が「緊急」、そして 5 件が「重要」でした。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

ジョナサン・ネス、MSRC エンジニアリング

こんにちは。村木ゆりかです。

これまでも、マイクロソフトでは証明書を利用する環境を、より安全な環境にするために、様々なアップデートをリリースしてきました。本日も、セキュリティ アドバイザリ 2862973 「マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム」を公開しました。

本セキュリティ アドバイザリ 2862973 は2014 年 2 月に自動更新による配布が予定されています。

[更新] 予定通り2月 12 日にWindows Update で提供を開始しました。自動更新を有効にしている端末では、自動で更新プログラムが適用されます。

ぜひ、多くの IT 管理者のみなさんに、今一度内容を確認いただければと思います。

セキュリティ アドバイザリ 2862973 とは？

セキュリティ アドバイザリ 2862973 「マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム」は、ルート証明書プログラム (補足 1) に参加しているルート証明機関配下で発行されている証明書のうち、MD5 ハッシュ (補足 2) を利用している証明書の利用を制限します。

MD5ハッシュは研究者などからアルゴリズム自体の安全性の弱さを指摘され、より安全なアルゴリズムを利用するよう業界的に推進されています。このため、マイクロソフトでも、以前より、より安全なアルゴリズムを利用するよう呼びかけを行ってきました。また、マイクロソフトでは、証明書の利用環境をより安全なものにするために、長期に渡りアップデートを提供しており、今回も、この一環として提供されました。

参考： http://technet.microsoft.com/en-us/library/cc751157.aspx

適用により変更される動作

ルート証明書プログラムに参加しているルート証明機関配下で発行されている証明書のうち、以下の条件に合致する、MD5 ハッシュ関数を利用した証明書については、利用できない動作に変更されます。この条件に合致しない証明書では、動作に変更はありません。

<条件>

・ルート証明書プログラム参加しているルート証明機関配下で発行されている証明書である

・サーバー認証、コード署名、タイムスタンプ 用の証明書である

・MD5 ハッシュ関数を利用している

<例外>

・コード署名証明書の場合、2009 年 3 月以前に署名されたバイナリについては引き続き正しく動作が行われます。

・タイムスタンプ証明書の場合、以下のタイムスタンプ証明書は引き続き正しく動作します

4B480E8EE1B8DFF231005E9DC5D8267227684D07A38BA6FECDB288DE53FB0A3E NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.

・コード署名証明書の場合、以下の証明書は引き続き正しく動作します

E059080EF4409BC0D96FBCBDDEEE6C0AFBE871AD3D68BBA6A743C64631F599C9 Microsoft Mobile Device Privileged Component PCA

26ED148B33F377BA01B68A9A97FEB2391FBED7D51E3F6EB83BEBC2FBA90920B1 GeoTrust True Credentials CA 2

対象 OS

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 Windows 8, Windows Server 2012, Windows RT が対象です。

* 注意: Windows XP, Windows 2003 Server は対象ではありません。

更新の入手先

現在、ダウンロード センターにて、更新プログラムを公開しています。

適用における注意:

セキュリティ アドバイザリ 2862973の更新プログラムを適用する前に、前提となる更新プログラム 2862966 を適用する必要があります。更新プログラム 2862966 は、ダウンロード センター、あるいは Windows Update から入手可能です。

この前提となる更新プログラム 2862966 では、以下のような、証明書の動作における基本機能を追加します。

・グループポリシーにより、特定の暗号アルゴリズムの利用を制限する

・ログ機能

詳細は、Technet サイト Protecting Against Weak Cryptographic Algorithmsを参照してください。 

更新プログラムは自動更新が予定されています

互換性の問題を確認する時間をもったうえで、多くのお客様の環境を保護するために、段階的に本プログラムを配信します。

・2013 年 8 月  から 2014 年 2 月 11 日まで

ダウンロード センターのみで更新プログラムを公開しています。(Windows RT を除く)

・2014 年 2 月 12 日から

多くのお客様の環境を自動的に保護するために、2014 年 2 月 12 日より、Windows Update 経由で配信を開始します。自動更新を有効にしている端末では、自動でセキュリティ アドバイザリ 2862973の更新プログラムが適用されます。

[更新]予定通り、 2月 12 日にWindows Update で提供を開始しました。

確認ポイント

管理者の皆様は、配信が開始される前に、ご利用の環境で本動作の影響を受けないか、以下の点などを中心に是非ご確認をお願いいたします。

・ルート証明書プログラムのメンバーの証明機関を利用しているか

　メンバーの証明機関は、Technet サイト Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs)　で確認できます。インターネットに公開しているウェブサーバーなどで、これらの証明機関からの証明書を利用していないか、利用している場合は、取得した証明書はMD5ハッシュを利用していないか、確認してください。

・テスト端末で検証をおこなう

現在、ダウンロード センターにて更新プログラムを公開しています。テスト端末にインストールを行い、業務や利用しているアプリケーション、動作に問題がないか確認してください。

また、ログ機能を利用して、証明書の利用が行われていないかログに記録することもできます。詳細は Technet サイト Protecting Against Weak Cryptographic Algorithmsを参照してください。

---------------------------------------------

関連リンク

マイクロソフト セキュリティ アドバイザリ (2862973) マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム

Microsoft Security Advisory: Update for deprecation of MD5 hashing algorithm for Microsoft root certificate program: August 13, 2013

An update is available that improves management of weak certificate cryptographic algorithms in Windows

Protecting Against Weak Cryptographic Algorithms

マイクロソフト セキュリティ アドバイザリ (2854544)　Windows の暗号化とデジタル証明書の処理を改善するための更新プログラム

Security Research And Defense 公式ブログ

---------------------------------------------

(補足1) ルート証明書プログラムとは？

ルート証明書プログラムは、マイクロソフトと、証明機関が連携して行っている証明書基盤づくりの取り組みです。このルート証明書プログラムでは、証明機関と連携を行い、それぞれの証明機関が、信用できるものなのか、マイクロソフトが皆さんに代わって確認を行い、信頼できる CA 証明書を配信し、Windows 端末に自動でインストールが行われます。

詳細については、以下のブログをご覧ください。

マイクロソフトが提供する信頼できる証明書利用基盤 ～ルート証明書プログラムと更新ツール ～

セキュリティ アドバイザリ2854544 (KB2813430) ～ ルート証明書プログラムの管理強化

(補足2) MD5 ハッシュとは？

元のデータを「ハッシュ」を作成するアルゴリズムの一つ。ハッシュは、通信のやり取りなどにおいて、途中の経路で、内容に改ざんがないか確認を行うために利用されます。証明書のデータも、ハッシュを生成し、証明書が改ざんされていないかを確認します。