こんにちは、村木ゆりかです。 

先日、公益社団法人 全国消費生活相談員協会本部事務所２階研修室にて、「ゆりか先生のセキュリティ講座」を開催しました。全国消費生活相談員協会は、消費生活センターなど全国の行政等で国民からの消費生活全般に関する苦情や問合せなどを応対する消費生活相談員で組織されている団体で、啓発パンフレットの作成、研修会開催など、相談業務の他にさまざまな活動をされています。 

昨今のインターネット犯罪の増加などから、相談窓口にも多数の悪質なインターネット取引などの相談が寄せられており、相談員の方々は対応に苦慮されているそうです。そこで、日本マイクロソフトも参加している、企業や事業者団体の消費者関連部門が集う組織 公益社団法人 消費者関連専門家会議 (ACAP) を通じて、セキュリティ セミナーを開催し、週末電話相談室を担当している相談員と関東支部会員の方々 33 名にご参加いただきました。 

今回の講座では、ゆりか先生のひとくちセキュリティ講座の内容を基に、パソコンのセキュリティ対策の基本の考え方、そして、インターネットのよくあるトラブルなどを解説しました。今回は特に、被害が増大しているオンライン バンキングや、不正ログオン (乗っ取り)、SNS でのトラブルを取り上げ、被害の状況と原因、そしてすぐに実践できる対策をご紹介しました。

セキュリティ トラブルにおいて、被害に遭わないように正しい解決策を行うためには、「なぜ被害にあうのか」を理解することが重要です。なんとなく理解していたことや漠然としていたことが、今回の講座であらためて基本を学び日々の相談の背景にあるトラブルの仕組みがわかることで、より自信をもってアドバイスでき、提案する解決策の説得力が増すことにつながります。また、参加者の皆様からは、講座終了後も、こういった場合はどの様なアドバイスが適切か？など、たくさんのご質問や相談をいただきました。私自身も、実際にユーザーの皆さんがどのような問題を抱えているのか？どういったアドバイスを必要としているのかを垣間見ることができ、非常に勉強になりました。

参加者の皆さんから寄せられた感想を少しご紹介します：

• 「相談者からパソコンや携帯電話に関する相談を受けたとき、相談員があれやこれやと多すぎる情報提供や助言をしがちです。私を含め、相談員自身が重要なポイントを整理できていないからだと思います。今回の研修で講師のお話を聞き、基本を助言すればいいことがよくわかりました。消費者相談の現場ですぐに活用できるいい研修でした。」

• 「パソコンやスマートフォンのセキュリティについて、わかっているつもりだったが、きちんと基本から説明していただいたことで、相談者に対して無駄な助言や自信のない助言をすることがなくなると感じました。基本を押さえられて現場で活かせる内容でした。」

• 「怪しいサイトは見るな！当協会の週末電話相談室では、この助言で終わることがほとんどの私は、セキュリティ対策の大切さと対策方法をしっかり伝えられるようにならないといけないと反省しました。パソコン・タブレットの使い分け方、メルアドの変え方の提案など、『脅威を知り・自分にあった実際的な対策をとる』という、知っているようで実は知らないことを学べた講義でした。」

10 月には、公益社団法人 全国消費生活相談員協会九州支部で、ゆりか先生の出張セキュリティ講座を行う予定です。今後もこうした活動を通じて、ユーザーの皆さんがよりインターネットや PC を安全に利用できるようにしていければと思います。

今回の講座でお話しした内容の一部は、ゆりか先生のひとくちセキュリティ講座でもご紹介していますので、ぜひご覧ください。

こんにちは、村木ゆりかです。

マイクロソフトが無償で提供している脆弱性緩和ツール EMET について、はじめて EMET に触れる方向けに基本を解説している本連載、前回は EMET とは? そして EMET を利用するシナリオを説明しました。 

第 2 回となる今回は、早速 EMET の実際の使い方を・・・と言いたいところですが、その前に、EMET のツールの位置づけや利用においての注意点について、よりご理解いただくために、よく寄せられる 10 の疑問についてお答えしたいと思います。

疑問 1: EMET って何て読むの?

そもそもこのツールの名前、なんて呼ぶの? と戸惑う声が聞かれます。「エメット」と呼びます。

疑問 2: EMET はどの OS でも利用できるの?

はい、サポート対象内の OS にてご利用いただけます。現在最新バージョンの EMET 5.0 では、Windows Vista Service Pack 2、Windows 7 Service Pack 1、Windows 8、Windows 8. 1、Windows Server 2003 Service Pack 2、Windows Server 2008 Service Pack 2、Windows Server 2008 R 2 Service Pack 1、Windows Server 2012、Windows Server 2012 R 2 をサポートします。 

なお、EMET は Microsoft. NET Framework 4.0 を必要とします。さらに、Windows 8 および Windows Server 2012 上で EMET が Internet Explorer 10 と共に動作するには、KB2790907 をインストールするか、Windows 8 または Windows Server 2012 用のより新しいバージョンの互換性に関する更新プログラムをインストールする必要があります。

疑問 3: EMET は日本語環境でも使えるの?

はい。EMET は英語版のツールですが、日本語版の OS にもインストール可能です。EMET が保護する対象のアプリケーションについても、日本語のアプリケーションも利用可能です。

疑問 4: EMET はマイクロソフト以外のアプリケーションも保護できるの?

はい。マイクロソフトのアプリケーションだけではなく、サード パーティ製アプリケーションを含めアプリケーションが作成された時期や作成者に関係なく、任意のアプリケーションを保護対象にすることができます。ただし、利用できる緩和策は OS、アーキテクチャなどによって異なります。また、一部のアプリケーションは、緩和策がブロックする動作に依存しているために互換性の問題が発生することがあります。(互換性については、今後の連載でも触れる予定です)

疑問 5: EMET を使えばセキュリティ更新プログラムは不要?

いいえ! 脆弱性の対応には、セキュリティ更新プログラムを適用することが最善の対策です。

EMET は脆弱性の悪用を 100% 防御することを保証しているものではありません。前回説明したように、EMET はあくまでも、よく知られている攻撃手法をブロックします。このため、たとえば、新たな攻撃手法が出現している場合や、EMET が実施している緩和策の種類では防ぐことのできないタイプの脆弱性もあります。

疑問 6: EMET を使えば、他のセキュリティ対策なくてもよい?

いいえ! 基本となるセキュリティ対策と併せて導入いただく追加のセキュリティ対策です。

EMET は、脆弱性に対するセキュリティ対策のひとつで、多層防御の一環です。たとえば、マルウェア対策、アカウントに対する権限管理、リソースに対する権限管理、そして、利用している OS そのものの保護など、さまざまな対策と併せて、総合的なセキュリティ対策が必要です。

疑問 7: EMET はなぜ OS 標準ではないの?

EMET が利用している緩和策のうち、いくつかは OS や���プリケーションにも標準装備されています。また、EMET で採用されていた最新の緩和策は、今後リリースされる新たな OS やマイクロソフト アプリケーションに順次実装されていきます。EMET は、利用しているサード パーティ アプリケーションを含めて緩和策を適用するなどさらに高度にセキュリティを保ちたい、最新の緩和策を提供したいというニーズに応えるために提供しています。このことから、ユーザーが必要に応じて利用できるように、EMET は個別のツールとして提供しています。

疑問 8: EMET を利用する上で注意する点はありますか

緩和策の特性により、アプリケーション、システムへの影響が発生する場合があります。これは、アプリケーションによっては、緩和策で検知する対象の動作を意図的に利用している場合などがあるためです。互換性については、リストを公開しており、また、そのアプリケーション ベンダーとも協力し、互換性の問題の解消につとめています。(連載の後半で、互換性の問題について説明する予定です)

このため、EMET を実稼働環境に展開する前に、テスト シナリオを使用して、対象となるコンピューター上で EMET を十分にテストすることが重要です。特定のアプリケーションと緩和策の組み合わせで問題が発生した場合、その特定の緩和策を個別に有効または無効にすることができます。

疑問 9: EMET は企業でも利用できるの?

はい、利用可能です。EMET を企業内の PC に展開および管理する場合は、グループ ポリシーと System Center Configuration Manager を利用して展開することもできます。

EMET は、EMET のすべての主要なバージョンは、リリース日から 24 か月間または次の主要なバージョンのリリース日から 12 か月間のどちらか短い方の期間サポートされます。

疑問 10: EMET を利用しているときに問題が発生したのでサポートを受けたいのだけど・・・

企業でご利用の方で、マイクロソフト サポート契約をお持ちの方は、サポート対象内バージョンの EMET についてサポートをご利用いただけます。

個人でご利用の方も、英語にはなりますが、フォーラムを利用し質問をしたり、類似の問題の確認をしたりすることができます。

また、不具合を発見された場合は、マイクロソフト Connect サイトへぜひレポートください。この、Connect サイトでは、EMET をはじめ、さまざまなマイクロソフト製品の不具合報告を受け付けています。また、ベータ版の製品テスト参加などもできますので、ぜひご興味のある方は利用してみてください。

■ 次回は・・・

今回は、EMET をより知っていただくために、よくある寄せられる質問 10 個をお届けしました。その他の質問や、詳細は、日本語のユーザー ガイドに掲載されていますので、ぜひご参照ください。

さて、次回は、早速 EMET をインストールして設定してみたいと思います。

■ Enhanced Mitigation Experience Toolkit (EMET) 基本解説 連載

Enhanced Mitigation Experience Toolkit (EMET) 基本解説～第 1 回 EMET とは

■関連リンク

Enhanced Mitigation Experience Toolkit (EMET)

EMET 5.0 ユーザー ガイド

EMET 緩和策のガイドライン

本記事は、Microsoft Security のブログ “Threats in the Cloud – Part 2: Distributed Denial of Service Attacks” (2014 年 2 月 7 日公開) を翻訳した記事です。

インターネットに接続して利用する Web サイト、ポータル、クラウド サービスなどのサービスの運用や使用をしている組織では、サービスを妨害する恐れのある脅威について知っておく必要があります。このシリーズの最初のパートでは、ドメイン ネーム システム (DNS) 攻撃とそれに伴うサービスの妨害や大量ユーザーのマルウェア感染について説明しましたが、ここでは分散サービス拒否 (DDoS) 攻撃について、最新版のマイクロソフト セキュリティ インテリジェンス レポート (第 15 版) の洞察を交えながら説明します。

分散サービス拒否 (DDoS) 攻撃
インターネットのクラウド サービスやマイクロソフトのオンライン サービスに悪影響を及ぼすことを企てるために使われる、もう 1 つの一般的な攻撃ベクトル（手段や経路）は、DDoS 攻撃です。マイクロソフトでは、DDoS を防御する手段として、DoS攻撃 や DDoS 攻撃による影響を回避するための対策を日常的に講じることで、サービスやお客様にアップタイムと可用性を確実に提供しています。攻撃の一般的な種類には、SYN フラッド、DNS アンプ攻撃、不正な形式の TCP や UDP のパケット、HTTP や DNS に固有のアプリケーション レイヤーの悪用などがあります。自由に利用できる多くの DDoS ツールキットで使用されている一般的な攻撃手法の 1 つでは、固定ペイロードを含む断片化された IP パケットが関係しています。

たとえば、2013 年 3 月に大きく報じられた DDoS 攻撃の例では、攻撃者が DNS アンプ攻撃を使って最大で 300 ギガビット/秒 (Gbps) のトラフィックで Spamhaus の迷惑メール防止サービスを攻撃しました。この攻撃について詳しくは、Michael McNally (マイケル・マクナリー) 氏が寄稿した ISC Knowledge Base (ISC ナレッジ ベース) の記事「DNS アンプ攻撃とは?」(英語情報) をご覧ください。

DDoS 攻撃は、図 1 のようにトラフィックの毎秒パケット数と毎秒ビット数の両方が大幅に上昇するので、一般に監視テレメトリで発見されます。図 1 に見られる 30 Mbps 攻撃は名目上のものですが、検出されないままでいると、サービスの可用性に影響する可能性があります。たとえサービス自体はユーザーが引き続き利用できたとしても、ユーザーがサービスへの接続に利用している帯域幅が枯渇し、その結果、サービス速度の低下、サービスの断続的な接続、信頼性の低下、サービスへの接続不可が発生することがあります。

図 1: DDoS 攻撃中の監視テレメトリの流れ

IP の断片化が関係する一般的な攻撃は、「A」(図 2 のように 16 進数では 0x41) のような 1 文字の ASCII 文字が何度も繰り返され、ユーザー データグラム プロトコル (UDP)、伝送制御プロトコル (TCP)、インターネット コントロール メッセージ プロトコル (ICMP)、KRYPTOLAN、多目的メッセージ トランザクション プロトコル (VMTP)、インターネット プロトコル バージョン 6 (IPv6)、拡張名前サービス (XNS) などの複数の通信プロトコルを使用して転送される、パディングされたペイロードが含まれている可能性があります。パケットには通常、1,518 バイトの完全なペイロードが含まれ、ターゲット システムの複数のデスティネーション ポートに UDP の断片が送信されます。

図 2: DDoS 攻撃による UDP の断片化

1 回の 60 秒間のDDoS 攻撃で、マイクロソフトでは断片化されたトラフィックを送信する 8,985 個以上の固有の IP アドレスを検出しました。この攻撃の間、サービスは受信パケットを拒否せざるを得なかったため、実際の攻撃件数は確認されているデータよりかなり多かった可能性があります。その後の調査で、ホストが最近の DDoS 攻撃に参加したことがわかり (Microsoft Digital Crimes Unit から合法的な方法で入手)、それによると、一般的な攻撃ツール (Backdoor:Perl/IRCbot.E) が UDP フラッディング攻撃に使用されたことが判明しました。IRCbot のようなツールを使えば、クラウド サービス、Web サイト、ポータルなどに損害を与える可能性のある攻撃を誰でも簡単に起動できます。マイクロソフトや他のクラウド サービス プロバイダーは、そのような攻撃を軽減するための防御対策や手法を講じていますが、そのためにはリソースを集中的に使用する場合があります。

リスク管理の指針
DDoS 攻撃の軽減は困難であることが考えられるため、クラウド サービス プロバイダーや Web サイトの運用者は、この種の攻撃に備えておく必要があります。以下は、その具体的な指針をまとめたものです。

DNS アンプ攻撃を防ぐためには、すべての DNS 管理者が相互に進んで協力し合うことが重要です。米コンピューター緊急事態対策チーム (US-CERT) では、攻撃者が DNS サーバーを使って攻撃をしかけてこないようにするために管理者が行うべきことをいくつか提示しています。ここでは、その一部について説明しますが、詳しくは、https://www.us-cert.gov/ncas/alerts/TA13-088A (英語情報) をご覧ください。

• ほとんどの DNS アンプ攻撃では、インターネット上のコンピューターから送信された DNS クエリを解決するオー��ン DNS ネーム サーバーを利用しています。そのため、システム管理者はドメイン外部のホストから受信したクエリを無視するよう DNS サーバーを構成する必要があります。ネットワーク内の誤った構成の DNS サーバーを検出するために管理者が利用できる多くのツールには、以下のようなものがあります。

• Open Resolver Project は、オープン DNS リゾルバーのリストを管理し、オープン リゾルバーの IP アドレスの範囲を検索するためのインターフェイスを提供しています。

• Measurement Factory もオープン DNS リゾルバーのリストを管理しており、特定のサーバーが 再帰問合せ (open recursion) を許可しているかどうかを特定するための無料のツールを提供しています。

• DNS リゾルバーの管理者は、認可されたクライアントの再帰の制限など、リソースが攻撃に使われないようにするためのいくつかの方法を利用できます。

• ソース IP の確認: 適切に構成された DNS リゾルバーであっても、ソース IP アドレスを使って DNS クエリの発行を偽装する攻撃者に悪用される可能性があります。Internet Engineering Task Force (インターネット エンジニアリング タスク フォース) では、システム管理者がネットワーク侵入のフィルタリングを実行して、パケットによって実際に取得されたパスを使って検出できないアドレスから送信されたパケットを拒否する手順を説明した 2 つの Best Current Practice (最新のベスト プラクティス) ドキュメント (http://tools.ietf.org/html/bcp38 および http://tools.ietf.org/html/bcp84) をリリースしています。

• 権威ネーム サーバーでの再帰の無効化: 権威ネーム サーバーは、指定されたドメイン (microsoft.com など) およびオプションで 1 つ以上のサブドメイン (www.microsoft.com など) のパブリック名を解決するサーバーです。権威ネーム サーバーは、パブリックからのアクセスが必要であるため、クライアントからの再帰クエリを拒否する必要があります。Windows Server で再帰を無効にする方法については、「DNS サーバーで再帰を無効にする」をご覧ください。

• 認可されたクライアントの再帰の制限: 組織やインターネット サービス プロバイダー (ISP) に導入されている DNS サーバーでは、再帰クエリは認可されたクライアントに代わって実行する場合のみ許可し、できれば組織のネットワーク内のクライアントに限定するよう構成する必要があります。

DDoS 攻撃は、あらゆるクラウド サービスや Web サイトが標的になる可能性があります。適切に運用されているクラウド サービスでは、ほとんどの企業 IT インフラストラクチャに比べ、DDoS 攻撃への対策がはるかによく整備されている傾向があります。Web サイトやネットワーク インフラストラクチャの他の重要な部分への DDoS 攻撃の対策に苦慮している組織では、クラウド サービスが提供するセキュリティや運用上の利点を利用するためにも、リソースの一部をクラウドに移すことを検討する必要があります。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)

本記事は、Microsoft Security のブログ “Threats in the Cloud – Part 1: DNS Attacks” (2014 年 2 月 4 日公開) を翻訳した記事です。

クラウド サービスの人気は、ここ数年で著しく増加しています。このような成長の背景には、クラウド サービスの設計や管理の方法の透明性が大きな役割を占めています。クラウド サービスの活用について話をした CISO の多くは、安心して組織のデータやアプリケーションをクラウドでホストできるよう、クラウド サービスが直面する脅威の種類についての詳細情報を求めています。最新版のマイクロソフト セキュリティ インテリジェンス レポート (第 15 版) では、クラウド サービス プロバイダーやその顧客が知っておくべきいくつかの脅威について説明しています。データ センターや Web サイトを運用している組織では、さまざまな攻撃の脅威に慣れており、驚かなくなっていることでしょう。グローバル ドメイン ネーム システム (DNS) インフラストラクチャへの攻撃や分散サービス拒否 (DDoS) 攻撃は、その規模に関係なく、インターネットに接続された IT インフラストラクチャやクラウド サービスに特有のもので、運用が中断するリスクを管理するためにも、認識したうえで計画を立てておく必要があります。このような攻撃は、Web サイト、ポータル、クラウド サービスなどのインターネット サービスを中断させ、インターネットに接続されたデバイスをマルウェアに感染させる可能性があります。

ドメイン ネーム システム (DNS) 攻撃
グローバル DNS への攻撃は、現在のインターネットに影響を及ぼす、最も深刻で損害を与える可能性のある攻撃の 1 つです。過去に実際に起きたケースのように、攻撃者が DNS レコードを管理している登録機関の侵害に成功すると、数多くの組織や個人に影響が及ぶ可能性があります。

攻撃者が (インターネットのユーザーが名前解決に利用する) ネーム サーバーやレジストリの侵害に成功すると、DNS クエリが悪意のあるネーム サーバーにリダイレクトされてしまう可能性があります。たとえば、microsoft.com (または他のドメイン) の権威ネーム サーバーへの侵害が発生すると、www.microsoft.com への要求が攻撃者の指定した IP アドレスにリダイレクトされ、そこではマルウェアが供給 (英語情報) されていたり、故意に改ざんされた (英語情報) Web サイト (図 1 を参照) であったりすることがあります。攻撃者が DNS 名前空間の階層構造の上位にあるドメインを狙うと、損害が大きくなる可能性があります。仮にルート ネーム サーバーの侵害があった場合、インターネット上のすべてのドメインが危機にさらされる可能性があります。

図 1: レジストリが侵害されると、DNS クエリに対して悪意のある応答が発行される可能性がある

その結果、特に比較的小規模な市場では、国別コード トップ レベル ドメイン (ccTLD) のレジストリが攻撃の標的になることが多くなりました。ccTLD は、国や地域で一般に使用または予約されているトップ レベル ドメインです (カナダの場合は .ca など)。現在、世界中で数億個のドメインに対応する 300 個以上の ccTLD ネーム レジストリがあります。多くの組織同様、マイクロソフトでも 、Microsoft Canada の microsoft.ca や日本マイクロソフトの microsoft.co.jp など、地域ごとの子会社に対応する登録済みのドメインを多数の ccTLD で管理しています。

残念なことに、一部の ccTLD 登録機関で運用されているネーム サーバーは攻撃に対して脆弱であり、個人、非営利組織、政府組織などのほか、小規模な企業やマイクロソフトなどの大企業にも悪影響が及ぶ場合があります。2012 年 5 月から 2013 年 7 月までの期間中、特定の国や地域でマイクロソフト (および他の多くの組織) の DNS レコードを管理している 17 の ccTLD が侵害されました。一般にこのような侵害は、SQL (Structured Query Language) インジェクション エクスプロイトやソーシャル エンジニアリングを組み合わせて行われます。

攻撃者が攻撃に成功した場合、コンピューターのユーザーが、乗っ取られた DNS サーバーによって解決された URL を使って Web サイトにアクセスしようとすると、そのユーザーのシステムはユーザーの知らないうちに攻撃者が制御しているサーバーにリダイレクトされます。標的になった Web サイトの所有者は、一般に ccTLD を制御することはできず、また攻撃に関する知識がない場合も多くあります。攻撃者が運用しているサーバーでは、エクスプロイト キット、マルウェア、フィッシング サイトなどの悪意のあるコンテンツや不適切なコンテンツをホストしているのが一般的です。ユーザーが閲覧する Web サイトの外観は、通常は悪意のあるコンテンツが含まれていることのない正式な Web サイトのものにそっくりである可能性があります。攻撃者は悪意のある IFrame (1 ピクセル程度の大きさ) や悪意のある JavaScript を利用して、何も知らないユーザーのシステムをさまざまな方法で侵害します。ユーザーのシステム上にあるすべてのソフトウェアで、セキュリティ更新が最新の状態でない場合、攻撃者はその弱点を利用してシステムを侵害し、マルウェアをシステムにダウンロードしてしまいます。その結果、攻撃者はシステムにリモート アクセスすることで、システムをリモートで制御できるようになります。その後、ユーザーのシステムは、ユーザーの同意を得ずに、ユーザーの知らないところで、DDoS 攻撃、スパム プロジェクト、盗んだり不正にコピーしたりしたコンテンツやソフトウェアのホスト、侵害されたシステムからのデータやソフトウェア キーの窃盗、侵害されたコンピューターのユーザー ID の窃盗といった、さまざまな不法行為に利用されます。DDoS 攻撃については前にも触れましたが、このような攻撃は、クラウド サービスや Web サイトなどを標的にして、ユーザーへのサービスの中断を狙ったものです。DDoS 攻撃については、このシリーズのパート 2 で詳しくお話しします。侵害されたシステムは、攻撃者が別のインターネット ユーザーへの攻撃に利用する、悪意のある Web サイトのホストにも使われます。これは、攻撃者が攻撃の規模を拡大し匿名性を維持するための、きわめて効果的な方法であると言えます。この種の攻撃は、大量のインターネット ユーザーや接続デバイスを対象にドライブバイ ダウンロード攻撃やフィッシング攻撃をしかけることができるため、大量のシステムを侵害できる確率が高くなることもあり、一部の攻撃者に大変人気があります。

マイクロソフトは、同業他社、パートナー、ICANN などの業界グループが緊密に協力するよう努力することで、ccTLD への認知度が高まり、DNS レコードの不正操作による不運な悪影響を抑えることができると考えています。

リスク管理の指針
この手の DNS の乗っ取りは、被害にあった組織の社会的な信用を損ない、組織の評判を傷つけることになります。セキュリティのベスト プラクティス、ツール、トレーニング、認知によって、この種の攻撃を防ぐことができます。以下は、DNS 攻撃のリスクを管理する場合の具体的な方法の一部です。

• SQL インジェクション攻撃は、攻撃者がサーバーを侵害するのによく使う手口であることから、サーバーを SQL インジェクション攻撃から守ることは重要です。マイクロソフトでは、SQL インジェクション攻撃からシステムを守る方法を解説した無料のガイダンス『SDL クイック セキュリティ リファレンス ガイド』を発行しています。

• インターネット レジストリへの攻撃が多発し、深刻な影響を及ぼす可能性があるため、マイクロソフトではレジストリに関するサポートを無料で提供しています。マイクロソフトが無料で提供している ccTLD レジストリ セキュリティ評価サービス (英語情報) では、レジストリ オペレーターが脆弱性を見つけて、システム侵害を回避できるようサポートします。

• ccTLD が脆弱な Web サイトを所有している場合、DNS 攻撃を TLD レベルで防ぐことはきわめて困難であるか不可能です。Web サイトの所有者は、ccTLD 登録機関にマイクロソフトの ccTLD レジストリ セキュリティ評価サービス (英語情報) を利用することで、攻撃に対して無防備なドメインの脆弱性を見つけて緩和策を講じるよう働きかける必要があります。

• 攻撃者は個人のドメインについても DNS を直接乗っ取って攻撃の標的とするため、Web サイトの所有者は指定の権威ネーム サーバーが承認なく変更されないようにする必要があります。多くのドメイン名登録機関では、ドメイン所有者の認可なしに DNS レコードが変更されないようにするために、ドメインのロック サービスを提供しています。Web サイトの所有者は、登録機関が提供するロック サービスを利用し、ロック サービスを提供していない登録機関に対しては改善を求める必要があります。サイトの所有者は、ドメイン レジストリ アカウントへのアクセスに使用するユーザー名やパスワードを慎重に保護し、アカウントの確認や変更には SSL 接続のみを使用するなど、ドメイン名を不正な変更から守るための一般的な措置を講じる必要もあります。

• インターネットに接続されたデバイスは、ドライブバイ ダウンロード攻撃やマルウェアの危険にさらされても侵害の可能性を軽減できるよう、最新のセキュリティ更新プログラムを適用して、常に最新の状態にしておく必要があります。これには、オペレーティング システムやブラウザーだけでなく、すべてのソフトウェアおよびハードウェアの更新も含まれます。たとえば、Oracle Java は多くのシステムで古いバージョンがそのまま使われているため、近年、世界で最も激しい攻撃を受けるソフトウェアの 1 つであると言われています。詳しくは、以下の記事をご覧ください。
  
  ドライブバイ ダウンロード攻撃に関する注意 - その 1
  ドライブバイ ダウンロード攻撃に関する注意 - その 2
  "Blackhole" エクスプロイト キットの台頭: すべてのソフトウェアを最新の状態にしておく重要性

このシリーズの次のパートでは、分散サービス拒否 (DDoS) 攻撃について解説します。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)

本記事は、Microsoft Security のブログ “The Rise of the “Blackhole” Exploit Kit: The Importance of Keeping All Software Up To Date” (2012 年 7 月 20 日公開) を翻訳した記事です。

先日、マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) で公開したデータによると、ドライブバイ ダウンロード攻撃は、世界中の膨大な数のシステムに侵害しようとしている多くの攻撃者がいまだに好んで使用している手法です。以前にもドライブバイ ダウンロード攻撃について書きましたが (「ドライブバイ ダウンロード攻撃に関する注意」のその 1 とその 2)、こういった攻撃の影響を緩和するには、すべてのソフトウェアを最新の状態に保つ必要があります。

2011 年後半 (2H11) には、JavaScript によるエクスプロイトの検出が大幅に増加しました。検出数が増加した主な原因は、JS/Blacole というエクスプロイト ファミリが登場したことです。これは「Blackhole」と呼ばれるエクスプロイト キットで使用されるエクスプロイト ファミリで、感染した Web ページを通じて悪意のあるソフトウェアを配布します。

図 1: 2011 年の各四半期にマイクロソフトのマルウェア対策製品による HTML および JavaScript エクスプロイトの検出/ブロックを報告した固有システムの数 - 出典: SIRv12

Blacole は、感染時に利用可能ないくつかのエクスプロイトを使用してシステムを侵害するマルウェア ファミリの名称です。攻撃を試みようとする人物は、ハッカー フォーラムやその他の非合法の経路を通じて、Blacole キットを購入するか賃借します。脆弱性をターゲットとするエクスプロイトを組み込んだ悪意のある Web ページの集まりで構成され、Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE)、その他の一般的な製品やコンポーネントのバージョンがあります。攻撃者が悪意のある、または侵害された Web サーバー上で Blacole キットをインストールすると、適切なセキュリティ更新プログラムをインストールしていない訪問者は、ドライブバイ ダウンロード攻撃による感染のリスクにさらされます。

そうした攻撃がどのように行われるか実際に例を挙げて説明します。攻撃の対象者が電子メールを受信します。この電子メールは、対象者が使用している一般的なソーシャル ネットワーク内の連絡先から送信されているようです。「Visit your InBox Now (今すぐ受信箱を確認してください)」という電子メール内のリンクをクリックすると、システムにインストールされているマルウェア対策ソフトウェアが起動して JS/Blacole を検出し、Blacole エクスプロイト キットのコンポーネントを検出したことを通知します。

図 2: 悪意のあるリンクを含む電子メールの例

図 3: システムにインストールされているマルウェア対策ソフトウェアで Blacole エクスプロイト キットのコンポーネントを検出

システムに最新のマルウェア対策ソフトウェアがインストールされていない場合、電子メール内の悪意のあるリンクをクリックすると、エクスプロイト サーバーは、システムへの侵害が成功し、マルウェアがシステムにインストールされるまで、複数の既知の脆弱性を悪用しようとする可能性があります。

Microsoft Malware Protection Center (MMPC) は、ブログの公開記事でこのタイプの攻撃例をいくつか取り上げています。

• 安易な行為が後悔を生む (英語情報)

• 無秩序な行動: 警察になりすますローカル マルウェア (英語情報)

• 偽の BBB スパムによる膨大な数の苦情 (英語情報)

上で述べたように、通常、Blacole エクスプロイト キットは、以下のような Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE)、その他の一般的な製品やコンポーネントの脆弱性を悪用しようとします。

• CVE-2006-0003 - Microsoft Data Access Components (MDAC) の RDS. Dataspace ActiveX コントロールにおける詳細不明な脆弱性 (英語情報)

• CVE-2007-5659 - Adobe Reader と Acrobat 8.1.1 以前における複数のバッファー オーバーフロー (英語情報)

• CVE-2008-2992 - Adobe Reader の「util.printf」の脆弱性 (英語情報)

• CVE-2009-0927 - Adobe Reader と Adobe Acrobat 9 (複数バージョン) のスタックベースのバッファー オーバーフローによりリモート攻撃者が任意のコードを実行できるようになる (英語情報)

• CVE-2009-1671 - Deployment Toolkit の「deploytk.dll」における ActiveX コントロールでの Java バッファー オーバーフロー (英語情報)

• CVE-2009-4324 - Adobe Reader と Adobe Acrobat の「util.printd」の脆弱性 (英語情報)

• CVE-2010-0188 - Adobe Acrobat Bundled Libtiff の整数オーバーフローの脆弱性 (英語情報)

• CVE-2010-0840 - Sun Java JRE 信頼メソッド連鎖のリモート コード実行の脆弱性 (英語情報)

• CVE-2010-0842 - Java JRE MixerSequencer 無効な配列インデックスのリモート コード実行の脆弱性 (英語情報)

• CVE-2010-0886 - Oracle Java SE の Java Deployment Toolkit コンポーネントの脆弱性 (英語情報)

• CVE-2010-1423 - Java NPAPI プラグインの URI ハンドラーにおける Java 引数インジェクションの脆弱性 (英語情報)

• CVE-2010-1885 - Microsoft Help Center URL 検証の脆弱性 (英語情報)

• CVE-2010-3552 - Sun Java Runtime の新しいプラグイン docbase のバッファー オーバーフロー (「Java Skyline エクスプロイト」) (英語情報)

• CVE-2010-4452 - Sun Java Applet2ClassLoader のリモートコード実行のエクスプロイト (英語情報)

• CVE-2011-2110 - Adobe Flash Player における詳細不明なメモリ破損の脆弱性 (英語情報)

• CVE-2011-3544 - Oracle Java SE JDK と JRE 7 および 6 アップデート 27 以前の Java Runtime Environment コンポーネントの脆弱性 (英語情報)

上のリストの CVE 番号を見てわかるように、エクスプロイト キットがターゲットとする多くの脆弱性は何年も前から発生しています。

以前書いたように(数百万件に及ぶ Java エクスプロイト攻撃: すべてのソフトウェアを最新の状態に保つ重要性 (英語情報))、Java の脆弱性は多くの攻撃のターゲットになっています。それまでと同様に、多くのエクスプロイトのターゲットになった Java の脆弱性は何年も前から発生しており、その脆弱性に対処するためのセキュリティ アップデートも数多くリリースされてきました。以下の SIRv12 の図のように、2H11 (2011 年後半) に固有システムが最も多く報告した Java の脆弱性エクスプロイト案件は、CVE-2010-0840 - Sun Java JRE 信頼メソッド連鎖のリモート コード実行の脆弱性でした。上のリストにあるように、これは Blacole エクスプロイト キットがターゲットにしている脆弱性の 1 つです。

図 4: 2011 年の各四半期に Java エクスプロイトを報告した固有のコンピューター

以下の表 1 は、2H11 (2011 年後半) に Blacole エクスプロイト キット検出を最も多く報告したシステムの上位 10 か国/地域を示しています。表 1 の国/地域の多くは、表 2 のように、同じ時期に CVE-2010-0840 エクスプロイト攻撃の最大の検出/ブロック数も報告しています。

表 1: 2H11 (2011 年後半) に Blacole を最も多く検出した上位 10 か所

表 2: 2H11 (2011 年後半) に CVE-2010-0840 エクスプロイト攻撃を最も多く検出した上位 10 か所

取るべき行動は次のとおりです。

• 自分の環境の Java を最近更新していない場合は、現状のリスクを評価する必要があります。

• 1 つのシステムに複数の Java バージョンがインストールされている可能性を把握することが重要です。残すバージョンを決めたら、不要になる他のすべてのバージョンを確実に削除します。

• Windows だけでなく、環境内のすべてのソフトウェアを最新の状態に保ちます。攻撃者は一般的なすべてのソフトウェアの脆弱性をターゲットにします。

• 信頼できるベンダーがリリースしたマルウェア対策ソフトウェアを実行し、最新の状態に保ちます。上記の例のように、マルウェア対策ソフトウェアはこのタイプの攻撃の影響を緩和する効果があります。

• フィッシングに騙されないこと – 電子メールで送信されたリンクをクリックしたり、添付ファイルを開いたりしないでください。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター、Tim Rains (ティム・レインズ)