実は昨年でセキュリティの担当を後任に引継いで、私はセキュリティに関しては引退です。
もうひとつの理由は、なんせセキュリティ情報は10年一昔どころか1年一昔、下手すりゃ半年一昔で、このサイトというかブログに累積さ
れた情報は今や「古文書」になっちゃっていて。
WindowsXP
IE6ベースのセキュリティ対策をいつまでも出していてもあまり意味はないし、だいたい新しいバージョンが出たら、可能な限り早くバージョンアップするっ
てのが私のセキュリティ対策の基本です。
かといって、Vista版「お勧めのセキュリティ対策」を書くのか? もうすぐWindows7だぜ。とか。
ということで、2月のWindows Update からは解説は書きません。
まあしばらくはこの続きの「感想」とか書くかもしれませんが。
| 固定リンク | コメント (2) | トラックバック (0)
2009年年明けのWindows Update は緊急レベルが1件だけです。
MS09-001 緊急 SMB の脆弱性により、リモートでコードが実行される (958687)
ただし、極普通に常識的なセキュリティ対策を行っている人は別に気にする必要はありません。そういう人は自動更新で少なくとも明後日には更新が済んでいるということもありますが、もうひとつ、極普通に常識的なセキュリティ対策を行っている人は最低でもWindowsXP SP2以降標準のファイアーウォールが効いているはずです。
このセキュリティホールが大きな問題を引き起こすような人は、このセキュリティホール以前に大きな問題を抱えていることの方を問題とすべきでしょう。
もうひとつ。こいつのExploitability Index の評価は「3 - 機能する見込みのない悪用コード」です。どういうことかというと、こちらの記述がわかりやすいですね。
2009年1月のセキュリティリリース & Conficker削除に対応したMSRT (日本のセキュリティチーム)
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
ただし、「常識的なセキュリティ対策はやってるから平気平気」と言っていられるのは個人の場合です。企業で、特にサーバでとなるとそう簡単ではありません。LANのインターネットへの正面玄関はデッカイ高級なファイアーウォールが守っているでしょうが、裏口も気にしなければなりません。それにLANの事実上の中心とも言えるドメイン コントローラーはこの脆弱性の影響を一番受けます。TCP ポート 139 および 445を開けていなければドメイン コントローラーになりません。そのサーバが死ぬと事実上LANは止まります。つまり、いくら悪用が難しいといっても万一やられた場合の影響の大きさは並大抵のものではありません。
それに、ドメインサーバはなかなか止められませんから「Windows Update なんて毎日自動更新」としている企業などほとんど無いのではないでしょうか。しかし、「止められない」は「止まったら大変」「攻撃されたらムチャクチャ大変」と繋げて考えるべきです。
まあそれにしてもゼロディアタックな脆弱性ではなく、1日2日で悪用が始まる可能性も少ないということなので、焦る必要はありません。しかし今月中に、遅くとも次のWindows Update までには更新を済ませておくべきでしょう。
| 固定リンク | コメント (0) | トラックバック (0)
久々の大型ゼロディ攻撃脆弱性でしたが、ゼロディ最終日にも悪人どもはその悪用に必死に知恵をしぼっていたようです。
IEの脆弱性、Wordファイルで悪用する新手口 2008.12.19
問題のWord文書をユーザーが開くと、この文書に組み込まれたActiveXコントロールが実行され、エクスプロイトをホスティングしているWebページにリクエストを送信。ユーザーが知らないうちにエクスプロイトをダウンロードして実行してしまう。問題の文書は一般ユーザーには普通のWordファイルにしか見えないという。
しかし、既に修正プログラムが出ている以上、今ではこれにやられたら、やられたやつが悪いってこのになりますね。もっとも個人PCの自動更新は確か22時間おきに更新の有無を確認しているので、修正プログラムがリリースされた翌日に更新されることもあるかもしれません。
マイクロソフトの「セキュリティ警告」ニュースレターの購読をすれば、更新があったときにメールが届きます。それが来たらさっさとマニュアル更新、忘れても自動更新で、といいうのが個人の場合にはもっとも早く、確実な方法でしょう。
今回のケースで、もしも自動更新が遅れて、それより先にこの「Wordファイルで悪用する新手口」にぶつかってしまったとしたら?
そりゃ~、感染しちゃったやつが悪いんです。何でって? Wordですよ。自動実行なんてするわけないじゃないですか。メールに添付されていればもちろん、WEBサイトに仕掛けられていたって、少なくとも無対策のOffice2000でもない限り、「開くかい?」と聞かれるはずです。もしも無対策のOffice2000だったなら、そちらの対策の方が先でしょう。
| 固定リンク | コメント (4) | トラックバック (0)
IEの全バージョンに拡大していたゼロディな脆弱性に対応するセキュリティ更新プログラムMS08-078 が臨時緊急でリリースされました。
12月11日段階では「限定的な攻撃」とアナウンスされていたものは、その後このセキュリティホールを攻撃する為の罠サイトを獲得するためのSQLインジェクション攻撃が発生し、国内でも12月14日 14時頃より観測されているようです。14日は米国時間では13日とかぶりますが、その米国時間13日段階で、このセキュリティホールを悪用するサイト(そのために侵入改竄されたサイト)は「約6000を数え、さらに増加中」、その中には「携帯電話向けに無償の壁紙を提供するサイトや、製品関連のサイトを紹介するサイトなどがあった」と伝えられます。
MS、定例外のセキュリティパッチを公開へ--IEの緊急レベルの脆弱性を修正 2008.12.17
Marcus氏は、「多くのウェブサイトが、このエクスプロイトをばらまいている」と述べた。感染したサイトの中には、携帯電話向けに無償の壁紙を提供するサイトや、製品関連のサイトを紹介するサイトなどがあった。
Microsoft、『IE』の未対応脆弱性について緊急対応へ 2008.12.17
Ivan Macalintal 氏は、感染サイトの数について、13日の段階で約6000を数え、さらに増加中との見方を示した。攻撃経路として Web サイトを使う方法は、2008年に目立って増加した手口の1つだ。Cisco Systems の年次セキュリティ レポートによると、2008年における Web ベースの脅威のうち、87%が Web サイトを用いた攻撃だったという。
このセキュリティホールに対する自己防衛の手段はマイクロソフト セキュリティ アドバイザリ (961051)で何種類も公表されましたが、IEのセキュリティ設定でインターネットゾーンを「高」にする、「IEを使わない」と言うのがもっとも手っ取り早い方法でした。ただしこの方法、個人が緊急避難には良いですが、会社などの場合には非常に採り辛い回避策です。
もうひとつ、「問題を緩和する要素 」にはIE7についての記述があります。
既定で、Windows Vista およびそれ以降のバージョンの Internet Explorer 7 および Internet Explorer 8 Beta 2 の保護モードは悪質なダウンロードからユーザーおよびシステムを守り、別のプログラムを起動するリクエストやユーザーから合意されていないファイル保存を制限します。
8 Beta 2 を常用している人など居ないでしょうからほっといて、善良なIE7ユーザはこの問題から有る程度保護されていたかに見えます。でもこのセキュリティホールは後で全バージョンに拡大したとはいうものの、当初はIE7に対するゼロディ攻撃から発見されています。
何それ? IE7の保護モードを解除して使っている人が沢山、少なくとも悪人がコストをかけて攻撃するのに値する程度には居たということでしょうか?
もうひとつ、今回の回避策のひとつ、「データ実行防止 (DEP) 」なんですが、マイクロソフトが組み込んだ機能としてアピールするのは解りますが、しかしこの機能は、まだ一般に出回っているとは言いがたい、事実上の次世代CPUで有効になるものだと思います。もしかしたら今月買った新品PCでは使われているのかもしれませんが。
加えて「最近、新しい攻撃コードの例が公開され、DEP を回避する方法が示され」たんだそうです。この記述、「アドバイザリ」段階からあったのかどうかは解りません。私はMS08-078の詳細情報の中で気がつきました。それに続けてこうあります。
しかしながら、このセキュリティ情報に記載の「インターネットおよびイントラネットゾーンの設定を「高」に設定する」または、「OLEDB32.dll の回避策」のひとつを適用することで、現在の攻撃を防ぐのに引き続き有効です。
言い回しが微妙ですね。意地悪は見方をすれば、DEPを有効にしてもダメで、IE「高」なら大丈夫と? もしかしたら両方あわせれば更に強力とも、今回の攻撃にはまだ今のところDEP回避は組み込まれてはいないとも読めますが。いずれにせよ、攻守ともの技術革新、「軍拡競争」は留まるところを知らないという訳でしょうか。
ともかく今回のセキュリティホールについては「パッチが出たのだから当てればよい」で終わりです。最初のゼロディ攻撃アナウンスから約1週間? 結構早かったと言えるのではないでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
Windows Update の翌日の12/11に出されたマイクロソフト セキュリティ アドバイザリ (961051) が更新さ
れています。
11日段階の初版では危険性があるのはIE7だけでしたが、12日の段階でIE 5.01/6 SP1からIE 6、更にIE8ベータ版までと全範囲に広がっています。13日と15日に再度更新し、より詳細な脆弱性情報と、回避策のリストを増しています。「データバインディング機能」が問題ということは初版には無かったと思います。
ただしその回避策の内、簡単に出来るものは、IEのセキュリティ設定でインターネットゾーンを高にするぐらい。12日に書いたように、「DEPを有効にする」なんてほとんどのPCは対象外でしょう。
「OLEDB32.DLL を無効にする」は後から追加されたものだと思います。(最初、そのやり方は英語版にしか無いと勘違いしていました。小野寺さん申し訳ありません。m(_ _)m)
尚、この脆弱性を悪用する罠を仕掛けるためにWEBサーバへの攻撃が始まっているようです。おそらくその分と思われる攻撃観測(12月14日 14時頃から)の報告と「注意喚起」がセキュリティ企業から契約企業に出ています。
記事
パッ
チが提供されないIEの脆弱性、「IE7以外も影響、回避策は複数」 2008.12.15
「Internet Explorer」のパッチ未対応の脆弱性、影響は全バージョンに 2008.12.15
| 固定リンク | コメント (2) | トラックバック (0)
Windows Update の翌日にショッキングなニュースが。 Secuniaの深刻度評価は最も高い「Extremely critical」。です。私にとって問題だったのは、IE7だったことですね。
IE 7にゼロデイの脆弱性、月例パッチでは未解決 2008.12.11
マイクロソフト からもアドバイザリが出ました。
マイクロソフト セキュリティ アドバイザリ (961051)
Internet Explorer
の脆弱性により、リモートでコードが実行される
2008.12.11
で、回避策は、IE高。そしてもうひとつあります。
Internet Explorer 7 の DEP を有効にする
Internet Explorer を管理者として実行することで、ローカルの Administrators は DEP/NX を制御できます。DEP を有効にするには、次のステップを実行します:
- Internet Explorer で [ツール] をクリックし、[インターネット オプション] をクリックします。次に [詳細設定] タブをクリックします。
- [オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする] をクリックします。
回避策の影響: いくつかのブラウザ拡張は DEP に互換性がなく、期待する動作にならない可能性があります。このような場合、アドオンを無効または、インターネット オプションで取り消すことができます。 [コントロール パネル] の [システム] を使用しても行えます。
ところが、インターネット オプション] の [詳細設定] をいくら眺めても[オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする] なんか無い。
そこでXPの「ヘルプとサポートセンター」で調べてみたら、「データ実行防止とは」が。
DEP は、ソフトウェアおよびハードウェアのサポートを活用できます。DEP を使用するには、コンピュータが、
Microsoft Windows XP Service Pack 2 (SP2) 以降、または Windows Server 2003 Service Pack 1 以降を実行している必要があります。DEP ソフトウェアは単独でも、特定の種類の悪意のあるコードによる攻撃からの保護に役立ちますが、DEP が提供できる保護を完全に活用するには、プロセッサが "実行保護" をサポートしている必要があります。
あ、あれか! と言ってもはっきり覚えている訳でもないですが。問題は自分のPCのCPUがその機能をサポートしているかどうかです。更に読んでいくと、こんな項目が。これは便利だ。すぐ判るのか。
自分のコンピュータで DEP が使用可能かどうかを知る方法
- [システムのプロパティ] を開くには、[スタート] ボタン、[コントロール パネル] の順にクリックし、[システム] をダブルクリックします。
- [詳細設定] タブをクリックして、[パフォーマンス] の [設定] をクリックします。
[データ実行防止] タブをクリックします。
これが出来れば自分のコンピュータは DEP が使用可能ということなんだろうか。更に@ITのWindows TIPSでこんな記事も見つけた。
「XP SP2のデータ実行防止(DEP)機能を無効にする」 2004/11/20
「無効」じゃなくて「有効」にしたいんだが、まあこれでどの画面でどうすればよいかは判った。DEPの設定画面には2つのオプションが用意されています。
デフォルトは(1)にマーク、それを(2)にマークにしてやればよい。ところで、ヘルプにはこんな注記もありました。
注:既定では、Windows オペレーティング システムの重要なプログラムとサービスでのみ、DEP が有効になっています。その他のプログラムも DEP での保護が役立つようにするには、[次に選択するものを除くすべてのプログラムおよびサービスについて DEP を有効にする] を選択します。
「Windowsのシステム・プログラム」って、どの範囲? IEがガードされてりゃそれでええんでないの? だったら何で大騒ぎするの?
と思ったらIEは「重要なWindowsのプログラムおよびサービス」ではないらしい、対象外になっていると。そんなバカな! というのはこの記事にあったんです。
「Windows XP SP2のデータ実行防止機能「DEP」を調べた」 2004/09/07
米Intelや米Transmetaなども対応を表明しているが,2004年8月現在,NXが実装されているのはAMD製の64ビットCPUだけである。そのほかのCPUを備えたPCでは,ハードウエアによるDEPは効かない。
げっ! 私のPCは2003年3月に購入したDELLのGX260 Pentium4 2.4GHzだよ。じゃぁダメじゃん・・・、と思ったら「もう1つはソフトウエアによる機能で,実はRC2版(製品候補版2)から扱いが変わった・・・」と。RC2はSP2の正式リリース前のもの。懐かしいですねぇ。なんかわからんけど、OKな訳? ちゃんと設定も出来たし。と思っていたら、上記の記事の2ページ目に、
疑問が残るのはソフトウエアのDEPについてである。CeleronなどのCPUを備えたハードウエアDEPが効かないPCでも,DEPの設定画面が有効である(図4[拡大表示])。ただし,ダイアログ・ボックス下端には,「お使いのコンピュータのプロセッサでは,ハードウエアによるDEPはサポートされません。ただし,DEPソフトウエアを使うことにより,ある種類の攻撃を阻止することができます」と書かれている。
「ハードウエアによるDEPが効かない」というくだりは正しいが,「DEPソフトウエアを使えば攻撃を阻止できる」というのに疑問が残る。「DEPソフトウエアはデフォルトでは無効だが,有効にすれば攻撃を阻止できる」とも解釈できる。だが・・・
もうちょっと新しいものを見つけました。2005年です。
MS文書番号: 884515:「Windows XP SP2 のデータ実行防止機能について」
もいっともこの文書の対象は
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Home Edition Service Pack 2 (SP2)
x86な Microsoft Windows XP Professional Service Pack 3 については何処に書いてあるんでしょう? と探していたら、それは見つかりませんでしたが、代わりにIE8の記事が。先々はデフォルトでオンになるみたいですね。
IE 8でセキュリティ機能のデフォルト設定が変更に 2008.04.11
Microsoftは、Windows VistaとWindows Server 2008で稼働するIE 8では、データ実行防止(DEP:Data Execution Prevention)と非実行ページ保護(NX:No eXecute)機能をデフォルトでオンにする。これは、ブラウザの脆弱性を軽減するための大きな変更だ。
DEPとNX(以下DEP・NXと表記)はIE 7で既に備わっていたが、後方互換性を保つためにデフォルトでオフになっていた。
記事の元ネタはこれでしょう。「IE8 セキュリティ パート I : DEP/NX メモリの保護」2008.04.08
しかしねぇ、MSさん。「重要なWindowsのプログラムおよびサービスについてのみ有効にする」って書き方で普通の人が「オフ」だと理解できるか? 普通の人、でとっても常識人な私だって(どこが)、「なんだ、もう効いてるじゃん♪」と思ったんだから。コンピュータなんだから、あいまいな言い方せずに「オン/オフ」をはっきりさせて欲しいですね。
で、そのそもこの問題の発端の「マイクロソフト セキュリティ アドバイザリ (961051)」が言っているのは、Microsoft Windows XP Professional x64 Edition のことなの? そんなの使っている人居るの? 有効範囲限定ならなんでそう書かないの?
そのあとに行方不明だった[インターネット オプション] [詳細設定] の[オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする] 項目を見つけました。お前の見落としってオチかって? ちゃいまんがな。脳脂肪も「Windows XP SP3 + IE7 の詳細設定タブにはみつかりません。」と確認してくれました。
ではどこで見つけたかというと、VistaのIE7の画面です。見つけたは見つけたけど、グレーで選択出来ないようになっています。日立情報のサイトの2007.1.30 更新の解説に
ハードウェアDEPとソフトウェアDEPの2種類があり、前者のほうがより確実に機能するが、プロセッサがデータ実行防止に対応している必要があり、現在はAMD社のAthlon 64やOpteronなどでしか利用できない。
セキュリティ アドバイザリ
(961051)が言っているのはVistaのIE7の画面にあるもののことで、おまけにほとんど誰も使っていないようなマシンの場合でのハードウェアDEPで、
文書番号:
884515 「Windows XP SP2
のデータ実行防止機能について」
にあるのはソフトウェアDEPなんでしょうね。
アドバイザリにあるこの記述、ものすごいムカつく!!
大多数の人間にとって、この部分は何の役にもたたんでしょう。
| 固定リンク | コメント (3) | トラックバック (0)
2008 年 11 月のセキュリティ情報 は「緊急」1件、「重要」1件ということで、まあ何であろうが自動更新で放っておけばよいのですが・・・、もうちょっと気を使うと、さっさと更新して再起動してから安心して使った方が良い場合もあります。
例えば「臨時・緊急」なんてその可能性はありますね。先月のものはそれほどでもありませんでしたが。で、そういう目で今回のものを見てみるとどうかというと、結論は、普通に1日の終わりに「更新してからシャットダウンします」で良いです。平均的なPCユーザは多分「緊急」に該当するものが無い場合が多いのではないでしょうか。
というのは、「緊急」1件とは、MS08-069 Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される なんですが、詳細に見ると3つのセキュリティホールを塞ぐものです。「緊急」1件はその3つの内ひとつだけなのですが、そのひとつ「MSXML のメモリの破損の脆弱性 - CVE-2007-0099」というセキュリティホールをもつものは「XML コア サービス 3.0 」というバージョンだけです。
それさえ無ければこの「緊急」1件MS08-069は「重要」に格下げになり、Exploitability Index (悪用可能性指標)が「2 - 不安定な悪用コードの可能性」、つまり「この攻撃の性質は信頼性が低いため、対象としてあまり攻撃者の興味を引くことはないと考えられます。」という程度のものになるのですが。
で、こんなバージョンが残っているPCはほとんど無いんじゃないか・・・、と思ってもそれを確認するのはなかなか大変。とりあえず「プログラムの追加と削除」を覗いてみると。4.0 SP2 に対する更新プログラムは何件かあるのですが、3.0に対するものは見当たりません。だから「XML コア サービス 3.0 」は無かったと言って良いのですかね。
あったとしたらこいつはどうやって消せるんだろう?
そんな古いバージョンは普通の人は今更要らないと思うのですが。
どうも今回の問題は、セキュリティホールそのものよりも、使いもしない古いバージョンを抱えているのかいないのか、そしてもし抱えているのなら、さったと消してしまうということが出来るのかどうか。どうもそのあたりの情報がはっきりと把握出来ないことの方が問題なのではないかと思い始めました。(11/13更新)
| 固定リンク | コメント (0) | トラックバック (0)
セキュリティアップデートリリース直後に悪用ウイルスという点ではこちらの方が危険でしょうね。セキュリティアップデートリリースは11/05
JPCERT/CC Alert: 11/05
Adobe
Acrobat 及び Adobe Reader の脆弱性に関する注意喚起
警視庁 @police(11/5)
アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて
Adobe、ReaderとAcrobatの深刻な脆弱性に対処 ITmedia
Adobe Reader 8とAcrobat 8に深刻な脆弱性。悪用されるとアプリケーションがクラッシュしたりシステムを制御されたりする恐れ。脆弱性はAdobe Reader/Acrobat 8.1.2以前のバージョンに存在する。なお、Adobe Reader 9/Acrobat 9は影響を受けない。
Core Security、「Adobe Reader」の脆弱性を報告--アドビは修正パッチを公開 CNET
その5日後のニュースでは・・・。
不正なPDFファイルが出現、Adobeのアップデート公開直後に 11/10
米SANS Internet Storm Centerは11月7日、米Adobe Systemsがアップデートで修正したばかりの脆弱性を突いた不正なPDFファイルが出回っていると伝えた。・・・圧縮されたPDF文書に JavaScriptオブジェクトを組み込み、解凍すると脆弱性を悪用する機能が実行される。
この脆弱性をめぐっては、完全なコンセプト実証(PoC)コードが先に公開されていた。しかし、攻撃者がこのPoCにわずかに手を加えたため、ウイルス対策ソフトウェアによる不正なPDFファイル検出率は非常に悪いとSANSは解説している。
新たな「PDFウイルス」出現、ほとんどの対策ソフトが検出できず 11/10
アドビシステムズでは、2008年11月4日時点で、この脆弱性を悪用した攻撃(プログラム)は未確認としていた。しかしながらサンズの情報によると、その後、脆弱性を突くことが可能であることを示すプログラム(PDFファイル)が出現。今回確認されたPDFウイルスは、そのPDFファイルに手を加えたものだとしている。改変することで、対策ソフトに検出されにくくしているという。
実際サンズにおいて、36種類の対策ソフトを使ってウイルスチェックできるWebサイト「VirusTotal(ウイルストータル)」を使って今回のPDFウイルスを検査したところ、2008年11月7日時点では、検出できた対策ソフトは皆無だったという。
日本語のニュースになったのは週明けの10日ですが、その情報ソースは現地時間で7日。つまり、セキュリティアップデートリリースから僅かに3日です。Windows Update は大体は1日~2日でPCに反映されるでしょう。しかしAdobe Readerはどうでしょう。Adobe Readerにも自動更新機能はあります。ちゃんと通知はしますが、どれだけの人が更新をしているでしょうか。そもそもそれがセキュリティ更新だということすら知らない人が大多数ではないかと。
| 固定リンク | コメント (0) | トラックバック (0)
米Microsoftは10月23日(日本時間24日)、前日に予告通り定例外のWindows Upateをリリースしました。「定例外」はひさしぶりです。最近はそれほど緊迫した更新は無かったのですが。ただし、今回ポイントとなるのはその悪用の早さと悪用のされ方です。
まずものの説明。
MS08-067 Server サービスの脆弱性により、リモートでコードが実行される (958644)
影響を受けるソフトウェアはVista が「重要」なだけであとは全て「緊急」。とはいえ善良なPCユーザにはそれほど心配する必要は無いものでした。
という理由は、これはWEB参照中のサイトからやられるという類ではなく、無差別にパケット(通信)を送りつけるタイプで、「ファイアウォール」が有効ならそれだけで回避できる攻撃だからです。善良なPCユーザの想定はWindowsXP SP2 以降で、「セキュリティセンター」で「ファイアウォール」、「自動更新」、「ウイルス対策」の3項目が「有効」と出ていて「お勧めのセキュリティ対策 V2 初級編」合格の方です。このうち「ファイアウォール」はXP自身が持っていますし、ちゃんとウイルス対策ソフトを入れていれば、たいていはより高機能なファイアウォールがセットになっています。
このセキュリティホールが心配なのは企業の場合だけです。企業だって当然インターネットとの出入り口にはもっと高いファイアウォールを使っていますが、心配なのは裏からこっそりとインターネットに繋げてしまう不心得者です。
ただし、今回ポイントとなるのはその悪用の早さです。
マイクロソフトのこのセキュリティホールについての「よく寄せられる質問」にこうありました。
マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。しかし、マイクロソフトはこのセキュリティ情報が最初に公開された段階で、公開された検証用コードの例を確認していません。
しかしそれは「このセキュリティ情報が最初に公開された段階で」はであって、その2時間後ではありません。2時間後には検証用コードが公開されていました。そこからが騒動の始まりです。
Windowsに緊急の脆弱性、パッチ提供後2時間で実証コードが登場 COMPUTERWORLD.jp
この脆弱性を利用する実証コードがほんの数時間で登場した。
この実証コードは、セキュリティ・テスト・ツール・ベンダーのImmunityの開発者が作成し、同社はMicrosoftがこの脆弱性に対応するパッチを公開した2時間後にその存在を明らかにした。このコードはImmunityの顧客だけに提供されるが、専門家は、その類似バージョンがすぐに広く出回ると予想している。・・・Immunityのセキュリティ研究員であるバス・アルバーツ(Bas Alberts)氏は、「この脆弱性は悪用しやすく、スタック・オーバーフロー攻撃を仕掛けるのが非常に簡単だ」と述べている。
MSの緊急脆弱性を狙う攻撃が発生 - すでに複数国から感染報告 10/24
「TSPY_GIMMIV」は、個人情報を取得するトロイの木馬型スパイウェアで、ユーザー名やパスワード、ウイルス対策製品の情報、「Outlook Express」の証明書、「オートコンプリート」機能で保存された情報、システム情報などを盗みだし、インターネット上のサーバへアップロード。さらにレジストリを改変し、セキュリティ対策ソフトを停止するなど攻撃の隠蔽活動も行う。アップロードに利用されたウェブサーバは、日本国内に設置されたレンタルサーバ
これらは臨時のWindows Upate の有った日の記事です。トレンドマイクロの情報がこちら。
Microsoft Server サービスの脆弱性 (MS08-067)を悪用した脅威
(トレンドマイクロ) 10/24
第2段階はここからでしょうか。
マイクロソフト セキュリティ アドバイザリ (958963) 10/28
Server サービスに影響を与える悪用コードの公開について
Microsoftによると、24日時点で知られていた実証コードはサービス妨害(DoS)、つまりシステムを止めてしまう程度のものだったが、外部からのコプログラムの実行ができるような悪用コードが出現していると警告しています。そして今回の悪用コードを使って数日から数週間以内に自己増殖型のワームが出現し、攻撃が拡大する恐れもあるとしていました。それが具体的に観測され始めます。
TCP 445番ポートへのスキャン増加に関する注意喚起 JPCERT/CC 2008-11-04
JPCERT/CC では、TCP 445番ポートへのスキャンが 2008年10月30日深夜より増加していることを、インターネット定点観測システム (以下、ISDAS ) において確認しております。主に、日本国内および中国からのスキャンが増加しています。これらのスキャンの原因は特定できておりませんが、先日公開されたセキュリティ更新プログラム Microsoft Windows 製品の Server サービスの脆弱性 (MS08-067) を使用するワームによる感染の試みである可能性があります。
それと同時にウイルス対策ソフトメーカーの方からも新種のウイルスが報告されます。
Windowsの脆弱性を悪用するワームが出現、DDoS攻撃のボットを搭載 11/04
Windowsの最新ぜい弱性を突く新ワームが予想通り登場 2008/11/05
そして、先週末に出たニュースがこれです。
Windowsの「緊急」脆弱性を突くツール出現、標的を探し出して攻撃 11/07
このツールを使えば、脆弱性のあるパソコンに対して、ウイルスなどを簡単に送り込めるという。・・・「MS08-067」の脆弱性を持つパソコンを自動的に探し出して、任意のプログラムをダウンロードおよび実行させるようなツールが確認された。 ・・・研究者は、「攻撃者が直感的に攻撃を計画できるように設計されています」とコメント。実際、攻撃対象とするパソコンのIPアドレスの範囲と、ダウンロードさせるプログラムのURLを指定するだけで攻撃を実行できる。
今回と同じようなセキュリティホールは以前にもあり、そのときは大騒ぎになりました。Blasterです。もう5年も前ですね。当時との大きな違いは、冒頭に述べたように「ファイアウォール」、「自動更新」、「ウイルス対策」の3項目が当たり前になり、特に前2項目はほっとけばそうなっています。だもんで防衛側の注意事項は「臨時のWindows Update もちゃんと更新したかを確認する」だけでよかったのですが・・・。しかし進歩したのは我々防衛側だけではないというのが上記の記事です。
第3段階と言っても「これから大爆発」ということではありません。ここ数年ウイルスの大事件は無くなりました。しかしそれは攻撃が下火になったということではありません。単に昔は「愉快犯」だっただけ。現在では敵もビジネスです。ビジネスの基本はターゲットを適切に捕らえて(絞り込んで)それを確実に刈り取ることです。彼らはそのビジネスの原則を忠実に、効率的に実行しています。上記のツールは、彼らにとって数ある攻撃ツールの中にきちんと消化されたということでしょう。
| 固定リンク | コメント (0) | トラックバック (0)
10月のWindows Update には「緊急」が4件とありますが、目玉はやはりMS08-058でしょう。
Internet Explorer 用の累積的なセキュリティ更新プログラム (956390)
IEの累積パッチと言えば目玉の定番ですが、詳細に見ていくと面白いです。
で、ここでの一般的なPCユーザをWindowsXP SP2以降を買って自動更新設定も別に意識してはいないけどそうなっている。Officeも入っているけどXP以降で、主に2003としましょう。
IE7は自動更新に入っています。マイクロソフトに進められるままにIE7に更新してXPもSP3にしているような人なら、「緊急」レベルの更新はありません。Vistaを買った人なら尚更です。
もっともIE7がどれぐらい浸透したかというと、普通の個人サイトのアクセスログによるとIE6が49%に対してIE7は31%ですね。だいぶ浸透はしてきましたがまだ逆転とまでにはいきません。
どうも大半の人は安心という訳ではなさそうです。それではと「緊急」レベルがあるのはどういう場合かを見ると、まずIE6 SP2のまま使っている人です。IEの累積パッチには6つのセキュリティホールに対する修正が含まれており最大レベルが「緊急」であるのは5つありますが、その内2つに該当してしまいます。
それでもXPがSP2なら、Windows XP SP2 以降に含まれる「ローカル コンピューター ゾーンのロックダウン」機能などにより残る3つの「緊急」レベルのセキュリティホールから解放されていました。尚その3つの中には、まだ悪用こそされてはいなかったものの既に存在が知られていたセキュリティホールも含まれています。これはゼロディアタックの候補だったということになります。
未だに SP2でないXPがどれぐらいあるのかは判りませんが、これも個人サイトのアクセスログによると、NTがまだ13%も。2000が5~6%、98+MEが2%ぐらいは生きているようです。Windows Updateの対象外PCが15%以上あるということになります。2000の人がSP3以前か、あるいはSP4であってもろくにWindows Updateもやっていないとしたら、合わせて20%にもなってしまいます。それがゼロになったら、セキュリティ事情も迷惑メール事情もだいぶ変わるのではと。
Windows2000 SP4の場合は(Windows UpdateをやっていればSP4にはなっているはず)IEの累積パッチの他にもうひとつふたつ「緊急」レベルに引っかかります。MS08-060の「Active Directory の脆弱性により、リモートでコードが実行される (957280)」がまずひとつ。もうひとつはそういうPCにOfficeが入っていればおそらくはOffice2000だろうということで、MS08-057の「Microsoft Excel の脆弱性により、リモートでコードが実行される (956416)」にも該当することでしょう。
Officeは2000とXPの間でえらい強度が上がっています。もちろんXPよりは2003、さらにOffice2007の方が強度は増しているでしょうが、XP以降はそれほど劇的というものではありません。
ではOfficeXP以降はどこが劇的に変わったのかというと、実は単純なことでIEでインターネット上のサイトを参照中に、そのサイトに仕掛けのあるExcelファイルがあったとしても、開く前に確認をするようになったというだけのことです。実は先に述べたWindows XP SP2 以降に含まれる「ローカル コンピューター ゾーンのロックダウン」機能というのも同じようなものです。単純なことですが、それが無ければ、そのサイトのそのページを開いた途端にウイルスが自動実行されて一巻の終わり・・・、ともなりかねません。
で、冒頭に述べたPC初心者でも善良なユーザはその危険性は無くなっているという訳です。善良なユーザになることは決して難しいことではないのですが。
ところで、善良なユーザはあと何に気をつければよいのでしょうか。IEのインターネットゾーンのセキュリティレベルを高にする? 昔は私もそれを第一に提唱しましたが、そんなことよりも前にひとつ重要なことがあります。敵はハイテク化した詐欺師であると意識しておくことです。
| 固定リンク | コメント (0) | トラックバック (0)
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
最近のコメント