小野寺です。

本日、Internet Exploer に関する検証用のコードが公開されました。 これを受けてセキュリティ アドバイザリ 911302 を公開しました。 Exploit については、現在調査中で必要に応じて、アドバイザリ等を更新していきます。

また、“Sony XCP software” の削除ツール用 Active Xには、幾つかの問題点が含まれていると指摘されていますが、そのコントロールを、Internet Exploer から呼び出すことを禁止する Kill Bit 処理(設定) の方法を、 MSRC Blog で紹介していますので、影響を受ける方は設定してみるといいかもしれません。

SRT 奥天です。
ようやく、Antinny の駆除数の発表ができる日がやってきました。
ちょうど AVAR 2005 に参加していた Jason がアジアにいたので、この件を発表しに日本に寄ってほしいと頼んだわけです。Jason は、例の Rootkit タイプのソフトウェアの話について Blog を書いた人です。

Anti-Malware Technology Team Blog
http://blogs.technet.com/antimalware/archive/2005/11/12/414299.aspx

駆除開始当初は、純粋に駆除件数が一気に上昇していたので単純に驚いていましたが、一ヶ月経過の時点でなんと駆除数が20万を超えました・・・マシンの台数で 11 万台です。
単に台数を見るとピンと来ないわけですが、この駆除数は正直異常に高い数字です。
そもそも Antinny は日本語を使ったソーシャルエンジニアリングの手法で感染を広げるわけで、え脆弱性を悪用し自動的に感染しているわけではないし、感染するには P2P ソフトを使うことになるわけです（使わなくても感染はしますが）

この条件を列挙すると、
P2P ソフトを使って、ウイルス対策ソフトを使わずに、共有されたウイルスを実行した日本の方

このような人が 11 万台分居たわけで。
この情報を事前に Telecom-ISAC Japan の方と共有し、ACCS さんの協力もあり一部の亜種が行う Web へのパケットを見てもらうと、大体4割減になってました！ Microsoft Update と、MRT の効果に歓喜したのもつかの間、
考えてみたら 6 割残ってる？4割で 11 万だから、6 割って言うと・・・17 万台！？

何度も言いますが、11 万台消したことは誇れる数字です。が、実際は甘くは無かった・・・
理由はいくつかあると思いますが、ウイルス対策ソフトの定義ファイルの更新をしていない人が多いってことですね。一説には定義ファイルの購読をしている方は 30% 程度なんだとか・・・
また、悪意のあるソフトの駆除ツールが動かない Win9x, NT4 が使われていたり、そもそもマイクロソフトのアップデートも行っていないなどの理由があります。
なにより、日本語を駆使したファイル名の工夫も、日本語によるソーシャルエンジニアリングに慣れていない日本人が、うっかり実行してしまうのではないかと思っています。
たとえば、25 万台が感染していたとして、P2P ソフトを使用している方は 100 万人いるとも言われていますから、単純に4名に1名は感染している？という異常な事態になっている、と判断できるわけです。

皆様は、このデータを見てどうお感じになりましたでしょうか？

詳しくはプレスリリースと記事をお読みください。
MS プレスリリース
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2504
Telecom-ISAC Jpan プレスリリース
https://www.telecom-isac.jp/news/news20051121.html

記事は検索サイトで Antinny + マイクロソフト で検索可能です。

Nov 23, 2005 追記
手前味噌で申し訳ございません。。。インターネットの状況悪化にあわせて会社としては当たり前のことを行ったはずなのに、表彰状をいただいてしまいました。（もちろん僕ではないですが、マイクロソフトで働き始めてはじめての事でしたので嬉しくて）
このBlogへのアクセスもたくさんいただき、現状を憂いているプレスのかたや、ITのスペシャリスト、コミュニティの方が広く問題点を広めようとしてくれており、感謝いたします。
ぜひ日本の皆さんで、攻撃ホストを半数以上減らしたいものです。。。

小野寺です。

今、IT Pro マーケティング グループ の人たちと一緒に、IT Pro の皆様がセキュリティ対策を行う負担を減らすにはどうしたら良いかを考えています。その案の一つとして挙がっているのが、米国(英語)では、既に実施しているセキュリティ情報のウェブキャストです。 このウェブキャストは、リリース日の翌日に行われ、リリースの件数、影響製品、配布方法と確認方法、その他注意点などを概説し、最後は、質問を受けその場で回答するという内容です。

日本でも、この様な Live を行ってみようかと考えていますが、内容や実施時間・時期等で悩んでいます。 そもそも、ウェブキャストという方法が受け入れられるのかも悩みの種です。 (過去色々なウェブキャストを提供していますが、日本の利用率は他の国に比べて低いのです・・・)

ちょうど、IT Pro マーケティング の人たちも、セキュリティを含め IT Pro の皆様の望む何かを提供するためのアンケートを実施しています。 是非、このアンケートで皆様の要望を聞かせてください。

明日から開催の MSC 東京・大阪 IT Pro 道場 で、直接フィードバックいただくことも可能です。

早川です。

本日、TechNet セキュリティ サイトの左メニューをリニューアルしました。

従来は、TechNet ホームと同じメニューを使用していましたが、ナビゲーション向上のため「セキュリティ」サイト独自のメニューに変更しました。

小野寺です。

大変おまたせいたしました。 そしてご迷惑をおかけいたしました。
先ほど、SUS のチームから連絡があり、SUS 1.0 が回復しました。 リリース日に合わせて同期を自動で行っている方は手動での同期をお願いします。
同期後は、同期ログに KB896424 他があることの確認をお願いします。

小野寺です。

現在 SUS 1.0 で新しい更新が同期できないというお問合せを頂戴しています。 早急に解決すべく SUS のチームが調査を進めていますので、今しばらくお待ちを・・・
影響を受けるのは SUS 1.0 のみで WSUS , Microsoft Update 等の他の展開方法や、検査方法は影響を受けません。

追記:
現在は、回復しています。

小野寺です。

11 月は、新規 1 件 (緊急 1 件) と 例月の「悪意のあるソフトウェアの削除ツール」を公開しています。
Microsoft Update (WSUS) で更新できますが、 MBSA については、MBSA 1.2 では検出が完全ではないものがありますので、MBSA 2.0 を使うことをお勧めします。
今月の MS05-053 は、不正な画像を表示することで悪用されますので、電子メールや Web サイトの閲覧時に攻撃を受ける可能性が考えられます。 そのため、早々に適用することをお勧めします。

小野寺です。

Windows な生活でも取り上げれていますが、長らくベータを重ねている Microsoft Anti-Spyware ですが、この度名前が変更になります。 その名も、"Windows Defender"。 この名前には、賛否両論あると思いますが、私個人的には気に入ってます。
さて、これが実際に利用できるベータやより詳細な情報が提供されるのは、もう少し先です。 名前以外にも、検出エンジンがサービス化したり、定義ファイルの更新に Windows Updateを利用したりと技術的にも改善されています。最新情報は、 Anti-Malware Engineering Team の blog で公開されるはずなので、偶に覘いてみると面白いことが書いてあるかも。

そもそも Spyware とは何なんでしょう。 狭義には、「情報を盗むソフトウェア」となると思いますが、定義が微妙なものだと思っています。ブラウザの設定を強制するもの、広告 (Ad) を無理やり見せるものと色々あり、これらも一般的に Spyware に分類されることが多いと思います。特に広告に関しては、自分の興味のあるテーマが表示されている限りは、有用なものですが、そうではない場合は邪魔な存在になります。この様に、個々人の気持ちのあり様によって判断が変わってしまうというのが、Spyware の難しさではないでしょうか。 基本は、「利用者の許可なく、利用者が望まないソフトウェア (un-wanted software)」がインストールされると spyware であるといえます。 しかし、この不要かどうか、不正かどうかと言う判断を行っているのは、各対策ベンダーです。 Windows Defender では、 SpyNet などの評価・投票の仕組みを取り入れることで、利用者の判断に近い判断をしようコンセプトで対応しています。しかし、あくまでも多数決ですから、ユーザーによっては要望している機能であるという微妙に難しい状況になります。

今後は、ユーザー自身でも情報やソフトウェアの要不要や真偽を判断できるソフトスキルが大切なのかもしれません。 気づかずに Spyware を含め不正なソフトウェアがインストールされた場合に、救済してくれるのが対策ソフトであり、自分自身、本当にそのソフトが必要なのか考えないとなぁ・・・と思う今日この頃です。

SRT 奥天です。

最近感じていることなのですが、Rootkit って、昔から話題になりながらもなんだかピンと来ない攻撃手法の代表的ものではないかと思っています。が、最近この攻撃方法が一般化しているようなので、取り上げたいです。
Rootkit 自体は、カーネルモードのたとえばドライバとして動作するものと、DLL インジェクションの一種で API コードを書き換えるタイプが主流ですが、過去にあったように痕跡の改ざんを目的としたものではなく、プロセスやレジストリ、ファイル全般を UI から見せなくする、そういった手の込んだカーネル Rootkit が確認されています。
ある情報では、企業内でウイルスやハッキングが行われたマシンのかなりの割合で、プロセスの隠蔽が行われているようです。最近のウイルスは、ウイルスコンテナとしての役割であって、感染しても Bot のようにその事実を隠そうとしますし、さらに巧妙にするためにこの Rootkit で積極的に隠蔽しようとしているわけですね。

さて、実際に使用されることが増え危機感が高まっている Rootkit ですが、なぜ話題になりきらないのでしょう？それは、見つからないことが理由だと思います。ご存知のとおり、最近の Malware は、亜種の開発が非常に短期間になっています。ただでさえ頻繁な開発によりウイルス対策ソフトの定義ファイルが遅れ気味なことに加え、ユーザーが感染に気がつかないことから検体を対策ベンダーへ提供する機会が減っていると思います。検体が提供されないために結局発見がされず、発見されないから検体が・・・という悪循環が引き起こされるわけです。
今までの、ウイルスの開発と、検出および駆除のバランスが、この Rootkit の存在で崩れる可能性があると考えられますし、ソフトウェアの開発メーカーとしても何らかの対策を行わなければならない、と感じています。
セキュリティ更新プログラムを適用し、ファイアウォールを使用して、コンテナウイルスの検出を行う、という対策は最低限として、Windows XP SP2 なら、IE でダウンロードしたファイルや、OE であればメールに添付されているファイルをうっかり実行してしまうミスも減らせるかなと。もちろん実行したくて実行したものをとめることは難しいですが・・・

では Rootkit を見つけるにはどうするか？これは、Safe モードや Single User モードと呼ばれる、ドライバの組み込みを最小限に抑えたモードで起動し、保存されている実行ファイルやレジストリのダンプを取り、通常起動時の結果と見比べる、もしくは、http://www.sysinternals.com/ で公開されている RootkitRevealer や、検出ソフトウェアを使うことになります。マイクロソフトのエンジニアの中には、Kernel Debugging で発見する方法を語る輩もいますが、それはカスタムメイドな Rootkit の検出のためなのですべてのユーザーが対応できるものではないですよね。
Rootkit の種類によっては、どの情報を隠蔽しているのかが特定できていないと的を絞りにくいというのがありますが、プロセスとファイル、netstat によるポート、レジストリなどチェックする項目が定まらないので完全な方法、と言い切れないのが難しくさせています。
一説には、この Rootkit は侵入済みホストの何割かに入り込んでいるという話もありますので、どうもありえないパケットが出ているとか idol time が減っているがプロセスがいないとか、不自然な動きが見つかれば疑ってみるのも一つかと思います。またその場合には、出来る限りマシンの再構築をお勧めします。

ちなみに、米国ではこんな技術情報があるくらいポピュラー。
http://support.microsoft.com/kb/897079
あと、研究開発部門も、これについて調べてます。
http://research.microsoft.com/rootkit/

ということで、今後間違いなく話題になってきそうです、と言い残して長文を終わります。