エフセキュアブログ

サポート 終了 を含む記事

エフセキュア、アンチウイルス Linuxゲートウェイ新バージョン Ver5.20をリリース

「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、日本語WebUIを搭載したVer5.20がリリースされました。Ver5.10で搭載された、軽量で安全性の高い新しいWebUIを日本語化し、設定項目として表示していなかった項目を多数追加しています。また、最新ディストリビューションであるRedhat  Enterprise Linux7やCentOS7などのサポート、Redhat Enterprise Linux5および6、CentOS5および6の最新マイナーアップデートのサポート対応を行っています。

なおこのリリースをもって、「エフセキュア アンチウイルス Linuxゲートウェイ」Ver4シリーズは、サポート終了の準備を開始します。Ver4シリーズの最終版(Ver4.12およびVer4.11)は、2015年11月25日にサポート終了となる予定です。

また、2015年1月に、Ver5.20をベースとした仮想アプライアンス版のリリースも予定しています。次期仮想アプライアンス版では、従来サポートしてたVMware vShereに加え、Microsoft Hyper-Vもサポートハイパーバイザーとして追加する予定です。

エフセキュア 法人向け製品でWindows Server 2003のサポートを延長

エフセキュア株式会社は、法人向け製品でWindows Server 2003のサポート終了後も一定期間サポートを継続いたします。

日本マイクロソフト社のオペレーティングシステム Windows Server 2003のサポートが2015年7月14日に終了します。開発元がサポートを終了したオペレーティングシステムを継続して利用することは、セキュリティやコンプライアンスの観点からみて大きな危険性があります。サポート終了後は、新たにオペレーティングシステムの脆弱性が発見されたとしても、セキュリティパッチが提供されることがないため、エクスプロイトを利用したハッカーやマルウェアの侵入、またそれに伴う情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。しかしながら、Windows Server 2003は多くの企業で業務の基幹システムなどにも採用されており、サポート終了日の2015年7月14日までに全てを最新のオペレーティングシステムに移行させることは困難な状況です。

エフセキュアはこの状況を認識し、日本マイクロソフト社のサポート終了後も、Windows Server 2003にインストールされている法人向け製品に対し、延長サポートを提供することで、Windows Server 2003から最新のオペレーションシステムへのアップグレードの支援をいたします。なおこの延長サポートは、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。


Windows Server 2003向け延長サポート対象製品情報



  • サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。
  • セキュリティパッチが提供されず、脆弱性が修正されないままのオペレーティングシステムでは、エンドポイントセキュリティ対策製品でエクスプロイトから保護することが出来ない可能性があります。
  • サポート終了時点で、最新のサービスパックおよびパッチが適用されているオペレーティングシステムがサポート対象となります。
  • オペレーティングシステム自体に起因する不具合に対しては、弊社ではサポート対応できない場合がございます。

エフセキュア、Linuxサーバ向けのゲートウェイ製品新バージョンをリリース

エフセキュア株式会社は、LinuxサーバOS向けゲートウェイセキュリティ対策製品の「エフセキュア アンチウイルスLinuxゲートウェイ」の新しいバージョンとなる、Ver5.10をリリース致しました。最新ディストリビューションへの対応や、WebUIの刷新を行っています。

「エフセキュア アンチウイルス Linuxゲートウェイ」は、メール送受信やWebブラウジング時に、ネットワーク上でのリアルタイムウイルス検査を行い、ゲートウェイレベルで高性能な保護を実現する製品です。既に提供済みの「エフセキュア アンチウイルス Linuxゲートウェイ」Ver5シリーズに、新たにWebUIを搭載したVer5.10がリリースされました。単なるユーザー・インターフェースの変更に留まらず、Webサーバプログラムを変更することにより、WebUIで消費するリソースの削減・応答速度の向上を行っています。本バージョンではWebUIは英語版のみの提供となりますが、2014年第三四半期中に、WebUIを日本語化したVer5.20をリリースする予定です。

Ver5シリーズでは、従来のHTTP/SMTP/POP3/FTPの各種プロキシに加えて、ICAPサーバとしての機能が追加されました。Squidなど、ICAPクライアント機能を持つプロキシからウイルススキャンリクエストを行うことが可能になり、より柔軟に既存のネットワークへ組み込むことが可能となりました。また、複数のファイルに分かれていた設定情報を、ひとつの設定ファイルに集約するなど、ユーザの使い勝手の向上を行っています。

なお、日本のお客様に対しては、日本語WebUIを搭載したVer5.20がリリースされてから1年後に、Ver4シリーズの最終版(Ver4.12およびVer4.11)のサポートが終了する予定となっています。

GameOver ZeuS用のワンクリックテストサイトを構築

 本日、あなたのコンピュータがGOZ(GameOver ZeuS)に感染しているかを確認する、新たな、そして迅速な方法を当社は発表した。先週、当社を含む業界のパートナーと共に、各国の法執行機関が協力してGOZのボットネットを遮断した。

 GOZは破壊されたわけではなく遮断された、という点を認識するのは非常に重要だ。ボットネットの管理者にとって、近い将来、制御を取り戻すことは技術的に不可能ではない。GOZには100万超台のコンピュータが感染した。時間が最も重要である。

 改善を支援するために本日開始したのが、単にwww.f-secure.com/gameoverzeusを訪れるだけで、あなたのブラウザにGOZへの感染の兆候があるかを確認できるサイトだ。素晴らしい点はソフトウェアを何もインストールする必要がなく、また数秒で終了するところだ。

GOZ detection page

 もっと技術寄りの本ブログ読者なら、どのようにチェックが動作するのか疑問に思っていることだろう。我々はかつてそうしたことを行ったことはないが、ここで詳細について述べるべきだと思う。結局のところ、マルウェア自体にちょっとしたいたずらを仕掛けたのだ。これはいつでもおもしろい。

 GOZは、あるいはもっと言えば他のWindows向けのバンキング型トロイの木馬は、ユーザ名やパスワード、その他の認証情報を盗む目的でブラウザに感染する。Amazon.comに訪れるとしよう。

Amazon login page

 GOZが興味を抱いているサイトに、あなたがログインしようとしていることに気付くと、GOZはブラウザ内部から直接的にあなたの認証情報を盗む。どのようにこれを行うのか?興味のあるアドレスをすべて挙げた設定ファイルを含めているのだ。以下はGOZが追跡しているアドレスのリストの一部だ。

Banks in GOZ config

 お気付きのとおり、当該リストには銀行などの金融機関のアドレスが多数含まれる。GOZは正規表現さえもサポートしており、新たなルールを柔軟に作成できる。正規表現を用いているアドレスは非常に攻撃的になる。

Entries in GOZ config

 「攻撃的」とはどういう意味だ?ええと、たとえば、https://www.f-secure.com/amazon.com/index.htmlというアドレスのサイトを訪れようとする。依然として正規表現がマッチするため、GOZはあなたが本当のAmazonを訪れるところだと考える。つまり我々はこれを用いてGOZのボットに「いたずら」をし、あなたのブラウザが感染しているかどうかをたやすく確認しているのだ。

 それではユーザがAmazon.comを訪れたとき、GOZは実際に何を行っているのだろうか?このマルウェアはブラウザ内部で起動しているので、ログインページに入力しているものを見るだけではなく、Webページをあなたが見る前に改ざんすることもできる。感染したブラウザでユーザがAmazonへ行くと、GOZはページ上に追加的なコンテンツを「挿入」する。以下は、挿入を行う部分のコード片だ。

GOZ code for Amazon

 この余分なコードはログインページに新しいフィールドを追加し、続いてその中身を攻撃者が制御するサーバへと送信する。強調した文字列(LoadInjectScript)は後ほど用いる。

 以上をすべてひっくるめて、我々はどのように当該マルウェアを素早くスキャンできるようにしたのか?

 当社の検知用のページwww.f-secure.com/gameoverzeusは、単に当社のサイト上のページなのだが、「amazon」という文字列を含むアドレスのWebページを読み込む。

iframe on GOZ page

 もし感染していれば、当社のこのページを訪れることで、GOZはあなたがAmazonを訪れると考える。たとえ実際はそうではなくても!続いてGOZは当該Webページに自身のコードを付け加える。我々の「偽の」Amazonページが読み込まれると、「セルフチェック」を行って単純にGOZが加えた変更がページ上にあるかを検索する。上で示した「LoadInjectScript」という文字列を検索するのだ(当社の文字列が見つかるという結果にならないように、分解していることに注意)。

goz_check function

 ページ上に当該文字列が見つかったら、GOZがあなたのブラウザに感染していることが分かる。

 いつもどおり、いくつかの制限はある。GOZがサポートしていないブラウザ(誰かLynx使ってる?あとはネイティブの64ビットブラウザ)を使用している場合、コンピュータは感染しているかもしれないが、ブラウザにはマルウェアの痕跡はない。そのような場合、確認するにはやはり当社の無料のオンライン スキャナを実行することをお勧めする。また、実際に感染しているなら、スキャナを用いて削除する必要がある。

 US-CERTのアラート(TA14-150A)も参照のこと。

 共有すべきリンクはhttp://www.f-secure.com/gameoverzeusまたはhttp://bit.ly/GOZCheckだ。

サポート終了後のWindows XP対応策

本日2014年4月9日をもって、マイクロソフトのWindows XPのサポートが終了します。まだ上位オペレーティング・システムに移行が完了していない場合、最低限のセキュリティを確保するためには、どのようにすればよいのでしょうか。

Windows XPの延長サポートが終了になった後は、脆弱性が発見された場合にも修正パッチは提供されません。過去2010年7月13日にWindows XP SP2のサポートが終了した際には、その2日後に脆弱性を悪用したマルウェアStuxnetによるセロデイ攻撃が発生しています。このようにサポートが終了したオペレーティング・システムを使用し続けることには極めて大きな危険が伴います。エフセキュアのデスクトップ向けの製品では、2016年6月30日までWindows XPのサポートを延長いたしますが、さらになるべく安全にWindows XPを使用し続けるためには、幾つかの対策が必要になります。なおこれらの対策は、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。

法人での対策

1.業務上インターネット接続が不可欠な端末以外はインターネットに接続させないようにする

2.ゲートウェイ・レイヤでウイルス対策を行う
社内と社外のネットワークの境界であるゲートウェイ・レイヤでウイルス対策を行い、社内のネットワークに接続されているPCへ、脆弱性攻撃が届かないようにします。

3.危険なWebサイトへの接続の防止
「ブラウザ保護」の機能を備えたセキュリティ・ソフトウェアを使用して危険なWebサイトへの接続を防止し、Webサイトを踏み台にした攻撃から防御します。

4.脆弱性攻撃を防ぐソフトウェアを導入する
未知の脅威から防御するため、「ふるまい検知型」の機能を備えたソフトウェアを利用します。

5.出口対策を実施する
PCがウイルスに感染した場合に、感染した端末から社内のPCやサーバに侵入したり、外部のサーバへインターネット経由で情報を持ち出そうとする攻撃を防ぐため、ポートやIPではなく、特定のアプリケーションごとの通信を許可するかどうか設定する「アプリケーション制御」の機能を備えたソフトウェアを使用します。

2については「エフセキュア アンチウイルス Linux ゲートウェイ」で対応可能です。3〜5については、「エフセキュア クライアント セキュリティ」ですべてカバー可能です。なおこのようなセキュリティの機能を有効に利用するためには、セキュリティ・ソフトウェアの一元的な管理が必要となり、そのためエフセキュアでは「エフセキュア ポリシー マネージャ」を提供しています。あるいは初期投資を抑制するため、「エフセキュア プロテクション サービス ビジネス」のようなSaas型のサービスを利用されることも有効です。

家庭での対策

1.代替となるブラウザをインストールする
Internet Explorerだけに頼らず、代替となるブラウザを1つまたは複数インストールします。(ブラウザは無償です)。デフォルトのブラウザをInternet Explorer以外に設定します。

2.不要なソフトウェアを削除する
インストールされているソフトウェアを確認し、不要なものは削除します。ほとんどの古いソフトウェアは脆弱なものと考えられます。

3.プラグインを無効あるいはアンインストールする
JavaやAcrobat Readerの脆弱性を悪用した攻撃が最近増加しています。家庭用のPCにJavaをインストールする必要はおそらくないはずです。また、PDFファイルを開くときなど、操作の前に「常に尋ねる」ようブラウザを設定します。

4.接続は常にNATルータ経由にする
家庭では、NATルータがハードウェアのファイアウォールの役割を果たします。また、ノートPCを持ち出して、外部の無償のWiFiスポットに接続すべきではありません。

繰り返しになりますが、上記の法人での対策も家庭での対策も、Windows XPから上位オペレーティング・システムへの移行期間のための一時的な処置であり、完全にセキュリティを確保できるものではありません。エフセキュアでは、一日も早い上位オペレーティング・システムへのアップグレードを推奨します。

4月8日:XPだけの問題ではない

 4月8日が間近になっている!そしてそれが意味するところは…。


カウントダウンクロック

 …Windows XPのサポートの終了だ。しかしXPだけではない。Office 2003も命を終えようとしている。

 今現在、Officeのある脆弱性が野放しになっているため、これを知っておくことは重要だ。

 マイクロソフトは昨日、Security Bulletin Advance Notificationを公表した。

Microsoft Security Bulletin Advance Notification for April 2014

 そして良いニュースがある。Wordの脆弱性に対するパッチが作成されている模様だ。いまだOffice 2003を使用中のすべての方にとって、この更新を適用することは不可欠だ。なぜか?パッチのリバースエンジニアリングが行われ、関連するエクスプロイトがエクスプロイトキットに埋め込まれるまでに、わずかな時間しかないためだ。この観点からすると、Officeがインストールされている方全員にとって、Webの閲覧は一層危険に満ちたものとなる。もしブラウザがRTFファイルを「開く」ように設定されていたら、とりわけ危険だ。

 したがって、次の火曜日のパッチに備えよう。そしてパッチを適用する。

 4月8日以降もまだXPを使い続けるつもりだろうか?それなら、こちらのSafe and Savvyの投稿を確認してほしい。

 7 things to do if you’re going to keep using Windows XP after April 8, 2014

 step 3としてOfficeのセキュリティの設定を厳格にするアドバイスがあることに、特に注意が必要である。次の火曜日までにできるちょっとしたことだ。

“Windows XP”を守るためにセキュリティソフトにできること

KeymansのKey Conductorsにて、前回の「サポート終了後の'Windows XP'をどう守るか?」に引き続いて、さらに深堀する記事を掲載いただきました。
詳細はこちらをご覧いただきたいと思いますが、要点をご紹介します。



1. パーソナルファイアウォールの活用
ネットワークに接続しないのが最大の防御ですが、ネットワークに接続する必要がある場合、ネットワークファイアウォールにWindows XP端末のMACアドレスなどを登録して、全てのアウトバウンドをブロックしましょう。

2. 出口対策で二次被害の防止を
セキュリティソフトにある、ポートやIPでなくアプリケーションごとに通信することを許可するかどうかを設定する機能は、ウイルス感染後の“出口対策”としても有効で、内部感染拡大や情報流出といった二次被害への有効な対策になります。

3. セキュリティソフトの管理の重要性
セキュリティ機能を有効に使う場合は、セキュリティソフトを管理ツールで一元管理することが有効です。

クリスマス休暇の買い物のヒント:Windows XPを置き換える!

 クリスマス!もうすぐやってくる。

 そして別のものも差し迫ってきた…。Windows XPの終わりもすぐそこだ!

Windows XP, Support is ending soon

 2014年4月8日にはサポートが終了する

 もしまだXPを使っているのなら、このクリスマスの買い物シーズンを自分へのご褒美として捉え、新たなPCを買うとよい。あるいはMacだ。上の写真の女性たちは、おそらく実際の生活ではMacを所有しているとは思わないかい?

 いずれにせよ、今は飛躍するには素晴らしい時期だ。相対的に高価ではない基本的なPCでも、まだXPを動かしているハードウェアよりは、ずっと生産的だ。

 ああ、そしてこのブログの読者なら、もう知っているだろう。それで、とっくに友人や家族にも話をしているね。

 メリークリスマス。

サポート終了後の“Windows XP”をどう守るか?

Windows XPのサポート終了が2014年4月9日に迫っています。過去の例では、2010年7月13日にWindows XP SP2のサポートが終了した際には、そのわずか2日後にWindows XP SP2も影響を受ける「マイクロソフト セキュリティ アドバイザリ (2286198)」のゼロデイ攻撃を行うマルウェア“Stuxnet”が出現しています。

そこで、サポート終了後になるべく安全にWindows XPを使用するためにキーマンズネット'Key Conductors'にてポイントを紹介させていただきました。

【1】  脆弱性攻撃がPCに届かないように、ゲートウェイレイヤでウイルス対策をする
【2】  URLフィルタなどを使い、危険なWebサイトへの接続を防ぐ
【3】  脆弱性攻撃を防ぐソフトを導入する
【4】  接続可能な社内サーバなどを制限する





詳細はぜひこちらをご覧ください。
http://www.keyman.or.jp/kc/sec/antivirus/30006602/

Windows XPからの移行支援でクラウド型ソリューション半年間無償キャンペーン開始

Windows XPからの移行が急務に !

Windows XPのサポートが2014年4月9日に終了しますが、企業や自治体など多くの法人ユーザーで引き続きWindows XPが使用されており、サポート終了までのOSの移行が急務となっております。

しかし新規のハードウェアやOSの導入は、検証作業などの負荷に加え、コストの観点からも大きな課題となっており、移行の妨げとなっているのが現状です。
このためエフセキュアでは、Windows XPからの移行をご支援することを目的とし、新規にご導入いただくお客様を対象に、PSBの半年間無償キャンペーンを開始いたします。


「エフセキュア プロテクション サービス ビジネス (PSB)」の特長

PSBは、PCからサーバおよびモバイルまでの幅広いマルチプラットフォームに対応するクラウド型セキュリティ対策ソリューションです。




お客様は専用の管理用サーバの設置が不要のため、大幅な初期費用の削減ができます。
またWebベースの管理ポータルで、専門知識がなくても簡単にセキュリティシステムの運用ができるため、中小・中堅企業のお客様を中心に導入が進んでいます。

特にWindowsワークステーション中のOSやアプリケーションに最新のセキュリティパッチを容易に適用させる
ソフトウェア アップデーターが実装されているため、Windows XPからの移行を検討中のお客様に最適です。




半年間無償キャンペーン


コストを抑えてPSBをご提供するために、新規でご購入頂く場合、一年間の価格でPSBを18ヶ月ご利用可能なキャンペーンを実施します。
キャンペーン期間は、2013年11月1日(金)から2014年3月28日(金)弊社受注分までとなります。


キャンペーンの詳細は、 http://news.f-secure.com/PSB-Promotion をご参照ください。

ルートキットカフェ

 インターネットカフェでWebを閲覧している間、デスクトップやブラウザに表れることがある広告について、疑問を抱いたことはないだろうか。当社のアナリストの1人Wayneは、もちろん疑問に思った。

 Wayneは最近あるサンプル(SHA1: c8c643df81df5f60d5cd8cf46cb3902c5f630e96)を分析し、興味深い解答を得た。このサンプルはそのコードにちなんでLanExと命名されたルートキットで、当社ではRootkit:W32/Sfuzuan.Aとして検知する。

LanEx (55k image)

 Wayneはサンプルを調査して、58wangweiと称する中国の広告企業に辿り着いた。この会社はカフェの経営者向けに、PCを見る眼球の動きの流れから、利益を最大化することを目指すアフィリエイトプログラムを実施している。彼らのソリューションは?カフェのユーザに、広告を提示することだ。

 この広告サイトの、マーケティング上の宣伝文句では「インターネットカフェのPC1台は、PCのアイドル時間を除いて、平均で1日当たり20時間動作している」としている。その主張を後押しする統計については知らないが、非常に個人的で非公式な見解が裏付けになっているように思える。

 ともかく、カフェの経営者が興味を持つと、ソフトウェアパッケージを(ルートキットのインストーラ込みで)ダウンロードできるWebページへと導かれる。このページにはコントロールパネルがあり、ルートキットの様々な機能を設定できる。たとえばWebブラウザに設定するデフォルトページなどだ。用意されている各種の選択肢は、ほぼ例外なくすべて中国本土に的を絞った検索エンジンだ。そして、たとえばある検索エンジンに訪れたユニークユーザ数1000人ごとに26元など、選択肢ごとに金額が定められている。

 経営者がパッケージをコンピュータにマニュアルでインストールすると(続いてルートキットをダウンロードする)、あら不思議!お金がどんどん入ってくるんでしょ?いや、そうでもない。経営者にとって、なにもかも順風満帆というわけではない。少なくともサポートフォーラムの1つ(中国語のみ)では、パッケージに関しての詳細を尋ねたり、マシンにBSoD(Blue Screen of Death)を引き起こすことについての不平をいう経営者がいる。

LanEX_BSOD (427k image)

(ソース:bbs.icafe8.com)

 経営者の大半は、ルートキットがマシン上で何をしているのかに気づいていない。このプログラムは主に広告を表示することを目的としている。

   •  SSDTフックを通じて、広告モジュールに属すプロセスを隠ぺいする
   •  SSDTフックにより、広告モジュールのプロセスが終了させられることを回避する
   •  NDISフックを用いて、(URLのIPアドレスおよびポート番号に基づき)特定のWebページへのアクセスを妨げる

 経営者がルートキットのインストーラをダウンロードしたWebページ上にあるコントロールパネルには、広告モジュール関連のプロセスに加えて、隠ぺいしたいプロセスを選択するためのオプションもある。これは、デフォルトでは隠されている。

 技術的にこのルートキットでもっとも興味深い部分は、ネットワーク越しに送付されるすべてのHTTPリクエストとレスポンスのメッセージをフィルタするためにNDISフックを用いる点だ。もし禁止されているHTTPリクエストがあったら、ルートキットによってパケットが改ざんされ、精巧に作られたHTMLページが返される。

 このHTMLページは非表示のiframeまたはHTTP 302リダイレクトで、ユーザのブラウザを特定のWebサイトにリダイレクトする。

lanex_redirection (107k image)

 ユーザにとっては、使用中のマシンにこのルートキットがあるということは、広告の露出から避けられない、ということになる。あるいは、要求していないWebサイトにリダイレクトされることもある。

 このルートキットは主に広告を表示することを指向したものだが、アドウェアではない。システム上ではるかに悪意に満ちたアクションを実行し得る、完全な能力があるのだ。そして、インターネットカフェの経営者すら、自社のマシンに何をインストールしたのか常にしっかりと把握しているわけではないように見える。

仮想アプライアンスによるゲートウェイ層でのマルウェア対策

今後サポート終了が予定されているWindows XPを使い続ける必要がある場合、未対策の脆弱性からどのようにPCを守るかが鍵となってきます。こうした観点からもゲートウェイレイヤでのマルウェア対策は、今日のセキュリティを考える上では必須の要件です。マルウェアの多くはOSやソフトウェアの脆弱性を悪用して感染するため、脆弱性が発見されても修正されないサポート終了後のOSは、マルウェアにとって格好の標的となります。OSやアプリケーションに脆弱性が存在する場合、エンドポイントでマルウェア対策を行っていても感染を防げないリスクもあります。

サポートが終了したOSを守る最適な方法は、PC上のウイルス対策に加え、マルウェアを近づけさせないことです。マルウェアの多くは、Webからのダウンロードやメールの添付ファイルとして配布されるため、Webとメールのゲートウェイでマルウェア対策を行うことが最も重要です。PCにマルウェアが到達した場合、PC上でマルウェア対策を行っていたとしても、修正されていない脆弱性を悪用して感染してしまうリスクがあります。

このような環境を考えて、「エフセキュア アンチウイルス
Linuxゲートウェイ」を、従来のソフトウェア版Ver4.11に加え、同等の機能を有した仮想アプライアンス版で提供することになりました。OSを含めて提供されるため、ユーザはOSそのものの導入やメンテナンスの手間を省くことができます。また仮想サーバとして動作するため、既存の仮想基盤があればハードウェアの追加投資無く構築することが可能です。

詳細は
、 http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1053302/ をご覧ください。

Windows XPのサポート終了への対応

Windows XPのサポートが2014年4月9日に終了します。サポート終了後は、新しくオペレーティングシステムの脆弱性が発見されても、セキュリティパッチが提供されることがないため、エクスプロイトの侵入や情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。
サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。

ところがIDC Japanの2012年秋の調査によると、Windows XPをインストールしている法人向けPCは40.3%にあたる1419万台と言われています。サポート打ち切りまでに、全てのWindows XPを最新のオペレーティングシステムに移行させることは現実的に困難と思われます。

エフセキュアはこの状況を認識し、マイクロソフト社のサポート終了後も、Windows XPにインストールされているコーポレート向けライセンス製品に対し延長サポートを提供することで、Windows XPから最新のオペレーションシステムのアップグレードをご支援することになりました。

詳細は弊社プレスリリースをご覧ください。
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/1008718/

デッドソフトウェア・ウォーキング:今すぐアップデートを!

我々のレガシーソフトウェアの一部が、まもなくサポート終了(EOL)となる。

Leatherman Wave, because real network administrators are prepared for anything…

  エフセキュアは顧客保護で長い歴史を持っており、そのため、長期にわたる顧客関係を維持してもいる。顧客の中には、何年も我々のソフトウェアを利用している方もいる。だが他のソフトウェアベンダと同様、我々もある時点で、古いレガシー製品のサポートを終了しなければならない。

  というわけで、我々はエフセキュアのホームユーザおよび企業ユーザに、「エフセキュア 8」シリーズソフトウェアのアンチウイルスアップデートは、2012年1月1日に終了することをお知らせする必要がある。

  実際EOLとは、以下のような製品が、これ以上アンチウイルスアップデートを受けとらないことを意味している:

  •  エフセキュア インターネット セキュリティ 2009
  •  エフセキュア アンチウイルス 2009
  •  エフセキュア クライアント セキュリティ 8シリーズ
  •  エフセキュア Linux セキュリティ 7シリーズ

  そのほかにも影響を受ける製品がある。影響を受けるコンシューマ向け製品の全リストはこちらを、そして影響を受ける企業向け製品についてはこちらをご覧頂きたい。

  くり返すが、これらの製品がこれ以上サポートされないということを意味しているだけではない(中には実際、かなりの期間、サポート対象外になっているものもある)。これは、実際のアンチウイルス・シグネチャのアップデートが、これら製品に対しては提供されないということを意味している。新たなデータベースは作成されない。

  だからすぐにアップグレードして欲しい::

  •  ホームユーザ
  •  ビジネスユーザ

  アップグレードしない理由はない。このアップグレードは無料で、ライセンス/登録をお持ちである限り有効だ。

  インターネットサービスプロバイダを通じて受けとった製品をご使用の場合は、オペレータがお持ちのソフトウェアが最新版であることを確認するだろう。

  以下はこのトピックに関する我々のコミュニティサイトのディスカッションスレッドへのリンクだ。

  あなたはこれをインストールしているだろうか?

F-Secure Internet Security 2009, published in 2008

  すぐにアップデートを…終わりは近い。

我々が「RSA」のハッキングで使用されたファイルを発見した方法

  3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。

  現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラマンに侵入し、軍事機密を盗みたかったというものだ。しかし、目的は達成されなかった。両社がネットワーク認証にRSA SecurIDトークンを使用していたためだ。そのためハッカーたちは、標的型の電子メール攻撃でRSAに侵入した。彼らはバックドアを設置し、最終的にSecurID情報にアクセスし、もともとの標的に戻って、侵入することに成功した。この攻撃の結果、RSAは世界中の顧客のため、SecurIDトークンを交換することを余儀なくされた。

RSA / EMC hack

  我々は4月には既に、同攻撃がEMCの従業員たち(EMCがRSAを所有している)への標的型電子メールにより開始されたこと、そしてそのメールには「2011 Recruitment plan.xls」という添付ファイルが含まれていたことを知っていた。RSAはこの情報を、彼らのブログの記事で明らかにした。問題は、我々がそのファイルを持っていなかったということだ。持っている人はいないようで、アンチウイルスリサーチャのメーリングリストは、どこでそのファイルが入手できるかという議論で持ちきりだった。誰もファイルを入手できず、結局、議論は終息した。

  このことがTimo Hirvonenを悩ませた。Timoは我々のラボのアナリストで、このファイルを見つけられると確信していた。4月以来2、3週間ごとに、Timoは我々が持つ何千万ものマルウェアファイルのコレクションをチェックし、このファイル一つを見つけるべく吟味し続けたが、幸運には恵まれなかった。

  TimoはFlashオブジェクト用のサンプルを分析するデータ解析ツールを書いた。我々は問題のXLSファイルが、システムを乗っ取るのにFlashオブジェクトを使用していることを知っていた。新ツールはいくつかの関連サンプルを探し出した。しかし、その中の一つはExcelファイルではなかった。それはOutlookメッセージファイル(MSG)だった。それを開いた時、Timoは思い当たることがあった。このメッセージファイルは、3月3日にRSAに送られたオリジナルのメールで、添付書類「2011 Recruitment plan.xls」を備えていることが分かった。

  5カ月後、我々はついにファイルを手に入れた。

  そしてそれだけでなく、オリジナルのメールも手に入れた。誰かが(おそらくはEMC/RSAの従業員)が3月19日に、Virustotalオンラインスキャニングサービスに電子メールと添付書類をアップロードしていたことが分かった。そしてVirustotalの規約にある通り、アップロードされたファイルはアンチマルウェアやセキュリティ業界の関係者に共有される。それゆえ、我々は皆、既にこのファイルを持っていたのだ。我々はそうとは知らず、何百万ものサンプルの中からそれを見つけることができなかった。

RSA / EMC hack
このサンプルは「file-1994209_msg」として、3月19日にアップロードされた。

  では、このメールはどのようなものだったのか? これはリクルートサイト「Beyond.com」から送られたように見える、なりすましメールだった。サブジェクトは「2011 Recruitment plan」で、「検討のためこのファイルを送ります。開いて見て下さい。」という1行が本文だ。
  このメッセージは1人のEMC職員宛てに、3名に対してCcされて送信された。

RSA / EMC hack

  以下はXLS添付ファイルを開いた時の様子だ:

RSA / EMC hack

  以下はこの悪意あるExcelファイルを開くと、何が起こるかを見せるYouTubeビデオだ。



  このビデオでは、我々がこのメールをOutlookで開き、添付ファイルを実行しているところが見られる。組込型Flashオブジェクトは、スプレッドシートでは[X]マークで示されている。FlashオブジェクトはExcelにより実行される(一体どうしてExcelが組込型Flashをサポートしているのかは全く疑問だ。)Flashオブジェクトは次に「CVE-2011-0609」脆弱性を利用し、コードを実行してシステムにPoison Ivyバックドアをドロップする。このエクスプロイトコードは次にExcelを閉じ、感染が終了する。

  その後、Poison Ivyが「good.mincesur.com」のサーバに接続する。「good.mincesur.com」というドメインは、長期間にわたって似たようなスパイ攻撃で使用されている。

RSA / EMC hack

  いったん接続されると、攻撃者は感染したワークステーションに完全なリモートアクセスが可能になる。さらに悪いことに、ユーザがアクセスできるネットワークドライブにもフルアクセスが可能だ。どうやら攻撃者たちは、探しているSecurIDデータにアクセスできるまで、このベクタを利用することができる。

  攻撃電子メールはそれほど複雑には見えない。実際、非常にシンプルだ。しかし、Excel内のエクスプロイトはその時点でゼロデイで、RSAはシステムにパッチを当てて保護することができなかった。

  では、これは高度な攻撃だったのだろうか? 同メールは高度ではない。ドロップされたバックドアは高度ではない。しかしエクスプロイトは高度なものだ。そして攻撃者の最終的な標的も高度だ。何者かがセキュリティベンダの顧客のシステムにアクセスするため、ベンダをハッキングするなら、間のステップにそれほど複雑でない部分があったとしても、我々はその攻撃を高度なものと言いたい。

  Timoは10月に実施される「T2 Data Security」カンファレンスで、このトピックに関するリサーチについて、「RSAはいかにして侵入されたか」というタイトルで講演を行う。

t2.fi

PS. 現在もサンプルを探している方へ:
MD5 of the MSG file: 1e9777dc70a8c6674342f1796f5f1c49
MD5 of the XLS file: 4031049fe402e8ba587583c08a25221a


古い製品を使用している? 無料アップグレードをダウンロードしよう!

F-Secure Internet Security 2009, published in 2008

  エフセキュアは顧客保護で長い経験を積んでいる。その結果として、我々には何年にもわたってエフセキュア製品を使用している顧客がいる。

  他のソフトウェアベンダと同様、我々も過去のレガシー製品のサポートを、どこかの段階で停止しなければならない。

  そういうわけで、個人ユーザと法人ユーザの方々は、「エフセキュア 8」シリーズ製品のアンチウイルスアップデートが、2012年1月1日に終了することを思い出して頂きたい。

  実際には、以下の製品では新たなアンチウイルスアップデートは行われないということを意味している:
  • エフセキュア インターネット セキュリティ 2009
  • エフセキュア アンチウイルス 2009
  • エフセキュア クライアント セキュリティ 8シリーズ
  • エフセキュア Linux セキュリティ 7シリーズ
  その他にも影響を受ける製品がある。影響のある消費者向け製品の全リストはここで、影響のある企業向け製品の全リストはここで確認できる。

  くり返せば:これらの製品がサポートされないということを意味するだけではない(これら製品の一部は、かなり以前からサポートされていない)。これらの製品では、実際のアンチウイルスアップデートシグネチャがリリースされないとうことを意味している。

  よってすぐにアップグレードすることをお勧めする:  アップグレードしない理由はない。このアップグレードは無料で、有効なライセンスがある限り、動作し続ける。

  オペレータを通じて購入した製品を使用しているなら、あなたが最新バージョンを使用しているかどうか、オペレータが確認するはずだ。

  我々のコミュニティサイトのこのトピックに関するディスカッションスレッドはここにある。

「Update Rollup 1 for Windows XP SP3」は入手できますか?

Microsoft殿

  我々のあるパートナーが、苦痛を感じています。このパートナーは中央ヨーロッパに本拠地を置いており、そのカスタマの中にはハードウェアの予算が限られている所もあります。それで… 結局、多くのWindows XP SP3をインストールすることになるのです。(ええ、Windows 7がクールであることは分かっていますが、正しいのは常に顧客であり、彼らが欲するものを与える必要がありますから。)

  そして苦痛が生じるのはそこ、すなわち「Windows/Microsoft Updates」です。

  SP3後のアップデートは沢山ありますが、それらをインストールするのには多大な時間がかかります。それはパートナーの生産性、すなわち利益の減少につながります。

  我々のバーチャルマシンテスト画像の一つをチェックしてみたところ、SP3後のアップデートが157個インストールされていました。そしてそれは、極めて基本的なインストールです(計算機さえインストールされていません)。

Review_your_update_history

  「Service Pack 3 for Windows XP」は基本的に「更新ロールアップ」であり、「SP4」はおそらく、オプションではないことは分かっています(マーケティング的な理由のため)…

Windows_XP_software_updates

  しかし、もしかしたら貴社は、「Update Rollup 1 for Windows XP SP3」を検討されるのでは? それは(自分達の手段の範囲内で)セキュアなシステムを構築、設定、維持するべく努力している人々にとって、非常に役立つでしょう。

  Windows XPの延長サポートの終了まで、2年半以上あります… そのインストールベースは縮小していますが、世界にはまだ同OSを使用している顧客が大勢います。我々の要望について考慮して頂けると幸いです。経済状況の厳しい現在、中小規模の企業は貴社が与えうるあらゆる援助を必要としているのです。

よろしくお願い致します。
エフセキュアラボ

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

Windows 2000 終了のお知らせ

日本時間の2010年7月14日、Windows 2000のサポートが終了しました。これからはWindows 2000に脆弱性が見つかっても修正パッチはリリースされないことになります。永遠のゼロデイ*ですね。

「そのため、今後はWindows 2000に脆弱性が見つかるようなことがあると、非常に危険な状態にさらされます。」
と書こうとしていたところ、Windows シェルの脆弱性が公開されました。
注意すべきは、脆弱性情報にWindows 2000のことが記載されなくなっている点です。Windows シェルの脆弱性ではWindows 2000も影響を受けるのですが、影響を受けるソフトウェアの欄には記載されていません。

今後もWindows 2000を使い続ける限りは、脆弱性が発見されるたびに情報収集や検証を行う必要が出てきます。

また、以前から調査しているのですが、Windows 2000のゼロデイは他にも存在しています。デモ動画を作成しましたのでご覧ください。実際に攻撃コードを作成し、CANVASという攻撃用フレームワークを使って、攻撃対象であるWindows 2000 Serverの制御を奪っています。



他にも、Windows 2000はいろいろと仕様的に脆弱な部分があります。そのあたりの話をご紹介するセミナーを企画しましたので、Windows 2000を捨てきれていないシステム管理者の方はぜひお越し下さい。
セミナーの内容はこちらです。
http://www.fourteenforty.jp/seminar/


-----------------------------------
*ゼロデイ:修正パッチが提供されてから悪用されるまでの日数がゼロ日、つまり修正パッチが提供される前の脆弱性のこと

Windows Shellのゼロデイ脆弱性

  Microsoftが「セキュリティ アドバイザリ(2286198)」をリリースし、現在Stuxnetルートキットにより悪用されているLNKショートカット(Windows Shell)脆弱性に関する詳細を提供している。

  このニュースは良く無いものだ。

  Windows Shell脆弱性はUSBデバイスのほか、WindowsファイルシェアおよびWebDavを通じても悪用される可能性がある。

  Windowsの全バージョンが影響を受ける:

Microsoft Advisory 2286198

  脆弱なバージョンには、最近のサポート終了によりアドバイザリにリストされていないWindows XP Service Pack 2も含まれる。

  SP2用のパッチが無いならば、ユーザは提案されている回避方法を実行する必要があるだろう:

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  詳細はMicrosoftのセキュリティ アドバイザリを参照して欲しい。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード