エフセキュアブログ

f-secure client security を含む記事

修正パッチの適用されていないソフトウェアが脆弱性を企業にもたらし続ける

エフセキュアは、70%以上の企業がソフトウェアの未更新が原因で、攻撃のリスクにさらされていると発表しました。ソフトウェアの更新の制御と管理に対応するセキュリティソリューションが、社内で利用可能であることを踏まえると、この調査結果は驚くべきことです。 

先日、米コンピュータ緊急事態対策チームは、特に最新のセキュリティパッチの適用によってソフトウェアを常に更新するなど、単純なセキュリティ対策を整備することで、ターゲット攻撃の85%が回避可能であると警告しています*。

ところが、ソフトウェアの更新の重要性と、有用性を軽視し続けている企業は数多く存在します。 エフセキュアの最近の調査**では、パッチ管理のソリューションを導入している企業は、わずか27%であることが明らかになっています。この問題は特にフランスで顕著であり、社内でソフトウェアの更新管理ツールを活用していると回答した対象者はわずか15%でした。一方、北欧では46%の企業がパッチ管理のソリューションを導入しており、ソフトウェアの脆弱性を利用した脅威に対して、会社の資産を保護する対策を行っています。

エフセキュアのシニア研究員であるティモ・ヒルヴォネンは、ソフトウェアの更新に対する非積極性は、現代における脅威の状況について多くの企業が無関心であることの表れだと述べています。「ソフトウェアの更新は、アプリケーションの中断といった問題を引き起こしかねない、面倒なことだと考えている方はたくさんいますが、実際は逆です。セキュリティパッチを疎かにする人をターゲットにする犯罪者は、パッチに起因する脆弱性を狙ったエクスプロイトの開発に注力し、更新が行われる前に攻撃を実行します。つまり、すべての攻撃の戦略は、修正パッチが適用されていないソフトウェアを使用している人々を標的にしているのです」

エフセキュアのセキュリティ研究所では、昨年7月のHacking Teamの情報漏洩後に公開されたFlashの脆弱性をターゲットとするエクスプロイトが、82%増加していると報告しています***。ヒルヴォネンは、こうした活動の急増により、エクスプロイトが重大なセキュリティ問題になっているため、 タイムリーかつ入念なソフトウェアの更新が極めて重要であると述べています。

パッチ管理にも対応する、堅牢なセキュリティソリューションの実装を検討されている場合は、エフセキュアのビジネススイートなどの保護ソフトウェアを活用することが可能です。ビジネススイートの最新リリースでは、受賞歴を誇るエフセキュア クライアント セキュリティの最新版が提供されており、自動パッチ管理(ソフトウェアアップデータ)とその他のセキュリティツールの統合により、エクスプロイトなどのオンラインの脅威がもたらすリスクの、管理と制御を支援します。

*出典: https://www.us-cert.gov/ncas/alerts/TA15-119A?hootPostID=b6821137ae5173095390bd502ae04892
** ヨーロッパの1,780人の回答者を対象に、4月26日から5月16日まで実施された調査
*** https://www.f-secure.com/ja_JP/web/press_jp/news/news-archive/-/journal_content/56/1082220/1308212?p_p_auth=iS4cM80W&refererPlid=910425


詳細情報:
Client Security

最高のセキュリティ保護をプロアクティブに行う新サイバーセキュリティ対策ツール

SpendingMoney

最近の調査によれば、データ漏洩は以前にも増して頻繁かつ深刻なものになってきています。また、攻撃者が悪用できるリソースが増加していることから、IT管理者がリスクを管理するためには、従業員に総合的なセキュリティ保護を提供する必要があります。こうしたニーズを考慮して、エフセキュアのビジネス スイートのセキュリティソリューションは更新され、信頼できるセキュリティの基礎として、制御と管理容易性に重点を置いて生まれ変わりました。

ビジネス スイートは、Webコンテンツ制御や自動パッチ管理といった複数の独自機能を組み合わせ、企業を既知および未知の脅威から守るための総合的なセキュリティ保護を提供する、エフセキュアの法人向けセキュリティソリューションです。新たにリリースされたビジネス スイートには、受賞歴のあるクライアント セキュリティの新バージョン、および最新版のポリシー マネージャが含まれます。これらの新機能によって、IT管理者は新たに以下のようなことができるようになります。

  • アドバンスト プロテクションによって、コンテンツをブロック(Java、Flash、その他のWebコンポーネント)
  • Webコンテント コントロールで、従業員を悪質なWebサイトの脅威から保護
  • コネクション コントロールで、ビジネスに必要不可欠な業務を行いながら、潜在的な危険のあるサイトへのアクセスを制御

これらのコンポーネントは、ビジネス スイートのその他の機能と連携して、法人向けに従来のアンチウイルスソリューションを超えるセキュリティ保護を提供し、IT管理者が現代のサイバー脅威を特定し、対抗することができるよう支援します。

エフセキュアのシニアリサーチャ、ヤルノ・ネメラは、次のように述べています。「今日のサイバー攻撃の多くは技術的にはかなりシンプルで、攻撃者に利用可能なリソースを与えなければ容易に防止することができます。攻撃に不可欠なのは、攻撃対象に接触する経路と、悪用可能な脆弱なソフトウェアの二つです。ですから、効果的なサイバーセキュリティを備えるということは、それら二つの戦略を攻撃者が実践できないようにするツールと戦術を利用する、ということなのです。」

リスクの管理と制御は可能

2014年の第4四半期に発生したデータ漏洩の件数は、前年同期比で25%増加しています*。また、欧州でここ10年間に発生した重大なデータ漏洩350件に関する調査では、その41%がハッカーによるものであった一方で、57%は「管理のずさんさ」が原因となっていたことが明らかになりました**。これらの数字は、深刻なセキュリティインシデントにつながらないようにするため、多種多様なセキュリティリスクを管理、制御する必要があることを示しています。

エフセキュアのコーポレートセキュリティ担当バイスプレジデントのペッカ・ウスヴァは、ビジネス スイートはIT管理者にとって、現代のITサプライチェーンの中で業務を行う際に生じるセキュリティ問題を制御するためのツールとなる、と話しています。「今日のビジネス界で、孤立して業務を行うことはあり得ません。企業は、自社のインフラストラクチャの一部をセキュリティ対策が手薄または皆無の他社と統合することで、データ漏洩などの脅威にさらされる可能性があります。そのための対策として、IT管理者はコネクション コントロールのような機能を通じて、自社ネットワークの中でも機密性の高い部分を潜在的な危険から隔離することができます。これは、複雑にネットワーク化された環境下では、極めて重要なことです。また、受賞歴のあるエンドポイント保護機能により、前例のない新脅威を検知することも可能です。」

ビジネス スイートは、社員数100名以上の規模の法人向けに設計された社内管理型セキュリティソリューションで、現在、世界中の3000以上のリセラーによって販売されています。また、エフセキュアのホームページから3カ月無料トライアルにお申し込み頂けます。

*出典:https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
**出典:http://capgemini.ft.com/web-review/sloppiness-to-blame-for-more-data-losses-than-hacking-study-claims_a-41-648.html

詳細情報: 
クライアント セキュリティ https://www.f-secure.com/ja_JP/web/business_jp/products/client-security
ポリシー マネージャ https://www.f-secure.com/ja_JP/web/business_jp/products/policy-manager

Oracle Java 7の脆弱性を狙った攻撃について

28日にJVNに登録されたJavaの脆弱性(0day)が話題です。
影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。
既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。

JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。

現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。
※実際はDadong's JSXX 0.44 VIPにより暗号化されています。Dadong's JSXXは過去にChinese Packと呼ばれるExploit Kitが利用していたことでも知られています。

js_java0day

今回確認された悪性サイトよりダウンロードされるマルウェアに関しては、殆どのウイルス対策ソフトウェアが対応しています。
(ちなみに、F-SecureではGen:Trojan.Heur.FU.bqW@a4uT4@bbで検出します。)
尚、筆者が確認(28日19時頃)したところ、まだ一部の悪性サイトはアクティブなようです。

【WindowsでのJava Plug-inの無効化】
IEの場合は、次のサイトの情報が参考になります。幾つか方法が紹介されていますので、参考になればと思います。

http://www.kb.cert.org/vuls/id/636312
http://kb.iu.edu/data/ahqx.html
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/
     
【MacOSXでのJava Plug-inの無効化】
OSXの場合はこちらが参考になります。
http://www.maclife.com/article/howtos/how_disable_java_your_mac_web_browser
https://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

safari_javaoff
                SafariのJava Plug-in無効化の例

SANS Internet Storm Centerの記事にもある通り、セキュリティ・パッチが公開されるまで時間がかかりそうです。
The next patch cycle from Oracle isn't scheduled for another two months (October.)
恐らくWeb Exploit Packなどにも組み込まれるのも時間の問題と予測されますため、早めの対策を推奨します。特にBlackhole Exploit Kit などは非常に不気味です。

また、IPSやアンチウイルスゲートウェイなどのセキュリティ機器による対策ですが、パッと思いついた対策を3つ挙げますと、ありきたりですが次の対策を実施しては如何でしょうか。
(1)Web Exploit Packの検知ルールを確認する(念の為)
(2)既知の攻撃コードの検知ルールを適用する
(3)既知の悪性サイトをブラックリストに登録する
とりあえず、現在報告されているドメインは次の3つがあります。
ok.aa24.net
59.120.154.62
62.152.104.149

(2)はMetasploitにより生成された攻撃コードと現在確認された悪性サイトで悪用された攻撃コードの両方を想定しておいた方が良いかもしれません。
今回確認された悪性サイトに関しては、特徴としてDadong's JSXX Scriptを利用していますので、既存のSnortのルールを参考にして作成してみるのも手だと思います。
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"ET CURRENT_EVENTS JavaScript Obfuscation Using Dadong JSXX Script"; flow:established,to_client; file_data; content:"Encrypt By Dadong"; distance:0; classtype:bad-unknown; sid:2014155; rev:2;)

今後、この脆弱性を悪用する攻撃サイトが増加することが予想されます。
現状ではウイルス対策ソフトウェアの定義ファイルを最新の状態にするなどの一般的な対策を見直すことも忘れずに実施しておきたいところです。
当面、関連情報がセキュリティ関連サイトに次々とアップデートされていくと思いますので、情報収集もお忘れなく。。。

私も効果の高い対策がありましたら、随時更新したいと思います。
ではでは。

【参考情報】
http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

福森大喜さん:エフセキュアブログメンバーご紹介

高間さん星澤さん岩井さんにつづいて、Webアプリケーションセキュリティの専門家でいらっしゃる福森大喜さんに、先月から当ブログのオフィシャルコメンテータとしてご参加いただいております。

※オフィシャルコメンテータは、エフセキュア社外からゲストブロガーとしてご参加いただいている皆様です

さっそく、福森さんのご紹介を申し上げたいと思います。

11月下旬、神田の福森さんのオフィスでお話をお聞きしました。

●福森大喜さん

福森 大喜(ふくもり だいき)
株式会社サイバーディフェンス研究所 上級分析官

大手セキュリティベンダーでIDS、IRT等に従事した後、Webアプリケーションのセキュリティ検査サービスを立ち上げる。その後、Webセキュリティベンチャーを設立。2009年よりサイバーディフェンス研究所に参加。


専門領域:
Webセキュリティ、ペネトレーションテスト、マルウェア解析

受賞:
2007年 第3回 IPA賞(情報セキュリティ部門)
2009年 グーグル Native Client セキュリティコンテスト 世界4位

寄稿記事:
ここが危ない!Web2.0セキュリティ」 (gihyo.jp)
セキュリティから読み解くWeb2.0」 (警察庁@police)
いざラスベガス、いざDEFCON CTF決勝へ」 (@IT)
など

講演実績:
2007年4月12日 セキュリティ・ソリューションフォーラム(「Web 2.0は危険がいっぱい」)
2007年4月26日 RSA CONFERENCE JAPAN(「Webセキュリティはなぜ破られるのか」)
2008年10月11日 AVTokyo 2008(「Flashを媒介したXSSワームの可能性」)
2007年11月15日 POC Korea 2007(「Attacking Web 2.0」)
2008年11月 Email Security Expo & Conference 2008(「SQLインジェクションの基本と応用」)
2009年4月22日 Shibuya Perl Mongers テクニカルトーク(「Native Client Hacks」)
など

Windows 2K Serverパッチ・アップデート

  Microsoftが、License Logging Serverヒープ・オーバフロー脆弱性(CVE-2009-2523)に対処するパッチをリリースした。この脆弱性は、Microsoftによれば「顧客がServer Client Access License(CAL)モデルでライセンスを与えられたMicrosoftサーバ製品ライセンスの管理を行うのを援助するよう設計された」機能である、ライセンス ロギング サービス(LLS)に影響を与える。

  LLSに関する詳細は以下にある:
Windows Serverオペレーティング・システムのライセンス ログ サービスについて

  この脆弱性は、Microsoft Windows 2000 Server Service Pack 4にのみ影響を与え、同サービスはこのOSではデフォルトでオンになっているため、危険度は「緊急」となっている。また匿名のネットワーク・コネクション経由でアクセス可能であり、この脆弱性を悪用することで、リモート・コード実行に繋がる可能性のある広範囲なヒープ・メモリ・コラプションを引き起こすことができる。Windows Server 2008以降、同サービスは除去されているため、この脆弱性はより新しいMS Serverシステムには影響しない。

  同パッチに関する詳細は以下にある:
Microsoft Security Bulletin MS09-064
ライセンス ロギング サービス脆弱性の詳細

  これらの古い2Kサーバには、パッチを当てる時期だ。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード