チーフ セキュリティ アドバイザー 高橋 正和
セキュリティ レスポンス チーム 松田 英也
2010 年は、2009 年と比較して 32 件増の 106 件の更新プログラムをリリースいたしました。これらの更新プログラムについて、日本マイクロソフトで独自に分析を行った結果、従来のワーム型の攻撃から、APT(Advanced Persistence Threat)に見られる Web へのアクセスやドキュメントを利用した受動的な攻撃をトリガーとし、さらに管理者権限の奪取を狙う傾向が表れており、このような攻撃手法への対策の必要性が高まっています。
更新プログラムのカテゴリーごとの推移 セキュリティ更新プログラムを、脆弱性のカテゴリー*(1)*ごとの推移でみると、2010 年は、Windows に対する更新プログラムが、2009 年と比較して 24 件増加しており、更新プログラムの件数を大きく押し上げる要因となっています。
(1) 日本マイクロソフトで独自にカテゴリーわけを行っている
Windows に関する更新プログラムの推移 次に、Windows に関する更新プログラムを細分化して調べると、画像・動画・フォントなどの表示に関係するものが、12 件増加していることが目立ちます。これに対して、通信関連の更新プログラムは微減している事から、脆弱性研究の主流が、通信やネットワークサービスから、ファイル化が可能なデータに対する Fazing*(2)*に移行しており、画像・動画・フォントなどが、主要なターゲットとして研究されていることが伺えます。
(2) Fazzing、自動化されたツールを使って、プログラムの処理異常を検査する手法。プログラムが異常終了した結果を調査することで脆弱性の発見につなげられている
カーネル モードについての分析 基本システムも、気になる増え方をしています。これを分析してみると、Kernel mode で動作するシステムやドライバーの更新プログラムが 2009 年と比較して 3 件増の 7 件と 75 %も増加しています。
Kernel mode で動作するシステムやドライバーの更新プログラム全般を調べてみると、2009 年比で 10 件増の 17 件と、2 倍以上の件数をリリースしています。
まとめ 今回の分析から、ワーム等の従来型の攻撃に利用できる脆弱性の発見件数に大きな変化は見られず、Web やメールなどでファイルを開かせることでローカルの権限を取得した上で特権レベルの権限を取得するという、標的型攻撃や APT(Advanced Persistence Attack) で利用される攻撃シナリオに沿った脆弱性の発見が増加しており、このような攻撃を前提とした対策を進める必要性が高まっていると考えられます。
Microsoft では、Windows Vista 以降、これらの攻撃に対する対応を進めており、特に Windows 7 で実装している多層防御は、効果的な防御手段を提供するもので、Active Directory を中心とした管理システムは、組織レベルで確実な防御を行うための効果的な機能を提供しているものと考えています。
リファレンス
IT マネージャーの道具箱
第 2 回 Windows 7 社内展開の勘所 ~セキュリティの視点から~
https://www.microsoft.com/japan/msbc/info.aspx?fname=security/managertool&page=7
エンタープライズ向け Windows 7
Windows 7 Enterprise: データ シートと参考資料
http://www.microsoft.com/japan/windows/enterprise/products/windows-7/datasheet-jp.aspx
注:本資料は、日本マイクロソフト株式会社の依頼により、株式会社フォティーンフォティ技術研究所が出した調査報告書です。