先日、こちらのブログでもお伝えしたように、最新のセキュリティ脅威動向をまとめたマイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) を公開しています。
※ SIRv12 は 2011 年下半期 (7 月 ~ 12 月) を中心に、確認されたソフトウェアの脆弱性やエクスプロイト、ウイルスなど悪意のあるコードの最新の動向を分析し、調査結果の概要をまとめたものです。日本語版については 20 ページ程度でまとめられています。
今日は特集の 1 つ、Conficker について解説したいと思います。
Conficker とは?
Conficker は、2008 年 11 月に初めて検出された Windows を標的とするコンピューター ワームです。Conficker は、感染すると他のマルウェアをダウンロードする、ボットネットを構築する、Spam の送信、アカウント情報の収集などのアンダーグラウンドの活動を行います。また、様々なセキュリティ機能を無効にするため、さらなる被害に遭う可能性が増します。Conficker はこの 2.5 年間、企業における最大のマルウェア脅威となっています。Conficker がターゲットとする脆弱性 (MS08-067 Server サービス) への対処は進んでいる一方、弱いパスワードを用いた攻撃が成功要因となっているのが実情です。2011 年第 4 四半期では、170 万のシステムで検出され、2009 年と比較して四半期の検出は 225% 以上の増加率となっています。(図 1)
図 1: MS セキュリティ製品により Win32/Conficker が検出されたシステム数
Conficker の攻撃方法
企業における感染原因は、分析の結果では以下のとおりになります。(詳細の内訳は図 2 参照)
1) 弱いまたは盗まれたパスワードを悪用され、侵害された - 92% Conficker ワームでは、共通または弱いパスワードの組み込みリストを使用して感染し、そのシステムにログインするすべてのユーザーの資格情報を盗んで他のコンピューターに侵入しようとします。 **
2) 更新プログラムの未適用による脆弱性への攻撃 - 8% 8% は、セキュリティ更新プログラムの未適用による脆弱性への攻撃であると、分析により明らかになりました。該当の脆弱性 CVE-2008-4250 は、MS08-067 を適用することで解決できます。
| Credential-based attack | Exploit | Autorun | |
|---|---|---|---|
| Windows 2003 | 91% | 9% | 0% |
| Windows 7 | 100% | 0% | 0% |
| Windows Vista | 100% | 0% | 0% |
| Windows XP | 88% | 12% | 0% |
図 2: 企業内において Forefront によりブロックされた Conficker 感染の内訳
狙われやすい弱いパスワードとは?
Conficker に狙われやすい弱いパスワードの一例です。表に示すように、大文字と小文字、数字、および記号が混在していないパスワードが多く該当します。
| 11111 | 222 | 5 | 99999999 | business | Internet | password123 | sql |
| 1111 | 22 | 654321 | 9999999 | campus | intranet | password12 | student |
| 111 | 2 | 66666666 | 999999 | changeme | job | password1 | super |
| 11 | 321 | 6666666 | 99999 | cluster | killer | Password | superuser |
| 123123 | 33333333 | 666666 | 9999 | codename | letitbe | private | supervisor |
| 12321 | 3333333 | 66666 | 999 | codeword | letmein | public | system |
| 123321 | 333333 | 6666 | 99 | coffee | Login | pw123 | temp123 |
| 1234567890 | 33333 | 666 | 9 | computer | lotus | q1w2e3 | temp |
| 123456789 | 3333 | 66 | a1b2c3 | controller | love123 | qazwsx | temporary |
Conficker はどのように広がるのか?
組織内での Conficker の動きは、まず、弱いパスワードの PC に侵入し、組織内のネットワークに侵入していきます。続けて、ネットワーク上の他人のパスワードを盗み、増殖を続けていきます。
一例として、以下のような手順で感染していくことが確認されています。
① 弱いパスワードなどを用いたユーザーの PC が Conficker に感染する。
② ユーザーが異常事態に気づき、管理者にヘルプを要請。
③ 管理者は、ネットワーク管理者のパスワードを使用して、感染 PC にログインしトラブルシュートを実施。
④ Conficker が管理者パスワードを盗み、ネットワーク上のすべての PC にログインして感染する。
セキュリティの基本的な対策
Conficker 含め、広範囲の攻撃および標的型攻撃いずれについても、以下の基本的なセキュリティ対策を実施することが重要な第一歩になります。
― 強固なパスワードの使用
まずは、強固なパスワードの使用することを強くお勧めします。以下のパスワードチェッカーサイトを使用して、強固なパスワードを確認することができますので、ぜひご利用ください。
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
Active Directory をご使用の場合は、グループポリシーで複雑なパスワードを徹底することとをお勧めします 。
参考:http://technet.microsoft.com/ja-jp/library/cc781633(v=WS.10).aspx
― インストールしているソフトウェアについて、定期的に更新を適用してください。
― 信頼できる発行元から入手したウイルス対策ソフトウェアを使用 してください。
― より高いソフトウェア保護機能を提供する最新の製品への投資を検討ください。
最新の製品はより高いセキュリティ機能を実装していますので、投資をご検討ください。
― ビジネスリソースとしてのクラウドを検討する。
Windows Azure をはじめ、クラウド環境は常に最新のソフトウェア環境が提供されており、セキュリティ面でも最新の安全性が提供されていますので、検討してみるのもいいでしょう。
皆さんもお客様、ご家族、ご友人などにしっかりと対策の呼びかけのご協力をお願いいたします。