Kaspersky、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見

既知のWindowsの脆弱性（CVE-2018-8453）を悪用する、暗号化型ランサムウェア「Sodin」は、感染したシステムの特権昇格の脆弱性の悪用や、CPUのアーキテクチャを巧みに利用し検知を回避します。このような機能を持つランサムウェアはまれです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭の引用である程度気づかれた方もいるかもしれませんが、今日は少々注意喚起の意味を込めての話題です。

検知を回避するランサムウェア『Sodin』

先日『カスペルスキー』が発表したランサムウェア『Sodin』は少々厄介なランサムウェアのようです。

昨年発見された『Windowsのゼロデイ脆弱性（CVE-2018-8453）』を悪用し、権限を昇格させる高度なアプローチをとっているとされています。

例えば、通常のランサムウェアの場合、『メールの添付ファイル』を開いたり『悪意のあるリンクをクリック』するなどユーザー側の操作が必要ですが、『Sodin』を使った攻撃ではユーザー側の操作は不要になります。

つまり、攻撃を受けてしまった場合は勝手に操作されてしまうということになります。

また、この『Sodin』の検知を難しくしている理由として、『32ビットプロセスから64ビットコードを実行』でき、『セキュリティの検知を迂回して回避』しているようです。

ただし、このような『ランサムウェア』は『まれ』なものでもあるとされています。

このような『ランサムウェア』の被害に遭わないためにも『Windows』や『セキュリティソフト』は最新の状態を保つ必要があります。

『Windowsのゼロデイ脆弱性（CVE-2018-8453）』は2018年10月に『パッチ（セキュリティ更新プログラム）』がリリースされていますし、『セキュリティソフト』に関しては『カスペルスキー』がこの発表を行った以上、他社も直ぐに対応の『定義ファイル』を配信しているはずですから、最新の状態を保つことが被害を防ぐことにつながります。

＜追伸＞

7月4日時点の『Sodin』の感染率は台湾が約17％、日本・ドイツ・韓国が8％程度となっているようです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

さて、この『Password Checkup』とは？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本国内においてもウェブブラウザのシェアが半数を超える『Google Chrome』ですが、今回、スタンフォード大学の協力を得て『Password Checkup』というものを開発しました。

では、『Password Checkup』とは？

Password Checkupで漏えいチェック

さて、『Google Chrome』の拡張機能として登場した『Password Checkup』とは、名前の通りパスワードをチェックしてくれるものです。

Chromeブラウザでアクセスしているサイトへのログイン情報が第三者に漏えいしていないかをチェックしてくれ、入力したIDとパスワードが流出データと一致していれば警告を発するようになっています。

元々、Googleアカウントに限ってはパスワードの漏えいや悪用を検知するとパスワードが自動的にリセットされる仕組みになっており、その仕組みの効果もあってリスクは通常の1/10程度にまで抑えられているとされています。

今回リリースされた『Password Checkup』はこのGoogleアカウントの保護機能の仕組みを応用し、他のサイトにおけるログイン情報の漏えいなどを検知できるようにしたものです。

ログイン情報が流出したアカウントは40億以上もあるとされており、そういったアカウントの流出は自身ではなかなか気づかないものです。

そのため、今回リリースされた『Password Checkup』などを使うことで警告が発せられた時点で即座にパスワード変更などの対応を取ることができることから、不正利用などによるデータ侵害を未然に防ぐことが期待できそうです。

参考：『Google Security Blog “Protect your accounts from data breaches with Password Checkup”』

米国の政府機関での長年の実績があり、アメリカ陸軍のNETCOM （The U.S. Army Network Enterprise Technology Command）よりCertificate of Networthiness (CoN)の認証を取得しています。

※CoN認証は「AppGuard」が米国陸軍並びにアメリカ国防省 (Department of Defense) の高水準なセキュリティ・スタンダードを満たしたことを示します。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『米国政府機関で採用され18年間破られたことがない』、『外部からのマルウェア脅威から完璧に守る』というキャッチコピーのエンドポイントセキュリティ、『AppGuard』に関して今日はご紹介します。

米国政府機関を守るセキュリティ

通常、エンドポイントセキュリティと言われると、『ESET』、『カスペルスキー』、『ノートン』、『ウイルスバスター』、『マカフィー』あたりが日本には馴染みが深いかと思いますが、通常とは異なる視点でコンピュータを守ってくれるセキュリティソフト、『AppGuard』というものがあります。

通常と異なるというのは、通常のエンドポイントセキュリティの場合、マルウェアを『検知』して『駆除』となりますが、『AppGuard』の場合は『アプリの不正動作をブロック』という新しい発想で作られています。

この製品、冒頭で書いた通り米国陸軍のCoN認証を取得しているもので、米国政府機関においても長年の利用実績があります。

ある企業がこの製品を検証したそうです。

結果、

AppGuardがインストールされたPCにさまざまなマルウェアやランサムウェアを感染させる検証を行ったが、1ヶ月間、1度も被害は確認されなかった。

さぞかし高価なセキュリティソフトかのように思われますが、この『AppGuard』、『Enterprise』と『Solo』というものがあり、中小企業向けは後者の『Solo』で、メーカー希望小売価格：1台1年9,800円（税抜）となっています。

従来のよく知られているエンドポイントセキュリティよりは高価ですが、問題が起きてしまった時のことを考えるとこの価格は安価に思えるのかもしれません。

ご興味のある事業者の方、一度検討してみるのも良いと思います。

＜参考リンク＞：『AppGuard by Blue Planet-works 』

＜参考動画＞

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今朝、トレンドマイクロ社のあるコラムを読んでいたところ、『ビジネスメール詐欺』に関連したものが紹介されていましたので、今日はそれをお伝えします。

類似ドメインを使ったなりすまし詐欺

事業者の場合、メールを送信する際に『なりすまし』対策の一つとして『SPF（送信元メールサーバのIPアドレス確認）』、『DKIM（電子署名確認）』、『DMARC（SPFとDKIMの認証を利用した認証と処理宣言）』といったドメイン認証を用いていることが多いですが、それを逆手に取ったような事象が起きています。

それは、『類似ドメイン』を使った『なりすまし』詐欺です。

例えば、example.comというドメインがあったとします。

この『example.com』になりすましたい場合、偽物のドメインとして『exarnple.com』というドメインを使い、事業者へ『請求書』などのメールを送りつけます。

この例によるポイントは、exampleの『m（エム）』を『rn（アール・エヌ）』に変えて模倣されている、『模倣ドメイン』であることです。

確かに、パッと見た限りでは『rn（アール・エヌ）』が『m（エム）』に見えてしまいます。

そして、この模倣ドメインと『SPF』、『DKIM』、『DMARC』といったドメイン認証を組み合わせることで余計に本物であるかのように見えてしまいます。

理由は簡単です。

模倣ドメインは攻撃者側が所有しているドメインですから、『SPF』、『DKIM』、『DMARC』、いずれも正常に認証をPassさせることができるからです。

『m（エム）』と『rn（アール・エヌ）』以外にも、『0（ゼロ）』と『O（オー）』、『o（オー）』と『a（エイ）』、『S（エス）』と『5（ゴ）』などがだましの模倣ドメインに使われていたりします。

このような『なりすまし』に対しては、徹底した社内教育に加え、それらを検知するセキュリティの導入などにてリスクを軽減する必要があるとされています。

参考：『ビジネスメール詐欺：DMARCなどドメイン認証のすり抜けを狙った手口』

では、これらのウイルスメールにはどのように対処したら良いのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭でも書きました通り、ウイルスメールの拡散は非常に多い状況にあります。

それらの被害を軽減するには、UTM（統合脅威管理）を導入するなどしてそれらを排除してしまうことが手っ取り早い方法ではありますが、これには導入時のイニシャルコストや保守費用としてのランニングコストが掛かります。

費用面などのこともあり、なかなか導入に踏み切れないところもあるでしょう。

また、UTM（統合脅威管理）を導入したからと言って、必ずしも万全な体制が整備されるかと言うと、そうではありません。

（※　お勧めではありますので、費用面などにおいて余裕があるのであれば導入をお勧めします。）

では、何か他に良い方法はないものでしょうか？

ウイルスメールの受信率を下げる

まず大前提として、社内のインターネットセキュリティ、端末におけるエンドポイントセキュリティは絶対条件です。

小規模であれば、インターネットセキュリティとアンチウイルスソフトなどが1つにまとめられているパーソナル向けのセキュリティでも構いませんので、各端末への導入は必須です。

さて、それを前提とした上でウイルスメールの受信率を下げるとはどういうことでしょうか？

ウイルスメールになり得るのは、zipファイルやExcel・Word、.exeや.comなどの添付ファイルが付いたメールか、メールの本文にウイルス感染への導線となるURLが書かれているかの2つになります。

そこから考えると、そもそもそれらを受信しなければ、メール経由でのウイルス感染は確率的に減少することになります。

例えば、最近最も多いウイルスメールとしてはzipファイルが添付されたものが多いですが、これをメールサーバーに届いた段階で専用アカウントに転送してしまうか、無条件で削除してしまうなどの対策をすればウイルスメールの端末（クライアントパソコン）での受信率は下がります。

クライアントパソコンでそれらを受信することがなければ、誤って添付ファイルを開いてしまうこともなくなるわけです。

ウイルス対策ソフトも絶対的に保護されることを約束されているものではありません。

タイミングなどによっては検知・駆除されない場合もありますので、端末（クライアントパソコン）で受信する前段階における対策も1つの方法と言えるでしょう。

メールサーバにおける設定方法などは明日のブログにおいてご紹介しますので、是非、明日の投稿もお読みください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、『ランサムウェア対策で被害防止』という記事にて、通常のセキュリティに加え、Kaspersky（カスペルスキー）のAnti-Ransomware Tool for Businessを使ってランサムウェア対策を行っておくと良いという記事を書きました。

では、複数社のセキュリティ対策ソフトを導入するのはどうなのでしょうか？

セキュリティ対策ソフトの複数導入

複数社のセキュリティ対策ソフトを導入することは、大手企業においては結構行われていたりします。

理由は、セキュリティ対策ソフトは各メーカーによってアルゴリズムが違ったりすることと、日々更新される定義ファイルなどの提供にライムラグがあることなどからです。

従って、複数社のセキュリティ対策ソフトを導入しておくことにより、より安全性を高めることができるとも言えます。

ただし、その複数導入には注意しなければいけないこともあります。

複数導入における注意事項

注意しなければいけないのは、1台のパソコンに対して複数のセキュリティ対策ソフトを導入した場合、パソコンの動作が不安定になったりする場合があります。

※　既存のセキュリティ対策ソフトをアンインストールしないとインストールできないものもあります。

従って、1台のパソコンに対しては1つのセキュリティ対策ソフトだけをインストールしておくべきなのですが、もし余裕があるのであれば、複数のメーカーのものを複数台で分散して導入しておくことです。

それにより、どこかのパソコンで何らかの検知をした場合、他のパソコン使用者に対して注意喚起を行うことや、ネットワークを早期に遮断し、被害を拡大させないことなどにも役立ちます。

もし1台のパソコンに対して複数社のセキュリティ対策ソフトを使用したい場合は、1つだけメインとなるセキュリティ対策ソフトを常駐させ、それ以外は非常駐型のスキャンソフトなどを導入すると良いかもしれません。

（私はこの方法にしています。）

Kaspersky（カスペルスキー）のAnti-Ransomware Tool for Businessに関しては、メーカーが他社のセキュリティ対策ソフトとの同居を認めていることからして、パソコンの動作などに影響を与えることはないかと思われます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

近年では、取引先とのやりとりをメールで行うことは当り前の時代になっていますが、今まで送れていたメールが突然エラーとなって返ってくることになったら困りますよね。

今日はそんな事例をお話しします。

セキュリティ製品の導入

メールを受信する側が何らかのセキュリティ製品を新たに導入した場合、送信したメールがブロックされてしまうことがあります。

セキュリティ製品を専門で取り扱っているベンダーはスパムメールに対するデータベースを保持しており、日々それを更新してユーザーが利用するセキュリティ製品に配信したりしています。

その影響により、今まで普通に送信できていたメールが突然相手側でブロックされてしまうといったことも起きてしまうケースがあります。

つまり、セキュリティベンダーのデータベース上にスパムリストとして登録されてしまっていることがあるのです。

もちろん、それに検知されない＝それを利用していない相手への送信はブロックされません。

（それ以外にもスパムリスト入りしているものがあれば別です。）

リレーサーバなどのスパムリスト入り

中小・零細、小規模事業者などの場合においては、自社にメールサーバを立てたり専用サーバを借りるケースは少なく、大半は共用型のレンタルサーバを契約し、その中でメール設定をして利用するケースが多いです。

この場合、DNSなどの設定上は独自ドメインであったとしても、実際にはレンタルサーバ会社側にて異なる設定をしているケースがあります。

例えば、レンタルサーバのIPアドレスが何らかの原因で一部のスパムリストに登録されてしまったとします。

その場合、そのIPアドレスの情報を持つメールからの受信を拒否してしまう相手もいます。

（相手側の契約しているレンタルサーバなどがそのスパムリストを参照している。）

これを回避するため、原因の特定と問題の解消がなされるまでの間、一時的にリレーサーバ経由にてメールの送信を行うようにしたりすることがあるのですが、その場合、相手側に届くメールのIPアドレスの情報はリレーサーバのものとなり、そのIPアドレスやリレーサーバのサブドメインなどがスパムリスト入りしていることによってブロックされてしまうこともあるのです。

（前述のものを含め、これらは解除申請をしないと正常には戻りません。）

このようなケースの場合、一部の相手だけに対してメールが送信できずにエラーで返ってきてしまうわけですから、どこかのスパムリストに入ってしまっている可能性が高いです。

その場合であっても、自身で勝手に解除申請をしてはいけません。

これらは問題解決がなされていることを前提に解除申請を行いますので、まずは契約のレンタルサーバ会社などに相談し、適切な対処を行ってもらうことが一番です。