• [アーティクル]

ネットワーク

Microsoft Security Intelligence Report

Tim Rains

 

概要:

  • ソフトウェアの脆弱性の発見、悪用、およびマルウェアに関する傾向
  • Windows の各バージョンが受けた脅威の影響
  • 世界で最も感染の割合が高い地域と低い地域

マイクロソフトは、インターネットに接続している数千万台のシステムや、世界で最も利用されているいくつかのオンライン サービスから収集されたデータを利用して、現在インターネット ユーザーが直面しているセキュリティの脅威に関して独自の視点を得ることができます。

マイクロソフトでは、このデータを年に 2 回、Security Intelligence Report (SIR) として公開しています。このレポートは、Microsoft® Malware Protection Center (MMPC)、Microsoft Security Response Center (MSRC)、Trustworthy Computing (TwC) グループをはじめ、さまざまな製品グループの協力を得て作成されています。SIR では、ソフトウェアの脆弱性の発見や、悪意のあるソフトウェアと望ましくないソフトウェア (スパイウェアやアドウェアなど) に関する最近の傾向が詳しく説明されています。また、Windows オペレーティング システムの各バージョンが現在発生している脅威にどのように対処しているかや、世界で最もマルウェアやその他の侵入型ソフトウェアの感染率が高い地域についても取り上げています。2007 年前半の傾向に焦点を当てているこのレポートの最新版では、ソフトウェアの脆弱性の悪用に関する新しいセクションが追加されています。コンピュータのセキュリティを担当している方や、セキュリティに興味がある方は、インターネット関連の脅威について知ることができる SIR を一読されるとよいでしょう。

最新の SIR では、あらゆるベンダのソフトウェアで脆弱性が次々と見つかっていることが明らかにされています。実際、2007 年前半だけで、3,400 件以上のソフトウェアの脆弱性が新たに発見されています。しかし、このような状況でありながら、全体的に見て、オペレーティング システムの脆弱性が発見される割合は低下しています。

これはどういうことでしょうか。1 つ考えられることは、オペレーティング システムのセキュリティは継続的に改善されているため、セキュリティの調査対象としてアプリケーションに比重が置かれるようになった可能性があります。また、新しいアプリケーションの数は、新しいオペレーティング システムの数よりも多いため、アプリケーションの相次ぐリリースが、この最近の脆弱性発見の傾向を後押ししていると考えられます。

2006 年は、マイクロソフト製品に存在する既知の脆弱性の 29.3% について、エクスプロイト コードが公開されましたが、2007 年 8 月 1 日現在では、エクスプロイト コードが公開されている既知の脆弱性は 20.9% しかありません。脆弱性の数は増え続けていても、エクスプロイト コードの公開率は、変わらないかわずかに減少しています。新製品のエクスプロイト コードを見つけることは困難です。マイクロソフトが実施した製品ごとの比較調査では、新しいバージョンの方が、市場により長く存在しているバージョンよりもリスクが低いことがわかっています。平均して、製品の存続期間が長くなるにつれて悪用される可能性は低くなっていきます。つまり、大半の製品では、バージョンが更新され新しくなるほど悪用されにくいと言えます。このことは、Windows と Microsoft Office System 製品において最も顕著です。両製品の新しいバージョン (Windows Server® 2003、Windows Vista®、Office 2003、および 2007 Office system) は、製品の存続期間が長くなるほど脆弱性の数が明らかに減少することを示しています。

SIR は、悪意のあるソフトウェア (マルウェア) の傾向についても価値ある洞察を提供しています。これらの傾向は、現在ユーザーの攻撃に使用されている方法を示しています。マイクロソフトは、Microsoft Exchange Hosted Services (EHS)、Windows Live® OneCare と Windows Live OneCare セーフティ、Windows 悪意のあるソフトウェアの削除ツール (MSRT)、Windows Defender など、いくつかの重要なサービスやツールから収集されたデータを分析することで、脅威に関する状況をいくつかの独自の視点から把握することができます。

マルウェアの配信においてソーシャル エンジニアリングが果たす役割が拡大しています。多くの場合、このような攻撃は、セキュリティ メカニズムの効果を損ねるような行動を取るようにユーザーを仕向ける際に効果を発揮します。EHS から収集したデータによると、2006 年前半は、従来の電子メール ワームが電子メールによる最大の脅威であり、電子メール内で検出されたマルウェアの 95% を占めていました。2006 年後半に入ると、この数字は 49% にまで落ち込み、2007 年前半までこの割合は変わっていません (図 1 参照)。フィッシング詐欺と悪意のある IFrame を組み込んだ電子メールによる攻撃が、電子メール内のマルウェア検出全体に占める割合は、2006 年後半には 27% でしたが、2007 年前半には 37% に上昇しています。電子メールを媒体とするダウンローダ型のトロイの木馬が占める割合は、2006 年後半のピーク時は 20% でしたが、2007 年前半では 7% に減少しています。

図 1 2007 年前半に感染が確認された電子メールの内訳

図 1** 2007 年前半に感染が確認された電子メールの内訳 **(画像を拡大するには、ここをクリックします)

Windows Live OneCare と Windows Live OneCare セーフティ (safety.live.com) によって収集された遠隔測定データによると、ウイルス、バックドア、パスワード窃盗プログラム、およびデータ漏えいにつながるトロイの木馬の感染率が 2007 年前半に増加しています。

MSRT は、既に蔓延したマルウェアをユーザーのコンピュータから検出し、削除するためのツールです。このツールは当初、Windows Update (WU)、Microsoft Update (MU)、および自動更新 (AU) で提供される重要な更新プログラムとしてリリースされました。過去 2 年間で、MSRT は全世界で 2050 万台のコンピュータから 5030 万件の感染を除去しました。現在までのところ、MSRT が実行された回数は、合計で 740 億回を超えています。そのうち、2007 年前半に実行された回数は 190 億回です。

MSRT は、マイクロソフトとそのユーザーにとって、素晴らしい情報源です。MSRT によって検出された感染の割合は、Windows Vista と Windows XP SP2 システムの方が、それより前の Windows オペレーティング システムと比べて格段に低くなっています (図 2 参照)。MSRT がマルウェアを削除した Windows Vista コンピュータの数は、Windows XP SP2 コンピュータと比べると 60%、Service Pack が適用されていない Windows XP コンピュータと比べると 91.5% も少なくなっています。興味深いことに、コンピュータ 1 台あたりの除去された感染数は、時間が経過しても変化は見られず、平均して 1 台あたり 2.2 件の感染が除去されています。

図 2 2007 年前半に MSRT によって感染が除去された OS バージョンの割合

図 2** 2007 年前半に MSRT によって感染が除去された OS バージョンの割合 **(画像を拡大するには、ここをクリックします)

一般に、MSRT によって検出されたマルウェア数は、発展途上国の方が先進国を上回っています。たとえば、ヨーロッパで最も感染が多い国はアルバニアとトルコで、最も感染が少ない国はイタリアとフィンランドです。アジア太平洋地域では、最も感染が多い国はモンゴルとタイで、最も感染が少ない国はニュージーランドと日本です。米国は、南北アメリカのほとんどの国と地域に比べて感染が少なく、米国の感染率は世界平均とほぼ同じです。2007 年前半には、平均して 216 台のコンピュータにつき 1 台の割合で MSRT によって感染が除去されました。

Windows Defender は、Windows Vista、Windows XP、および Windows Server 2003 に対応しています。2007 年前半には、望ましくないソフトウェアが合計 5070 万点検出されました。このうち、Windows Vista コンピュータ上で検出された数は、Windows XP SP2 コンピュータで検出された数を 2.8 倍も下回っています。同様に、Windows Vista コンピュータ上で検出された望ましくないソフトウェアの数は、Windows Server 2003 コンピュータ上で検出された数の半分でした。

ここまで読んだ皆さんは、上記で紹介した統計情報に興味を持つと同時に、これらを自分自身や自分の環境を保護するためにどのように役立てることができるかについて、考えていらっしゃるでしょう。最新の SIR は、各セクションの最初にそのセクションの概要が記載されており、続いて戦略、対策、および対処方法が記載されているという構成になっています。これらの一覧を使用することで、レポートの各セクションに記載されている重要な調査結果をすばやく確認できます。

また、SIR のデータ、洞察、およびガイダンスを使用して、変わり続ける脅威の状況と照らし合わせて現在のセキュリティ体制を評価し、改善することもできます。重要な調査結果を基にした戦略、対策、および対処方法が記載されている完全なレポートは、microsoft.com/sir からダウンロードできます。

Tim Rains は、Microsoft Malware Protection Center (MMPC) のプロダクト マネージャです。彼は、Microsoft Security Intelligence Report (SIR) の製作を管理しています。SIR を執筆しているのは、Jeff Jones (ディレクタ、Microsoft Trustworthy Computing Group)、Jeff Williams (ディレクタ、MMPC)、Mike Reavey (グループ マネージャ、Microsoft Security Response Center)、および Ziv Mador (シニア プログラム マネージャ兼レスポンス コーディネータ、MMPC) です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.