脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと

脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと - Microsoft の学びの共有垣内由梨香セキュリティプログラムマネージャー
セキュリティレスポンスチームマイクロソフトコーポレーション公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]

2 ミッション：お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース）
• 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携 © Copyright Microsoft Corporation. All rights reserved.

信頼できるコンピューティング設立セキュリティ開発ライフサイクル (SDL) 提唱マルウェア保護センターを設立 Microsoft Security Response Center
設立デジタル犯罪対策センター設立 Operations Security Assurance 開始セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起動回数を減少 • 詳細なガイダンスの提供月例セキュリティリリースの事前通知開始・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、最初のCVEを採番セキュリティ更新ガイド開設・セキュリティ情報(MSxx-xxx) 番号を廃止・CVE、更新プログラムを公開データベース化 2010 Microsoft Active Protection Program (MAPP) 開始 © Copyright Microsoft Corporation. All rights reserved. 3

悪用される脆弱性の数を減らす悪用期間を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©
Copyright Microsoft Corporation. All rights reserved. 5

悪用される脆弱性の数を減らす悪用期間を最小にする悪用による影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 6

• セキュリティ開発ライフサイクル (SDL) • 既存の脆弱性の分析と研究 © Copyright Microsoft Corporation.
All rights reserved. 7

0 50 100 150 200 250 1 2 3 0
1 2 3 4 5 6 7 8 9 1 2 3 © Copyright Microsoft Corporation. All rights reserved. 8

• 脆弱性報奨金プログラム • 共同リサーチプログラム 17 報奨金対象製品・サービス 15 億円年間報奨金支払総額
341 名年間報奨金受賞者 2200万円 1件あたりの最高金額 Microsoft 報奨金プログラム | MSRC © Copyright Microsoft Corporation. All rights reserved. 9

課題 • 増大する修正対象の脆弱性に対するリソース、優先付け • 高度な研究に対するリソース確保 • 複数のコンポーネントにまたがる連携 ©

悪用される脆弱性の数を減らす悪用期間を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©

脆弱性発見悪用開始セキュリティ更新プログラム適用脆弱性が悪用されるリスクが高い状態 © Copyright Microsoft
Corporation. All rights reserved. 13

脆弱性発見悪用開始セキュリティ更新プログラム適用緩和策の適用緩和策を適用することで、悪用による影響を下げる・想定される攻撃ベクターのブロック
・攻撃成功率の低下・エクスプロイト範囲の縮小 © Copyright Microsoft Corporation. All rights reserved. 14

緩和策名称 Windows 7 Windows 10 Kernel Pool Hardening 〇〇
Kernel ASLR (Images) 〇〇 Fonts (User mode Appcontainer) × 〇 NTVDM disabled × 〇 Kernel ASLR (full) × 〇 Kernel DEP × 〇 Kernel Pool Hardening (Extended) × 〇 SMEP × 〇 Global Safe unlinking × 〇 Improved ASLR entropy × 〇 © Copyright Microsoft Corporation. All rights reserved. 15

攻撃面の縮小 (Attack Surface Reduction) • 悪用された脆弱な署名済みドライバーの悪用をブロックする • Adobe Reader の子プロセスの作成をブロックする
• すべてのアプリケーションOffice子プロセスの作成をブロックする • ローカルセキュリティ機関サブシステムからの資格情報のWindowsをブロックする (lsass.exe) • メールクライアントと Web メールから実行可能なコンテンツをブロックする • 有病率、年齢、または信頼できるリスト条件を満たしない限り、実行可能ファイルの実行をブロックする • 難読化される可能性のあるスクリプトの実行をブロックする • JavaScript または VBScript のダウンロード済み実行可能コンテンツの起動をブロックする • 実行可能Office作成するアプリケーションのブロック • アプリケーションOffice他のプロセスへのコードの挿入をブロックする • 通信Officeプロセスの作成をブロックする • WMI イベントサブスクリプションによる永続化のブロック • PSExec および WMI コマンドから発生するプロセス作成をブロックする • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする • Win32 API 呼び出しをブロックOfficeマクロ • ランサムウェアに対する高度な保護の使用 Office サンドボックス保護 Microsoft Defender アプリケーションガード © Copyright Microsoft Corporation. All rights reserved. 16

悪用される脆弱性の数を減らす悪用期間を最小にする悪用による影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 18

脆弱性発見悪用開始セキュリティ更新プログラム適用緩和策の適用脆弱性の悪用によるリスクの期間を短くする ©

Microsoft Active Protection Program (MAPP) マイクロソフトと、各国政府・セキュリティ業界との連携による脆弱性悪用状況の把握と顧客保護パートナー: ・各国政府機関・ナショナル
CERT ・セキュリティ製品ベンダー連携内容: ・マイクロソフトの脆弱性情報の一般公開前提供・マイクロソフト製品の脆弱性悪用情報、テレメトリ・マルウェアサンプル Microsoft Active Protections Program © Copyright Microsoft Corporation. All rights reserved. 22

• 脆弱性や攻撃手法の詳細開示による、セキュリティリスク、法的リスク • ドキュメントに必要な時間 vs. 迅速性 • 公開する情報量とサポートコストへ
の影響 • 間違った情報の伝播、それによるサポートコストの増加 • 最新ではない情報の伝播 • 自動更新が有効ではない環境へのアプローチ © Copyright Microsoft Corporation. All rights reserved. 31

脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと

脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと

Eureka

More Decks by Eureka

Other Decks in Technology

Featured

Transcript