$30 off During Our Annual Pro Sale. View Details »

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

2015年7月31日 #ssmjp での資料です。

Takuji Kitagawa

August 02, 2015
Tweet

More Decks by Takuji Kitagawa

Other Decks in Technology

Transcript

  1. Windows標準の機能を使用した
    標的型攻撃の対策
    @kitagawa_takuji
    2015年7月31日 #ssmjp

    View Slide

  2. 1. 防御
    2. 検知
    3. 対応
    の組み合わせ
    サイバー攻撃の対策
    今日の話は主に防御について

    View Slide

  3. 1. 防御
    2. 検知
    3. 対応
    昨今のサイバー攻撃の対策
    でもお高いんでしょう?
    SOC監視、SIEM(ログ相関分析)
    CSIRT、インシデント対応
    メール訓練、サンドボックス

    View Slide

  4. 「マルウェア感染は避けられない」
    「感染・侵入を前提とした対策が必要」
    と言われるようになりました。
    年金機構の事件以降
    それは正しいのですが、
    でも、出来るだけ感染を防げるのなら
    それに越したことはないですよね?

    View Slide

  5. 実際、感染事故が起きると
    その対応はかなり大変です
    内部ネットに感染が広がっている恐れがあるので
    感染PC1台を隔離、調査するだけでは不十分
    最近では、直ぐにすべてのインターネット接続を
    遮断すべき。という風潮

    View Slide

  6. Windows標準の機能を用いて
    標的型メール攻撃に対するリスクを
    出来るだけ軽減する方法について
    考えます
    このセッションでは

    View Slide

  7. この記事のアップデート版

    View Slide

  8. 100%完全に防げる対策はありません
    今日紹介する対策も
    あくまで多層防御の一つの層
    としてお考え下さい
    多層防御という考え

    View Slide

  9. 1. ZoneIDの役割
    2. メーラーやアーカイバ(解凍ソフト)に
    よるZoneIDの扱いの違い
    3. セキュリティの警告
    Windows SmartScreen
    ソフトウェア制限ポリシー/AppLocker
    保護されたビューなど
    Windows標準のセキュリティ機能
    今日のポイント

    View Slide

  10. 標的型攻撃メールの形式

    View Slide

  11. 11
    警察庁 平成26年中のサイバー空間をめぐる脅威の情勢について
    http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf
    標的型攻撃メールの96%が圧縮ファイル(2014年)

    View Slide

  12. 12
    警察庁 平成26年中のサイバー空間をめぐる脅威の情勢について
    http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf
    圧縮ファイルの展開後は、92%が実行ファイル

    View Slide

  13. 2015年の状況

    View Slide

  14. Office文書ファイルが若干増えている

    View Slide

  15. マクロを使用した攻撃の流行の影響と思われる

    View Slide

  16. 最近の標的型攻撃メールの主流は
    文書ファイルに偽装した
    実行ファイルが
    圧縮されて添付される

    View Slide

  17. 最近の標的型攻撃メールの主流は
    脆弱性を利用しない

    View Slide

  18. 拡張子偽装のテクニック

    View Slide

  19. 拡張子の偽装テクニック
    1. アイコン、説明の変更
    2. 2重拡張子
    3. 大量の空白スペースにより拡張子を見え
    なくする
    4. Right-to-Left Override(RLO)による偽装
    19

    View Slide

  20. 1.アイコン、説明の変更
    Resource Hacker等のツールで簡単に変更可
    20

    View Slide

  21. 21
    calc.exeのアイコン、説明を変更し、ファイル名をReport.exeに
    1.アイコン、説明の変更

    View Slide

  22. 22
    デフォルトでは「登録されている拡張子は表示しない」
    デフォルトの設定では
    拡張子は表示されない

    View Slide

  23. 23
    ファイル名をReport.doc.exeに変更
    2.二重拡張子

    View Slide

  24. 24
    「登録されている拡張子は表示しない」のチェックを外す
    拡張子を表示

    View Slide

  25. 25
    大量のスペースを挿入することにより「拡張子を表示する」設定でも
    拡張子を見えなくする
    3.スペースの挿入

    View Slide

  26. 4.Right-to-Left Override(RLO)による偽装
    26
    RLO (Unicode の制御文字 U+202E)
    アラビア語など右から左に向けて記述する言語のための制御文字
    変更前 phycod.exe
    変更後 phyexe.doc
    RLOを挿入

    View Slide

  27. 4.Right-to-Left Override(RLO)による偽装
    右クリックで名前を変更から(特別なツールは不要)
    右クリックで
    名前を変更

    View Slide

  28. phycod.exe
    RLOを挿入

    View Slide

  29. やりとり型などメール本文の
    ソーシャルエンジニアリング
    も巧妙化
    標的型メールと気づくのは
    ますます困難になっている

    View Slide

  30. Demo

    View Slide

  31. ファイル実行後の偽装

    View Slide

  32. WinRARでは自己解凍形式(SFX)作成時に
    解凍後に自動実行するプログラムを指定できる

    View Slide

  33. 医療費通知の偽装メール

    View Slide

  34. 圧縮ファイル(zip,lzh)を解凍すると
    文書ファイルに偽装した実行ファイル
    実際の検体

    View Slide

  35. Path=<パス> 解凍先フォルダ
    Setup=<プログラム> 解凍後にプログラムを自動実行
    Silent=1 ダイアログを表示しない
    Overwrite=2 上書きの警告を出さない
    実行ファイルは自己解凍形式
    実行すると解凍した遠隔操作ツール(leassnp.exe)と
    Word文書(kptl.doc)を自動実行
    実際の検体をWinRARで開いたもの

    View Slide

  36. 自動実行されるダミーのWordファイル
    最近はダミーファイルも盗んだ本物の文書を利用するなど巧妙になっている
    解凍する分、開くのが多少遅くなるだけ、その差に気付けるか?

    View Slide

  37. 標的型メールを開いて
    実行してしまった後も
    気付かないことが多い
    標的型メールでは、
    開いてしまった後の対処が重要と言われるが

    View Slide

  38. Demo

    View Slide

  39. 圧縮された実行ファイル形式の
    標的型攻撃メール増加の
    理由は?

    View Slide

  40. 1. WindowsやOffice、Adobe Reader等のパッチ適用率の向上
    2. Adobe Reader や Officeへの保護ビュー(サンドボックス)
    機能の導入
    3. 脆弱性を用いた攻撃の成功率の低下
    4. 実行ファイルやショートカットの直接の送付は、多くのメール
    クライアントやメールサーバでブロックされる
    5. 実行ファイル(ショートカット)を圧縮して標的型メールとし
    て送信
    圧縮された実行ファイル形式の
    標的型攻撃メール増加の理由は?

    View Slide

  41. Windows標準以外の
    (サードパーティの)
    圧縮・解凍
    ソフト
    もう1つの理由?

    View Slide

  42. 42
    窓の杜 2014年 ソフトウェア・ダウンロード・ランキング

    View Slide

  43. 43
    Lhaplusが年間ダウンロード数224万回で断トツの1位

    View Slide

  44. 多くの企業でメール添付ファイル送信時の
    パスワード設定がルール化されている
    (プライバシーマーク、ISMS/ISO27001)

    View Slide

  45. Windows XPでは標準でパスワード追加機能が存在したが

    View Slide

  46. Windows Vista以降
    標準アーカイバでは
    パスワード付きZIPの作成が出来なくなった
    (パスワード付きZIPの解凍は可能)

    View Slide

  47. 多くの企業・組織で
    パスワード設定が可能なサードパーティ製のアーカイバが
    標準ソフトとして導入されている

    View Slide

  48. XPからWin7,8への移行に伴い、
    Lhaplus等のサードパーティの
    アーカイバを全社標準ソフトとし
    て導入する企業が増えている

    View Slide

  49. サードパーティのアーカイバ
    の何が問題か?

    View Slide

  50. サードパーティのアーカイバの問題
     アイコンの偽装に騙されやすい
     解凍後のファイルにZoneIDが付加されないため
    警告なしで実行ファイルが実行される

    View Slide

  51. 文書ファイルに偽装した実行ファイル 「偽装文書.exe」 と
    本物の文書ファイル 「本物文書.docx」 を test.zip に圧縮
    51
    拡張子非表示
    拡張子表示

    View Slide

  52. test.zipを標準アーカイバ(エクスプローラー)で開く
    52
    拡張子表示
    拡張子非表示

    View Slide

  53. 53
    拡張子表示
    拡張子非表示
    test.zipをLhaplusで解凍
    Lhaplusの既定ではデスクトップにフォルダを作成し解凍、自動的にエクスプローラーで開く

    View Slide

  54. test.zipを各種アーカイバ独自のファイルマネジャーで表示
    54
    7-zip
    Explzh
    WinRAR

    View Slide

  55. 独自のファイルマネージャー内で開くものは偽装アイコンが表示されないが
    解凍後に自動的にエクスプローラーで開くものは偽装アイコンが表示される
    エクスプローラー
    (圧縮フォルダ)
    7-zip
    Lhaplus

    View Slide

  56. 偽装アイコンに騙されないためには
    独自のファイルマネジャーを持つ解凍ソフトで開く
    独自のファイルマネジャーを持つ解凍ソフトでも
    展開してエクスプローラーで開くと
    偽装アイコンが表示されてしまう

    View Slide

  57. Demo

    View Slide

  58. ZoneIDとは?

    View Slide

  59. 59
    ZoneIDとは?
     Windows XP SP2、Windows Server 2003 SP1以降で導入された
    Attachment Execution Service (AES)
     アプリケーションは、IAttachmentExecute APIを使用する必要がある
     (IAttachmentExecute APIを使用した)ブラウザでダウンロードしたファイ
    ルやメーラーで受信した添付ファイルにZoneIDがADS(代替データストリー
    ム)として付加される
     ZoneIDを付加するブラウザ IE、Chrome、Firefox、Opera
    メーラ Windows Liveメール、Outlook、Thunderbird(38.0.1で確認)
     実行ファイルやショートカットの場合、
    「セキュリティの警告」を表示(Windows Vista,7)
    「SmartScreen」によるチェックを実行(Windows 8以降)
     Officeファイルの場合、「保護されたビュー」で開く(Office2010以降)
     PDFファイルの場合、 「保護されたビュー」で開く(Adobe Acrobat Reader
    既定では有効になっていない)

    View Slide

  60. 60
    ZoneIDとは?
     NTFSのみ利用できる。FAT32ではADS(代替データストリーム)をサポート
    しないため利用できない
     ZoneIDの値
    public enum SecurityZone
    {
    NoZone = -1,
    MyComputer = 0,
    Intranet = 1,
    Trusted = 2,
    Internet = 3,
    Untrusted = 4,
    }

    View Slide

  61. 61
    ZoneId
    ブラウザでダウンロードしたファイルやメーラーで受信した添付ファイルに
    ADS(代替データストリーム)として付加される

    View Slide

  62. 実行ファイルでZoneID >=3の場合、
    「セキュリティの警告」が表示される(Windows7)

    View Slide

  63. 63
    ブロックの解除をクリックすると
    ZoneIDが削除される

    View Slide

  64. ZoneIDが付加されていないと
    実行ファイルが警告なしで実行される

    View Slide

  65. 65
    Officeファイル

    View Slide

  66. 66
    OfficeファイルでZoneID>=3の場合、
    「保護されたビュー」で開かれる

    View Slide

  67. 67
    PDFファイル

    View Slide

  68. Acrobat Readerの既定では「保護されたビュー」はオフ
    「安全でない可能性のある場所からのファイル」に変更

    View Slide

  69. 69
    「保護されたビュー」を「安全でない可能性のある場所からのファイル」に変更
    ZoneID>=3の場合、「保護されたビュー」で開かれる

    View Slide

  70. ZoneIDが付加された
    圧縮ファイル

    View Slide

  71. ZoneID=3が付加されたcalc.zip

    View Slide

  72. エクスプローラー(圧縮フォルダ)から実行
    セキュリティの警告が表示される

    View Slide

  73. エクスプローラー(圧縮フォルダ)で展開し実行
    解凍時にもZone.IDが維持されるため
    セキュリティの警告が表示される

    View Slide

  74. Lhaplusで解凍し実行
    解凍時にZone.IDが欠落してしまうため
    実行ファイルが警告なしに実行される

    View Slide

  75. WinRAR FMから実行
    実行ファイルが警告なしに実行される
    セキュリティの警告が表示される

    View Slide

  76. WinRARで展開して実行
    実行ファイルが警告なしに実行される
    解凍時にもZone.IDが維持されるため
    セキュリティの警告が表示される

    View Slide

  77. Explzh FMから実行
    セキュリティの警告が表示される

    View Slide

  78. Explzhで展開して実行
    解凍時にZone.IDが欠落してしまうため
    実行ファイルが警告なしに実行される

    View Slide

  79. PeaZip FMから実行
    実行ファイルが警告なしに実行される
    セキュリティの警告が表示される

    View Slide

  80. PeaZipで展開して実行
    解凍時にZone.IDが欠落してしまうため
    実行ファイルが警告なしに実行される

    View Slide

  81. 7-ZIP FMから実行
    セキュリティの警告が表示される

    View Slide

  82. 7-ZIPで展開して実行
    実行ファイルが警告なしに実行される
    解凍時にZone.IDが欠落してしまうため
    実行ファイルが警告なしに実行される

    View Slide

  83. エクスプ
    ローラー
    Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip
    Windows標準 フリーソフト フリーソフト フリーソフト
    商用、法人利
    用は1,080円
    シェアウェア
    2,942円
    フリーソフト フリーソフト
    窓の杜
    2014年
    ダウンロード
    ランキング
    1位 3位 17位 19位 43位 70位
    ファイルマ
    ネージャか
    ら実行
    ○ ー ー ー ○ ○ ○ ○
    展開して
    実行 ○ X X X X ○ X X
    ○ セキュリティの警告が表示される
    X セキュリティの警告が表示されない
    ー 独自のファイルマネージャーがない
    ZoneIDの付加された圧縮ファイル(内容は実行ファイル)
    を各種アーカイバで開封した場合の動作比較(Windows7)

    View Slide

  84. Demo

    View Slide

  85. メール添付ファイル

    View Slide

  86. メーラーとアーカイバ(解凍ソフト)
    の組み合わせにより動作に違い
    • 添付ファイルにZoneIDを付加しないメーラーもある
    ZoneIDを付加することが確認されているメーラー
    Outlook、Windows Liveメール、Thunderbird
    • 付加されたZoneIDを解凍時に欠落させてしまうアーカ
    イバ(Lhaplusなど)
    • 添付ファイルをデスクトップ等にドラッグ&ドロップし
    た場合も、 ZoneIDが欠落してしまう

    View Slide

  87. 87
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Windows標準のアーカイバ (Windows7)
    添付ファイルにZoneID
    (インターネット)が付
    加される
    偽装アイコンは表示されない(ZoneIDが維持される)
    ZoneID(インターネット)が付加されているため、
    警告が表示される

    View Slide

  88. 88
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Lhaplus (Windows7)
    添付ファイルにZoneID
    (インターネット)が付
    加される
    Word文書に偽装された形で解凍(ZoneIDが欠落する)
    ZoneIDが付加されていないため、実行ファイ
    ルが警告なしに実行される

    View Slide

  89. 89
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Windows Live メール & Windows標準のアーカイバ
    実行ファイルがブロックされる

    View Slide

  90. 90
    Windows Live メールの既定の設定
    サードパーティのアーカイバを利用しているとこの設定もバイパスされる

    View Slide

  91. 91
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Windows Live メール & Lhaplus
    ZoneIDが付加されていないため、実行ファイ
    ルが警告なしに実行される
    Word文書に偽装された形で解凍(ZoneIDが欠落する)

    View Slide

  92. 92
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Thunderbird(38.0.1) & Windows標準のアーカイバ
    添付ファイルにZoneID
    (インターネット)が付
    加される
    偽装アイコンは表示されない(ZoneIDが維持される)
    ZoneID(インターネット)が付加されているため、
    警告が表示される

    View Slide

  93. 93
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Thunderbird(38.0.1) & Lhaplus
    添付ファイルにZoneID
    (インターネット)が付
    加される
    Word文書に偽装された形で解凍(ZoneIDが欠落する)
    ZoneIDが付加されていないため、実行ファイ
    ルが警告なしに実行される

    View Slide

  94. 94
    Thunderbird では、システムの設定とは別に動作設定を指定できる

    View Slide

  95. 95
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Becky!(38.0.1) & Windows標準のアーカイバ
    既定の設定で、ZIPを開く時は警告が表示される
    LZHは警告なし

    View Slide

  96. 96
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Becky!(38.0.1) & Windows標準のアーカイバ
    添付ファイルにZoneID
    が付加されない
    既定の設定で、ZIPを開く時は警告
    が表示される
    LZHは警告なし
    偽装アイコンは表示されない
    (ZoneIDは付加されていない)
    ZoneIDが付加されていないため、
    実行ファイルが警告なしに実行される

    View Slide

  97. Demo

    View Slide

  98. 添付ファイルを
    クリックするのではなく
    デスクトップに
    ドラック&ドロップした場合
    ZoneIDが欠落

    View Slide

  99. 99
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Windows標準のアーカイバ (Windows7)
    添付ファイルにZoneID
    (インターネット)が付
    加される
    ZoneIDが欠落する
    デスクトップ等に
    ドラック&ドロップ
    偽装アイコンは表示され
    ない
    ZoneIDが付加されていないため、
    実行ファイルが警告なしに実行される

    View Slide

  100. 添付ファイルを
    右クリックで
    名前を付けて保存した場合
    ZoneIDが維持される

    View Slide

  101. 101
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Windows標準のアーカイバ (Windows7)
    添付ファイルにZoneID
    (インターネット)が付
    加される
    ZoneIDが維持される
    右クリックで名前を付
    けて保存
    ZoneID(インターネット)が付加
    されているため、警告が表示される
    偽装アイコンは表示され
    ない

    View Slide

  102. Demo

    View Slide

  103. ショートカット

    View Slide

  104. View Slide

  105. ショートカットのリンク先に
    ファイルをダウンロードして実行するスクリプトを挿入

    View Slide

  106. ショートカットでは、「拡張子を表示する」設定にしても
    拡張子(lnk)が表示されない ため偽装に騙されやすい
    拡張子を表示する設定にしても
    ショートカットでは拡張子が表示されない

    View Slide

  107. 107
    アイコン偽装したショートカットをZIP圧縮し添付
    Outlook & Lhaplus
    ZoneIDが付加されていないため、ショート
    カットが警告なしに実行される
    添付ファイルにZoneID
    (インターネット)が付
    加される
    PowerPoint文書に偽装された形で解凍(ZoneIDが欠落する)

    View Slide

  108. 108
    アイコン偽装したショートカットをZIP圧縮し添付
    Outlook & Windows標準のアーカイバ
    警告が表示される
    添付ファイルにZoneID
    (インターネット)が付
    加される
    偽装アイコンが表示されない(ZoneIDが維持される)

    View Slide

  109. Demo

    View Slide

  110. 保護されたビュー
    Protected View

    View Slide

  111. • Office 2010以降で導入
    • (既定では)Zone.ID>=3の場合、「保護されたビュー」で開かれる
    • Officeの脆弱性を悪用した攻撃では、文書ファイル中に埋め込まれた
    ActiveXコントロールを利用して攻撃が行われることが多い
    • 「保護されたビュー」で文書を開くと、ActiveXコントロールがロードさ
    れないため、攻撃コードが実行されない
    • ゼロデイ攻撃やパッチの適用漏れの場合でも、攻撃を防げる可能性が高い
    保護されたビュー

    View Slide

  112. • インターネットから取得したファイル
    Zone.ID>=3が付加されたファイル
    • 安全でない可能性のある場所のファイル
    インターネット一時ファイルのフォルダー
    • Outlookの添付ファイル
    保護されたビュー

    View Slide

  113. MS14-017
    Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される

    View Slide

  114. 「保護されたビュー 」によって保護される

    View Slide

  115. MS12-027
    Windows コモン コントロールの脆弱性により、リモートでコードが実行される

    View Slide

  116. 「保護されたビュー 」によって保護される

    View Slide

  117. 7月に報告されたOfficeのゼロデイ

    View Slide

  118. Embedded OLEが利用されているため「保護されたビュー」では攻撃が成功しない

    View Slide

  119. 119
    Officeファイル(xlsx)をZIP圧縮し添付
    Outlook & サードパーティのアーカイバ(Lhaplus)
    ZoneIDが付加されていないため、通常モード
    で開かれる
    添付ファイルにZoneID
    (インターネット)が付
    加される
    デスクトップに解凍(ZoneIDが欠落する)

    View Slide

  120. 120
    Officeファイル(xlsx)をZIP圧縮し添付
    Outlook & Windows標準のアーカイバ
    添付ファイルにZoneID
    (インターネット)が付
    加される
    保護されたビューで開かれる
    ZoneIDが維持される

    View Slide

  121. マクロを使用した攻撃

    View Slide

  122. マクロを含む文書を送信
    保護されたビューで開かれるので
    マクロは実行されない

    View Slide

  123. 保護されたビューで「編集を有効にする」
    をクリックしても更に警告
    保護されたビューで見ることを基本としていれば
    マクロは実行されない

    View Slide

  124. 「コンテンツの有効化」
    をクリックするとマクロが実行
    マクロが実行されるまでには2段階の警告

    View Slide

  125. Demo

    View Slide

  126. その他の
    アーカイバー

    View Slide

  127. 7-Zip 実行ファイル

    View Slide

  128. 7-Zip 文書ファイル

    View Slide

  129. 7-Zip ショートカット

    View Slide

  130. Explzh 実行ファイル

    View Slide

  131. Explzh 文書ファイル

    View Slide

  132. Explzh ショートカット

    View Slide

  133. WinRAR 実行ファイル

    View Slide

  134. WinRAR 文書ファイル

    View Slide

  135. WinRAR ショートカット

    View Slide

  136. PeaZip 実行ファイル

    View Slide

  137. PeaZip 文書ファイル

    View Slide

  138. PeaZip ショートカット

    View Slide

  139. エクスプ
    ローラー
    Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip
    Windows標準 フリーソフト フリーソフト フリーソフト
    商用、法人利
    用は1,080円
    シェアウェア
    2,942円
    フリーソフト フリーソフト
    窓の杜2014年
    ダウンロード
    ランキング
    1位 3位 17位 19位 43位 70位
    偽装アイコン
    が表示されな

    ○ X X X ○ ○ ○ ○
    実行ファイル
    の警告表示
    ○ X X X ○ ○ ○ ○
    Officeファイ
    ルを保護され
    たビューで開

    ○ X X X X ○ ○ ○
    ショートカッ
    トの警告表示
    ○ X X X X ○ ○ ○
    Outlookの添付ファイル(圧縮ファイル)
    を各種アーカイバで開封した場合の動作比較(Windows7)

    View Slide

  140. エクスプ
    ローラー
    Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip
    Windows標準 フリーソフト フリーソフト フリーソフト
    商用、法人利
    用は1,080円
    シェアウェア
    2,942円
    フリーソフト フリーソフト
    窓の杜2014年
    ダウンロード
    ランキング
    1位 3位 17位 19位 43位 70位
    偽装アイコン
    が表示されな

    ○ X X X ○ ○ ○ ○
    実行ファイル
    の警告表示 ◎
    実行不可
    X X X ○ ◎
    実行不可
    ○ ◎
    実行不可
    Officeファイ
    ルを保護され
    たビューで開

    ○ X X X X ○ ○ ○
    ショートカッ
    トの警告表示 ◎
    実行不可
    X X X X ◎
    実行不可
    ○ ◎
    実行不可
    Windows Liveメールの添付ファイル(圧縮ファイル)
    を各種アーカイバで開封した場合の動作比較(Windows7)

    View Slide

  141. エクスプ
    ローラー
    Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip 7-zip
    Windows標準 フリーソフト フリーソフト フリーソフト
    商用、法人利
    用は1,080円
    シェアウェア
    2,942円
    フリーソフト フリーソフト
    窓の杜2014年
    ダウンロード
    ランキング
    1位 3位 17位 19位 43位 70位
    偽装アイコン
    が表示されな

    ○ X X X ○ ○ ○ ○
    実行ファイル
    の警告表示
    ○ X X X ○ ○ ○ ○
    Officeファイ
    ルを保護され
    たビューで開

    ○ X X X X ○ X ○
    ショートカッ
    トの警告表示
    ○ X X X X ○ X ○
    Thunderbirdの添付ファイル(圧縮ファイル)
    を各種アーカイバで開封した場合の動作比較(Windows7)
    PeaZipの動作がOutlook,Liveメールと異なるのは
    Outlook,LiveメールはTemporary Internet Filesに添付ファイルが保存されるがThunderbirdでは別の場所に保存されるため

    View Slide

  142. Windows
    SmartScreen

    View Slide

  143. • Windows 8 以降で導入(Windows 10でも継続)
    • IE9以降で導入されたIE SmartScreen Application Reputationを
    Windowsに統合したもの
    • プログラムを実行時にZoneID>=3の場合、ファイルのハッシュ値やコー
    ドサイニング証明書の発行元をインターネット経由でマイクロソフトのク
    ラウドに送信、レピュテーション(評判・評価)を問い合わせる
    • レピュテーションの詳細仕様は公開されていない(攻撃者がレピュテー
    ションを獲得するのを避けるため)が、アンチウイルスの結果、ダウン
    ロード回数、URLのレピュテーションなどの機械学習により生成している
    と思われる
    • コードサイニング証明書で署名されたファイルは、早くレピュテーション
    を確立できる(EV証明書では更に早い)
    • 一度レピュテーションを確立した発行元(証明書)のレピュテーションは
    別のプログラム(別のバージョン)にも受け継がれる
    Windows SmartScreen

    View Slide

  144. IE SmartScreen
    filter
    IE SmartScreen
    Application
    Reputation
    Windows
    SmartScreen
    UAC
    ブラウザ(IE)のみ Windows全般
    IE8以降 IE9以降 Win8以降 Vista以降
    URLのレピュテー
    ション
    ファイルのレピュテーション
    権限昇格時
    Win7以降の既定では
    Windowsの設定変更時
    を除く
    • コード署名ありの場合、早くレピュテー
    ションを確立
    • EVコード署名証明書の場合、更に早くレ
    ピュテーションを確立
    • 一度レピュテーションを確立した発行元
    (証明書)のレピュテーションは別のプ
    ログラムにも受け継がれる
    コード署名なしの場合
    黄色で警告を表示
    コード署名ありの場合
    警告なしだがダイアロ
    グは出る
    Windowsの各種保護機能の比較

    View Slide

  145. • 問題を引き起こすことが確認されているアプリや、レピュテーションの確
    立されていないアプリを実行しようとすると、下記の警告が表示される。
    (管理者ユーザ)
    Windows SmartScreen

    View Slide

  146. 既定の設定

    View Slide

  147. • 標準ユーザの場合、レピュテーションの確立されていないアプリを実行し
    ようとすると、下記の警告が表示され管理者のパスワードの入力が必要と
    なる
    Windows SmartScreen

    View Slide

  148. • Windows SmartScreenによるレピュテーションのチェックが行われるの
    は、ZoneID>=3が付加されている場合。
    • ZoneIDが付加されていない場合は、チェックは行われない。

    View Slide

  149. レピュテーションの確立されていないアプリを実行しようとすると、
    下記の警告が表示される。
    詳細情報をクリック

    View Slide

  150. 警告を無視して実行

    View Slide

  151. • 警告を無視して「実行」するとZoneIDが削除される
    • 2度目以降の実行時にはZoneIDが付加されていないので、SmartScreen
    によるチェックは行われない
    • チェックを行うかどうかをコントロールするのはZoneIDの有無
    ホワイトリストをデータベースで持っている訳ではない

    View Slide

  152. インターネットに接続していない状態で、ファイルを実行した場合

    View Slide

  153. w.apprep.smartscreen.microsoft.com:443 にTLSv1.2で送信

    View Slide

  154. リリースしたばかりのソフトや利用者の少ないソフトでは
    レピュテーションが確立されていないため警告が出る
    そのため無効化を訴えるサイトも

    View Slide

  155. プライバシーの懸念を訴える研究者も
    MSの見解では履歴は保存していない

    View Slide

  156. • 標的型攻撃で使用されるマルウェアは、アンチウイルスによる検知を
    避けるため、あえて異なるハッシュ値となるよう、ソースコートを一
    部改変しての再ビルドや、パッカー(圧縮)、クリプター(暗号化)
    などが使用される(いわゆる未知のマルウェア)
    • ファイルのハッシュ値は、今までにない未知のものになる
    • プログラム実行時にSmartScreenによりハッシュが送信されると、
    レピュテーションが確立されていないため警告が出る
    • 但し、攻撃者が正規のプログラムをリリースしてレピュテーションを
    確立してから同じ証明書を使ってマルウェアにコード署名したり、既
    にレピュテーションの確立した証明書を盗んでコード署名した場合な
    ど、抜け道の可能性がない訳ではない。
    Windows SmartScreenが標的型攻撃に有効な理由

    View Slide

  157. Lhaplusをデフォルトのアーカイバとして設定
    157
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Windows標準のアーカイバ (Windows8)
    SmartScreenによる警告が表示される
    偽装アイコンは表示されない(ZoneIDが維持される)
    添付ファイルにZoneID
    (インターネット)が付
    加される

    View Slide

  158. Lhaplusをデフォルトのアーカイバとして設定
    158
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Lhaplus (Windows8)
    Word文書に偽装された形で解凍(ZoneIDが欠落する)
    ZoneIDが付加されていないため、SmartScreenによるチェック
    が行われず、警告なしに実行される
    添付ファイルにZoneID
    (インターネット)が付
    加される

    View Slide

  159. Demo

    View Slide

  160. ソフトウェア制限ポリシー
    AppLocker

    View Slide

  161. Lhaplusなどのサードパーティのアーカイバを
    既定のアーカイバとして使用する必要がある場合
    ソフトウェア制限ポリシー(Home以外)
    AppLocker(Win7 Ultimate/Enterprise、Win8 Enterprise)
    で、解凍先のフォルダのプログラム実行を制限

    View Slide

  162. Windows 7/8 Proでは、AppLockerのポリシー作成は可能だがポリシーの実施は出来ない

    View Slide

  163. ソフトウェア制限ポリシーの設定例
    デスクトップ以下のプログラム実行を許可しない
    (ショートカットもブロックされてしまうため、ショートカットを除外する)

    View Slide

  164. 164
    Wordファイルに偽装(アイコン偽装+2重拡張子)した実行ファイルをZIP圧縮し添付
    Outlook & Lhaplus (Windows7 ソフトウェア制限ポリシー設定)
    添付ファイルにZoneID
    (インターネット)が付
    加される
    Word文書に偽装された形で解凍(ZoneIDが欠落する)
    ソフトウェア制限ポリシーによりブロック

    View Slide

  165. ソフトウェア制限ポリシーの設定例
    Lhaplusの解凍フォルダを「ドキュメント」に
    「ドキュメント」以下のプログラム実行を許可しない

    View Slide

  166. 添付ファイルをドラッグ&ドロップ
    すると、ZoneIDが欠落することの対策
    のために、デスクトップのプログラム
    の実行はソフトウェア制限ポリシーで
    禁止した方が良いかも

    View Slide

  167. Demo

    View Slide

  168. パスワード付きZIPよりOffice文書の暗号化設定を使用しましょう
    ZIPに比べDOCXでは解析時間が約20万倍
    セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】
    http://www.dit.co.jp/service/report/security-threat_v3.html

    View Slide

  169. John the Ripperのベンチマーク
    でも10数万から30数万倍の差
    # john -test
    (略)
    Benchmarking: Office 2007/2010 SHA-1/AES [32/64]... (4xOMP) DONE
    Raw: 95.0 c/s real, 24.8 c/s virtual
    (略)
    Benchmarking: PKZIP [32/64]... (4xOMP) DONE
    Many salts: 31394K c/s real, 7946K c/s virtual
    Only one salt: 13093K c/s real, 3463K c/s virtual

    View Slide

  170. 会社の規定などで
    パスワード付きZIPを使用しなければならない場合
    • パスワード付きZIPを作成可能なサードパーティのアーカイバに
    は、ZIP,LZHなどの拡張子の関連付けはせずに、作成時のみ使用
    する
    • 標準アーカイバ(エクスプローラー)は、パスワード付きZIPの
    解凍は可能

    View Slide

  171. 実のある標的型メール訓練を
    • 普段使っているメーラー、アーカイバ、フォルダの表示設定で、
    偽装された添付ファイルがどのように見えるか?警告は表示され
    るのか?
    • 無害化した添付ファイル(ワクチン)を使ってあえて開いてみる
    ことで、警告が出る(ブロックされる)様になる動作を身につけ

    View Slide

  172. 1. ZoneIDの役割
    セキュリティ警告、Windows SmartScreen、保護されたビュー
    などWindows標準のセキュリティ機能の多くはZoneIDに依存し
    ている
    2. メーラーやアーカイバ(解凍ソフト)に
    よるZoneIDの扱いの違い
    ZoneIDを付加しないメーラやZoneIDを欠落させてしまうアーカ
    イバがあるためせっかくのセキュリティ機能が動作しない
    3. Windows標準のセキュリティ機能
    セキュリティの警告、Windows SmartScreen
    ソフトウェア制限ポリシー/AppLocker、保護されたビューなど
    標準の機能だけでも有用な対策となる
    今日のポイントのおさらい

    View Slide

  173. • フォルダの表示設定の変更
    – 「登録されている拡張子は表示しない」のチェックを外す
    • 添付ファイルにゾーン情報が保存されるメーラーを使用する
    (Outlook、Windows Live メール、Thunderbird等)
    • Windows標準のアーカイバを既定のアーカイバとする
    • サードパーティのアーカイバを拡張子に関連付けしない
    – パスワード付きZIPの作成のみ使用する
    • セキュリティの警告、SmartScreenの警告が出たら実行しない
    • 保護されたビューで「編集を有効」にしない
    • ソフトウェア制限ポリシー/AppLockerを設定し、デスクトップ及
    び解凍先フォルダの意図しないプログラムの実行を制限する
    • 自分が普段使っているメーラ・アーカイバの組み合わせで偽装
    ファイルがどのように表示されるか、どのような警告が表示され
    るか予行演習を行い、警告、ブロックされるような動作を身に付
    ける
    標的型攻撃メールに対する対策 まとめ

    View Slide

  174. • 添付ファイル型
    – 脆弱性を利用しない攻撃(実行ファイル型)
    • AES(ZoneID)の特性を活かす
    セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ/AppLocker
    – 既知の脆弱性を利用した攻撃(Office、PDF reader等)
    • パッチの適用、保護されたビュー、EMET
    – ゼロデイ脆弱性を利用した攻撃(Office、PDF reader等)
    • 保護されたビュー、EMET
    • URLクリック型
    (水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通)
    – 脆弱性を利用しない攻撃(実行ファイル型)
    • AES(ZoneID)の特性を活かす
    セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ/AppLocker
    – 既知の脆弱性を利用した攻撃(ブラウザ、プラグイン等)
    • パッチの適用、(Right)Click-to-Play、EMET
    – ゼロデイ脆弱性を利用した攻撃(ブラウザ、プラグイン等)
    • (Right)Click-to-Play 、EMET
    標準機能による対策だけでも多層防御になります

    View Slide

  175. 次回のssmjpに持ち越し
    ブラウザ・プラグインの脆弱性を狙った
    ドライブバイダウンロード攻撃
    の対策

    View Slide

  176. ありがとうございました

    View Slide