Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Windows標準の機能を使用した
標的型攻撃の対策
@kitagawa_takuji
2015年7月31日 #ssmjp

View Slide

1. 防御
2. 検知
3. 対応
の組み合わせ
サイバー攻撃の対策
今日の話は主に防御について

View Slide

1. 防御
2. 検知
3. 対応
昨今のサイバー攻撃の対策
でもお高いんでしょう？
SOC監視、SIEM（ログ相関分析）
CSIRT、インシデント対応
メール訓練、サンドボックス

View Slide

「マルウェア感染は避けられない」
「感染・侵入を前提とした対策が必要」
と言われるようになりました。
年金機構の事件以降
それは正しいのですが、
でも、出来るだけ感染を防げるのなら
それに越したことはないですよね？

View Slide

実際、感染事故が起きると
その対応はかなり大変です
内部ネットに感染が広がっている恐れがあるので
感染PC1台を隔離、調査するだけでは不十分
最近では、直ぐにすべてのインターネット接続を
遮断すべき。という風潮

View Slide

Windows標準の機能を用いて
標的型メール攻撃に対するリスクを
出来るだけ軽減する方法について
考えます
このセッションでは

View Slide

この記事のアップデート版

View Slide

100%完全に防げる対策はありません
今日紹介する対策も
あくまで多層防御の一つの層
としてお考え下さい
多層防御という考え

View Slide

1. ZoneIDの役割
2. メーラーやアーカイバ（解凍ソフト）に
よるZoneIDの扱いの違い
3. セキュリティの警告
Windows SmartScreen
ソフトウェア制限ポリシー/AppLocker
保護されたビューなど
Windows標準のセキュリティ機能
今日のポイント

View Slide

標的型攻撃メールの形式

View Slide

11
警察庁平成26年中のサイバー空間をめぐる脅威の情勢について
http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf
標的型攻撃メールの９６％が圧縮ファイル（2014年）

View Slide

12
警察庁平成26年中のサイバー空間をめぐる脅威の情勢について
http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf
圧縮ファイルの展開後は、９２％が実行ファイル

View Slide

2015年の状況

View Slide

Office文書ファイルが若干増えている

View Slide

マクロを使用した攻撃の流行の影響と思われる

View Slide

最近の標的型攻撃メールの主流は
文書ファイルに偽装した
実行ファイルが
圧縮されて添付される

View Slide

最近の標的型攻撃メールの主流は
脆弱性を利用しない

View Slide

拡張子偽装のテクニック

View Slide

拡張子の偽装テクニック
1. アイコン、説明の変更
2. ２重拡張子
3. 大量の空白スペースにより拡張子を見え
なくする
4. Right-to-Left Override(RLO)による偽装
19

View Slide

１．アイコン、説明の変更
Resource Hacker等のツールで簡単に変更可
20

View Slide

21
calc.exeのアイコン、説明を変更し、ファイル名をReport.exeに
１．アイコン、説明の変更

View Slide

22
デフォルトでは「登録されている拡張子は表示しない」
デフォルトの設定では
拡張子は表示されない

View Slide

23
ファイル名をReport.doc.exeに変更
２．二重拡張子

View Slide

24
「登録されている拡張子は表示しない」のチェックを外す
拡張子を表示

View Slide

25
大量のスペースを挿入することにより「拡張子を表示する」設定でも
拡張子を見えなくする
３．スペースの挿入

View Slide

４．Right-to-Left Override（RLO)による偽装
26
RLO (Unicode の制御文字 U+202E)
アラビア語など右から左に向けて記述する言語のための制御文字
変更前 phycod.exe
変更後 phyexe.doc
RLOを挿入

View Slide

４．Right-to-Left Override（RLO)による偽装
右クリックで名前を変更から（特別なツールは不要）
右クリックで
名前を変更

View Slide

phycod.exe
RLOを挿入

View Slide

やりとり型などメール本文の
ソーシャルエンジニアリング
も巧妙化
標的型メールと気づくのは
ますます困難になっている

View Slide

Demo

View Slide

ファイル実行後の偽装

View Slide

WinRARでは自己解凍形式（SFX)作成時に
解凍後に自動実行するプログラムを指定できる

View Slide

医療費通知の偽装メール

View Slide

圧縮ファイル（zip,lzh）を解凍すると
文書ファイルに偽装した実行ファイル
実際の検体

View Slide

Path=<パス> 解凍先フォルダ
Setup=<プログラム> 解凍後にプログラムを自動実行
Silent=1 ダイアログを表示しない
Overwrite=2 上書きの警告を出さない
実行ファイルは自己解凍形式
実行すると解凍した遠隔操作ツール(leassnp.exe)と
Word文書(kptl.doc)を自動実行
実際の検体をWinRARで開いたもの

View Slide

自動実行されるダミーのWordファイル
最近はダミーファイルも盗んだ本物の文書を利用するなど巧妙になっている
解凍する分、開くのが多少遅くなるだけ、その差に気付けるか？

View Slide

標的型メールを開いて
実行してしまった後も
気付かないことが多い
標的型メールでは、
開いてしまった後の対処が重要と言われるが

View Slide

Demo

View Slide

圧縮された実行ファイル形式の
標的型攻撃メール増加の
理由は？

View Slide

1. WindowsやOffice、Adobe Reader等のパッチ適用率の向上
2. Adobe Reader や Officeへの保護ビュー（サンドボックス）
機能の導入
3. 脆弱性を用いた攻撃の成功率の低下
4. 実行ファイルやショートカットの直接の送付は、多くのメール
クライアントやメールサーバでブロックされる
5. 実行ファイル（ショートカット）を圧縮して標的型メールとし
て送信
圧縮された実行ファイル形式の
標的型攻撃メール増加の理由は？

View Slide

Windows標準以外の
（サードパーティの）
圧縮･解凍
ソフト
もう１つの理由？

View Slide

42
窓の杜２０１４年ソフトウェア・ダウンロード・ランキング

View Slide

43
Lhaplusが年間ダウンロード数224万回で断トツの１位

View Slide

多くの企業でメール添付ファイル送信時の
パスワード設定がルール化されている
（プライバシーマーク、ISMS/ISO27001）

View Slide

Windows XPでは標準でパスワード追加機能が存在したが

View Slide

Windows Vista以降
標準アーカイバでは
パスワード付きZIPの作成が出来なくなった
（パスワード付きZIPの解凍は可能）

View Slide

多くの企業・組織で
パスワード設定が可能なサードパーティ製のアーカイバが
標準ソフトとして導入されている

View Slide

XPからWin7,8への移行に伴い、
Lhaplus等のサードパーティの
アーカイバを全社標準ソフトとし
て導入する企業が増えている

View Slide

サードパーティのアーカイバ
の何が問題か？

View Slide

サードパーティのアーカイバの問題
 アイコンの偽装に騙されやすい
 解凍後のファイルにZoneIDが付加されないため
警告なしで実行ファイルが実行される

View Slide

文書ファイルに偽装した実行ファイル「偽装文書.exe」と
本物の文書ファイル「本物文書.docx」を test.zip に圧縮
51
拡張子非表示
拡張子表示

View Slide

test.zipを標準アーカイバ（エクスプローラー）で開く
52
拡張子表示
拡張子非表示

View Slide

53
拡張子表示
拡張子非表示
test.zipをLhaplusで解凍
Lhaplusの既定ではデスクトップにフォルダを作成し解凍、自動的にエクスプローラーで開く

View Slide

test.zipを各種アーカイバ独自のファイルマネジャーで表示
54
7-zip
Explzh
WinRAR

View Slide

独自のファイルマネージャー内で開くものは偽装アイコンが表示されないが
解凍後に自動的にエクスプローラーで開くものは偽装アイコンが表示される
エクスプローラー
（圧縮フォルダ）
7-zip
Lhaplus

View Slide

偽装アイコンに騙されないためには
独自のファイルマネジャーを持つ解凍ソフトで開く
独自のファイルマネジャーを持つ解凍ソフトでも
展開してエクスプローラーで開くと
偽装アイコンが表示されてしまう

View Slide

Demo

View Slide

ZoneIDとは？

View Slide

59
ZoneIDとは？
 Windows XP SP2、Windows Server 2003 SP1以降で導入された
Attachment Execution Service (AES)
 アプリケーションは、IAttachmentExecute APIを使用する必要がある
 （IAttachmentExecute APIを使用した）ブラウザでダウンロードしたファイ
ルやメーラーで受信した添付ファイルにZoneIDがADS(代替データストリー
ム）として付加される
 ZoneIDを付加するブラウザ IE、Chrome、Firefox、Opera
メーラ Windows Liveメール、Outlook、Thunderbird(38.0.1で確認）
 実行ファイルやショートカットの場合、
「セキュリティの警告」を表示（Windows Vista,7)
「SmartScreen」によるチェックを実行（Windows 8以降）
 Officeファイルの場合、「保護されたビュー」で開く（Office2010以降）
 PDFファイルの場合、「保護されたビュー」で開く（Adobe Acrobat Reader
既定では有効になっていない)

View Slide

60
ZoneIDとは？
 NTFSのみ利用できる。FAT32ではADS(代替データストリーム）をサポート
しないため利用できない
 ZoneIDの値
public enum SecurityZone
{
NoZone = -1,
MyComputer = 0,
Intranet = 1,
Trusted = 2,
Internet = 3,
Untrusted = 4,
}

View Slide

61
ZoneId
ブラウザでダウンロードしたファイルやメーラーで受信した添付ファイルに
ADS(代替データストリーム）として付加される

View Slide

実行ファイルでZoneID >=3の場合、
「セキュリティの警告」が表示される（Windows7)

View Slide

63
ブロックの解除をクリックすると
ZoneIDが削除される

View Slide

ZoneIDが付加されていないと
実行ファイルが警告なしで実行される

View Slide

65
Officeファイル

View Slide

66
OfficeファイルでZoneID>=３の場合、
「保護されたビュー」で開かれる

View Slide

67
PDFファイル

View Slide

Acrobat Readerの既定では「保護されたビュー」はオフ
「安全でない可能性のある場所からのファイル」に変更

View Slide

69
「保護されたビュー」を「安全でない可能性のある場所からのファイル」に変更
ZoneID>=３の場合、「保護されたビュー」で開かれる

View Slide

ZoneIDが付加された
圧縮ファイル

View Slide

ZoneID=3が付加されたcalc.zip

View Slide

エクスプローラー（圧縮フォルダ）から実行
セキュリティの警告が表示される

View Slide

エクスプローラー（圧縮フォルダ）で展開し実行
解凍時にもZone.IDが維持されるため

View Slide

Lhaplusで解凍し実行
解凍時にZone.IDが欠落してしまうため
実行ファイルが警告なしに実行される

View Slide

WinRAR FMから実行

View Slide

WinRARで展開して実行
解凍時にもZone.IDが維持されるため

View Slide

Explzh FMから実行

View Slide

Explzhで展開して実行

View Slide

PeaZip FMから実行

View Slide

PeaZipで展開して実行

View Slide

７－ZIP FMから実行

View Slide

７－ZIPで展開して実行

View Slide

エクスプ
ローラー
Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip ７-zip
Windows標準フリーソフトフリーソフトフリーソフト
商用、法人利
用は1,080円
シェアウェア
2,942円
フリーソフトフリーソフト
窓の杜
2014年
ダウンロード
ランキング
1位 3位 17位 19位 43位 70位
ファイルマ
ネージャか
ら実行
○ ーーー ○ ○ ○ ○
展開して
実行 ○ X X X X ○ X X
○ セキュリティの警告が表示される
Ｘセキュリティの警告が表示されない
ー独自のファイルマネージャーがない
ZoneIDの付加された圧縮ファイル（内容は実行ファイル）
を各種アーカイバで開封した場合の動作比較（Windows7)

View Slide

Demo

View Slide

メール添付ファイル

View Slide

メーラーとアーカイバ（解凍ソフト）
の組み合わせにより動作に違い
• 添付ファイルにZoneIDを付加しないメーラーもある
ZoneIDを付加することが確認されているメーラー
Outlook、Windows Liveメール、Thunderbird
• 付加されたZoneIDを解凍時に欠落させてしまうアーカ
イバ（Lhaplusなど）
• 添付ファイルをデスクトップ等にドラッグ＆ドロップし
た場合も、 ZoneIDが欠落してしまう

View Slide

87
Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付
Outlook ＆ Windows標準のアーカイバ (Windows7)
添付ファイルにZoneID
(インターネット)が付
加される
偽装アイコンは表示されない（ZoneIDが維持される）
ZoneID（インターネット）が付加されているため、
警告が表示される

View Slide

88
Outlook ＆ Lhaplus (Windows7)
加される
Word文書に偽装された形で解凍（ZoneIDが欠落する）
ZoneIDが付加されていないため、実行ファイ
ルが警告なしに実行される

View Slide

89
Windows Live メール & Windows標準のアーカイバ
実行ファイルがブロックされる

View Slide

90
Windows Live メールの既定の設定
サードパーティのアーカイバを利用しているとこの設定もバイパスされる

View Slide

91
Windows Live メール & Lhaplus

View Slide

92
Thunderbird(38.0.1) & Windows標準のアーカイバ
加される
ZoneID（インターネット）が付加されているため、

View Slide

93
Thunderbird(38.0.1) & Lhaplus
加される

View Slide

94
Thunderbird では、システムの設定とは別に動作設定を指定できる

View Slide

95
Becky!(38.0.1) & Windows標準のアーカイバ
既定の設定で、ZIPを開く時は警告が表示される
LZHは警告なし

View Slide

96
Becky!(38.0.1) & Windows標準のアーカイバ
が付加されない
既定の設定で、ZIPを開く時は警告
が表示される
LZHは警告なし
偽装アイコンは表示されない
（ZoneIDは付加されていない）
ZoneIDが付加されていないため、

View Slide

Demo

View Slide

添付ファイルを
クリックするのではなく
デスクトップに
ドラック＆ドロップした場合
ZoneIDが欠落

View Slide

99
加される
ZoneIDが欠落する
デスクトップ等に
ドラック＆ドロップ
偽装アイコンは表示され
ない
ZoneIDが付加されていないため、

View Slide

添付ファイルを
右クリックで
名前を付けて保存した場合
ZoneIDが維持される

View Slide

101
加される
右クリックで名前を付
けて保存
ZoneID（インターネット）が付加
されているため、警告が表示される
偽装アイコンは表示され
ない

View Slide

Demo

View Slide

ショートカット

View Slide

View Slide

ショートカットのリンク先に
ファイルをダウンロードして実行するスクリプトを挿入

View Slide

ショートカットでは、「拡張子を表示する」設定にしても
拡張子(lnk)が表示されないため偽装に騙されやすい
拡張子を表示する設定にしても
ショートカットでは拡張子が表示されない

View Slide

107
アイコン偽装したショートカットをZIP圧縮し添付
Outlook ＆ Lhaplus
ZoneIDが付加されていないため、ショート
カットが警告なしに実行される
加される
PowerPoint文書に偽装された形で解凍（ZoneIDが欠落する）

View Slide

108
アイコン偽装したショートカットをZIP圧縮し添付
Outlook & Windows標準のアーカイバ
加される
偽装アイコンが表示されない（ZoneIDが維持される）

View Slide

Demo

View Slide

保護されたビュー
Protected View

View Slide

• Office 2010以降で導入
• （既定では）Zone.ID>=３の場合、「保護されたビュー」で開かれる
• Officeの脆弱性を悪用した攻撃では、文書ファイル中に埋め込まれた
ActiveXコントロールを利用して攻撃が行われることが多い
• 「保護されたビュー」で文書を開くと、ActiveXコントロールがロードさ
れないため、攻撃コードが実行されない
• ゼロデイ攻撃やパッチの適用漏れの場合でも、攻撃を防げる可能性が高い

View Slide

• インターネットから取得したファイル
Zone.ID>=３が付加されたファイル
• 安全でない可能性のある場所のファイル
インターネット一時ファイルのフォルダー
• Outlookの添付ファイル

View Slide

MS14-017
Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される

View Slide

「保護されたビュー」によって保護される

View Slide

MS12-027
Windows コモンコントロールの脆弱性により、リモートでコードが実行される

View Slide

「保護されたビュー」によって保護される

View Slide

7月に報告されたOfficeのゼロデイ

View Slide

Embedded OLEが利用されているため「保護されたビュー」では攻撃が成功しない

View Slide

119
Officeファイル(xlsx)をZIP圧縮し添付
Outlook ＆サードパーティのアーカイバ（Lhaplus）
ZoneIDが付加されていないため、通常モード
で開かれる
加される
デスクトップに解凍（ZoneIDが欠落する）

View Slide

120
Officeファイル(xlsx)をZIP圧縮し添付
Outlook & Windows標準のアーカイバ
加される
保護されたビューで開かれる

View Slide

マクロを使用した攻撃

View Slide

マクロを含む文書を送信
保護されたビューで開かれるので
マクロは実行されない

View Slide

保護されたビューで「編集を有効にする」
をクリックしても更に警告
保護されたビューで見ることを基本としていれば
マクロは実行されない

View Slide

「コンテンツの有効化」
をクリックするとマクロが実行
マクロが実行されるまでには2段階の警告

View Slide

Demo

View Slide

その他の
アーカイバー

View Slide

７－Zip 実行ファイル

View Slide

７－Zip 文書ファイル

View Slide

７－Zip ショートカット

View Slide

Explzh 実行ファイル

View Slide

Explzh 文書ファイル

View Slide

Explzh ショートカット

View Slide

WinRAR 実行ファイル

View Slide

WinRAR 文書ファイル

View Slide

WinRAR ショートカット

View Slide

PeaZip 実行ファイル

View Slide

PeaZip 文書ファイル

View Slide

PeaZip ショートカット

View Slide

エクスプ
ローラー
商用、法人利
用は1,080円
シェアウェア
2,942円
窓の杜2014年
ダウンロード
ランキング
1位 3位 17位 19位 43位 70位
偽装アイコン
が表示されな
い
○ X X X ○ ○ ○ ○
実行ファイル
の警告表示
○ X X X ○ ○ ○ ○
Officeファイ
ルを保護され
たビューで開
く
○ X X X X ○ ○ ○
ショートカッ
トの警告表示
○ X X X X ○ ○ ○
Outlookの添付ファイル（圧縮ファイル）

View Slide

エクスプ
ローラー
商用、法人利
用は1,080円
シェアウェア
2,942円
窓の杜2014年
ダウンロード
ランキング
1位 3位 17位 19位 43位 70位
偽装アイコン
が表示されな
い
○ X X X ○ ○ ○ ○
実行ファイル
の警告表示 ◎
実行不可
X X X ○ ◎
実行不可
○ ◎
実行不可
Officeファイ
ルを保護され
たビューで開
く
○ X X X X ○ ○ ○
ショートカッ
トの警告表示 ◎
実行不可
X X X X ◎
実行不可
○ ◎
実行不可
Windows Liveメールの添付ファイル（圧縮ファイル）

View Slide

エクスプ
ローラー
商用、法人利
用は1,080円
シェアウェア
2,942円
窓の杜2014年
ダウンロード
ランキング
1位 3位 17位 19位 43位 70位
偽装アイコン
が表示されな
い
○ X X X ○ ○ ○ ○
実行ファイル
の警告表示
○ X X X ○ ○ ○ ○
Officeファイ
ルを保護され
たビューで開
く
○ X X X X ○ X ○
ショートカッ
トの警告表示
○ X X X X ○ X ○
Thunderbirdの添付ファイル（圧縮ファイル）
PeaZipの動作がOutlook,Liveメールと異なるのは
Outlook,LiveメールはTemporary Internet Filesに添付ファイルが保存されるがThunderbirdでは別の場所に保存されるため

View Slide

Windows
SmartScreen

View Slide

• Windows 8 以降で導入（Windows 10でも継続）
• IE9以降で導入されたIE SmartScreen Application Reputationを
Windowsに統合したもの
• プログラムを実行時にZoneID>=３の場合、ファイルのハッシュ値やコー
ドサイニング証明書の発行元をインターネット経由でマイクロソフトのク
ラウドに送信、レピュテーション（評判・評価）を問い合わせる
• レピュテーションの詳細仕様は公開されていない（攻撃者がレピュテー
ションを獲得するのを避けるため）が、アンチウイルスの結果、ダウン
ロード回数、URLのレピュテーションなどの機械学習により生成している
と思われる
• コードサイニング証明書で署名されたファイルは、早くレピュテーション
を確立できる（EV証明書では更に早い）
• 一度レピュテーションを確立した発行元（証明書）のレピュテーションは
別のプログラム（別のバージョン）にも受け継がれる
Windows SmartScreen

View Slide

IE SmartScreen
filter
IE SmartScreen
Application
Reputation
Windows
SmartScreen
UAC
ブラウザ（IE)のみ Windows全般
IE8以降 IE9以降 Win8以降 Vista以降
URLのレピュテー
ション
ファイルのレピュテーション
権限昇格時
Win7以降の既定では
Windowsの設定変更時
を除く
• コード署名ありの場合、早くレピュテー
ションを確立
• EVコード署名証明書の場合、更に早くレ
ピュテーションを確立
• 一度レピュテーションを確立した発行元
（証明書）のレピュテーションは別のプ
ログラムにも受け継がれる
コード署名なしの場合
黄色で警告を表示
コード署名ありの場合
警告なしだがダイアロ
グは出る
Windowsの各種保護機能の比較

View Slide

• 問題を引き起こすことが確認されているアプリや、レピュテーションの確
立されていないアプリを実行しようとすると、下記の警告が表示される。
（管理者ユーザ）
Windows SmartScreen

View Slide

既定の設定

View Slide

• 標準ユーザの場合、レピュテーションの確立されていないアプリを実行し
ようとすると、下記の警告が表示され管理者のパスワードの入力が必要と
なる
Windows SmartScreen

View Slide

• Windows SmartScreenによるレピュテーションのチェックが行われるの
は、ZoneID>=3が付加されている場合。
• ZoneIDが付加されていない場合は、チェックは行われない。

View Slide

レピュテーションの確立されていないアプリを実行しようとすると、
下記の警告が表示される。
詳細情報をクリック

View Slide

警告を無視して実行

View Slide

• 警告を無視して「実行」するとZoneIDが削除される
• ２度目以降の実行時にはZoneIDが付加されていないので、SmartScreen
によるチェックは行われない
• チェックを行うかどうかをコントロールするのはZoneIDの有無
ホワイトリストをデータベースで持っている訳ではない

View Slide

インターネットに接続していない状態で、ファイルを実行した場合

View Slide

w.apprep.smartscreen.microsoft.com:443 にTLSv1.2で送信

View Slide

リリースしたばかりのソフトや利用者の少ないソフトでは
レピュテーションが確立されていないため警告が出る
そのため無効化を訴えるサイトも

View Slide

プライバシーの懸念を訴える研究者も
MSの見解では履歴は保存していない

View Slide

• 標的型攻撃で使用されるマルウェアは、アンチウイルスによる検知を
避けるため、あえて異なるハッシュ値となるよう、ソースコートを一
部改変しての再ビルドや、パッカー（圧縮）、クリプター（暗号化）
などが使用される（いわゆる未知のマルウェア）
• ファイルのハッシュ値は、今までにない未知のものになる
• プログラム実行時にSmartScreenによりハッシュが送信されると、
レピュテーションが確立されていないため警告が出る
• 但し、攻撃者が正規のプログラムをリリースしてレピュテーションを
確立してから同じ証明書を使ってマルウェアにコード署名したり、既
にレピュテーションの確立した証明書を盗んでコード署名した場合な
ど、抜け道の可能性がない訳ではない。
Windows SmartScreenが標的型攻撃に有効な理由

View Slide

Lhaplusをデフォルトのアーカイバとして設定
157
SmartScreenによる警告が表示される
加される

View Slide

Lhaplusをデフォルトのアーカイバとして設定
158
Outlook ＆ Lhaplus (Windows8)
ZoneIDが付加されていないため、SmartScreenによるチェック
が行われず、警告なしに実行される
加される

View Slide

Demo

View Slide

ソフトウェア制限ポリシー
AppLocker

View Slide

Lhaplusなどのサードパーティのアーカイバを
既定のアーカイバとして使用する必要がある場合
ソフトウェア制限ポリシー（Home以外）
AppLocker（Win7 Ultimate／Enterprise、Win8 Enterprise）
で、解凍先のフォルダのプログラム実行を制限

View Slide

Windows 7/8 Proでは、AppLockerのポリシー作成は可能だがポリシーの実施は出来ない

View Slide

ソフトウェア制限ポリシーの設定例
デスクトップ以下のプログラム実行を許可しない
（ショートカットもブロックされてしまうため、ショートカットを除外する）

View Slide

164
Outlook ＆ Lhaplus (Windows7 ソフトウェア制限ポリシー設定)
加される
ソフトウェア制限ポリシーによりブロック

View Slide

ソフトウェア制限ポリシーの設定例
Lhaplusの解凍フォルダを「ドキュメント」に
「ドキュメント」以下のプログラム実行を許可しない

View Slide

添付ファイルをドラッグ＆ドロップ
すると、ZoneIDが欠落することの対策
のために、デスクトップのプログラム
の実行はソフトウェア制限ポリシーで
禁止した方が良いかも

View Slide

Demo

View Slide

パスワード付きZIPよりOffice文書の暗号化設定を使用しましょう
ZIPに比べDOCXでは解析時間が約20万倍
セキュリティ調査レポート Vol.3／パスワードの最大解読時間測定【暗号強度別】
http://www.dit.co.jp/service/report/security-threat_v3.html

View Slide

John the Ripperのベンチマーク
でも１０数万から3０数万倍の差
# john -test
（略）
Benchmarking: Office 2007/2010 SHA-1/AES [32/64]... (4xOMP) DONE
Raw: 95.0 c/s real, 24.8 c/s virtual
（略）
Benchmarking: PKZIP [32/64]... (4xOMP) DONE
Many salts: 31394K c/s real, 7946K c/s virtual
Only one salt: 13093K c/s real, 3463K c/s virtual

View Slide

会社の規定などで
パスワード付きZIPを使用しなければならない場合
• パスワード付きZIPを作成可能なサードパーティのアーカイバに
は、ZIP,LZHなどの拡張子の関連付けはせずに、作成時のみ使用
する
• 標準アーカイバ（エクスプローラー）は、パスワード付きZIPの
解凍は可能

View Slide

実のある標的型メール訓練を
• 普段使っているメーラー、アーカイバ、フォルダの表示設定で、
偽装された添付ファイルがどのように見えるか？警告は表示され
るのか？
• 無害化した添付ファイル（ワクチン）を使ってあえて開いてみる
ことで、警告が出る（ブロックされる）様になる動作を身につけ
る

View Slide

1. ZoneIDの役割
セキュリティ警告、Windows SmartScreen、保護されたビュー
などWindows標準のセキュリティ機能の多くはZoneIDに依存し
ている
2. メーラーやアーカイバ（解凍ソフト）に
よるZoneIDの扱いの違い
ZoneIDを付加しないメーラやZoneIDを欠落させてしまうアーカ
イバがあるためせっかくのセキュリティ機能が動作しない
3. Windows標準のセキュリティ機能
セキュリティの警告、Windows SmartScreen
ソフトウェア制限ポリシー/AppLocker、保護されたビューなど
標準の機能だけでも有用な対策となる
今日のポイントのおさらい

View Slide

• フォルダの表示設定の変更
– 「登録されている拡張子は表示しない」のチェックを外す
• 添付ファイルにゾーン情報が保存されるメーラーを使用する
（Outlook、Windows Live メール、Thunderbird等）
• Windows標準のアーカイバを既定のアーカイバとする
• サードパーティのアーカイバを拡張子に関連付けしない
– パスワード付きZIPの作成のみ使用する
• セキュリティの警告、SmartScreenの警告が出たら実行しない
• 保護されたビューで「編集を有効」にしない
• ソフトウェア制限ポリシー/AppLockerを設定し、デスクトップ及
び解凍先フォルダの意図しないプログラムの実行を制限する
• 自分が普段使っているメーラ・アーカイバの組み合わせで偽装
ファイルがどのように表示されるか、どのような警告が表示され
るか予行演習を行い、警告、ブロックされるような動作を身に付
ける
標的型攻撃メールに対する対策まとめ

View Slide

• 添付ファイル型
– 脆弱性を利用しない攻撃（実行ファイル型）
• AES(ZoneID）の特性を活かす
セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ／AppLocker
– 既知の脆弱性を利用した攻撃（Office、PDF reader等）
• パッチの適用、保護されたビュー、EMET
– ゼロデイ脆弱性を利用した攻撃（Office、PDF reader等）
• 保護されたビュー、EMET
• URLクリック型
（水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通）
– 脆弱性を利用しない攻撃（実行ファイル型）
• AES(ZoneID）の特性を活かす
セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ／AppLocker
– 既知の脆弱性を利用した攻撃（ブラウザ、プラグイン等）
• パッチの適用、（Right)Click-to-Play、EMET
– ゼロデイ脆弱性を利用した攻撃（ブラウザ、プラグイン等）
• （Right)Click-to-Play 、EMET
標準機能による対策だけでも多層防御になります

View Slide

次回のssmjpに持ち越し
ブラウザ・プラグインの脆弱性を狙った
ドライブバイダウンロード攻撃
の対策

View Slide

ありがとうございました

View Slide

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Takuji Kitagawa

More Decks by Takuji Kitagawa

Other Decks in Technology

Featured

Transcript