Windows標準の機能を使用した標的型攻撃の対策ドライブ・バイ・ダウンロード編 #ssmjp /ssmjp1507-2

Slide 1

Slide 1 text

Windows標準の機能を使用した標的型攻撃の対策ドライブ・バイ・ダウンロード編 @kitagawa_takuji 2015年8月7日 #ssmjp

Slide 2

Slide 2 text

前回の最後のスライド

Slide 3

Slide 3 text

• 添付ファイル型 – 脆弱性を利用しない攻撃（実行ファイル型） • AES(ZoneID）の特性を活かすセキュリティ警告、SmartScreen、ソフトウェア制限ポリシ／AppLocker – 既知の脆弱性を利用した攻撃（Office、PDF reader等） • パッチの適用、保護されたビュー、EMET – ゼロデイ脆弱性を利用した攻撃（Office、PDF reader等） • 保護されたビュー、EMET • URLクリック型（水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通） – 脆弱性を利用しない攻撃（実行ファイル型） • AES(ZoneID）の特性を活かすセキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ／AppLocker – 既知の脆弱性を利用した攻撃（ブラウザ、プラグイン等） • パッチの適用、（Right)Click-to-Play、EMET – ゼロデイ脆弱性を利用した攻撃（ブラウザ、プラグイン等） • （Right)Click-to-Play 、EMET 標準機能による対策だけでも多層防御になります

Slide 4

Slide 4 text

1. 標的型メール攻撃のURLクリック型 2. 水飲み場攻撃（標的型攻撃の一種） 3. 不特定多数を対象としたドライブバイダウンロード攻撃これらの対策は共通

Slide 5

Slide 5 text

今日の本題ブラウザ・プラグインの脆弱性を狙ったドライブバイダウンロード攻撃の対策

Slide 6

Slide 6 text

ブラウザ・プラグインの脆弱性を狙ったドライブバイダウンロード攻撃 Javaの脆弱性を利用した攻撃が減少 • Javaのゼロデイの減少（Java7のサポート終了、Java8では脆弱性が生じ難い設計になっている） • Javaの自動更新機能 • Chromeの既定でNPAPIのサポートが無効化 • FireFox、IEで古いバージョンのJavaプラグインをブロック • JavaアプレットなどJREが必要となる環境の減少 • Jave6、Java7などの古いバージョンを更新せず使い続けている場合、攻撃の被害に

Slide 7

Slide 7 text

IEが古いバージョンのJavaプラグインをブロック

Slide 8

Slide 8 text

Firefoxでも古いバージョンのJavaプラグインをブロック

Slide 9

Slide 9 text

MyJVNバージョンチェッカに JREが不要な.NET Framework版がリリース

Slide 10

Slide 10 text

Javaが不要な場合はアンインストール Javaは必要だが、ブラウザでの実行は不要な場合は、セキュリティ設定で「ブラウザでJavaコンテンツを有効にする」のチェックがないことを確認

Slide 11

Slide 11 text

• Flash Playerの脆弱性が現在も報告され続けている • Flashを無効化すると機能しなくなるサイト（動画、ゲーム等）がまだ大量に残っている • 業務関連でもFlash Playerが必要なサイトがある • Flash Playerのプラグインを完全に無効にすることは難しい • FirefoxではFlash以外のプラグインは既定で「実行時に確認」になっているが、Flashだけは「常に有効化」になっているそれだけ、Flashがまだ必要とされているブラウザ・プラグインの脆弱性を狙ったドライブバイダウンロード攻撃 Adobe Flash Playerに対する攻撃が現在の主流に

Slide 12

Slide 12 text

Flash Playerの脆弱性が現在も報告され続けている

Slide 13

Slide 13 text

Adobe Flash Playerに対する攻撃の対策ブラウザ・プラグインを最新に更新することが基本 • Windows 8 IE10/ Windows 8.1 IE11/ Windows 10 Edgeでは、 Windows UpdateでFlash Playerの更新が配信される • Windows Vista/Windows 7のIE(IE11も含む）では、Flash Playerの更新をインストールする必要がある • Chromeでは、Chrome自身の更新にFlash Playerの更新が含まれる • Firefoxでは、Flash Playerの更新をインストールする必要がある。古いバージョンのFlash Playerを使用している場合は警告が出るが、無視して実行することも可能

Slide 14

Slide 14 text

Adobe Flash Playerが最新であることの確認方法 http://www.adobe.com/jp/software/flash/about/ にアクセスしブラウザのプラグインのバージョンと提供されているバージョンが一致することを確認

Slide 15

Slide 15 text

Flash Playerプラグインを最新に更新することが基本だが • 企業では動作検証のために、Windows Updateの公開から実際にクライアントに配布されるまでに一週間程度のタイムラグが生じることも • Windows７のIEの場合、企業ではSCCMの様な管理ツールを使ってFlash Playerを自動配布していることが多いが、これもタイムラグが生じる可能性。また、利用者にインストールを任せている場合、正しく適用されていない場合も • Chromeでは、ブラウザを再起動しないと更新されないが、再起動せずに使い続けている場合もある • Firefoxでは、古いバージョンのFlash Playerを使用している場合は警告が出るが、警告を無視して実行することも可能

Slide 16

Slide 16 text

公表されていないゼロデイを隠し持っている諜報機関等に狙われた場合は仕方ないとして広く攻撃コードが出回っているのにアップデートが提供されていない場合がある

Slide 17

Slide 17 text

多くの注意喚起でアップデートが提供されるまで Flash Playerを無効にすることが推奨されているが業務でFlash Playerが必要だったりどうしても動画を見たい、ゲームをしたいという人が無効にせずに使い続けることも

Slide 18

Slide 18 text

このセッションではゼロデイ攻撃が出回っている場合やアップデートが遅れてしまった場合でも出来るだけ安全にFlash Player を使用する方法を考えます Flash Player以外の他のプラグインでも基本的な考えは同じ

Slide 19

Slide 19 text

100％の安全を求める人はいますぐFlash Playerプラグインを無効化して下さい 100%の安全を保証するものではありません

Slide 20

Slide 20 text

Flash Playerの脆弱性を悪用したPCの乗っ取りと聞くとこの様な画像が表示されることを思い浮かべるかも知れませんが

Slide 21

Slide 21 text

Flash Playerの脆弱性を悪用した攻撃でドクロが表示されることはありません

Slide 22

Slide 22 text

ほとんどの場合攻撃コードは、隠れたiframeなどでユーザから見えない形でバックグラウンドで実行されます

Slide 23

Slide 23 text

動画やアニメーションなどが全くないページでも、見えない部分に攻撃コードが埋め込まれている可能性があります

Slide 24

Slide 24 text

Flash Playerの脆弱性の悪用 ≠ 動画やアニメーションを見る

Slide 25

Slide 25 text

有名な（訪問者の多い）正規のサイトを改ざんし、見えない部分に攻撃コードを埋め込んで感染させる最近、多い手口

Slide 26

Slide 26 text

ゼロデイ脆弱性が出ても動画サイトやゲームサイトを訪問しなければ安心な訳ではない

Slide 27

Slide 27 text

Click-to-Play プラグイン実行の明示的な許可

Slide 28

Slide 28 text

Click-to-Play • 正規サイトの改ざん（水飲み場攻撃も含む）では、正規サイトそのものに、攻撃ツール（ExploitKit）が設置されるのではなく、攻撃ツールが設置された外部の悪性サイトにリダイレクトするiflameや難読化したJavaScriptのみが正規サイトに埋め込まれることが多い • Exploitコードは利用者に気付かれないようバックグランドで見えない形で実行される • 全てのサイトに対してプラグインの実行を許可していると、悪性サイトからダウンロードされた脆弱性を突くプラグインも自動的に実行されてしまう • Click-to-Playで必要な場合のみプラグインの実行を明示的に許可することで、悪性サイトからのプラグインの実行の可能性を出来るだけ少なくする

Slide 29

Slide 29 text

Click-to-Play • サイト全体を許可してしまうと、見えない形で埋め込まれた攻撃コードも実行されてしまうため要素ごとに実行出来ることが望ましい • １クリックで実行出来てしまうと、クリックジャッキングや間違えてクリックしてしまう可能性があるため、（多少利便性は低下するが）右クリックで実行出来た方が望ましい • 外部サイトからのFlashファイル読み込みを拒否する設定はない。CDN（ファイルサイズが大きいことが多い）の利用や、動画広告配信、動画サイトの埋め込み等で、外部サイトから読み込まれることが多いため

Slide 30

Slide 30 text

Click-to-Play • ブラウザによって実装が異なる。また、信頼済みサイトにExploitKitが設置された場合など、１００％防げるものではないので、プラグインの更新がやはり基本

Slide 31

Slide 31 text

Chromeの設定

Slide 32

Slide 32 text

Chromeの設定

Slide 33

Slide 33 text

コンテンツの設定で「プラグインコンテンツをいつ実行するかを選択する」を選択（既定は「プラグインコンテンツをすべて実行する」）

Slide 34

Slide 34 text

Chromeベータ版では「重要なプラグインコンテンツを検出して実行する」が既定９月頃にリリース予定の安定版で既定になる予定

Slide 35

Slide 35 text

「重要なプラグインコンテンツを検出して実行する」が既定となるのはバッテリーの節約のため Chrome Blogではセキュリティについての言及がないため不正コード実行の阻止に役立つかは不明

Slide 36

Slide 36 text

chrome://plugins で「常に実行を許可する」がチェックされてないことを確認

Slide 37

Slide 37 text

必要な場合のみ右クリックで「このプラグインを実行」 Chrome42よりClick-to-Play からRightClick-to-Playに変更（クリックジャッキングや間違ってクリックしてしまうことに対する対策）

Slide 38

Slide 38 text

アドレスバー右のプラグインマークをクリック

Slide 39

Slide 39 text

信頼できるサイトを「常に許可する」ことも可能本当に信頼出来るサイト以外は、毎回、要素毎に許可することを推奨

Slide 40

Slide 40 text

「常に許可する」とプラグインの例外に追加される

Slide 41

Slide 41 text

1ページに複数要素がある場合、要素毎に実行をコントロール出来る

Slide 42

Slide 42 text

複数要素の内、１要素だけを実行

Slide 43

Slide 43 text

プラグイン毎の設定は出来ないすべてのプラグインで右クリックが必要になる

Slide 44

Slide 44 text

特定のプラグインは常に有効にしたい場合 chrome://plugins で「常に実行を許可する」をチェック

Slide 45

Slide 45 text

Firefoxの設定

Slide 46

Slide 46 text

Firefoxでは古いバージョンのFlashプラグインを使用していると警告が出るただし、無視して実行することも可能

Slide 47

Slide 47 text

プラグインの初期設定が「実行時に確認する」（Click-to-Play) 但し、Adobe Flashだけは「常に有効化する」になっている

Slide 48

Slide 48 text

FirefoxのClick-to-Playの設定アドオンを選択

Slide 49

Slide 49 text

アドオンマネージャでFlashを「実行時に確認する」に設定

Slide 50

Slide 50 text

Flash Playerが必要なサイトにアクセスすると下記の様な表示本当に必要な場合のみクリック

Slide 51

Slide 51 text

「今だけ許可」か「常に許可する」を選択

Slide 52

Slide 52 text

1ページに複数要素がある場合

Slide 53

Slide 53 text

要素毎の許可は出来ず、サイト毎の許可となる

Slide 54

Slide 54 text

FirefoxのClick-to-Playでは（外部サイトからの読み込みも含めた）サイト全体の許可のためページの見えない部分に不正なコードが埋め込まれていた場合攻撃コードが実行されてしまう

Slide 55

Slide 55 text

要素単位でプラグインの実行を管理する拡張機能 Click to Play per-element

Slide 56

Slide 56 text

クリックで要素ごとにプラグインを一時的に有効化

Slide 57

Slide 57 text

右クリックで有効化も可能だがChromeの様に必須ではない１クリックで有効になってしまうので、クリックジャッキングや間違って有効にしてしまう可能性も

Slide 58

Slide 58 text

アドレスバー左をクリックすることによりページ全体を許可することも可能

Slide 59

Slide 59 text

Internet Explorerの設定

Slide 60

Slide 60 text

Internet Explorerの設定アドオンの管理

Slide 61

Slide 61 text

アドオンの管理でFlashを右クリックし「詳細情報」

Slide 62

Slide 62 text

既定ではすべてのサイトが許可されている（＊）のですべてのサイトの削除をクリック

Slide 63

Slide 63 text

Flashが必要なページにアクセスすると下記の様なポップアップが出るので必要な場合のみ「許可」する許可しないと毎回このポップアップが出てブラウザ下部を専有するので、つい許可してしまいがち

Slide 64

Slide 64 text

一度許可したサイトはホワイトリストとして登録される一時的な許可は出来ない

Slide 65

Slide 65 text

複数の要素がある場合、複数回ダイアログが出るがどの要素を有効にしているのか分からないよって、攻撃コードの実行を有効にしてしまう可能性がある

Slide 66

Slide 66 text

EMET（Enhanced Mitigation Experience Toolkit)の Attack Surface Reduction (ASR) 特定のライブラリやプラグインの読み込みをブロックする事が可能。セキュリティ・ゾーン毎の制御が可能なので、例えば、イントラネットゾーンと信頼済みゾーンではプラグインの読み込みを許可し、インターネットゾーンでは拒否する設定が可能

Slide 67

Slide 67 text

Enhanced Mitigation Experience Toolkit（EMET) ゼロデイ攻撃やパッチの適用漏れに有効だが、正規のアプリが動作しないなどの不具合が起きることも多いので導入には注意が必要

Slide 68

Slide 68 text

EMETのAttack Surface Reduction (ASR)により IEでイントラネット、信頼済みサイト以外でのFlashプラグインの読み込みを禁止する設定 Apps で iexplore.exe を選択 Show All Settings をクリックし Attack Surface Reduction のModulesに flash*.ocx を追加 Flashが必要なサイトをインターネットオプションで「信頼済みサイト」に追加する

Slide 69

Slide 69 text

インターネットオプションで許可するサイトを「信頼済みサイト」に追加

Slide 70

Slide 70 text

EMETのAttack Surface Reduction (ASR)がFlashプラグインをブロック

Slide 71

Slide 71 text

EMETのRecommended Settingでは Word,Excel,PowerPointなどのOfficeソフトでは Attack Surface Reduction (ASR)によりflash*.ocx が既定で禁止されている

Slide 72

Slide 72 text

IEでは、アドオンの管理を使った場合でも EMETのASRを使った場合でも要素毎のコントロールは出来ず（外部サイトからの読み込みも含めた）サイト全体での許可となる

Slide 73

Slide 73 text

そのため、ゼロデイ攻撃が出回っている状況では IEでのFlashプラグインの有効化は社内サイトなどの本当に信頼できるサイトのみに留め、外部サイトの閲覧には要素毎の有効化を出来る様に設定した ChromeやFirefoxを使用することを推奨

Slide 74

Slide 74 text

ブラウザ毎の推奨設定 • Chrome 設定->プライバシー->コンテンツの設定->プラグイン「プラグインコンテンツをいつ実行するかを選択する」をチェック右クリックで要素毎に許可（RightClick-to-Play） • Firefox 「Click to Play per-element」拡張機能をインストールクリックで要素毎に許可（Click-to-Play）  右クリックが必須ではないので間違ってクリックしてしまう可能性も • IE EMETのAttack Surface Reductionにflash*.ocx を追加プラグインの実行を許可するサイトを信頼済みサイトに追加  要素毎の許可は出来ないため、信頼済みサイトにマルウェアを仕込まれた時の感染リスクは残る  EAF+などEMETの他の緩和策が攻撃を阻止できる可能性も  EMETにより正規のソフトウェアの動作に不具合が出る可能性もある

Slide 75

Slide 75 text

Flash Playerに関するブラウザ毎の特徴（推奨順）１．Chrome • ブラウザ自体の更新にFlash Playerの更新も含まれる（ブラウザの更新方法も容易） • PPAPI(Pepper Plugin API)というサンドボックス化された安全な方法で実装されている（但し、サンドボックスをバイパスする攻撃コードも存在する） • 右クリックで要素毎に許可する設定が可能（RightClick-to-Play) ２．Firefox • 更新を都度インストールする必要がある • 古いバージョンでは警告が出るが無視して実行することも可能 • NPAPI（Netscape Plugin API)という古く、セキュリティ上の問題が指摘されている方法で実装されている（Chrome42でNPAPIを初期段階で無効化、Chorme45で完全無効化） • 標準では要素毎の有効化は出来ない • 要素毎の有効化を可能とする拡張機能を入れても１クリックで有効になってしまうので、クリックジャッキングなどによるバイパスや、間違ってクリックしてしまうことが生じ易い３．IE • Win8,8.1のIE11ではWindows Updateで更新が配布される • Vista,Win7では、更新のインストールが必要 • ブラウザの表示領域を専有するポップアップが毎回出る • 一時的な許可は出来ず、すべて永続的な許可となる • 要素毎の有効化は出来ず、サイト全体での有効化となる

Slide 76

Slide 76 text

広告配信サービスからの感染 Malvertising

Slide 77

Slide 77 text

東京都

Slide 78

Slide 78 text

環境省

Slide 79

Slide 79 text

10日間で計1000万人訪問のWebサイトの広告配信に Angler Exploit Kitが設置されていた

Slide 80

Slide 80 text

日本のサイトも複数報告されている

Slide 81

Slide 81 text

朝日＝huffingtonpost.jp ？読売＝hochi.co.jp ？続報や各社からの発表はないため、詳細は不明

Slide 82

Slide 82 text

ブラウザ・プラグインを最新に更新することや Click-to-Playを設定することで広告配信経由のマルウェア感染を防ぐことが出来る

Slide 83

Slide 83 text

ほとんどのインターネットサービスが無料なのは広告収入で成り立っているため。よって、こういった対策を紹介すべきか悩みますが、広告配信業界のマルウェア対策や情報開示が進んでいない状況のため、やむを得ず紹介します。

Slide 84

Slide 84 text

広告ブロックの拡張機能を導入することで広告配信経由のマルウェアへの感染リスクを更に低減することが出来る通常の表示広告ブロックを有効化

Slide 85

Slide 85 text

出来るだけFlashが不要なサイトを利用する HTML5対応の動画サイト等

Slide 86

Slide 86 text

Youtube Vimeo Daily motion Ustream Veoh Hulu ニコニコ動画 GYAO! (Yahoo! 動画） FC2動画ひまわり動画パンドラ TV Chrome44 (64bit) ○ ○ ○ X X X X X X X X Firefox 39 ○ ○ ○ X X X X X X X X IE11(Win8.1) ○ ○ ○ X X X X X X X X Edge(Win10) ○ ○ ○ X X X X X X X X 各動画サイトのHTML5対応状況 WindowsのブラウザでFlashを無効にして再生出来るかをチェック

Slide 87

Slide 87 text

iOSやAndroid 4.4, 5.0, 5.1以降では、 Flashが使えないため、PC用サイトではFlash Playerを要求するサイトでもスマホ用サイトではHTML5に対応していることが多い HTML5対応サイトがまだ少ない印象があるが

Slide 88

Slide 88 text

PCのブラウザでアクセスするとFlash Playerを要求される

Slide 89

Slide 89 text

スマホ用サイトのURLが判れば

Slide 90

Slide 90 text

スマホ用サイトにアクセスすれば PCのブラウザでもHTML5で再生できることが多い

Slide 91

Slide 91 text

PCでアクセスした場合、スマホ用サイトの案内は出ないことが多い（逆はあることが多い）また、同じURLで、User-Agentを見てPC用、スマホ用に最適化したコンテンツを返すサイトもある

Slide 92

Slide 92 text

User-Agentをスマホのものに変更してアクセスすることで、Flash Player プラグインを無効にしたままHTML5で動画を再生出来ることが多い

Slide 93

Slide 93 text

Chromeの開発者ツールの利用

Slide 94

Slide 94 text

PCのChromeでアクセスするとFlash Playerを要求される

Slide 95

Slide 95 text

F12キーで開発者ツールを起動左から２番目のデバイスのアイコンをクリックしエミュレーション機能を有効

Slide 96

Slide 96 text

Deviceを選択

Slide 97

Slide 97 text

Deviceを選択しリロードすることで Flash Playerを無効にしたまま、HTML5で再生

Slide 98

Slide 98 text

クリックでUser-Agentを簡単に変更できるブラウザ拡張機能

Slide 99

Slide 99 text

UserAgentを変更する拡張機能（Chrome)

Slide 100

Slide 100 text

UserAgentをクリックで簡単に変更可能

Slide 101

Slide 101 text

UserAgentを変更する拡張機能（Firerfox)

Slide 102

Slide 102 text

PC用サイトでの再生にはFlashが必要

Slide 103

Slide 103 text

UserAgentをスマホ(iOS)に変更

Slide 104

Slide 104 text

UserAgentを確認

Slide 105

Slide 105 text

Google先生に聞くとスマホ用サイトに自動的に誘導される

Slide 106

Slide 106 text

Flash Playerを無効にしたまま、HTML5で再生

Slide 107

Slide 107 text

専用アプリがないと再生できないなどスマホのブラウザでの再生に対応していない動画サイトもある各ブラウザがサポートするメディア形式の違いにより再生出来ないことも

Slide 108

Slide 108 text

問題はFlashを使ったブラウザ・ゲーム

Slide 109

Slide 109 text

高機能なゲームでは、まだまだFlashが必要なものも多いので専用のWindowsタブレットなどを購入するのも一案その場合も、ブラウザの推奨設定を行う

Slide 110

Slide 110 text

• ブラウザ・プラグインを最新に更新することが基本 • Click-to-Playを設定し、要素毎に実行を許可することが望ましい  Chrome「プラグインコンテンツをいつ実行するかを選択する」  Firefox「Click to Play per-element」拡張機能 • Chromeの右クリックで実行を許可する方法（RightClick-to-Play)がより望ましい • IEでは要素毎に実行を許可することが難しい本当に信頼できるサイトのみをインターネットオプションで信頼済みサイトに登録し、それ以外のサイトのFlashプラグインの読み込みを EMETのAttack Surface Reductionにより禁止する設定に • EMETをブラウザに対し有効にすることで緩和策となるが、不具合が生じることも多いので、十分に検証した上で設定することを推奨 • 業務の都合でプラグインを更新できない場合、業務サイト用のブラウザ（IE)と外部サイト閲覧用のブラウザ（Chrome、FF)を分けるブラウザ・プラグインの脆弱性を狙ったドライブバイダウンロード攻撃に対する対策