JNSAメールマガジン 第71号 2015.10.9☆★☆

こんにちは
JNSAメールマガジン 第71号 をお届けします。


10月は情報セキュリティイベントが目白押しですが、JNSAでも10月15日に設立15周年記念イベント「NetworkSecurity Special Forum(NSSF15)」を行います。玉井博文氏による基調講演「未来への挑戦:「人のためのロボット」の実用化」や優秀論文上位4名による発表、講演「セキュリティ過去と未来」など、未来をみすえた講演を揃えています。ぜひ多くの方に御参加いただければ幸いです。
http://www.jnsa.org/seminar/2015/nssf15/

さて、リレーコラムは「すぐできる標的型攻撃対策」をテーマに、3人の方の寄稿を連載中です。
2回目は、NTTコムセキュリティ株式会社 オペレーション&コンサルティング部北河拓士様の寄稿です。

【連載リレーコラム(2)】
「すぐできる標的型攻撃対策 Windows標準のセキュリティ機能を利用した対策」

(NTTコムセキュリティ株式会社オペレーション&コンサルティング部 北河 拓士)

このコラムでは、現在の主流になっている標的型メール攻撃の手口に対し、出来るだけコスト負担も少なく、すぐに出来る対策を考えてみたい。

IPAを情報ハブとしてサイバー攻撃の情報共有を行う取り組みである、サイバー情報共有イニシアティブ(J-CSIP)が2015年7月に公表した2015年4月〜6月の運用状況の報告(*1)によると、標的型メールのメール種別は「添付ファイル」が実質86%を占めた。また、添付ファイル種別は全てが「実行ファイル」であり、これらは全て圧縮された状態で添付されていた。更に、メールの配送経路でのウイルス検知機能の回避が目的と思われる、「パスワード付き圧縮ファイル」が約6割を占めたという。この様に、現在の標的型メール攻撃で主流となっているのは、「文書ファイルに偽装した実行ファイルを圧縮して添付」する手口だ。この実行ファイルは脆弱性を利用するものではないので、例え最新の修正プログラムが全て適用してあったとしても、実行しただけで遠隔操作マルウェアに感染してしまう。

このような手口に対して最も効果的なのは、メールサーバ等のゲートウェイ上で、圧縮されたものも含む実行形式のファイルをブロックしてしまうことだろう。パスワード付き(暗号化)ZIPであっても、中に含まれるファイル名は判るため、拡張子から判断してブロックすることは可能だ。実際、Gmailではそのようにしている。(*2)但し、一般的なメールサーバでは、特定の拡張子の添付ファイルを拒否する設定は可能だが、圧縮ファイルの中身まで見て判断することは出来ないので、拡張のプログラムを開発するか、そのような機能のあるゲートウェイ製品などを導入する必要がある。

コスト負担を考えた場合、クライアント側でWindowsに最初から備わっている標準のセキュリティ機能を有効利用していくことが得策だろう。Windowsには、インターネットから取得されたファイルの場合、実行ファイルであれば「セキュリティの警告」を表示して警告する機能が備わっている。これにより、文書ファイルを開いたはずなのに実行ファイルの警告が出るのはおかしいと気付くことが出来る。また、Windows 8以降では、実行時にファイルのハッシュ値をマイクロソフトのクラウドに送信し、ファイルのレピュテーション(評価・評判)を問い合わせる「WindowsSmartScreen」という機能が既定で有効になっている。標的型攻撃で使用されるマルウェアは、アンチウイルスでのシグニチャ検知を避けるため、あえて未知のハッシュ値となるように作成されている。「Windows SmartScreen」によりハッシュ値が送信されると、未知のハッシュ値のためレピュテーションが確立されておらず、実行がブロックされる。但し、「セキュリティの警告」も「Windows SmartScreen」もZoneIDと呼ばれるインターネットから取得されたことを表す識別子がファイルに付加されている場合のみ動作する。メーラーと解凍ソフトの組み合わせによっては、添付ファイルの解凍時にZoneIDが付加されておらず、これらのセキュリティ機能が動作しないことがあるため注意が必要だ。筆者が添付ファイルにZoneIDが付加されることを確認しているメーラーは、Outlook、Windows Liveメール及びMozilla Thunderbirdだ。また、フリーウェアの解凍ソフトの殆どは、解凍時にZoneIDを欠落させてしまうが、Windowsの標準のエクスプローラーを使用すれば解凍後もZoneIDが維持される。

更に、ソフトウェア制限ポリシー(XP以降、Homeエディションを除く)やAppLocker(Win7以降、Home,Proエディションを除く)といった特定のポリシーに基づいてアプリケーションの実行を制限する機能も有効だ。ソフトウェア制限ポリシー・AppLockerとも、既定で全てのソフトウェアの実行を許可し、禁止するソフトウェアを指定する「ブラックリスト」方式と、既定で全てのソフトウェアの実行を禁止し、許可するソフトウェアを指定する「ホワイトリスト」方式の両方が利用出来る。また、グループポリシーによりドメイン内のコンピュータにポリシーを適用することも可能だ。例えば、「ブラックリスト」方式により、添付ファイルが保存されるフォルダ、解凍先のフォルダ、デスクトップなどでの実行ファイルの実行を禁止するポリシーを設定する。これにより、文書ファイルなどに偽装された実行ファイルをクリックして実行してしまった場合でも、実行がブロックされる。ソフトウェア制限ポリシー・AppLockerでは、ZoneIDの有無に関わらず実行をブロックすることが可能だが、メーラーと解凍ソフトの組み合わせによって解凍先のフォルダなどの条件が異なるので、それぞれの環境に合わせて設定を行う必要がある。

このように、Windows標準のセキュリティ機能だけでも、標的型メール攻撃で現在の主流となっている「文書ファイルに偽装した実行ファイルを圧縮して添付」する手口に対し、有効な対策となる。但し、一度設定を行えばそれで安心という訳には行かない。ユーザが管理者の意図しない操作手順をした場合、警告やブロックが上手く動作しないこともあるし、せっかく警告が表示されても、事前知識がなければ無視して実行してしまうユーザもいるだろう。実際に無害な偽装された添付ファイルを開いて実行してみることを体験することで、警告・ブロックされる手順を身に付け、慌てずに適切な対処が出来るようになることが重要である。このような予行演習は抜き打ちである必要はない。また、巧みな誘導によりセキュリティ機能を解除させるようなソーシャルエンジニアリングの手口もいずれ出てくるであろう。そのような誘導をおかしいと気付くことが出来るようなユーザの意識づけも重要である。

本コラムのWindows標準のセキュリティ機能を利用した標的型攻撃の対策について、筆者がスクリーンショットなどを用いて解説した記事が公開されているので、詳しくはそちらを御一読頂ければ幸いである。(*3,*4)



#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★9月9日に開催しました「内部不正対策14の論点」発売記念セミナーの講演資料を公開しました。ぜひご覧ください。
 http://www.jnsa.org/seminar/2015/0909/index.html

★10月5日開催「待ったなし!マイナンバーの取扱と安全管理」セミナーは大変盛況のうちに終了いたしました。  多くの方々のご参加ありがとうございました。
「マイナンバー対応のための情報ポータル」もぜひご活用ください。
 http://www.jnsa.org/mynumber/

【事務局からの連絡、お知らせ】
★JNSA設立15周年記念イベント開催のご案内
「Network Security Special Forum」
 http://www.jnsa.org/seminar/2015/nssf15/
  日時:2015年10月15日(木)13時〜17時(12時30分開場予定)
  場所:ベルサール飯田橋駅前 ホールA
 ただいま申込受付中です。皆様のご参加をお待ちしております。

★JNSA設立15周年記念パーティのご案内
  日 時:2015年10月15日(木)18時〜21時(17時30分開場)
  場 所:カナルカフェ 新宿区神楽坂1-9(飯田橋駅B2a出口すぐ)
 http://www.canalcafe.jp/map/
 参加費:無料
 協会設立15周年を記念して、ささやかなパーティを開催いたします。
 JNSA会員の方でしたらどなたでも御参加いただけますので、ぜひ部会・WGメンバーの方などお誘い合わせの上御参加ください。
 お申込みはJNSA事務局 までお願いします。

★「JNSAセキュリティセミナー in 札幌」申込受付開始しました!
 JNSA設立15周年記念イベントの一環として、今年は全国各地でセキュリティセミナーを開催します。
 日時:2015年11月17日(火)13:00〜16:00(開場12:30)
 会場:わくわくホリデーホール(札幌市民ホール)第1・2会議室
 プログラム・お申込みは↓こちら↓から
 http://www.jnsa.org/seminar/2015/1117/
 <今後のセミナー開催予定>
  11月26日(木)大阪
  12月17日(木)沖縄
★JNSA会報誌「JNSA Press Vol.40」(最新号)をJNSAサイトに掲載しました。
 http://www.jnsa.org/jnsapress/vol40/index.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第71号 
発信日:2015年10月9日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.