JNSAメールマガジン 第71号 2015.10.9☆★☆
(NTTコムセキュリティ株式会社オペレーション&コンサルティング部 北河 拓士)
このコラムでは、現在の主流になっている標的型メール攻撃の手口に対し、出来るだけコスト負担も少なく、すぐに出来る対策を考えてみたい。
IPAを情報ハブとしてサイバー攻撃の情報共有を行う取り組みである、サイバー情報共有イニシアティブ(J-CSIP)が2015年7月に公表した2015年4月〜6月の運用状況の報告(*1)によると、標的型メールのメール種別は「添付ファイル」が実質86%を占めた。また、添付ファイル種別は全てが「実行ファイル」であり、これらは全て圧縮された状態で添付されていた。更に、メールの配送経路でのウイルス検知機能の回避が目的と思われる、「パスワード付き圧縮ファイル」が約6割を占めたという。この様に、現在の標的型メール攻撃で主流となっているのは、「文書ファイルに偽装した実行ファイルを圧縮して添付」する手口だ。この実行ファイルは脆弱性を利用するものではないので、例え最新の修正プログラムが全て適用してあったとしても、実行しただけで遠隔操作マルウェアに感染してしまう。
このような手口に対して最も効果的なのは、メールサーバ等のゲートウェイ上で、圧縮されたものも含む実行形式のファイルをブロックしてしまうことだろう。パスワード付き(暗号化)ZIPであっても、中に含まれるファイル名は判るため、拡張子から判断してブロックすることは可能だ。実際、Gmailではそのようにしている。(*2)但し、一般的なメールサーバでは、特定の拡張子の添付ファイルを拒否する設定は可能だが、圧縮ファイルの中身まで見て判断することは出来ないので、拡張のプログラムを開発するか、そのような機能のあるゲートウェイ製品などを導入する必要がある。
コスト負担を考えた場合、クライアント側でWindowsに最初から備わっている標準のセキュリティ機能を有効利用していくことが得策だろう。Windowsには、インターネットから取得されたファイルの場合、実行ファイルであれば「セキュリティの警告」を表示して警告する機能が備わっている。これにより、文書ファイルを開いたはずなのに実行ファイルの警告が出るのはおかしいと気付くことが出来る。また、Windows 8以降では、実行時にファイルのハッシュ値をマイクロソフトのクラウドに送信し、ファイルのレピュテーション(評価・評判)を問い合わせる「WindowsSmartScreen」という機能が既定で有効になっている。標的型攻撃で使用されるマルウェアは、アンチウイルスでのシグニチャ検知を避けるため、あえて未知のハッシュ値となるように作成されている。「Windows SmartScreen」によりハッシュ値が送信されると、未知のハッシュ値のためレピュテーションが確立されておらず、実行がブロックされる。但し、「セキュリティの警告」も「Windows SmartScreen」もZoneIDと呼ばれるインターネットから取得されたことを表す識別子がファイルに付加されている場合のみ動作する。メーラーと解凍ソフトの組み合わせによっては、添付ファイルの解凍時にZoneIDが付加されておらず、これらのセキュリティ機能が動作しないことがあるため注意が必要だ。筆者が添付ファイルにZoneIDが付加されることを確認しているメーラーは、Outlook、Windows Liveメール及びMozilla Thunderbirdだ。また、フリーウェアの解凍ソフトの殆どは、解凍時にZoneIDを欠落させてしまうが、Windowsの標準のエクスプローラーを使用すれば解凍後もZoneIDが維持される。
更に、ソフトウェア制限ポリシー(XP以降、Homeエディションを除く)やAppLocker(Win7以降、Home,Proエディションを除く)といった特定のポリシーに基づいてアプリケーションの実行を制限する機能も有効だ。ソフトウェア制限ポリシー・AppLockerとも、既定で全てのソフトウェアの実行を許可し、禁止するソフトウェアを指定する「ブラックリスト」方式と、既定で全てのソフトウェアの実行を禁止し、許可するソフトウェアを指定する「ホワイトリスト」方式の両方が利用出来る。また、グループポリシーによりドメイン内のコンピュータにポリシーを適用することも可能だ。例えば、「ブラックリスト」方式により、添付ファイルが保存されるフォルダ、解凍先のフォルダ、デスクトップなどでの実行ファイルの実行を禁止するポリシーを設定する。これにより、文書ファイルなどに偽装された実行ファイルをクリックして実行してしまった場合でも、実行がブロックされる。ソフトウェア制限ポリシー・AppLockerでは、ZoneIDの有無に関わらず実行をブロックすることが可能だが、メーラーと解凍ソフトの組み合わせによって解凍先のフォルダなどの条件が異なるので、それぞれの環境に合わせて設定を行う必要がある。
このように、Windows標準のセキュリティ機能だけでも、標的型メール攻撃で現在の主流となっている「文書ファイルに偽装した実行ファイルを圧縮して添付」する手口に対し、有効な対策となる。但し、一度設定を行えばそれで安心という訳には行かない。ユーザが管理者の意図しない操作手順をした場合、警告やブロックが上手く動作しないこともあるし、せっかく警告が表示されても、事前知識がなければ無視して実行してしまうユーザもいるだろう。実際に無害な偽装された添付ファイルを開いて実行してみることを体験することで、警告・ブロックされる手順を身に付け、慌てずに適切な対処が出来るようになることが重要である。このような予行演習は抜き打ちである必要はない。また、巧みな誘導によりセキュリティ機能を解除させるようなソーシャルエンジニアリングの手口もいずれ出てくるであろう。そのような誘導をおかしいと気付くことが出来るようなユーザの意識づけも重要である。
本コラムのWindows標準のセキュリティ機能を利用した標的型攻撃の対策について、筆者がスクリーンショットなどを用いて解説した記事が公開されているので、詳しくはそちらを御一読頂ければ幸いである。(*3,*4)