Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
Search
Eureka
February 14, 2022
Technology
1.2k
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
情報セキュリティワークショップin越後湯沢2021 での講演資料
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
Eureka
February 14, 2022
More Decks by Eureka
See All by Eureka
Active Directory 勉強会 第 6 回目 Active Directory セキュリティについて学ぶ回
eurekaberry
18
9.8k
Active Directory の保護
eurekaberry
11
11k
LAPS勉強会
eurekaberry
1
2.1k
Other Decks in Technology
See All in Technology
Gen3R: 3D Scene Generation Meets Feed-Forward Reconstruction
spatial_ai_network
0
120
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
230
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
280
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
13
2k
[2026-07-15] AI Ready なはずだったアーキテクチャと、見えてきた課題・次に目指す状態
wxyzzz
4
2.8k
AIと共生する開発者プラットフォーム:バクラクのモノレポ×マイクロサービス基盤
sakajunquality
2
3.4k
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
210
Claude Code公式skillで 自分の仕事を少しずつ手放そう!(Claude Code開発ノウハウ大公開スペシャル by クラスメソッド)
kaym
1
290
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.3k
KiCAD講習会②
tutcreators
0
110
LLM/Agent評価:トップ営業の発言を「正解」にする 〜暗黙的正解による評価を営業資産に変える〜
takkuhiro
1
210
Featured
See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
The Spectacular Lies of Maps
axbom
PRO
1
850
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
65
56k
Designing Powerful Visuals for Engaging Learning
tmiket
1
450
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
340
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
260
BBQ
matthewcrist
89
10k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
Utilizing Notion as your number one productivity tool
mfonobong
4
380
Transcript
脆弱性の悪用からユーザーを守るために、 ベンダーが取り組むべきこと - Microsoft の学びの共有 垣内 由梨香 セキュリティ プログラム マネージャー
セキュリティ レスポンス チーム マイクロソフト コーポレーション 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口
[email protected]
2 ミッション:お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース)
• 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携 © Copyright Microsoft Corporation. All rights reserved.
信頼できるコンピューティング設立 セキュリティ開発ライフサイクル (SDL) 提唱 マルウェア保護センター を設立 Microsoft Security Response Center
設立 デジタル犯罪対 策センター設立 Operations Security Assurance 開始 セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を 採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース 開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起 動回数を減少 • 詳細なガイダンスの提供 月例セキュリティリリースの事前通知開始 ・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、 最初のCVEを採番 セキュリティ更新ガイド 開設 ・セキュリティ情報(MSxx-xxx) 番号を 廃止 ・CVE、更新プログラムを公開データ ベース化 2010 Microsoft Active Protection Program (MAPP) 開始 © Copyright Microsoft Corporation. All rights reserved. 3
© Copyright Microsoft Corporation. All rights reserved. 4
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©
Copyright Microsoft Corporation. All rights reserved. 5
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 悪用による 影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 6
• セキュリティ開発ライフサイク ル (SDL) • 既存の脆弱性の分析と研究 © Copyright Microsoft Corporation.
All rights reserved. 7
0 50 100 150 200 250 1 2 3 0
1 2 3 4 5 6 7 8 9 1 2 3 © Copyright Microsoft Corporation. All rights reserved. 8
• 脆弱性報奨金プログラム • 共同リサーチプログラム 17 報奨金対象 製品・サービス 15 億円 年間報奨金支払総額
341 名 年間報奨金受賞者 2200万円 1件あたりの最高金額 Microsoft 報奨金プログラム | MSRC © Copyright Microsoft Corporation. All rights reserved. 9
© Copyright Microsoft Corporation. All rights reserved. 10
課題 • 増大する修正対象の脆弱性に対す るリソース、優先付け • 高度な研究に対するリソース確保 • 複数のコンポーネントにまたがる 連携 ©
Copyright Microsoft Corporation. All rights reserved. 11
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 1 2 3 脆弱性の発見と悪用をより困難にするために ©
Copyright Microsoft Corporation. All rights reserved. 12
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 脆弱性が悪用されるリスクが高い状態 © Copyright Microsoft
Corporation. All rights reserved. 13
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 緩和策を適用することで、悪用による影響を下げる ・想定される攻撃ベクターのブロック
・攻撃成功率の低下 ・エクスプロイト範囲の縮小 © Copyright Microsoft Corporation. All rights reserved. 14
緩和策名称 Windows 7 Windows 10 Kernel Pool Hardening 〇 〇
Kernel ASLR (Images) 〇 〇 Fonts (User mode Appcontainer) × 〇 NTVDM disabled × 〇 Kernel ASLR (full) × 〇 Kernel DEP × 〇 Kernel Pool Hardening (Extended) × 〇 SMEP × 〇 Global Safe unlinking × 〇 Improved ASLR entropy × 〇 © Copyright Microsoft Corporation. All rights reserved. 15
攻撃面の縮小 (Attack Surface Reduction) • 悪用された脆弱な署名済みドライバーの悪用をブロックする • Adobe Reader の子プロセスの作成をブロックする
• すべてのアプリケーションOffice子プロセスの作成をブロックする • ローカル セキュリティ機関サブシステムからの資格情報のWindowsをブロックする (lsass.exe) • メール クライアントと Web メールから実行可能なコンテンツをブロックする • 有病率、年齢、または信頼できるリスト条件を満たしない限り、実行可能ファイルの実行をブロックする • 難読化される可能性のあるスクリプトの実行をブロックする • JavaScript または VBScript のダウンロード済み実行可能コンテンツの起動をブロックする • 実行可能Office作成するアプリケーションのブロック • アプリケーションOffice他のプロセスへのコードの挿入をブロックする • 通信Officeプロセスの作成をブロックする • WMI イベント サブスクリプションによる永続化のブロック • PSExec および WMI コマンドから発生するプロセス作成をブロックする • USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする • Win32 API 呼び出しをブロックOfficeマクロ • ランサムウェアに対する高度な保護の使用 Office サンドボックス保護 Microsoft Defender アプリケーションガード © Copyright Microsoft Corporation. All rights reserved. 16
課題 © Copyright Microsoft Corporation. All rights reserved. 17
悪用される 脆弱性の数を 減らす 悪用期間 を最小にする 悪用による 影響を下げる 1 2 3
脆弱性の発見と悪用をより困難にするために © Copyright Microsoft Corporation. All rights reserved. 18
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 脆弱性の悪用によるリスクの期間を短くする ©
Copyright Microsoft Corporation. All rights reserved. 19
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 期間を短くする 緩和策
公開 更新プログラム 公開 © Copyright Microsoft Corporation. All rights reserved. 20
マイクロソフトのセキュリティオペレーションから得られる 1 か月あたりのシグナル © Copyright Microsoft Corporation. All rights reserved.
21
Microsoft Active Protection Program (MAPP) マイクロソフトと、各国政府・セキュリティ業界との連携による脆弱性 悪用状況の把握と顧客保護 パートナー: ・各国政府機関 ・ナショナル
CERT ・セキュリティ製品ベンダー 連携内容: ・マイクロソフトの脆弱性情報の一般公開前提供 ・マイクロソフト製品の脆弱性悪用情報、テレメトリ ・マルウェア サンプル Microsoft Active Protections Program © Copyright Microsoft Corporation. All rights reserved. 22
Analyzing attacks that exploit the CVE-2021-40444 MSHTML vulnerability | Microsoft
Security Blog © Copyright Microsoft Corporation. All rights reserved. 23
© Copyright Microsoft Corporation. All rights reserved. 24
課題 協業範囲の偏り 古い製品の対応 企業組織の要求 テスト期間と品質 (定例外リリース) © Copyright Microsoft Corporation.
All rights reserved. 25
脆弱性 発見 悪用 開始 セキュリティ更新プログラム 適用 緩和策の 適用 緩和策 公開
更新プログラム 公開 期間を短くする © Copyright Microsoft Corporation. All rights reserved. 26
0.12% © Copyright Microsoft Corporation. All rights reserved. 27
Top Routinely Exploited Vulnerabilities | CISA © Copyright Microsoft Corporation.
All rights reserved. 28
© Copyright Microsoft Corporation. All rights reserved. 29
© Copyright Microsoft Corporation. All rights reserved. 30
• 脆弱性や攻撃手法の詳細開示による、 セキュリティリスク、法的リスク • ドキュメントに必要な時間 vs. 迅速性 • 公開する情報量とサポート コストへ
の影響 • 間違った情報の伝播、それに よるサポートコストの増加 • 最新ではない情報の伝播 • 自動更新が有効ではない環境 へのアプローチ © Copyright Microsoft Corporation. All rights reserved. 31
None
© Copyright Microsoft Corporation. All rights reserved. 33
None