Windows標準の機能を使用した標的型攻撃の対策 #ssmjp /ssmjp1507

Transcript

1. Windows標準の機能を使用した 標的型攻撃の対策 @kitagawa_takuji 2015年7月31日 #ssmjp

2. 1. 防御 2. 検知 3. 対応 の組み合わせ サイバー攻撃の対策 今日の話は主に防御について

3. 1. 防御 2. 検知 3. 対応 昨今のサイバー攻撃の対策 でもお高いんでしょう？ SOC監視、SIEM（ログ相関分析） CSIRT、インシデント対応

   メール訓練、サンドボックス

4. 「マルウェア感染は避けられない」 「感染・侵入を前提とした対策が必要」 と言われるようになりました。 年金機構の事件以降 それは正しいのですが、 でも、出来るだけ感染を防げるのなら それに越したことはないですよね？

5. 実際、感染事故が起きると その対応はかなり大変です 内部ネットに感染が広がっている恐れがあるので 感染PC1台を隔離、調査するだけでは不十分 最近では、直ぐにすべてのインターネット接続を 遮断すべき。という風潮

6. Windows標準の機能を用いて 標的型メール攻撃に対するリスクを 出来るだけ軽減する方法について 考えます このセッションでは

7. この記事のアップデート版

8. 100%完全に防げる対策はありません 今日紹介する対策も あくまで多層防御の一つの層 としてお考え下さい 多層防御という考え

9. 1. ZoneIDの役割 2. メーラーやアーカイバ（解凍ソフト）に よるZoneIDの扱いの違い 3. セキュリティの警告 Windows SmartScreen ソフトウェア制限ポリシー/AppLocker

   保護されたビューなど Windows標準のセキュリティ機能 今日のポイント

10. 標的型攻撃メールの形式

11. 11 警察庁 平成26年中のサイバー空間をめぐる脅威の情勢について http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf 標的型攻撃メールの９６％が圧縮ファイル（2014年）

12. 12 警察庁 平成26年中のサイバー空間をめぐる脅威の情勢について http://www.npa.go.jp/kanbou/cybersecurity/H26_jousei.pdf 圧縮ファイルの展開後は、９２％が実行ファイル

13. 2015年の状況

14. Office文書ファイルが若干増えている

15. マクロを使用した攻撃の流行の影響と思われる

16. 最近の標的型攻撃メールの主流は 文書ファイルに偽装した 実行ファイルが 圧縮されて添付される

17. 最近の標的型攻撃メールの主流は 脆弱性を利用しない

18. 拡張子偽装のテクニック

19. 拡張子の偽装テクニック 1. アイコン、説明の変更 2. ２重拡張子 3. 大量の空白スペースにより拡張子を見え なくする 4. Right-to-Left

    Override(RLO)による偽装 19

20. １．アイコン、説明の変更 Resource Hacker等のツールで簡単に変更可 20

21. 21 calc.exeのアイコン、説明を変更し、ファイル名をReport.exeに １．アイコン、説明の変更

22. 22 デフォルトでは「登録されている拡張子は表示しない」 デフォルトの設定では 拡張子は表示されない

23. 23 ファイル名をReport.doc.exeに変更 ２．二重拡張子

24. 24 「登録されている拡張子は表示しない」のチェックを外す 拡張子を表示

25. 25 大量のスペースを挿入することにより「拡張子を表示する」設定でも 拡張子を見えなくする ３．スペースの挿入

26. ４．Right-to-Left Override（RLO)による偽装 26 RLO (Unicode の制御文字 U+202E) アラビア語など右から左に向けて記述する言語のための制御文字 変更前 phycod.exe

    変更後 phyexe.doc RLOを挿入

27. ４．Right-to-Left Override（RLO)による偽装 右クリックで名前を変更から（特別なツールは不要） 右クリックで 名前を変更

28. phycod.exe RLOを挿入

29. やりとり型などメール本文の ソーシャルエンジニアリング も巧妙化 標的型メールと気づくのは ますます困難になっている

30. Demo

31. ファイル実行後の偽装

32. WinRARでは自己解凍形式（SFX)作成時に 解凍後に自動実行するプログラムを指定できる

33. 医療費通知の偽装メール

34. 圧縮ファイル（zip,lzh）を解凍すると 文書ファイルに偽装した実行ファイル 実際の検体

35. Path=<パス> 解凍先フォルダ Setup=<プログラム> 解凍後にプログラムを自動実行 Silent=1 ダイアログを表示しない Overwrite=2 上書きの警告を出さない 実行ファイルは自己解凍形式 実行すると解凍した遠隔操作ツール(leassnp.exe)と

    Word文書(kptl.doc)を自動実行 実際の検体をWinRARで開いたもの

36. 自動実行されるダミーのWordファイル 最近はダミーファイルも盗んだ本物の文書を利用するなど巧妙になっている 解凍する分、開くのが多少遅くなるだけ、その差に気付けるか？

37. 標的型メールを開いて 実行してしまった後も 気付かないことが多い 標的型メールでは、 開いてしまった後の対処が重要と言われるが

38. Demo

39. 圧縮された実行ファイル形式の 標的型攻撃メール増加の 理由は？

40. 1. WindowsやOffice、Adobe Reader等のパッチ適用率の向上 2. Adobe Reader や Officeへの保護ビュー（サンドボックス） 機能の導入 3.

    脆弱性を用いた攻撃の成功率の低下 4. 実行ファイルやショートカットの直接の送付は、多くのメール クライアントやメールサーバでブロックされる 5. 実行ファイル（ショートカット）を圧縮して標的型メールとし て送信 圧縮された実行ファイル形式の 標的型攻撃メール増加の理由は？

41. Windows標準以外の （サードパーティの） 圧縮･解凍 ソフト もう１つの理由？

42. 42 窓の杜 ２０１４年 ソフトウェア・ダウンロード・ランキング

43. 43 Lhaplusが年間ダウンロード数224万回で断トツの１位

44. 多くの企業でメール添付ファイル送信時の パスワード設定がルール化されている （プライバシーマーク、ISMS/ISO27001）

45. Windows XPでは標準でパスワード追加機能が存在したが

46. Windows Vista以降 標準アーカイバでは パスワード付きZIPの作成が出来なくなった （パスワード付きZIPの解凍は可能）

47. 多くの企業・組織で パスワード設定が可能なサードパーティ製のアーカイバが 標準ソフトとして導入されている

48. XPからWin7,8への移行に伴い、 Lhaplus等のサードパーティの アーカイバを全社標準ソフトとし て導入する企業が増えている

49. サードパーティのアーカイバ の何が問題か？

50. サードパーティのアーカイバの問題  アイコンの偽装に騙されやすい  解凍後のファイルにZoneIDが付加されないため 警告なしで実行ファイルが実行される

51. 文書ファイルに偽装した実行ファイル 「偽装文書.exe」 と 本物の文書ファイル 「本物文書.docx」 を test.zip に圧縮 51 拡張子非表示

    拡張子表示

52. test.zipを標準アーカイバ（エクスプローラー）で開く 52 拡張子表示 拡張子非表示

53. 53 拡張子表示 拡張子非表示 test.zipをLhaplusで解凍 Lhaplusの既定ではデスクトップにフォルダを作成し解凍、自動的にエクスプローラーで開く

54. test.zipを各種アーカイバ独自のファイルマネジャーで表示 54 7-zip Explzh WinRAR

55. 独自のファイルマネージャー内で開くものは偽装アイコンが表示されないが 解凍後に自動的にエクスプローラーで開くものは偽装アイコンが表示される エクスプローラー （圧縮フォルダ） 7-zip Lhaplus

56. 偽装アイコンに騙されないためには 独自のファイルマネジャーを持つ解凍ソフトで開く 独自のファイルマネジャーを持つ解凍ソフトでも 展開してエクスプローラーで開くと 偽装アイコンが表示されてしまう

57. Demo

58. ZoneIDとは？

59. 59 ZoneIDとは？  Windows XP SP2、Windows Server 2003 SP1以降で導入された Attachment

    Execution Service (AES)  アプリケーションは、IAttachmentExecute APIを使用する必要がある  （IAttachmentExecute APIを使用した）ブラウザでダウンロードしたファイ ルやメーラーで受信した添付ファイルにZoneIDがADS(代替データストリー ム）として付加される  ZoneIDを付加するブラウザ IE、Chrome、Firefox、Opera メーラ Windows Liveメール、Outlook、Thunderbird(38.0.1で確認）  実行ファイルやショートカットの場合、 「セキュリティの警告」を表示（Windows Vista,7) 「SmartScreen」によるチェックを実行（Windows 8以降）  Officeファイルの場合、「保護されたビュー」で開く（Office2010以降）  PDFファイルの場合、 「保護されたビュー」で開く（Adobe Acrobat Reader 既定では有効になっていない)

60. 60 ZoneIDとは？  NTFSのみ利用できる。FAT32ではADS(代替データストリーム）をサポート しないため利用できない  ZoneIDの値 public enum SecurityZone

    { NoZone = -1, MyComputer = 0, Intranet = 1, Trusted = 2, Internet = 3, Untrusted = 4, }

61. 61 ZoneId ブラウザでダウンロードしたファイルやメーラーで受信した添付ファイルに ADS(代替データストリーム）として付加される

62. 実行ファイルでZoneID >=3の場合、 「セキュリティの警告」が表示される（Windows7)

63. 63 ブロックの解除をクリックすると ZoneIDが削除される

64. ZoneIDが付加されていないと 実行ファイルが警告なしで実行される

65. 65 Officeファイル

66. 66 OfficeファイルでZoneID>=３の場合、 「保護されたビュー」で開かれる

67. 67 PDFファイル

68. Acrobat Readerの既定では「保護されたビュー」はオフ 「安全でない可能性のある場所からのファイル」に変更

69. 69 「保護されたビュー」を「安全でない可能性のある場所からのファイル」に変更 ZoneID>=３の場合、「保護されたビュー」で開かれる

70. ZoneIDが付加された 圧縮ファイル

71. ZoneID=3が付加されたcalc.zip

72. エクスプローラー（圧縮フォルダ）から実行 セキュリティの警告が表示される

73. エクスプローラー（圧縮フォルダ）で展開し実行 解凍時にもZone.IDが維持されるため セキュリティの警告が表示される

74. Lhaplusで解凍し実行 解凍時にZone.IDが欠落してしまうため 実行ファイルが警告なしに実行される

75. WinRAR FMから実行 実行ファイルが警告なしに実行される セキュリティの警告が表示される

76. WinRARで展開して実行 実行ファイルが警告なしに実行される 解凍時にもZone.IDが維持されるため セキュリティの警告が表示される

77. Explzh FMから実行 セキュリティの警告が表示される

78. Explzhで展開して実行 解凍時にZone.IDが欠落してしまうため 実行ファイルが警告なしに実行される

79. PeaZip FMから実行 実行ファイルが警告なしに実行される セキュリティの警告が表示される

80. PeaZipで展開して実行 解凍時にZone.IDが欠落してしまうため 実行ファイルが警告なしに実行される

81. ７－ZIP FMから実行 セキュリティの警告が表示される

82. ７－ZIPで展開して実行 実行ファイルが警告なしに実行される 解凍時にZone.IDが欠落してしまうため 実行ファイルが警告なしに実行される

83. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip ７-zip Windows標準

    フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜 2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 ファイルマ ネージャか ら実行 ◦ ー ー ー ◦ ◦ ◦ ◦ 展開して 実行 ◦ X X X X ◦ X X ◦ セキュリティの警告が表示される Ｘ セキュリティの警告が表示されない ー 独自のファイルマネージャーがない ZoneIDの付加された圧縮ファイル（内容は実行ファイル） を各種アーカイバで開封した場合の動作比較（Windows7)

84. Demo

85. メール添付ファイル

86. メーラーとアーカイバ（解凍ソフト） の組み合わせにより動作に違い • 添付ファイルにZoneIDを付加しないメーラーもある ZoneIDを付加することが確認されているメーラー Outlook、Windows Liveメール、Thunderbird • 付加されたZoneIDを解凍時に欠落させてしまうアーカ イバ（Lhaplusなど）

    • 添付ファイルをデスクトップ等にドラッグ＆ドロップし た場合も、 ZoneIDが欠落してしまう

87. 87 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Windows標準のアーカイバ (Windows7) 添付ファイルにZoneID (インターネット)が付 加される 偽装アイコンは表示されない（ZoneIDが維持される）

    ZoneID（インターネット）が付加されているため、 警告が表示される

88. 88 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Lhaplus (Windows7) 添付ファイルにZoneID (インターネット)が付 加される Word文書に偽装された形で解凍（ZoneIDが欠落する）

    ZoneIDが付加されていないため、実行ファイ ルが警告なしに実行される

89. 89 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Windows Live メール & Windows標準のアーカイバ 実行ファイルがブロックされる

90. 90 Windows Live メールの既定の設定 サードパーティのアーカイバを利用しているとこの設定もバイパスされる

91. 91 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Windows Live メール & Lhaplus ZoneIDが付加されていないため、実行ファイ ルが警告なしに実行される Word文書に偽装された形で解凍（ZoneIDが欠落する）

92. 92 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Thunderbird(38.0.1) & Windows標準のアーカイバ 添付ファイルにZoneID (インターネット)が付 加される 偽装アイコンは表示されない（ZoneIDが維持される） ZoneID（インターネット）が付加されているため、

    警告が表示される

93. 93 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Thunderbird(38.0.1) & Lhaplus 添付ファイルにZoneID (インターネット)が付 加される Word文書に偽装された形で解凍（ZoneIDが欠落する） ZoneIDが付加されていないため、実行ファイ

    ルが警告なしに実行される

94. 94 Thunderbird では、システムの設定とは別に動作設定を指定できる

95. 95 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Becky!(38.0.1) & Windows標準のアーカイバ 既定の設定で、ZIPを開く時は警告が表示される LZHは警告なし

96. 96 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Becky!(38.0.1) & Windows標準のアーカイバ 添付ファイルにZoneID が付加されない 既定の設定で、ZIPを開く時は警告 が表示される LZHは警告なし

    偽装アイコンは表示されない （ZoneIDは付加されていない） ZoneIDが付加されていないため、 実行ファイルが警告なしに実行される

97. Demo

98. 添付ファイルを クリックするのではなく デスクトップに ドラック＆ドロップした場合 ZoneIDが欠落

99. 99 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Windows標準のアーカイバ (Windows7) 添付ファイルにZoneID (インターネット)が付 加される ZoneIDが欠落する

    デスクトップ等に ドラック＆ドロップ 偽装アイコンは表示され ない ZoneIDが付加されていないため、 実行ファイルが警告なしに実行される

100. 添付ファイルを 右クリックで 名前を付けて保存した場合 ZoneIDが維持される

101. 101 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Windows標準のアーカイバ (Windows7) 添付ファイルにZoneID (インターネット)が付 加される ZoneIDが維持される

     右クリックで名前を付 けて保存 ZoneID（インターネット）が付加 されているため、警告が表示される 偽装アイコンは表示され ない

102. Demo

103. ショートカット

104. None

105. ショートカットのリンク先に ファイルをダウンロードして実行するスクリプトを挿入

106. ショートカットでは、「拡張子を表示する」設定にしても 拡張子(lnk)が表示されない ため偽装に騙されやすい 拡張子を表示する設定にしても ショートカットでは拡張子が表示されない

107. 107 アイコン偽装したショートカットをZIP圧縮し添付 Outlook ＆ Lhaplus ZoneIDが付加されていないため、ショート カットが警告なしに実行される 添付ファイルにZoneID (インターネット)が付 加される

     PowerPoint文書に偽装された形で解凍（ZoneIDが欠落する）

108. 108 アイコン偽装したショートカットをZIP圧縮し添付 Outlook & Windows標準のアーカイバ 警告が表示される 添付ファイルにZoneID (インターネット)が付 加される 偽装アイコンが表示されない（ZoneIDが維持される）

109. Demo

110. 保護されたビュー Protected View

111. • Office 2010以降で導入 • （既定では）Zone.ID>=３の場合、「保護されたビュー」で開かれる • Officeの脆弱性を悪用した攻撃では、文書ファイル中に埋め込まれた ActiveXコントロールを利用して攻撃が行われることが多い • 「保護されたビュー」で文書を開くと、ActiveXコントロールがロードさ

     れないため、攻撃コードが実行されない • ゼロデイ攻撃やパッチの適用漏れの場合でも、攻撃を防げる可能性が高い 保護されたビュー

112. • インターネットから取得したファイル Zone.ID>=３が付加されたファイル • 安全でない可能性のある場所のファイル インターネット一時ファイルのフォルダー • Outlookの添付ファイル 保護されたビュー

113. MS14-017 Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される

114. 「保護されたビュー 」によって保護される

115. MS12-027 Windows コモン コントロールの脆弱性により、リモートでコードが実行される

116. 「保護されたビュー 」によって保護される

117. 7月に報告されたOfficeのゼロデイ

118. Embedded OLEが利用されているため「保護されたビュー」では攻撃が成功しない

119. 119 Officeファイル(xlsx)をZIP圧縮し添付 Outlook ＆ サードパーティのアーカイバ（Lhaplus） ZoneIDが付加されていないため、通常モード で開かれる 添付ファイルにZoneID (インターネット)が付 加される

     デスクトップに解凍（ZoneIDが欠落する）

120. 120 Officeファイル(xlsx)をZIP圧縮し添付 Outlook & Windows標準のアーカイバ 添付ファイルにZoneID (インターネット)が付 加される 保護されたビューで開かれる ZoneIDが維持される

121. マクロを使用した攻撃

122. マクロを含む文書を送信 保護されたビューで開かれるので マクロは実行されない

123. 保護されたビューで「編集を有効にする」 をクリックしても更に警告 保護されたビューで見ることを基本としていれば マクロは実行されない

124. 「コンテンツの有効化」 をクリックするとマクロが実行 マクロが実行されるまでには2段階の警告

125. Demo

126. その他の アーカイバー

127. ７－Zip 実行ファイル

128. ７－Zip 文書ファイル

129. ７－Zip ショートカット

130. Explzh 実行ファイル

131. Explzh 文書ファイル

132. Explzh ショートカット

133. WinRAR 実行ファイル

134. WinRAR 文書ファイル

135. WinRAR ショートカット

136. PeaZip 実行ファイル

137. PeaZip 文書ファイル

138. PeaZip ショートカット

139. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip ７-zip Windows標準

     フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◦ X X X ◦ ◦ ◦ ◦ Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ ◦ ◦ ショートカッ トの警告表示 ◦ X X X X ◦ ◦ ◦ Outlookの添付ファイル（圧縮ファイル） を各種アーカイバで開封した場合の動作比較（Windows7)

140. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip ７-zip Windows標準

     フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◎ 実行不可 X X X ◦ ◎ 実行不可 ◦ ◎ 実行不可 Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ ◦ ◦ ショートカッ トの警告表示 ◎ 実行不可 X X X X ◎ 実行不可 ◦ ◎ 実行不可 Windows Liveメールの添付ファイル（圧縮ファイル） を各種アーカイバで開封した場合の動作比較（Windows7)

141. エクスプ ローラー Lhaplus +Lhaca Lhasa Explzh WinRAR PeaZip ７-zip Windows標準

     フリーソフト フリーソフト フリーソフト 商用、法人利 用は1,080円 シェアウェア 2,942円 フリーソフト フリーソフト 窓の杜2014年 ダウンロード ランキング 1位 3位 17位 19位 43位 70位 偽装アイコン が表示されな い ◦ X X X ◦ ◦ ◦ ◦ 実行ファイル の警告表示 ◦ X X X ◦ ◦ ◦ ◦ Officeファイ ルを保護され たビューで開 く ◦ X X X X ◦ X ◦ ショートカッ トの警告表示 ◦ X X X X ◦ X ◦ Thunderbirdの添付ファイル（圧縮ファイル） を各種アーカイバで開封した場合の動作比較（Windows7) PeaZipの動作がOutlook,Liveメールと異なるのは Outlook,LiveメールはTemporary Internet Filesに添付ファイルが保存されるがThunderbirdでは別の場所に保存されるため

142. Windows SmartScreen

143. • Windows 8 以降で導入（Windows 10でも継続） • IE9以降で導入されたIE SmartScreen Application Reputationを

     Windowsに統合したもの • プログラムを実行時にZoneID>=３の場合、ファイルのハッシュ値やコー ドサイニング証明書の発行元をインターネット経由でマイクロソフトのク ラウドに送信、レピュテーション（評判・評価）を問い合わせる • レピュテーションの詳細仕様は公開されていない（攻撃者がレピュテー ションを獲得するのを避けるため）が、アンチウイルスの結果、ダウン ロード回数、URLのレピュテーションなどの機械学習により生成している と思われる • コードサイニング証明書で署名されたファイルは、早くレピュテーション を確立できる（EV証明書では更に早い） • 一度レピュテーションを確立した発行元（証明書）のレピュテーションは 別のプログラム（別のバージョン）にも受け継がれる Windows SmartScreen

144. IE SmartScreen filter IE SmartScreen Application Reputation Windows SmartScreen UAC

     ブラウザ（IE)のみ Windows全般 IE8以降 IE9以降 Win8以降 Vista以降 URLのレピュテー ション ファイルのレピュテーション 権限昇格時 Win7以降の既定では Windowsの設定変更時 を除く • コード署名ありの場合、早くレピュテー ションを確立 • EVコード署名証明書の場合、更に早くレ ピュテーションを確立 • 一度レピュテーションを確立した発行元 （証明書）のレピュテーションは別のプ ログラムにも受け継がれる コード署名なしの場合 黄色で警告を表示 コード署名ありの場合 警告なしだがダイアロ グは出る Windowsの各種保護機能の比較

145. • 問題を引き起こすことが確認されているアプリや、レピュテーションの確 立されていないアプリを実行しようとすると、下記の警告が表示される。 （管理者ユーザ） Windows SmartScreen

146. 既定の設定

147. • 標準ユーザの場合、レピュテーションの確立されていないアプリを実行し ようとすると、下記の警告が表示され管理者のパスワードの入力が必要と なる Windows SmartScreen

148. • Windows SmartScreenによるレピュテーションのチェックが行われるの は、ZoneID>=3が付加されている場合。 • ZoneIDが付加されていない場合は、チェックは行われない。

149. レピュテーションの確立されていないアプリを実行しようとすると、 下記の警告が表示される。 詳細情報をクリック

150. 警告を無視して実行

151. • 警告を無視して「実行」するとZoneIDが削除される • ２度目以降の実行時にはZoneIDが付加されていないので、SmartScreen によるチェックは行われない • チェックを行うかどうかをコントロールするのはZoneIDの有無 ホワイトリストをデータベースで持っている訳ではない

152. インターネットに接続していない状態で、ファイルを実行した場合

153. w.apprep.smartscreen.microsoft.com:443 にTLSv1.2で送信

154. リリースしたばかりのソフトや利用者の少ないソフトでは レピュテーションが確立されていないため警告が出る そのため無効化を訴えるサイトも

155. プライバシーの懸念を訴える研究者も MSの見解では履歴は保存していない

156. • 標的型攻撃で使用されるマルウェアは、アンチウイルスによる検知を 避けるため、あえて異なるハッシュ値となるよう、ソースコートを一 部改変しての再ビルドや、パッカー（圧縮）、クリプター（暗号化） などが使用される（いわゆる未知のマルウェア） • ファイルのハッシュ値は、今までにない未知のものになる • プログラム実行時にSmartScreenによりハッシュが送信されると、 レピュテーションが確立されていないため警告が出る

     • 但し、攻撃者が正規のプログラムをリリースしてレピュテーションを 確立してから同じ証明書を使ってマルウェアにコード署名したり、既 にレピュテーションの確立した証明書を盗んでコード署名した場合な ど、抜け道の可能性がない訳ではない。 Windows SmartScreenが標的型攻撃に有効な理由

157. Lhaplusをデフォルトのアーカイバとして設定 157 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Windows標準のアーカイバ (Windows8) SmartScreenによる警告が表示される 偽装アイコンは表示されない（ZoneIDが維持される） 添付ファイルにZoneID

     (インターネット)が付 加される

158. Lhaplusをデフォルトのアーカイバとして設定 158 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Lhaplus (Windows8) Word文書に偽装された形で解凍（ZoneIDが欠落する） ZoneIDが付加されていないため、SmartScreenによるチェック が行われず、警告なしに実行される

     添付ファイルにZoneID (インターネット)が付 加される

159. Demo

160. ソフトウェア制限ポリシー AppLocker

161. Lhaplusなどのサードパーティのアーカイバを 既定のアーカイバとして使用する必要がある場合 ソフトウェア制限ポリシー（Home以外） AppLocker（Win7 Ultimate／Enterprise、Win8 Enterprise） で、解凍先のフォルダのプログラム実行を制限

162. Windows 7/8 Proでは、AppLockerのポリシー作成は可能だがポリシーの実施は出来ない

163. ソフトウェア制限ポリシーの設定例 デスクトップ以下のプログラム実行を許可しない （ショートカットもブロックされてしまうため、ショートカットを除外する）

164. 164 Wordファイルに偽装（アイコン偽装＋２重拡張子）した実行ファイルをZIP圧縮し添付 Outlook ＆ Lhaplus (Windows7 ソフトウェア制限ポリシー設定) 添付ファイルにZoneID (インターネット)が付 加される

     Word文書に偽装された形で解凍（ZoneIDが欠落する） ソフトウェア制限ポリシーによりブロック

165. ソフトウェア制限ポリシーの設定例 Lhaplusの解凍フォルダを「ドキュメント」に 「ドキュメント」以下のプログラム実行を許可しない

166. 添付ファイルをドラッグ＆ドロップ すると、ZoneIDが欠落することの対策 のために、デスクトップのプログラム の実行はソフトウェア制限ポリシーで 禁止した方が良いかも

167. Demo

168. パスワード付きZIPよりOffice文書の暗号化設定を使用しましょう ZIPに比べDOCXでは解析時間が約20万倍 セキュリティ調査レポート Vol.3／パスワードの最大解読時間測定 【暗号強度別】 http://www.dit.co.jp/service/report/security-threat_v3.html

169. John the Ripperのベンチマーク でも１０数万から3０数万倍の差 # john -test （略） Benchmarking: Office

     2007/2010 SHA-1/AES [32/64]... (4xOMP) DONE Raw: 95.0 c/s real, 24.8 c/s virtual （略） Benchmarking: PKZIP [32/64]... (4xOMP) DONE Many salts: 31394K c/s real, 7946K c/s virtual Only one salt: 13093K c/s real, 3463K c/s virtual

170. 会社の規定などで パスワード付きZIPを使用しなければならない場合 • パスワード付きZIPを作成可能なサードパーティのアーカイバに は、ZIP,LZHなどの拡張子の関連付けはせずに、作成時のみ使用 する • 標準アーカイバ（エクスプローラー）は、パスワード付きZIPの 解凍は可能

171. 実のある標的型メール訓練を • 普段使っているメーラー、アーカイバ、フォルダの表示設定で、 偽装された添付ファイルがどのように見えるか？警告は表示され るのか？ • 無害化した添付ファイル（ワクチン）を使ってあえて開いてみる ことで、警告が出る（ブロックされる）様になる動作を身につけ る

172. 1. ZoneIDの役割 セキュリティ警告、Windows SmartScreen、保護されたビュー などWindows標準のセキュリティ機能の多くはZoneIDに依存し ている 2. メーラーやアーカイバ（解凍ソフト）に よるZoneIDの扱いの違い ZoneIDを付加しないメーラやZoneIDを欠落させてしまうアーカ

     イバがあるためせっかくのセキュリティ機能が動作しない 3. Windows標準のセキュリティ機能 セキュリティの警告、Windows SmartScreen ソフトウェア制限ポリシー/AppLocker、保護されたビューなど 標準の機能だけでも有用な対策となる 今日のポイントのおさらい

173. • フォルダの表示設定の変更 – 「登録されている拡張子は表示しない」のチェックを外す • 添付ファイルにゾーン情報が保存されるメーラーを使用する （Outlook、Windows Live メール、Thunderbird等） •

     Windows標準のアーカイバを既定のアーカイバとする • サードパーティのアーカイバを拡張子に関連付けしない – パスワード付きZIPの作成のみ使用する • セキュリティの警告、SmartScreenの警告が出たら実行しない • 保護されたビューで「編集を有効」にしない • ソフトウェア制限ポリシー/AppLockerを設定し、デスクトップ及 び解凍先フォルダの意図しないプログラムの実行を制限する • 自分が普段使っているメーラ・アーカイバの組み合わせで偽装 ファイルがどのように表示されるか、どのような警告が表示され るか予行演習を行い、警告、ブロックされるような動作を身に付 ける 標的型攻撃メールに対する対策 まとめ

174. • 添付ファイル型 – 脆弱性を利用しない攻撃（実行ファイル型） • AES(ZoneID）の特性を活かす セキュリティ警告、SmartScreen、ソフトウェア制限ポリシ／AppLocker – 既知の脆弱性を利用した攻撃（Office、PDF reader等）

     • パッチの適用、保護されたビュー、EMET – ゼロデイ脆弱性を利用した攻撃（Office、PDF reader等） • 保護されたビュー、EMET • URLクリック型 （水飲み場攻撃、ドライブバイダウンロード攻撃と対策は共通） – 脆弱性を利用しない攻撃（実行ファイル型） • AES(ZoneID）の特性を活かす セキュリティ警告、 SmartScreen、ソフトウェア制限ポリシ／AppLocker – 既知の脆弱性を利用した攻撃（ブラウザ、プラグイン等） • パッチの適用、（Right)Click-to-Play、EMET – ゼロデイ脆弱性を利用した攻撃（ブラウザ、プラグイン等） • （Right)Click-to-Play 、EMET 標準機能による対策だけでも多層防御になります

175. 次回のssmjpに持ち越し ブラウザ・プラグインの脆弱性を狙った ドライブバイダウンロード攻撃 の対策

176. ありがとうございました