40ドキュメントを開く - つながる時代におけるサイバー攻撃の潮流と企業におけるセキュリティ

脆弱性への攻撃

Shell Codeの実行

XML化による攻撃コードを挿入する余地の減少

ファイル制限機能によるファイルのブロック

Active Contents

Active Contentsの無効化

危険なActive Xの無効化

Office 2010 のセキュリティの概要: http://technet.microsoft.com/ja-jp/library/cc179050.aspx

Protected View in Office 2010: http://blogs.technet.com/b/office2010/archive/2009/08/13/protected-view-in-office-2010.aspx 保護されたビュー（サンドボックス）での実行

+ restricted token

（Write権限の削除等）

ファイル検証機能により疑わしいファイルをブロック

Buffer Overflow攻撃の対策 ALRも利用

SDLによる脆弱性/アタックサーフェスの削減 ドキュメント

単体

ドキュメント

＋Active Contents

保護されたビュー



定期更新による脆弱性の対応

•

定期更新による脆弱性の対応はOffice 2003と共通

•

XML化はOffice 2007と共通

•

上記以外はOffice 2010から

Office 2010では、ユーザーが、これらの対策を意識しなくて済むように、インタフェースの工夫がされている。

書き込み権限のないプロセスで、ドキュメントを閲覧

Windows 8.1：認証情報に対する対策のポイント

Virtual Secure Mode (VSM)

Tr u stle t #1

Windows Apps

Tr u stle t #2 Tr u stle t #3

Windows Platform Services

Hashes

Tspkg Wdigest Kerberos LiveSSP 3^rdParty LM NT SSP

Windows 8.0 Microsoft Account

Local Account Domain Account

Windows 8.1

Microsoft Account * *

Local Account * *

Domain Account * *

No password data in memory Password data in memory

* Off by default Protected Users

RestrictedAdmin RDP

•

LSASSから、LMハッシュを削除

•

ドメイン参加のためのプレインテキストと同等（暗号化済み）のパスワードを LSASSから削除

•

ログオフ時に認証情報を強制削除

•

ローカルアドミニストレーター権限制限の促進

•

リモートデスクトップ接続における、限定された管理者モード

•

再利用が出来ない認証情報を使ったリモートデスクトップ接続のサポート

•

プロテクトユーザー

•

ケルベロス認証だけを利用、4時間限定、デレゲーションの禁止

Windows 8.1 Windows 10:VSM

•

認証情報を、別のバーチャルマシン（Virtual Secure Mode)に移行

•

プログラムが稼働するシステムの管理者権限が取得されたとしても、ッシュなどの認証情報を得ることができない構造にした

PC の権限・設定：最新システムの利用

42 Windows 10 の多層防御

Smart Screen

S yst em

領域

Pro gra m

領域整合

性レベル

EFS Bit Loc ker RM S

Windows Firewall

S ecure boot

D EP Hea p Pro tec t

USB 128G

システム境界

の対策検知と

実行制御脆弱性対策権限管理リソース

保護 / 管理 OS 保護

No Auto run

U AC

HE AS LR

保護されたView

拡張保護モード

Window s D efende r AppL oc ker

脆弱性初期

設定等による対策

VSM(V ir tu al S ecure Mode )

認証

Pa ss port (F IO D ) Window s Hello Az ure MFA D ev ic e Pro tect io n Enterpris e D at a Pro tec tio n

アプリケーション

Windows 8で強化 Windows 8

Windows 10

OS以外の強化

EMET

Windows 10で強化 Windows 7/Vista

Windows 10 ID Management

外部のサービス

リスト型攻撃などの対策 Hello+Passport(FIDO)

Pass-the-Hash等の対策 VSM / LAPS

Malware対策

ATP/Device Guard/Applocker mitigation technologies

Home OOF

Malware

W hit e Black

↑ White List Approach

Black List Approach ↓

VSM: (Virtual Secure Mode) LAPS (Local Administrator Password Solution)

アクセス方法の制御

（ネットワーク・ローカル）

アカウントの認証

ボリュームの保護ファイルの保護

データの保護

権限のコントロール

ID

ドキュメント内つながる時代におけるサイバー攻撃の潮流と企業におけるセキュリティ (ページ 40-43)

40ドキュメントを開く



•

•

•

Windows 8.1：認証情報に対する 対策のポイント