PDF等
2010/1/21 DRAFT
再配布禁止正規のWebサイト
PC
中間的なDLサイト
マルウエア配布 サイト
Case-2: 実行ファイル型メール添付 (mydoom)
①添付した実行ファイルを、選 択されることで実行する
Outlook等
②システムエリアへのコピー
③
Temp
フォルダへのコピー④自動実行への登録
(レジストリ)
整合性レベル
Medium
(通常のプ ログラム)として実行される実行を許した場合の評価
⑤
1042
で外部j
からの接続待ち⑥共有フォルダーへのコピー
2010/1/21 DRAFT 再配布禁止 36
Case-3: 文書ファイルを使った攻撃(
Download 型)
何らかの方法でファイルを送り込み、これを 開く(メール、ブラウザ、メディア、コピー)
Exploit
を使って、Injection
を行い、ファイルを ダウンロードし、実行するWord/Adobe Reader
等IE/TFTPr等
2010/1/21 37
評価結果の分析 -1
• Windows 7
+IE8
で、AppLocker
を利用した場合、マルウエアの感染確率は極めて低い–
また、感染した場合でも、実行に至らない可能性が高い–
さらに巧妙な手法を利用した場合や、ユーザーによる誤った選択といった問題を回避するためには、以下の点を考慮する必要 がある。• AppLocker
の利用上の課題:コード署名の必要性– AppLocker
では、実行ファイルとDLL
に対して既定のパス(Windows, Proguram Files)
だけを許可し、他のフォルダーからの実行を 拒否した。•
実行ファイルだけを設定した場合、rundll32.exe
等を使ったマルウエアの実行が可能であることが確認できた。–
この設定では、正規の領域(Windows, Program Files)
へのコピーやインストールが行われた場合、この実行を阻止することがで きない•
インストーラーの制限も可能であるが、これをパスやハッシュで制限することは難しい。– AppLocker
では、コード署名による制限も可能であることから、パスやハッシュに影響をされない、コード署名による実行ファイル、
DLL
、インストーラの制限必要である。•
商用アプリケーションのコード署名が一般化する必要がある•
アプリケーションの選択・バージョンアップの判断– DEP
の有効性は極めて高い。積極的にDEP
が有効なものを利用すべきである– Office 2007
のように、攻撃の回避機能が組み込まれているものがある。これも、有効性が高い手法であることが確認された。• AV
の併用–
今回の評価では、マルウエアの感染に成功していないが、多層防御が薄くなるパスが確認されており、また、ユーザーの誤っ た選択によって感染した場合の対処も必要となる。–
このため、AVの利用は不可欠である2010/1/21 41
ドキュメント内
情報セキュリティの課題と対応策 マイクロソフト ( 株 ) チーフセキュリティアドバイザ 高橋正和
(ページ 35-39)