PDF等

PDF等

2010/1/21 DRAFT

再配布禁止

正規のWebサイト

PC

中間的なDLサイト

マルウエア配布 サイト

Case-2: 実行ファイル型メール添付 (mydoom)

①添付した実行ファイルを、選 択されることで実行する

Outlook等

②システムエリアへのコピー

③

Temp

フォルダへのコピー

④自動実行への登録

（レジストリ）

整合性レベル

Medium

（通常のプ ログラム）として実行される

実行を許した場合の評価

⑤

1042

で外部

j

からの接続待ち

⑥共有フォルダーへのコピー

2010/1/21 DRAFT 再配布禁止 36

Case-3: 文書ファイルを使った攻撃（

Download 型）

何らかの方法でファイルを送り込み、これを 開く（メール、ブラウザ、メディア、コピー）

Exploit

を使って、

Injection

を行い、ファイルを ダウンロードし、実行する

Word/Adobe Reader

等

IE/TFTPr等

2010/1/21 37

評価結果の分析 -1

• Windows 7

＋

IE8

で、

AppLocker

を利用した場合、マルウエアの感染確率は極めて低い

–

また、感染した場合でも、実行に至らない可能性が高い

–

さらに巧妙な手法を利用した場合や、ユーザーによる誤った選択といった問題を回避するためには、以下の点を考慮する必要 がある。

• AppLocker

の利用上の課題：コード署名の必要性

– AppLocker

では、実行ファイルと

DLL

に対して既定のパス

(Windows, Proguram Files)

だけを許可し、他のフォルダーからの実行を 拒否した。

•

実行ファイルだけを設定した場合、

rundll32.exe

等を使ったマルウエアの実行が可能であることが確認できた。

–

この設定では、正規の領域（

Windows, Program Files)

へのコピーやインストールが行われた場合、この実行を阻止することがで きない

•

インストーラーの制限も可能であるが、これをパスやハッシュで制限することは難しい。

– AppLocker

では、コード署名による制限も可能であることから、パスやハッシュに影響をされない、コード署名による実行ファイ

ル、

DLL

、インストーラの制限必要である。

•

商用アプリケーションのコード署名が一般化する必要がある

•

アプリケーションの選択・バージョンアップの判断

– DEP

の有効性は極めて高い。積極的に

DEP

が有効なものを利用すべきである

– Office 2007

のように、攻撃の回避機能が組み込まれているものがある。これも、有効性が高い手法であることが確認された。

• AV

の併用

–

今回の評価では、マルウエアの感染に成功していないが、多層防御が薄くなるパスが確認されており、また、ユーザーの誤っ た選択によって感染した場合の対処も必要となる。

–

このため、AVの利用は不可欠である

2010/1/21 41

ドキュメント内 情報セキュリティの課題と対応策 マイクロソフト ( 株 ) チーフセキュリティアドバイザ 高橋正和 (ページ 35-39)