情報セキュリティの課題と対応策 マイクロソフト ( 株 ) チーフセキュリティアドバイザ 高橋正和

情報セキュリティの課題と対応策

マイクロソフト（株）

チーフセキュリティアドバイザ

高橋正和

30+ years of computing & insecurity

1 9 7 7 1 9 7 8 1 9 7 9 1 9 8 0 1 9 8 1 1 9 8 2 1 9 8 3 1 9 8 4 1 9 8 5 1 9 8 6 1 9 8 7 1 9 8 8 1 9 8 9 1 9 9 0 1 9 9 1 1 9 9 2 1 9 9 3 1 9 9 4 1 9 9 5 1 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 • Apple II • Commodore • Atari • TI-99 • TRS-80 •VAX-11/780 •1BSD •ORACLE •Xerox Palo Alto “blob” •Elk Cloner • FBI arrest “414s” Hacker Group •©Brain Virus’ •Yale, Cascade,

Jerusalem, Lehigh, etc. • Ken Thompson • Fred Cohen’s VAX Viruses • Concept • Stealth virus •(Frodo/Whale) • Morris’ Worm • Robert T Morris fined $10K, 3 years probation • Melissa • I LOVE YOU • Solar Sunrise • CodeRed • Nimda • DDoS on DNS root • Slammer • Blaster • MyDoom • Sasser

Standalone Systems – Disk/Diskette SharingClient-server/PC-LAN Networks Internet

Information Warfare Computer Crimes

Trusted Operating Systems (Orange Book) Trusted Network (Red Book)

UK Green Book to BS 7799 to ISO 17799 Common Criteria

Insecure Default/Weak Security Techniques/Feature Misuse/Social Engineering Protocol Weaknesses/Remote Buffer overflow

• SPAM Mails • Spyware •Phishing proliferated • Phishing (AOL) • “Cukoo’s Egg” Cyber Crimes • WiityWorm • Agobot • Sobig • Yahoo DDoS • Lotus 123 •Adobe •Sun-1 •Compaq •Symantec • IBM PC •MS-DOS •DOMAIN •4.1BSD • Macintosh •TRON • Windows 3.0 _{• Windows 95} •Internet Explorer • Windows 98 • Linux • MOSAIC_•Netware

•Check Point •NT3.1 • NT 4.0 • Net BSD •Free BSD • IBM PS/2 •OS/2 • Targeted Attack

• Huge Data Leak

•Win 2000

•Win XP •Win XP SP2•Win Vista

•Mac OS-X

• JPgoHP

• AT&T Janes • IIJ

• ADSL • テレホーダイ • Ping of Death • Yahoo •eBay • Google • Winny • Winnyよる流出が頻発 • Brown orifice • Attack for Japanese Software • J3100 Worm as a Research

Virus via Media

• INN/phf • Back Orifice • statd, named,popd • 911 •省庁再編 •BSE

• IBM spy case

• Dynabook

•DDoS tools

Broad band Network

Virus via E-MailWorm communization Worm in the wild

Document / Local BO •ｱﾅﾛｸﾞ携帯電話 •2G携帯 • 神戸震災 •地下鉄ｻﾘﾝ •PHS •3G携帯 • スマトラ沖地震 •中越地震 • カトリーナ •福知山線 •有珠山噴火 • FISC • ｽﾘｰﾏｲﾙ島 • C++ • ｽﾍﾟｰｽｼｬﾄﾙ

• ARPA Net IP化

• 御巣鷹山 • NTT民営化 • 天安門事件 •ドイツ統一 • 世界貿易 ｾﾝﾀｰ • LA地震 • JR民営化 • iMac • 不審船 •JCO臨界事故 •ﾄﾙｺ西部地震 •三宅島噴火 • iPod •Netscape •ISS • SARS •伊大停電 •米大停電 •Win Server 2003 • Wonk Worm

• Virus Creation Laboratory •MTE • Michelangelo • Netcat • Kevin Mitnick • GyaO • YouTube • Skype • Amazon.com • ﾁｪﾙﾉﾌﾞｲﾘ • 楽天 • mySpace • mixi • CISCO •Dell • 2ch • Blog • 新聞社のページ • ｵﾝﾗｲﾝﾒﾃﾞｨｱ • First SPAM • Perl • Java • PHP • JavaScript • Ruby • Real Player • PDF • tama

• Virus Book • Little Black Book

• NISC • NIRT

セキュリティにかかわる歴史

セキュリティ事件 ～1999年頃

ARP NET

Morris Worm

Melissa

研究者の時代、接続されている人はみんな知り合い 1983 Ken ThompsonのCコンパイラ 1984 コンピュータウィルスという用語(Fred Cohen) 初めての大規模インシデント、CERTの設立につながる 一方向ハッシュのパスワードを破る方法や、バッファオー バーフロー攻撃が、一部で知られるようになる。 メール型ウィルスMelissaが大規模感染 これを機会に、ウィルス対策の焦点が、FD等のメディアからメ ールに移行する 1969 1988

www

VLC

World Wide Web（WWW）技術が発表（Mosaicは翌年） 最初のウィルスツールキット(Virus Creation Laboratory) 1992

1999

セキュリティ対策 ～1999年頃

黎明期

Morris Worm以降

Merrisa以降

■基本は信じること 出来るだけ他の人を助けること が美徳とされた． 隣の計算機のCPUタイムを、 ちょっと失敬することも、それ ほど問題とはされなかったよう だ。 ■ウィルスの拡散速度 従来は、FDなどのメディアを 使っていたことから、ウィルス が拡散するまで、それなりの時 間がかかっていた． メールによる感染により、ウィ ルスが拡散するまでの時間が格 段に短くなり、検体の入手方法 や、アンチウィルスの更新手法 が問われるようになった。 ■ウィルスの拡散範囲 FDなどのような物理的な移動を 伴わないため、短期間に広範囲 に感染した。 ■ウィルス対策の基本 疑わしいFDを利用しないことが、 ウィルス対策の基本だったが、 徐々に疑わしい添付ファイルを 開かないに移行する ■最初のリアリティ 計算機が次々と停止し、セキュリ ティ対策の必要性が、一部で認識 されるようになる． ■一方向ハッシュの神話 暗号化されたパスワードが簡単な プログラムによって破られ、一方 向ハッシュの神話が崩れる。 ■バッファオーバーフロー バッファオーバーフローにより、 ログインをせずに、システムに侵 入できることが明らかになる。 ■計算機間の信頼関係 rhostsで実装される、計算機間の信 頼関係を利用した事から、信頼関 係の問題が明らかになる． ■CERTの設立 大規模インシデント対応を行うた めに、CERT(Computer Emergency Response Team)が設立される

セキュリティ事件 2000～2001年頃

官公庁

HP

改竄

DDoS

攻撃

Code RED

官公庁のHPが連続して改竄される 不正アクセスが現実のものとして認識される 内閣官房に、情報セキュリティ対策推進室設立 FWとセキュリティポリシの必要性などが再認識される Yahoo, eBay等にDDoS攻撃が行われる WEBサーバに感染するCode REDが発生 FWでは対策できない問題があることが明確になる WhitehouseへのDDoS 2000 2001

Nimda

サーバとPCに感染するNimdaワームが出現し、総合的なセキュリ ティ対策の必要性が認識される 他にも多数のワームが出現し、大きな影響を与えた

911

テロ

セキュリティ対策 2000～2001年頃

官公庁HP改竄

DDoS攻撃

CodeRedワーム

■初めての ﾘｱﾘﾃｨ(日本) 本当にハッカーっているんだ！ という新鮮な驚きがあったはず。 ■ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ FWも設置されていないサイト があることが、改めて明らかに なる． メンテナンス用のFTPのアカウ ント管理が不適切なケースも… よく知られた脆弱性が放置され た状態にあることも明らかに なった。 ■政府が対策に乗り出す ハッカー対策等の基盤整備に係 る行動計画 政府の情報システムのセキュ リティ確保 重要インフラ防護のためのサ イバーテロ対策 ■FW防御の限界 CodeRedワームは、HTTPを使っ て感染したことから、FWが あっても通過してしまい、次々 とWEBサーバが感染した。 ■セキュリティパッチ FWでは防御できないことが明 らかになったことから、セキュ リティパッチ重要性が改めて認 識されるようになった． ■運用への影響 CodeRedの対策をいくら行って も、また感染してしまうという、 運用者にとっては、涙が出るよ うなことが、いたるところで発 生した。 ■しつこいやつらだな！ CodeRedの副作用として、WEB の改竄があったが、単にページ を書き戻すだけの対策しか行わ れないことも少なくなかった ■商用サイトの停止 巨大な商用サイトが、一人のハッ カーの手で、停止に追い込まれる ことが明らかになる。 DDoSの危険性は、専門家の間では 話題になっていたが、多数の攻撃 元を作ることは困難であるため、 現実的な問題との意識は低かった。 この事件で、意外に簡単に出来て しまうことが明らかになった

セキュリティ事件 2002年頃

SNMP

TBC

情報漏えい

SNMP(Simple Network Management Protocol)の問題 デバイスメーカやOS関係、ISP等が大騒ぎとなる エステサロン TBCで顧客情報流出（3万7千人）

Apche

WEBサーバApache/モジュールに深刻な問題 これ以降、Apacheの改竄が、IISの改竄を上回るようになる 2002

OpenSSH

OpenSSHに脆弱性(Matrixで使われたのはこれかな？）

住基ネット

住基ネット稼動開始

WEB

の脆弱性

WEBブラウザの脆弱性が注目されるようになる

Cross Site Scripting, Office氏など SDbot

Agobot Slapper

セキュリティ事件 2003年頃

SQL Slammer

MS Blast/Nachi

日本では、大きな混乱はなかったものの、韓国や米国で大きな 被害が発生する。 自分が感染しなくても、インターネットバックボーンが影響を受け ることで、被害を受けることが認識される Windowsの脆弱性を利用したワーム MS Blastが発生 企業のPCのみならず、家庭のPCにも大きな影響を与える． ただPCをネットワークに接続しているだけで、感染することに衝 撃を覚えた人が多数いた． 一方で、ウィルスやワームが、DDoSの道具として利用されるよう になる。

CISCO IOS

CISCO IOSにDoSの不具合が見つかる．

ISPのネットワーク機器が停止し、インターネットが機能不全に陥 る可能性があった

2003

セキュリティ対策 2002～2003年頃

Nimda

SQL Slammer

MS Blast/Nachi

■運用の隙間 Nimda以前は、サーバやネット ワークのセキュリティ対策と、 PCのセキュリティ対策が分離し ていた。 サーバやネットワークの対策は、 FWなどによるアクセスコント ロール、デーモンプログラムの 設定などが中心 PCの対策は、アンチウィルスが 中心。 Nimdaは、ウィルスとワームの 両方の特性をもっていたことか ら、従来セキュリティ対策の中 心となっていた、ネットワーク 管理者、サーバ管理者だけでは 対応できないことが多かった． ■家庭のPCが… 企業等に大きな影響があったこ とは間違いないが、家庭のPCが 大量に感染し、悲しいカウント ダウンをはじめた。 また、Windows Updateを行うに は、インターネットに接続する 必要があるが、Updateが終わる 前に感染してしまい、悲しいカ ウントダウンをはじめるなどの 問題が表面化した。 ■開発スピード 脆弱性公表後、1～2週間で攻撃 コードが公表され、その直後に ワームが発生した。 ゼロディアッタクなどの言葉を 良く聞くようになる． ■DDoSツール ワームの中に、DDoS機能が組 み込まれていた． これ以降、多数のワーム・ウィ ルスがDDoS機能を持つことに なる． ■バックボーンへの影響 韓国では、インターネットバック ボーンが大きな影響を受け、イン ターネットが利用できない状況に なった．（今の日本で、数日間イ ンターネットが止まったら、どの くらいの影響があるのだろう か？） また、米国ではATM、航空機予約、 911等、思わぬところに影響を与え た．（VOIPが普及する前で、本当 に良かった） SQL Slammerから、ワーム等のイン ターネットバックボーンへの影響 が注目されるようになった． ■感染時間（Worm Bomb) SQL Slammerは、わずか5分間で感 染が広がった。当然、アンチウィ ルスのパターンファイルは追いつ かない。 ウィルスやワームの感染速度に対 する常識を変え、大きなショック を与えた

セキュリティ事件 ～2004年頃

個人情報漏えい

メールウィルスの変化

フィッシング

個人情報の漏えいが相次いで公表され、社会的な問題 として関心を集める 技術的に凝ったウィルスではなく、文面に凝ったウィルスが 増える．また、パターンファイルを上回るスピードで亜種を 送り出す手法がとられる。 感染したPCをスパム業者が利用しているといわれるように なる 金融機関などを装い、口座番号と暗証番号を騙し取り、 口座などから現金を引き出すフィシングが問題として取り 上げられるようになる． 個人ユーザの口座から、お金が消えるのははじめてのケ ースと思える． Bagle Mydoom Netsky Rbot 2004/5/11 Agobot作成の容疑者逮捕

セキュリティ事件 2005-2006

価格

.com

米国でクレジットカード情報

の大量

_t

盗難

Winny

による

機密情報漏えい

専門家としては、日常的なセキュリティ事故だったのだが、 社会的なインパクトが大変大きかった インターネットが、日常生活に深く浸透したことを改めて感 じさせる事件だった ECサイトからクレジットカード情報が漏れることは、何度も 発生しているが、決済代行業者がターゲットとなったのは 初めてではないか？ 色々と考えさせられる事件 これも、いまさらという事件ではあるが、原子力発電所にか かわる情報が漏れてしまったたことが大きなインパクトとな った。 いずれの事件も、典型的なミスや手法で事件が起きている ので、技術的に見るとさほど面白くない。 一方で、もれた情報が大変や、停止したサイトがもつ社会 的な影響の大きさに、改めて気づかされる事件だった

セキュリティにかかわる歴史

従来のワーム・ウイルスの脅威



( )



) ( 1 ) ( t M p t M dt t dM    θ θ θ: 感染対象母数 ρ：感染確率 t: 時刻 従来の脅威 ・感染そのもの 駆除と復旧の手間 ・感染の副作用による障害 感染活動によるＮＷ障害 ・感染源としての風評 取引先や顧客への感染 従来の脅威から生じた誤解 ・感染以外の活動は副次的 ・データを盗み出すような事はない （偶発的な場合は除く） ・ワーム・ウイルスはオートマンである ・プログラムされた動作を繰り返すだけ ・感染すれば分かるはず ・AV/IDSによる検出 ・大量のトラフィック等 もし、このように変わっているとしたら？ ・意図をもってマルウエアを利用しているとすると ・一つの手段としてのマルウエアの利用 （スパイ活動、犯罪行為、工作活動） ・マルウエアは、意図をもって変化する ・遠隔操作で任意の動作を任意のタイミングで実施する ・任意のタイミングで、更新・変更が行われる ・できる限り目立たなく（目立つ必要はない） ・ＡＶ回避技術の確立、ルートキット、コバートチャネル ・少ないトラフィック 感染数と立ち上りに着目していた （脅威情報、定点観測、早期警戒） 警戒のスレッシュホールドレベル

マルウエアの脅威の変化

警戒のスレッシュホールド レベル 緩やかな感染の拡大、または、 特定の組織への侵入 ロジスティク曲線でない点に注意 感染を目的としたマルウエアから 最初の意図をもったものへの移行 目的に応じた、マルウエアに選択 的に移行 0 10 20 30 40 50 60 70 2004/01 2004/04 2004/07 2004/10 2005/01 2005/04 2005/07 2005/10 2006/01 2006/04 2006/07 2006/10 2007/01 2007/04

Office 2003

この変化は、2006年頃から顕著になり、これと連 動して、Officeなどのドキュメントファイルのぜい 弱性が狙われるように変化した

Source: Security Focus 16

従来の脅威 ・感染以外の活動は副次的 ・データを盗み出すような事はない （偶発的な場合は除く） ・ワーム・ウイルスはオートマンである ・プログラムされた動作を繰り返すだけ ・感染すれば分かるはず ・AV/IDSによる検出 ・大量のトラフィック等 現在の脅威 ・意図をもってマルウエアを利用している ・手段としての利用（スパイ活動、犯罪行為、工作活動） ・マルウエアは、意図をもって変化する ・遠隔操作で任意の動作を任意のタイミングで実施する ・任意のタイミングで、更新・変更が行われる ・できる限り目立たなく（目立つ必要はない） ・ＡＶ回避技術の確立、ルートキット、コバートチャネル ・少ないトラフィック

マルウエア動作モデルの変化

ウイルス・ワームモデル バックドアモデル ボット等の現在のマルウエアモデル ウイルス ワーム 事前組込 動作 ②-2 操作I/F ①感染機能 バックドア 事前組込 動作 ②-2 操作I/F Operator (Herder) ③-1 個別の管理PCの 捜査・管理・利用 （従来のバックドア） マルウエア （ボット） マルウエア （ボット） 事前組込 動作 ②-2 操作I/F C&C (Command & Control System) Operator (Herder) ①感染機能 ②-3 自己更新機能 ③-2 多数の感染PC の操作・管理・利用

セキュリティにかかわる技術の俯瞰

OS の設定、更新プログラム管理、

ネットワーク認証、侵入検知

マルチレイヤ アプローチの使用:

• 攻撃者にとっての検知されるリスクを高める

• 攻撃者が成功する可能性を低くする

データ

アプリケーション

ホスト

内部ネットワーク

ネットワーク境界部

物理セキュリティ

セキュリティ ポリシー

ファイアウォール、VPN、 侵入検知

ネットワーク ポート、IPSec、

無線LANセキュリティ

アクセスコントロール、暗号化

セキュアなコーディング、

ウイルス対策、ユーザー認証

警備員、施錠、入退室管理

文書化、ユーザー教育

実装・実装設計における多層防御-1

適材適所による

セキュリティ対策

実装・実装設計における多層防御-2

到達性の制御 認証と権限による制御 ボリュームの 保護 ファイルの保護 データの保護 データの保護 アクセス権限を持つアカウントによって データを流出させないための視点 USB 128M CD/DVD USB 128M CD/DVD USB 128M CD/DVD ディスクへの 直接アクセス ネットワーク経 由の転送 リムーバブルメ ディアでの持出

ディスクボリュームレベルの暗号化

① ディスクへの直接アクセス ディスクボリューム全体が暗号化されている ことが保証されているため、有効に機能する ② ネットワーク経由の流出 ③ 外部メディアによる流出 ログインが行われている場合、複合化された 状態でデータアクセスが行われるため、暗号 化による保護は行われない

ファイルシステムレベルの暗号化

① ディスクへの直接アクセス 暗号化されているファイルは保護されるが、暗号 化が漏れたファイルは保護されない ② ネットワーク経由の流出 ③ 外部メディアによる流出 ログインが行われている場合、複合化された状態 でデータアクセスが行われるため、暗号化による 保護は行われない

データレベルの暗号化

① ディスクへの直接アクセス 暗号化されているファイルは保護されるが、暗号 化が漏れたファイルは保護されない ② ネットワーク経由の流出 ③ 外部メディアによる流出 システム、ファイルシステムでは、複合化が行わ れないため、ネットワークで転送された場合、外 部メディアにコピーされた場合も、暗号化が維持 され、データを保護することができる。

Guidance Developer Tools Systems Management Active Directory Federation Services (ADFS) Identity Management Services Information Protection Client and Server OS Server Applications Edge

実装・実装設計における多層防御 -3

IDと各種設定の 一元的な管理基盤 PC単位の セキュリティ強化 サーバ単位の セキュリティ強化 基盤となる 運用・構成管理 ID管理基盤に上に構築する 情報保護（暗号化） 接続ノードの 管理基盤

SD

3

_{+ コミュニケーション}

Secure by

Design

「セキュアな設計」

•

セキュリティを考慮した機能の実装

•

セキュアなアーキテクチャ

•

コードに内在する脆弱性の排除

Secure by

Default

「セキュアな標準設定」

•

攻撃対象となるコンポーネントの削減

•

利用しない機能は既定で無効化

•

必要最小限の権限付与

Secure in

Deployment

「セキュアな運用・展開」

•

展開後のシステムをセキュアに維持管理

•

運用: 方法論、アーキテクチャ ガイダンス

•

要員: トレーニング

Communication

「コミュニケーション」

•

Microsoft Security Response Center

•

セキュリティ関連コミュニティとの協調作業

•

社外との意見交換

開発における多層防御-2

設計 セキュリティ アーキテク チャを定義し、 ガイダンスを 設計 ソフトウェアの 攻撃の可能な 要素を文書化 脅威モデル 標準、最善策お よびツール コーディング とテストの標 準を適用 セキュリティ ツール (ファ ジング ツール、 静的な分析 ツールなど) を適用 セキュリティ プッ シュ セキュリティ コード レ ビュー セキュリティに フォーカスした テスト 新たな脅威に 対するレ ビュー サインオフ（出 荷）基準をクリ ア 最終的なセキュリ ティ レビュー セキュリティ チームによる独 立したレビュー ペネトレーショ ン テスト SDLに関するコ ンプライアンス 記録の保管 RTM および開発 サインオフ セキュリティ対応 対応計画の設 計と実施 開発プロセス へのフィード バックプロセス の用意 事後分析 製品の開始 セキュリティ アドバイザを アサイン セキュリティ マイルストン を定義 製品にセ キュテを統 合する

要件

設計

実装

_検証

公開

対応

SDLは効果があったのか？

従来のシステムと比較して、明らかに低いマルウエア感染率。

出典：Vista one year vulnerability Report, H1 2008 Desktop OS Vendor Report, Security Intelligence Report Ver.7

H1 2008でMSの脆弱性は全体の10%

出荷1年で発見された脆弱性は、XPの約半分。 他のシステムと比較しても、遜色のないレベル

対策プログラムの提供も迅速に行われており、利用者のリ スクが、最も低いシステムとなっている

Windows 7のセキュリティへのアプローチ

より柔軟な利用形態 (Anywhere Access) 巧妙化する マルウエアの対策 情報保護の強化 容易に利用して 頂く為に

BitLocker To Go

• USBメモリなどのリムーバブルメディアの保護

– 顧客へ持っていくデータや、持って帰るデータを暗号化することで、メディアを

紛失した場合のリスクを大幅に低減

AppLocker

• プログラムの実行やインストールを容易に管理できます

– マルウエアの感染防止にも効果絶大

– 指定外のプログラムを利用しないようにすることも可能

Direct Access

• 社外のPCを、社内と同様にドメイン管理

– 専用線やVPN装置を使わないで、ドメイン管理ができるようになります

– このため、グループポリシーの適用、バージョンアップの実施など、セキュリ

ティ上、保守上重要な作業を、容易かつ安価にできるようになります。（

BitLocker To GoやAppLockerの適用など）

– NotePCにも適用できるので、持ち運ぶPCの管理も容易になります

29 •接続できるまで数分を要する •接続が切れると、再接続が必要 •環境によって利用できない イントラネット VPN •コンピューターとユーザーを認証 •シームレスな接続 •ログオン前にリモート管理が可能 •多くの環境で利用可能 •IPsecはEnd-to-End/End-to-Edgeを選択可 能 DirectAcces s VPNとDirectAccessの比較

互換性対策とXP Mode

• 互換性の自動検出

– 互換性のトラブルシューティング

• どうしてもWindows7で動かないアプリにXP Mode

多様化する攻撃の手法

31 秘 秘 秘 ②メールを使った攻撃-1 （実行ファイル型） ④情報の盗出 ③イントラ内の 感染と情報の盗出 イントラネット （社内ネットワーク） 悪意のあるサイト （データ収集） マルウエア配布サイト ①ワーム型の攻撃 （社外での感染） （社内への持ち込み） ③メールを使った攻撃-2 （Downloder型） USB 128G Case-1 Case-3 Case-2 2010/1/21 金融機関など 金銭的な被害 事業的な被害 ④Webを使った攻撃 侵入された正規のサイト ⑤リムーバブルメディアを 使った攻撃

Gumblarなどの事例

32 秘 秘 秘 ②メールを使った攻撃-1 （実行ファイル型） ④情報の盗出 ③イントラ内の 感染と情報の盗出 イントラネット （社内ネットワーク） マルウエア配布サイト ①ワーム型の攻撃 （社外での感染） （社内への持ち込み） ③メールを使った攻撃-2 （Downloder型） USB 128G Case-1 Case-3 Case-2 2010/1/21 金融機関など 金銭的な被害 事業的な被害 ④Webを使った攻撃 侵入された正規のサイト ⑤リムーバブルメディアを 使った攻撃 悪意のあるサイト （データ収集） 正規アカウントを 使った攻撃 アカウント情報の 入手 ①Webサイトが改ざんされマルウエアが埋め込まれる 正規のアカウント（FTP等）を使った侵入も多い 侵入の際に、アカウント情報（ユーザーID+Hash）が 盗み出され、これを解読してさらなる侵入に 利用されているする見方もある ②Webサイトを閲覧したPCがマルウエアに感染する ③感染したPCから、アカウント情報を含んだ情報が 盗み出され、さらなるWebの改ざんなどに利用される ④感染したPCから、イントラネットの様々なノードへの 感染が試みられていると考えられる。

複雑化する影響

33 秘 秘 秘 ②メールを使った攻撃-1 （実行ファイル型） ④情報の盗出 ③イントラ内の 感染と情報の盗出 イントラネット （社内ネットワーク） 悪意のあるサイト （データ収集） マルウエア配布サイト ①ワーム型の攻撃 （社外での感染） （社内への持ち込み） ③メールを使った攻撃-2 （Downloder型） USB 128G Case-1 Case-3 Case-2 2010/1/21 金融機関など 金銭的な被害 事業的な被害 ④Webを使った攻撃 侵入された正規のサイト ⑤リムーバブルメディアを 使った攻撃

多くの被害者が存在する

① 改ざんされたWebサイト ② 感染したPCとその利用者 ③ 詐欺行為にあった金融機関や、販売店など これに加えて ④ 侵入により盗み出されたアカウントを利用され、 新たに侵入を受けたWebサイト ⑤ イントラネット内で感染したPC、盗み出された情報、 所属する組織など アンダーグラウンドでは、「すべての情報は価値がある」

Internet

ホスティング業者 A PC ISPs 感染企業 同一の場合がある セキュリティベンダ

Gumburl被害の関係者

中継的 DLサーバ EXP／配付サーバ アウトソース・ 保守委託業者 PC ホスティング業者 B C&C ホスティング業者 C （入り口となる） 改ざんサーバー 保守用 ソフトウェアベンダ 保守用のPCから、FTPの アカウントが盗み出され、 Webの改ざんに利用され ている 正規のWebサーバーが、 正規のアカウントで改ざ んされ、マルウエアが埋 め込まれる オンライン広告などの第 三者コンテンツが改ざん される場合もある 2段目のマルウエアは、別 のサーバーからダウン ロードされる場合が多い C&Cまたは、C&C的な動き をするサーバーも、別の サーバーが利用される場 合が多い レジストラ DNS Webを閲覧することで、マ ルウエアに感染する C&Cや中間的DLサーバを DNSに登録するケースが 多い 同一とは 限らない 対策手段 対策手段 広告などの第三者コンテ ンツを含む場合がある

Case-1:Drive by Download型の攻撃（

GENO Virus)

IE等 Word/Adobe Reader 等 IE/TFTPr等 PDF等 PDF等 2010/1/21 DRAFT 再配布禁止 PC 正規のWebサイト 中間的なDLサイト マルウエア配布 サイト

Case-2: 実行ファイル型メール添付

(mydoom)

①添付した実行ファイルを、選 択されることで実行する Outlook等 ②システムエリアへのコピー ③Tempフォルダへのコピー ④自動実行への登録 （レジストリ） 整合性レベル Medium（通常のプ ログラム）として実行される

実行を許した場合の評価

⑤1042で外部jからの接続待ち ⑥共有フォルダーへのコピー 2010/1/21 DRAFT 再配布禁止 36

Case-3: 文書ファイルを使った攻撃（

Download型）

何らかの方法でファイルを送り込み、これを 開く（メール、ブラウザ、メディア、コピー） Exploitを使って、Injectionを行い、ファイルを ダウンロードし、実行する Word/Adobe Reader 等 IE/TFTPr等 2010/1/21 37

評価結果の分析-1

• Windows 7＋IE8で、AppLockerを利用した場合、マルウエアの感染確率は極めて低い – また、感染した場合でも、実行に至らない可能性が高い – さらに巧妙な手法を利用した場合や、ユーザーによる誤った選択といった問題を回避するためには、以下の点を考慮する必要 がある。 • AppLockerの利用上の課題：コード署名の必要性

– AppLockerでは、実行ファイルとDLLに対して既定のパス(Windows, Proguram Files)だけを許可し、他のフォルダーからの実行を

拒否した。

• 実行ファイルだけを設定した場合、rundll32.exe等を使ったマルウエアの実行が可能であることが確認できた。

– この設定では、正規の領域（Windows, Program Files)へのコピーやインストールが行われた場合、この実行を阻止することがで

きない • インストーラーの制限も可能であるが、これをパスやハッシュで制限することは難しい。 – AppLockerでは、コード署名による制限も可能であることから、パスやハッシュに影響をされない、コード署名による実行ファイ ル、DLL、インストーラの制限必要である。 • 商用アプリケーションのコード署名が一般化する必要がある • アプリケーションの選択・バージョンアップの判断 – DEPの有効性は極めて高い。積極的にDEPが有効なものを利用すべきである – Office 2007のように、攻撃の回避機能が組み込まれているものがある。これも、有効性が高い手法であることが確認された。 • AVの併用 – 今回の評価では、マルウエアの感染に成功していないが、多層防御が薄くなるパスが確認されており、また、ユーザーの誤っ た選択によって感染した場合の対処も必要となる。 – このため、AVの利用は不可欠である 2010/1/21 41

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.