連載
続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」:Windows標準機能でいますぐできる標的型攻撃対策(4/4 ページ)
2014年9月の公開後、その実効性と手軽さが反響を呼んだ前回記事に新たな対策を追加。Windows標準のセキュリティ機能だけで実践可能な最新の標的型メール攻撃対策を紹介します。Windowsユーザーやドメイン管理者の皆さまは、ぜひご一読ください。
対策の総まとめ
以前の記事と併せた標的型メール攻撃の緩和策についてまとめてみよう。
- フォルダーの表示オプションから「登録されている拡張子は表示しない」のチェックを外す
Windowsの既定では、「.exe」などの登録されている拡張子は表示されないため、単純なアイコンの偽装だけでもだまされやすい。表示オプションを既定から変更することで、少しでも気付くことができるポイントを増やしておく。 - 添付ファイルにゾーン情報(ZoneID)が付加されるメールソフトを使用する
「Windows SmartScreen」「セキュリティの警告」「保護ビュー」など、Windows標準のセキュリティ機能の多くはZoneIDに依存している。筆者が添付ファイルにZoneIDが付加されることを確認しているメールソフトは、「Microsoft Outlook」「Windows Liveメール」および「Mozilla Thunderbird」である。Microsoft OutlookはOfficeのほとんどのエディションに含まれる。また、Windows LiveメールやMozilla Thunderbirdは無料でダウンロード可能なので、ZoneIDが添付ファイルに付加されないメールソフトを使用している場合は、乗り換えを検討するのもよいだろう。 - Windows標準のアーカイバー(エクスプローラー)を既定のアーカイバーとする
サードパーティ製のアーカイバーの多くは解凍時にZoneIDを欠落させてしまうので、Windowsのセキュリティ機能が動作しなくなる。また、解凍後に自動的にエクスプローラーでフォルダーを開くものは、偽装されたアイコンが表示されるのでだまされやすい。Windows標準のアーカイバーでは、解凍時にZoneIDが維持され、偽装アイコンが表示されないため、偽装されたファイルだと気付きやすくなる。 - 「Windows SmartScreen」「セキュリティの警告」の警告を無視しない
メールの添付ファイルを開いて、これらの警告が出たら不正なファイルである可能性が高いので、絶対に無視して実行してはいけない。「Windows SmartScreen」による警告は、「セキュリティの警告」よりも強力なので、外部に公開しているメールアドレスを扱うPCだけでも、Windows SmartScreenが利用可能なWindows 8/8.1やWindows 10へアップグレードすることを検討してもよいだろう。 - Officeの「保護ビュー」で「編集を有効にする」をクリックしない
Officeの「保護ビュー」は、必要最低限の機能だけを有効にした読み取り専用モードであり、ほとんどの攻撃では、攻撃コードがそもそもロードされない。よって、ゼロデイ攻撃や修正プログラムの適用漏れがあったとしても、攻撃が失敗に終わる可能性が高い。最近、流行の兆しを見せているマクロを使った攻撃も、保護ビューでは実行されない。保護ビューが利用可能なのはOffice 2010以降なので、Office 2007などを利用しているユーザーは、Office 2010以降にアップグレードすることを推奨する。 - 「ソフトウエア制限ポリシー」もしくは「AppLocker」を設定し、デスクトップおよび解凍先フォルダーのプログラムの実行を制限する
添付ファイルにZoneIDを付加しないメールソフトやサードパーティ製のアーカイバーを使わなければならない場合や、添付ファイルをデスクトップにドラッグ&ドロップした場合にZoneIDが欠落してしまうことに対する多層防御として、デスクトップや解凍先フォルダーに「ソフトウエア制限ポリシー」あるいは「AppLocker」を設定し、プログラムの実行を制限することは有効である。 - 偽装された添付ファイルを開いたときに、どのような警告が表示されるか、無害なファイルで予行演習を行う
ユーザーが管理者の意図しない手順で操作をした場合、警告が表示されない場合もある。また、せっかく警告が表示されても、事前知識がなければ無視して実行してしまうユーザーもいるだろう。偽装された無害な添付ファイルを実際に開いて実行してみる体験をすることで、警告・ブロックされたときの手順を身に付け、慌てずに適切な処置ができるようになることが重要である。予行演習は抜き打ちである必要はなく、定期的に何度も繰り返すことが望ましい。
本稿では、「文書ファイルに偽装した実行ファイルを圧縮して添付」する手口が主流になっている標的型メール攻撃に対し、Windows標準のセキュリティ機能を利用して攻撃を緩和する方法について考察した。なお、サイバー攻撃の対策は、「防御」「検知」「対応」をバランス良く組み合わせることが重要だ。本稿は主に「防御」の部分に焦点を当てたものであり、「検知」「対応」に当たる対策については、別途考慮する必要がある。しかし、Windows標準のセキュリティ機能による防御策は、標的型メール攻撃に対し非常に有効であることは間違いないと筆者は考える。この考察を多層防御の「一つの層」として役立てていただければ幸いである。
著者プロフィール
北河 拓士(きたがわ たくじ)
外資系コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティ製品提案、コンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティオペレーションセンター(SOC)にて脆弱性診断、セキュリティ教育などに従事。
2013年、NTTコムセキュリティの設立に伴い現職。
Copyright © ITmedia, Inc. All Rights Reserved.