標的型攻撃に備える。検知する。

Just another POL Helpサイト site


MobiControlは、標的型攻撃に備えるために

  • VSM(仮想セキュアモード)を構成してないPCをアラート対象にします
  • デバイス正常性構成証明書で、その他の脆弱性が検出されたPCもアラート対象にします

MobiControlは、標的型攻撃を検知するために

  • PCをリモート操作でMicrosoft Defender ATPにオンボードします
  • Microsoft Defender ATPで異常を検知したPCをアラート対象にします

MobiControlは、アラートに対処します

  • アラート対象になったPCで、業務アプリをアンインストールし、VPNを接続不能にします
  • 該当PC名を付して、アラートメールを関係者に発信します

標的型攻撃の手口の例

(図1)

  1. 暗号化したマルウェア
    業務を装ったメールに、マルウェアファイルを暗号化して添付してきます。 (拡張子 .zip .zi_ .pdf .docx など)
    暗号化されたファイルだと、マルウェア対策ソフトは検疫できません。ウィルスパターン(シグネチャ)を検出できないからです。
    攻撃者は、別のメールの本文で、復号化パスワードを 送ってきます。巧妙に業務を装ったメールなので、添付ファイルを開けたとしても、そのPCユーザを責めるだけでは対策となりません。 1回目のメール添付は、正常な業務関係文書で安心させます。後日送る2回目のメール添付が、暗号化されたマルウェアというケースもあります。
    PCユーザに復号化を求めず、暗号化されたままで、PC内に潜伏するケースもあります。
  2. ファイルレス攻撃
    ファイルレス攻撃はメモリにのみ悪性コードが展開され、HDD/SSDにはマルウェアファイルがありません。 従って、マルウェア対策ソフトではスキャン検疫できません。
    ファイルレス攻撃の手口は多くあります。例えば、C\Windows\System32\傘下のWindows正規exeファイルになり替わり、 これが起動するとメモリ展開されます。メモリ展開もsvchost.exeのメモリ空間に潜りこむ場合もあります。
  3. 暗号化されたままで潜伏
    マルウェアファイルが、暗号化されたままで 潜伏し続ける場合もあります。暗号化されているので、マルウェア対策ソフトではスキャン検疫できません。 一方、正規のアプリの起動に伴い起動されるDLLファイルが、すり替えられます。 そのDLLが、暗号化されたマルウェアを復号化するようになっていて、正規アプリが起動すると悪性コードがメモリ空間に展開されます。
  4. マルウェア対策ソフトの無効化やPC内Firewallを無効化
    攻撃者は、マルウェア対策ソフトの無効化やPC内Firewallの無効化を行います。 そして、PsExecなどのWindows正規ツールを使ってリモート操作をします。
    これらの無効化を実施するコードは、裏サイトで公開されており、攻撃者は簡単に手に入れることができます。
  5. 既知のマルウェアでの攻撃は、全体の4%
    Microsoftの調査では、攻撃の96%は、未知のマルウェアによるとのことです。 つまり、既知のマルウェアによる攻撃は、全体の4%だけとなります。従って、既知のマルウェアのウィルスパターン(シグネチャ) では、攻撃の4%しか、食い止められないことになります。
攻撃者は、シグネチャベースのマルウェア対策ソフトをすり抜けてくる新しい手法を、次々と発案し、侵入してきます。
シグネチャベースの マルウェア対策ソフトをすり抜けてくる標的型攻撃が、必ず、襲ってくるという前提で、備えておく必要があります。 Microsoftは、その脅威に対し、2つの対策を無償で提供しています。
  • 仮想セキュアモード
    仮想セキュアモードは、Active Directoryのグループポリシーで、設定します。 MobiControlは、仮想セキュアモードを、未だ設定していないエンドポイントPCを一覧表示します。
  • Microsoft Defender ATP
    MobiControlは、傘下のPCを、Microsoft Defender ATPにリモートからオンボーディングさせます。 もし、異常があれば、該当PCの隔離や、CSIRT関係者へのアラートメール配信を行ないます。
    CSIRT = Computer Security Incident Response Team。 組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。

仮想セキュアモード

侵入したマルウェアは、PCのメモリに残っている社内サーバへの認証情報(ログイン名とパスワード)を盗みます。 そして、社内サーバにアクセスし、機密情報をダウンロードします。
認証情報は、ハッシュ化して保存されていますが、それでも、侵入者は、Pass-the-Hash 手法で、管理者権限を奪います。 これは、認証情報が、OSの管理下にあることに、遠因があります。

VBS(Virtual Based Security)構成の概要
(図2)

Windows10 Enterprise またはWindows10 Educationでは、仮想化技術を使って、 一般のアプリが動作するWindows OSの環境と、認証情報を保護する環境を分離することができるように なりました。この構成を、VBS(Virtual Based Security)構成と呼びます。 VBS構成を実現するには、CPUがx64アーキテクチャになっている必要があります。

仮想化ソフト(ハイパーバイザー)の上に、2つの仮想マシンが稼働します。
1つは、Windows OS。もう1つは、仮想セキュアモード(VSM=Virtual Secure Mode)。
仮想セキュアモードは、Windows OSとは独立した環境です。マルウェアが、 ローカル管理者権限(アドミン権限)を盗み、Windows OSを操作するようになったと仮定します。 それでも、仮想セキュアモードには侵入できません。

(図3)

Windows OSと仮想セキュアモードの間は、RPC(Remote Procedure Call)で通信します。 仮想セキュアモードにアクセスできるのは、SLAT(Second Level Address Translation)で マッピングされたメモリからのみとなります。
SLATは、ゲストOSの仮想メモリとホストOSの物理メモリのアドレス変換を、ハードウェアで実施する仮想化支援機能のです。 IntelとAMDで、その仕組みが若干異なります。
企業が使う機密サーバへのアクセスには、AD_DS(Active Directory Domain Service)の認証を受けます。そのAD_DSの認証情報自体は、 従来と同じくWindows OS側に保存されます。しかし、その認証情報は暗号化され、 復号に必要な復号鍵は、仮想セキュアモード側に保存されます。
認証情報の復号や、それに基づく処理も、仮想セキュアモードで実行します。

マルウェアは、SLATを利用しての仮想セキュアモードにはアクセスできません。RPCが成立しないからです。
Windows OS側にある暗号化された認証情報を盗んでも、暗号化されているので、サーバにはログインできません。

VBSが保護する認証情報は、AD_DS または IDプロバイダに対する認証情報です。これ以外の認証情報、例えば、社外サーバに対する任意のログインIDとパスワードを、VBSは、保護しません。
オンプレミスであれ、クラウドであれ、企業が使う機密サーバへのログインには、AD_DS または IDプロバイダによる 認証を経るようにしておかなければなりません。
ローカルPCに対するアドミン権限パスワードも、VBSは、保護しません。
PCへのログインには、AD_DSまたはIDプロバイダによる認証とするのが、望ましいでしょう。
用語を整理しておきます。
  • VBS=Virtual Based Security
    2つの仮想マシンを構成し、セキュリティ強度を高める構成のことを指す。 Windows OSを1つの仮想マシンで稼働させ、仮想セキュアモードをもう1つの仮想マシンで稼働させる。
  • 仮想セキュアモード(VSM=Virtual Secure Mode)
    VBS構成での2つの仮想マシンの1つ。 復号鍵と復号化された認証情報を格納し、認証情報の処理を実行する。
  • Credential Guard
    VBSを構成することで、認証情報を保護するWindows10の機能

仮想セキュアモードは、Active Directoryのグループポリシーで、設定します
その方法は、Microsoftの下記の文書の中の「Credential Guardの管理」セクション以下に記述されています。
Credential Guard によるドメインの派生資格情報の保護

デバイス正常性構成証明書

PCの脆弱ポイントを知る

仮想セキュアモードを設定してないことは、エンドポイントPCの1つの脆弱ポイントです。 しかし、これ以外にも、多くの脆弱ポイントが想定されます。
これらの脆弱ポイントのステータス一覧表が、デバイス正常性構成証明書です。
エンドポイントPCをMobiControlに登録すると、デバイス正常性構成証明書は、特に設定をしなくても、デフォルトで表示されます。
デバイス正常性構成証明書は、MicrosoftのDHA(Device Health Attestation = デバイス正常性構成証明サービス)サーバで、作成され、MobiControlに送られてきます。
DHAは、Microsoftの無償サービスです。

対象PCが、閉域網の中にある場合は、オンプレミスのDHAサーバを閉域網内に設置します。 オンプレミスのDHAサーバの設定方法は、Microsoftの文書である 「 DHA サービスを Windows Server 2016 にインストールして構成する」を参照ください。

デバイス正常性構成証明書のサンプル

(図4)は、デバイス正常性構成証明書のサンプルです。デバイス正常性構成証明書は、MobiControlコンソールの端末一覧で、該当端末をクリックすると現れる「端末の詳細」画面に表示されます。
デバイス正常性構成証明書の項目は、次のように大別されます。
  1. Windowsが特殊なモードで起動している
    • OSカーネルのデバッグモード
    • Windowsプリインストール環境
    • セーフモード
    • デバッグモード
    これらのモードだと、悪意のあるコードを埋め込みやすくなります。
  2. 危険なドライバソフトが起動する可能性
    • アンチマルウェア(起動時マルウェア対策)
      未署名ドライバをチェックできる設定か
    • セキュアブート
      署名入りドライバのみで起動する設定か
    • テストサイン(テスト署名ドライバ)
      非正規ドライバを許容する設定か
    • ブートマネージャー
      ブートマネージャーが最新かどうか

(図4)
デバイス正常性構成証明書のサンプル

  1. 起動後のマルウェア対策
    • コード整合性
      システムファイルの未署名または改ざんをチェックするか
    • データ実行防止
      マルウェアのコードをメモリの特定のアドレスに配置できなくし、コードの実行を困難にします。
    • プラットフォーム構成レジスタ
    • 仮想セキュアモード(前述)
  2. その他
    • 暗号化(Bitlocker)
      盗難対策。HDDが、BitLockerにより暗号化されているかどうか。
    • 証明識別キー
      構成証明識別鍵は、デバイス正常性構成の証明を行う鍵で、TPMの真偽を識別する鍵です。これが存在しているか。
デバイス正常性構成証明書の各項目の説明は、「デバイス正常性構成証明書」のページを参照ください。
デバイス正常性構成証明書の対象は、Windows10 なら、そのエディションを問いません。但し、PCに搭載しているTPMがv2.0である必要があります。

デバイス正常性構成証明書が表示されるまでの手順

デバイス正常性構成証明書が表示されるまでの手順を説明します。

(図5)


  • エンドポイントPCは、起動すると、Boot DataをDHAサーバに送る。 Boot Dataには、"Windows Boot Configuration Logs"や署名済証明書を含む。
  • PCは、DHAサーバから、DHA暗号化データ(DHA-EncBlob)を受信し、 TPMに保存。
  • PCは、更新スケジュールに基づいて、MobiControlサーバにチェックインする。チェックインを受けたMobiControlサーバは、PCに対し、 DHA Validation Dataを要求する。
  • PCは、DHA Validation DataをMobiControlサーバに送る。
  • MobiControlサーバは、DHA Validation Dataを、DHAサーバに送る。
  • DHAサーバは、MobiControlサーバに、デバイス正常性構成証明書を送る。
  • MobiControlサーバは、コンソールに、デバイス正常性構成証明書を送る。
詳しい説明は、MicrosoftのPDF文書である「 [MS-DHA]:Device Health Attestation Protocol」の15ページ目を参照ください。

デバイス正常性構成証明書に異常がみつかったら

デバイス正常性構成証明書に異常が見つかったら、MobiControlは、自動的に次の処置を実行します。
  1. 該当PCを隔離。
    該当PCの業務アプリをアンインストールやVPNへのアクセスを禁止する。
    これを実現するために、該当PCを、隔離PC用端末グループに移動する。 隔離PC用の端末グループでは、アプリカタログルールの展開やパッケージの割り当てをしておかない。 従って、アプリカタログやパッケージで配布した業務アプリは自動的にアンインストールされる。
  2. 担当者に、アラートメールを送信
  3. 該当PCの画面に、予め用意しておいたメッセージを表示
上記 a. b. c. は、アラートルールで、設定します。 「アラートルール」の 5. デバイス正常性構成証明イベント の項を参照ください。

(図6)

MobiControlのコンソールには、エンドポイントデバイスの一覧が表示されます。 その一覧表の中には、(図6)のように、びっくりマーク がついているデバイスがあります。 どの場合に、がつくかは、 「びっくりマークと上向き矢印」を参照ください。
デバイス正常性構成証明書に異常が見つかったエンドポイントPCにも、 がつきます。

原則的には、(図4)の全ての項目のどれか1つに異常があれば、デバイス正常性構成証明書としても異常と見なされ、 がつきます。 しかし、これは、現実的ではありません。Windows PCのEditionや、アーキテクチャ(x32 or x64)が理由で、項目のうちのどれか1つ、または幾つかの 異常を許容しなければならないことがあります。
どれを許容項目とするかを、設定することができます。詳しくは、「正常性構成証明書のフィルタリング」 を参照ください。

デバイス正常性構成証明書とMDMについては、Microsoftの文書である 「正常でない Windows 10 ベースのデバイスの検出」 を参照ください。

Microsoft Defender ATPの適用と該当端末の隔離

Microsoft Defender ATPは、PC内での振る舞い(挙動)に着目して、マルウェアを検知します。
シグネチャベースのマルウェア対策ソフトを、すり抜けてきたマルウェアを検出します。又、攻撃の予兆も検出します。
Microsoft Defender ATPは、EDR(Endpoint Detection & Response)ソリューションです。

(図5)

10億台を超えるWindowsデバイスや2兆5,000億のインデックス化されたWeb URL、6億件のオンライン評価、 分析済みの100万件以上の不審なファイルなどから得られたMicrosoftの厖大な データベースを基に、 エンドポイントPCから収集した不審な振る舞いをするプロセスに関するデータを分析をします。 Microsoft Defender ATPのセンサーは、Windows10のOSに、既に組み込まれています。

Microsoft Defender ATPを利用するには、Windows10 Pro、Windows10 Enterprise、Windows10 Pro Education、Windows10 Educationを必要要件とします。 詳しくは、Microfostの文書 「 ハードウェアおよびソフトウェアの要件」を参照ください。
Microsoft Defender ATPクラウドの利用は無償です。

Microsoft Defender ATP のオンボーディングをリモート設定

PCをMicrosoft Defender ATPに参加させることを、オンボーディングと呼びます。
リモートPCを一斉にオンボーディングさせるには、2つの方法があります。
  1. グループポリシーを使用する
    詳しくは、Microsoftの文書 「 グループ ポリシーを使ったコンピューターのオンボーディング」を参照ください。
  2. MDMを使ってオンボーディングさせる
    MobiControlを使って、オンボーディングさせるには、「Microsoft Defender ATPをリモート設定」を参照ください。 MobiControlのパッケージ・スタジオを使って、パッケージを作成します。そのパッケージを構成プロファイルに積み込んで、指定する端末グループの PCに送ります。パッケージを受け取ったPCは自動的に、オンボーディングします。

Microsoft Defender ATP による異常検知とPCの隔離

エンドポイントPCのATPセンサーは、疑わしい振る舞いを感知すると、Microsoft Defender ATP サービスにそれを送ります。 そして、その診断結果を受信します。
  1. エンドポイントPCのステータスを収集
    データ収集ルールを作成して、対象の端末グループに展開します。 エンドポイントPCは、更新スケジュールに基づいて、MobiControlサーバにチェックインします。 そのチェックインの毎に、エンドポイントPCは、Microsoft Defender ATPの診断結果を、MobiControlサーバに送ります。
  2. 診断結果をコンソールに表示
    MobiControlのコンソールの「端末の詳細」タブの「監視データ」のセクションに、診断結果が表示されます。
  3. 異常があれば、アラート
    アラートルールを作成しておきます。 アラートルールのメニューの中に、「端末ステータス」という名前のアラートジャンルがあります。これの値が正常でない場合に、アラートが発動するようにしておきます。 アラートが発動すると、MobiControlは、自動的に次のアクションを実施します。
    1. 該当PCを隔離します。
      該当PCの業務アプリをアンインストールやVPNへのアクセス禁止を実行します。
      これを実現するために、該当PCを、隔離PC用端末グループに移動します。 隔離PC用の端末グループでは、アプリカタログルールの展開やパッケージの割り当てをしておきません。 従って、業務アプリは自動的にアンインストールされます。
    2. CSIRT関係者に、アラートメールを送信します。
    3. 該当PCの画面に、予め用意しておいたメッセージを表示します。

    Windows Defender ATPに関するMicrosoftの次の文書を参照ください。

Windows Defenderの設定

シグニチャ・ベースのマルウェア対策として、MicrosoftのWindows Defenderがあります。 Windows Defenderは、無償で、Windows10なら、Editionを問わず適用ができます。
MobiControlは、エンドポイントPCに、Windows Defenderを強制設定できます。
Windows Defenderの設定」を参照ください。 ウィルススキャンをするPC内の対象ドライブ、スキャン対象外とするパス(フォルダ)、クィックスキャン及びフルスキャンの時間間隔、シグネチャ(ウィルスパターン)の更新間隔、 スキャンをするときのCPU最大使用率などを設定できます。