標的型攻撃に備える。検知する。

MobiControl v14 Manual


MobiControlは、標的型攻撃に備えるために

  • VSM(仮想セキュアモード)を構成してないPCをアラート対象にします
  • デバイス正常性構成証明書で、その他の脆弱性が検出されたPCもアラート対象にします

MobiControlは、標的型攻撃を検知するために

  • PCをリモート操作でMicrosoft Defender ATPにオンボードします
  • Microsoft Defender ATPで異常を検知したPCをアラート対象にします

MobiControlは、アラートに対処します

  • アラート対象になったPCで、業務アプリをアンインストールし、VPNを接続不能にします
  • 該当PC名を付して、アラートメールを関係者に発信します

標的型攻撃の手口の例

(図1)

  1. 暗号化したマルウェア
    業務を装ったメールに、マルウェアファイルを暗号化して添付してきます。 (拡張子 .zip .zi_ .pdf .docx など)
    暗号化されたファイルだと、マルウェア対策ソフトは検疫できません。ウィルスパターン(シグネチャ)を検出できないからです。
    攻撃者は、別のメールの本文で、復号化パスワードを 送ってきます。巧妙に業務を装ったメールなので、添付ファイルを開けたとしても、そのPCユーザを責めるだけでは対策となりません。 1回目のメール添付は、正常な業務関係文書で安心させます。後日送る2回目のメール添付が、暗号化されたマルウェアというケースもあります。
    PCユーザに復号化を求めず、暗号化されたままで、PC内に潜伏するケースもあります。
  2. ファイルレス攻撃
    ファイルレス攻撃はメモリにのみ悪性コードが展開され、HDD/SSDにはマルウェアファイルがありません。 従って、マルウェア対策ソフトではスキャン検疫できません。
    ファイルレス攻撃の手口は多くあります。例えば、C\Windows\System32\傘下のWindows正規exeファイルになり替わり、 これが起動するとメモリ展開されます。メモリ展開もsvchost.exeのメモリ空間に潜りこむ場合もあります。
  3. 暗号化されたままで潜伏
    マルウェアファイルが、暗号化されたままで 潜伏し続ける場合もあります。暗号化されているので、マルウェア対策ソフトではスキャン検疫できません。 一方、正規のアプリの起動に伴い起動されるDLLファイルが、すり替えられます。 そのDLLが、暗号化されたマルウェアを復号化するようになっていて、正規アプリが起動すると悪性コードがメモリ空間に展開されます。
  4. マルウェア対策ソフトの無効化やPC内Firewallを無効化
    攻撃者は、マルウェア対策ソフトの無効化やPC内Firewallの無効化を行います。 そして、PsExecなどのWindows正規ツールを使ってリモート操作をします。
    これらの無効化を実施するコードは、裏サイトで公開されており、攻撃者は簡単に手に入れることができます。
  5. 既知のマルウェアでの攻撃は、全体の4%
    Microsoftの調査では、攻撃の96%は、未知のマルウェアによるとのことです。 つまり、既知のマルウェアによる攻撃は、全体の4%だけとなります。従って、既知のマルウェアのウィルスパターン(シグネチャ) では、攻撃の4%しか、食い止められないことになります。
攻撃者は、シグネチャベースのマルウェア対策ソフトをすり抜けてくる新しい手法を、次々と発案し、侵入してきます。
シグネチャベースの マルウェア対策ソフトをすり抜けてくる標的型攻撃が、必ず、襲ってくるという前提で、備えておく必要があります。 Microsoftは、その脅威に対し、2つの対策を無償で提供しています。
  • 仮想セキュアモード
    仮想セキュアモードは、Active Directoryのグループポリシーで、設定します。 MobiControlは、仮想セキュアモードを、未だ設定していないエンドポイントPCを一覧表示します。
  • Microsoft Defender ATP
    MobiControlは、傘下のPCを、Microsoft Defender ATPにリモートからオンボーディングさせます。 もし、異常があれば、該当PCの隔離や、CSIRT関係者へのアラートメール配信を行ないます。
    CSIRT = Computer Security Incident Response Team。 組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。

仮想セキュアモード

侵入したマルウェアは、PCのメモリに残っている社内サーバへの認証情報(ログイン名とパスワード)を盗みます。 そして、社内サーバにアクセスし、機密情報をダウンロードします。
認証情報は、ハッシュ化して保存されていますが、それでも、侵入者は、Pass-the-Hash 手法で、管理者権限を奪います。 これは、認証情報が、OSの管理下にあることに、遠因があります。

VBS(Virtual Based Security)構成の概要
(図2)

Windows10 Enterprise またはWindows10 Educationでは、仮想化技術を使って、 一般のアプリが動作するWindows OSの環境と、認証情報を保護する環境を分離することができるように なりました。この構成を、VBS(Virtual Based Security)構成と呼びます。 VBS構成を実現するには、CPUがx64アーキテクチャになっている必要があります。

仮想化ソフト(ハイパーバイザー)の上に、2つの仮想マシンが稼働します。
1つは、Windows OS。もう1つは、仮想セキュアモード(VSM=Virtual Secure Mode)。
仮想セキュアモードは、Windows OSとは独立した環境です。マルウェアが、 ローカル管理者権限(アドミン権限)を盗み、Windows OSを操作するようになったと仮定します。 それでも、仮想セキュアモードには侵入できません。

(図3)

Windows OSと仮想セキュアモードの間は、RPC(Remote Procedure Call)で通信します。 仮想セキュアモードにアクセスできるのは、SLAT(Second Level Address Translation)で マッピングされたメモリからのみとなります。
SLATは、ゲストOSの仮想メモリとホストOSの物理メモリのアドレス変換を、ハードウェアで実施する仮想化支援機能のです。 IntelとAMDで、その仕組みが若干異なります。
企業が使う機密サーバへのアクセスには、AD_DS(Active Directory Domain Service)の認証を受けます。そのAD_DSの認証情報自体は、 従来と同じくWindows OS側に保存されます。しかし、その認証情報は暗号化され、 復号に必要な復号鍵は、仮想セキュアモード側に保存されます。
認証情報の復号や、それに基づく処理も、仮想セキュアモードで実行します。

マルウェアは、SLATを利用しての仮想セキュアモードにはアクセスできません。RPCが成立しないからです。
Windows OS側にある暗号化された認証情報を盗んでも、暗号化されているので、サーバにはログインできません。

VBSが保護する認証情報は、AD_DS または IDプロバイダに対する認証情報です。これ以外の認証情報、例えば、社外サーバに対する任意のログインIDとパスワードを、VBSは、保護しません。
オンプレミスであれ、クラウドであれ、企業が使う機密サーバへのログインには、AD_DS または IDプロバイダによる 認証を経るようにしておかなければなりません。
ローカルPCに対するアドミン権限パスワードも、VBSは、保護しません。
PCへのログインには、AD_DSまたはIDプロバイダによる認証とするのが、望ましいでしょう。
用語を整理しておきます。
  • VBS=Virtual Based Security
    2つの仮想マシンを構成し、セキュリティ強度を高める構成のことを指す。 Windows OSを1つの仮想マシンで稼働させ、仮想セキュアモードをもう1つの仮想マシンで稼働させる。
  • 仮想セキュアモード(VSM=Virtual Secure Mode)
    VBS構成での2つの仮想マシンの1つ。 復号鍵と復号化された認証情報を格納し、認証情報の処理を実行する。
  • Credential Guard
    VBSを構成することで、認証情報を保護するWindows10の機能

仮想セキュアモードは、Active Directoryのグループポリシーで、設定します
その方法は、Microsoftの下記の文書の中の「Credential Guardの管理」セクション以下に記述されています。
Credential Guard によるドメインの派生資格情報の保護

デバイス正常性構成証明書

PCの脆弱ポイントを知る

仮想セキュアモードを設定してないことは、エンドポイントPCの1つの脆弱ポイントです。 しかし、これ以外にも、多くの脆弱ポイントが想定されます。
これらの脆弱ポイントのステータス一覧表が、デバイス正常性構成証明書です。

MobiControlに登録されたWindows PCは、そのOSを起動する毎に、脆弱ポイントに関するデータを、Microsoft DHA(Device Health Attestation)サーバに送り、 その脆弱性を診断して貰います。

(Microsoft DHAに送るデータは、PCのハードウェアに関するデータで、HDDなどのストレージ内のデータは送りません。)

そして、エンドポイントPCが、MobiControlにチェックインする毎に、MobiControlサーバは、Microsoft DHAサーバから、 当該エンドポイントPCの、デバイス正常性構成証明書を取り寄せます。

デバイス正常性構成証明書とびっくりマークの関係

デバイス正常性構成証明書は、MobiControlコンソールの端末一覧で、個々のWindows Modernのエンドポイントの「端末の名前」をクリックすると現れる 「端末の詳細」画面の左下部分に表示されます。
(図4)は、デバイス正常性構成証明書のサンプルです。

(図4)

  • (図4)のレポートプロパティのセグメント内の項目が、Microsoft DHAサーバによりチェックされた項目で、その診断結果です。
    この中で、脆弱と判定された診断項目には、脆弱マークが付いています。
    各々の診断項目の内容は、「デバイス正常性構成証明の項目の説明」を、参照ください。
  • 端末一覧の中のエンドポイントの数は多く、その個々のデバイス構成証明書を検閲するのは、大変です。
    そこで、MObiControlは、脆弱性があると判断されたエンドポイントだけに、 びっくりマーク が付くようにします。 (図5)が、その例です。端末一覧の中から、脆弱と判断されたWindows PCをすぐに見つけることができるようになります。

(図5)

以下、端末一覧で、びっくりマーク が付くようになるまでの 仕組みを説明します。
  1. (図4)のデバイス正常性構成証明書のの部分の全体的なデバイス正常性の 値は、デフォルトでは、「端末が準拠しています(警告あり)」と表示されています。
    準拠は、Compliantの訳で、ここでは、「貴社のセキュリティ基準に適応している」の意味になります。 この状態では、端末一覧には、びっくりマーク が付きません。
  2. 端末の詳細設定の「デバイス正常性構成証明書」の「無視できない脆弱性チェック項目にチェックを入れる」の画面を開きます。 貴社のセキュリティ基準として、無視できない脆弱性診断項目にチェックを入れます。
  3. 上記の2. で、チェックを入れた診断項目が、Microsoft DHAサーバによって、脆弱と診断されると、 (図4)のデバイス正常性構成証明書の「全体的なデバイス正常性」の値を、 MobiControlは、「端末が準拠していません」に表示変更をします。
    同時に、MobiControlは、端末一覧に、びっくりマーク を付けます。 (図6)ののPCです。
  4. 上記の2. でチェックを入れない診断項目が、Microsoft DHAサーバによって、脆弱と診断されても、 (図4)のデバイス正常性構成証明書の「全体的なデバイス正常性」の値は、「端末が準拠しています(警告あり)」のままです。 この場合のエンドポイントに対しては、端末一覧に、びっくりマーク は付きません。
    (図6)ののPCです。
  5. (図4)のデバイス正常性構成証明書の「全体的なデバイス正常性」の値が、 「端末が準拠していません」となったPC以外のPCにも、 びっくりマークが 付く場合があります。
    それは、端末モードが、「Active」でないエンドポイントです。(図6)の のエンドポイントPCが、それです。
    端末モードが、「Active」でないエンドポイントについては、「びっくりマークと上向き矢印」を参照ください。

(図6)

デバイス正常性構成証明書が表示されるまでの手順

デバイス正常性構成証明書が表示されるまでの手順を説明します。

(図7)


  • エンドポイントPCは、起動すると、Boot DataをDHAサーバに送る。 Boot Dataには、"Windows Boot Configuration Logs"や署名済証明書を含む。
  • PCは、DHAサーバから、DHA暗号化データ(DHA-EncBlob)を受信し、 TPMに保存。
  • PCは、更新スケジュールに基づいて、MobiControlサーバにチェックインする。チェックインを受けたMobiControlサーバは、PCに対し、 DHA Validation Dataを要求する。
  • PCは、DHA Validation DataをMobiControlサーバに送る。
  • MobiControlサーバは、DHA Validation Dataを、DHAサーバに送る。
  • DHAサーバは、MobiControlサーバに、デバイス正常性構成証明書を送る。
  • MobiControlサーバは、コンソールに、デバイス正常性構成証明書を送る。
詳しい説明は、MicrosoftのPDF文書である「 [MS-DHA]:Device Health Attestation Protocol」の15ページ目を参照ください。

デバイス正常性構成証明書とアラートルール

貴社として無視できない診断項目に、脆弱性が見つかったら、端末一覧の中で、そのエンドポイントに、 がつくことは、前述しました。

それ以外に、アラートルールによって、問題PCを検出できます。 指定しておいた診断項目に脆弱性が見つかると、 MobiControlは、自動的に次の処置のどれか、又はすべてを実行します。
  1. 該当PCを隔離。
    該当PCの業務アプリをアンインストールやVPNへのアクセスを禁止する。
    これを実現するために、該当PCを、隔離PC用端末グループに移動する。 隔離PC用の端末グループでは、アプリカタログルールの展開やパッケージの割り当てをしておかない。 従って、アプリカタログやパッケージで配布した業務アプリは自動的にアンインストールされる。
  2. 担当者に、アラートメールを送信
  3. 該当PCの画面に、予め用意しておいたメッセージを表示
上記 a. b. c. は、アラートルールで、設定します。 「アラートルール」の 5. デバイス正常性構成証明イベント の項を選ぶと、(図8)が表示されます。

(図8)

(図6)の各項目の左にチェックボックスがあります。チェックを入れた項目が脆弱とMcrosoft DHAにより診断されたら、その エンドポイントPCは、アラート対象となります。

対象PCが、閉域網の中にある場合は、DMZに設置するオンプレミスのDHAサーバを利用します。 オンプレミスのDHAサーバの設定方法は、Microsoftの文書である 「 DHA サービスを Windows Server 2016 にインストールして構成する」を参照ください。

デバイス正常性構成証明書とMDMについては、Microsoftの文書である 「正常でない Windows 10 ベースのデバイスの検出」 を参照ください。

Microsoft Defender ATPの適用と該当端末の隔離

Microsoft Defender ATPは、PC内での振る舞い(挙動)に着目して、マルウェアを検知します。
シグネチャベースのマルウェア対策ソフトを、すり抜けてきたマルウェアを検出します。又、攻撃の予兆も検出します。
Microsoft Defender ATPは、EDR(Endpoint Detection & Response)ソリューションです。

(図9)

10億台を超えるWindowsデバイスや2兆5,000億のインデックス化されたWeb URL、6億件のオンライン評価、 分析済みの100万件以上の不審なファイルなどから得られたMicrosoftの厖大な データベースを基に、 エンドポイントPCから収集した不審な振る舞いをするプロセスに関するデータを分析をします。 Microsoft Defender ATPのセンサーは、Windows10のOSに、既に組み込まれています。

Microsoft Defender ATPを利用するには、Windows10 Pro、Windows10 Enterprise、Windows10 Pro Education、Windows10 Educationを必要要件とします。 詳しくは、Microfostの文書 「 ハードウェアおよびソフトウェアの要件」を参照ください。
Microsoft Defender ATPクラウドの利用は無償です。

Microsoft Defender ATP のオンボーディングをリモート設定

PCをMicrosoft Defender ATPに参加させることを、オンボーディングと呼びます。
リモートPCを一斉にオンボーディングさせるには、2つの方法があります。
  1. グループポリシーを使用する
    詳しくは、Microsoftの文書 「 グループ ポリシーを使ったコンピューターのオンボーディング」を参照ください。
  2. MDMを使ってオンボーディングさせる
    MobiControlを使って、オンボーディングさせるには、「Microsoft Defender ATPをリモート設定」を参照ください。 MobiControlのパッケージ・スタジオを使って、パッケージを作成します。そのパッケージを構成プロファイルに積み込んで、指定する端末グループの PCに送ります。パッケージを受け取ったPCは自動的に、オンボーディングします。

Microsoft Defender ATP による異常検知とPCの隔離

エンドポイントPCのATPセンサーは、疑わしい振る舞いを感知すると、Microsoft Defender ATP サービスにそれを送ります。 そして、その診断結果を受信します。
  1. エンドポイントPCのステータスを収集
    データ収集ルールを作成して、対象の端末グループに展開します。 エンドポイントPCは、更新スケジュールに基づいて、MobiControlサーバにチェックインします。 そのチェックインの毎に、エンドポイントPCは、Microsoft Defender ATPの診断結果を、MobiControlサーバに送ります。
  2. 診断結果をコンソールに表示
    MobiControlのコンソールの「端末の詳細」タブの「監視データ」のセクションに、診断結果が表示されます。
  3. 異常があれば、アラート
    アラートルールを作成しておきます。 アラートルールのメニューの中に、「端末ステータス」という名前のアラートジャンルがあります。これの値が正常でない場合に、アラートが発動するようにしておきます。 アラートが発動すると、MobiControlは、自動的に次のアクションを実施します。
    1. 該当PCを隔離します。
      該当PCの業務アプリをアンインストールやVPNへのアクセス禁止を実行します。
      これを実現するために、該当PCを、隔離PC用端末グループに移動します。 隔離PC用の端末グループでは、アプリカタログルールの展開やパッケージの割り当てをしておきません。 従って、業務アプリは自動的にアンインストールされます。
    2. CSIRT関係者に、アラートメールを送信します。
    3. 該当PCの画面に、予め用意しておいたメッセージを表示します。

    Windows Defender ATPに関するMicrosoftの次の文書を参照ください。

Windows Defenderの設定

シグニチャ・ベースのマルウェア対策として、MicrosoftのWindows Defenderがあります。 Windows Defenderは、無償で、Windows10なら、Editionを問わず適用ができます。
MobiControlは、エンドポイントPCに、Windows Defenderを強制設定できます。
Windows Defenderの設定」を参照ください。 ウィルススキャンをするPC内の対象ドライブ、スキャン対象外とするパス(フォルダ)、クィックスキャン及びフルスキャンの時間間隔、シグネチャ(ウィルスパターン)の更新間隔、 スキャンをするときのCPU最大使用率などを設定できます。