サイバー攻撃 2013年に世界に衝撃が走った。中国人民解放軍が、情報搾取などの大規模な攻撃を世界へ行い、米国家安全保障局が、世界の至る所へ極秘に侵入していることが、暴露された。「サイバー世界戦争の深い闇」をその直後に書いた。個人の違法行為をはるかに超えた、国家レベルの峻烈なサイバー戦争が、ネットの闇の中で進行。本書で、サイバー戦争の過去、現在、未来を俯瞰し、個人や企業ができる対策を述べた。(販売: アマゾン 楽天 Apple グーグル
Essay 73

Windows10の一段と高度なセキュリティ設定

2021年4月18日
防御が抜本から見直されたWindowsのセキュリティ

サイバー攻撃が日々進化し、より巧妙かつ大規模になっている。ネット空間では、防御側よりも攻撃側のほうが有利な立場に立つ。しかし、被害を受けるまで、私たちは手をこまねいているわけにはいかない。被害が拡大する一方になってしまう。知らない間に、攻撃者に手を貸すことが起こり得る。

システムやアプリケーションのソフトウェアがなければ、デジタル・デバイスは動かない。サイバー攻撃においては、これらのソフトウェアの脆弱部が、攻撃の入り口として利用される。不正なコードが埋め込まれたり、マルウェアのインストールなどが行われる。その結果、コンピューターやスマホが、悪意のある攻撃者によって好きなように操作されてしまう。

マイクロソフト社が、Windowsのセキュリティ設定を、よりシステミックにできるようにした。このセキュリティ・システムは、新しいマルウェアからソフトウェアを防御したり、新たに見つかったぜい弱個所からマルウエアが侵入する、ゼロデイ攻撃に対処が可能だ。Essay 46「Windows10のセキュリティ設定」との関連で、Exploit Protection(エクスプロイト保護)の設定法をここで述べる。なお、私のWindows10のバージョンは、20H2であることをお断りしておく。バージョンによっては設定法が異なる。

図1.新ウイルスやゼロデイ攻撃を阻止するエクスプロイト保護
ゼロデイ攻撃に対応
* * * * * * * *

通常のセキュリティ対策ソフトは、データ・ベースを参照して、システムやアプリケーションへの感染の有無を判断する。このデータ・ベースには、様々なマルウェアの情報が、パターン化されて収められている。新しいマルウェアの情報が、日々つけ加えられるので、頻繁なアップデートが必要になる。この対策では、新しいマルウェアによる攻撃や、ゼロデイ攻撃のように、セキュリティ・パッチが作成される前に攻撃が実行される事例では、被害が限りなく拡大する。既存の攻撃情報をもとにした防御には、このような深刻な弱点がある。

攻撃の突破口になるソフトウェアのぜい弱性をなくしたり、侵入されてもマルウエアが足場を築けない対策が、理想的だ。このような防御を目的にして、マイクロソフトがセキュリティ・ツールのEMETを提供していた。EMETは、10年ほど前から開発され使用されてきたが、Windowsに統合されていない後づけのツールだった。堅牢性に欠け不安定だったばかりか、システムやアプリケーションのパフォーマンス低下を招くことがあった。EMETのサポートは2018年に終了。

以前のWindows Defenderは、防御ツールとしては軽量級だった。Microsoft Defender Smartscreenが、アクセスしたWebページを分析し、報告されているフィッシング詐欺サイトと、悪意のあるソフトウェア・サイトの一覧と照合する。疑わしいと判断した場合、警告ページを表示して注意を促す。基本的に、これまでのセキュリティ対策ソフトと同じだった。EMETの機能がDefenderに受け継がれた。

Defenderに、EMETの後継ツールであるエクスプロイト保護が追加され、Windowsの防御能が抜本的に強化された。エクスプロイト保護は、デバイスにひそかに感染してデバイスを乗っ取るマルウェアから、感染初期の段階でソフトウェアを防御する。マルウェアに活動する余裕を与えない(図1)。

エクスプロイト保護の設定

エクスプロイト保護のページへは、次のようにしてたどり着くことができる。

コンピューター・モニター画面左下の「スタート」>歯車のようなアイコン「設定」>「更新とセキュリティ」> 「Windowsセキュリティ」>「アプリとブラウザーの制御」>「アプリとブラウザーコントロール」>「Exploit protection」下の「Exploit Protectionの設定」(図2)>「システム設定」

図2.Exploit Protectionへのアクセス
Exploit Protection

図3の画面が出てくる。設定項目が5つあるが、デフォルトでは全てが「既定値を使用する(オン)」になっている。この設定で、防御策は、Windows10のインストールによって設定された、既定の構成に応じて有効または無効になる。

図3.防御オン、オフの設定
オン、オフ設定

ソフトウェアによっては、レジストリ値が有効にならない可能性がある。OSを含む全てのソフトウェアを、常にもれなく防御するためにこの設定を変更したい。各ウンドウの右にある「V」にマウス・ポインターを乗せてクリックすると、新しいウインドウに「既定でオンにする」と「既定でオフにする」が現れる(図3下)。「既定でオンにする」を選択する。コンピューターを再起動すれば設定が完了する(図4)。以上の設定で不都合が生じた場合は、デフォルトの「既定値を使用する(オン)」に戻す。

図4.エクスプロイト保護の設定一覧
全てがオン

各セキュリティ項目の具体的な機能は、次のようになる。

エクスプロイト保護の機能
制御フローガード(CFG) アドレス空間配置のランダム化(ASLR) によって、データ領域 の位置が無作為に配置されるので、攻撃者が標的箇所を絞るのが困難になる。ASLRがバイパスされて不正コードが挿入された場合、ソフトウェアのコードの流れと連続性を監視しているCFGが、不正と判断する。コードがハイジャックされる前に、ソフトウェアを終了する。
データ実行防止(DEP) 正規のプログラムに予約されている、システム・メモリの領域に潜伏し、不正コードを実行するマルウェアがある。DEPは、プログラムがシステム・メモリを安全に使用しているかどうかを監視し、コードが実行されるのを防ぐ。
イメージのランダム化を強制する(必須ASLR) 必須ASLRは、コンパイルされていないアドレス領域を強制的に再配置するので、特定アドレスの書き換えが困難になる。これによって、メモリ内にあるプログラムの各部を標的にし、処理能力を超えた大量の不正データを送りつけて誤動作を起こさせる、バッファ・オーバーフロー攻撃からソフトウェアを防御する。
仮想メモリの割り当てをランダム化する(ボトムアップASLR) ヒープ(動的に確保できるメモリー領域)やスタック(コンパイラやシステムが管理するメモリー領域)など、ボトムアップ型メモリーの割り当てを行う際のベース・アドレスをランダム化し、攻撃を困難にする。
高エントロピ(ASLR) ボトムアップASLR使用時のメモリの可変性を向上させる。

<和戸川 純>

広告(Googleアドセンス)