Embed Size (px)
Citation preview
セキュリティ問題のトレンドと
企業のクライアント PC 戦略
日本マイクロソフト株式会社
発行 : 2013 年 4 月
[注意事項]
このドキュメントに記載されている情報 (URL 等の Web サイトに関する情報を含む) は、将
来予告なしに変更することがあります。このドキュメントは情報提供のみを目的としており、
明示または黙示に関わらず、これらの情報及び情報を使用した結果についてマイクロソフト
はいかなる責任も負わないものとします。また、このドキュメントに記載された内容は作成
日時点の情報に基づくものです。
お客様がこのドキュメント及び本製品を使用した結果については、すべてお客様が負うもの
とします。このドキュメントのご利用にあたっては、お客様ご自身の責任において、適用さ
れるすべての著作権関連法規に従う必要があります。このドキュメントのいかなる部分も、
特に記載のない限り、米国 Microsoft Corporation の書面による許諾を受けることなく、その
目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。
ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。
マイクロソフトは、このドキュメントの内容に関し、特許権、特許出願、商標権、著作権、ま
たはその他の知的財産権を有する場合があります。別途マイクロソフトのライセンス契約に
明示されない限り、このドキュメントはこれらの特許権、商標権、著作権、またはその他の
知的財産権に関する権利をお客様に許諾するものではありません。
特に記載されていない場合、このソフトウェアおよび関連するドキュメントで使用している
会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、出来事などの名称は架
空のものです。実在する会社名、組織名、商品名、個人名などとは一切関係ありません。
© 2013 Microsoft Corporation. All rights reserved.
Microsoft、Windows、Windows Vista、Windows Server、Active Directory は、米国 Microsoft
Corporation またはその関係会社の米国およびその他の国における登録商標または商標です。
記載されている会社名、製品名には、各社の商標も含まれます。
目次
1 脅威の変遷とセキュリティ対策..........................................................................11.1 脅威の変遷................................................................................................11.2 従来のセキュリティ対策.............................................................................31.3 従来のセキュリティ対策の限界...................................................................41.4 クライアントコンピューターを防衛線(境界線)として考える対策....................51.5 Windows のセキュリティ機能....................................................................7
2 AppLocker....................................................................................................113 整合性レベル(Integrity Level:IL)..................................................................224 ユーザーアカウント制御(UAC)........................................................................275 Internet Explorer の保護モード......................................................................386 ユーザーインターフェイス 特権の分離 (UIPI)....................................................437 セッション 0 の分離.......................................................................................468 Windows リソース保護 (WRP)........................................................................489 まとめ..........................................................................................................50
v
1 脅威の変遷とセキュリティ対策
コンピューターやインターネットの利用が進む中、ウイルス、コンピューターへの不正
アクセス、情報漏洩などインターネットの脅威は増え続けています。その脅威は悪質化
の傾向を強め、組織が知らぬ間にサイバー犯罪に巻き込まれてしまう可能性も増えてい
ます。ここではまずどのような脅威があるのかを見ていきます。
1.1 脅威の変遷 媒体型ウイルス
ウイルスは、同一コンピューターのファイル間、またはコンピューター間でユー
ザーが知らぬ間に蔓延を試みるプログラムやスクリプトです。ウイルスは宿主にな
るプログラムに自身を添付し、宿主プログラムが実行されるとウイルスコードも実
行されて、新しい宿主に感染します。
1980 年代まではネットワークは普及しておらず、スタンドアロンでの利用が主流
だったため、ウィルスの感染経路はフロッピーディスクなどの媒体でした。そのた
め、米国で発見されてから日本に感染が広がるまで数か月かかるなど、拡散はゆっ
くりとしたものでした。
電子メールウイルス
1990 年代に入りインターネットが普及し始めると、攻撃者は感染経路としてフロッ
ピーディスクなどの媒体ではなく、電子メールを利用するようになりました。ユー
ザーが電子メールに添付されたファイルを開いたり、電子メールをプレビューした
りするだけでウイルスに感染します。電子メールウイルスはインターネットを利用
するため、媒体型ウイルスと比較すると増殖スピードが劇的に上がりました。1990
年代後半に流行した Melissa や I Love you が電子メールウイルスとしては有名です。
ネットワークワーム
2000 年代に入るとインターネットに常時接続するコンピューターが増えました。そ
こで攻撃者は感染経路としてインターネットを利用しました。ネットワークワーム
は自己増殖する悪意のあるコードです。コンピューターをネットワークに接続する
だけで感染し、自身を別のコンピューターに配布して、コンピューターリソースを
消費したり、DoS 攻撃などの有害なアクションを起こしたりします。2000 年台前半
には CodeRed、Nimda、SQL Slammer、Blaster などのネットワークワームが次々と
登場しました。
1
2
経済的な利益を目的とするマルウェア
ウイルス作者の目的は、当初、拡散により世間を騒がせ目立ちたいという愉快犯的な
ものでした。しかし、2000 年代半ばに入ると目的が金銭や利益に変化し、サイバー
犯罪がビジネス化するようになりました。たとえば、スパムメールを送信するイン
フラとして利用される Sobig は、コンピューターのアドレス帳からメールアドレス
を収集し、自身のコピーを添付した電子メールを送信します。他にも
Gumblar、Waledac、Zeus、SpyEye 等が登場しています。
ボットネット
ボットネットとは、悪意あるプログラムを使用して多くのコンピューターを乗っ取
り、ネットワークを構成することです。乗っ取られたコンピューターを「ボット」
と呼びます。ボットマシンは攻撃者からの命令を受け、その命令に従って動作しま
す。ボットネットはは、経済的な利益を得るための基盤として使用され、2000 年代
中盤には、大量の迷惑メールを送信したり、Web サイトに対して サービス拒否攻撃
(DoS 攻撃) を行いサイトをダウンさせるといった攻撃が頻発しました。
標的型攻撃
2000 年代半ばを過ぎると、特定の組織を狙うサイバー攻撃が増えてきました。これ
を標的型攻撃といいます。標的型攻撃とは、金銭や知的財産等の情報を不正に取得す
るために、特定の組織や企業を狙いサイバー攻撃をすることです。標的型攻撃の主な
侵入経路の 1 つは電子メールの添付ファイルです。差出人名を偽装するなどして添
付ファイルを開かせ、不正なプログラムをコンピューターに仕込み、重要な情報を
盗みます。なお、標的型攻撃の手法を使って、不特定多数に対して実施される攻撃も、
広義の標的型攻撃と呼ばれる場合があります。
ハクティビズム (Hacking + Activism)
2010 年代に入ると、ハクティビズムと呼ばれるサイバー攻撃が行われるようになり
ました。ハクティビズムは、ハッキング (Hacking) とアクティビズム (Activism) を合
わせた言葉で、社会的・政治的な主張のためにハッキング活動を行います。
3
1.2 従来のセキュリティ対策このような脅威に対して、これまで主に次の 2 つのセキュリティ対策が取られてきまし
た。
マルウェア対策ソフトウェア
マルウェア対策ソフトウェアは、マルウエアを検出して感染を未然に防いだり、感
染前の状態に戻したりします。マルウェア対策ソフトウェアをインストールし、常
時監視させることが、マルウェアからコンピューターを保護する基本となります。
マルウェア対策ソフトウェアは、主にパターンマッチングという方法でウイルスを
検出します。パターンマッチングは、ウイルスのパターンとディスク内のプログラ
ムファイルを比較し、同じであればウイルスと判定します。ウイルスのパターンは
パターンファイルに記述されています。マルウェア対策ソフトウェアのベンダーが
ウイルスの検体を入手できれば、ベンダーがパターンファイルに追加でき、検出が
可能になります。
境界領域防御
境界領域防御は、一般に組織のネットワークをイントラネット、公開セグメント
(DMZ)、インターネットの 3 つのセグメントで構築し、ファイアウォールによって
ネットワークアクセスをコントロールします。
境界領域防御では、通常インターネットからのネットワーク接続をファイアウォー
ルを使用してブロックします。そして、DMZ に配置した外部に公開しているサー
バーには、ネットワークレベル、ホストレベル、アプリケーションレベルでセキュ
リティ対策を講じます。イントラネットに関しては、外部からの攻撃を受ける可能
性が低いとの想定し、比較的低いセキュリティレベルにとどまる傾向があります。
4
1.3 従来のセキュリティ対策の限界これまでは、マルウェア対策ソフトウェアと境界領域防御という対策で効果を上げてき
ましたが、最近ではこれらの弱点をついた攻撃も増えています。
マルウェア対策ソフトウェア
媒体型ウイルスが主流だった時代は拡散のスピードが遅いので、マルウェア対策ソ
フトウェアの検体をベンダーが入手し、パターンファイルが提供されるまで待って
もほとんど問題はありませんでした。
しかし、電子メールウイルスやネットワークワームのようにネットワークを媒介と
した攻撃が増えてくると感染は瞬く間に広がります。
また、近年はマルウェア作成キットを利用することで簡単にウイルスを生成でき、
マルウェアの数や種類が爆発的に増えています。新種や亜種のマルウェアが多く作
成されるようになると、すべてのマルウェアを把握することは難しく、マルウェア
対策ソフトウェアでは検出できないマルウェアが出現する可能性もあります。さら
に、最近では無意味なコードを挿入したり、順序変更を行ったりすることで、パ
ターンマッチングの検出を潜り抜ける巧妙なウイルスも発見されています。
そして、標的型攻撃では特定の組織に対してマルウェアが使用されます。マルウェ
アが限定的に使用されるためベンダーは検体の入手が難しくなります。
境界領域防御
ここ数年増加している標的型攻撃の典型的な手法は、メールにソフトウエアの脆弱性
を攻撃する不正なドキュメントを添付して行われます。外部からのメールサーバー
に対する SMTP 接続要求はファイアウォールで許可された正当な通信で、PC とメー
ル間の通信もファイアウォールで許可された正当な通信です。つまり、境界領域防御
の基本である、ファイアウォールで IP アドレスとポート番号によってアクセスを制
御する方式では、メールを使った攻撃を防ぐことはできないということになります。
同様に、HTTP や HTTPS といった WEB アクセスに利用される通信を使った、マル
ウエアのダウンロードや、外部との通信もファイアウォールでは防ぐことができな
い手法の一つです。
5
1.4 クライアントコンピューターを防衛線 (境界線)
として考える対策このように標的型攻撃は境界領域を突破するため、攻撃コードやマルウェアが各コン
ピューターまで届いてしまうことを想定しなければなりません。
この問題に対応するためには、コンピューター自体を境界線としてとらえ、各コン
ピューターで防御することを考えていく必要があります。次に、コンピューターでの具
体的な防御方法を 2 つ見ていきます。
セキュリティ更新プログラムを適用する
最新のセキュリティ更新プログラムを適用するのは非常に有効なセキュリティ対策
です。マルウェアは、ソフトウェアのセキュリティ的な脆弱性 (セキュリティホー
ル) を攻撃します。そのため、脆弱性を修正するセキュリティ更新プログラムがソフ
トウェアベンダーから提供されたら、即座に適用することが重要です。これは攻撃
は既知の脆弱性に対するものがほとんどで、ゼロデイ攻撃は非常に少ないからです。
ゼロデイ攻撃とは、ソフトウェアの脆弱性への対策が提供される前に、その脆弱性
を狙った攻撃が行われることです。ゼロデイ攻撃は、図 1 に示すとおりきわめてま
れな例に過ぎません。そのため、最新のセキュリティ更新プログラムを適用するこ
とで多くの攻撃を防ぐことができます。
図 1:ゼロデイ攻撃の割合
6
(マイクロソフト セキュリティ インテリジェンス レポート 第11版)
ただし、オペレーティング システムのセキュリティ更新プログラムに関しては、サ
ポート期間に注意が必要です。Windows のメインストリームサポートは 5 年もしく
は次のオペレーティング システムがリリースされてから 2 年のいずれか長い方の期
間を取ります。延長サポートはそこから最短 5 年間です。
Windows XP は 2001 年にリリースされ、次の Windows Vista は 2007 年にリリース
されましたから、メインストリームサポートは長い方の 2009 年 4 月まで、延長サ
ポートは 2014 年 4 月までです。Windows XP のすべてのサポートは 2014 年 4 月で
終了しますので、それ以降は新規のセキュリティ更新プログラムは提供されません。
なお、Windows 7 のメインストリームサポートは 2015 年 1 月まで、延長サポートは
2020 年 1 月まで、Windows 8 は 2018 年 1 月までと 2023 年 1 月までです。
オペレーティング
システム
‘08 ‘09 ‘10 ‘11 ‘12 ‘13 ‘14 ‘15 ‘16 ‘17 ‘18 ‘19 ‘20 ‘21 ‘22 ‘23
図 2:Windows のサポートライフサイクル
サポートの種類
メインストリー
ム
サポート
延長サポート
仕様の変更、新機能のリクエスト ○ ×
セキュリティ更新プログラムサポート ○ ○
7
‘14/04‘09/04
‘20/01‘09/10 ‘15/01
‘23/01‘12/10 ‘18/01
セキュリティ関連以外の修正プログラムの作成
の
新規リクエスト
○ △1
無償サポートライセンス、ライセンスプログラ
ム
および、その他の無償サポートを含む
○ ×
有償サポート
(インシデントサポート、時間制サポート)○ ○
表 1:サービスの種類と内容
1 別途「延長修正プログラム サポート契約」を購入する必要があります。
8
新しい オペレーティング システムを使用する
図 3 はマルウェアの感染率を表しています。新しいオペレーティング システムほど
感染率が低いことが分かります。これは新しいオペレーティング システムには最新
の脅威に対抗したセキュリティ機能が搭載されているからです。
図 3:各オペレーティング システム マルウェア感染率
(マイクロソフト セキュリティ インテリジェンス レポート 第11版)
では、どのようなセキュリティ機能が搭載されているのか、Windows XP と、
Windows 8 / Windows 7 / Windows Vista で比較しましょう。
1.5 Windows のセキュリティ機能
Windows XP のセキュリティ機能
Windows XP は、2001 年のリリース時における先進のセキュリティ機能を搭載して
いました。また、その後のサービスパックでもセキュリティ機能を次々と追加し、
よりセキュアな環境を提供してきました。代表的なセキュリティ機能は次の通りで
す。
Windows ファイアウォール
9
ファイアウォールは、マルウェアや無許可のユーザーによるインターネットやネッ
トワークからのコンピューターへのアクセスなどのセキュリティ上の脅威からコン
ピューターを保護する機能です。
自動更新
自動更新とは、コンピューターに必要な重要な更新プログラムとセキュリティ更新
プログラムを、Windows Update または Microsoft Update サイトから自動的に取得し、
適用することで更新忘れを防ぎ、簡単に Windows を最新の状態に保つことを可能に
する機能です。
10
マルウェア対策
マルウェアやその他のセキュリティの脅威からコンピューターを保護するために、
マルウェア対策ソフトがインストールされていることを Windows が自動的に確認す
る機能です。
Internet Explorer のポップアップ ブロック
ポップアップは、ホームページを表示した際、ユーザーの意図とは関係なしに、自
動的に開かれるブラウザー ウィンドウです。Internet Explorer のポップアップ ブ
ロックは、不要なポップアップをブロックしてインターネットを安全に閲覧できる
ようにします。
Internet Explorer の情報バー
情報バーは、アドレスバーの下に表示されるメッセージ ウィンドウのことです。情
報バーには、Internet Explorer が制御した情報が表示されます。
Internet Explorer のアドオンの管理
アドオンとは、Internet Explorer に機能を追加するアプリケーションのことです。ア
ドオンの管理では、Internet Explorer においてこれらの追加機能を有効または無効に
することができます。
Windows 8 / Windows 7 / Windows Vista のセキュリ
ティ機能
Windows 8 / Windows 7 / Windows Vista では、Windows XP のセキュリティ機能に加
え、次に紹介するセキュリティ機能を持っています。これらの機能により、
Windows 8 / Windows 7 / Windows Vista ではクライアントコンピューター内で多層
防御が可能になっています。つまり、1 つの層が何らかの原因 、たとえばその機能
が無効になっていたり、未知の攻撃であったりして突破されても次の層で防御しま
す。
AppLocker
攻撃者はマルウェアを様々な形でユーザーに実行させようとします。このような攻
撃は、組織で実行可能なアプリケーションを限定できる AppLocker で阻止すること
ができます。(Windows 8 および Windows 7 のみ)
整合性レベル
11
たとえマルウェアが実行されたとしても、ユーザーが通常起動したアプリケーショ
ンは整合性レベルにより、システム領域などの重要なリソースにはアクセスできま
せん。そのため、システムリソースが書き変えられたりすることはありません。ま
た、Internet Explorer の保護モード、Office 2010/20103 の保護されたビューは、低い
整合性レベルで実行されるため、さらに限定されたユーザー領域とテンポラリ領域
以外は書き換えることができません。
ユーザーアカウント制御 (UAC) / Internet Explore の保護モード
システムリソースは整合性レベルにより保護されていますが、マルウェアが自身の
権限を昇格して高いレベルでコードを実行することも考えられます。このような場
合には、ユーザーアカウント制御 (UAC)により、ユーザーが承認しないと高い権限
でコードが実行できないため、ユーザーが意図していないのに管理者権限でコード
が実行されることはありません。
12
ユーザーインターフェイス特権の分離 (UIPI)
UAC や Internet Explore の保護モードにより高い権限で自身のコードを実行できない
ことが分かると、次に攻撃者が考えることは、管理ツールなど高い権限で実行して
されているアプリケーションを操作して、悪意のあるコードを実行させることです。
これは、ユーザー インターフェイス特権の分離 (UIPI) により阻止されます。UIPI は、
低い権限のアプリケーションが高い権限のアプリケーションにメッセージを送って
コードが実行されるのを防ぎます。
セッション 0 の分離
UIPI により、特権を持ったアプリケーションに攻撃ができないことが分かると、次
は、バックグラウンドで動作している Windows サービスが狙われます。しかしこれ
は、セッション 0 の分離で阻止されます。セッション 0 の分離は、サービスをユー
ザーと異なるセッションで動作させ、攻撃しにくくする機能です。
Windows リソース保護 (WRP)
これまで述べたすべてのセキュリティ機能を突破されたとしても、最終的に
Windows のシステムファイルやコンポーネントは Windows リソース保護 (WRP) に
より守られます。WRP は、Windows のシステムを読み取り専用で保護する機能です。
たとえ Administrator であっても Windows のシステムファイルを書きかえることは
できないため、マルウェアによって書きかえられてオペレーティング システムの動
作が不安定になってしまうといった事態を避けることができます。
この後のドキュメントでは、ここで紹介した次のセキュリティ機能の詳細を順番に
説明します。
AppLocker
整合性レベル
ユーザーアカウント制御 (UAC)
Internet Explore の保護モード
ユーザーインターフェイス特権の分離 (UIPI)
セッション 0 の分離
Windows リソース保護 (WRP)
13
14
2 AppLocker
登場の背景
図 4 は発見された脆弱性の数をソフトウェアのタイプ別に表しています。公開され
た脆弱性の数が最も多いのはアプリケーションです。このようなアプリケーション
の脆弱性を利用したマルウェアが増えています。このような現状を考えると、脆弱
であることがわかっているアプリケーションに対して何らかの動作制御を行うべき
であることが分かります。一方で、無数と言ってよいほどたくさんのアプリケー
ションが存在するため、問題のあるアプリケーションの実行を止めるという、ブ
ラックリスト的な考え方では限界があります。このため、実行を許可する条件を明
示的に設定することで、信頼のおけるアプリケーションやプログラムだけを実行す
るホワイトリスト的な手法が求められます。この問題に対処することを目的として、
AppLocker が登場しました。
加えて、一般にマルウエアも実行ファイルとして格納されたプログラムであること
から、ホワイトリスト化することで、ほとんどのマルウエアの実行を抑止すること
になります。
図 4:各 OS / ブラウザー / アプリケーションの脆弱性の数
(マイクロソフト セキュリティ インテリジェンス レポート 第12版)
AppLocker とは
15
AppLocker は、コンピューター上で動作するプログラムに対して動作制御を行うこ
とを目的とした機能です。つまり、コンピューター上で強制的に特定のアプリケー
ションを実行禁止にしたり、特定の条件を満たしたプログラムだけを実行可能にす
ることができます。
類似の機能として、これまでの Windows でも「ソフトウェアの制限のポリシー」と
いうグループポリシーを提供していました。しかし、設定が難しく柔軟性に欠ける
部分があったため普及しませんでした。一方、Windows 7 から追加された
AppLocker は、設定が分かりやすく、プログラムの条件を指定する際に署名やバー
ジョン、インストールされているフォルダーを条件にできたりと柔軟性が高いとい
う特長があります。
AppLocker の設定
AppLocker を利用してアプリケーションの動作制御を行うためには、グループポリ
シーかローカルセキュリティポリシーを使用します。次にローカルセキュリティポ
リシーを使用した AppLocker の設定方法を示します。
16
Application Identity サービスの起動
Application Identity サービスは、起動されるアプリケーションが AppLocker の指定し
た条件と一致するかどうかをチェックするサービスで、AppLocker を利用する際に
は実行しておく必要があります。次にサービスの起動方法を示します。
1. [管理ツール] から [サービス] を起動し、[Application Identity] をダブルクリック
します。
2. [スタートアップの種類] を [自動] にし、[サービスの状態] の [開始] ボタンをク
リックしてサービスを開始します。
図 5:[Application Identity のプロパティ]ダイアログボックス
AppLocker ルールの追加
次に、AppLocker にルールを追加します。ここでは、C:\MyApplication フォルダーに
保存されているアプリケーションだけ実行を許可する設定をします。
1. [コマンドプロンプト] で「gpedit.msc」と入力し、[ローカルグループポリシーエ
ディター] を起動します。
2. [コンピューターの構成]-[Windows の設定]-[セキュリティの設定]-[アプリ
ケーション制御ポリシー]-[AppLocker] の順に展開すると、以下のノードが表示
されます。
実行可能ファイルの規則
Windows インストーラーの規則
17
スクリプトの規則
パッケージアプリの規則
図 6:ローカルグループポリシーエディター
AppLocker 配下のノードについて
AppLocker 配下のノードで、実行可能/実行禁止など動作制御を行うアプリケー
ションをカテゴリごとに定義します。
3. [実行可能ファイルの規則] を右クリックし、[新しい規則の作成] を選択します。
図 7:規則の追加
4. [作成:実行可能ファイルの規則] ウィザードが表示されます。[開始する前に] ス
テップで、[次へ] ボタンをクリックします。
18
5. [アクセス許可] ステップで [許可] を選択し、[次へ] ボタンをクリックします。
図 8:[アクセス許可] ステップ
アクセス許可について
AppLocker では実行を許可するソフトウェアを指定する「ホワイトリスト方
式」と、実行を許可しないソフトウェアを指定する「ブラックリスト方式」の
どちらも設定することができます。ブラックリストは既知のマルウェアをブ
ロックするには有効ですが、マルウェアが多様化し、全てをリストアップする
ことが困難であることを考えると、ホワイトリスト方式のほうが安全性が高い
といえます。
6. [条件] ステップで [パス] を選択し、[次へ] ボタンをクリックします。
図 9:[条件] ステップ
19
20
7. [パス] ステップで [フォルダーの参照] ボタンをクリックし、C:\MyApplication
フォルダーを選択します。その後、[次へ] ボタンをクリックします。
図 10:[パス] ステップ
8. [例外] ステップで [次へ] ボタンをクリックします。
図 11:[例外] ステップ
21
9. [名前と説明] ステップで名前を指定したら、[作成] ボタンをクリックします。
図 12:[名前] ステップ
10. [AppLocker] ダイアログボックスが表示されたら、ここでは [いいえ] を選択しま
す。
図 13:[AppLocker] ダイアログボックス
22
AppLocker ダイアログボックス
AppLocker ダイアログボックスで [はい] を選択すると、設定しておいたほうが有益
と思われる以下のポリシーが自動的に追加されます。
パス 対象者 アクセス許可
Program Files フォルダー内の
すべてのファイル
Everyone 許可
Windows フォルダー内のすべて
のファイル
Everyone 許可
すべてのファイル BUILTIN\Administrators 許可
表 2:既定の規則の条件
図 14:既定の規則
11. ポリシーが作成されたことが確認できます。
図 15:追加された規則
23
24
12. [ローカルグループポリシーエディター] で、[AppLocker] ノードを右クリックし、
プロパティを選択します。
図 16:AppLocker のプロパティ
13. [AppLocer のプロパティ] ダイアログボックスで、[実行可能ファイルの規則] を
[構成済み] にし、[規則の実施] を選択します。その後、[OK] ボタンをクリックし
ます。
図 17:AppLocker の実施
14. C:\Myapplication に exe ファイルをコピーして実行すると、実行できますが、そ
れ以外のフォルダーにあるアプリケーションを実行すると、以下のようなダイ
アログボックスが表示され、実行はできません。
25
図 18:禁止されたアプリケーションの実行
規則の自動生成
AppLocker には、「規則の自動生成」という機能があります。この機能を利用すれば、
そのコンピューターの Program Files フォルダーなどにインストールされたアプリ
ケーションを分析し、自動的にルールを作成できます。
1. [ローカルグループポリシーエディター] で [AppLocker]-[実行可能ファイルの規
則] ノードを右クリックし、[規則の自動生成] を選択します。
2. [フォルダーとアクセス許可] ステップで、[分析するファイルが格納されている
フォルダー] にアプリケーションがインストールされているフォルダーを指定し、
[次へ] ボタンをクリックします。
図 19:[フォルダーとアクセス許可] ステップ
3. [規則の基本設定] ステップで、作成する規則の種類を署名またはハッシュ値のい
ずれかを指定して [次へ] を選択します。
26
図 20:[規則の基本設定] ステップ
27
4. 分析結果が表示されたら、[作成] ボタンをクリックします。
図 21:[規則の確認] ステップ
5. ポリシーが自動生成されます。
図 22:作成された規則
規則の自動生成は実行したコンピューターのフォルダー構成をもとに分析するため、
組織に必要なアプリケーションがインストールされているコンピューター上で実行
することをお勧めします。[規則の自動生成] により、ある程度まとまったポリシーが
自動作成できるため、まずは [規則の自動生成]でルールを作成してから、カスタマ
イズする方が手間がかかりません。
28
3 整合性レベル (Integrity Level:IL)
登場の背景
Windows では、ユーザーが起動したアプリケーションはログオン中のユーザー権限
で実行されます。つまり、管理者としてログオンしてブラウザーや電子メールクラ
イアントなどを実行した場合、それらの実行プログラムも管理者特権を持つことに
なります。マルウェアを実行した場合も同様です。管理者としてログオンしている
ときにネットワークワームが実行されたり、メールに添付されたウイルスプログラ
ムを起動したりすると、悪意のあるコードが管理者権限で実行されることになりま
す。
これは、悪意のあるコードがシステムリソースにアクセスできることを意味します。
つまり、悪意のあるコードがシステムファイルを書きかえたり、カーネルモードで
動作するキーロガーをインストールしログオン資格情報を傍受したりすることも可
能になります。ウイルス対策ソフトウェアがインストールされていても、サービス
を操作し、オペレーティング システムから見えなくすることもできてしまうため安
心はできません。このような問題に対処することを目的として、整合性レベルが登
場しました。
整合性レベル
整合性レベルとは
ワームやウイルスなどのマルウェアに対抗するため、Windows Vista では整合性レベ
ルが採用され、Windows 7 や Windows 8 でも引き続き搭載されています。整合性レ
ベルは Windows 8 / Windows 7 / Windows Vista のセキュリティの基盤となっており、
この後で紹介するユーザーアカウント制御(UAC)、ユーザーインターフェイス 特権
の分離 (UIPI)、Internet Explorer の保護モードなどでも整合性レベルが利用されてい
ます。
整合性レベルは、プロセスごとに書き込み可能なリソースを制御することを目的と
しています。Windows 8 / Windows 7 / Windows Vista では起動時に各プロセスの整
合性レベルが決定し、終了するまで同じ整合性レベルで実行されます。整合性レベ
ルは 3 段階で、権限が高い方から「High(高)」「Medium(中)」「Low(低)」がありま
す。
29
プロセスに適用される整合性レベルは、管理者権限に昇格したプロセスは
「High」2、昇格せずに通常起動したプロセスは「Medium」、保護モードの Internet
Explorer 3は「Low」です。「High」は「管理者権限」、「Medium」は「標準権限」、
「Low」は「信頼できない権限」で実行されます。標準権限は一般ユーザーの権限と
考えるとよいでしょう。
3 段階の整合性レベルは、プロセスだけでなく、ファイル、レジストリキーなどすべ
てのセキュリティ対象のオブジェクトに対しても設定されています。そして、低い
整合性レベルのプロセスは、高いレベルのリソースへの書き込みはできません。た
とえば、整合性レベル「Medium」のプロセスから、整合性レベル「High」に設定さ
れているファイルやレジストリ キーを操作することはできません。つまり、権限昇
格されていないアプリケーションから、Program Files フォルダーや HKLM レジスト
リ キーへの書き込みはできません。
IL 権限の種類書き込み可能なフォルダーや
レジストリの例
High管理者権限:システム用の領域への
書き込みが可能
%ProgramFiles% や %WinDir%
HKLM
Medium標準権限:ユーザー用の領域への
書き込みが可能
%UserProfile%
HKCU
Low信頼できない権限:安全な領域への
書き込みのみ可能
%UserProfile%\AppData\LocalLow
HKCU\Software\AppDataLow
表 3:整合性レベルと書き込み可能なリソース
この整合性レベルによるアクセス制御のことを ACE (Access Control Entry) といいま
す。この ACE のアクセス制御は、従来の ACL (Access Control List) に先んじて行わ
れます。つまり、ユーザーに Program Files フォルダーへの書き込みアクセス権が
ACE によって設定されていたとしても、プロセスが「Medium」で実行されている場
合には、書き込みはできません。
フォルダーやレジストリ キーの整合性レベルを確認するには
2 管理者権限への昇格については、「4 ユーザーアカウント制御 (UAC)」で取り上げます3 保護モードの Internet Explorer については、「5 Internet Explorer の保護モード」で取り上げます
30
フォルダーに対する整合性レベルやアクセス許可を確認したい場合には、
「AccessChk」ツールを使用します。たとえば、以下のとおりコマンドを入力すれ
ば、C:\Secure フォルダーの整合性レベルとアクセス許可を確認することができます。
AccessChk –d C:\Secure -v
図 23 の結果を見ると、Secure フォルダーは「Medium Mandatory Level」、つまり
整合性レベル「Medium」に設定されていることが分かります。さらに、[No-Write-
Up] とも表示されています。これは、「アクセスポリシー」といわれるもので、
ファイル、レジストリ キーなどのセキュリティ対象のオブジェクトに対して、整合
性レベルと組み合わせて設定されています。ここで設定されている [No-Write-Up] は、
低いプロセスからの書き込みは許可しないというアクセスポリシーです。
31
つまり、C:\Secure フォルダーの整合性レベルは Medium で、No-Write-Up のポリ
シーが適用されているため、その下のレベルである Low のプロセスからこのフォル
ダーへの書き込み (Write-Up) はできないということが分かります。
図 23:フォルダーへの AccessChk コマンド
なお、アクセスポリシーは表 4 に示すとおり、3種類あります。
アクセスポリシー 説明
No-Write-Up 下位の整合性レベルからの書き込みを拒否
No-Read-Up 下位の整合性レベルからの読み込みを拒否
No-Execute-Up 下位の整合性レベルからの実行を拒否
表 4:アクセスポリシー
AccessChk ツールは、レジストリに対しても利用できます。たとえば、次のコマン
ドでは、HKLM\Software の整合性レベルとアクセス許可を確認しています。
AccessChk –k HKLM\Software –d -v
32
図 24 の結果をみると、HKLM\Software レジストリ キーの整合性レベルは Medium
で、No-Write-Up のポリシーが適用されているため、その下のレベルである Low の
プロセスからこのファイルへの書き込み (Write-Up) はできないということです。
図 24:レジストリへの AccessChk コマンド
なお、AccessChk ツールは、以下のサイトからダウンロードすることができます。
http://technet.microsoft.com/ja-jp/sysinternals/bb664922.aspx
フォルダーに整合性レベルを設定するには
特定のフォルダーに対して整合性レベルを設定することもできます。そのためには、
「ICACLS.exe」コマンドを利用します。たとえば、以下のとおりコマンドを実行す
ると、C:\Secure フォルダーを整合性レベルを「High」に設定できます。末尾の
「H」は、整合性レベル「High」を表しています。他にも「Medium」の場合は
「M」、「Low」の場合は「L」を指定します。
ICACLS C:\Secure /setintegritylevel (CI)(OI)H
33
図 25:ICACLS による整合性レベルの変更
実行後、AccessChk.exe を使用して整合性レベルを確認すると、図 26 のように
「High Mandatory Level」、つまり「High」に設定されたことが分かります。
図 26:整合性レベル「高」
なお、ICACLS ツールの詳細は、以下の Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/library/cc753525(v=WS.10).aspx
34
4 ユーザーアカウント制御 (UAC)
登場の背景
「3 整合性レベル (Integrity Level:IL)」で紹介したように、Windows では、ログオンし
ているユーザー権限でアプリケーションのコードが実行されるため、管理者でログオン
しているときにワームやウイルスが起動されると、それらのコードは管理者権限で実行
されます。このように管理者権限で悪意のあるコードが実行されると、システムリソー
スも高い権限でアクセスできるため、被害が拡大する可能性があります。
このような攻撃への対策として、Windows XP では、最小特権ユーザーアカウント (LUA)
アプローチを推奨しました。つまり、最小特権の原則に従い、ブラウザーや電子メール
クライアントなどの一般的なアプリケーションを使用するときは、管理者であっても
Users グループなどの制限付きユーザーアカウントでログオンします。そして、管理タ
スクを実行するときにだけ、管理者資格情報を使用します。この LUA を実現するため、
Windows XP では複数のユーザーが同時にログオンできるようにしました。つまり、あ
るユーザーがログオン中、ログオフせずに他のユーザーがログオンできるようにしたり、
RunAs コマンドを使用して特定のアプリケーションを別のユーザーで実行できるように
したりしました。しかし、ログオンし直すことを煩わしく感じるユーザーが多く、実際
には普及しませんでした。このような問題に対処することを目的として、ユーザーアカ
ウント制御 (UAC) が登場しました。
UAC とは
Windows 8 / Windows 7 / Windows Vista では、LUA の代わりに UAC を採用していま
す。UAC は LUA 同様、悪意のあるコードが管理者権限で実行されないようにするこ
とを目的としています。しかし、使い勝手が大幅に改善されています。次に UAC の
特徴を挙げます。
管理者は 2 つのユーザーアカウントを使い分ける必要がない
Windows 8 / Windows 7 / Windows Vista では、1 つのユーザーアカウントに、通常の
ユーザーとしての役割と管理者としての役割を与えることができます。そのため、
ログオン、ログアウトを繰り返す必要はありません。管理者は、常に管理権限のあ
る 1 人のユーザーでログオンでき、しかも安全にアプリケーションを実行すること
ができます。
35
シームレスな遷移が可能
管理者特権が必要になると、管理者として実行するかどうかを確認する「ユーザーア
カウント制御」ダイアログボックスが表示されます。このダイアログボックスで承
認すれば、自動的に管理者として実行されます。
36
UAC の動作
標準ユーザーとして実行
Windows 8 / Windows 7 / Windows Vista では、管理者を含む全てのユーザーは、既
定で「標準ユーザー」としてアプリケーションを実行します。「標準ユーザー」は一
般ユーザーの権限を持ちます。標準ユーザーが実行するプロセスはシステムリソー
スへのアクセスが制限されています。悪意のあるプログラムが実行され、たとえそ
れが管理者としてログオンしていたとしても、ユーザーが起動したアプリケーショ
ンは標準ユーザーで実行されます。そのため、Program Files や Windows フォル
ダーのようなシステム全体に影響を及ぼす領域に変更を加えることはできません。
これにより悪意のあるコードが実行されたとしても、被害を最小限にとどめること
ができます。
権限を昇格して実行
管理タスクを実行したい場合、標準ユーザーでは権限が足りません。そこで、管理権
限が必要な場合にはプロセスの権限を昇格して実行します。権限昇格が必要な場合に
は図 27 のような「ユーザーアカウント制御」ダイアログボックスが表示されます。
このダイアログボックスで「はい」ボタンをクリックすると、管理者に「昇格」さ
れ、そのプロセスは管理者権限で実行されます。これによりシステムリソースへの
アクセスも可能となります。
図 27:[ユーザーアカウント制御] ダイアログボックス
一方、管理者以外のユーザーでログオンしてる場合には、図 28 のようなダイアログ
ボックスが表示されます。このダイアログボックスでは、管理者の資格情報を入力
できます。これにより、一般ユーザーでログオンしていても、特定のアプリケー
ションだけ管理者で実行することができます。
37
図 28:管理者以外の [ユーザーアカウント制御] ダイアログボックス
盾 ( シールド ) アイコン
昇格が必要なアプリケーションやタスクには、図 29 のような「盾」が表示されます。
図 29:盾アイコン
図 30 のようにアプリケーションのアイコン自体に盾が含まれる場合は、アプリケー
ションを起動しようとしたタイミングで、昇格するためのユーザーアカウント制御
ダイアログボックスが表示されます。そして、アプリケーション全体が管理者権限
で実行されます。
図 30:盾が含まれているファイルのアイコン
これに対し、アプリケーションの一部のタスクでのみ昇格を必要とする場合は、図
31 のように、ボタンなどに盾アイコンが表示されます。ここで盾アイコンの付いた
ボタンをクリックすると、ユーザーアカウント制御ダイアログボックスが表示され、
そのタスクのみが管理者権限で実行されます。
38
図 31:盾アイコンのついたボタン
いずれの場合にも、管理者権限で実行されるのは、そのアプリケーションやタスク
のみです。それ以外のアプリケーションやタスクは、標準ユーザーのまま実行され
ます。
盾アイコンの目的は、盾アイコンの付いた操作を実行すると権限昇格が必要になる
ことを一目でわかるようにすることです。ユーザーは、盾アイコンを見つけると権
限の昇格が求められることを予測できます。
UAC のしくみ
2 つのトークンが使い分けられる
UAC を実現するため、Windows 8 / Windows 7 / Windows Vista では、管理者として
ログオンすると、「フルトークン」と「フィルタ済みトークン」という 2 つのトー
クンが作成されます。そして、その後起動するプロセスにいずれかのトークンが渡
されます。
トークンとは
ユーザーや所属するグループ、保持している特権などの情報が記載されたもので
す。あるプロセスが操作を行おうとすると、システムによってトークンが確認さ
れ、必要な権限を持っていればその操作が許可されます。
39
「フィルタ済みトークン」は、管理者が保持している権限のうち管理者特有の権限を
取り除いたものだけを定義したトークンです。フィルタ済みトークンが渡されたプ
ロセスは、標準ユーザーとして実行されるため、システム全体に影響を与えるよう
な操作は許可されません。
図 32:フィルタ済みトークンでのプロセスの実行
40
一方、「フルトークン」はユーザーが保持している全ての権限が定義されている
トークンです。フルトークンが渡されたプロセスは、管理者として実行されるため、
Windows の多くのオブジェクトに対してフルコントロール権限でアクセスできたり、
特権的な操作ができたりします。
図 33:フルトークンでのプロセスの実行
既定では、プロセスは「フィルタ済みトークン」で実行します。管理者としてログ
オンしている場合も例外ではありません。そして、管理権限が必要になったときに、
図 27 のようなユーザーアカウント制御ダイアログボックスが表示され、「はい」ボ
タンをクリックすると権限が昇格されフルトークンで動作します。
フィルタ済みトークンの例外
ビルトインの Administrator ユーザーは、はじめから管理者権限で全てのアプ
リケーションが実行されます。そのため、権限昇格の必要はありません。た
だし、Windows 8 / Windows 7 / Windows Vista では、既定で Administrator
ユーザーアカウントは無効になっています。
なお、Administrator ユーザーでログオンすると昇格の必要はありませんが、盾ア
イコンは表示されます。また、盾アイコンには 1 つの状態しかありません。盾ア
イコンが無効になったり、カーソルを合わせたときに外観が変わったり、選択さ
れた状態になったりすることはありません。
41
整合性レベルと UAC
UAC は整合性レベルをベースとした機能です。具体的には、標準権限で実行される
プロセスは整合性レベル「Medium」で実行されます。また、権限昇格して実行され
るプロセスは整合性レベル「High」で実行されます。UAC は整合性レベルを使用し
て、システムリソースを保護しています。
権限昇格してアプリケーションを実行するには
「管理者として実行」メニューの利用
Windows 7 / Windows Vista では、アプリケーションを起動する際、アイコンやス
タートメニューを右クリックし、コンテキストメニューから「管理者として実行」
を選択します。これによりユーザーアカウント制御ダイアログボックスが表示され、
承認されるとそのアプリケーションは管理者権限で実行されます。
図 34:コンテキストメニューから [管理者として実行]
Windows 8 の場合、スタート画面でタイルを選択したらアプリバーを表示します。
そこで、[管理者として実行] コマンドを選択します。これによりユーザーアカウント
制御ダイアログボックスが表示され、承認されると管理者権限で実行されます。
42
図 35:アプリバーから [管理者として実行]
43
[互換性] タブの利用
アプリケーションのプロパティを開き、[互換性] タブで「管理者としてこのプログラ
ムを実行する」を選択します。これにより、そのアプリケーションを起動するとき
は常にユーザーアカウント制御ダイアログボックスが表示され、承認されると管理
者権限で実行されます。
図 36:[互換性] タブ
互換フィックスの利用
組織内の多数のコンピューターのアプリケーションで管理者で実行することを設定
しなければならない場合は、Compatibility Administrator ツールを使用して互換
フィックスを適用します。プロセスの権限を指定できる互換フィックスは次のとお
りです。組織内で広く使用されているアプリケーションに対して、管理者権限で実
行する必要がある場合には、管理者がこの方法を使って組織全体に展開します。
互換フィックス 説明
RunAsUAC 親プロセスと同じ権限で動作
RunAsHighest ユーザーが取得できる最高レベルの権限で動作
RunAsAdmin 管理者権限で動作
表 5:権限を指定する互換フィックス
44
Compatibility Administrator は、「Application Compatibility Toolkit」に含まれるツール
です。Application Compatibility Toolkit については、以下のサイトを参考にしてくだ
さい。
http://technet.microsoft.com/ja-jp/library/cc722055(v=WS.10).aspx
アプリケーション マニフェストの利用
昇格を必要とするアプリケーションでは、アプリケーション マニフェストに管理者
権限が必要であることを定義します。アプリケーション マニフェストとは、アプリ
ケーションの環境設定をするファイルで XML 形式で記述をします。アプリケーショ
ン マニフェストは、アプリケーションファイル (exe) と同じフォルダーに「アプリ
ケーション名.exe.manifest」という名前で保存することで、起動時にマニフェスト
ファイルが自動的に読み込まれます。
アプリケーション マニフェストを利用して、管理者権限でアプリケーションを実行
する手順を次に示します。
1. テキストエディタなどでマニフェストを作成します。ファイル名は「アプリ
ケーション名.exe.manifest」にする必要があります。次にマニフェストの例を示
します。「level="requireAdministrator"」を設定することで、管理者権限を要求
することができます。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"><security>
<requestedPrivileges><requestedExecutionLevel level="requireAdministrator"/>
</requestedPrivileges></security>
</trustInfo></assembly>
なお、この「level」属性使用することで、アプリケーションの実行に必要な権限レ
ベルを設定することができます。設定できる値は以下のとおりです。
値 説明
asInvoker 親プロセスと同じ権限で動作
45
highestAvailable ユーザーが取得できる最高レベルの権限で動作
RunAsAdmin 管理者権限で動作
2. 表 6:アプリケーション マニフェストの設定
2. 手順 1 で作成したファイルを、アプリケーションと同じディレクトリに「アプ
リケーション名.exe.manifest」という名前で保存します。
3. アプリケーションを実行します。起動時にユーザー アカウント制御ダイアログ
ボックスが表示され、権限の昇格が求められます。
この方法は、通常、管理者権限を必要とするアプリケーションを製造した際にアプ
リケーション開発者が使用します。ただし、アプリケーション マニフェスト自体は、
アプリケーションと同じフォルダーに作成されていれば作用するため、アプリケー
ション展開後に設定することもできます。
UAC の動作設定
レベルの設定
UAC はセキュリティを高めるための機能なので、その機能を無効にしてしまうこと
は推奨されません。Windows 8 / Windows 7 では、UAC のセキュリティ レベルを 4
段階の中から選択できるようになっています。コントロールパネルの [ユーザーアカ
ウント制御設定の変更] から設定できます。
図 37:ユーザーアカウント制御の設定
各設定の動作の違いを表 7 に示します。
46
設定 説明
常に通知する常に UAC の通知を行います。これは、Windows
Vista で UAC が有効な時と同じ動作です。
アプリがコンピュー
ターに変更を加えようと
する場合のみ通知する
アプリケーションがソフトウェアをインストールし
ようとしたり、コンピューターに変更を加えようと
したりした場合に、UAC のダイアログボックスを表
示します。
ただし、Windows が提供するアプリケーションで
は、UAC のダイアログボックスを表示することなく
昇格します
アプリがコンピュー
ターに変更を加えようと
する場合のみ通知する
(デスクトップを暗転し
ない)
アプリケーションがソフトウェアをインストールし
ようとしたり、コンピューターに変更を加えようと
したりした場合に、UAC のダイアログボックスを表
示します。
ただし、Windows が提供するアプリケーションで
は、UAC のダイアログボックスを表示することなく
昇格します。
UAC のダイアログボックスの表示時に、デスクトッ
プ全体を薄暗くしません。これにより他のアプリ
ケーションを引き続き操作することができます。
通知しない
常に UAC の通知を行いません。これは、Windows
Vista で UAC が無効の時と同じです。
セキュリティ上の理由から、この設定は推奨されま
せん。
表 7:ユーザー アカウント制御のレベル設定
グループポリシーでの設定
グループ ポリシーで UAC の構成を設定することができます。設定可能な項目は、次
のとおりです。
UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せ
ずに昇格のプロンプトを表示できるようにする
47
アプリケーションのインストールを検出し、昇格をプロンプトする
ビルトイン Administrator アカウントのための管理者承認モード
安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
管理者承認モードですべての管理者を実行する
管理者承認モードでの管理者に対する昇格時のプロンプトの動作
署名され検証された実行ファイルのみを昇格する
昇格時にセキュリティで保護されたデスクトップに切り替える
図 38:グループポリシーによる UAC の設定
グループ ポリシーで設定可能なユーザーアカウント制御についての詳細は、次のサ
イトをご覧ください。
http://technet.microsoft.com/ja-jp/library/ee732416(v=ws.10).aspx
48
5 Internet Explorer の保護モード
登場の背景
Windows XP 以前の環境では、アプリケーションはログオンしているユーザーの権限
で実行されます。一般ユーザーでログオンしていれば、アプリケーションも一般
ユーザーの権限で動作し、管理者でログオンしていれば、アプリケーションも管理
者権限で動作します。このしくみ自体は問題ではありませんが、悪意を持つ人間が
攻撃してきた場合に問題が発生する可能性があります。
特に、Internet Explorer はブラウザーですから、常にインターネットに面しています。
インターネット上には多くの攻撃者がおり、脆弱性が悪用されたり、ユーザーが意
図しないのに Active X コントロールがインストールされたりする可能性があります。
このような攻撃を受けた時に、Internet Explorer が管理者権限で実行されていると、
システム全体が危険にさらされることになります。
図 39 は Internet Explorer が利用できるリソースを示しています。一般ユーザーで実
行している場合は、テンポラリのフォルダーと、ユーザー プロファイルや HKCU な
どのユーザーに関する情報にアクセスできます。ここで攻撃された場合を考えると、
ユーザーのデータやプライバシーが被害を受ける可能性はありますが、コンピュー
ター全体に被害が及ぶような破壊行為がされる状況はまずありません。しかし、管
理者としてログオンして Internet Explorer を実行した場合、Program Files や HKLM
などのシステムリソースにもアクセスできるため、コンピューター全体を乗っ取ら
れ、攻撃される可能性があります。このような問題を解決するために、Internet
Explorer の保護モードが登場しました。
49
図 39:Windows XP + Internet Explorer 6
50
Internet Explorer の保護モードとは
Internet Explorer の保護モードは Internet Explorer 7 から新機能として追加され、最
新の Internet Explorer 10 でも引き続き搭載されています。ただし、Internet Explorer
の保護モードはオペレーティング システムと連動する機能なので、Windows Vista
以降のオペレーティング システムと組み合わせる必要があります。つまり、
Windows XP と Internet Explorer 7 を組み合わせても、保護モードは有効にはなりま
せん。
Internet Explorer の保護モードの利点は次の通りです。
悪意のあるソフトウェアをインストールされにくくする
Internet Explorer の保護モードには、悪意のあるソフトウェアがコンピューターにイ
ンストールされにくくする機能があります。
必要なアプリケーションはインストール可能
Internet Explorer の保護モードは、悪意のあるソフトウェアからコンピューターを保
護する半面、管理者としてログオンしている場合には、必要な ActiveX コントロール
またはその他のアドオンソフトウェアをインストールすることができます。内部的
には整合性レベルとユーザー アカウント制御 (UAC) が利用されているため、権限昇
格を行えばインストールも可能です。
ゾーン別にレベル設定が可能
Internet Explorer の保護モードは、ゾーン別に有効・無効を切り替えることができま
す。既定では、インターネット、ローカルイントラネット、および制限付きサイト
で有効となっており、信頼済みサイトでのみ無効になっています。この設定は、
Internet Explorer で [ツール] メニューから [インターネットオプション] を選択する
と、設定できます。
51
図 40:保護モード有効 (インターネットゾーン)
図 41:保護モード無効 (信頼済みサイト)
52
なお、現在 Internet Explorer が表示しているサイトで、保護モードが有効になってい
るかどうかを確認するためには、ページ上で右クリックし、[プロパティ] を選択し
ます。すると図 42 のように、サイトのゾーンと保護モードの有効/無効が表示され
ます。これは、Internet Explorer 9 / Internet Explorer 10 での確認方法です。
図 42:ページのプロパティ
Internet Explorer 7 / Internet Explorer 8 では、図 43 のように Internet Exoplore のス
テータス バーで確認することができます。
図 43:ステータス バー
意図せずソフトウェアが呼び出されないようにする
53
Internet Explorer では、Web ページから別のソフトウェアが実行されようとしたと
きに警告が行われます。具体的には Internet Explorer の外部で、保護モード以外でソ
フトウェアが実行されようとした際に、図 44 のような警告が表示されます。呼び出
すソフトウェアが保護モード以外で実行されると、必要以上にコンピューターにア
クセスする可能性があるからです。これは通常、Web サイトがアドオンを使用して、
コンピューター上でソフトウェアを実行する場合に起こります。プログラムを信頼
し、任意の Web サイトで実行を許可する場合は、[今後、このプログラムに関する警
告を表示しない] チェック ボックスをオンにすれば、次回からはこのダイアログ
ボックスは表示されません。
図 44:別のソフトウェアを呼び出した際の確認ダイアログボックス
Internet Explorer の保護モードとブローカー プロセス
Internet Explore の保護モードとは、Internet Explorer が整合性レベル Low で実行さ
れているモードです。これにより、攻撃によるデータの書き込み、変更、または破
壊や悪意のあるコードのインストールの可能性を大幅に軽減できます。
整合性レベル Low で実行されているプロセスは、安全な領域であるインターネット
一時ファイル フォルダー、履歴フォルダー、Cookie フォルダー、お気に入りフォル
ダーなどへの書き込みしか許可されません。ユーザープロファイルやシステムフォ
ルダーへの書き込みはできないため、自己インストールを行う悪意のあるコードか
らシステムを保護できます。
しかし、これではユーザーはダウンロードしたファイルをドキュメント フォルダー
に書き込んだりすることもできませんし、アドイン ソフトウェアをインストールす
ることも全くできなくなってしまいます。そこで、ブローカープロセスが提供され
ています。ブローカープロセスは整合性レベル Miedum や High で動作していて、
Internet Explorer から呼び出して実行することができます。これにより、ユーザー権
限の領域や管理者権限の領域にアクセス可能になります。ブローカープロセスには
次の 2 種類があります。
54
ブローカーの種類 プロセス 権限 整合性レベル
管理者ブローカー IEInstall.exe 管理者権限 High
ユーザーブローカー IExplore.exe 標準権限 Medium
表 8:ブローカーの種類
図 45 で示すとおり、ユーザープロファイルにアクセスしたい場合には、標準権限が
必要であるため「ユーザーブローカー」を使用します。また Active X コントロール
をインストールしたい場合は、システム領域に書き込みを行う必要があるため管理
者権限が必要です。その場合は「管理者ブローカー」を使用します。
図 45:保護モードの Internet Explorer
管理者ブローカーを Internet Exolorer から起動する際には、UAC が利用されます。
管理者ブローカーは UAC の管理者権限で実行されるプロセスです。そのため、
ActiveX コントロールなどのアドインソフトウェアをインストールしようとして管理
者ブローカーが呼び出されると、図 46 のようなユーザー アカウント制御ダイアロ
グボックスが表示され、権限を昇格するかどうかがユーザーに尋ねられます。そし
て、ユーザーが許可した場合にのみインストールが行われます。
55
図 46:ブローカープロセスによる権限昇格
56
6 ユーザー インターフェイス特権の分離
(UIPI)
登場の背景
ユーザー アカウント制御 (UAC) や Internet Explorer の保護モードにより、ユーザー
が気づかぬうちに管理者権限でコードが実行されることがなくなりました。また、
悪意のあるコードが実行されても整合性レベルにより、通常は整合性レベル
「Medium」で実行されるため、システム全体に被害が及ぶといった事態が避けられ
るようになりました。
しかし、これだけでは十分とは言えません。なぜなら、プロセスは互いに通信可能
であるため、たとえ悪意のあるプログラムが低い整合性レベルで実行されていたと
しても、整合性レベルの高いプログラムを経由して保護されたリソースにアクセス
できてしまうからです。
たとえば、通常、Internet Explorer は整合性レベル「Low」で実行されていますが、
権限昇格し整合性レベル「High」で実行している Microsoft 管理コンソール (MMC)
やコントロールパネルなどに対して Windows メッセージ4を送信できたら、シャッ
ター攻撃が可能になってしまいます。シャッター攻撃とは、あるプロセスが
Windows メッセージを使用して、別のプロセスに特権レベルでの悪質なコードの実
行を要求することです。このような問題に対処することを目的として、ユーザーイ
ンターフェイス特権の分離 (UIPI) が登場しました。
UIPI とは
UIPI は 整合性レベルの上位のプロセスを下位のプロセスから保護する機能です。
UIPI により、下位のプロセスから上位のプロセスへのメッセージの送信は許可され
ません。つまり、整合性レベル Low のプロセスから、整合性レベル Medium や High
へのメッセージの送信は失敗しますし、整合性レベル Medium から High へのメッ
セージの送信も失敗します。これは、低いプロセスから送られたメッセージは、オ
ペレーティング システムによってフィルターされ、高いレベルのプロセスには実際
には送信されないからです。
4具体的にはアプリケーションで SendMessage 関数や PostMessage 関数を使用すると、ウィンドウに対してメッセージを送信することができます。
57
なお、許可されていないのは下位のプロセスから上位のプロセスへのメッセージの
送信に限ります。同レベルのメッセージの送信は許可されています。たとえば、
Medium のプロセスから、他の Medium のプロセスへの送信は可能です。また、上位
から下位のレベルへの送信も問題ありません。たとえば、High のプロセスから
Medium や Low のプロセスへの送信はも可能です。
整合性レベルの低いプロセスから、高いプロセスに対してメッセージが送信され、
オペレーティング システムによってフィルターされた場合でも正常応答が返されま
す。そのため、送信元のアプリケーションは失敗していることに気づきません。ま
た、受信側のアプリケーションにはメッセージが送られてこないので、UIPI による
メッセージのブロックを検出することはできません。
インストール済みのアプリケーションで上位のプロセスにメッ
セージを送信するには
このように、Windows 8 / Windows 7 / Windows Vista では上位レベルのプロセスに
メッセージを送信することができませんが、機能として必要なアプリケーションで
は、設定により送信可能になります。その設定は通常はアプリケーション開発者が
行いますが、Windows Vista 以前のアプリケーションでは対応していないため、管理
者が次の設定を組織のコンピューターに施さなければならないことがあります。
権限を昇格し、自身も上位権限になる
下位レベルのプロセスをメッセージを送信したいほうのレベルに合わせて実行しま
す。たとえば、整合性レベル High のプロセスにメッセージを送信したいなら、自身
も High で実行するために権限昇格すれば、整合性レベル High で動作するため送信
可能となります。
図 47:[ユーザーアカウント制御] ダイアログボックス
実行権限を昇格せずに、上位の権限のプロセスとやりとりする
58
上位のプロセスに対してメッセージを送信したいためだけに、権限を昇格して実行
することはセキュリティ上、危険です。そこで、昇格せずに上位権限のプロセスと
通信する方法もあります。これには、アプリケーション マニフェストファイル5での
設定が必要です。
次にアプリケーション マニフェストファイルのサンプルを示します。ポイントは、
「<requestedExecutionLevel level = "asInvoker" uiAccess = "true"/>」の設定です。
「level="asInvoker”」の設定により、このプロセスは標準権限、つまり整合性レベル
Medium で実行されることが宣言されています。しかし「uiAccess = "true"」の設定
により、他のプロセスにメッセージを送信するときは、整合性レベル High として振
舞うことができます。これにより、整合性レベル High のプロセスにメッセージを送
信することができるようになります。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0"><trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
<security> <requestedPrivileges> <requestedExecutionLevel level="asInvoker" uiAccess="true"/> </requestedPrivileges> </security> </trustInfo></assembly>
しかし、これではアプリケーション マニフェストさえ記述すれば、どんなアプリ
ケーションでも上位のプロセスにメッセージを送信できてしまい、UIPI のセキュリ
ティチェックがないのと同じことになってしまいます。そこで「uiAccess = "true"」
を使用して上位のプロセスにメッセージを送信できるアプリケーションは、以下の 2
つの条件を満たしている場合に限られます。
署名付きのプログラムである
%WinDir% または %ProgramFiles% フォルダーに保存されている
これらの条件を満たすアプリケーションは、信頼のおけるアプリケーションである
と判断され、上位のプロセスへのメッセージ送信が許可されます。
5 アプリケーションマニフェストについては、「4.ユーザーアカウント制御 (UAC)」を参照してください。
59
アプリケーション マニフェストを使った設定は、ファイルを追加するだけで作用す
るので、既存のアプリケーションにも利用することができます。
なお、整合性レベル High のプロセスと通信するためには、Administrators グループ
のメンバーでログオンしていなければなりません。一般ユーザーとしてログオンし
ている場合には、アプリケーション マニフェストファイルの設定をしても 整合性レ
ベル High のプロセスにメッセージを送信することはできません。
60
7 セッション 0 の分離
登場の背景
UIPI により、特権を持ったアプリケーションに他のアプリケーションから攻撃がで
きなくなりました。すると悪意のあるユーザーが次に狙うのは、バックグラウンド
で動作している Windows サービスです。
Windows XP 以前のオペレーティング システムでは、Windows サービスは最初にロ
グオンしたユーザーと同じセッションで実行されます。このセッションはセッショ
ン 0 と呼ばれます。サービスとユーザーアプリケーションをセッション 0 で同時に
実行することは、セキュリティ上の危険をもたらします。サービスはアプリケー
ションより高い権限で実行されるため、悪意のあるアプリケーションが自身の権限
レベルを昇格させる手段を探している場合に標的となる可能性があるからです。こ
のような問題に対処することを目的として、セッション 0 の分離が登場しました。
図 48:Windows XP のセッション
61
セッション 0 の分離とは
セッション 0 の分離は、サービスをユーザーとは異なるセッションで動作させることで
攻撃されにくくする機能です。Windows 8 / Windows 7 / Windows Vista では、システム
プロセスとサービスのみがセッション 0 で実行されます。そして、最初のユーザーは
セッション 1 にログオンし、その後のユーザーはそれに続くセッションにログオンしま
す。セッションを分離することで、ユーザーのアプリケーションとサービスが容易に対
話できなくなります。これにより、アプリケーション コードによる攻撃を防ぐことがで
きます。
図 49:Windows 8 / Windows 7 / Windows Vista のセッション
62
8 Windows リソース保護 (WRP)
登場の背景
オペレーティング システムが使用しているシステム ファイルやフォルダー、レジス
トリなどが不正に変更されてしまうと、システムが不安定になるなど信頼性が損な
われる可能性があります。このような問題に対処することを目的として、Windows
リソース保護 (WRP) が登場しました。
WRP とは
WRP とは、オペレーティング システムが使用しているシステム リソースを読み取
り専用で保護する機能で、Windows 8 / Windows 7 / Windows Vista で採用されてい
ます。WRP により、通常のユーザーはオペレーティング システムで使用している
システム リソースを変更することはできません。
図 50 は、Windows XP の explorer.exe ファイルのアクセス許可を示しています。
Administrator や System アカウントに対してフルコントロール権限が与えられてい
ます。一方、図 51 は Windows 8 でのアクセス許可です。管理者や System アカウン
トに対してさえも、「読み取りと実行」権しか与えられていません。そのため、管
理者が誤ってシステム ファイルを上書きしてしまうこともありませんし、管理者権
限でマルウェアが実行されたとしてもオペレーティング システムのファイルは保護
されます。
63
図 50:explorer.exe のアクセス許可 (Windows XP)
図 51:explorer.exe のアクセス許可 (Windows 8)
管理者の代わりにフルコントロール権限が与えられているユーザーが
「TrustedInstaller」です。このユーザーは、Windows モジュール インストーラー
サービス (TrustedInstaller.exe) で使用されるユーザー アカウントです。このサービ
スは、Windows の更新プログラムやオプション コンポーネントのインストール、変
更、および削除の際に使用されます。つまり、Windows Update などの正当なサービ
スによってのみシステム リソースが変更ができることを意味しています。
64
図 52:TrustedInstar フルコントロール
なお、保護されるファイルの一覧は次のサイトに掲載されています。
http://msdn.microsoft.com/en-us/library/Aa382530.aspx
65
9 まとめ
このドキュメントでは、以下のセキュリティ機能を紹介しました。これらの機能は
Windows 8 / Windows 7 / Windows Vista に搭載されているもので、クライアントコン
ピューターを多層防御する役割を負っています。近年、コンピューターへの攻撃は数も
種類も増え、巧妙化していますが、このドキュメントで紹介した Windows のセキュリ
ティ機能を活用することが、脅威に対する防御となります。
AppLocker
整合性レベル
ユーザーアカウント制御 (UAC)
Internet Explore の保護モード
ユーザーインターフェイス特権の分離 (UIPI)
セッション 0 の分離
Windows リソース保護 (WRP)
これらの機能のうち、AppLocker は Windows 8 Enterprise、Windows 7 Enterprise にのみ
搭載されている機能です。これら Enterprise は単体で購入することはできず、マイクロ
ソフト ボリューム ライセンスをソフトウェアアシュアランス (SA) 特典6を含めて契約す
ることで入手可能です。この SA 契約には様々な特典が含まれていますが、組織のセキュ
リティをより強固にすることができる、次のような機能や製品が提供されています。
AppLocker によるアプリケーション起動制御
AppLocker は、コンピューター上で特定のプログラムを実行禁止にしたり、実行可
能にしたりする機能で、組織内で実行できるプログラムを制御することができます。
Direct Access による安全なリモートアクセス
DirectAccess は、リモートから社内のネットワークへの接続を可能にする機能です。
Virtual Private Network (VPN) に似ていますが、エンドユーザーによる操作なしに、
シームレスに社内のネットワークに接続することができます。また、ユーザーがイ
ンターネットに接続するだけで、社内のグループポリシーを適用したり、更新プロ
グラムを配布したりすることができるため、常に組織のセキュリティ要件に適合さ
せることができます。
6 マイクロソフト ソフトウェア アシュアランスについての詳細は、以下のサイトをご覧ください。http://www.microsoft.com/ja-jp/licensing/software-assurance/
66
VDI へのアクセス権
Windows Virtual Desktop Access (VDA) は、Windows の仮想インスタンスにアクセス
する機能です。ソフトウェア アシュアランス契約により、組織内の仮想デスクトッ
プ環境にアクセスする事ができます。ソフトウェア アシュアランス対象のコン
ピューターからだけではなく、自宅のコンピューターなどからも可能なため、エン
ド ユーザーの生産性を向上させることができます。
Bitlocker 暗号化 (Windows 7 Enterprise 利用時)
Windows やデータが格納されているドライブ全体を暗号化する機能です。BitLocker
を有効にすると、そのドライブに保存したファイルはすべて自動的に暗号化される
ため、コンピューターが盗難されたり紛失された際の情報漏えいへの対策となりま
す。
BitLocker 暗号化の管理機能 (MBAM)
Microsoft BitLocker Administration and Monitoring (MBAM)は、Microsoft Desktop
Optimization Pack (MDOP) 7に含まれる製品で、組織内のコンピューターの BitLocker
の管理を容易にするためのツールです。BitLocker による暗号化をユーザーに促す通
知を出したり、ワンタイムの回復パスワードを発行できるようにしたりします。
7 MDOP についての詳細は、以下のサイトをご覧ください。http://www.microsoft.com/ja-jp/windows/enterprise/products-and-technologies/mdop/default.aspx
67
