標的型攻撃対策④(Windowsファイル共有)

前回までは、標的型攻撃を受けないためのパソコンの設定になりますが、

今回は、それでも攻撃を受けてしまった場合に、被害を小さくするための対策になります。

そもそも標的型攻撃は

 

①侵入活動

→メールやウェブ経由でマルウェアに感染させる

②侵入した端末で情報の収集

③他の端末でマルウェアをコピー

④サーバ等に侵入しデータの搾取→

 

のような流れで攻撃を行います。(ざっくりですが、、、)

 

前回までの対策は主に①を防ぐためですね。

 

で、今回は「③ 他の端末でマルウェアをコピー」 の対策です。

 

この「他の端末でマルウェアをコピー」の活動は主に、Windowsのファイル共有サービスを利用する

と言われています。

この時

・パソコン間でadministrator権限のID・パスワードが共通
・パソコンのファイル共有が利用可能

の条件がそろうとあっという間に③が成功してしまう らしいです。

 

なので対策としては

1)パソコン間のローカル管理アカウントを個別に設定する。
2)パソコン間でのファイル共有を禁止(共有はファイルサーバのみとする)
→ファイル共有の受信方向のみ停止

1)はパソコンの台数が多ければ多いほど、大変(全PCのパスワードの管理とか・・・)なので、力技で頑張るしかないですが。。。

2)については、以下のような方法で可能かと思われます。

 

 

◆パソコン間でのファイル共有を禁止(ファイル共有の受信方向のみ停止)する方法

●方法その1 パーソナルファイアウォールで止める。

Windowsファイアウォールや、ウィルス対策ソフト内のファイアウォールの機能で

ローカルポート UDP(137、138)、TCP(139、445)

宛ての通信を止めればよいです。

Windowsファイアウォールだと、(AD環境でなければ)、1台ずつ設定が必要ですが

ウィルス対策ソフトを集中管理している環境であれば、一括で設定可能かと思います。

 

●方法その2 ファイル共有を停止する。

そもそもパソコン側でファイル共有(受信)を止めてしまうという方法です。

この方法自体もいろいろ設定の仕方がありますが、一番手っ取り早いのが、ネットワークのインターフェイス上で

ファイル共有を止めてしまうことです。

 

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更

から、自身が使っているインターフェイス(有線だと「ローカルエリア接続」が多いでしょうか)

のプロパティを開き

「Microsoftネットワーク用ファイルとプリンタの共有」

のチェックを外します。

share

※参考(ちょっと古いですが):ファイルとプリンタの共有を無効にしてセキュリティを強化する

https://support.microsoft.com/ja-jp/kb/199346

 

その1その2を組み合わせれば、2)の対策としては概ね大丈夫だとだと思います。

 

※この2つの方法だとWindowsの「管理共有」が動いているままになるので、念のため「管理共有」止めておいたほうがより良いかもしれません。レジストリ弄る or バッチ走らすなど ちょっと手間がかかりますが。。。。

 

参考:Windowsのデフォルト共有を停止させる(管理共有を無効化する)

http://www.atmarkit.co.jp/ait/articles/0304/26/news003.html

 

 

 

 

 

 

 

 

 

 

 

標的型攻撃対策③(Adobe Reader)

前回、メールの添付ファイルで、マクロ付Officeファイルの対策について書きましたが、

office系のファイルと同様に気を付けないといけないのが、pdfの添付ファイルです。

最近は多くの人が使っているpdfの閲覧ソフト「Adobe Reader」のセキュリティ機能(サンボックス機能)が強化されていたりするので

不正なpdfファイルは減少傾向にあるようですが、それでも頻繁に「Adobe Reader」に脆弱性が発見されていたりするので

対策をしておくにことに越したことはありません。

 

Adobe Readerの設定として確認すべき点は

①Adobe Readerの最新バージョン/更新プログラムが提供された場合にすみやかに更新できるようにすることです。

常に更新プログラムが適用されている状態にしましょう。

また、Adobeのサポートが切れているバージョンの使用は控えましょう。(2016/8/10現在 X以下のメーカサポートは終了しています。)

http://www.adobe.com/jp/information/acrobat/endsupport.html

 

reader01

②標的型攻撃はpdfファイルにファイルに攻撃処理を含んだスクリプトを埋め込んで攻撃してくることが多いため、

スクリプト自体を無効化してスクリプトを実行させないことが大事です。

(Officeのマクロ同様、自作のスクリプトを使ってる方は、停止できないかもしれませんが、

閲覧、印刷 しか使っていなければ止めてしまって問題ないと思います。)

reader02

③外部のWindows Media Player や Adobe Flash Player に存在する脆弱性を利用し、不正なファイルをpdfに埋め込んで攻撃してくるケースもあるため、

以下設定でAdobe ReaderからWindows Media Player や Adobe Flash Player 等を利用しないようにすることも効果大です。

reader03

④PDFファイルを開いたときに外部プログラムを呼び出す機能 がありますが、これが悪用されたケースもあるので

この設定も止めましょう。

reader04

 

標的型攻撃対策②(Office設定見直し)

標的型攻撃の起点となる攻撃は、メールに添付された不正なファイルを利用者に開かせることで攻撃を開始するというのが定番です。

(標的型対策としてのメールソフトの設定については前回を参照してください。)

 

一昔前は、こういった不正なファイルは実行形式(exe等)やZIPファイル等の圧縮ファイルが多かったのですが

最近(特にこの数か月)は、マクロ付のMS-Office系のファイルが急増しているようです。

※標的型攻撃の場合、マクロ自体は悪意ある振る舞いをする実マルウェアをダウンロードさせるための入口として悪用されることが多いようです。

 

なので、Office系のファイルがメールで添付されている場合は、安易に開かないことが一番大事です。

が、万が一開いてしまった場合、マクロが実行されないような設定をしておくことも大事になります。

 

2007以降のOfficeの場合、マクロの設定は初期値で

警告を表示してすべてのマクロを無効にする(デフォルト)

office

となっているので、マクロ付ファイルを開いたとしても、以下のような警告がでるだけで、「コンテンツの有効化」を押さない限りマクロは実行されません。

macro

じゃあ、この初期値のままで大丈夫 と思いがちですが

普段の業務で、マクロ付のファイルを利用しない人は、この警告がでると「怪しい」と気づけますが、

普段からマクロ付のファイルを利用している人は、「コンテンツの有効化」がでたら、「押す」というのが習慣になってしまいます。

そのため、ついついボタンをポチッとしてしまい、標的型攻撃に感染する という事態になってしまいます。

 

そのため、マクロの設定は

「警告を表示せずにすべてのマクロを無効にする」 または 「デジタル署名されたマクロを除き、すべてのマクロを無効にする」

office2

にすることをお勧めします。この設定場合、上記のようなミスを防ぐことができます。

 

ただ、この設定の場合だと、安全なマクロや自分で作ったマクロも使えなくなってしまうので、そういった場合、のマクロファイルを置く場所を決め

[信頼できる場所]

に登録することで、「警告を表示せずにすべてのマクロを無効にする」 設定の制限をうけずにマクロを開くことができます。

 

 

 

業者を装った迷惑メールにご注意を

最近、業者を装った迷惑メールが増えているようです。

直近だと7月にヤマト運輸の社名を装った迷惑メールがニュースにもなりました。

 

http://www.kuronekoyamato.co.jp/info/info_100326.html

http://headlines.yahoo.co.jp/hl?a=20160630-00000005-jct-bus_all

 

ちなみに弊社にもこのメールは届いていまして、内容は以下のような感じ。

 

yamato2

送信者が「●●●@kuronekoyamato.co.jp」となっているのぱっと見は怪しいメールではないように見えますが

よく見ると日付が「7/12(土)」となっています。(本来なら7/12(火)ですよね?)

昔のいわゆるスパムメールは、日本語以外の言語や、日本語であってもわけのわからない文章が多い印象でしたが

最近はかなりそれっぽく作られていて、引っかかってしまいそうですね。

 

ただ、今回のようによく見るとおかしい点等/表現が残ってるケースも多いので、しっかり内容を見極める必要があると思います。

 

ちょっとでも怪しいと思ったらそのメールの添付は開かない、URLはクリックしない

ことが大事ですね。

 

また、最近ではOCNを装った迷惑メールも増えているようです。

http://www.ocn.ne.jp/info/announce/2016/07/19_1.html

これもかなりそれっぽいメールのようですが(若干変な日本語ですが)、みなさんもお気を付けください。

 

標的型攻撃対策①(メール設定の見直し)

最近ニュース等にもよく取り上げられる流行り?の標的型攻撃。

今までのウィルスが「1対多」の攻撃だったのに対し、標的型攻撃は「1対1」への攻撃となるため

攻撃手段がその会社専用となることが多く

「ウイルス対策ソフト」や「ファイアウォール」などのシステムで一様に防ぎきれるわけではないというのがやっかいです。

(もちろんこういったものが効果がまったくないわけではないですが)

 

そのため、実際の対策として必要なのが

上記のようなシステムの「複合的」に利用することや、利用しているパソコン&ソフトの設定を見直し、

また、利用者への注意喚起、”継続的”な教育(怪しいメールを開くな等) などが必要になってきます。

 

ということで標的型攻撃対策って何からしたらよいの? ってことにはなりますが

まず最低限

①Windowsやソフトウェアのセキュリティ更新プログラムの適用

②ウィルス対策ソフトの定義ファイル更新

が必要でしょう。

 

また、標的型攻撃は、メールで攻撃を開始することが多いためメールソフトの設定の見直しも重要だと思います。

以下はうちの会社でも実際に実施してますが

具体的には

①プレビューの停止

※プレビュー=メールを開くのと同じ。

※Outlookだと以下のような起動オプションを使えば、必ずプレビューを停止できます。

“C:\Program Files\Microsoft Office\Office14\Outlook.exe” /nopreview

(全PCのショートカットを作り直すのは大変ですが、、、、)

②メールの形式をHTML→テキスト形式に変更

※HTMLメール内に悪意あるscript等が埋め込まれている可能性があるため

textmail

③exe、bat等 実行形式の添付ファイルはメールソフトで受信されないように設定

※MS のOutlookは初期でブロックされます。

※また「2重拡張子」(xxxxxxxx.pdf.exe)のようなウィルスも多いのでwindowsの設定で「拡張子を表示する」を有効にすることも大事です。

 

とりあえず今回は、すぐできそうな対策(主にメール)でいくつか書かせていただきましたが、次回以降でまた効果のありそうな対策を紹介していければと思います。

 

 

弊社サービス利用時の光コラボレーションモデルへの変更にはご注意を

弊社サービス「VPNソリューションパック」や「スマートフォンでVPN」等では、

お客様で通信できないなどのネットワークのトラブルが発生した場合、

VPNルータにリモートアクセスしてトラブルの原因を切り分けていきます。

ルータにリモートで入れない等、
プロバイダ/フレッツに原因がありそうであれば、お客様に代わって弊社からプロバイダ/フレッツに故障の問い合わせを行い、

実際故障が発生していれば、修理の手配等行います。
 

※サポートの詳細は↓

http://anw.jp/anw_spport.html
 

で、それを踏まえ、先日とあるお客様からトラブルの連絡があったので、いつも通り切り分けを行い

フレッツ部分が怪しそうだったので、フレッツの故障センターに問い合わせをしたのですが、

サポートセンターの人から

「ご利用の回線は、光コラボレーションモデルに変更になっている可能性があるので、こちらでは回線状況をお調べできません」

との回答。。。。

 

※「光コラボレーションモデル」は、
NTT西日本/NTT東日本が提供する光アクセス回線の卸提供を受け、
光コラボレーションモデル事業者が
お客様に提供する光ブロードバンドサービスです。

 

当たり前(?)ですが、光コラボレーションモデルに変更すると、アクセス回線のお客様の契約先はNTT東日本/西日本ではなく

光コラボレーション事業者に変更となるので

故障の受け付けも、NTT東日本/西日本ではなく、光コラボレーション事業者へ連絡になるんです。

 

 

じゃあNTT東日本/西日本じゃなく、光コラボレーション事業者に連絡すればいいじゃんって話ですが

光コラボレーション事業者によっては、

故障の申告/受付は契約者からのみ受付となる(第3者はNG) こともある(どちらかと言えばこっちのほうが多い??)

ため、注意が必要です。

 

 

ちなみに今回のケースの場合、光コラボレーション事業者が、契約者からのみの故障の受付だったため

弊社からはアクセス回線の状況が確認できず、

そのことをお客様にご説明し、お客様から直接光コラボレーション事業者へ連絡してもらうことになりました・・・・

 

 

このように、
弊社による保守サポートが、一部受けられなくなってしまいますので、
弊社サービスをご利用のお客様は、
「光コラボレーションモデル」への転用にはご注意ください。
ご検討される場合は、まず、弊社までご一報くださいますようお願いいたします。

Windows10アップグレード開始後のキャンセル方法

マイクロソフトのサポートが5月21日付で「Windows10」へのアップグレードが開始された後にキャンセルする手順の動画を公開していたようです。

https://mix.office.com/watch/ikvhtn5xb7mu

(パソコン1台しかない人で、そのパソコンが10に上がってしまった場合はどうやってこの動画を見たらよいか とかの突っ込みはあるかもしれませんが・・・)

そもそも(ほぼ)勝手に上がってしまう現状がどうかと思いますが

この動画が、もう少し早く公開されていればこんな大事にもならなかった気がします。

 

 

 

【参考】Windows10へのアップグレードの案内を出さなくする方法

http://aka.ms/w10hus

 

 

 

Windows10をWindows 7に 戻した際のトラブル

今週に入ってまたWindows10へのアップデートの仕様が変わって

今度はWindows 10への自動アップグレードスケジュール通知がWindows Updateと一体化したようです。。。。

 

【参考】GIGAZINE Windows 10への自動アップグレードスケジュールの通知がさらに凶悪化してWindows Updateと一体化、キャンセル方法はコレ

http://gigazine.net/news/20160517-windows-10-auto-upgrade/

 

そのため、弊社にも「Windows10へ上がってしまった!」 という問い合わせが殺到してます、、、、

スケジュールされてしまった場合のキャンセル方法は上記のURLにも書いてありますが

前回このブログでも紹介した、キャンセル方法/アップグレードを制止する方法は、今回も今のところ有効なようです。

【前回のブログ】

Windows10への強制?アップグレード

【参考】マイクロソフトコミュニティ
Windows 10 アップグレードをキャンセルする方法
http://answers.microsoft.com/ja-jp/windows/forum/windows_10-windows_install/windows-10/cba95a0f-8ff1-48a8-97d4-d7cda99ffff6?auth=1

 

もしWindows10に上がってしまったよ!という場合は、一応救済策として、30日以内であればwindows7、8.1に戻せますが

http://windows.microsoft.com/ja-jp/windows-10/going-back-to-windows-7-or-windows-81

  • システムファイルのクリーンアップを実施。
  • Windows10へアップグレード後、新規にユーザーアカウントを作成した。
  • Cドライブの残り容量が少ない。

 

などの場合、戻せなくなるので要注意です。

 

また、たとえWindows7に戻せたとしても、いろいろ不具合があるようで、

昨日までに弊社に問い合わせがあったお客様でも実際あった現象ですが

①Windows7に戻した後、インターネットがつながらない。(なぜか拠点間のVPN通信はできる)

②Windows7に戻した後、IMEが消えた

 

などの事象が発生しました、、、

 

①については

コマンドプロンプトを管理者権限で起動し

netsh winsock reset

を実行で解決

(Windows上で利用されているスタックしてしまったTCP/IPの接続をリセットするコマンド)

http://answers.microsoft.com/ja-jp/windows/forum/windows_7-networking/%E3%83%8D%E3%83%83%E3%83%88%E6%8E%A5%E7%B6%9A/4aea631a-1add-432a-9975-5d58003a6736?auth=1

 

②については

ファイル名を指定して実行 もしくは プログラムとファイルの検索から

ctfmon.exe

を開くことで解決

http://answers.microsoft.com/ja-jp/windows/forum/windows_7-ime/windows10%E3%81%8B%E3%82%897%E3%81%AB%E6%88%BB/dba29cc7-0435-41d3-abb2-e049c203af42

 

しています。。。。

 

たぶん、これ以外にもwindows7に戻すことでいろいろトラブルあるんでしょうね、、、

この機能を使っても「ちゃんと」windows7に戻るとは思わないほうが良いのかも、、、、、、

 

この、「Windows10へ上げさせたいMicrosoft」と、「windows10へあげたくないユーザ」の鬩ぎあいはいつまで続くのでしょうか、、、、

 

 

 

IE11利用時のメッセージ(ホームページと検索設定の選択)

Windows10への自動アップグレードでばたばたしている中
今度は、IEでもちょっと面倒なことになってます。

今日普通にIEを立ち上げたら、以下のような画面が表示されるようになったようです。
 
ie11setting
ホームページと検索設定の選択という画面ですが
勝手にIEのTOPページを変えられないように設定のことだとは思いますが
勝手に変えられそうなときに、警告してくれるのはありがたいんですが、普通に立ち上げただけなので
でるのがいやらしい。
 
しかも、デフォルトのTOPページが、MSNで、検索ページがBingなのもいやらしい・・・
 
このメッセージが出るPCと出ないPCがあるようですが、その違いは不明。
出たとしても、一回完了すればもう出てこないようですが(また明日になったら出るとかないですよね?)
 
マイクロソフトはなんでこのタイミングで、IEの仕様変更しちゃうかなぁ・・・

月例Windowsアップデート時の速度の影響改善?(4/13)

前回、月例のWindowsアップデートの影響で、インターネットがつながりにくい、遅くなる

状況が改善されたかも?といった内容を書かせてもらいましたが

 

本日(4/13 )も月例のWindowsアップデートの日だったので、前回同様に確認をしてみました。

 

※調査方法は前回同様となってます。

 

■結果: 測定開始の0:00~、どの終端装置も7~10ms 程度で安定で、速度が低下する様子は見られなかった。

 

前回(3/9)は、装置によっては多少影響が出た時間がありましたが、今回は本当にWindowsアップデートの日だっけ?

というくらい影響が出ませんでした。
 

前回も書いた通りフレッツの設備増強の影響も大きいと思いますが、今回の月例のアップデートの量がやや少なめ?

だったのが要因かもしれません。

※今回のアップデートの容量は、Windows7のOfficeありで 500MB、 Offceなしで130MB 程度。

容量が多い月は、1GBを超えていたはず。。。
 
 

というわけで

もうほとんど大丈夫な気がしますが

たぶん来月も心配なんで測定することになると思います、、、、、