ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続くWindows OS。
2020年3月には、ファイルのプレビュー機能に関する「重大度:緊急」の新たな脆弱性が発見されました。既に標的型攻撃も確認されていることから、Windowsを使う全ての人や企業が注意を払う必要性がある脆弱性といえるでしょう。
本記事では、その概要と考え得る回避策についてご紹介します。
ページコンテンツ
Windowsで発覚した脆弱性とは?
今回見つかった脆弱性では、複数の機能とバージョンが対象となっています。
まずは、その概要から押さえていきましょう。
発覚した2つの脆弱性
2件の脆弱性は、「Adobe Type Manager Library」に存在しており、「Type 1 PostScript」を処理する際の問題で発生します。
この脆弱性ではリモートコードを実行される恐れがあり、任意のドキュメントをユーザーに開かせるか、またはプレビューウィンドウで表示させることで悪用が可能です。
Microsoftは、この脆弱性を突いた標的型攻撃(ゼロデイ攻撃)が既に実施されていることを公表しています。これにより、ユーザーのみならずサイバー攻撃者も、脆弱性の存在を広く認識していることを心得る必要があります。
「プレビュー表示」するだけでも危険
この脆弱性の特徴の1つとして、「プレビュー表示」を行うだけでも危険を伴うということが挙げられます。
悪意をもって細工されたドキュメントをユーザーが開かなくても、プレビューウィンドウで文書が表示されるだけで、攻撃者は任意のコードを実行できてしまうことが指摘されており、注意が必要です。
対象となるOSのバージョン
この脆弱性の対象は「Windows 10」に加えて、2020年1月にサポートを終了した「Windows 7」なども含まれます。そして当然ながら、サポート終了後のバージョンについては更新プログラムが配布されないため、利用中のユーザーには早急の対応が求められることになります。
なお、Windows 10については、万一攻撃が成功しても、サンドボックス内での限定された権限によるコード実行にとどまるといわれています。しかし、例え攻撃が広範囲に及ばないとしても、想定外のリスクを抱えていることには変わりないでしょう。
どうすれば回避できる?
多くのユーザーが利用する「Windowsエクスプローラ」に関する脆弱性は、多くのユーザーを脅威にさらしています。そこで確認したいのが、具体的な回避策です。
いまから実行できる「回避策」
実施すべき回避策の一つが「エクスプローラのプレビューウィンドウを無効化する」というもの。
そして、もう一つの回避策が「Web Clientサービスを無効にする(*1)」というもの。
セキュリティパッチが適用されるまでの一時的な対策となりますが、この回避策を行うことで悪意のあるリモート攻撃を防ぐことができるとMicrosoftのセキュリティアドバイザリによって明らかにされています。
セキュリティパッチはいつリリースされる?
もう一つ気になるのが、脆弱性のあるプログラムを修正する「セキュリティパッチ」の配布時期。
現時点では、2020年4月の月例セキュリティ更新プログラムでリリースされると見られています。
しかし、本件の深刻度はMicrosoftが4段階評価で最も高い「緊急」に分類していることを考えると、ユーザーの一人ひとりに一日も早い回避策の実施が求められています。
日頃から脆弱性を突いたゼロデイ攻撃に備えるには?
今回ご紹介したような脆弱性は、さまざまなOS・アプリケーションで定期的に発見・修正されています。
まだ発覚していないだけで、自身が利用するOSやアプリケーションにも何らかの脆弱性が潜んでいる可能性は否めません。
ここで、企業のセキュリティ担当者にはどのような発想が求められるのでしょうか。
一つは、脅威の原因に対して個別に対応策を講じることです。自社が利用するサービスの脆弱性・アップデート情報を常日頃から収集して定期的な更新をおこなったり、今回のような脆弱性が発覚した際に一時的な回避策を実施したり、社員への注意喚起をおこなうことが大切です。
もう一つは、万が一に侵入された場合の対策を講じておくことです。
現状、いくらOS・アプリケーションの更新をおこなって備えていたとしても、未知の脆弱性を狙ったゼロデイ攻撃の脅威を完全には拭い去れません。主流となっている検知型セキュリティ製品(過去に報告されたマルウェアデータを参照し、マルウェアを検知する製品)も、未知の脅威は防ぐことができないからです。
そこでおすすめするのが、OSプロテクト型のセキュリティです。
OSプロテクト型とは、OSやレジストリといったコンピュータの中枢部に対して、本来想定されていない動作をすべてブロックする、といった発想の防御方法です。
OSプロテクト型であれば、従来の検知型で検出できなかったマルウェアによる攻撃にも備え、企業の大切なデータを守ることができます。
大興電子通信が提供する「AppGuard」は、このOSプロテクト型セキュリティに当たります。
予期せぬサイバー攻撃に対しても『OSの正常な動作を守ることによって、デバイスを脅威から守る』という役目を果たすことができ、今回の脆弱性にも有効です。OSに対する不正なプロセスを遮断するため、悪意のある攻撃に対しても「悪さをさせない」といった最終防壁としての役割を果たします。
OSプロテクト型セキュリティ「AppGuardについては、こちらで詳細をご覧いただけます。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
(*1) 参考リンク:https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV200006