日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
Microsoft 生産性向上アプリの攻撃対象領域削減ルール
リモートワークの増加と複数の従業員デバイスの使用の増加により、企業の攻撃対象領域が拡大し続けています。 攻撃対象領域の削減 (ASR) を使用すると、組織は悪意のある攻撃者がこれら 2 つの変数によって生じる脆弱性や弱点を悪用するのを防ぐことができます。
攻撃対象領域を減らすために、さまざまな製品やプラットフォームが利用可能です。 エンドポイントの保護と管理を特に検討している組織は、Microsoft Defender for Endpoint を検討できます。 セキュリティ専門家がこの Microsoft プラットフォームとその機能を理解できるように、著者の Paul Huijbregts、Joe Anich、Justen Graves が Microsoft Defender for Endpoint in Depth を執筆しました。
この本では、Microsoft Office や Outlook などの一般的な生産性アプリケーションで ASR に対処する方法について詳しく説明しています。 次の第 3 章の抜粋では、Microsoft Defender for Endpoint ASR ルールを使用して、生産性向上アプリによる実行可能コンテンツや子プロセスの作成などの特定のアクションの実行をブロックする方法について説明しています。
詳細については、第 3 章の PDF をダウンロードしてください。 また、Huijbregts 氏、Anich 氏、Graves 氏へのインタビューもぜひお読みください。セキュリティ体制管理のための Microsoft Defender for Endpoint の使用について説明しています。
これらのルールは、生産性アプリケーションを悪用しようとする動作や攻撃をブロックするために使用されます。
Office プロセスの脆弱性の悪用、または Office アプリケーションの機能の悪用を伴う攻撃では、一般的な一連の段階の 1 つは、影響を受けるデバイス上で悪意のあるファイルをドロップして実行することです。 ここで、攻撃者はデバイスへの侵入に成功し、この時点から任意の数の悪意のあるアクティビティを実行できるようになります。
このルールにより、Office アプリケーション、Word、Excel、PowerPoint、OneNote が実行可能コンテンツをディスク上にドロップすることが防止されます。 そうすることで、このルールは、攻撃者がマシンにアクセスして足場を得ようとする重要な段階で攻撃をブロックすることを目的としています。
Windows 実行可能ファイル、つまり、Portable Executable (PE) ファイルの場合、ルールは信頼できないファイルや署名されていないファイルのディスクへの書き込みのみをブロックします。 これにより、意図された使用例の一部がブロックされるのを防ぎます。 ただし、スクリプト ファイルは信頼性や友好度のステータスを検証せずに完全にブロックされます。
いくつかの人気のあるアプリケーションは、バックエンド除外またはグローバル除外を使用してすでにルールから除外されています。 ただし、これらの除外を悪用する可能性のある攻撃からユーザーを保護するために、Microsoft は除外されたアプリケーション/プロセスのリストの公開を意図的に控えています。 グローバル除外をデプロイしても、ルールによってブロックされたファーストパーティの内部またはサードパーティの LOB アプリケーションに対してローカル除外をデプロイする必要がある場合があります。
前述したように、Office アプリケーション (Word、Excel、PowerPoint、OneNote、Access) を侵入経路として使用する攻撃者は、影響を受けるデバイスまたは Office プロセスに悪意のあるファイルをダウンロードして実行しようとすることがよくあります。システム プロセス、管理ツール、または無害なサードパーティ プロセスを実行して感染を深化または拡大するために使用されます。たとえば、コマンド プロンプトや PowerShell を起動して重要なセキュリティ制御を無効にしたり、レジストリに変更を加えたりします。
したがって、このルールは別の重要な制御を提供します。つまり、すべての Office アプリケーションが子プロセスを起動するのをブロックします。 信頼できるファイル、フレンドリーなファイル、システム ファイル、管理ツール、または無害なサードパーティ アプリケーションの実行は許可されません。
正規のクリーンなプロセス (ほとんどの場合、署名済みプロセス) にコードを挿入することは、よく知られた検出回避手法です。 オフィス プロセスもこの手法の影響を受けないわけではありません。 ただし、Microsoft の研究者は、Office プロセスが他の実行中のプロセスにコードを挿入する正当な理由がないことを理解しています。 このルールは、Word、Excel、および PowerPoint Office アプリケーションに関連するプロセスによるコード インジェクション アクティビティの実行をブロックします。
他の生産性アプリ ルールと同様に、このルールも ASR の除外をサポートします。
Office VBA マクロは、Office ユーザーの間で非常に人気のある機能です。 ただし、Office は VBA マクロ コード内からの Win32 API の呼び出しをサポートしていますが、ほとんどの組織ではその機能をそれほど頻繁に使用していません。 一方で、攻撃者はこれを使用して、悪意のあるシェル コードのファイルレス実行など、さまざまな悪意のあるアクティビティを実行することができるため、検出が非常に困難になります。 このルールは、Win32 API 呼び出しを含むマクロ コードの実行をブロックします。
このルールは除外をサポートしています。 そのため、Win32 API 呼び出しを行うためにマクロが必要な組織は、特定の Office ファイルを除外し、残りをブロックし続けることができます。
Office アプリケーションと同様に、攻撃者はさまざまな手法を使用して Adobe Reader プロセスを使用して攻撃を実行する可能性もあります。 このような攻撃では、Adobe Reader プロセスが追加のペイロードや管理ツールを起動することがよくあります。 このルールは、Adobe Reader による子プロセスの起動をブロックすることで、このような攻撃をブロックします。
Office ルールと同様に、いくつかの人気のあるアプリケーションは、グローバル除外を使用してルールからすでに除外されています。 いつものように、クライアント上で除外を展開することもできます。
これら 2 つのルールは、メール クライアントが実行可能コンテンツを作成および起動することに重点を置いています。これは、フィッシングまたはスピアフィッシング キャンペーンで送信される悪意のあるドキュメントで非常に一般的です。
スクリプトの難読化 (たとえば、JavaScript/VBScript/PowerShell (PS)/マクロ コードを含む) は、スクリプト作成者の間で慣例的に行われています。 場合によっては知的財産が含まれる可能性があるため、機密情報を保護するためにコンテンツを不明瞭にする方法を提供します。 ただし、マルウェア作成者はこの機能を悪用して、悪意のあるスクリプトの読み取り、分析、検出を困難にします。
このルールは、難読化を示すプロパティを検索し、識別されたプロパティに基づいて機械学習 (ML) モデルを使用して、スクリプトを分類して連続的にブロックします。
このルールでは ML モデルが使用されるため、このルールには常にある程度の FP が関連付けられます。 生産性向上アプリ ルールなどの FP による悪影響を軽減するために、このルールは除外もサポートしています。
悪意のあるスクリプトやバイナリをダウンロードし、それらを使用して攻撃の段階で悪意のあるアクティビティを実行することは、非常に広く行われています。 名前が示すように、このルールの目的は、JavaScript および VBScript スクリプトがダウンロードされた悪意のあるコンテンツを起動するのをブロックすることです。 ルールを有効にすると、保護されたデバイス上でのそのようなスクリプトの実行がブロックされます。
ただし、いくつかの本物のシナリオでは、ホストされているコンテンツをダウンロードして実行できるようにするためにスクリプトが必要です。 そのため、このルールは ASR の除外もサポートしています。
これらのルールは、通信アプリケーションが最初の攻撃ベクトルとして悪用される可能性を減らすことを目的としています。
電子メールを媒介とする攻撃では、ある種の悪意のある実行可能ファイルが電子メールの添付ファイルの形式で影響を受けるデバイスに配信されることがよく見られます。 したがって、このルールは、電子メールで配信されるすべての実行可能ファイル (.exe、.dll、.scr など) と一般的なスクリプト ファイル (.ps1、.vbs、.js など) をブロックするために作成されました。 このような電子メールが開かれ、実行可能ファイルまたはスクリプト ファイルにアクセスすると、ルールによって問題のファイルが検査され、ブロックされます。
このルールは、Outlook クライアント アプリケーションだけでなく、Outlook.com やその他の一般的な Web メール プロバイダーでも機能します。
一般に、ほとんどの組織は、実行可能ファイルやスクリプト ファイルを電子メールで共有することを承認していません。 ただし、アクティビティが観察され、連続的に許可されるか、単に無視されるユーザーまたはデバイスの一部が常に存在します。 電子メールでのこのような共有を許可することは決して推奨されません。 ただし、少なくとも少数のデバイスに対してこれを許可する必要がある場合、このルールは ASR の除外もサポートします。
前述したように、電子メールは長い間、入口ベクトルとして使用されてきました。 電子メールを使用して配信される実行可能ファイルをブロックすることは、シナリオの 1 つにすぎません。 その他の一般的なシナリオには、Outlook アプリの脆弱性の悪用や抜け穴の悪用などがあります。 このような場合、通常、攻撃キル チェーンには、影響を受けるデバイス上でいくつかのプロセスを起動する Outlook アプリが含まれます。 ほとんどの場合、これらは管理ツールであり、デバイスのセキュリティ体制を低下させ、攻撃に必要な追加の悪意のあるバイナリやツールをダウンロードするために悪用される可能性があります。
このルールは、Outlook アプリによって作成されたすべての子プロセスをブロックすることで、このような攻撃から保護します。
「生産性向上アプリ ルール」セクションの Office 関連ルールと同様に、いくつかの人気のあるアプリケーションがグローバル除外を使用してルールからすでに除外されていることに注意してください。 このルールは ASR の除外もサポートしています。 ユーザーは、このルールによってブロックされた内部アプリまたは LOB アプリをいつでも除外できます。