制御システムのセキュリティリスク軽減対策~EMET のご紹介~

Similar documents
ログを活用したActive Directoryに対する攻撃の検知と対策

KSforWindowsServerのご紹介

制御システムセキュリティアセスメントサービス

マルウェアレポート 2018年1月度版

SOC Report

Windows 10 推奨アップグレードについて

事前準備マニュアル

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

<4D F736F F D208E96914F8F8094F5837D836A B2E646F63>

マルウェアレポート 2017年9月度版

Javaセキュアコーディングセミナー東京 第2回 数値データの取扱いと入力値の検証 演習解説

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

マルウェアレポート 2018年2月度版

スライド 1

WSUS Quick Package

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

提案書

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

2016 年 4 月 4 日 Parallels Mac Management version 4.5 リリースで Microsoft System Center Configuration Manager 上での Mac 管理がさらに簡易で使いやすく クロスプラットフォームソリューションにおけるリ

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

SCTM12.0_Product Release Notice_V1

建築業務管理システム 補足マニュアル Internet Explorer11 設定ガイド (Windows10 用 )

マルウェアレポート 2017年10月度版

在宅せりシステム導入マニュアル

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

ログイン時の ID パスワードは マイページ と同一です インストール前の状態の場合 ログイン後に表示されるページの ライセンス一覧 に該当製品シリアルの表示はされません インストール完了後 ライセンス管理ページご利用シリアルの一覧が表示されます 以上でライセンス管理ページの作成は完了です なお セ

Microsoft Edge の場合 (1) Mizdori 無料体験版ダウンロード画面の [ 体験版ダウンロード ] ボタンをクリックします (2) Edge の下部に mizdori_taiken_setup.zip について行う操作を選んでください と表示され ますので [ 開く ] をクリッ

Qlik Sense のシステム要件

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

Microsoft Word - (修正)Internet Explorer 8 9設定手順 受注者.DOC

AVRの起動手順と動作確認情報

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

HP Elite x3活用事例紹介

IBM Internet Security Systems NTFS ファイルシステム必須 一覧の 以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたします メモリ 最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

SilverlightR について PRONEXUS WORKS は OS と Web ブラウザに従来どおりマイクロソフト社の Windows シリ ーズと InternetExplorer シリーズを採用すると共に 新たにマイクロソフト社のプラグインソフトである SilverlightR を利用い

事前準備マニュアル

マルウェアレポート 2018年4月度版

UAC UAC Widows 7 OK Windows8.1/10-9

Windows 10 移行ガイド

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

スライド 1

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

Microsoft Word - IE11 設定手順書 受注者 win 7.doc

Hitachi Compute Adapter -Hitachi Compute Plug-in for VMware vCenter- サポートマトリックス

CTX-6114AI Citrix Access Suite 4

サイボウズ リモートサービス ユーザーマニュアル

ESET NOD32 アンチウイルス 6 リリースノート

マルウェアレポート 2018年3月度版

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

Oracle Policy Automation 10.0システム要件

スライド 1

Silk Central Connect 15.5 リリースノート

proventia_site_protector_sp8_sysreq

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

製品概要

McAfee Data Loss Prevention Endpoint 10.0 リリース ノート McAfee ePolicy Orchestrator 用

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

1. はじめに (1) 本書は 厚生年金基金ネットサービス を既にご利用されている基金様に向けて ウェブブラウザを Internet Explorer( 以下 IE)11 にアップグレードする手順をご案内するものです (2) 項目 2 から 5 までの全手順を実施願います ( 所要時間 : 約 30

ESET Smart Security モニター版 リリースノート

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

Microsoft Word - Circular-Memory-Leak_Mitigation

ポップアップブロックの設定

Microsoft Word - Per-Site_ActiveX_Controls

Microsoft Word - 推奨環境.doc

— intra-martで運用する場合のセキュリティの考え方    

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

(Microsoft Word - Avira\216j\217\343\215\305\221\254\202\314\214\237\217o\203G\203\223\203W\203\223\202\360\223\213\215\332\201I\201uAvira Free Antivi

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

[給与]給与奉行LANPACK for WindowsNTのサーバーセットアップのエラー

2019 年 6 月 20 日 2019 年 6 月現在対応クライアント環境について各バージョンごとの設定手順 2019 年 6 月現在の電子入札に参加するために必要なパソコンのソフトウェア推奨 環境です ご利用にあたっては以下をご参照ください 動作保証環境 (1)OS ブラウザのバージョン対応表

Windows Server 2003 Active Directory環境で実現するNAP

特定健診ソフト クイックインストールマニュアル

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

1 はじめに 前準備 MICROSOFT 製品のプログラムを最新の状態にする NET FRAMEWORK 4.0 ( と日本語 LANGUAGE PACK) のインストール NET FRAMEWORK 4.0 のインストール... 4

UCCX ソリューションの ECDSA 証明書について

鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル IC カードを利用しない応札者向け 第 1.7 版 平成 31 年 2 月鳥取県物品契約課 鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル Ver.01-07

MSCD Slide Template

SeP リリースノート Ver.3.7 まとめ バージョン追加 改良点製品名詳細 (2019/6/6) アプリケーション 対応 ベーシック evolution /SV ベーシック +AD evolution /SV 各オプション Google Chrome 75 安定版 (75.0

1.indd

使える! IBM Systems Director Navigator for i の新機能

BACREX-R クライアント利用者用ドキュメント

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

項番 現象 原因 対応手順書など 4 代理店コードでのダウンロード時に以下のメッセージの画面が表示される サービス時間外のため 現在 このサービスはご利用になれません 当機能のサービス時間外です 以下の時間帯にダウンロードしてください 月曜日 ~ 金曜日 7:00~21:00 土曜日 7:00~17

Flash Player ローカル設定マネージャー

3. クラスリンク ( 先生の IP アドレス >:< ポート >) を生徒と共有して生徒がブラウザーから接続できるようにします デフォルトのポート番号は 90 ですが これは [Vision 設定 ] から変更できます Netop Vision Student アプリケーションを使

SQLインジェクション・ワームに関する現状と推奨する対策案

PowerPoint プレゼンテーション

intra-mart EX申請システム version.5.3 PDFオプション リリースノート

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

PowerPoint プレゼンテーション

2Mac OS OS Safari プラグインソフト 3.X Mac OS X 5.X Mac OS X 5.X Mac OS X Adobe Reader ( 入出金明細照会結果を印刷する場合 / ローン 外貨サービスを利用する場合 ) Adobe Fla

特定機能を使用するための追加要件 : インターネットアクセス 解像度によっては ビデオ再生に追加メモリと高度なグラフィックスハードウェアが必要です BitLocker にはトラステッドプラットフォームモジュール (TPM) 1.2 が必要です BitLocker To Go には USB フラッシュ

1 目次 本書の構成 2 体験版申請用総合ソフトの機能 3 申請用総合ソフトとの相違点 体験版申請用総合ソフト ver.3.0 は, 本番用の申請用総合ソフト (3.0A) の機能に擬似データを加えたものです

ポップアップブロックの設定

2. 菩提樹の動作に必要な各種ソフトウェア フル パッケージに含まれるソフトウェアの入手先です サイトの情報は変更されている場合がありますので 記載内容は参考にとどめてください SQL Sever 2008R2 Express Edition のダウンロード

ESET Smart Security Premium v リリースノート

Transcription:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2011.02.28 18:43:29 +09'00' 制御システムの セキュリティ リスク軽減対策 EMET のご紹介 日本マイクロソフト株式会社 田村 紀恵 2011/2/10

現実化した脅威への対策 課題 制御システム防御のための実践的なセキュリティ対策が必要 制御システムを狙ったマルウェア Stuxnet セキュリティ更新の適用は容易ではない ネットワーク境界での防御だけでは不完全 最新の防御製品の導入は予算オーバー セキュアコーディングのための開発コストはかけられない 古いアプリケーションの対策手段がない

アジェンダ EMET とは? (+ デモ ) 各緩和技術の説明 事例紹介

Enhanced Mitigation Experience Toolkit EMET = 脆弱性緩和技術導入ツール 6 つのセキュリティ緩和技術 あらゆるアプリケーションに対応 基幹業務アプリケーション 他社アプリケーション 古いアプリケーション ソースコードが利用不可のアプリケーション プロセス単位で設定 更新プログラムインストール前の緩和策

EMET の緩和技術 緩和技術 Structured Exception Handler Overwrite Protection (SEHOP) Dynamic Data Execution Prevention (DEP) Heap Spray Allocation Null Page Allocation Mandatory Address Space Layout Randomization (ASLR) Export Address Table Filtering (EAF) 保護内容 Final Handler を置くことで バッファオーバーフロー発生時の例外処理 (SEH) の際の脆弱性を緩和 プロセスのメモリの一部を 実行不可能 とマークすることで メモリ上からシェルコードが実行されるのを防ぐ 幾つかのメモリを予め割り当てることで Heapspray の攻撃手法を緩和 ( 成功率を下げる ) *Heapspray: ASLR 回避などの目的で シェルコードのコピーを可能な限り多くのヒープ領域上に置くことで メモリの割り当てが動的に変化しても 最終的にコード実行の確率を上げる手法 メモリの Null ページを予め割り当てることで ユーザーモードにおける Null 逆参照のリスクを緩和 * 多層防御保護 OS ブート時に各モジュールがロードされるアドレスを予測不可能なようにランダム化する技術 *EMET ではすべてのモジュールに対しオプトインなしで ASLR を強制できる EAT の読み書きを制限することでシェルコードが Windows API のアドレスを取得するのをブロック 特定のバージョン以降の Windows OS で標準搭載されている緩和技術

デモ

EMET の各緩和技術

Structured Exception Handler Overwrite Protection EMET On Next Handler Function Stack Frames 0x0c0c0c0c Buffer 0x0c0c0c0c 0x0c0c0c0c 0x0c0c0c0c Next 0x0c0c0c0c Handler 0xffffffff Final Handler Stack

Dynamic Data Execution Prevention EMET On Read Write Code Execution Read Write Code Execution Read Write Code Execution Attacker Controlled Data Program

Mandatory Address Space Layout Randomization Boot 1 Boot 2 Boot 3 EMET On app.exe user32.dll kernel32.dll app.exe foo.dll ntdll.dll process address space user32.dll kernel32.dll app.exe foo.dll ntdll.dll user32.dll foo.dll ntdll.dll kernel32.dll EMET foo.dll Allocated EMET foo.dll Allocated EMET foo.dll Allocated

Heapspray Allocation EMET On Victim Process Attacker EMET Allocated Data Code

その他の緩和技術 Null Page Allocation Heapspray allocation に類似 メモリの最初のページ (Null page) を予め割り当てることで ユーザーモードにおける Null 逆参照のリスクを緩和 現時点ではこの攻撃手法は確立されておらず 多層防御の観点での緩和技術 Export Address Table Filtering (EAF) EAT にブレークポイントを置き読み書きを制限することで シェルコードが Windows API のアドレスを取得するのをブロック 実質的に 現在あるすべてのシェルコード技術に対し有効

EMET 導入事例

#1 サムヒューストン州立大学 環境 数百のサーバー / 数千のクライアントを強力な IT で中央管理 100 以上のアプリケーションを含む標準化デスクトップ環境 ソフトウェア展開などは SCCM セキュリティ更新は WSUS 生徒数約 18,000 人 / 教員数約 2,000 人 EMET 導入背景 更新は年 3 回 特定のアプリケーション経由で悪用 悪用により IT に作業負荷 ホストベースの IPS を検討したが 高価で管理コストも高い コストを抑え アプリケーションの安全を保つため EMET を導入 現在 リスクの高いアプリケーション ( ) を含むワークステーション 3,750 台に EMET を必須展開 Adobe Acrobat Mozilla Firefox Microsoft Internet Explorer Oracle Java Apple QuickTime および Real Network s Real Player システムパフォーマンスや使用感への影響はほとんど感じられない

#1 サムヒューストン州立大学 IPS EMET サーバー EMET 情報セキュリティ部門 EMET コンピューターラボ A EMET コンピューターラボ B コンピューターラボ C EMET コンピューターラボ D わかりやすくするため構成を簡略化しています

#2 米国大手エネルギー会社 EMET 導入背景 脅威に対するセキュリティ意識が高く 多層防御を推進 頻繁に使用するソフトウェア ( ブラウザ ドキュメントリーダー ブラウザープラグイン ランタイム等 ) で リンクをクリックしたことで乗っ取られる悪用が増加 外部要因により必ずしも最新のソフトウェアを使用できるわけではない 企業セキュリティの弱点となる ユーザー に頼らない対策を模索 悪用を防ぐひとつの手段として EMET を導入 現在 50 台のコンピューターに EMET を導入し初期テスト中 (1 月 12 日時点 ) 0 day に対してや パッチのない脆弱なバージョンの製品を使用している時でも安心 今後 数か月かけてテストを拡大 最終的に全コンピューター約 75,000 台に導入予定 展開は SCCM を利用 新規コンピューターは EMET 構成済み展開用ディスクイメージを使用

EMET の活用 多層防御の一環 既存のセキュリティ対策と併用 ビジネスリスクが高いアプリケーション 基幹業務アプリケーション 重役の Web ブラウザー 1 台はみんなのために リスク管理の観点

リソース EMET v2.0 ダウンロード : 無料 http://www.microsoft.com/downloads/en/details.aspx?fami lyid=c6f0a6ee-05ac-4eb6-acd0-362559fd2f04 EMET 紹介 Web キャスト http://technet.microsoft.com/ja-jp/security/gg443928 サポート技術情報 2458544 http://support.microsoft.com/kb/2458544/ja EMET のフィードバック switech@microsoft.com までお寄せください ( 英語 )

参考情報 - サムヒューストン州立大学 環境 大半が Windows ベースの数百のサーバーと数千のクライアントを強力な IT で中央管理 100 以上のアプリケーションを含む標準化されたデスクトップ環境 ソフトウェア展開 サードパーティ製品の更新は System Center Configuration Manager (SCCM) を利用 マイクロソフト製品のセキュリティ更新は Windows Server Update Services (WSUS) を利用 生徒数約 18,000 人 教員数約 2,000 人 導入背景 導入目的 サードパーティアプリケーションの更新は 年 3 回の休暇シーズンに実施していた インターネットから直接情報を取るアプリケーションもあり 悪用のリスクも高く 有事の際余分な作業負荷もかかる 現在あるネットワークベース IPS とホストベースのウイルス対策ソフトを補完するため ホストベースの IPS の導入を検討したが 高価かつ管理コストも高いため採用不可 コストを抑えつつ リスクの高いアプリケーション ( ) の安全を保つソリューションとして EMET を検討 導入 Adobe Acrobat Mozilla Firefox Microsoft Internet Explorer Oracle Java Apple QuickTime および Real Network s Real Player 展開 2010 年 12 月までに リスクの高いアプリケーションを含むワークステーション 3,750 台に EMET を展開 互換のためのトランスフォームファイルおよび設定ファイルをパッケージ化した MSI を SCCM で展開 展開詳細 1. 情報セキュリティ部門のクライアント数台に導入し数人で EMET の機能をテスト その後 高いトラブルシュート能力を持つ 10 人の IT スタッフ 30 人の IT サポートスタッフへと拡大 2. 数か月のテストを経て 使用頻度の高いコンピューターラボの 100 ノードのうち半数に展開 3. 1 ケ月のエンドユーザーテストを経て トラフィックの高いコンピューターラボの約 120 台のクライアントに展開 4. 特に問題もなかったため 2010 年 12 月 23 日に校内すべてのクライアントに必須ソフトウェアとして展開困難 フィードバック 1つのアプリケーションで互換性の問題があった 現バージョンの EMET では 設定変更したい場合中央管理する方法がなく MSI の再適用が必要となる Active Directory やグループポリシーと連携して容易に展開 管理できるとよい EMET の導入には 100% 肯定的 企業における脆弱性を軽減するのに非常に有効 システムのパフォーマンスや使用感への影響はほとんど感じられない コメント 設定するアプリケーションのすべての機能が問題なく動作するか 出来る限りの検証を EMET は ファイアウォールやウイルス対策製品などと同様で 多層防御のためのひとつの補助ツールと捉え 既存のセキュリティ対策と併用すると良い

参考情報 - 米国大手エネルギー会社 導入背景 企業として脅威に対するセキュリティ意識が高く 多層防御を推進 頻繁に使用するソフトウェア ( ブラウザ ドキュメントリーダー ブラウザープラグイン ランタイム等 ) でリンクをクリックしたことで乗っ取られる悪用が増加 外部要因により必ずしも最新のソフトウェアを使用できるわけではない 企業セキュリティの弱点となる ユーザーの判断 に依存しない対策を模索 悪用を防ぐためのひとつの手段として EMET を導入 0-day に対してや パッチのない脆弱なバージョンの製品を使用している時でも安心して実行できる 展開 現在 50 台のコンピューターに導入し初期テスト中 (2011 年 1 月 12 日時点 ) 数か月かけてテスト対象コンピューターを拡大 最終的には全てのコンピューター約 75,000 台に導入予定 EMET の展開は SCCM を利用し MSI と設定ファイルを配布 新規コンピューターについては EMET 構成済みの展開用ディスクイメージを使用 困難 すべて のプロセスに DEP を展開したかったが Office 2010 など一部のプロセスで互換がないものもあった 組織で新しいアプリケーションやプロセスが追加された際 それを検知して EMET を自動適用するための既存の方法は用意されていないため それを行うための専用ツールの開発が必要となった フィードバック ほとんどのプログラムは問題なく動作中 EMET の導入には 導入部員のある程度の作業負荷が必要となる EMET プリインストール版であるとか 容易な配布方法を検討してほしい IT にとって導入は少し負荷と捉えられる コメント 新たにインストールされたアプリケーションをどう保守するかを考える必要がある 周到なテストプランを立て IT サポートがトラブルシュートできる手段 ( ガイドライン ツール ) を用意しておくこと 一般ユーザーがトラブルシュートできるための方法 ( 電話サポート ガイドライン ツール ) も用意できると可

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック