Windows端末のハードニング(堅牢化)- 攻撃者の攻撃機会を制限する

Introduction

こんにちは、サイバーセキュリティ推進部の遠藤です。CSIRTの一員として、セキュリティモニタリング、インシデント対応や社内における各種セキュリティに関する問い合わせ対応などを日常業務として行い、コインチェックがより一層セキュアな環境になる事を目指し日々業務に従事しています。

今回のブログでは、Windows端末の堅牢化に向けてサイバーセキュリティ推進部で実施したWindows端末の設定精査についての活動をご紹介させていただきます。

f:id:peacefulworlds:20220405111336p:plain

Why did we do that?

ご存知のとおり昨今、国家を後ろ盾とした標的型攻撃、ランサムウェアやEmotetといったマルウェアによる侵害などサイバー攻撃は年々活発になり、またその攻撃手法は日々巧妙化しています。
コインチェックでは、さらなるセキュリィ強化に向けて端末のハードニング(堅牢化)を実施しています。

コインチェックでは、これまでもいくつかのEDRやネットワークセキュリティ製品の導入などによってセキュリティ強化してきました。これらセキュリティ対策は発生している現在進行形の攻撃への検知・防御です。そして、端末のハードニング(堅牢化)は、事前に端末における不要な機能や権限の制限等を行うことによって、そもそもの攻撃者によるサイバー攻撃の機会を制限するものです。

具体的な例としてはマクロやPowerShellの実行を制限することによってユーザーによる悪意のあるファイルの実行を防いだり、不要なリモート機能を無効にすることによって攻撃者による遠隔からのコマンド実行を防御したりする事ができます。つまり、攻撃者の侵入機会を減らし、そして次に侵入後の攻撃者の攻撃における選択肢を減らすことが重要であると考えています。


How did we do that?

Windows端末の設定精査にあたり、「Microsoft Endpoint Manager Admin Center」を使用しました。「Microsoft Endpoint Manager Admin Center」とは、Microsoft IntuneとConfiguration Managerを組み合わせ、エンドポイントセキュリティやデバイス管理などを1つの管理プラットフォームに統合したものです。
詳細はマイクロソフトのページから確認できます。Microsoft.comに移動


さっそくですが、今回「Microsoft Endpoint Manager Admin Center」を用いて、Windows端末の設定精査を行なった方法や手順についてご紹介させていただきます。

下記のスクリーンショットをご覧ください。

f:id:peacefulworlds:20220405113004p:plain

「Microsoft Endpoint Manager Admin Center」にアクセスし「ホーム」→「デバイス」→「構成プロファイル」→「プロファイルの作成」(プラットフォーム:該当するWindows OSとプロファイルの種類:設定カタログを選び)と進み、作成ボタンをクリックします。次の画面でプロファイルの名前を入力、次へをクリックし、「設定の追加」をクリックすると上記の画面が表示されます。

次に下記スクリーンショットをご覧ください。

f:id:peacefulworlds:20220405113322p:plain

設定カテゴリの1つであるDefenderの設定の例ですが、全61項目あることがわかります。それぞれの項目の詳細については詳細情報のリンクからMicrosoftのページにアクセスし確認できます。

地道な作業になりますが、項目を1つずつ確認してWindows端末の設定を精査していきました。

f:id:peacefulworlds:20220405113839p:plain

PUA保護の設定

上記はDefenderカテゴリの設定項目の1つであるPUA保護の例です。設定は、大まかに述べますと「有効」「無効」「監査モード」の3つから1つを選択するか、または右側のPUA保護にチェックを入れないと「何も設定しない(未構成)」となります。


それぞれの設定カテゴリとその項目は多岐多数にわたり、設定の精査は非常に地道な作業ですが、「Microsoft Endpoint Manager Admin Center」上で設定プロファイルを作成し、作成したプロファイルをエンドポイント(端末)へ適用できますので非常に便利な機能です。

設定内容の精査においては、Microsoftの詳細情報だけでは、内容を理解する為の情報が不十分と感じたところもあったため、CIS Benchmarksの設定ガイド(※)を同時に確認しました。こちらのガイドは無料で配布されています。その内容については「Mcirosoft Endpoint Manager Admin Center」上の設定項目を概ね網羅しており、各設定の推奨設定、設定詳細、設定の合理性、インパクト、デフォルト設定などの情報を確認することができます。ただ、CIS Benchmarksの設定ガイドについては、英文であることもあり一つ一つの項目を精読することはとても骨の折れる作業でした。
その他、パスワードポリシーについては、NIST(National Institute of Standards and Technology)のガイドライン(NIST SP800-63)も参考にしました。
※CIS(Center for Internet Security)CIS Benchmarks


設定カテゴリーと設定内容の例:

  • Defender
    • PUA 保護
    • ネットワーク ファイルのスキャンを許可する
    • 難読化された可能性のあるスクリプトの実行を防止する
  • ファイアウォール
    • Inbound/Outbound通信の設定
  • ブラウザ全般
    • パスワードをローカルに保存させない
  • ユーザー権限
    • 侵入した攻撃者が過大な権限を持たないように各種権限を制限
  • 監査
    • 取得する監査ログの設定
  • Windows PowerShell
    • PowerShell のScript Blockをイベントログに残すかの設定
  • DMA ガード
    • 特定のメモリ範囲が周辺機器に割り当てられた時に、割り当てられた範囲外のメモリに対する読み取りや書き込みが試みられるとブロックする
  • リモートデスクトップサービス
    • RDPが使われた時に、パスワードをローカルに残さない
  • エクスプローラー
    • リモートパスにおけるショートカットアイコンを使用させない
  • ローカルポリシーセキュリティオプション
    • サード パーティ製の SMB サーバーへのパスワードを、暗号化しないで送信することを無効にする
  • Office 2016
    • マクロをデフォルトでオフにする
    • ActiveXを悪用した攻撃から守るための設定
  • Word 2016
    • ブロックされたファイルは開かないようにする
  • IE
    • SmartScreenフィルターによる警告のバイパスを防ぐ
    • Internet Explorer のクラッシュ検出
  • Edge
    •  悪意のあるコードの読み込みを防ぐ
    • ポップアップ広告のあるサイトをブロック

※設定項目についてはWindows OSまわりの設定だけではなく、Word, ExcelといったOffice関連やIE、Edgeのブラウザについての設定も可能

Final Words

「Microsoft Endpoint Manager Admin Center」を用いてWindows端末の管理している企業のセキュリティ担当者の方は、「Microsoft Endpoint Manager Admin Center」の機能を使って、Windows端末の設定精査を実施し、端末のハードニング(堅牢化)をされることをお薦めします。
どんなに多くのセキュリティ対策を行なったとしても攻撃を受ける場合もあり得ますが、1つ1つ地道にセキュリティ対策を実施することによって、サイバー攻撃の芽を摘む事ができる、また、たとえ攻撃を受けた場合でもその被害を最小限に留める事ができると考え、我々サイバーセキュリティ推進部は日々の業務に取り組んでいます。そして、今回Windows端末の設定精査によるハードニング(堅牢化)の活動については日々我々が実施している業務の一部としてご紹介させていただきました。

こんな会社に興味のある方々、サイバーセキュリティの募集ポジションがありますので応募をお待ちしております!