村木 由梨香 日本マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー 脆弱性はセキュリティ アップデート待ち、はもう古い。Windows やインストールしているアプリケーションに脆弱性はあっても攻撃の被害に遭わない技術が大きく進歩しているのをご存知ですか。 最新の Windows 10 に実装されているセキュリティ アーキテクチャはどのように実現してるのか、実際に発生したゼロデイ攻撃を Windows 10 はどのように防いだのか解説します。 製品/テクノロジ: Windows/アーキテクチャ/エンタープライズ モビリティ/セキュリティ

2. @JSECTEAM
https://www.facebook.com/JSECTEAM
https://blogs.technet.microsoft.com/jpsecurity/
https://blogs.technet.microsoft.com/YurikaSensei/
https://news.mynavi.jp/itsearch/article/security/1948
https://news.mynavi.jp/itsearch/article/security/1396
2

3. 3

4. ウ
イ
ル
ス
対
策
セ
キ
ュ
リ
テ
ィ
機
能
緩
和
策
4
更
新
プ
ロ
グ
ラ
ム
検
出
シ
ス
テ
ム

6. 6
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
キ
ュ
リ
テ
ィ
機
能
更
新
プ
ロ
グ
ラ
ム
境
界
領
域
防
御
メ
｜
ル
フ
ィ
ル
タ
サ
イ
ト
フ
ィ
ル
タ
リ
ン
グ
デ
｜
タ
暗
号
化
イ
ン
タ
｜
ネ
ッ
ト
ゾ
｜
ン
警
告

7. 現実
7
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
キ
ュ
リ
テ
ィ
機
能
更
新
プ
ロ
グ
ラ
ム
境
界
領
域
防
御
メ
｜
ル
フ
ィ
ル
タ
サ
イ
ト
フ
ィ
ル
タ
リ
ン
グ
デ
｜
タ
暗
号
化
イ
ン
タ
｜
ネ
ッ
ト
ゾ
｜
ン
警
告

8. デ
｜
タ
消
去
仮
想
化
分
離
ふ
る
ま
い
分
析
自
動
遮
断
脅
威
自
動
分
析
整
合
性
チ
ェ
ッ
ク
監
視
発症と活動を抑える
8
侵
入
完
了
マ
ル
ウ
ェ
ア
対
策
起
動
完
了
目
的
達
成
セ
キ
ュ
リ
テ
ィ
機
能
更
新
プ
ロ
グ
ラ
ム
境
界
領
域
防
御
メ
｜
ル
フ
ィ
ル
タ
サ
イ
ト
フ
ィ
ル
タ
リ
ン
グ
デ
｜
タ
暗
号
化
緩
和
策
イ
ン
タ
｜
ネ
ッ
ト
ゾ
｜
ン
警
告

9. 9
SmartScreen
ユーザーアカウント制御 Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
インターネットセキュリティ設定
VPN・DirectAccess
Windows Security Essentials

10. 10
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced
Threat Protection
Credential Guard
悪用コード実行緩和策
UEFI Secure Boot
ユーザーアカウント制御
Virtualized Based Security
Microsoft Passport
リモートワイプ
Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
Windows Defender クラウド保護
インターネットセキュリティ設定
VPN・DirectAccess

11. 11
74
88
65
70
75
80
85
90
Windows 10 Windows 8.1

12. 12
2016 年 11 月
STRONTIUM による
被害 防御
2016 年 11 月
Henkray による韓国での標的型攻撃 被害 防御
2017 年 3 月
Zirconium による標的型攻撃 被害 防御

13. 13
デバイスガード
SmartScreen
Windows Defender Antimalware
Windows Defender Advanced
Threat Protection
Credential Guard
悪用コード実行緩和策
UEFI Secure Boot
ユーザーアカウント制御
Virtualized Based Security
Microsoft Passport
リモートワイプ
Bitlocker/Bitlocker to Go
AppLocker
Windows Firewall
ファイル暗号化
Windows Defender クラウド保護
インターネットセキュリティ設定
VPN・DirectAccess

14. 14
緩和策名称 Windows 7 Windows 10
Kernel Pool Hardening 〇 〇
Kernel ASLR (Images) 〇 〇
Fonts (User mode Appcontainer) × 〇
NTVDM disabled × 〇
Kernel ASLR (full) × 〇
Kernel DEP × 〇
Kernel Pool Hardening (Extended) × 〇
SMEP × 〇
Global Safe unlinking × 〇
Improved ASLR entropy × 〇

15. 脆弱性
①ドキュメント読み込み
②脆弱性悪用の実行
③任意コードへの
処理変更
④任意コード実行
15

16. 脆弱性
①ドキュメント読み込
み
②脆弱性悪用の実行
③任意コードへの処理変更
④任意コード実行
16

17. スタック領域（攻撃前）
リターンアドレス
スタック領域（攻撃前）
目的処理のアドレス
目的の処理
サイズチェック無し
で格納
①上書き
②ジャンプ
③実行
17

18. スタック領域（攻撃前）
リターンアドレス
スタック領域（攻撃前）
サイズチェック
データは
格納できない
18

19. スタック領域（攻撃前）
リターンアドレス
スタック領域（攻撃前）
目的処理のアドレス
目的の処理
サイズチェック無し
で格納
改変検知
推察防止
データ実行
防止
19

20. 配置箇所の推察が
外れ攻撃失敗
攻撃コード
データ領域
のため実行失敗
20

21. 21
Kernel Pool Hardening
Kernel ASLR (Images)
Fonts (User mode apportioned)
NTVDM disabled
Kernel ASLR (full)
Kernel DEP
Kernel Pool Hardening (Extended)
SMEP
Global Safe unlinking
Improved ASLR entropy
DEP
SEHOP
ASLR
Certificate Pinning
Fonts (Block Untrusted)
Virtualized Based Security (Hyper Guard)
Virtualized Based Security (Kernel Code
Integrity)
Virtualized Based Security (Credential
Guard)
Virtualized Based Security (Device Guard)
Secure Boot
既定で有効 追加可能

22. • 対策が進んでいない
アプリやプラグインを標的
22

23. 23

24. 24
Heap metadata hardening
Heap metadata hardening (Extended)
Heap allocation randomization
Heap guard pages
AppContainer symbolic link
hardening
SEHOP Code Integrity Restriction
DEP Win32k system call
disable restriction
NullPage High Entropy ASLR
Force ASLR Strick Handle Checks
Bottomup ASLR Extension Point Disable
LoadLib (Image Load
Restriction)
Heap terminate on
corruption
memProt (Dynamic Code
Restriction)
ASR
Fonts (block untrusted)
Child Process Restriction
既定で有効 追加可能

25. 25

26. 26

27. 27

28. 28
https://technet.microsoft.com/en-us/itpro/powershell/windows/processmitigations/processmitigations

29. 専用のテナント
クラウドでの統計
セキュリティ業界
からの情報
Microsoft 社内の
セキュリティ技術者の情報
Microsoft 社内の
リサーチ結果
Microsoft Threat Intelligence
29
Windows 10

31. 31

33. 緩和技術 保護内容
Structured Exception Handler
Overwrite Protection (SEHOP)
Final Handler をおくことで、スタック オーバーフロー発生時の例外処
理 (SEH) の際の脆弱性を緩和
Dynamic Data Execution
Prevention (DEP)
メモリの一部を "コードの実行不可能" と設定することで、メモリ上か
ら攻撃コードが実行されるのを防ぐ。バッファー オーバーフロー攻撃な
どを緩和
Heap Spray Allocation 攻撃に利用されやすいいくつかのメモリを先に確保しておくことで
Heap spray の攻撃を緩和 (成功率を下げる)
*Heap spray: シェル コードのコピーを可能な限り多くのヒープ領域上にお
くことで、メモリの割り当てが動的に変化しても、最終的にコード実行の確
率を上げる手法
Null Page Allocation メモリの Null ページを先に確保することで、ユーザー モードにおける
Null 逆参照のリスクを緩和
Mandatory Address Space Layout
Randomization (ASLR)
各モジュールがロードされるアドレスを予測不可能なようにランダム化
する技術
Export Address Table Access
Filtering (EAF)
攻撃コードが Windows API を確認する際に必要となる Export
Address Table の参照を制限することで攻撃を緩和
Bottom-up Randomization ボトムアップ型のメモリ割り当て (ヒープ、スタックなど) のベース ア
ドレス (8 ビット) をランダム化する
33

34. 緩和技術 保護内容
Return-Oriented Programming
(ROP)
Caller checks mitigation: ROP 攻撃に利用される関数が return 命令で
はなく call 命令によって正しく呼び出されたかどうかをチェック
Execution flow simulation mitigation: ROP 攻撃に利用される関数の
リターン アドレスから数個の命令でテストを行い ROP 攻撃がないか
チェック
Stack pivot mitigation: スタックの位置が不正な位置へ変更されていな
いかをチェック
Special function checks: (Load library checks および Memory
protection checks)) : 攻撃者がセキュリティ機能の回避で利用する手法の
チェック。リモート経由の LoadLibrary 関数の呼び出しを監視、スタック
領域が実行可能に変更されていないかのチェック
Advanced Mitigations Deep Hooks: 重要な上くらいの API だけではなくて関連する下くらいの
API も監視する (例: kernel32! VirtualAlloc だけではなく Kernelbase!
virtualAlloc/ntdll! NtAllocateVirtualMemory も監視)
Anti Detours: 関数監視の緩和策を回避する一般的な攻撃コードの動作を
チェック。
Banned Functions: 監視対象とする API を追加で構成する
34

35. © 2017 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。35