日本マイクロソフト セキュリティ レスポンス チーム セキュリティ プログラム マネージャー
ゆりか先生(村木 由梨香)

マルウェア侵入を防ぐことは、デバイスセキュリティにおける重要な対策のひとつです。Windowsのセキュリティ機能では、前回紹介した「Windows Defender」以外に、「SmartScreen」があります。「そういえばそんなのあったね」「怪しいサイトを警告するだけでは?」と、あまり注目されない機能ですが、隠れた実力を秘めているのです。

SmartScreen の歴史は攻撃の進化と対策の歴史

SmartScreenは、Internet Explorer 7で導入されたフィッシング詐欺検出機能を強化して、Internet Explorer 8に搭載したのが始まりです。

Windows 7までは、Internet Explorerだけの機能でしたが、Windows 8以降はWindowsそのものに機能統合されたため、OS レベルで保護を行うことができるようになっています。これにより、Internet Explorer / Edge以外のブラウザーを利用している場合や、ブラウザを経由していないダウンロードの場合でも、ファイル実行時にSmartScreenが検証し、疑わしいファイルをブロックすることが可能です。

SmartScreenはIE(Edge)の設定プルダウンメニューからオンオフが行える。「無効にする」となっていれば、SmartScreenは機能している

さらにWindows 10では、Windows Defenderや「脆弱性攻撃緩和ツール(EMET)」といったマイクロソフト製セキュリティ ツールから得られた情報や、サードパーティ パートナーから得られた情報をデータベースに取りこめます。

これにより、正規のWebサイトを踏み台にしてマルウェアがインストールされてしまう「ドライブバイダウンロード」の検出にも対応し、より高度な攻撃に対しても効果を発揮します。SmartScreen技術はWindowsだけでなく、Hotmail / Outlook.comといったメールサービスのフィルターとしても活用されています。

SmartScreenのOS/ブラウザ別機能対応表

ゼロデイ攻撃対策としても効果を発揮

SmartScreenの検証では、ホワイトリスト/ブラックリストとの比較や、アクセスするURLやダウンロードする実行ファイルの評価を行います。単なるリスト管理だけでなく、閲覧・実行された回数、悪意あるサイトの特徴との比較などから「疑わしさ」を判定し、ブロックしていることは、あまり知られていないのではないでしょうか。

これにより、マルウェア対策ソフトの定義ファイルに含まれていない未知のマルウェアや、まだブラックリストに掲載されていないフィッシング サイト、まだ世に出回っていない疑わしい(段階の)ファイルといった脅威に対して対策を講じることができます。

疑わしいファイルとはどういうものでしょうか。企業を狙った標的型攻撃では、マルウェア対策ソフトによる検出を防ぐために、新しいファイル ハッシュをもつ新しいファイルとしてリビルドされたマルウェアが利用されることがあります。リビルドされたマルウェアは、新しいファイル ハッシュになるため、マルウェア対策ソフトで検出できないということが実際にあるのです。こうしたシナリオへの対策に、SmartScreenは有効となるのです。

さらに、Windows 10で追加されたドライブ バイ ダウンロードの検出機能では、未修正の脆弱性に対する攻撃、いわゆる「ゼロデイ攻撃」への防御にも役立ちます。

実例として、Adobe Flash Player の脆弱性 CVE-2015-0313 (HanJuan EK) に対する防御に効果が見られました。このケースでは、不正な広告を経由して行われていたゼロデイ攻撃を、当時開発段階だったSmartScreen ドライブ バイ攻撃の検出機能がブロックできました。その後の調査で、未修正の脆弱性であることがわかり、マイクロソフトからAdobeに脆弱性報告を行い、修正にいたったのです。

オオカミ少年にはならない SmartScreen

SmartScreenは、「ダウンロードするすべてのファイルに警告する」といった画一的な警告ではなく、”疑わしさ”の評価判定を入れることで、不要に警告が発生することを防いでいます。警告に見慣れてしまうと、ユーザーは警告を無視しがちになりますが、めったに目にしない警告の場合は警戒心をもって対応することができます。

実際、SmartScreen は一般的なユーザーの場合、1年間に2度の警告が表示されるのみです。万が一、警告が表示された場合であっても、95%のユーザーは「マルウェアの削除・実行しない」という選択をしたと、米国における調査結果から浮かび上がっています。まさに、普段は存在に気付かないけれど、いざという時には、あってよかった SmartScreen なのです。

チューニングでうまく活用を

企業で利用する際には、グループ ポリシーで設定可能な項目などを利用し、組織の運用に合うようチューニングすることでうまく活用できます。

  • グループ ポリシー等を利用し、SmartScreen の有効化、ユーザーによる設定変更を禁止 (参考:日本マイクロソフトWebサイト)
  • SmartScreen による保護の対象外としたいウェブサイトがある場合、Internet Explorer/Edge の[信頼済みサイト] にサイトを登録し、SmartScreen の保護を無効に設定することが可能 (※なお、ドライブバイダウンロードのように信頼されたサイトを踏み台にした攻撃もあるため、設定する場合は慎重に検討が必要)
  • SmartScreen による頻繁な警告表示はないため、「見覚えのない警告などを見た場合は IT 部門に報告を」などといったように、SmartScreen 警告だけに特化しない形でユーザーへの事前説明を簡素化
  • 頻繁に報告のあがるユーザーやデバイスでは、Application Compatibility Toolkitを利用。アプリケーション互換性イベントのログを有効化した上で、SmartScreen フィルターのイベント ログを調査する

SmartScreen は、「普段はひっそりと見守って、いざというときに役立つ」という縁の下の力持ちです。企業を狙った標的型攻撃への対策においても、防御力を高めるひとつの標準機能として活用することができます。ぜひ、この機会に活用してみてください。