PPAP攻撃も阻止可! WDAGによる鉄壁防御

 強靭なセキュリティ耐性を実現するWeb分離機能が、Windows 10 Pro版以上で利用可能なこと、ご存じでしょうか。WDAG(Windows Defender Application Guard、現在の正式名称はMicrosoft Defender Application Guard [MDAG])がそれで、企業向けのWindows 10 Enterprise版のみに提供されていましたが、Windows 10のバージョン1803からは、Windows 10 Pro版でも利用可能になっています。ただし、利用できるのは信頼できるか否かで仮想か否かをポリシー設定に従い自動で切換える機能(企業管理モード)のないスタンドアロンモードのみです。ゼロトラストの考え方により忠実な点で、企業管理モードに劣らないセキュリティの強靭性を備えているはずですが、これまでのところ、一般ユーザによるWDAGの利用はほとんど進んでいないようです。この主因は、お気に入り、履歴が再起動で消滅、拡張機能利用不可、ダウンロードファイルのローカル利用不可など、しばらくの間、実用性がほとんどなかったことでしょう。しかし、現在では、お気に入り、拡張機能等の同期が取れない、起動時間が少々長いことを除けば、機能上の問題はほぼ解消され、実用性は当初より大幅に改善されています。従って、WDAGのインストールに必須の環境であるPro版以上へWindows 10をアップグレートするのに1万4千円程かかるとしても、市販のウイルス対策ソフトでは得られない安心感が得られるので、是非、利用されることをお勧めします。

1.WDAGスタンドアロンモードはセキュアな仮想ブラウザ

 スタンドアロンモードは、ブラウザを隔離されたコンテナ上で起動するだけの仮想ブラウザ機能であり、すべてのタブがサイトの信頼度に関わらず仮想ブラウザで開かれることになります。このため、あるタブで悪意のあるサイトを開いてしまった場合、同じ仮想ブラウザの別のタブで開いている大事なサイトの情報が抜き取られないか心配になりますが、その心配は無用です。Chromium版Edgeでは、Chromeで導入されたサイト分離の仕組みにより、各タブが独立したプロセスが割り当てられて互いに隔離されているからです。そして、この各タブの互いの隔離のおかげで、すべてのタブが仮想ブラウザ側で開かれてしまうことが、そうならない企業管理モードに勝るセキュリティ耐性を実現するからです。これは、①信頼していたサイトがハッキングされたとしても、信頼されていないサイトと同様に、そこからの攻撃がそのサイトを開く仮想ブラウザのタブ内に閉じ込められること、②この攻撃で例えばブラウザハイジャッカーが埋め込まれたとしても、パソコンを再起動すれば、その際のWDAGのリセット機能により破棄されて、実環境のブラウザのようにブラウザハイジャッカーが居座れないこと等によります。

2.WDAGのインストール

 こちらのサイトを参照ください。インストールの仕方が簡潔にまとめられています。ただし、稼働可能なシステムの要件として、Windows 10がPro版以上であることに加え、CPUが4コア以上、メモリが8GB以上も入っていることに注意ください。ここで、4コア以上でのコアは論理プロセッサのことであり、4スレッド以上を意味します。最近のCPUであれば、2コア2スレッドのCeleron N4000、N4020、N4500、J4005、J4025、AMD 3020e、Athlon Silver 3050U等を除けば、大半がこの条件を満たせます。

 ここで、併せてインストールするコンパニオンアプリのMicrosoft Defender Application Guard Companionは、実環境のEdgeブラウザを介さない直接起動用のツールで、WebブラウジングにApplication Guardを主に用いる場合、必須となります。また、自動起動のためにスタートアップに登録するショートカットを生成するのに必要になります。自動起動は、長い起動時間が多少でも気にならなくするのに役立ちます。


3.PPAP問題も解消するWDAG仮想ブラウザの使い方

 Web分離により安全を担保するために、ユーザのインターネットへのアクセスをWDAGに限定するとともに、インターネットから取り込むファイルは無害であることが確認できない限り、実環境には持ち込まないようにします。具体的には、Webページの閲覧には必ずWDAGを用い、メールもそのWDAGを用いるWebメールでやり取りするようにします。インターネット側からダウンロードにより、ダウンロードの信頼されていないファイルのフォルダ(ローカルフォルダ)に取り込まれるファイルの安全性は、WDAGで開いて内容を確認するか、WDAGでVirusTotalにアップロードして確認します。ただし、非公開の文書やデータはVirusTotalで検査できないことに注意する必要があります。

 インターネット側から取り込む文書ファイルのうち、OfficeファイルはPDFファイルとは違いWDAGで直接開けない問題があります。このOfficeファイルの問題は、WebメールにOutlookを利用することで解決できます。メール添付のOfficeファイルがWDAGで直接開けるだけでなく、ネット上のOfficeファイルも、いったんダウンロードした後、Outlookの所定のOfficeアプリのページにアップロードすればWDAG上で開けるようになります。

 しかし、このOutlookを使っても、圧縮されたファイルは開けません。もちろん、解凍サイトの利用により解決可能ですが、そのサイトにアップロードしてしまうと機密保持が担保できなくなります。そこで、Chromeウェブストアから拡張機能のZIP  Reader、あるいはOnline Archive Extractorを追加して、WDAG内で解凍処理が完結するようにします。前者のZIP  Readerはオープンソースであることの安心感はありますが、暗号化されていないZIPファイルしか解凍できません。これに対し、後者のOnline Archive Extractorはオープンソースではありませんが、暗号化された各種の圧縮ファイルを解凍することができます。この後者の拡張機能とOutlookのWebメールと併用すれば、メール添付の暗号化圧縮ファイルも、WDAG内での解凍・確認が可能になり、PPAP攻撃によるマルウェアの実環境への送り込みが阻止できるようになります。

0コメント

  • 1000 / 1000

軽量ノートパソコンの選定から、整備補強、セキュリティ強化、通信費削減まで

パソコン情報に蔓延る買い煽り(忖度レビューから、ユーザの大半に無用な性能向上の強調、性能スコアの過大化/不適切参照、フリーウェアの過小評価まで)を、パソコン歴30年以上、 パソコン教室の構築/運営経験7年のToshiが暴く!?