Windows標準のWeb分離でChromebook並セキュリティ
Chromebook並のWeb分離機能が、Windows 10 Pro版以上かWindows 11で利用可能なこと、ご存じでしょうか。WDAG(Windows Defender Application Guard、現在の正式名称はMicrosoft Defender Application Guard [MDAG])がそれで、企業向けのWindows 10 Enterprise版のみに提供されていましたが、バージョン1803からは、Windows 10でもPro版以上で利用可能になっています。ただし、Windows 10 Pro版あるいはWindows 11 Home版の場合、利用できるのは信頼できるか否かで仮想か否かをポリシー設定に従い自動で切換える機能(企業管理モード)のないスタンドアロンモードのみです。とはいえ、このスタンドアロンモードは、ゼロトラストの考え方により忠実な点で企業管理モードに劣らないセキュリティの強靭化が可能になります。しかし、これまでのところ、一般ユーザによるWDAGの利用はあまり進んでいないようです。この主因は、お気に入り、履歴が再起動で消滅、拡張機能利用不可、ダウンロードファイルのローカル利用不可など、しばらくの間、実用性がほとんどなかったことでしょう。しかし、現在では、拡張機能の同期が取れない、起動時間が長い、お気に入りの追加/管理を実ブラウザ側で行わねばならないなどを除けば、機能上の問題はほぼ解消され、実用性は当初より大幅に改善されています。従って、WDAGのインストールに必須の環境であるPro版以上かWindows 11にアップグレートするのに多少のコストがかかるとしても、市販のウイルス対策ソフトでは得られない安心感が得られるので、是非、利用されることをお勧めします。
1.WDAGスタンドアロンモードはセキュアな仮想ブラウザ
スタンドアロンモードは、ブラウザを隔離されたコンテナ上で起動するだけの仮想ブラウザ機能であり、すべてのタブがサイトの信頼度に関わらず仮想ブラウザで開かれることになります。このため、あるタブで悪意のあるサイトを開いてしまった場合、同じ仮想ブラウザの別のタブで開いている大事なサイトの情報が抜き取られないか心配になりますが、その心配は無用です。Chromium版Edgeでは、Chromeで導入されたサイト分離の仕組みにより、各タブが独立したプロセスが割り当てられて互いに隔離されているからです。そして、この各タブの互いの隔離のおかげで、すべてのタブが仮想ブラウザ側で開かれてしまうことが、そうならない企業管理モードに勝るセキュリティ耐性を実現するからです。これは、①信頼していたサイトがハッキングされたとしても、信頼されていないサイトと同様に、そこからの攻撃がそのサイトを開く仮想ブラウザのタブ内に閉じ込められること、②この攻撃で例えばブラウザハイジャッカーが埋め込まれたとしても、パソコンを再起動すれば、その際のWDAGのリセット機能により破棄されて、実環境のブラウザのようにブラウザハイジャッカーが居座れないこと等によります。
2.WDAGのインストール
こちらのサイトを参照ください。インストールの仕方が簡潔にまとめられています。ただし、稼働可能なシステムの要件として、Windows 10がPro版以上かWindows 11であることに加え、CPUが4コア以上、メモリが8GB以上も入っていることに注意ください。ここで、4コア以上でのコアは論理プロセッサのことであり、4スレッド以上を意味します。最近のCPUであれば、2コア2スレッドのCeleron N4000、N4020、N4500、J4005、J4025、AMD 3020e、Athlon Silver 3050U等を除けば、大半がこの条件を満たせます。
ここで、併せてインストールするコンパニオンアプリのMicrosoft Defender Application Guard Companionは、実環境のEdgeブラウザを介さない直接起動用のツールで、WebブラウジングにApplication Guardを主に用いる場合、必須となります。また、自動起動のためにスタートアップに登録するショートカットを生成するのに必要になります。自動起動は、長い起動時間が多少でも気にならなくするのに役立ちます。
3.PPAP問題も解消するWDAG仮想ブラウザの使い方
ユーザのインターネットへのアクセスをWDAGに限定するとともに、メール添付ファイルを含めインターネット側から取り込むファイルは無害であることが確認できない限り、実環境には持ち込まないことで、PPAP攻撃にも耐える鉄壁の防御が実現できます。具体的には、Webページの閲覧には必ずWDAGを用いるのに加え、メールのやり取りも、そのWDAGを介するWebメールで行うようにします。インターネット側からダウンロードにより、ダウンロードの信頼されていないファイルのフォルダ(ローカルフォルダ)に取り込まれるファイルの安全性は、WDAG側で開いて内容を確認するか、WDAGでVirusTotalにアップロードして確認がとれない限り、実環境側に持ち込まないようにします。ただし、非公開の文書やデータはVirusTotalで検査できないことに注意する必要があります。
インターネット側から取り込む文書ファイルのうち、OfficeファイルはPDFファイルとは違いWDAGで直接開けない問題があります。このOfficeファイルの問題は、WebメールにOutlookを利用することで解決できます。メール添付のOfficeファイルがWDAGで直接開けるだけでなく、ネット上のOfficeファイルも、いったんダウンロードした後、Outlookの所定のOfficeアプリのページにアップロードすればWDAG上で開けるようになります。
しかし、このOutlookを使っても、圧縮されたファイルは開けません。もちろん、解凍サイトの利用により解決可能ですが、そのサイトを自前で用意しない限り、アップロードにより機密保持が担保できなくなります。そこで、解凍については極く低いウイルス感染のリスクは許容するというのであれば、実環境側の解凍ツールで行うこととします。ダウンロードフォルダの中の信頼されていないファイルフォルダの中の対象ファイルを解凍します。この際、解凍対象の圧縮ファイルを直接ダブルクリックしないよう注意する必要があります。偽装ファイルの場合、それだけでウイルスに感染してしまうからです。
わずかとは言え感染リスクがある実環境での解凍は避けたいというのであれば、アップロードの必要のない解凍サイトのOnline Archive Extractorあるいは拡張機能のZIP Readerを用いて、WDAG側で解凍処理が完結するようにします。拡張機能のZIP Readerは拡張機能としてのリスク評価値が402と比較的低いだけでなくオープンソースであることの安心感があります。しかし、PPAPの暗号化ZIPファイルを解凍できない弱点があります。
これに対し、前者のOnline Archive Extractorは、ZIP形式ならば暗号化圧縮ファイルも解凍できます(7z形式の暗号化圧縮ファイルには未対応)。OutlookのWebメールと併用すれば、メール添付の暗号化圧縮ファイルも、WDAG内で解凍・確認できるようになり、PPAP攻撃によるマルウェアの実環境への侵入を阻止できます。当初は、ZIP Reader同様、拡張機能として提供されていたようですが、現在ではOnline Archive Extractorのページを開くことでブラウザに送り込まれるJavaScriptで解凍機能が実現されています。効能書き通り解凍処理のすべてがブラウザ側で行われ、Online Archive Extractorの運営元への情報漏洩が恒常的に一切ないのであれば問題ありません。しかし、運営元の素性が明かされていない上にGoogleウェブストアの拡張機能でもなくなった以上、効能書きでうたわれている安全性が常時保たれていると信じるわけにはいきません。従って、その利用には情報漏洩やブラウザへのスパイウェア感染が起こり得ない方法をとる必要があります。具体的には、①Online Archive Extractorのページを開く(JavaScriptがセットされる)、②ネットを切断、③Online Archive Extractorを操作し解凍、ダウンロード、④WDAGをリセット(\Windows\System32\wdagtool.exe cleanupを実行[アイコン化バッチが便利])、⑤ネットを接続、⑥WDAGを起動の6ステップの手順を踏むことになります。この手順により、ネットが切れた状態で解凍、ダウンロードが実現されるため、他のオンライン解凍ツールのように解凍後のデータが外部に出ることはなくなります。また、WDAG環境をリセットの上、起動し直しますので、たとえスパイウェアが送り込まれていても生き残ることはありません。ただし、Trafficlight等のWebページ安全性評価を信頼するのなら④を単にタブを閉じるのに置き換えて、⑥を不要とするので良いかもしれません。いずれにしても、余分なステップを踏まねばならないのは手間ではありますが、怪しい暗号化ZIPファイルを開く頻度が少ないのであれば問題にはならないでしょう。業務上PPAPを高頻度で扱わざるを得ない場合は、信頼できるオンライン解凍サイトを自前で用意すればこのような余分な手間はなくせます。
0コメント