Comments
Description
Transcript
S.S.R.C.テクニカルレポート
SSRC-TER-20130226 発行日:2013/02/26 S.S.R.C.テクニカルレポート ~ブラウザプラグインのセキュリティ設定編~ 株式会社 日立システムズ セキュリティリサーチセンタ © Hitachi Systems, Ltd. 2013. All rights reserved. S.S.R.C.テクニカルレポート ブラウザプラグインのセキュリティ設定編 目次 1. はじめに ...................................................................................................................... - 2 - 2. ご利用条件 .................................................................................................................. - 2 - 3. 概要.............................................................................................................................. - 3 - 4. プラグインソフトウェアの自動実行無効化設定 ..................................................... - 4 - 4.1. Internet Explorer の設定例 ..................................................................................... - 5 - 4.1.1. プラグインの自動実行無効化設定 ............................................................................ - 5 - 4.1.2. プラグインの自動実行抑制設定(Click to play) ....................................................... - 8 - 4.2. Firefox における設定例 .......................................................................................... - 10 - 4.2.1. プラグインの自動実行無効化設定 .......................................................................... - 10 - 4.2.2. プラグインの自動実行抑制設定(Click to play) ..................................................... - 12 - 4.3. Google Chrome における設定例............................................................................ - 15 - 4.3.1. プラグインの自動実行無効化設定 .......................................................................... - 15 - 4.3.2. プラグインの自動実行抑制設定(Click to play) ..................................................... - 18 - 5. まとめ ........................................................................................................................ - 20 - -1- © Hitachi Systems, Ltd. 2013. All rights reserved. 1. はじめに S.S.R.C.(Shield Security Research Center)は、株式会社日立システムズ セキュリティリサーチセンタ が運営するセキュリティ情報公開サイトです。本サイトでは、セキュリティリサーチセンタによるリサーチ結 果を随時配信する予定です。 本文書は、株式会社日立システムズ、SHIELD セキュリティセンタで日々収集を行っている世界中の セキュリティトレンド情報にもとづき、セキュリティリサーチセンタのセキュリティアナリストが確認した、ソフ トウェア等の脆弱性検証結果をまとめたレポートです。 次に示す、ご利用条件を十分にお読み頂き、ご了承頂いた上でご利用頂きます様、よろしくお願い 致します。 2. ご利用条件 本文書内の文章等すべての情報掲載に当たりまして、株式会社日立システムズ(以下、「当社」とい います。)と致しましても細心の注意を払っておりますが、その内容に誤りや欠陥があった場合にも、い かなる保証もするものではありません。本文書をご利用いただいたことにより生じた損害につきましても、 当社は一切責任を負いかねます。 本文書に掲載されている情報は、掲載した時点での情報です。掲載した時点以降に変更される場合 もありますので、あらかじめご了承ください。 -2- © Hitachi Systems, Ltd. 2013. All rights reserved. 3. 概要 昨今、ドライブバイダウンロード攻撃を初めとした、ブラウザ経由で OS ・ブラウザ・ ブラウザのプラグインソフトウェア(Flash、Java 等)の脆弱性を狙った攻撃が頻繁に見受け られます。これらの攻撃はユーザが特に意識することなく自動的に実行されてしまう。つ まり通常のウェブ閲覧を行っているだけで、マルウェアに感染させられてしまう可能性が あります。 本レポートでは、これらの攻撃のうち特に、ブラウザのプラグインソフトウェア(Flash、 PDF 、Java)の脆弱性を狙った攻撃からコンピュータを守るための設定方法例について解 説します。 「Flash Player」「PDF」「Java」のプラグインの実行を、各ブラウザにおいて設定可 能な範囲を表 1 にまとめます。なお、本レポートでの「無効化設定」とは、設定を変更し ない限りプラグインの実行を許可しない設定、「抑制設定」とは、プラグインの自動実行 は許可しませんが、ユーザの意志がクリックすることにより実行を許可できる設定(Click to play)をさします。また、その他サードパーティ製プラグインを利用した無効化、抑制設 定については、本レポートの対象外です。 表 1 各ブラウザにおいて設定可能な範囲 Internet Explorer Flash Player Firefox Google Chrome 無効化 抑制 無効化 抑制 無効化 抑制 ○ ○ ○ ○ ○(*3) ○ ○ ○(*4) ○(*3) △(*6) ○ ―(*5) ○(*3) Acrobat Reader 調査中 △(*1) (*2) Java(TM) 調査中 ○ ― (*2) (*5) (*1)ブラウザ上での実行は無効化されますが、自動で開きます (*2)本レポート執筆時点では情報を持ち合わせていません (*3)無効化した状態からも、「右クリック」->「このプラグインを実行」で実行可能です (*4) Firefox 19.0 以降における設定方法は、追加情報を参照のこと (*5)初期状態で抑制されています (*6)「無効化」を実施することで代替え設定可能です -3- © Hitachi Systems, Ltd. 2013. All rights reserved. 4. プラグインソフトウェアの自動実行無効化設定 本章では、下記の環境における設定方法について説明します。 ブラウザ ・ Internet Explorer 8.0.6001.19400 ・ Firefox 18.0.2 ・ Google Chrome 25.0.1364.97 m 利用ソフトウェア ・ Flash Player 11.6.602.168 ・ Adobe Reader 11.0.2 ・ Java 1.7.0_15 以降、ブラウザ毎の設定方法例について解説します。 -4- © Hitachi Systems, Ltd. 2013. All rights reserved. 4.1. Internet Explorer の設定例 4.1.1.プラグインの自動実行無効化設定 本項では、Internet Explorer におけるプラグインの自動実行の無効化について説明しま す。但し、本設定を行うと設定を戻さない限り、プラグインソフトウェアを利用したアプ リケーションの実行ができなくなりますので、注意が必要です。 ① メニューバーの[ツール]->[アドオンの管理]を選択します。 ② ツールバーと拡張機能タブを選択し、表示から「許可なしに実行」を選択し 「Shockwave Flash Object」「Adobe PDF Reader」を選択し、「無効にする」ボ タンをクリックします。 ③ http://support.microsoft.com/kb/2751647/ja に記載されているレジストリ内容を、 拡張子 reg のファイルに保存します。 -5- © Hitachi Systems, Ltd. 2013. All rights reserved. ④ 保存した reg ファイルを実行します(なお、実行するまえに、レジストリ情報のバッ クアップを取得しておくことをお勧めします)。 ⑤ 下記の手順で、プラグインが無効化されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ が表示されず、無効化されている旨のポップアップが表示されることを確認します。 Adobe Acrobat 例えば、http://www.shield.ne.jp/ssrc/doc/SSRC-VR-20130115.pdf にアクセスし、 PDF コンテンツがブラウザ上で開かれず、別画面で表示されることを確認します(自 動で開かない設定を行うには、レジストリの変更で可能ですが、ここでは割愛しま す)。 -6- © Hitachi Systems, Ltd. 2013. All rights reserved. Java(TM) Platform SE 例えば、http://java.com/ja/download/testjava.jsp にアクセスし、Java Applet コン テンツが実行されないことを確認します。 -7- © Hitachi Systems, Ltd. 2013. All rights reserved. 4.1.2.プラグインの自動実行抑制設定(Click to play) 本項では、Internet Explorer における「Shockwave Flash Object」プラグインの自動実 行の抑制方法について説明します。 ① メニューバーの[ツール]->[アドオンの管理]を選択します。 ② ツールバーと拡張機能タブを選択し、表示から「許可なしに実行」を選択し 「Shockwave Flash Object」を右クリックし、「詳細情報」を選択します。 ③ 「すべてのサイトの削除」ボタンをクリックします。 -8- © Hitachi Systems, Ltd. 2013. All rights reserved. ④ 下記の手順で、プラグインが無効化されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ が表示されず、実行の許可を求めるポップアップが表示されることを確認します。 -9- © Hitachi Systems, Ltd. 2013. All rights reserved. 4.2. Firefox における設定例 4.2.1.プラグインの自動実行無効化設定 本項では、Firefox におけるプラグインの自動実行の無効化について説明します。但し、 本設定を行うと、設定を戻さない限り、プラグインソフトウェアを利用したアプリケーシ ョンの実行ができなくなりますので、注意が必要です。 ① メニューバーの[ツール]->[アドオン]を選択します(Windows 7 の場合は、Alt ボタン でメニューバーが開きます)。 ② アドオンマネージャウィンドが開きますので、 「ShockwaveFlash 」 「Adobe Acrobat」 「Java(TM) Platform SE」プラグインの無効化ボタンをクリックします。 - 10 - © Hitachi Systems, Ltd. 2013. All rights reserved. ③ 下記の手順で、プラグインが無効化されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ が表示されないことを確認します。 Adobe Acrobat 例えば、http://www.shield.ne.jp/ssrc/doc/SSRC-VR-20130115.pdf にアクセスし、 ダウンロード確認ダイアログが表示されることを確認します。 Java(TM) Platform SE http://java.com/ja/download/testjava.jsp にアクセスし、Java Applet コンテンツが 実行されないことを確認します。 - 11 - © Hitachi Systems, Ltd. 2013. All rights reserved. 4.2.2.プラグインの自動実行抑制設定(Click to play) 本項では、Firefox におけるプラグインの自動実行の抑制方法について説明します。但し、 本設定を実施することは動作保障対象外となりますので、注意が必要です。 ① URL 入力欄に「about:config」と入力し、「細心の注意を払って使用する」をクリ ックします。 ② 検索入力欄に「plugins.click_to.play」と入力し検索します。 ③ 「plugins.click_to.play」を右クリックし、「切り替え」を選択します。 - 12 - © Hitachi Systems, Ltd. 2013. All rights reserved. ④ 「plugins.click_to.play」の値が「True」になっていることを確認します。 ④ 下記の手順で、プラグインの自動実行が抑制されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ の表示が抑制されていることを確認します(クリックすることで実行できます)。 Adobe Acrobat 例えば、http://www.shield.ne.jp/ssrc/doc/SSRC-VR-20130115.pdf にアクセスし、 PDF コンテンツの表示が抑制されていることを確認します(クリックすることで実 行できます)。 - 13 - © Hitachi Systems, Ltd. 2013. All rights reserved. Java(TM) Platform SE Firefox では、初期設定においても、Java の実行は抑制されています。 - 14 - © Hitachi Systems, Ltd. 2013. All rights reserved. 4.3. Google Chrome における設定例 4.3.1.プラグインの自動実行無効化設定 本項では、Google Chrome におけるプラグインの自動実行の無効化について説明します。 但し、本設定を行うと、設定を戻さない限り、プラグインソフトウェアを利用したアプリ ケーションの実行ができなくなりますので、注意が必要です。 ① 右上の「Google Chrome の設定」ボタンから、「設定」をクリックします。 ② 「詳細設定を表示」をクリックします。 ③ プライバシー設定項目の「コンテンツの設定」をクリックします。 - 15 - © Hitachi Systems, Ltd. 2013. All rights reserved. ④ プラグイン設定項目の「すべてをブロックする」にチェックを入れ、「OK」ボタン をクリックします(個別設定は、 「プラグインを個別に無効にする」から変更します)。 ⑤ 下記の手順で、プラグインの自動実行が抑制されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ lash コンテンツが表示されないことを確認します。 - 16 - © Hitachi Systems, Ltd. 2013. All rights reserved. Adobe Acrobat 例えば、http://www.shield.ne.jp/ssrc/doc/SSRC-VR-20130115.pdf にアクセスし、 PDF コンテンツが開かれないことを確認します。 Java(TM) Platform SE 例えば、http://java.com/ja/download/testjava.jsp にアクセスし、Java Applet コン テンツが実行されないことを確認します。 - 17 - © Hitachi Systems, Ltd. 2013. All rights reserved. 4.3.2.プラグインの自動実行抑制設定(Click to play) ① 右上の「Google Chrome の設定」ボタンから、「設定」をクリックします。 ② 「詳細設定を表示」をクリックします。 ③ プライバシー設定項目の「コンテンツの設定」をクリックします。 - 18 - © Hitachi Systems, Ltd. 2013. All rights reserved. ④ プラグイン設定項目の「クリックして再生する」にチェックを入れ、「OK」ボタン をクリックします。 ⑤ 下記の手順で、プラグインの自動実行が抑制されていることを確認してください。 Flash Player 例えば、http://www.shield.ne.jp/ssrc/index.html にアクセスし、Flash コンテンツ の表示が抑制されていることを確認します(クリックすることで実行できます)。 Adobe Acrobat Google Chrome では、PDF コンテンツの抑止はできませんでした。 但し、Google Chrome においては、4.3.1 で説明した無効化設定からも、プラグイ ンの実行が可能なため、無効化設定を行うことで、抑制設定(CLICK TO PLAY)とし ての代用が可能です。 Java(TM) Platform SE Google Chrome では、初期設定においても、Java の実行は抑制されています。 - 19 - © Hitachi Systems, Ltd. 2013. All rights reserved. 5. まとめ 本レポートでは、各ブラウザにおけるプラグインの「自動実行無効化」「自動実行抑制」 設定例について解説しました。この設定方法等を適切に実施することで、ブラウザ経由で の攻撃から安全性を高めることが可能になります。 本レポートに記載した適切に設定を行うことに加えて、怪しいウェブサイトにはアクセ スしない等の自衛も必要となりますので、ご注意ください。 追加情報 Firefox 19.0 以降では、PDF 文章の閲覧が、HTML5 と JavaScript で実装した「PDF ビ ューアー機能」が初期設定になりました。この状態における、「無効化」及び「抑止」の 方法につきましては、本レポート執筆時点では情報を持ち合わせていません。 仮に、「Adobe Acrobat」を利用して、「無効化」及び「抑止」設定を行いたい場合は、 「メニュー」->「オプション」の「プログラム」タブを選択し、「PDF 文書」の関連付け を「Adobe Acrobat(Firefox 内で表示)」に変更し、4.2 節の設定を行ってください。 [参考文献] ( i ). ( ii ). ベンダ情報 http://support.microsoft.com/kb/2751647/ja https://support.mozilla.org/ja/kb/How%20to%20turn%20off%20Java%20applets ( iii ). https://support.google.com/chrome/bin/answer.py?hl=ja&answer=142064 ( iv ). http://helpx.adobe.com/jp/acrobat/using/display-pdf-browser-acrobat-xi.html 以上 - 20 - © Hitachi Systems, Ltd. 2013. All rights reserved. 株式会社 日立システムズ 〒141-8672 東京都品川区大崎 1-2-1 http://www.hitachi-systems.com/index.html http://www.shield.ne.jp/ssrc/index.html - 21 - © Hitachi Systems, Ltd. 2013. All rights reserved.