ニュース
「Copilot+ PC」はセキュリティも万全 ~攻撃面の縮小、ID保護に取り組むWindows 11
「Copilot+ PC」は「Secured-Core PC」、セキュリティプロセッサー「Pluton」も既定有効
2024年5月27日 15:40
ハードウェアとIDの保護
近年のセキュリティ攻撃は、ハードウェアを狙うものが多くなっているのが特徴だ。OSからは検出しにくいハードウェアレイヤーにマルウェアを埋め込む手法は、Microsoftだけの努力では対策が難しく、業界を挙げた取り組みが必要となる。
その一方で、IDを狙うものも最近は急増している。2015年の段階で、同社のIDシステムは1秒間に約115件のパスワード攻撃を検知していたが、それから10年も経たないうちに、この数字は3,378%も急増し、1秒あたり4,000件を超えるパスワード攻撃を検知するようになっているという。そこで「パスキー」への対応、「Windows Hello」の強化といった対策を講じ、攻撃ポイントを減らす努力が続けられている。
そこで同社は、「Secured-Core PC」と呼ばれる取り組みを進めている。これはデバイス構を成するハードウェア、そのファームウェア、ドライバーが正規のOEMによって提供されていることを保証するとともに、「TPM 2.0」による保護、ファームウェアの保護、仮想化ベースのセキュリティ(VBS)などを組み合わせて運用することで、高度な脅威に対する多層防御を提供するものだ。
先日発表されたAI PC「Copilot+ PC」は、すべて「Secured-Core PC」の要件を満たす。同社のセキュリティプロセッサー「Microsoft Pluton」もすべての「Copilot+ PC」でデフォルト有効化される。さらに、Windows Hello 拡張サインイン セキュリティ(ESS)も搭載され、パスワード不要でより安全な生体認証サインインが可能だ。
これにより商用、個人向けを問わず、どのPCでも高度なセキュリティ保護の恩恵を受けられるというわけだ。サイバー攻撃者がリモートからマルウェアをインストールするのはもちろん、PCを物理的に奪取した場合でも、資格情報、ID、個人データ、暗号化キーを盗み取るのは困難となる。
スキのないOS
Windowsは歴史の古いOSであるため、現代の目から見れば脆弱な技術や設定がそのままになっていることがある。これはサイバー攻撃者にとって格好の攻撃ポイントとなるため、Microsoftは継続的な排除を進めている。
- ローカル セキュリティ機関(LSA)の保護:ユーザーのIDを管理する「LSA」を保護する機能は、すでに新しい商用デバイスでデフォルト有効化されているが、これが新しいコンシューマーデバイスにも適用される。有効でないデバイスも、OSのアップグレードで一定の猶予期間後に自動で有効化される
- NT LAN Manager(NTLM)の廃止:2024年後半に廃止される予定
- VBSを活用したキー保護の推進:仮想化ベースのセキュリティ(Virtualization Based Security:VBS)でソフトウェア分離よりも高いセキュリティを実現
- 「Windows Hello」のセキュリティ強化:「Windows Hello」にもVBSを導入して、資格情報を分離し、管理者レベルの攻撃から保護。生体認証が組み込まれていないデバイスで既定有効
これらの変更は時に互換性問題を生じうるが、攻撃面を減らすという点において重要な取り組みだ。
加えて、以下のセキュリティ機能が提供される。
- スマート アプリ コントロール(SAC):悪意のあるアプリや信頼されていないアプリ、望ましくない可能性のあるアプリをうっかり実行してしまうミスからユーザーを守る。内部ではAI技術が活用されている
- Trusted Signing(旧称:Azure Code Signing):アプリ開発者のコードサイニングを支援。「SAC」などのセキュリティ機能で、不用意にアプリがブロックされてしまうのを防止
- Win32 app isolation:Win32アプリケーションの脆弱性を悪用した攻撃からWindowsクライアントを保護する新しいセキュリティ技術
- 管理者ユーザーのセキュリティ強化:アプリが予期せず管理者権限を悪用し、マルウェアや悪意のあるコードを密かにWindowsに配置するのを難しくする。近日パブリックプレビュー
- VBS エンクレーブ:サードパーティのアプリケーション開発者に開放。機密性の高いワークロードのセキュリティが強化
Windowsコードの強化
Windowsの各種コンポーネントでも、多くのセキュリティ強化が行われる。一番の注目は「Windows保護印刷モード」(Windows Protected Print Mode:WPP)と呼ばれる新しい印刷モードで、過去に「Stuxnet」や「PrintNightmare」といったマルウェアによって印刷プロセスが標的になったことを反省し、さまざまな近代化が行われている。
また、Windowsユーザーに馴染み深い「ツールヒント」(ツールチップ)の動作方法も見直される。従来はデスクトップごとに1つのウィンドウとして管理されており、アプリ間で使いまわされていた。そのため、不正なメモリアクセスに悪用されることがあったが、デスクトップで共有する仕組みは廃止され、アプリごとにツールチップを管理する仕組みへと移行された。デスクトップにツールチップは1つだけなので、表示されて消えるまでの寿命は従来通りカーネルが管理するが、メモリ上の管理はアプリ(ユーザーレベル)で行われるようになる。これにより、ツールチップをアプリをまたいで不正なメモリアクセスに悪用するのは難しくなる。
最後に、TLS(Transport Layer Security)サーバー認証証明書における1024bit RSA暗号鍵のサポートが廃止される。計算能力と暗号解読の進歩により十分な強度が期待できなくなったためだ。
そのほかにも、管理者向け機能として以下の機能が提供される。
・ Config Refresh(構成リフレッシュ) :管理者が「Microsoft Intune」や他のモバイルデバイス管理ツールにチェックインすることなく、定期的にデバイスへポリシー設定を再適用できるようにする
・ ファイヤーウォール :ルールを適用する際に問題が発生した場合、同じアトミックブロックのすべてのルールがロールバック。一部だけ展開されてセキュリティギャップが生じることがないように
・ 個人データ暗号化(PDE) :個人データを暗号化し、「Windows Hello for Business」でPCのロックを解除したときだけ復号
・ Zero Trust DNS :現在プライベートプレビュー中。Windowsデバイスがドメイン名によって承認されたネットワークの宛先のみに接続するよう制限