1. まとめトップ

2014年7月18日のtwitterセキュリティクラスタ

2014年7月18日のtwitterセキュリティクラスタです。USBメモリ禁止って会社多いですけどね。

更新日: 2014年07月19日

0 お気に入り 1595 view
お気に入り追加

この記事は私がまとめました

yousukezanさん

もしかするとヘボいソリューションでは防げてなかったかもしれない外部USBメモリ接続について。

USBデバイスの制御系のセキュリティソリューションで、WindowsのUSBマスストレージのAPIを使った制御をしているやつは、スマートフォンとか、カメラのストレージとして認識された場合にUSBの書き込み制御が効かない場合がある既知の脆弱性が表沙汰になってしまった・・・

@kawasan3 @connect24h USBマスストレージのAPIに割り込んでいるとか?USBデバイス自体を原則禁止にして,ホワイトリストで使えるものを定義するとかじゃ無いと駄目なんでしょうねぇ.

@connect24h 初めまして!富士通のポートシャッターなら大丈夫…ですよね?ちょっと会社のセキュリティ対策が気になったもので

その製品は知りませんが、別の製品は…RT @yuetuki1: 初めまして!富士通のポートシャッターなら大丈夫…ですよね?ちょっと会社のセキュリティ対策が気になったもので

@connect24h これって、ADのポリシーで塞いでてもクラス指定のやり方次第で書き込み制御効かない可能性もあるってことですよね?

ぶっちゃけると、別の方法でADで止めれますけどね。書けませんが。RT @mihochannel: @connect24h これって、ADのポリシーで塞いでてもクラス指定のやり方次第で書き込み制御効かない可能性もあるってことですよね?

デモ版配布してないからダメじゃないですかね。ただ、ドライバウェア以外の大手3社とかAPI制御タイプだから軒並みダメな気がしますよ。僕は、数個しか試してないけど・・・ RT @lumin: 代表的なもので試せるものってあります?

私の知る限り、ちゃんと対応している方が少ないです。ドライバ型以外・・・USBマスストレージ制御のほうが楽だからでしょうね。 RT @hira1sawa: @connect24h 明日、セキュリティ担当者にうちは大丈夫かの指示が飛びますね。。

Android携帯をPCに接続すると、USBマスストレージではなくて、MTPデバイスとして認識される場合がある。その場合、USBマスストレージベースの制御を行うセキュリティソリューションはUSBマスストレージではないので、制御できない。

MTPデバイスとして認識される場合があるということですね。 RT @kawasan3: @connect24h @mikage クラスが違う、ということかな。

それやるとキーボードとマウスも使えなくなるので、管理が大変。 RT @mikage: @kawasan3 USBマスストレージのAPIに割り込んでいるとか?USBデバイス自体を原則禁止にして,ホワイトリストで使えるものを定義するとかじゃ無いと駄目なんでしょうねぇ.

@connect24h @kawasan3 MTPってデジカメ繋げるだけですし,結構一般的ですよね.USB制限謳っているソフトでMTPは制御対象外とかだと,そのセキュリティソフト販売側もマズイ立場になりそうな気がします(^^;

ちゃんと見ると、仕様にUSBマスストレージのみ対応とか、小さく書いてたりしますよ。RT @mikage: @kawasan3 MTPってデジカメ繋げるだけですし,結構一般的ですよね.USB制限謳っているソフトでMTPは制御対象外とかだと,そのセキュリティソフト販売側もマズイ立場に

日本のセキュリティソフトって、入札仕様に︎さえつけば良いって製品あるので…RT @tomoki0sanaki: @connect24h @mikage @kawasan3 なんか、フリーソフトレベルの品質ですね・・・(毒)

そうそう。ちゃんと対応しているセキュリティ製品もありますよ。全部がダメなわけじゃないです RT @yng_hr: wpdとして認識されmtpでファイル転送できるとしても、中間フィルタが入る場合と入らない場合があったはず。使っている時ifsを使っていれば制御可能

いや、デバドラ型で対応しているソリューションを少なくとも2つはあります。マイナーですが・・・ RT @nikumarukun: それならUSB制御ソフトは無理ですね(>人<;)

正解 RT @mihochannel:これって、ADのポリシーで塞いでてもクラス指定のやり方次第で書き込み制御効かない可能性もあるってことですよね?

あまり製品が多くないのは、MTPのユーザーモードドライバーにフィルタドライバを入れる時、クラス全部に入れるのが困難な仕様だったからだと思います。 @connect24h

金融系の不正検知で育ったCWATはガチで良い製品だと思いますよ。RT @nikumarukun:あるのですね。派遣であちこちお仕事せてたのですが、CWAT採用している会社ばかりでした。

ベネッセのセキュリティ製品はあれかぁ。あれは止まらんな。SEIMでもないとログ監視にも向かないし、いろいろと納得。

Windowsマシンにスマートフォンを接続したときに、最近のスマートフォンでは大容量USBデバイスではなくMTPデバイスとして認識されるが、特定のレジストリキーの変更日時を調べることで、接続された機種、最初に接続した日時および最後に接続した日時を調べることができる。

HTL22、Nexus 5あたりはこれで初回および最終使用日時の調査ができた。 pic.twitter.com/0DdvEAyFwM

HKLM\SOFTWARE\Microsoft\Windows Portable Devices あたりのACLを調整しておけば、MTPなスマートフォンの接続の禁止もできそう。

@hasegawayosuke @s_hskz 既に配備済みのPCにレジストリ配布って難しいので、AD環境の場合は、グループポリシー配布というケースも多いですね。 動作原理は一緒。 難点は、会社支給のものだけ例外にする等ができないこと。

MTPの接続時の痕跡についてはSANSの資料がありますね: USB Devices and Media Transfer Protocol goo.gl/zisc5R

Windows 8系だとちょっと動きが異なるみたいですけど。

MTPデバイスを禁止したところで、悪意を持つ人がデータに触れたり閲覧できる事を禁止できるわけではないので、他の抜け道を探すだけの気がします。仕組みに問題があるのだとすれば、仕組みを変更しないと改善にならないですよね。

1 2