Windows 10の種類

Windows 10にはいくつかのエディションがあります。
個人利用向けの「Home」や、企業ユーザ向けの「Pro」、「Enterprise」といった一般的に普段使う機会の多いものや、組込み機器等特殊用途の「IoT」といったエディションがあります。
今回はこの「Windows 10 IoT」について調べたことをまとめます。

Windows 10の基礎の基礎、エディションの種類や比較など | パソコン工房 NEXMAG

Compare Windows 10 Editions: Pro vs. Enterprise – Microsoft

Windows 10 IoTについて

Windows 10 IoTは特定用途のOSです。これまでEmbeddedとして呼ばれていたもののに相当するものです。
Windows 10 IoTはPOS端末や工場の生産ラインで使用される端末に導入されるイメージがありますが、リモートワークに使用するケースもあります。

また、Windows 10 IoTの中でもさらに種類が分かれています。

• Windows 10 IoT Enterprise
• Windows 10 IoT Core

Windows 10 IoT Enterprise

Windows 10 IoT Enterpriseは企業利用を想定したものです。
用途としては特定用途機器に搭載したり、昨今のリモートワーク普及で利用可能な社外利用の端末（シンクライアント端末）として使われます。
通常のWindows 10 EnterpriseとIoT Enterpriseでは以下のような違いがあります。

ロジテックのWindows 10 IoT Enterprise | Win10 IoTなら

上記の通り2つのOSは基本的には同じOS（バイナリ）であり、IoTでは特定用途のための機能制限（LockDown）が拡充されているものとなります。

同じOSであるため、IoT Enterpriseは、一部使用できないアプリ（EdgeやOffice等）の制限があるものの、通常のEnterpriseと同じようにADによる管理も可能です。

※リモートワークを例に考えた場合は、以下のような制限をかけることが可能です。

• 端末内に情報を記録させない
• 業務に不要なアプリケーションを起動させない（社内にVPN接続させるためのアプリケーションのみ起動可能等）

また、LTSCという更新プログラムで利用するケースも多くあります。
LTSCでは、Windows 10で行われる「機能更新」がなく、修正プログラムの提供のみとなるため、特定用途の端末においては、利用開始した環境でそのまま使い続けることが可能で、通常の端末にあるような機能更新に伴う端末評価が不要となるメリットがあります。

Windows 10 IoT Enterprise の概要 - Windows IoT | Microsoft Docs

Widnows 10 IoTのロックダウン機能

ロックダウン機能には以下のようなものが含まれています。

Windows IoT Core

Windows 10 IoT Coreはラズベリーパイのような小型のコンピュータにも搭載可能なOSで、Windows 10 IoT Enterpriseと比較して機能が制限されたものです。

「Windows 10 IoT Core」の現状とラズパイ3へのインストール（1/3 ページ） - MONOist

また、IoT Coreは個人で無償利用が可能であり、ライセンスの認証がありません。

Windows IoT Core今後の展望

Microsoftは2021年に「Windows 10 IoT Core」と「Windows 10 IoT Enterprise」を統合を予定しているようです。
それによりWindows 10 IoT Enterpriseに統一化されるようです。

「Windows 10 IoT Core」と「Windows 10 IoT Enterprise」、2021年に統合へ - ZDNet Japan

Windows IoT Coreを使ってみる

Windows 10 IoT CoreをRaspberry Piにインストールしてみました。

１．Windows 10 IoT Core Dashboardをインストール
Microsoftのサイトから「Windows 10 IoT Core Dashboard」をダウンロードしてインストールします。
この作業は、ラズベリーパイのイメージを作成する端末で行います。

２．SDカードに書き込み

以下のように必要事項を入力し、書き込みを実行します。

しばらくして、以下の画面が表示されたら書き込み完了です。

３．ラズベリーパイの起動
Windows IoT CoreをインストールしたSDカードをラズベリーパイに接続し起動します。
インストールできているとOSが起動されます。

参考にさせていただいたサイト

https://shop.epson.jp/pc/emb/embqa/images/enbga.pdf

www.atmarkit.co.jp

2021年2月に気になったニュースをまとめます。

dllとは

dllファイルはDynaminc Link Libraryの略で、単体で実行することはできず、exe等のプログラム実行時にリンクされ、メモリ上に展開されることで利用されます。
dllファイルには多くのプログラムが共通して必要とする機能が収められています。

dllファイルとセキュリティ

dllに関連した攻撃として「dllハイジャッキング」があります。

DLL乗っ取りとはOSのプログラム実行順序を不正に操作し、正規のDLLではなく不正なDLLを実行させる攻撃手法のことです。
WindowsのDLLとは、プログラムのコンパイル時にリンクするのではなく、プログラムの実行時に同時にロードされるライブラリです。
DLLをロードする場合、どのディレクトリに目的のDLLが存在するか検索します。
見つかったDLLをロードしますが、このDLLを検索する順序を不正に操作し不正なDLLをロードさせること攻撃を"DLLハイジャッキング"と呼びます。

DLLハイジャッキングとは(DLL Hijacking) | サイバー攻撃大辞典

dllに関しては、各セキュリティベンダでも注意が必要なファイルとされています。

トレンドマイクロのサイト

ショートカットファイル(.LNK)やスクリプトファイル(.VBS, .JS)などは「実ファイルタイプ | 実際のファイルタイプ」フィルタでは設定できませんが、添付ファイルの「名前または拡張子」フィルタを使用して、拡張子を検出することができます。不正プログラムでは次のような拡張子がよく使用されるため、「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」リストの中でも特に検出を有効にすることを推奨します。

.BAT
.CHM
.CMD
.COM
.DLL
.EXE
.HTA
.JS or .JSE
.LNK
.PIF
.OCX
.SCR
.SYS
.VBS
.VBE

Q&A | Trend Micro Business Support

CISAによるEmotetに対する注意喚起

CISAでは、あわせて「Emotet」の影響を緩和する施策の実施を推奨。具体的には、実行ファイル「.exe」やライブラリファイル「.dll」のメール添付ファイルをブロックすることにくわえ、パスワードが設定されたzipファイルなど、セキュリティ対策ソフトでスキャンできないメールの添付ファイルについてもブロックすることをベストプラクティスに挙げた。

【セキュリティ ニュース】「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府（2ページ目 / 全3ページ）：Security NEXT

ZScalerの資料

https://www.idaten.ne.jp/portal/page/out/dsf2/C1187_maker.pdf

参考：dllの読み込みの順番

プログラムがdllを参照する際の検索順序はMicrosoftのサイトに記載があります。

1. アプリケーションのロード元となったディレクトリ
2. カレントディレクトリ
3. システムディレクトリ。通常はC:\Windows\System32\（このディレクトリは、GetSystemDirectory関数を呼び出して取得）
4. 16ビットシステムディレクトリ（このディレクトリパスを取得する専用の関数はありませんが、検索は実行される）
5. Windowsディレクトリ（GetWindowsDirector関数を呼び出して取得）
6. PATH環境変数で指定されているディレクトリ

※プログラムがカレントディレクトリからdllをロードしようとする際にプログラムに脆弱性があると、dllハイジャッキングが可能となります。

実際にdllファイルを使ってみる

dllについてわかってきたところで、実際にdllを作成してほかのプログラムから使用するということをやってみます。

概要

今回はVisual Studioでdllを作成し、作成したdllをVBAで呼び出してみることをやります。

dllの内容は引数に渡された文字列を「Hello」というメッセージの後に連結するものです。

※dllの作成とVBAの実行は別のPCで行いました。

dllの作成（Visual Studio）

Visual Studioを起動し、新しいプロジェクトを作成します。

テンプレートは「クラスライブラリ（.Net Framework）」を選択します。

プロジェクトが作成された後、プロパティの画面より「COM相互運用機能の登録」にチェックを入れます。

コードは以下の内容を入力しました。

dllのコード

Imports System
Namespace MyClass1
　　　Public Class MyClass1
　　　　　　Public Function Hello(ByVal sName As String) As String
　　　　　　　　　Return "Hello!! " & sName
　　　　　　End Function
　　　End Class
End Namespace

コードを入力後、「Release」を選択して実行します。

その後、作成されたdllファイルを別PCにコピーします。

VBAでdllを読み込む（別PCでの操作）

作成したdllをVBAより呼び出します。先ほどとは別のPCで操作を行います。

dllはCOMコンポーネント(Component Object Model)と呼ばれるものの一つで、dllを利用する場合はレジストリへの登録が必要な場合があります。

まずはレジストリへの登録を行います。RegAsm.exeというツールを使用して登録を行います。

コマンドの実行例

c:\Windows\Microsoft.NET\Framework\v4.0.30319>RegAsm.exe C:\test3.dll /tlb /codebase
Microsoft .NET Framework Assembly Registration Utility 4.8.4084.0
for Microsoft .NET Framework Version 4.8.4084.0
Copyright (C) Microsoft Corporation. All rights reserved.

RegAsm : warning RA0000 : 署名されていないアセンブリを /codebase を使用して登録すると、同じコンピューターにインストール されるその他のアプリケーションとの競合が生じる可能性があります。/codebase スイッチは署名されたアセンブリのみに使用できます。アセンブリに厳密な名前を付けて、再登録してください。
型は正常に登録されました。
アセンブリは 'C:\test3.tlb' にエクスポートされ、タイプ ライブラリは正常に登録されました。

補足：追加したレジストリの削除について

以下のコマンドにより、レジストリの登録は解除できるという情報を見ました。

コマンドの実行例

c:\Windows\Microsoft.NET\Framework\v4.0.30319>RegAsm.exe /u c:\test3.dll

※自分の環境ではレジストリが削除されなかったので「regedit」より「test3」（作成したdllの名前）というキーワード検索で使用後に削除しました。 

VBAを開き、「ツール」-「参照設定」より、作成したdllを選択します。

以下のコードを入力し、実行するとdllが読み込まれて実行されます。

VBAのコード

Option Explicit

Sub test()
　　　Dim objMyClass As New test3.MyClass1
　　　MsgBox objMyClass.Hello("iestudy")
End Sub

参考にさせていただいたサイト

archives2011-2018.fortinet.co.jp

excel.syogyoumujou.com

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

発行機関：経済産業省
発行年：2013年

参考

www.meti.go.jp

https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf

概要

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、クラウドサービスの利用増加にあたってのセキュリティ検討事項をまとめたもので、クラウドの安全な利用を促し、「クラウド利用者と事業者における信頼関係の強化に役立てる」ことを目的に公開されたガイドラインです。

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の位置づけ

以下は序文より抜粋したものです。

国内の組織の情報セキュリティには，国際的な規格（ISO/IEC 27002:2005）に準拠したJIS Q 27002:2006 情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範（以下「JIS Q 27002（実践のための規範）」という。）に基づく管理策の実施が推奨されており，実際に多く利用されている。

JIS Q 27002（実践のための規範）には，第三者の提供するサービスの利用に関する管理策があるが，組織がITを所有せずに全面的にクラウドコンピューティングを利用する場合には，この管理策が求める事項だけでは組織の情報セキュリティを確保するためには不足があるのが実情である。

そのため，クラウド利用者の視点からJIS Q 27002（実践のための規範）の各管理策を再考し，クラウドコンピューティングを利用する組織においてこの規格に基づいた情報セキュリティ対策が円滑に行われることを目的として，このガイドラインを作成した。

このガイドラインには，組織がクラウドコンピューティングを全面的に利用する極限状態を想定し，
①自ら行うべきこと，②クラウド事業者に対して求める必要のあること，さらに，③クラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて記載している。

組織において，このガイドラインを参考にクラウドコンピューティングに対応した情報セキュリティの仕組みを整備するとともに，クラウド利用者のみで行うことができない管理策を認識し，クラウド利用者がクラウド事業者に対して様々な情報を求める必要がある。

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、JIS Q 27002に基づきクラウド利用にあたっての管理策をまとめたものであり内容的にはJIS Q 27017にも関連するものです。

参考：JIS Q 27017

この規格は，2015年に第1版として発行されたISO/IEC 27017を基に，技術的内容及び構成を変更することなく作成した日本工業規格である。
この規格で規定する指針は，JIS Q 27002に規定する指針に追加し，これを補うものである。

https://kikakurui.com/q/Q27017-2016-01.html

Salesforceの一件に関連すると思う項目

Salesforce利用ユーザで発生したインシデント

Salesforceは2020年12月25日に、製品を利用しているユーザにおいて、設定ミスに起因した情報漏えいが発生していることを発表しました。

対象となる製品は「Experience Cloud（旧 Community Cloud）」「Salesforceサイト」「Site.com」で、外部のユーザに情報共有する際に、設定が適切でないと第三者からも情報を閲覧される恐れがあるといものです。
上記の件では楽天、PayPayでの被害が報じられています。

Salesforceでは、ゲストユーザセキュリティポリシーのベストプラクティスを参考にし、設定を確認することを推奨しています。

ベストプラクティス

help.salesforce.com

なお、上記の設定不備を検証できるツールも公開されているようです。

解説サイト：Salesforce Lightning Platformへの攻撃手法について

Salesforce Lightning Platformへの攻撃手法について | by monii | Dec, 2020 | Medium

PoC

github.com

ガイドラインに示されている指針

当該ガイドライン内「12.5 開発及びサポートプロセスにおけるセキュリティ」には以下のような記載がありました。

「12.5 開発及びサポートプロセスにおけるセキュリティ」
目的：業務用ソフトウェアシステムのソフトウェア及び情報のセキュリティを維持するため。

プロジェクト及びサポート環境は，厳しく管理することが望ましい。業務用ソフトウェアシステムに責任をもつ管理者は，プロジェクト又はサポート環境のセキュリティにも責任を負うことが望ましい。
変更によってシステム又は運用環境のセキュリティが損なわれないことを点検するために，管理者は，提案されているすべてのシステム変更のレビューを，確実にすることが望ましい。

「12.5.1 変更管理手順」

管理策
変更の実施は，正式な変更管理手順の使用によって，管理することが望ましい。

クラウド利用者のための実施の手引
クラウド利用者は，変更管理手順にクラウドサービスに関する内容を追加することが望ましい。

クラウド事業者の実施が望まれる事項
クラウド事業者は，クラウドサービスの変更に関して，必要に応じて次の事項を実施することが望ましい。
a)システム変更の実施に関するクラウド利用者への通知
b)システム機能の追加・変更に関するクラウド利用者への通知
c)ソフトウェアの更新についての版数の管理
d)システム変更についての監査証跡・変更履歴の管理及び利用者への提示

クラウドサービスの関連情報
クラウドサービスの利用においてはスケーラビリティの確保が十分になされているとはいえ，マルチテナントであることを考慮すれば，ある一定時期に十分なサービスが得られない場合があることに留意すること。また，IaaSやPaaSの契約形態においては自動的に帯域を確保する機能を有していないものもある。スケーラビリティ以外の変更管理においても同様に，自動化されたシステムに依存せずに，クラウド利用者自らが管理できる手順を明確にすることが期待される。

利用者側の管理策として、システム変更がある場合のレビューが示されています。
これがSalesforceの件に関して、利用者側としての確認に関連すると見れます。
ただし実際の問題として、管理者がそこまで追従するのは難しいのが現状ではないかと思います。

対策となると思われるソリューション

クラウドの設定を調査するようなサービスはいくつか提供されているようです。
サービスの内容までは把握できていませんが、以下のようなサービスで対応しているクラウドサービスであれば、Saleforceの件の対策案の一つになるかもしれません。
ゆくゆくはCSPMも対応できるソリューションになるのでしょうか。

ソリューションの例

ascii.jp

www.kccs.co.jp

参考にさせていただいたサイト

news.yahoo.co.jp

news.yahoo.co.jp

piyolog.hatenadiary.jp

概要

「NTTカード重要なお知らせ」という件名のメールが届きました。
そもそも、NTTカードというものを利用していないので、これはフィッシングメールです。今回は届いたメールの内容を見てみました。

メールの内容

一見するとそれらしい文章が並んでいるように見えますが、おかしな敬語や文章がつながっていない部分がいくつもあります。

また、文章内のリンクは正規のサイトのように見えますがテキスト表示してみると不正なURLにリンクされています。

文面をテキスト表示した結果

<br>ご利用確認はこちら<br>
<br><a href="https://d-card.lol/" target="_blank" rel="noreferrer">https://d-card.jp/st/

www.virustotal.com

参考：「.lol」ドメインについて

lolドメインは知らなかったので調べてみました。

「lol」は「laugh out loud」の略で、日本では「(笑)」「w」の意味に近いとされています。

japan.cnet.com

これは、皮肉なのかな。。。

フィッシングサイトの様子

youtu.be

※フィッシングサイトへのアクセスはマルウェアに感染する場合もあるので、アクセスには注意が必要です。

www.ipa.go.jp