Mark of the Web|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. Mark of the Web
             

Mark of the Web

Mark of the Web(MoTW)は、インターネットからダウンロードされたファイルに対してWindowsオペレーティングシステムが自動的に付与するセキュリティ機能です。MoTWは、ファイルがインターネットゾーンから取得されたことを示すメタデータであり、ダウンロードしたファイルが潜在的に危険である可能性を警告し、適切な保護を適用するために使用されます。この機能は、悪意あるコードの実行や、ダウンロードしたコンテンツの誤った利用によるセキュリティリスクを軽減することを目的としています。

MoTWは特にMicrosoft Officeのマクロやスクリプトファイルに関連するセキュリティの重要な要素であり、ランサムウェアやマルウェアを含むファイルをブロックするための第一防衛線として機能します。

Mark of the Webの特徴

1. インターネットゾーンの識別

MoTWは、ファイルがインターネット、イントラネット、またはローカルマシンから取得されたかを識別します。インターネットゾーンに分類されたファイルには、追加のセキュリティ制限が適用されます。

2. Zone.Identifierの使用

MoTWは、NTFSファイルシステムのZone.Identifierストリームという隠し属性を使用して、ファイルにゾーン情報を付与します。この情報は次のように分類されます:

  • Zone 0: ローカルマシン
  • Zone 1: ローカルイントラネット
  • Zone 2: 信頼済みサイト
  • Zone 3: インターネット
  • Zone 4: 制限付きサイト

ファイルが「Zone 3」に分類されると、セキュリティソフトやアプリケーションがそのファイルを警戒するようになります。

3. セキュリティプロンプト

インターネットゾーンから取得されたファイルを開く際、ユーザーには「このファイルはインターネットからダウンロードされました」といった警告メッセージが表示されます。このプロンプトにより、ユーザーはファイルの信頼性を再確認する機会を得ます。

4. アプリケーションによる活用

MoTWは、Microsoft Office、ブラウザ、アンチウイルスソフトなど、多くのアプリケーションで利用され、未確認のファイルを制限する際の判断材料となります。

Mark of the Webの目的と重要性

MoTWの主な目的は、ダウンロードしたファイルを実行する前にユーザーに注意喚起し、潜在的なセキュリティリスクを軽減することです。具体的な重要性を以下に説明します:

1. マルウェアの実行防止

MoTWは、外部から取得したファイルに制限を課すことで、悪意あるコードの実行を防ぎます。特にスクリプトファイル(例:.vbsや.bat)やMicrosoft Officeマクロが含まれるドキュメントの場合、MoTWによる制限が感染拡大の抑止に役立ちます。

2. ユーザーの注意喚起

「このファイルは安全か?」という問いをユーザーに投げかけることで、不審なファイルを誤って開くリスクを低減します。

3. ゼロデイ攻撃の抑制

ゼロデイ攻撃では、未知の脆弱性を利用したマルウェアが配布されることがあります。MoTWにより、不審なファイルが開かれる前にプロンプトが表示されるため、攻撃を遅延または防止できます。

Mark of the Webの仕組み

1. Zone.Identifierの付与

ファイルがインターネット経由でダウンロードされると、Windowsは自動的にそのファイルにZone.Identifierを付与します。このストリームには、次のような情報が含まれています:

[ZoneTransfer]
ZoneId=3

この情報は、ファイルが「インターネットゾーン」から取得されたことを意味します。

2. アプリケーションの動作制御

Zone.Identifierを確認することで、アプリケーションは以下のような動作を制御します:

  • Microsoft Office:マクロの無効化または警告メッセージの表示。
  • Webブラウザ:ファイルダウンロード時の警告表示。
  • Windows SmartScreen:不明なファイルの実行をブロック。

3. ユーザー操作の必要性

ユーザーがファイルを信頼する場合、警告メッセージを解除する必要があります。このプロセスを通じて、誤った操作が防止されます。

Mark of the Webの回避と悪用

1. セキュリティリスクの低減

信頼できないファイルにMoTWが付与されていれば、セキュリティリスクを低減できます。ただし、攻撃者がMoTWを無効化する方法を用いる場合もあります。

2. 悪意ある手法

攻撃者は、以下のような手法でMoTWを回避することがあります:

  • Zone.Identifierの削除:特定のツールやコマンド(PowerShellやストリーム削除ソフトウェア)を使用してMoTWを削除する。
  • 圧縮ファイルの利用:ZIPやRAR形式に圧縮することで、MoTWの付与を回避。
  • 別のダウンロード手法:ファイル共有やP2Pネットワーク経由での配布。

これらの手法により、MoTWのセキュリティ機能を無効化し、攻撃が実行される可能性があります。

Mark of the Webを活用した防御策

  1. セキュリティ設定の強化 Microsoft Officeやブラウザのセキュリティ設定を見直し、MoTWが適切に機能するように設定を調整します。
  2. ファイルの信頼性確認 ダウンロードしたファイルの出所や信頼性を確認し、不明なファイルを実行しないよう徹底します。
  3. バックアップの実施 万が一の感染に備え、重要なデータのバックアップを定期的に取ります。
  4. アンチウイルスソフトの利用 MoTWと併用することで、不審なファイルを検知・ブロックするセキュリティレイヤーを強化します。

まとめ

Mark of the Web(MoTW)は、インターネットからダウンロードされたファイルにセキュリティの識別情報を付与するWindowsの機能であり、悪意あるファイルの実行を防ぐ重要な役割を果たします。Zone.Identifierを活用することで、ファイルの安全性を評価し、適切な制限を課す仕組みは、日常的なセキュリティ対策として有効です。ただし、MoTWの回避手法が存在するため、アンチウイルスソフトやユーザー教育などの追加対策を併用することが推奨されます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。