・悪意あるスクリプティングの実行のバックアップ(No.11)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT&CKによる設定対策（絞り込み済み）?

悪意あるスクリプティングの実行 †

↑

戦術 †

悪意あるプログラムの実行
永続化

↑

必要なアクセス許可 †

User

↑

概説 †

Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)や、VBScriptを初期の侵入に使い、侵入に成功すると、PowerShellやコマンドラインインターフェースを使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。

↑

緩和の方針 †

スクリプトが必要な端末を特定し、Windowsの場合、スクリプトの署名を最優先とします。もしくはAppLockerによるスクリプト制御を検討します。
スクリプトが不要な端末にはOfficeのグループポリシーを設定し、保護されたビューを有効にします。
スクリプトを使ったファームアップデートなどが止まる可能性もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、・コマンドラインインターフェースの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。

↑

運用やNetworkが変更された場合の影響の有無 †

文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。
スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。

↑

優先すべき措置 †

Windowsの場合、署名されたScriptだけを実行許可します。もしくはAppLockerの導入を検討します。
端末の特定と文書化、ログ監査を実施します。
Officeのグループポリシーを設定します。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

一般的にスクリプトはOSの標準機能のため、動作を完全に停止することが困難な場合があります。スクリプトを実行する端末、サーバーから重要資産を移動した上で、この脅威を受容し、他の防御方法を検討します。

↑

啓発・教育 †

Office マクロ（VBA）利用者に対して、マクロの実行許可された端末はマルウェア攻撃の可能性が高いことを理解させます。
通常はマクロの実行を禁止しておき、マクロ付きファイルを開く際にマクロ実行を許可し、処理が終了したら、マクロの実行を禁止するバッチファイルの作成、利用を義務付けます。マクロファイル利用中は電子メール、Web閲覧を禁止する運用をトレーニングします。
電子メールに添付されたOffice文書、PDFは保護されたビューで閲覧するようにし、編集する際は、信頼できる送信元かを確認します。

↑

利用規定 †

管理上、スクリプティングが必要な端末、サーバーの監査規程。
署名用証明書の管理規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

↑

NWデザイン †

重要資産が保存されている端末、サーバーのネットワーク分離と電子メール、Web接続の禁止。

↑

アクセスコントロール †

PowerShell ・PowerShellの悪用
Windows Script Hostの制御設定本設定は、JScript、VBScript のホストエンジンである、Windows Script Host の動作設定を停止もしくは署名されたスクリプトのみ許可にするため、WSHを活用しているシステムの場合、運用に影響を及ぼします。
Internet Explorer でのVBScript
Windows 10 は2019年7月9日より、Windows 8.1 以前は2019年8月13日よりInternet Explorer 11 ではデフォルトで無効になったため、以下のサイト掲出のレジストリを確認する。なお、VBScriptはEdgeでは動作しない。
Internet Explorer でインターネットゾーンと制限付きサイトゾーンに対して VBScript の実行を無効にするオプション

↑