・脆弱性を悪用した認証情報アクセスのバックアップ(No.12)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT＆CKに基づく詳細設定対策

戦術：認証情報アクセス †

MITRE ATT&CK
- T1212 Exploitation for Credential Access

概説 †

脆弱性を悪用した認証情報アクセスは、OS、アプリケーション、プロトコルの脆弱性を利用して、認証情報を窃取するものです。攻撃者は何らかの資格情報を得て、ユーザーと認証機関のやり取りを窃取し、脆弱性を利用して特権昇格や永続的な資格を得ます。脆弱性が利用されるため、攻撃であっても正規のプロセスとみなされることがあり、発見が困難となる場合があります。資格を取得されると、それ以降、自由に資格情報を使って攻撃ができるため危険です。。

↑

緩和の方針 †

攻撃者は脆弱性を狙うためセキュリティ更新プログラムの適用や、脆弱なプロトコルの利用停止が最優先となります。
一方で、セキュリティ更新プログラムの適用によって、ごくまれに特定の環境でシステムの動作に影響を及ぼす場合があります。可用性の観点から、システムの重要度に応じてセキュリティ更新プログラムのリリースに合わせて、動作テストを実施し、適用の可否の判定、適用できない場合は回避策の適用を行う運用体制を作る、もしくは、セキュリティ更新プログラム適用前のバックアップを保存しておき、セキュリティ更新プログラムをアンインストールする、もしくはバックアップから復元し、回避策を適用する運用体制を作ることが重要となります。

↑

運用やNetworkが変更された場合の影響の有無 †

セキュリティパッチが適切に適用されていない場合に、リスクが高まります。

↑

優先すべき措置 †

セキュリティ更新プログラムの適用をテストし速やかに適用します。特に、プロトコルに起因する脆弱性はネットワークからの攻撃に利用されるため、優先します。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

システムの特性上、速やかなパッチ適用が困難な場合は、以下を検討します。

ログ監査を強化します。
当該システムを Internet から切り離す、当該システムでの電子メールやWebの閲覧を禁止し、関連するポートを閉じることを検討します。

脆弱なプロトコルの使用を停止します。

業務	特権	リスク受容のための条件例
すべて	－	脆弱なプロトコルの使用停止。
プログラム開発担当者	Local Administrator	ドメインコントローラー、メンバーサーバー、担当者端末のコマンドライン、スクリプト実行、Windowsサービスインストールのログ監査。スクリプトへの署名と実行ポリシーの設定。侵入検知システムの導入。Internet接続の停止。
Help Desk 担当者	Domain/Local Administrator
システム管理者	Enterprise/Domain/Local Administrator
部門管理者（OUの委任）	OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等
VBAを利用する業務担当者	標準ユーザー	コマンドライン、スクリプト実行、Windowsサービスインストールのログ監査。スクリプトへの署名と実行ポリシーの設定。Local Administrators に含めない。
役職者、研究者、秘書	標準ユーザー	Local Administrators に含めない。
上記以外の一般業務担当者	標準ユーザー	Local Administrators に含めない。