トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Windowsタスクスケジューラ at, schtasks の悪用 のバックアップ(No.16)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:悪意あるプログラムの実行

概説

at コマンド(Windows 8.1まで)や、schtasks コマンド(windows10) は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに起動することが可能です。
また、schtasks コマンドは、リモートコンピュータに対しても設定が可能なため、AdministratorsのメンバーのID/Passwordが窃取されていた場合、ネットワーク上の他の端末、サーバーに対してタスクの設定が可能です。但し、リモートコンピュータ上のパーソナルファイアーウォールで「ファイルとプリンターの共有」が閉じている場合はリモート設定が不可能になりますので、必要に応じて、パーソナルファイアーウォールの「ファイルとプリンターの共有」を無効にすることも検討してください。同様に、ローカルのAdministratorのID/Passwordが全社共通の場合は、大規模な水平展開が可能となります。この手法の防御については、・Pass the HashLAPS (Local Administrator Password Solution) を参照してください。

緩和の方針

新たなタスクの登録の検出に努めます。

運用やNetworkが変更された場合の影響の有無

アカウントの認証情報が漏洩すると、悪用されるリスクが非常に高くなります。極力、限定された権限のアカウントを利用します。

優先すべき措置

検出を優先します。

  • タスクスケジューラの登録を監査します。詳細は18.9 タスクスケジューラのポリシー設定を参照してください。
    • イベントログ「Microsoft-Windows-TaskScheduler/Operational」で、イベントID 106 [タスクが登録されました] を調査し、文書化された登録タスク以外のタスクを検索します。
  • 認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成します。

ユーザー運用管理責任

リスクの受容

ドメインコントローラー、メンバーサーバと特権管理者の端末に対して新たなTaskが追加されているかを監査します。

業務特権リスク受容のための条件例
プログラム開発担当者Local Administratorドメインコントローラー、メンバーサーバー、担当者端末のTask Scheduler ログ監査。
Help Desk 担当者Domain/Local Administrator
システム管理者Enterprise/Domain/Local Administrator
部門管理者(OUの委任)OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等
役職者、研究者、秘書標準ユーザーLocal Administrators に含めない
上記以外の一般業務担当者標準ユーザーLocal Administrators に含めない

啓発・教育

特権管理者にTask Scheduler の危険性の理解を求めます。

利用規定

タスク登録を文書化し保存します。 ドメインコントローラー、メンバーサーバー、特権管理者の端末のタスクスケジューラの監査規程を策定します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・タスクスケジューラのポリシー設定 を参照してください。

ネットワークデザイン

該当しません。

アクセスコントロール

該当しません。

フィルタリング

該当しません。

仮想端末運用

該当しません。

エンドポイント対策

Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

受託開発ベンダー管理責任

セキュアコーディング

タスクスケジューラが起動するプログラム、スクリプトの権限を最小化し、文書化し、ユーザーと合意してください。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。