トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・レジストリRunキーやスタートアップフォルダの悪用 のバックアップ(No.3)


IPAセキュリティPT評価版?

戦術

永続化

対象OS

  • Windows

必要なアクセス許可

Administrators

概説

Windowsには、OSが起動した際に自動的にプログラムを起動させることができます。これは、端末やサーバーが起動した際と特定のユーザーがログオンした際に分けて設定が可能です。この機能を悪用し、端末やサーバーが再起動した際に、自分自身も起動させ活動を永続化します。
この攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。

緩和の方針

ツールを使い自動起動アプリケーションとレジストリ、ファイルを監査します。 Microsoft Sysinternals の Autoruns が監査に有効です。

運用やNetworkが変更された場合の影響の有無

該当なし。 この手法は、管理者権限で初期侵入や悪意あるプログラムの実行を受けた後の結果です。そのため、監査されていない管理者権限の付与、初期侵入を招くような行為について調査をする必要があります。

優先すべき措置

重要な情報資産にアクセスする端末、サーバーに対して、ツールを使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。

ユーザー運用管理責任

リスクの受容

この攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。初期侵入や悪意あるプログラムの実行などでの阻止を検討します。

啓発・教育

ローカル管理者権限に対し、アプリケーションのインストールの方針(評価済みアプリケーション以外をインストールしない等)や、不審な電子メールの添付ファイルやリンクを開かないなどの理解を深めます。

利用規定

重要な情報資産にアクセスする端末、サーバーに対する監査規程。 レジストリのアクセス権の監査。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

該当なし。

アクセスコントロール

レジストリのアクセス権の監査。

フィルタリング

UTM(悪意あるサイト、コンテンツのブロック)の導入。 侵入検知システムの導入。

ロール運用

該当なし。

仮想端末運用

該当なし。

エンドポイント対策

アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。
Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

該当なし。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。