・悪意あるスクリプティングの実行のバックアップ(No.3)

IPA一般公開用? 設定対策?

†

↑

戦術 †

悪意あるスクリプティングの実行

↑

対象OS †

Linux
Windows
macOS

↑

必要なアクセス許可 †

User

↑

概説 †

Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)を初期の侵入に使い、侵入に成功すると、PowerShellや他のスクリプト言語を使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。一方で、スクリプトを使った管理や業務が止まるなどの弊害もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、ログの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。

↑

緩和の方針 †

スクリプトが必要な端末を特定し、Windowsの場合、スクリプトの署名を最優先とします。
スクリプトのログ設定を行い監査を行い検知に努めます。
スクリプトが不要な端末にはOfficeのグループポリシーを設定し、保護されたビューを有効にします。

↑

運用やNetworkが変更された場合の影響の有無 †

文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。
スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。
社内で作成された署名されたScriptを文書化します。

↑

優先すべき措置 †

Windowsの場合、署名されたScriptだけを実行許可します。端末の特定と文書化、ログ監査を実施します。 Officeのグループポリシーを設定します。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

一般的にスクリプトはOSの標準機能のため、動作を完全に停止することが困難な場合があります。極めて重要な情報資産が存在する場合は、この攻撃を受容し、他の防御方法を検討します。

↑

啓発・教育 †

該当なし。

↑

利用規定 †

管理上、スクリプティングが必要な端末、サーバーの監査規程。署名用証明書の管理規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

NWデザイン †

該当なし。

↑

アクセスコントロール †

PowerShell ・PowerShellの悪用
Windows Script Host (JScript,VBScript)の制御
Windows Script Hostの制御設定
Internet Explorer でのVBScript
Windows 10 は2019年7月9日より、Windows 8.1 以前は2019年8月13日よりInternet Explorer 11 ではデフォルトで無効になったため、以下のサイト掲出のレジストリを確認する。なお、VBScriptはEdgeでは動作しない。
Internet Explorer でインターネットゾーンと制限付きサイトゾーンに対して VBScript の実行を無効にするオプション

↑