トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・難読化されたファイルまたは情報 のバックアップ(No.4)


IPAセキュリティPT評価版?

・難読化されたファイルまたは情報

戦術

防衛回避

対象OS

  • Windows

必要なアクセス許可

Administrator SYSTEM

概説

攻撃者はファイルやデータに悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化とはスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。

緩和の方針

Windows 10で実装されたマルウェア対策スキャンインターフェイス(AMSI)を利用し、スクリプトの振る舞いをアンチウイルスで評価します。AMSIに対応したアンチウイルスソフトが必要です。

運用やNetworkが変更された場合の影響の有無

AMSIに対応していないアンチウイルスソフトでは、緩和できない場合があります。

優先すべき措置

AMSIに対応したアンチウイルスソフトを導入します。

ユーザー運用管理責任

リスクの受容

AMSIに対応していないアンチウイルスソフトを導入した場合、このリスクを受容します。

啓発・教育

アンチウイルスソフトのAMSI設定を教育します。万一、設定が変更されていた場合は「動作」するように修正する手順を理解させます。

利用規定

アンチウイルスの運用規定の文書化、監査。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

NWデザイン

該当なし。

アクセスコントロール

該当なし。

フィルタリング

UTM(悪意あるサイト、コンテンツのブロック)、侵入検知システムの導入。

ロール運用

該当なし。

仮想端末運用

該当なし。

エンドポイント対策

アンチウイルス、Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

該当なし。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。