・データの暗号化 のバックアップ(No.6)
情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?
データの暗号化 †
戦術 †
持ち出し
対象OS †
- Linux
- Windows
- macOS
概説 †
攻撃者は外部にデータを持ち出す際に、検出を免れるためデータを暗号化して外部に送信する場合があります。暗号化は、JCE(Java 暗号化拡張機能)やWindows CNG(Cryptography Next Genaration) APIを使ったり、悪意あるプログラムオリジナルのアルゴリズムで暗号化されます。RAR、Zipなどのアーカイブも利用されます。
- 利用された暗号形式 出典: https://attack.mitre.org/techniques/T1022/
- AES、3DES、DES、RC4
- BASE64エンコード
- AESで暗号化の後、BASE64でエンコード
- XOR
- 単純置換暗号+XOR
- XOR+Zip
緩和の方針 †
- この攻撃手法はシステム機能の悪用に基づいているため、予防的設定では軽減できません。
- コマンドラインインターフェースの監査など事後的な検出に努めますが、必ずしも検出できるとは限りません。
運用やNetworkが変更された場合の影響の有無 †
- 該当なし。
優先すべき措置 †
- コマンドラインインターフェースの監査の実施を検討します。
ユーザー運用管理責任 †
リスクの受容 †
- システムの機能を悪用するため、予防的設定は困難です。
啓発・教育 †
- 該当なし。
利用規程 †
- 該当なし。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
Windowsグループポリシー †
- 該当なし。
モニタリング †
- コマンドラインインターフェースの監査を検討します。
NWデザイン †
- 該当なし。
アクセスコントロール †
- 該当なし。
フィルタリング †
- 該当なし。
ロール運用 †
- 該当なし。
仮想端末運用 †
- 該当なし。
エンドポイント対策 †
- 該当なし。
受託開発ベンダー管理責任 †
セキュアコーディング †
- 該当なし。
開発環境管理 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。