・コマンドラインインターフェースの悪用のバックアップ(No.8)

IPAセキュリティPT評価版?

コマンドラインインターフェースの悪用 †

戦術 †

悪意のあるプログラムの実行

対象OS †

Linux
Windows
macOS

概説 †

OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。 Windowsの場合、ユーザーアカウント制御 (UAC) をバイパスして、悪意あるプログラムを密かに実行できる開発用のコマンドがあるため、必要に応じて、これらを削除するなども検討します。
Windows AppLocker、Windows Defender アプリケーション制御などで、UACをバイパスするコマンドの実行を制限することが可能です。
WDAC または AppLocker のどちらを使用するかを選ぶ

緩和の方針 †

OSの標準機能を悪用するため、完全な防御は困難な場合があります。
Windows AppLocker、Windows Defenderアプリケーション制御などで、ホワイトリスト、ブラックリストでの不要なコマンドンの実行制御を検討します。
アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。

運用やNetworkが変更された場合の影響の有無 †

重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。

優先すべき措置 †

アプリケーション制御の適用。コマンドライン実行ログの取得と監査。

ユーザー運用管理責任 †

リスクの受容 †

防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、検討が必要です。

啓発・教育 †

開発者端末の危険性の認識、管理規程の正しい理解を求める。

整備すべき規定 †

開発端末のログ取得及び監査規程。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

ポリシー †

・コマンドラインインターフェースの監査

モニタリング †

重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析。ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合、違反の状況の分析。

NWデザイン †

開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離。

アクセスコントロール †

[Windows AppLocker] でコマンドの実行を制限する。※Windows 10 はEnterprise Editionが必要。
[Windows Defender アプリケーション制御] でコマンドの実行を制限する。
[グループポリシーソフトウェアの制限のポリシー]で実行を制限する。※Windows 10(1803)以降は機能削除。

フィルタリング †

侵入検知システムの導入。

ロール運用 †

非開発者端末、サーバーにおけるアプリケーション制御。
開発者端末、サーバーにおけるアプリケーション制御。

仮想端末運用 †

デバッグ環境での仮想端末の利用。

エンドポイント対策 †

アンチウイルス。
Endpoint Detection and Response。

受託開発ベンダー管理責任 †

セキュアコーディング †

該当なし。

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。

----