・レジストリRunキーやスタートアップフォルダの悪用のバックアップ(No.8)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT&CKによる設定対策（絞り込み済み）?

レジストリRunキーやスタートアップフォルダの悪用 †

戦術 †

永続化

必要なアクセス許可 †

Administrators

概説 †

Windowsには、OSが起動した際に自動的にプログラムを起動させることができます。これは、①端末やサーバーが起動した際と、②特定のユーザーがログオンした際に、それぞれ分けて設定が可能です。攻撃者はこの機能を悪用し、端末やサーバーが再起動した際やユーザーがログオンした際に、悪意のあるプログラムを起動させ活動を永続化します。
この攻撃手法は、OSの基本機能の悪用に基づいているため、予防的設定では簡単に軽減できません。

緩和の方針 †

OSの基本機能を悪用しているため簡単に軽減できません。従って、ツールを使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。 Microsoft の純正ツールである Sysinternals の Autoruns が監査に有効です。
https://docs.microsoft.com/ja-jp/sysinternals/downloads/autoruns

運用やNetworkが変更された場合の影響の有無 †

該当なし。
この手法は、管理者権限で初期侵入や悪意あるプログラムが実行された後の結果です。そのため、監査されていない管理者権限の付与、初期侵入を招くような行為について調査をする必要があります。

優先すべき措置 †

重要な情報資産にアクセスする端末、サーバーに対して、Autoruns を使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。

ユーザー運用管理責任 †

リスクの受容 †

この攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。初期侵入や悪意あるプログラムの実行などでの阻止を検討します。

啓発・教育 †

ローカル管理者権限に対し、アプリケーションのインストールの方針（評価済みアプリケーション以外をインストールしない等）や、不審な電子メールの添付ファイルやリンクを開かないなどの理解を深めます。

利用規定 †

重要な情報資産にアクセスする端末、サーバーに対する監査規程。
レジストリのアクセス権の監査。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

NWデザイン †

該当なし。

アクセスコントロール †

レジストリのアクセス権を Administrators とします。

フィルタリング †

侵入検知システムの導入。

ロール運用 †

該当なし。

仮想端末運用 †

該当なし。

エンドポイント対策 †

アンチウイルスのパターンファイルの日次更新と、日次クイックスキャン、週1回以上の完全スキャンの実施。
Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任 †

セキュアコーディング †

該当なし。

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。