・システム情報の探索のバックアップ(No.11)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT＆CKに基づく詳細設定対策

戦術：情報の探索 †

MITRE ATT&CK
- T1082 System Information Discovery

概説 †

攻撃者は、バージョン、パッチ・修正プログラムの適用、サービスパックの適用など、オペレーティングシステムとハードウェアに関する詳細情報を収集する場合があります。取得した情報によって、永続的な感染を試みたり、他の行動をとることがあります。

Windows
```
msinfo32
systeminfo
```
AWS
```
Application Discovery Service
```

GCP

GET /v1beta1/{{parent=organizations/}}/assets
POST /v1beta1/{{parent=organizations/}}/assets:runDiscovery

Azure

GET https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Compute/virtualMachines/{{vmName}}?api-version=2019-03-01

↑

緩和の方針 †

この手法はシステムの標準機能を悪用するため予防的設定が困難です。脆弱性を検出された場合、悪用される可能性があるため、脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行い、検出に努めます。

↑

運用やNetworkが変更された場合の影響の有無 †

該当しません。

↑

優先すべき措置 †

脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行います。
システム情報の取得に伴うコマンド実行の検出に努めます。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

脆弱性修正プログラムを適宜適用できない場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。

↑

啓発・教育 †

該当なし。

↑

管理規程 †

以下の規程の整備を検討します。

脆弱性修正プログラム適用規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

・コマンドラインインターフェースの悪用、・PowerShellの悪用を参考にして、コマンド、スクリプト実行のログ取得を設定します。

↑

モニタリング †

以下の監査の実施を検討します。

コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審な msinfo32、systeminfo等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
PowerShellスクリプトの監査
- [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

↑