トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・システム情報の探索 のバックアップ(No.12)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策

戦術:情報の探索

概説

攻撃者は、バージョン、パッチ・修正プログラムの適用、サービスパックの適用など、オペレーティングシステムとハードウェアに関する詳細情報を収集する場合があります。取得した情報によって、永続的な感染を試みたり、他の行動をとることがあります。

  • Windows コマンドラインインターフェース
    msinfo32、systeminfo
    wmic
  • Windows PowerShell
    Get-wmiobject、Get-CimInstance、Get-ComputerInfo
  • Amazon Web Services
    Application Discovery Service
  • Google Cloud Platform
    GET /v1beta1/{{parent=organizations/}}/assets
    POST /v1beta1/{{parent=organizations/}}/assets:runDiscovery 
  • Microsoft Azure
    GET https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Compute/virtualMachines/{{vmName}}?api-version=2019-03-01

緩和の方針

この手法はシステムの標準機能を悪用するため予防的設定が困難です。システム情報から、脆弱性更新プログラムの適用状況が窃取され、脆弱性を検出された場合は悪用される可能性があるため、脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行い、検出に努めます。

運用やNetworkが変更された場合の影響の有無

該当しません。

優先すべき措置

以下の措置の実施を検討して下さい。

  • 脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行います。
  • システム情報の取得に伴うコマンド実行の検出に努めます。

ユーザー運用管理責任

リスクの受容

脆弱性修正プログラムを適宜適用できない場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。

啓発・教育

該当なし。

管理規程

以下の規程の整備を検討します。

  • 脆弱性修正プログラム適用規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・コマンドラインインターフェースの悪用・PowerShellの悪用 を参考にして、コマンド、スクリプト実行のログ取得を設定します。

モニタリング

以下の監査の実施を検討します。

  • コマンドラインインターフェースの監査
    • 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審な msinfo32、systeminfo等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
  • PowerShellスクリプトの監査
    • [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

ネットワークデザイン、アクセスコントロール、フィルタリング

該当しません。

仮想端末運用

これは将来のためのプレースフォルダーです。

ゲートウェイ及びエンドポイント対策

該当しません。

受託開発ベンダー管理責任

セキュアコーディング

該当しません。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。