#author("2020-08-30T09:35:45+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[MITRE に基づく詳細設定対策]]
*戦術:永続化[#ze6f548a]
-MITRE ATT&CK
--[[T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder>https://attack.mitre.org/techniques/T1547/001/]]
*概説 [#wb862afb]
Windowsには、OSが起動した際に自動的にプログラムを起動させることができます。これは、①端末やサーバーが起動した際と、②特定のユーザーがログオンした際に、それぞれ分けて設定が可能です。攻撃者はこの機能を悪用し、端末やサーバーが再起動した際やユーザーがログオンした際に、悪意のあるプログラムを起動させ活動を永続化します。~
この攻撃手法は、OSの基本機能の悪用に基づいているため、予防的設定では簡単に軽減できません。
*緩和の方針 [#ee5575b1]
-OSの基本機能を悪用しているため簡単に軽減できません。従って、ツールを使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。 Microsoft の純正ツールである Sysinternals の Autoruns が監査に有効です。&br;
https://docs.microsoft.com/ja-jp/sysinternals/downloads/autoruns
*運用やNetworkが変更された場合の影響の有無 [#d0717a4d]
-該当なし。&br;この手法は、管理者権限で初期侵入や悪意あるプログラムが実行された後の結果です。そのため、監査されていない管理者権限の付与、初期侵入を招くような行為について調査をする必要があります。
*優先すべき措置 [#e2c02854]
-重要な情報資産にアクセスする端末、サーバーに対して、Autoruns を使い自動起動アプリケーションとレジストリ、ファイルを監査し、検出に努めます。
*ユーザー運用管理責任 [#o185194a]
**リスクの受容 [#x3603218]
-この攻撃手法は、システム機能の悪用に基づいているため、予防制御では簡単に軽減できません。初期侵入や悪意あるプログラムの実行などでの阻止を検討します。
**啓発・教育 [#b5d7fc0c]
-すべての端末利用者
--組織のアプリケーションのインストール規程(評価済みアプリケーション以外をインストールしない等)の理解と遵守を求めます。
--最新のフィッシングメールの事例、手口の理解を深めます。
-対象:ローカル Administrtors メンバー
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターで攻撃を阻止しないと、情報窃取、送信、漏洩等のリスクが高まることを理解させます。
--アプリケーションのインストールや保守以外での管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。
**利用規定 [#r5ac4c63]
-重要な情報資産にアクセスする端末、サーバーに対する監査規程。
-レジストリのアクセス権の監査。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#ka781be9]
**NWデザイン [#fd1f3ec0]
-該当なし。
**アクセスコントロール [#i7f9e613]
-レジストリのアクセス権を Administrators とします。
**フィルタリング [#afe935b7]
-侵入検知システムの導入。
**ロール運用 [#la5694c6]
-該当なし。
**仮想端末運用 [#gba2286c]
-該当なし。
**エンドポイント対策 [#ld30811c]
-アンチウイルスのパターンファイルの日次更新と、日次クイックスキャン、週1回以上の完全スキャンの実施。
-Endpoint Detection and Responseの導入。
*受託開発ベンダー管理責任 [#q9523809]
**セキュアコーディング [#w30e0338]
-該当なし。
**開発環境管理 [#y058375b]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#e7f33899]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
