トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・悪意あるスクリプティングの実行 のバックアップ(No.15)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:悪意あるプログラムの実行、永続化、防御の回避

概説

Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。 多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)や、VBScriptを初期の侵入に使い、侵入に成功すると、PowerShellやコマンドラインインターフェースを使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。

緩和の方針

  • スクリプトが必要な端末を特定し、署名されたスクリプトのみ実行許可とします。もしくはAppLockerによるスクリプト制御を検討します。
  • スクリプトが不要な端末には Office のグループポリシーを設定し、保護されたビューを有効にします。
  • スクリプトを使ったファームアップデートなどが止まる可能性もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、・コマンドラインインターフェースの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。

運用やNetworkが変更された場合の影響の有無

  • 文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。
  • スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。

優先すべき措置

  • Windowsの場合、マクロに電子署名を実施し、電子署名された Script だけを実行許可します。もしくは AppLocker の導入を検討します。
  • 端末の特定と文書化、ログ監査を実施します。
  • Officeのグループポリシーを設定します。

ユーザー運用管理責任

リスクの受容

一般的にスクリプトはOSの標準機能のため、動作を完全に停止することが困難な場合があります。スクリプトを実行する端末、サーバーから重要資産を移動した上で、この脅威を受容し、他の防御方法を検討します。

啓発・教育

  • 対象:すべての端末利用者
    • インターネットからダウンロードした、もしくは、電子メールに添付された Office 文書、PDF は保護されたビューで閲覧するようにし、編集・印刷する際は、信頼できるダウンロード先か、信頼できる送信元かを確認した上で編集・印刷するように理解を求めます。
  • 対象:Office マクロ(VBA)利用者
    • マクロの実行許可された端末はマルウェア攻撃の可能性が高いことを理解させます。
    • マクロファイル利用中の電子メール、Web閲覧のリスクを理解させます。
    • 通常はマクロの実行を禁止しておき、マクロ付きファイルを開く際にマクロ実行を許可し、処理が終了したら、マクロの実行を禁止するバッチファイルの作成、利用を義務付け、もしくは代替措置を講じます。

利用規定

  • 管理上、スクリプティングが必要な端末、サーバーの監査規程。
  • 電子署名用証明書の管理規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

NWデザイン

重要資産が保存されている端末、サーバーのネットワーク分離と電子メール、Web接続の禁止。

アクセスコントロール

  1. PowerShell ・PowerShellの悪用
  2. Windows Script Hostの制御設定 本設定は、JScript、VBScript のホストエンジンである、Windows Script Host の動作設定を停止もしくは署名されたスクリプトのみ許可にするため、WSHを活用しているシステムの場合、運用に影響を及ぼします。
  3. Internet Explorer でのVBScript
    Windows 10 は2019年7月9日より、Windows 8.1 以前は2019年8月13日よりInternet Explorer 11 ではデフォルトで無効になったため、以下のサイト掲出のレジストリを確認する。なお、VBScript は Edge では動作しない。
    Internet Explorer でインターネット ゾーンと制限付きサイト ゾーンに対して VBScript の実行を無効にするオプション

フィルタリング

  • UTM(悪意あるサイト、コンテンツのブロック)の導入。 侵入検知システムの導入。

ロール運用

署名管理者を任命し、マクロの署名、管理を実施する。

仮想端末運用

該当なし。

エンドポイント対策

アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。 Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任

セキュアコーディング

スクリプトへの署名実施。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。