- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-10-19T09:13:38+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
#freeze
#author("2020-11-04T16:29:46+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:悪意あるプログラムの実行、永続化、防御の回避[#u522881a]
-MITRE ATT&CK
--[[T1059.001 Command and Scripting Interpreter: PowerShell>https://attack.mitre.org/techniques/T1059/001/]]
--[[T1059.003 Command and Scripting Interpreter: Windows Command Shell>https://attack.mitre.org/techniques/T1059/003/]]
--[[T1059.005 Command and Scripting Interpreter: Visual Basic>https://attack.mitre.org/techniques/T1059/005/]]
--[[T1037.001 Boot or Logon Initialization Scripts: Logon Script (Windows)>https://attack.mitre.org/techniques/T1037/001/]]
--[[TA0005 Defense Evasion>https://attack.mitre.org/tactics/TA0005/]]
*概説 [#r5f4284e]
Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。
多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)や、VBScriptを初期の侵入に使い、侵入に成功すると、PowerShellやコマンドラインインターフェースを使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。
Windowsの場合は、VBScript、PowerShell、コマンドラインバッチがスクリプティングに該当します。また、開発環境やサーバーでは、Python、JavaScript/JScriptも該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。 ~
脅威の多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application (VBA)や、VBScriptを初期の侵入に使い、侵入に成功すると、PowerShellやコマンドラインインターフェースを使用して、マルウェア本体のダウンロードや情報の収集、水平展開を図ります。
*緩和の方針 [#vd99c380]
-スクリプトが必要な端末を特定し、署名されたスクリプトのみ実行許可とします。もしくはAppLockerによるスクリプト制御を検討します。
-スクリプトが不要な端末には Office のグループポリシーを設定し、保護されたビューを有効にします。
-スクリプトを使ったファームアップデートなどが止まる可能性もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、[[・コマンドラインインターフェースの監査]]を実施するなどの運用で、悪意のあるプログラムの検出を行います。~
スクリプトが必要な端末を特定し、電子署名されたスクリプトのみ実行許可とします。もしくはAppLockerによるスクリプト制御を検討します。但し、スクリプトを使ったファームアップデートなどがあることから注意が必要です。~
VBAが不要な端末には Office のグループポリシーでVBAの実行を Default で禁止設定し、必要な端末では電子署名されたVBAのみ実行許可とし、全端末で保護されたビューを有効にします。
*運用やNetworkが変更された場合の影響の有無 [#w6d2fcae]
-文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。
-スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。
-文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。新たにスクリプトを許可する場合は、必ず文書を改訂し、監査対象とする必要があります。
*優先すべき措置 [#ec35b7cb]
-Windowsの場合、マクロに電子署名を実施し、電子署名された Script だけを実行許可します。もしくは AppLocker の導入を検討します。
以下の措置を優先します。
-Windowsの場合、VBA、PowerShellに電子署名を実施し、電子署名された Script だけを実行許可します。電子署名証明書は秘密鍵のエクスポートが出来ないように設定します。
-アジャイル開発等で電子証明書の導入、設定が困難な場合は、AppLocker の導入を検討します。
-端末の特定と文書化、ログ監査を実施します。
-Officeのグループポリシーを設定します。
*ユーザー運用管理責任 [#c0083455]
**リスクの受容 [#n21713c0]
一般的にスクリプトはOSの標準機能のため、動作を完全に停止することが困難な場合があります。スクリプトを実行する端末、サーバーから重要資産を移動した上で、この脅威を受容し、他の防御方法を検討します。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):BGCOLOR(#44546A):CENTER:特権|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスク受容のための条件例|h
|プログラム開発担当者|Local Administrator|スクリプトへの署名。ドメインコントローラー、メンバーサーバー、担当者端末のスクリプト実行のログ監査。|
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等|~|
|VBAを利用する業務担当者|標準ユーザー|スクリプトへの署名、担当者端末のスクリプト実行ログの監査。Local Administrators に含めない。|
|役職者、研究者、秘書|標準ユーザー|Local Administrators に含めない。|
|上記以外の一般業務担当者|標準ユーザー|Local Administrators に含めない。|
**啓発・教育 [#j2b4f555]
-対象:すべての端末利用者
--インターネットからダウンロードした、もしくは、電子メールに添付された Office 文書、PDF は保護されたビューで閲覧するようにし、編集・印刷する際は、信頼できるダウンロード先か、信頼できる送信元かを確認した上で編集・印刷するように理解を求めます。
-対象:Office マクロ(VBA)利用者
-対象:Office VBA利用者
--マクロの実行許可された端末はマルウェア攻撃の可能性が高いことを理解させます。
--マクロファイル利用中の電子メール、Web閲覧のリスクを理解させます。
--通常はマクロの実行を禁止しておき、マクロ付きファイルを開く際にマクロ実行を許可し、処理が終了したら、マクロの実行を禁止するバッチファイルの作成、利用を義務付け、もしくは代替措置を講じます。
-- 署名が出来ない場合は、通常はマクロの実行を禁止しておき、マクロ付きファイルを開く際にマクロ実行を許可し、処理が終了したら、マクロの実行を禁止するバッチファイルの作成、利用を義務付け、もしくは代替措置を講じます。
**利用規定 [#f507696b]
**管理規程 [#f507696b]
以下の規定の整備を検討します。
-管理上、スクリプティングが必要な端末、サーバーの監査規程。
-電子署名用証明書の管理規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#reeb7725]
**ポリシー [#j026b26d]
-[[・コマンドラインインターフェースの監査]]
-[[Officeのグループポリシーの設定]]。
**NWデザイン [#f02edd1a]
重要資産が保存されている端末、サーバーのネットワーク分離と電子メール、Web接続の禁止。
**アクセスコントロール [#we0bbdb7]
+PowerShell
[[・PowerShellの悪用]]~
+[[Windows Script Hostの制御設定]]
以下のポリシー設定を検討して下さい。
-[17章・コマンドラインインターフェースの悪用]、[18章・PowerShellの悪用] を参考にして、コマンド、スクリプト実行のログ取得を設定する。
-[[Office マクロの影響]] を参考にして、VBA使用が必要な端末の制御設定をする。
**モニタリング [#j12fe704]
20.7.2 モニタリング
以下の監査の実施を検討します。
-コマンドラインインターフェースの監査
--前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審な msinfo32、systeminfo等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
-PowerShellスクリプトの監査
--[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
**ネットワークデザイン、アクセスコントロール、フィルタリング [#f02edd1a]
攻撃者はメールやWebサイトを通じて、悪意あるスクリプトをダウンロードすることから、重要資産が保存されている端末、サーバーのネットワーク分離と電子メール、Web接続の禁止を検討します。~
以下のアクセスコントロールを検討します。
-PowerShell
[[・PowerShellの悪用]] の設定を検討します。
-[[Windows Script Hostの制御設定]] の設定を検討します。~
本設定は、JScript、VBScript のホストエンジンである、Windows Script Host の動作設定を停止もしくは署名されたスクリプトのみ許可にするため、WSHを活用しているシステムの場合、運用に影響を及ぼします。
+Internet Explorer でのVBScript~
Windows 10 は2019年7月9日より、Windows 8.1 以前は2019年8月13日よりInternet Explorer 11 ではデフォルトで無効になったため、以下のサイト掲出のレジストリを確認する。なお、VBScript は Edge では動作しない。~
[[Internet Explorer でインターネット ゾーンと制限付きサイト ゾーンに対して VBScript の実行を無効にするオプション:https://support.microsoft.com/ja-jp/help/4012494/option-to-disable-vbscript-execution-in-internet-explorer-for-internet]]
**フィルタリング [#me0bb27c]
-UTM(悪意あるサイト、コンテンツのブロック)の導入。 侵入検知システムの導入。
**ロール運用 [#y2cc74b4]
署名管理者を任命し、マクロの署名、管理を実施する。
**仮想端末運用 [#u893b624]
該当なし。
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#u1a8e6f6]
アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。
Endpoint Detection and Responseの導入。
アンチウイルスソフトのパターンファイルの日次更新、クイックスキャンの日次実施、完全スキャンの週次実施をします。~
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。
*受託開発ベンダー管理責任 [#tf91f9ad]
**セキュアコーディング [#g8cd9d0d]
スクリプトへの署名実施。
スクリプトへの署名を実施します。
**開発環境管理 [#n5bc34f1]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
**サプライチェーン正常性維持" [#l0f9dfc8]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
