・悪意あるスクリプティングの実行 のバックアップ(No.2)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・悪意あるスクリプティングの実行 へ行く。
- 1 (2019-11-10 (日) 13:16:43)
- 2 (2019-11-10 (日) 13:35:16)
- 3 (2019-11-10 (日) 16:13:30)
- 4 (2019-11-12 (火) 15:23:00)
- 5 (2019-11-15 (金) 10:28:34)
- 6 (2019-11-18 (月) 14:20:58)
- 7 (2019-11-20 (水) 13:54:03)
- 8 (2020-02-08 (土) 16:00:29)
- 9 (2020-03-19 (木) 14:44:42)
- 10 (2020-03-24 (火) 13:45:00)
- 11 (2020-03-26 (木) 14:24:07)
- 12 (2020-07-25 (土) 16:25:59)
- 13 (2020-08-12 (水) 11:15:13)
- 14 (2020-08-30 (日) 09:57:41)
- 15 (2020-10-19 (月) 09:13:38)
- 16 (2020-10-20 (火) 14:07:44)
- 17 (2020-10-20 (火) 16:55:21)
†
戦術 †
悪意あるスクリプティングの実行
対象OS †
- Linux
- Windows
- macOS
必要なアクセス許可 †
User
概説 †
Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。
多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)を初期の侵入に使い、侵入に成功すると、PowerShellや他のスクリプト言語を使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。
一方で、スクリプトを使った管理や業務が止まるなどの弊害もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、ログの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。
緩和の方針 †
スクリプトが必要な端末を特定し、スクリプトのログ設定を行い監査を行い検知に努めます。
スクリプトが不要な端末にはOfficeのグループポリシーを設定し、保護されたビューを有効にします。
運用やNetworkが変更された場合の影響の有無 †
文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。
スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。
優先すべき措置 †
端末の特定と文書化、ログ監査の実施。 Officeのグループポリシーの設定。
ユーザー運用管理責任 †
リスクの受容 †
一般的にスクリプトはOSの標準機能のため、VBA、PowerShell以外の動作を完全に停止することが困難な場合があります。極めて重要な情報資産が存在する場合は、この攻撃を受容し、他の防御方法を検討します。
啓発・教育 †
該当なし。
利用規定 †
管理上、スクリプティングが必要な端末、サーバーの監査規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
NWデザイン †
該当なし。
アクセスコントロール †
- PowerShell ・PowerShellの悪用
フィルタリング †
ロール運用 †
仮想端末運用 †
エンドポイント対策 †
受託開発ベンダー管理責任 †
セキュアコーディング †
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。