・悪意あるスクリプティングの実行 のバックアップ差分(No.5)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・悪意あるスクリプティングの実行 へ行く。
  • 1 (2019-11-10 (日) 13:16:43)
  • 2 (2019-11-10 (日) 13:35:16)
  • 3 (2019-11-10 (日) 16:13:30)
  • 4 (2019-11-12 (火) 15:23:00)
  • 5 (2019-11-15 (金) 10:28:34)
  • 6 (2019-11-18 (月) 14:20:58)
  • 7 (2019-11-20 (水) 13:54:03)
  • 8 (2020-02-08 (土) 16:00:29)
  • 9 (2020-03-19 (木) 14:44:42)
  • 10 (2020-03-24 (火) 13:45:00)
  • 11 (2020-03-26 (木) 14:24:07)
  • 12 (2020-07-25 (土) 16:25:59)
  • 13 (2020-08-12 (水) 11:15:13)
  • 14 (2020-08-30 (日) 09:57:41)
  • 15 (2020-10-19 (月) 09:13:38)
  • 16 (2020-10-20 (火) 14:07:44)
  • 17 (2020-10-20 (火) 16:55:21)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-12T15:23:55+09:00","","")
[[IPA一般公開用]] [[設定対策]]
#author("2019-11-15T10:28:34+09:00","","")
[[IPAセキュリティPT評価版]]
* [#r5448e20]

**戦術 [#u522881a]
悪意あるスクリプティングの実行

**対象OS [#ec1ea8d3]
-Linux
-Windows
-macOS

**必要なアクセス許可 [#pa0e97e2]
User

**概説 [#r5f4284e]
Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。
多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)を初期の侵入に使い、侵入に成功すると、PowerShellや他のスクリプト言語を使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。
Windowsの場合は、VBScript、PowerShell、コマンドラインバッチ、Linuxの場合はBashなどがスクリプティングに該当します。それぞれ、コマンドの実行や条件判断が可能で、複雑な管理処理を容易にするためのOSの標準的なプログラミング機能ともいえます。
多くは、Word、Excelなどのデスクトップアプリケーションで利用が可能なVisual Basic for Application(VBA)を初期の侵入に使い、侵入に成功すると、PowerShellや他のスクリプト言語を使用して、情報の収集や水平展開を図ります。このため、スクリプトの制限をかけることは、幅広く効果的です。
一方で、スクリプトを使った管理や業務が止まるなどの弊害もあることから、移行期間中は、全面的に禁止することが困難です。この場合は、スクリプトへの署名の実施や、スクリプトを実行する端末を特定し、文書化して、ログの監査を実施するなどの運用で、悪意のあるプログラムの検出を行います。~

**緩和の方針 [#vd99c380]
スクリプトが必要な端末を特定し、Windowsの場合、スクリプトの署名を最優先とします。~
スクリプトのログ設定を行い監査を行い検知に努めます。~
スクリプトが不要な端末にはOfficeのグループポリシーを設定し、保護されたビューを有効にします。~


**運用やNetworkが変更された場合の影響の有無 [#w6d2fcae]
文書化されていない端末でスクリプトの実行が許可されると、検知が困難になりリスクが高くなります。~
スクリプトが許可されているポリシーのOUにPCを異動する場合は必ず文書を改訂し、監査対象とする必要があります。~
社内で作成された署名されたScriptを文書化します。

**優先すべき措置 [#ec35b7cb]
Windowsの場合、署名されたScriptだけを実行許可します。
端末の特定と文書化、ログ監査を実施します。
Officeのグループポリシーを設定します。

**ユーザー運用管理責任 [#c0083455]
***リスクの受容 [#n21713c0]
一般的にスクリプトはOSの標準機能のため、動作を完全に停止することが困難な場合があります。極めて重要な情報資産が存在する場合は、この攻撃を受容し、他の防御方法を検討します。


***啓発・教育 [#j2b4f555]
該当なし。

***利用規定 [#f507696b]
管理上、スクリプティングが必要な端末、サーバーの監査規程。
署名用証明書の管理規程。

**情報システム設計開発部門・運用部門（ベンダー代行を含む) [#reeb7725]
***NWデザイン [#f02edd1a]
該当なし。
***アクセスコントロール [#we0bbdb7]
+PowerShell
+PowerShell
[[・PowerShellの悪用]]~
+[[Windows Script Hostの制御設定]]
本設定は、JScript、VBScript のホストエンジンである、Windows Script Host の動作設定を停止もしくは署名されたスクリプトのみ許可にするため、WSHを活用しているシステムの場合、運用に影響を及ぼします。
+Internet Explorer でのVBScript~
Windows 10 は2019年7月9日より、Windows 8.1 以前は2019年8月13日よりInternet Explorer 11 ではデフォルトで無効になったため、以下のサイト掲出のレジストリを確認する。なお、VBScriptはEdgeでは動作しない。~
[[Internet Explorer でインターネット ゾーンと制限付きサイト ゾーンに対して VBScript の実行を無効にするオプション:https://support.microsoft.com/ja-jp/help/4012494/option-to-disable-vbscript-execution-in-internet-explorer-for-internet]]

***フィルタリング [#me0bb27c]
[[Officeのグループポリシーの設定]]。~
UTM（悪意あるサイト、コンテンツのブロック）の導入。 侵入検知システムの導入。
***ロール運用 [#y2cc74b4]
署名管理者の設定。
***仮想端末運用 [#u893b624]
該当なし。
***エンドポイント対策 [#u1a8e6f6]
アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。
Endpoint Detection and Responseの導入。
**受託開発ベンダー管理責任 [#tf91f9ad]
***セキュアコーディング [#g8cd9d0d]
スクリプトへの署名実施。
***開発環境管理 [#n5bc34f1]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#l0f9dfc8]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。




#br
#br
----
#article