- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-11-12T11:13:00+09:00","","")
[[IPA一般公開用]]
[[設定対策]]
*悪意のあるファイルを添付したフィッシングメール [#l318b003]
#freeze
#author("2020-12-22T14:38:33+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT&CKに基づく詳細設定対策]]
**戦術 [#k950d2ab]
初期侵入
**対象OS [#occd3537]
-Linux
-Windows
-macOS
**概説 [#u85905d9]
偽って取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。~
差出人は、eコマースサイト、宅配便業者、銀行、保険会社クラウドサービス事業者などさまざまですが、これらに限りません。~
マルウェアの初期侵入の経路として、このテクニックが最も使われており、この対策をしっかり行うことで、被害を相当軽減することが可能です。一方で、攻撃側は、「ご意見をおねがいします」「アンケートのお願い」「緊急」「口座を封鎖」などといった巧みな文面で添付ファイルを開かせようとします。~
マルウェアは、スクリプト言語や実行形式のプログラムを組み合わせて、様々な方法で感染を試みるため、スクリプト言語(VBA、PowerShellなど)の実行に制限をかけることが重要です。Active Directoryが導入されている場合は、Word、Excelのグループポリシーの設定をすべきです。~
VBAやPowerShellが必要な端末は、コード署名を行い、動作を許可する端末を文書化します。定期的にログの監査を行うことで、マルウェアの検出が可能となります。
マルウェア感染の影響を考えると、サーバーや開発環境での電子メールの運用やブラウザの利用は禁止します。分離が困難な開発端末などでは、端末に仮想環境を追加し、電子メールやブラウザからのマルウェアの混入を避けることも検討してください。
*戦術:初期侵入[#k950d2ab]
MITRE ATT&CK [[T1566.001 Phishing: Spearphishing Attachment>https://attack.mitre.org/techniques/T1566/001/]]
~
**緩和の方針 [#h8c939bd]
電子メールシステムと、重要資産が適切に分離され、適切に防御されている場合は、被害を受ける可能性が下がります。
但し、開発システム、重要システムなどが適切に分離されていない状況では、システムに侵入され直接的被害を被る可能性が極めて高くなります。
*概説 [#u85905d9]
攻撃者は、取引先や関係者を装い悪意あるプログラム(マルウェア)を電子メールに添付して送信します。本文には、添付ファイルの内容確認を促す内容が書かれています。添付ファイルを開くと、マルウェアが端末に送り込まれ、情報漏洩や改ざんなどの被害を受けます。~
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、クラウドサービス事業者、組織の上司、同僚、部下などさまざまですが、これらに限りません。また、同様の手法で、悪意のあるリンクを埋め込んだフィッシングメールがありますが、本対策を参考にしてください。~
マルウェアの初期侵入の経路として、この手法は最も多用されており、被害を軽減するために対策を行う必要があります。攻撃側は、以下のような件名や巧みな文面で、心理的な圧迫を与え添付ファイルを開かせようとする特徴があります。
-ご意見をおねがいします
-アンケートのお願い
-緊急
-口座を封鎖
-アカウントが凍結されました
-履歴書送付
**運用やNetworkが変更された場合の影響の有無 [#a0adfee4]
重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。
**優先すべき措置 [#zb9d7146]
メール閲覧端末と、重要資産を有するシステム、端末厳格な分離の検討。
脆弱性アップデートの徹底。
アンチウイルスでの完全スキャンの実施。
Officeマクロの使用制限(保護ビュー設定)と使用許可端末の文書化、監査。
侵入検知システムの導入。
**ユーザー運用管理責任 [#b6ef8f3c]
***リスクの受容 [#bc0a2dcf]
ZeroDayなどの未知の脆弱性を使った特定個人を狙う標的型攻撃が想定される場合で、守るべき資産の漏洩、改ざんを受けても被害が軽微と想定される場合は、受容するものとし、保険での損害賠償を検討します。
***啓発・教育 [#lf58a54d]
ユーザートレーニングで、知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない、Officeの保護されたビューの重要性の理解を促進してください。
[[フィッシング対策協議会:https://www.antiphishing.jp/]]から最新の手口を入手し、ユーザーと共有してください。
***利用規程 [#e13c026d]
VBA、スクリプトを使用する端末の文書化と定期監査の規程。
仮想端末利用規程。
脆弱性アップデート及びアンチウイルス運用規程。(確実なアップデートの実施と完全スキャンの強制)
*緩和の方針 [#h8c939bd]
多重的に緩和策を検討する必要があります。
-管理者特権を最小化し、原則的に標準ユーザーで運用します。
-侵入には利用者の操作が伴うため、利用者のリテラシーを高めることを検討します。
-電子メールやブラウザーの閲覧ができるセグメントと、重要資産にアクセスできるセグメントの分離を検討します。
-添付ファイルのスキャンなどの検知システムの導入を検討します。
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p90b50f3]
***NWデザイン [#v334a623]
メール閲覧端末と重要資産システムとのネットワークセグメントの分離。
状況に応じ重要資産システムセグメントでのPOP、SMTP、IMAP、HTTP、HTTPSプロトコルの禁止。
*運用やNetworkが変更された場合の影響の有無 [#y22961b6]
後述する重要資産を保有するコンピューターでのWebや電子メールの閲覧は極めてリスクを高くすることから、運用規程の整備と遵守が重要です。
***アクセスコントロール [#ua3552cb]
Office文書の保護されたビューの設定。
***フィルタリング [#p504dd50]
UTM(悪意あるサイト、コンテンツのブロック)の導入。
侵入検知システムの導入。
***ロール運用 [#d016358f]
重要資産システム管理端末でのメール閲覧の禁止。~
VBA、スクリプト使用端末の文書化と監査。~
許可されていない端末でのOffice文書、PDF文書等への保護ビューポリシー適用。
***仮想端末運用 [#r9a5b184]
電子メールを扱う端末と、開発・重要業務を扱う端末の分離。この場合、ネットワークセグメント分離が望ましい。
***エンドポイント対策 [#tc40619b]
脆弱性アップデートの実施。~
アンチウイルスのパターンファイルの更新、週1回以上の完全スキャンの実施。~
Endpoint Detection and Responseの導入。~
**受託開発ベンダー管理責任 [#h3dff5e4]
***セキュアコーディング [#xa5e8103]
VBA、スクリプト等へのコード署名
***開発環境管理 [#ye1ec962]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持 [#m4161498]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。
例外はすべて文書化し、適切な監査を実施する。
*優先すべき措置 [#zb9d7146]
緩和の方針に基づき、以下を優先します。
-管理者特権の限定運用の適用。~
端末/サーバーの利用者権限が管理者権限で実行されている場合、悪意のあるプログラムは管理者特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的かつ侵入以降の攻撃の緩和に役立ちます。~
業務で管理者特権が必要な端末/サーバーは文書化し、監査や検出を強化します。
-ユーザートレーニング。~
Office文書、PDF文書の保護ビューの重要性の理解を得ます。また、最新のフィッシングメールに関する情報共有や、アンチウイルスソフトのアップデート、完全スキャンの実施方法、OS、アプリケーションのアップデートの実施、確認方法等のユーザートレーニングを検討します。
-電子メール、Web閲覧が許可される端末と、重要資産を有するシステム・端末の厳格な分離の検討。 ~
インターネットセグメントに接続可能な端末と、インターネットセグメントに接続できない重要資産を有するコンピュータの分離、アクセスコントロールの厳格化を検討します。
-インターネットセグメント接続可能端末は、添付ファイルの無害化、組み込みリンクの無害化の実施。~
アンチウイルスソフト、Endpoint Detection and Response、侵入検知システムの導入の検討を検討します。アプリケーションポリシーによる危険な拡張子( .scr、 .exe、 .pif、 .cplなど)の排除、圧縮ファイルや本文に埋め込まれたリンクの分析を行うサンドボックス等による添付ファイルの無害化、組み込みリンクの無効化を検討します。
*ユーザー運用管理責任 [#b6ef8f3c]
**リスクの受容 [#bc0a2dcf]
守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。
ただし、経営者、秘書、取締役、執行役、研究者、システム管理者など、日常的に重要資産に接している職務に対しては、リスクを受容すべきではありません。~
また、プログラム開発担当者はデバッグのために管理者権限が必要であり、悪用されやすいDebug用のコマンドを利用すること、Help Desk担当者は、ドメイン管理者権限を有することがあることから、最もリスクが高いといえます。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):BGCOLOR(#44546A):CENTER:特権|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスク受容のための条件例|h
|プログラム開発担当者|Local Administrator|メールやWeb閲覧の分離、侵入監視、ログ監査、開発/HelpDesk業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング|
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|管理業務端末の分離、メールやWeb閲覧の分離、侵入監視、ログ監査、管理業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング|
|部門管理者(OUの委任)|OUのパスワードリセット、グループ管理、ドメイン参加等|~|
|VBA/スクリプト利用者|標準ユーザー|VBA/スクリプト署名、侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない|
|役職者、研究者、秘書|標準ユーザー|侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない|
|上記以外の一般業務担当者|標準ユーザー|定期的なトレーニング、Local Administrators に含めない|
#br
#br
----
#article
**啓発・教育 [#lf58a54d]
-すべての端末利用者
--フィッシング対策協議会から最新の手口を入手し、理解を求めてください。
--知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない・印刷せず、場合によっては、電話で発信者に確認を取るよう求めてください。~
~
#ref(https://softwareisac.jp/ipa/image/data/word-c.jpg,left);
図:マクロが組み込まれたWord文書を開いた際の警告
~
~
--Office、PDF ビューワーの保護されたビュー(サンドボックス)の重要性の理解を求めてください。
-開発者、ヘルプデスク担当者
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。
--管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。~
-重要資産にアクセスする経営者、秘書、研究者など
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。重要資産保護のための暗号化の重要性について理解を求めてください。
**管理規程 [#e13c026d]
以下の管理規程の整備を検討して下さい。
-電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの厳格な定義、これらの監査規程。
-確実なアップデートの実施と完全スキャンの強制のための、脆弱性アップデート及びアンチウイルス運用規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p90b50f3]
**Windowsグループポリシー の設定実施[#z810a277]
-13 ・レベル1セキュリティ構成(Windows 10)及び14 ・Windows Server 2016 Domain Controller の適用を検討して下さい。
-Microsoft Outlook 2016 の場合、マクロを悪用するフィッシングメール対策として以下のポリシーが存在します。
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。
**モニタリング [#tc99cbca]
権限に応じて、以下のモニタリングを検討します。
-電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。 ~
--電子メールクライアントがインストールされていない。~
--Webブラウザが使用できない設定となっている。~
-OS、アプリケーションのアップデートの状況を確認します。
-アンチウイルスソフトのアップデートの状況を確認します。
-アプリケーションソフトのインストールの状況を確認します。
-コマンドライン、スクリプトの実行、セキュリティ権限の変更、ログオン成功・失敗のログを監査します。
**ネットワークデザイン、アクセスコントロール、フィルタリング [#v334a623]
情報資産の重要度に応じて以下を検討します。
-メール閲覧端末と重要資産システムとのネットワークセグメントの分離の検討。
-管理用端末と一般業務用端末のネットワークセグメントの分離の検討。
-状況に応じ重要資産システムセグメント及びそのセグメントに接続する端末等でのPOP、SMTP、IMAP、HTTP、HTTPS等のメール関連プロトコルの停止。
-Office文書、PDF文書の保護されたビューの設定。
侵入検知システム、メールフィルタリングシステムの導入により、.scr、.exe、.pif、.cpl、.ps1、.vbsなどの拡張子の添付ファイルを排除する。
サンドボックスを導入し、上記ファイルや、.zip、.rarなどの圧縮されたファイルを展開し、悪意のある添付ファイルを排除する。
**仮想端末運用 [#r9a5b184]
プログラム開発者、HelpDesk担当者、システム管理者については、電子メール、Web閲覧などの一般業務を行う端末と、重要資産システムの管理端末へのアクセスや開発業務を行う端末を、仮想端末で分離し、また、ネットワークセグメントの分離を検討します。
**ゲートウェイ及びエンドポイント対策 [#tc40619b]
以下のエンドポイント対策を実施、導入の検討をします。
-脆弱性アップデートの実施。
-アンチウイルスの日次パターンファイルの更新、日次クィックスキャン、週次完全スキャンの実施。
-Endpoint Detection and Response もしくは、侵入検知システムの導入の検討。
*受託開発ベンダー管理責任 [#h3dff5e4]
**セキュアコーディング [#xa5e8103]
該当しません。
**開発環境管理 [#ye1ec962]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有します。
**サプライチェーン正常性維持 [#m4161498]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じるます。
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有します。
