- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-08-12T11:07:07+09:00","","")
#author("2020-08-30T09:23:12+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[MITRE に基づく詳細設定対策]]
*戦術:防衛回避 [#id6fb4ea]
-MITRE ATT&CK
--[[T1027 Obfuscated Files or Information>https://attack.mitre.org/techniques/T1027/]]
*概説 [#l4eea049]
攻撃者はファイルやデータに悪意あるプログラムを隠ぺいするため、難読化や暗号化を行うことがあります。難読化とはスクリプトなどの命令文を無意味な変数に置き換えたり、16進数に変換するなどして、どのような機能かの分析を困難にさせ、かつ、アンチウイルスの解析を免れることを目的としています。~
*緩和の方針 [#o6dbc1bd]
-Windows 10で実装されたマルウェア対策スキャンインターフェイス(AMSI)に対応したアンチウイルスソフトの採用もしくは同等機能を有するアンチウイルスソフトの採用を検討します。但し、AMSI 機能を改ざんすることで AMSI 機能をバイパスする実証実験が報告されています。
F-Secure Hunting for AMSI bypasses: https://blog.f-secure.com/hunting-for-amsi-bypasses/
*運用やNetworkが変更された場合の影響の有無 [#ba4cfdf4]
AMSIに対応していないアンチウイルスソフトでは、緩和できない場合があります。また、AMSI 機能にパッチをあてて機能を無効化して、悪意あるプログラムの実行を成功させる実証実験の報告例があります。~
Hunting for AMSI bypasses: https://blog.f-secure.com/hunting-for-amsi-bypasses/
AMSIに対応していないアンチウイルスソフトでは、緩和できない場合があります。
*優先すべき措置 [#fa037286]
AMSI に対応したアンチウイルスソフトを検討します。
*ユーザー運用管理責任 [#y25688d7]
**リスクの受容 [#i5b17c35]
AMSI もしくは同等機能を有していないアンチウイルスソフトを導入した場合、この難読化されたファイルまたは情報によるリスクを受容します。
**啓発・教育 [#bf320873]
アンチウイルスソフトの設定を教育します。万一、設定が変更されていた場合は「動作」するように修正する手順を理解させます。
-対象:すべての端末利用者
--アンチウイルスソフトの更新方法、更新の確認方法を理解させます。
--万一、動作していない、更新されていない、記憶にない設定変更がなされていた場合は、インシデントのおそれがあることから、報告させるようにします。
**利用規定 [#e5f80f5a]
アンチウイルスの運用規定の文書化、監査。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#qe5ba892]
**NWデザイン [#p33fcd30]
該当なし。
**アクセスコントロール [#vb384614]
該当なし。
**フィルタリング [#r57960b4]
侵入検知システムの導入。
**ロール運用 [#zed23527]
該当なし。
**仮想端末運用 [#a8810a5e]
該当なし。
**エンドポイント対策 [#o86dec77]
アンチウイルス、Endpoint Detection and Responseの導入。
*受託開発ベンダー管理責任 [#f9223aef]
**セキュアコーディング [#z80503fb]
該当なし。
**開発環境管理 [#q55a6742]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#j1f3010e]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
