1919 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• 1919 は削除されています。
• 1919 の差分を削除

#author("2022-02-25T17:05:10+09:00;1970-01-01T18:00:00+09:00","","")
[[最低限検討すべきデフォルト緩和策 端末編]]
#author("2022-04-19T16:28:01+09:00","","")

+[環境設定]>[セキュリティ(拡張)]>[サンドボックスによる保護]>[保護されたビュー]>[すべてのファイル] を選択。
**攻撃の手口 [#jf4276bf]
ローダーと呼ばれるマルウェアは、Office文書、PDF文書に埋め込まれたマクロやスクリプトであり、文書を開かせることで起動する。起動後、ローダーは外部から新たにマルウェア本体をダウンロードする。このように複雑な手順を踏むのは、アンチウイルスによる検出を避けるためである。
**現状の課題 [#s7355bb5]
業務でマクロ・スクリプトを実行できる環境では、悪意ある文書の保護ビューを解除すると感染してしまう。
**対策の効果 [#maa4c3c8]
業務でマクロ・スクリプトを実行しない環境では、出荷時規定値であるマクロ・スクリプトの禁止を維持し、保護ビューを解除しないことで、被害を緩和できる。
**リスク受容 [#l71a7fa1]
多くのマルウェアは、この攻撃手口を利用することから、リスク受容は推奨できない。また、マクロ・スクリプトの利用許可は、一種の脆弱性の容認であることから、文書化し、監査を強化することを推奨する。
**対策による弊害の緩和 [#la2864d9]
業務でマクロ・スクリプトを実行する環境では、通常は、レジストリ設定でマクロ・スクリプトを禁止しておき、マクロ・スクリプト使用時のみ、レジストリを許可設定に変更したのち、マクロ・スクリプトファイルを使用する。使用後は、マクロ・スクリプトを禁止設定とする。一連の手順をバッチファイルにして、バッチファイルの操作で完了するようにする。

*メール・ブラウザーの適切な利用 [#z8bc75a0]
**運用対策 [#ea9286b4]
HTTPSで始まらないサイトの閲覧、ダウンロードを禁止する。~
電子メールに埋め込まれたWebサイトのリンクをクリックする場合は、実際のリンクを確認し、フィッシングサイトでないことを確実に確認する。HTTPS で始まらないリンクの場合は、送信者に確認するなどを規定化する。~
相手方の実在を対面で確認した以外のメールの送信者はなりすましである可能性が否定できないため、対面もしくは相手方代表電話を経由し実在の確認ができた相手方に限り、リンク、添付文書の閲覧を実施する。
**攻撃の手口 [#dca3b22d]
マルウェアの初期侵入は、メールに添付した悪意ある文書ファイルや、悪意あるサイトへ誘導する埋め込みされたリンクである。OSやアプリケーションの脆弱性を利用し、Webサイトを閲覧しただけで、マルウェアが送り込まれる。マルウェアはブラウザーのID/Passwordを窃取し、システムへの攻撃や水平展開に利用する。
**現状の課題 [#e900d802]
攻撃者はユーザーとメールのやり取りを数回し、信頼を得たところで、悪意ある文書やリンクを送付してくる。信頼関係があるため、ファイルやリンクを開き被害にあってしまう。
**対策の効果 [#dc016cf5]
不審なサイトの閲覧を極力回避することで、被害を軽減できる。特に HTTPS で始まらない、鍵マークが表示されないサイトへの接続を禁止する規程を整備し、周知する。
**リスク受容 [#i745b0fa]
Google Chrome は既に HTTPSでなくHTTPのみ で始まるサイトへの接続に警告を発している。2020年10月からは HTTPのみ で始まるサイトからのダウンロードをブロックする予定である。今後、 HTTPS で始まらない、つまりドメインや組織の存在が確認できないサイトの閲覧は、脅威であると認識すべきであり、リスク受容は推奨できない。~
**対策による弊害の緩和 [#l22485da]