・システムユーザーの探索
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の探索 †
- MITRE ATT&CK
概説 †
攻撃者は、現在ログインしているユーザーやシステムを使用するユーザーを識別する場合があります。net userコマンドなどでログインしているユーザーのIDを取得したり、資格情報をダンプを試みます。実行中のプロセスの所有権やファイル/ディレクトリの所有権、セッション情報、ログなどを様々な方法で収集します。取集した情報によっては、システムに感染するか、他のアクションを起こす場合があります。
緩和の方針 †
この手法はシステムの標準機能を悪用するため予防的設定が困難です。一般業務端末においては、ローカル Administrators にドメインユーザーを所属させないことでnet userコマンド等を使った情報収集を阻止できます。
・アカウントの探索のポリシー の設定を参考にします。
運用やNetworkが変更された場合の影響の有無 †
該当しません。
優先すべき措置 †
コマンド、スクリプトの監査を行い検出に努めます。
ユーザー運用管理責任 †
リスクの受容 †
この手法はシステムの標準機能を悪用するため、ポリシー設定、監査ができない場合は受容します。
啓発・教育 †
該当しません。
管理規定 †
該当しません。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
- ・アカウントの探索のポリシー の設定を参考にします。 ・コマンドラインインターフェースの悪用、・PowerShellの悪用 を参考にしてコマンド、スクリプト実行のログを取得します。
モニタリング †
- コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet user、net localgroup、net group等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール 、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
該当しません。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。