・システム情報の探索
Last-modified: 2020-11-08 (日) 14:30:41
Top/・システム情報の探索
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の探索 †
- MITRE ATT&CK
概説 †
攻撃者は、バージョン、パッチ・修正プログラムの適用、サービスパックの適用など、オペレーティングシステムとハードウェアに関する詳細情報を収集する場合があります。取得した情報によって、永続的な感染を試みたり、他の行動をとることがあります。
- Windows コマンドラインインターフェース
msinfo32、systeminfo wmic
- Windows PowerShell
Get-wmiobject、Get-CimInstance、Get-ComputerInfo
- Amazon Web Services
Application Discovery Service
- Google Cloud Platform
GET /v1beta1/{{parent=organizations/}}/assets POST /v1beta1/{{parent=organizations/}}/assets:runDiscovery
- Microsoft Azure
GET https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{resourceGroupName}}/providers/Microsoft.Compute/virtualMachines/{{vmName}}?api-version=2019-03-01
緩和の方針 †
この手法はシステムの標準機能を悪用するため予防的設定が困難です。システム情報から、脆弱性更新プログラムの適用状況が窃取され、脆弱性を検出された場合は悪用される可能性があるため、脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行い、検出に努めます。
運用やNetworkが変更された場合の影響の有無 †
該当しません。
優先すべき措置 †
以下の措置の実施を検討して下さい。
- 脆弱性情報の取得と脆弱性修正プログラムの適用を適切に行います。
- システム情報の取得に伴うコマンド実行の検出に努めます。
ユーザー運用管理責任 †
リスクの受容 †
脆弱性修正プログラムを適宜適用できない場合は、この攻撃は受容し、情報資産の暗号化、アクセス制御等の設定を検討します。
啓発・教育 †
該当しません。
管理規程 †
以下の規程の整備を検討します。
- 脆弱性修正プログラム適用規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・コマンドラインインターフェースの悪用、・PowerShellの悪用 を参考にして、コマンド、スクリプト実行のログ取得を設定します。
モニタリング †
以下の監査の実施を検討します。
- コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審な msinfo32、systeminfo等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
該当しません。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
- ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。