・データの暗号化
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:持ち出し、外部からの指令統制 †
- MITRE ATT&CK
- T1048.001 Exfiltration Over Alternative Protocol Encrypted Non-C2 Protocol
- T1048.002 Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol
- T1573 Encrypted Channel
概説 †
攻撃者は外部にデータを持ち出す際に、検出を免れるためデータを暗号化して外部に送信する場合があります。暗号化は、JCE(Java 暗号化拡張機能)やWindows CNG(Cryptography Next Genaration) APIを使ったり、悪意あるプログラムオリジナルのアルゴリズムで暗号化されます。RAR、Zipなどのアーカイブも利用されます。
- 利用された暗号形式 出典: https://attack.mitre.org/techniques/T1022/
- AES、3DES、DES、RC4
- BASE64エンコード
- AESで暗号化の後、BASE64でエンコード
- XOR
- 単純置換暗号+XOR
- XOR+Zip
緩和の方針 †
この攻撃手法はシステム機能の悪用に基づいているため、予防的設定では緩和できません。 コマンドラインインターフェースの監査など事後的な検出に努めますが、必ずしも検出できるとは限りません。
運用やNetworkが変更された場合の影響の有無 †
該当しません。
優先すべき措置 †
侵入検知システムの導入を検討します。 コマンドラインインターフェース、PowerShellの監査の実施を検討します。
ユーザー運用管理責任 †
リスクの受容 †
暗号化されたデータを検知することは困難です。従って、重要資産の暗号化を実施し、暗号化通信のリスクは受容し、事後的な検出に努めることを検討します。
啓発・教育 †
該当しません。
管理規程 †
該当しません。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・コマンドラインインターフェースの悪用、・PowerShellの悪用を参考にしてコマンド、スクリプト実行のログを取得します。
モニタリング †
以下の監査の実施を検討します。
- コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet、dir等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
侵入検知システムの導入を検討します。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。