・一般的に利用されるポートの悪用
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:外部からの指令統制 †
- MITRE ATT&CK
概説 †
攻撃者は一般的に使用されるポートを介して通信し、ファイアウォールまたはネットワーク検出システムをバイパスし、通常の通信にまぎれて、詳細な検査を回避します。次のような一般的に開いているポートを使用する場合がありますが、これに限りません。
プロトコル、ポート | 名称 | 用途 |
TCP:20 | FTP | ファイル転送(データ) |
TCP:21 | FTP | ファイル転送(制御) |
TCP/UDP:22 | SSH | Secure Shell |
TCP:25 | SMTP | 電子メール送信 |
TCP/UDP:53 | DNS | ドメインの名前解決 |
TCP:80 | HTTP | Webアクセス |
TCP:110 | POP | 電子メール受信 |
TCP/UDP:135 | RPC | RPC |
TCP:443 | HTTPS | Webアクセス |
TCP:445 | SMB | ファイル共有 |
TCP/UDP:3389 | RDP | リモートデスクトップ |
緩和の方針 †
一般的に使用される通信プロトコルを悪用するため、完全な防御は困難な場合があります。
- 重要な情報資産があるネットワークセグメントに不要なポートをブロックします。
- 監査を強化し検出に努めます。
運用やNetworkが変更された場合の影響の有無 †
- 重要資産を有する端末、サーバーがあるネットワークセグメントに不要なポートが公開された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などのリスクが高まります。
優先すべき措置 †
重要な情報資産があるネットワークセグメントに不要なポートをブロックします。 侵入検知システムの導入を検討します。
ユーザー運用管理責任 †
リスクの受容 †
一般的に使用される通信プロトコルを悪用するため、重要な情報資産を暗号化するなどし、外部流出しても内容の暴露の可能性が低いと判断できる場合などは、リスクを受容します。
啓発・教育 †
- 対象:開発者、Web作成者
- FTP、SSHなどのポートを使用する、開発者端末の危険性の認識を共有します。
- パーソナルファイアーウォールを利用し、接続先のIPを制限するなどの端末管理の正しい理解を求めます。
整備すべき規定 †
以下の管理規程の整備を検討します。
- 開発端末のログ取得及び監査規程を整備します。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
該当しません。
モニタリング †
ネットワーク侵入検知システムを導入した場合は、重要資産が保存されているサーバー、端末でのアクセスログの分析を実施します。
ネットワークデザイン、アクセスコントロール、フィルタリング †
- 重要資産を有する端末、サーバーの厳格なセグメント分離、不要なポートの停止を実施します。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
侵入検知システム、Endpoint Detection and Responseの導入を検討します。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。