・Windowsタスクスケジューラ at, schtasks の悪用
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:悪意あるプログラムの実行 †
- MITRE ATT&CK
概説 †
at コマンド(Windows 8.1まで)や、schtasks コマンド(windows10) は、予め定めた時刻にプログラムを実行させるOS標準のツールです。これらを使い悪意あるプログラム(マルウェア)を密かに起動することが可能です。
また、schtasks コマンドは、リモートコンピュータに対しても設定が可能なため、AdministratorsのメンバーのID/Passwordが窃取されていた場合、ネットワーク上の他の端末、サーバーに対してタスクの設定が可能です。但し、リモートコンピュータ上のパーソナルファイアーウォールで「ファイルとプリンターの共有」が閉じている場合はリモート設定が不可能になりますので、必要に応じて、パーソナルファイアーウォールの「ファイルとプリンターの共有」を無効にすることも検討してください。同様に、ローカルのAdministratorのID/Passwordが全社共通の場合は、大規模な水平展開が可能となります。この手法の防御については、・Pass the Hash、LAPS (Local Administrator Password Solution) を参照してください。
緩和の方針 †
新たなタスクの登録の検出に努めます。
運用やNetworkが変更された場合の影響の有無 †
アカウントの認証情報が漏洩すると、悪用されるリスクが非常に高くなります。極力、限定された権限のアカウントを利用します。
優先すべき措置 †
検出を優先します。
- タスクスケジューラの登録を監査する。詳細は18.9 タスクスケジューラのポリシー設定を参照。
- イベントログ「Microsoft-Windows-TaskScheduler/Operational」で、イベントID 106 [タスクが登録されました] を調査し、文書化された登録タスク以外のタスクを検索する。
- 認証済みアカウントのコンテキストでタスクを実行するようにスケジュールされたタスクの設定を構成する。
ユーザー運用管理責任 †
リスクの受容 †
ドメインコントローラー、メンバーサーバと特権管理者の端末に対して新たなTaskが追加されているかを監査します。
業務 | 特権 | リスク受容のための条件例 |
プログラム開発担当者 | Local Administrator | ドメインコントローラー、メンバーサーバー、担当者端末のTask Scheduler ログ監査。 |
Help Desk 担当者 | Domain/Local Administrator | |
システム管理者 | Enterprise/Domain/Local Administrator | |
部門管理者(OUの委任) | OUのパスワードリセット、セキュリティグループ管理、ドメイン参加等 | |
役職者、研究者、秘書 | 標準ユーザー | Local Administrators に含めない |
上記以外の一般業務担当者 | 標準ユーザー | Local Administrators に含めない |
啓発・教育 †
特権管理者に対しTask Scheduler の危険性の理解を求めます。
管理規程 †
以下の規程の整備を検討します。
- タスク登録を文書化し保存します。
- ドメインコントローラー、メンバーサーバー、特権管理者の端末のタスクスケジューラの監査規程を策定します。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・タスクスケジューラのポリシー設定 を参照してください。
19.7.3 ネットワークデザイン、アクセスコントロール、フィルタリング †
該当しません。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
エンドポイント対策 †
Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。
受託開発ベンダー管理責任 †
セキュアコーディング †
タスクスケジューラが起動するプログラム、スクリプトの権限を最小化し、文書化し、ユーザーと合意してください。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。