・コマンドラインインターフェースの悪用 のバックアップ差分(No.10)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・コマンドラインインターフェースの悪用 へ行く。
  • 1 (2019-11-09 (土) 14:05:17)
  • 2 (2019-11-09 (土) 15:00:00)
  • 3 (2019-11-15 (金) 10:09:07)
  • 4 (2019-11-20 (水) 13:45:14)
  • 5 (2019-11-20 (水) 17:30:49)
  • 6 (2019-11-21 (木) 14:21:52)
  • 7 (2019-11-27 (水) 18:26:43)
  • 8 (2019-11-28 (木) 10:31:07)
  • 9 (2019-11-28 (木) 11:35:41)
  • 10 (2019-11-28 (木) 13:00:28)
  • 11 (2020-01-20 (月) 10:02:34)
  • 12 (2020-01-20 (月) 11:13:10)
  • 13 (2020-01-21 (火) 14:23:50)
  • 14 (2020-02-07 (金) 13:48:28)
  • 15 (2020-03-17 (火) 09:11:21)
  • 16 (2020-03-19 (木) 14:42:36)
  • 17 (2020-03-24 (火) 13:42:00)
  • 18 (2020-03-26 (木) 14:23:01)
  • 19 (2020-07-17 (金) 15:54:12)
  • 20 (2020-07-25 (土) 16:24:22)
  • 21 (2020-08-12 (水) 10:40:15)
  • 22 (2020-08-30 (日) 10:47:34)
  • 23 (2020-09-20 (日) 15:57:37)
  • 24 (2020-10-19 (月) 14:01:01)
  • 25 (2020-10-20 (火) 16:52:26)
  • 26 (2020-10-28 (水) 10:52:35)
  • 27 (2020-11-02 (月) 14:17:53)
  • 28 (2020-11-04 (水) 11:28:36)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-28T11:35:41+09:00","","")
#author("2019-11-28T13:00:28+09:00","","")
[[IPAセキュリティPT評価版]]

*戦術 [#td47c5d6]
悪意のあるプログラムの実行

*対象OS [#nbe9b924]
-Linux
-Windows
-macOS


*概説 [#u2c8fa01]
OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。~
-Windowsの場合、ユーザーアカウント制御 (UAC) をバイパスして、悪意あるプログラムを密かに実行できる開発用のコマンドがあるため、必要に応じて、これらを削除するなども検討します。~
-Windows AppLocker、Windows Defender アプリケーション制御 (WDAC) などで、UACをバイパスするコマンドの実行を制限することが可能です。~
--[[WDAC または AppLocker のどちらを使用するかを選ぶ:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control#wdac-%E3%81%BE%E3%81%9F%E3%81%AF-applocker-%E3%81%AE%E3%81%A9%E3%81%A1%E3%82%89%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E3%81%8B%E3%82%92%E9%81%B8%E3%81%B6]]
OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。リモートデスクトップやリバースシェルセッションなどを介してローカルもしくはリモートで操作できます。~
コマンドラインインターフェースは、多くの場合、ログオンしているユーザーのセキュリティ権限で動作するため、ユーザーに管理者権限を与えている場合は厳重な防御が必要となります。~
開発用ツールの一部には、外部からプログラムを読み込む機能や、ユーザーアカウント制御 (UAC) をバイパスして悪意あるプログラムを実行させることができるため、一般業務と開発業務を厳重に分離することは、リスク低減に役立ちます。


*緩和の方針 [#y3da4cb9]
OSの標準機能を悪用するため、完全な防御は困難な場合があります。~
-Windows AppLocker、Windows Defenderアプリケーション制御などで、ホワイトリスト、ブラックリストでの不要なコマンドンの実行制御を検討します。~
-アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。
-一般業務と開発業務は端末、ネットワーク、サーバーを論理的に分離します。


*運用やNetworkが変更された場合の影響の有無 [#pd56ffb7]
重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。


*優先すべき措置 [#f98d1a13]
アプリケーション制御の適用。
コマンドライン実行ログの取得と監査。

*ユーザー運用管理責任 [#ccddccd7]
**リスクの受容 [#qaf713a8]
防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、検討が必要です。


**啓発・教育 [#kea804d4]
開発者端末の危険性の認識、管理規程の正しい理解を求める。

**整備すべき規定 [#eb89638d]
開発端末のログ取得及び監査規程。

*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#dfc2f52e]
**ポリシー [#le059042]
[[・コマンドラインインターフェースの監査]]

**モニタリング [#q012151f]
重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析。
ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合、違反の状況の分析。
Windows の場合、Event ID 4688 を監査する。

**NWデザイン [#a4f253e5]
開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離。

**アクセスコントロール [#vb768dc9]
-[Windows AppLocker] でコマンドの実行を制限する。※Windows 10 はEnterprise Editionが必要。
-[Windows Defender アプリケーション制御] でコマンドの実行を制限する。
--[[WDAC または AppLocker のどちらを使用するかを選ぶ:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control#wdac-%E3%81%BE%E3%81%9F%E3%81%AF-applocker-%E3%81%AE%E3%81%A9%E3%81%A1%E3%82%89%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E3%81%8B%E3%82%92%E9%81%B8%E3%81%B6]]
-[グループポリシー ソフトウェアの制限のポリシー]で実行を制限する。※Windows 10(1803)以降は機能削除。 

**フィルタリング [#z1a6b7f0]
侵入検知システムの導入。


**ロール運用 [#v103be1c]
非開発者端末、サーバーにおけるアプリケーション制御。~
開発者端末、サーバーにおけるアプリケーション制御。
**仮想端末運用 [#z58d4f55]
デバッグ環境での仮想端末の利用。
-非開発者端末、サーバーにおけるアプリケーション制御。~
-開発者端末、サーバーにおけるアプリケーション制御。

**エンドポイント対策 [#v1d9510f]
アンチウイルス。~
Endpoint Detection and Response。
侵入検知システムの導入。

*受託開発ベンダー管理責任 [#fd9ffd8a]
**セキュアコーディング [#y38206dc]
該当なし。

**開発環境管理 [#jed039f5]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

**サプライチェーン正常性維持" [#wc3dee80]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
~
~
----
#article