トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・コマンドラインインターフェースの悪用 のバックアップ(No.16)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?

戦術

悪意のあるプログラムの実行

対象OS

  • Linux
  • Windows
  • macOS

概説

OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行することができます。リモートデスクトップやリバースシェルセッションなどを介してローカルもしくはリモートで操作できます。
コマンドラインインターフェースは、多くの場合、ログオンしているユーザーのセキュリティ権限で動作するため、ユーザーに管理者権限を与えている場合は厳重な防御が必要となります。
開発用ツールの一部には、外部からプログラムを読み込む機能や、ユーザーアカウント制御 (UAC) をバイパスして悪意あるプログラムを実行させることができるため、一般業務と開発業務を厳重に分離することは、リスク低減に役立ちます。

緩和の方針

OSの標準機能を悪用するため、完全な防御は困難な場合があります。

  • Windows Defenderアプリケーション制御、Windows AppLocker(要ライセンス)、などで、ホワイトリスト管理、ブラックリスト管理を実施し、不要なコマンドンの実行制御を検討します。
  • 端末の利用者権限が管理者権限で実行されている場合、コマンドは特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的で、この攻撃の緩和に役立ちます。
  • アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。
  • 開発で使用するデバッグコマンドは、外部からコードやプログラムを読み込み実行する機能を持つものがあります。このため、これらのデバッグコマンドを利用する開発業務端末と一般業務端末のネットワーク、サーバーの論理的分離は、拡散防止の観点から有効です。

運用やNetworkが変更された場合の影響の有無

重要資産を有する端末、サーバーで直接この手法を使用された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などが想定されます。

優先すべき措置

Windows Defenderアプリケーション制御、もしくは AppLocker の導入の検討。
コマンドライン実行ログの取得と監査。

ユーザー運用管理責任

リスクの受容

防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、検討が必要です。

啓発・教育

開発者端末の危険性の認識、管理規程の正しい理解を求めます。

整備すべき規定

開発端末のログ取得及び監査規程を整備します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・コマンドラインインターフェースの監査

モニタリング

重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析の実施、 ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合は、違反の状況の分析、 Windows の場合、Event ID 4688 を監査します。

NWデザイン

開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離を検討します。

アクセスコントロール

フィルタリング

該当なし。

ロール運用

  • 非開発者端末、サーバーにおけるアプリケーション制御。
  • 開発者端末、サーバーにおけるアプリケーション制御。

エンドポイント対策

Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

受託開発ベンダー管理責任

セキュアコーディング

該当なし。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。