・コマンドラインインターフェースの悪用 のバックアップ(No.21)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・コマンドラインインターフェースの悪用 へ行く。
  • 1 (2019-11-09 (土) 14:05:17)
  • 2 (2019-11-09 (土) 15:00:00)
  • 3 (2019-11-15 (金) 10:09:07)
  • 4 (2019-11-20 (水) 13:45:14)
  • 5 (2019-11-20 (水) 17:30:49)
  • 6 (2019-11-21 (木) 14:21:52)
  • 7 (2019-11-27 (水) 18:26:43)
  • 8 (2019-11-28 (木) 10:31:07)
  • 9 (2019-11-28 (木) 11:35:41)
  • 10 (2019-11-28 (木) 13:00:28)
  • 11 (2020-01-20 (月) 10:02:34)
  • 12 (2020-01-20 (月) 11:13:10)
  • 13 (2020-01-21 (火) 14:23:50)
  • 14 (2020-02-07 (金) 13:48:28)
  • 15 (2020-03-17 (火) 09:11:21)
  • 16 (2020-03-19 (木) 14:42:36)
  • 17 (2020-03-24 (火) 13:42:00)
  • 18 (2020-03-26 (木) 14:23:01)
  • 19 (2020-07-17 (金) 15:54:12)
  • 20 (2020-07-25 (土) 16:24:22)
  • 21 (2020-08-12 (水) 10:40:15)
  • 22 (2020-08-30 (日) 10:47:34)
  • 23 (2020-09-20 (日) 15:57:37)
  • 24 (2020-10-19 (月) 14:01:01)
  • 25 (2020-10-20 (火) 16:52:26)
  • 26 (2020-10-28 (水) 10:52:35)
  • 27 (2020-11-02 (月) 14:17:53)
  • 28 (2020-11-04 (水) 11:28:36)

---

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE に基づく詳細設定対策?

戦術：悪意のあるプログラムの実行 †

• MITRE ATT&CK
  • T1059.003 Command and Scripting Interpreter: Windows Command Shell

概説 †

OSの標準機能であるコマンドラインインターフェースを悪用することで、悪意あるプログラムを実行します。リモートデスクトップやリバースシェルセッションなどを介してローカルもしくはリモートで操作します。
コマンドラインインターフェースは、多くの場合、ログオンしているユーザーのセキュリティ権限で動作するため、ユーザーに管理者権限を与えている場合は厳重な防御が必要となります。
開発用のデバッグコマンドの一部には、外部からプログラムを読み込む機能や、ユーザーアカウント制御 (UAC) をバイパスして悪意あるプログラムを実行させることができるため、一般業務と開発業務を厳重に分離することは、リスク低減に役立ちます。

緩和の方針 †

OSの標準機能を悪用するため、完全な防御は困難な場合があります。

• Windows Defenderアプリケーション制御、Windows AppLocker（要ライセンス）、などで、ホワイトリスト管理、ブラックリスト管理を実施し、不要なコマンドンの実行制御を検討します。
  
• 端末の利用者権限が管理者権限で実行されている場合、コマンドは特権で実行されるため、極めて危険です。このため、利用者の権限を標準ユーザーにすることは、大変効果的で、この攻撃の緩和に役立ちます。
• アプリケーション制御が困難な場合は、ログの定期監査を実施し、不審なコマンド実行を検知します。
• 開発で使用するデバッグコマンドは、外部からコードやプログラムを読み込み実行する機能を持つものがあります。このため、これらのデバッグコマンドを利用する開発業務端末と一般業務端末のネットワーク、サーバーの論理的分離は、拡散防止の観点から有効です。

運用やNetworkが変更された場合の影響の有無 †

重要資産を有する端末、サーバーで、デバッグコマンドなどが利用許可されると、マルウェアにコマンドを実行されるリスクが高まります。

優先すべき措置 †

Windows Defenderアプリケーション制御、もしくは AppLocker の導入の検討。
コマンドライン実行ログの取得と監査。

ユーザー運用管理責任 †

リスクの受容 †

防御の方式によって実行の阻止、実行後の検知とリスクの性質が異なりますので、詳細な検討が必要です。

• 開発部門：デバッグコマンドを実行するためには管理者権限が必要となります。これにより、リスクの高いコマンドが管理者権限で実行されるリスクが高まります。Endpoint Detection and Respons や侵入検知システム、コマンドラインインターフェース実行のログ監査などで、検出によるリスクの低減を図り、受容します。
• 管理者権限が必要な部門：ヘルプデスクのような管理者権限が必要な部門の端末については、不要なデバッグコマンドや SDK の削除を実施した上で、Endpoint Detection and Respons や侵入検知システム、コマンドラインインターフェース実行のログ監査などで、検出によるリスクの低減を図り、受容します。
• 一般業務部門：管理者権限を付与せず最小限の特権で運用することでリスク受容します。

啓発・教育 †

開発者端末の危険性の認識、管理規程の正しい理解を求めます。

整備すべき規定 †

開発端末のログ取得及び監査規程を整備します。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

ポリシー †

・コマンドラインインターフェースの監査

モニタリング †

重要資産が保存されているサーバー、端末でのコマンドラインインターフェースのログの分析の実施、 ホワイトリスト、ブラックリストによるアプリケーション制御を実施している場合は、違反の状況の分析、 Windows の場合、Event ID 4688 を監査します。

NWデザイン †

開発端末と重要資産を有する端末、サーバーの厳格なセグメント分離を検討します。

アクセスコントロール †

• [Windows Defender アプリケーション制御] でコマンドの実行を制限します。
• [Windows AppLocker でコマンドの実行を制限します。※Windows 10 はEnterprise Editionが必要です。
  • WDAC または AppLocker のどちらを使用するかを選ぶ:
    https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control
• [グループポリシー ソフトウェアの制限のポリシー]で実行を制限します。※ただし、Windows 10(1803)以降は機能が削除されており動作しません。
• Microsoft が推奨するブロックの規則:
  https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules

フィルタリング †

該当なし。

ロール運用 †

• 非開発者端末、サーバーにおけるアプリケーション制御。
  
• 開発者端末、サーバーにおけるアプリケーション制御。

エンドポイント対策 †

Endpoint Detection and Response もしくは、侵入検知システムの導入を検討してください。

受託開発ベンダー管理責任 †

セキュアコーディング †

該当なし。

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。