・悪意あるWindowsサービスの実行のバックアップ(No.7)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン（案）?
MITRE ATT&CKによる設定対策（絞り込み済み）?

・悪意あるWindowsサービスの実行 †

戦術 †

悪意あるプログラムの実行

必要なアクセス許可 †

Administrator, SYSTEM

概説 †

Windowsサービスとは、ユーザーインターフェースを持たずにバックグラウンドで常駐して動作するプログラムで、SYSTEM権限で動作するため、最も高い権限を有します。
Windowsが起動した際に自動起動するように設定できるため、悪意あるプログラム（マルウェア）をWindows サービスとしてインストールできれば、最上位の権限での設定実行や永続化が可能となります。
悪意あるWindowsサービスは、キーボード・画面の窃取、C&Cサーバーとの通信、リモート操作などの機能が考えられます。
新しいWindowsサービスをインストールするか、既存のサービスを改ざんすることで実現されますが、Windowsサービスの操作には管理者特権が必要です。

緩和の方針 †

上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにします。
一般業務端末を操作するユーザーアカウント標準ユーザーとして設定し、ローカル管理者であるビルトインAdministratorsグループのメンバーから除外し、脅威に対してWindowsサービスのインストールを失敗させることで緩和します。

運用やNetworkが変更された場合の影響の有無 †

標準ユーザーアカウントを、ビルトインAdministratorsグループのメンバーにした場合、リスクが非常に高まります。

優先すべき措置 †

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。
CWE-428（引用符で囲まれていないプログラムパス）の脆弱性を排除します。

ユーザー運用管理責任 †

リスクの受容 †

アプリケーションのインストール権限をユーザーに委ねたい場合、この手法のリスクが高くなります。対象端末の文書化と監査による検知を強化し緩和します。

啓発・教育 †

ローカルの管理者権限で、インターネット接続、Web閲覧、メール閲覧をした場合のリスクを研修します。

利用規定 †

ローカル管理者権限を業務ユーザーに付与した場合の文書化、監査による不正なWindowsサービスのインストールの検出。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

ポリシー †

該当なし。

モニタリング †

該当なし。

NWデザイン †

該当なし。

アクセスコントロール †

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

フィルタリング †

該当なし

ロール運用 †

標準ユーザーアカウントは、ビルトインAdministratorsグループのメンバーであってはなりません。

仮想端末運用 †

該当なし

エンドポイント対策 †

CWE-428（引用符で囲まれていないプログラムパス）の脆弱性の検出と排除

受託開発ベンダー管理責任 †

セキュアコーディング †

CWE-428（引用符で囲まれていないプログラムパス）の脆弱性の排除

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。例外はすべて文書化し、適切な監査を実施する。