・PowerShellの悪用 のバックアップ(No.7)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・PowerShellの悪用 へ行く。
- 1 (2019-11-09 (土) 15:41:28)
- 2 (2019-11-09 (土) 17:00:00)
- 3 (2019-11-15 (金) 10:12:47)
- 4 (2019-11-21 (木) 15:15:14)
- 5 (2019-11-21 (木) 17:17:35)
- 6 (2019-11-26 (火) 10:10:50)
- 7 (2019-11-28 (木) 13:31:11)
- 8 (2019-11-29 (金) 10:34:13)
- 9 (2020-02-08 (土) 15:35:14)
- 10 (2020-03-17 (火) 10:05:50)
- 11 (2020-03-17 (火) 13:50:40)
- 12 (2020-03-17 (火) 14:44:11)
- 13 (2020-03-19 (木) 14:43:27)
- 14 (2020-03-24 (火) 13:43:00)
- 15 (2020-03-26 (木) 14:23:26)
- 16 (2020-07-25 (土) 16:24:58)
- 17 (2020-07-26 (日) 09:30:31)
- 18 (2020-08-12 (水) 10:38:51)
- 19 (2020-08-30 (日) 10:24:06)
- 20 (2020-10-19 (月) 15:37:25)
- 21 (2020-10-20 (火) 16:54:01)
- 22 (2020-10-23 (金) 14:27:33)
- 23 (2020-10-28 (水) 11:38:46)
- 24 (2020-11-02 (月) 14:38:59)
- 25 (2020-11-04 (水) 11:35:55)
- 26 (2020-11-04 (水) 16:27:01)
IPAセキュリティPT評価版?
戦術 †
- 悪意あるプログラムの実行
対象OS †
- Windows
概説 †
Windowsの設定管理を行うスクリプト言語であるPowerShellを悪用し、悪意あるプログラム(マルウェア)を実行します。この手法は、外部との通信(新たなプログラムのダウンロード)や端末情報や認証情報の窃取など、多種多様なコマンドの実行が考えられます。スクリプトは難読化されることが多く、侵入検知システムやアンチウイルスでの検知が困難な場合があり注意が必要です。
緩和の方針 †
管理上、PowerShellを使用しない場合は、PowerShellスクリプトを無効(Default)にすることで、マルウェアによるPowerShellの悪用を防止できます。
管理上、PowerShellが必要な端末、サーバーでは、署名付きPowerShellスクリプトのみ実行許可とし、文書化して定期的に監査を実施し、マルウェアの検出をするなどが有効です。
運用やNetworkが変更された場合の影響の有無 †
PowerShellの利用を許可した端末で、メール添付のファイルの実行などで悪意あるプログラムの実行のリスクが高まります。
優先すべき措置 †
PowerShellスクリプトの実行可能端末・サーバーを限定し、その他はグループポリシーでPowerShellスクリプトの実行を禁止します。
管理上、PowerShellを必要とするサーバー、端末のログの取得と監査を実施します。
WinRMサービスを無効化/制限して、リモート実行でPowerShellが使用されないようにします。
ユーザー運用管理責任 †
リスクの受容 †
PowerShellスクリプトの実行可能端末・サーバーは、ポリシーによってリスクが異なります。設定ポリシー及び端末・サーバーのネットワーク構成、運用も大きく影響を及ぼすため、慎重なリスクの見極めが必要です。
- ドメインコントローラー、DHCPサーバー、開発用端末、管理用端末
これらはシステム設定管理上、PowerShellは必須といえます。従って、署名やログ監査でのリスク低減を検討します。 - アプリケーションサーバー、ファイルサーバー、業務端末
一般的にPowerShellを使用しないため、スクリプトの実行を禁止します。例外がある場合は、署名やログ監査でのリスク低減を検討します。
| 実行ポリシー | 署名付き | 署名なし ローカル | 署名なし 非ローカル | 概要 |
| Restricted | × | × | × | 全てのスクリプトが実行禁止。PowerShellまたはWindows OSインストール直後のデフォルト設定(Windows Server 2012 R2を除く) |
| AllSigned | ○ | × | × | 署名されているスクリプトのみが実行可能。署名されていないスクリプトは実行禁止 |
| RemoteSigned | ○ | ○ | × | ローカルに保存されているスクリプトは実行可能。インターネットからダウンロードしたスクリプト(非ローカルのスクリプト)は、署名されているもののみが実行可能。Windows Server 2012 R2では、この設定がデフォルト |
| Unrestricted | ○ | ○ | △ | 全てのスクリプトが実行可能。ただしインターネットからダウンロードしたスクリプトは、実行するかどうかが確認されるので、ユーザーが明示的に許可した場合のみ実行される |
| Bypass | ○ | ○ | ○ | 警告やユーザーへの確認なしに、全てのスクリプトが実行可能 |
- atmarkIT WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する:https://www.atmarkit.co.jp/ait/articles/0805/16/news139.html
啓発・教育 †
該当なし。
利用規定 †
管理上、PowerShellが必要な端末、サーバーの文書化及び監査規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
モニタリング †
NWデザイン †
該当なし。
アクセスコントロール †
- [Windows AppLocker] でコマンドの実行を制限する。※Windows 10 はEnterprise Editionが必要。
- [Windows Defender アプリケーション制御] でコマンドの実行を制限する。
- PowerShell Constrained Language Mode: https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/
- [グループポリシー ソフトウェアの制限のポリシー]で実行を制限する。※Windows 10(1803)以降は機能削除。
フィルタリング †
侵入検知システムの導入。
ロール運用 †
PowerShellスクリプトブロックのログの有効化。
仮想端末運用 †
該当なし。
エンドポイント対策 †
アンチウイルソフト。
Endpoint Detection and Response。
受託開発ベンダー管理責任 †
セキュアコーディング †
作成したPowerShellスクリプトへのタイムスタンプ付き署名の実施。
実行運用環境に限定した実行ポリシーの適用(対象端末・サーバーはAllSigned、対象外はRestricted)。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。