米国/英国/NZ が PowerShell セキュリティ・ガイダンスを発行:Windows の安全性確保に不可欠

US, UK, New Zealand Issue PowerShell Security Guidance

2022/06/24 SecurityWeek — PowerShell を適切に設定/監視し、不正利用のリスクを排除するための共同ガイダンスが、CISA/NSA (米国)、NCSC-UK (英国) /NZ NCSC (ニュージーランド) から発表された。Windows のスクリプト言語/コマンドライン・ユーティリティである PowerShell は、反復作業を自動化し、フォレンジックを可能にするものになる。つまりインシデント対応を向上させることで、ユーザー・エクスペリエンスを拡張し、OS の管理を支援することを目的にできる。

PowerShell は、Microsoft Azure にも導入されており、管理者はツール/セキュリティ対策の自動化に利用できる。PowerShell の最新バージョンである 7.2 は、Microsoft により管理/オープンソース化されている。

しかし PowerShell は、その使い易さと拡張性により、広範囲で利用されているため、サイバー攻撃のイニシャル・アクセスに成功した脅威アクターにとって、格好のターゲットになることも証明されている。したがって、攻撃者による悪用を防ぐために、PowerShell を完全に無効化する管理者や防御者もいるが、この共同ガイダンスでは、PowerShell の機能を妨げることなく、リスクを軽減するのに役立つ一連の推奨事項が示されている。

NSA/CISA/NZ NCSC/NCSC-UK は、 Cybersecurity Information Sheet (CIS) で、「PowerShell をブロックすると、現在のバージョンの PowerShell の防御機能が阻害され、Windows OS のコンポーネントが正常に動作しなくなる。機能/オプションが向上した最新の PowerShellは、防御者による PowerShell の悪用への対処を支援することが可能だ」と述べている。

PowerShell は、Windows に組み込まれたセキュリティ機能により、脅威アクターによる悪用を減らすのに役立つと同文書は述べている。

たとえば、PowerShell remoting は、認証プロトコルとして Kerberos/NTLM (New Technology LAN Manager) を活用する、Windows Remote Management (WinRM) を用いて認証情報を保護する。

Windows のクライアント版/サーバー版に含まれる PowerShell remoting 処理では、接続先での管理者権限と、プライベート・ネットワークのファイアウォール・ルール設定が必要となる。管理者は、それらの設定をカスタマイズし、接続を信頼できるエンドポイントのみに制限することで、ネットワーク防御を強化できる。

また、PowerShell などのスクリプト言語に対しては、Antimalware Scan Interface 機能を用いたスクリプト・スキャンを有効にし、Windows 10 以降の AppLocker/Windows Defender Application Control (WDAC) を適切に設定する必要がある。そうすることで、悪意の脅威アクターによる PowerShell セッションとホストの完全に制御を防げると、共同ガイダンスでは説明されている。

さらに、管理者たちには、スクリプト言語を活用するサイバー脅威を特定するために、PowerShell アクティビティのログを取ることが推奨されている。そのためには、Windows イベントログに、悪意のアクティビティを含む全ての PowerShell コマンドを記録する Deep Script Block Logging や、Windows 7 以降の PowerShell 5 でアクティビティを記録する OTS transcription などが使用できる。

PowerShell 7 では、WinRM に加えて Secure Shell (SSH) リモート接続もサポートされ、信頼できるホストを必要としない安全なリモート管理が可能になった。それにより、クロス・プラットフォームでの PowerShell remoting も可能になる。

PowerShell の新バージョンに含まれる、新たな機能やセキュリティを考慮し、非推奨の PowerShell (5.0 以前は悪意の攻撃に利用されている) を無効化してアンインストールし、最新バージョンに入れ替えることが推奨されている。

上記の Cybersecurity Information Sheet (CIS) では、「PowerShell は、Windows OS の安全性を確保するために不可欠であり、特に新しいバージョンでは、アップデートや機能強化により、従来からの制限や懸念が解決されている。PowerShell を削除したり、不適切に制限したりすると、管理者や防御者による、メンテナンス/フォレンジック/自動化/セキュリティ支援のための PowerShell 活用が不可能になる」と結論付けてたれている。

この、PowerShell の活用方法については、6月22日「NSA が Windows PowerShell 活用を提言:適正な利用により防御側の武器になる!」でもお伝えしています。とても重要なことであり、メディアが異なると、視点も変わってくるので、今回の記事も訳してポストしました。前回の記事と合わせて、要点を、ご確認ください。

%d bloggers like this: