特権ＩＤの管理

標的型攻撃で狙われる情報は何でしょうか？
　　最終的な目標は個人情報、機密情報等々です

　　最終目標を達成するために、攻撃者が入手したい情報は何でしょうか？
　　　　「特権ＩＤ」情報を入手しさへすれば、縦横無人にシステムを操れます

　　特権ＩＤの認証情報は
　　　　権限の大きさから標的型攻撃の攻撃者が最も入手したい情報であり
　　　　高セキュリティで保護されたサーバや情報へアクセスするために必要な情報である

特権ＩＤ管理の実態
　　特権ＩＤとは、システム管理権限を有するＩＤを指す
　　　　・Ｗｉｎｄｏｗｓ【Administrator】
　　　　・ＵＮＩＸの【root】

　　利用状況
　　　　・複数の管理者で共有利用
　　　　・ローカル特権ＩＤの管理状況は不明
　　　　・長期間、同じパスワードを利用
　　　　・複数のデバイスで同じパスワードを利用
　　　　・特権ＩＤの利用状況が不明

　　懸念事項
　　　　特権ＩＤ管理が適切に行われていない場合
　　　　　　攻撃を受けやすく
　　　　　　利用状況が不明であるため、インシデント発生時の追跡が困難になる

特権ＩＤの管理方法
　　（１）アクセス管理
　　　　特権ＩＤで直接サーバにログインしているケース
　　　　　　ログインする際は少ない権限の一般ユーザＩＤでログインし
　　　　　　必要に応じて特権ＩＤを利用する

　　　　Ｌｉｎｕｘ／ＵＮＩＸ
　　　　　　一般ユーザでログイン後、【su】コマンドや【sudo】コマンドで一時的に特権を利用する
　　　　Ｗｉｎｄｏｗｓ
　　　　　　【runas】コマンドで一時的に特権を利用する

　　（２）利用者識別(本人確認と認証の強化)
　　　　脆弱なパスワードや長期間同一パスワードを利用している場合
　　　　　　パスワードが推測され、なりすましの危険性がある
　　　　複数のユーザでパスワードを共有している場合
　　　　　　誰が特権ＩＤを利用しているか不明になる恐れがある
　　　　　　セキュリティ事故が発生した時に特権ＩＤの利用者を識別できないため
　　　　　　調査や原因の特定が遅れ被害を拡大させることになる

　　　　対応策
　　　　　　・ユーザごとに一意のＩＤを割り当て、複雑なパスワードを利用する
　　　　　　・パスワードは定期的に変更する
　　　　　　・ワンタイムパスワードなどの二要素認証を利用する

　　（３）トレーサビリティ
　　　　セキュリティ事故が発生した場合、調査や原因の特定をおこなうためには証跡が必要

　　　　証跡の内容に必要な項目
　　　　　　・特権ＩＤ利用者
　　　　　　・特権ＩＤ利用日時
　　　　　　・特権ＩＤを利用したサーバ
　　　　　　・利用した特権ＩＤ

その他の管理項目
　　・パスワード ポリシーの強制
　　　　パスワードポリシーを自動的に適用する
　　・デフォルトで設定されているＩＤやパスワードの変更
　　　　サーバ、データベース、アプリケーション、ネットワーク機器など
　　　　既知のＩＤはブルートフォース攻撃など、攻撃者のターゲットとなりやすい
　　・コーディングされているＩＤやパスワードの削除
　　　　スクリプトファイル、設定ファイルなど
　　・ローカル管理者アカウントの定期的な調査
　　　　不要なアカウントは攻撃者のターゲットになりやすい
　　　　標的型攻撃にのバックドアとしてローカル アカウントが作成されるケースがある
　　・重要なサーバと利用者の環境を論理的な分離
　　　　標的型攻撃で利用者ＰＣがマルウェアに感染した場合
　　　　　　重要なサーバへのアクセスやマルウェアの拡散を防止する