Mitigation(緩和/対策)は具体的に何をするのか?
前回のエントリで CDM(Continuous Diagnostics and Mitigation) について、人に例えて紹介しました。その際に、Mitigation(緩和/対策) は、「食事療法や運動療法や投薬を行うことで病気(インシデント)のリスクを軽減すること」と例えてみましたが、サイバーセキュリティにおいては、実際に何をするものなのか?具体例を上げてみたいと思います。
Emergency Directive 21-04 Mitigate Windows Print Spooler Service Vulnerability
https://cyber.dhs.gov/ed/21-04/
上記URLは、2021年7月13日にCISA(米サイバーセキュリティ・インフラストラクチャセキュリティ庁)から発行された、Microsoft Windowsプリントスプーラーサービスの脆弱性CVE-2021-34527に対する緊急司令(Emergency Directive)です。米国の連邦政府機関を対象とはしていますが、この脆弱性を悪用したサイバー攻撃を回避するためには、あらゆる国の組織・企業も同様の手順を実施する必要があります。このブログを読んでいただいている皆様もWindowsをお使いであれば例外ではありません。
さて、緊急司令の「Required Actions」には、Mitigation (緩和/対策)として実施しなければならない具体的なアクションが6項目記述されています。一部を和訳して抜粋します。
1. 2021年7月14日水曜日午後11時59分(EST)までに、全てのMicrosoft Active Directory(AD)ドメインコントローラー(DC)で印刷スプーラーサービスを停止して無効にする。
2. 2021年7月20日火曜日午後11時59分(EST)までに、2021年7月の累積的な更新プログラムを全てのWindowsサーバーとワークステーションに適用する。
3. 2021年7月20日火曜日午後11時59分(EST)までに、Microsoft Windowsオペレーティングシステムを実行している全てのホスト(アクション#1のドメインコントローラーを除く)について、以下のオプション1、2、または3のいずれかを実施する。
オプション1:
ホストでPrintSpoolerサービスを停止して無効にする
オプション2:
ポイントと印刷の制限のグループポリシー設定を構成する
オプション3:
全てのポイントと印刷の制限グループポリシー設定を上書きして、管理者のみがプリントドライバーをインストールできるようにする4. 上記のオプション1、2、および3のレジストリおよび/またはグループポリシー設定が適切に展開されていることを確認する。
5. 2021年7月20日火曜日午後11時59分(EST)までに、技術的および/または管理制御が実施され、新たに配備された、または以前に切断されたサーバーとワークステーションが更新され、ネットワークに接続する前に上記で定義された設定がなされていることを確認する。
6. 2021年7月21日水曜日午後12:00(EST)までに、完了レポートを送信する。
実施すべき内容としては、マイクロソフト社の Knowledge Base(KB)に記載されていること同じなのですが、この緊急司令には注目すべき点が3つあります。
一つ目は、対象が漏れなく「全て」のWindows 端末であることです。さらには、新たにネットワークに接続する端末も、ネットワーク接続前に事前に適切に設定します。
二つ目は、実施するだけでなく、正しく適用または設定されたことを即座に確認しなければならないので、「今」の状態の確実な確認が必須です。
最後に、これらにはしっかり期日が設けられていることです。この緊急司令が発行されたのが2021年7月13日。最終的な完了レポートの提出は2021年7月21日午後12:00までですので、おおよそ1週間で全てのWindows端末に対して実施し確認し報告までしなければなりません。
以上が、Mitigation(緩和/対策)の具体例です。当然これらを人によるマンパワーだけで実施することはおそらく不可能でしょう。全ての端末に対して、しかも短期間で正確に実施し確認まで行うことができるプラットフォームが必要です。
なお、タニウムをご利用の場合、英語の記事にはなりますが、今回例として取り上げたMicrosoft Windowsプリントスプーラーサービスの脆弱性CVE-2021-34527への対処方法が掲載されております。ご参考までに。
https://community.tanium.com/s/article/How-Tanium-Can-Help-with-June-July-2021-Print-Spooler-Vulns-PrintNightmare-CVE-2021-34527-originally-misattributed-to-CVE-2021-1675-and-Related-Vulnerabilities
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。
