新しいサイバー攻撃に立向うために

Transcription

1 新しいサイバー攻撃に立向うために ~ 設計 運用ガイドの紹介 ~ 2012 年 2 月 23 日独立行政法人情報処理推進機構技術本部セキュリティセンター研究員大森雅司 ダウンロード : 1

2 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 2

3 サイバー攻撃とは 2011 年にサイバー攻撃の報道が目立った 時期 報道 2011/2 中国から欧米エネルギー 5 社攻撃 ( 毎日新聞等 ) 2011/3 韓国で大規模ハッカー攻撃大統領府や銀行など 40 機関 ( 朝日新聞等 ) 2011/3 仏財務省にサイバー攻撃 G20 情報盗まれる ( 読売新聞等 ) 2011/4-5 ソニーにサイバー攻撃 個人情報流出 1 億件超 ( 朝日新聞等 ) 2011/6 米グーグル : 中国からサイバー攻撃米韓政府関係者ら被害 ( 毎日新聞等 ) 2011/9 三菱重にサイバー攻撃 80 台感染 防衛関連も ( 読売新聞等 ) 2011/9 IHI にもサイバー攻撃日本の防衛 原発産業に狙いか ( 産経新聞等 ) 2011/10 衆院にサイバー攻撃議員のパスワード盗まれる ( 朝日新聞等 ) 2011/11 サイバー攻撃 : 参院会館の PC ウイルス感染は数十台に ( 毎日新聞等 ) 3

4 最近のサイバー攻撃の発生状況 (1) ~ 組織のウェブサイトが攻撃集団のターゲットに ~ ウェブサイトへのサイバー攻撃の発生 (2011 年 4,5 月 ) 1 億件を超える個人情報が漏えいし 1 ヶ月近くに渡りウェブサービスが停止 自分たちの主張を通すため 政治的に敵対する政府や企業のサーバ等へ 攻撃を加えるグループの存在 自身の主張を誇示する為 攻撃を予告したあり 成果をインターネット上に公開 攻撃者は 情報共有サイトを通じて攻撃者を募る 攻撃を煽る 攻撃 攻撃集団 情報の流出 大手企業ウェブサイト 自分たちの主義 主張を誇示する手段としてウェブサイトを攻撃する集団の登場 4

5 最近のサイバー攻撃の発生状況 (2) ~ 防衛産業 セキュリティ企業を狙ったサイバー攻撃 ~ 軍需情報を狙った戦略的な多段攻撃 (2011 年 3 月 ~5 月 ) 3 月に米 EMC 社からの RSA SecurID に関する情報を窃取 5 月に米ロッキード マーティン社に対して 窃取された RSA SecurID 関連情報を悪用した侵害活動が発生 攻撃者の真の狙いは米ロッキード マーティン社の軍需関連の情報だったと言われている 1RSA SecurID に関する情報を窃取 EMC 社 2RSASecurID の情報を基に軍需情報を窃取 ロッキードマーティン社 攻撃者は ロッキードマーティン社で SecurID が使用されていることを事前調査で把握し 軍需関連情報が窃取できると考えた 5

6 最近のサイバー攻撃の発生状況 (3) ~ 日本 イスラエル 米国の防衛産業に対する標的型攻撃 ~ 国内大手の総合重機メーカに対するサイバー攻撃 (2011 年 9 月 ) 1 関係組織の職員の PC がウイルスに感染し 大手総合重機メーカとやり取りしていたメール情報が盗まれた ウイルス付きのメール 関係組織へのメール情報を窃取 関係組織 2 盗まれたメールを使用され 関係企業に対して標的型攻撃メールを送付された 正規メール送付の約 10 時間後 関係組織から窃取したメールを利用して標的型攻撃メールを送付 A 社 B 社 その関係企業の中に 関係組織に所属する複数の企業宛にメールが送付された 複数の報道から導き出したシナリオです 6

7 最近のサイバー攻撃の発生状況 (3) ~ 日本 イスラエル 米国の防衛産業に対する標的型攻撃 ~ ( 被害 ) 事象 : ウイルスは広域に社内拡散事業所数 11 拠点感染数 :83 台の PC やサーバ外部通信を行われる端末に感染したウイルスにより内部サーバへ侵入され 情報を抜き取られる 抜き取られた情報を攻撃者のサーバ ( 米国サーバ ) へ送付される 原発 防衛関連の情報を窃取された 複数の報道から導き出したシナリオです 感染した端末から深部のサーバへ侵入し 情報を抜き取る 抜き取った情報を攻撃者のサーバへ送付する 同社の愛知の拠点のサーバへ情報が集約され送付された可能性 組織内に巧妙なルートで侵入され 組織内拡散 組織内調査 重要サーバへの不正アクセスによる 組織の重要情報 ( 知的財産 顧客情報等 ) を狙われる事件が顕在化 7

8 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 8

9 サイバー攻撃の目的 現状のサイバー攻撃を行う攻撃者の目的 情報窃取 ( サイバー諜報 ) 組織の知財や政府の機密等の重要情報 サービス運用妨害 (DDoS) 組織のサーバや機器等を停止状態に陥らせる 攻撃指令 ボットネット 抜き取った情報を攻撃者のサーバへ送付する < 攻撃の手法 > 従業員宛に 標的型攻撃メール を送付し 組織内ネットワークへ侵入し 攻撃者へ情報を送付する 公開サーバを攻撃し 個人情報を窃取する < 攻撃の手法 > 攻撃者の制御内にあるボットネットを使用して企業のサーバへ攻撃する 攻撃の呼びかけをして標的のサーバを攻撃する 9

10 サイバー攻撃の目的 情報破壊 組織の重要情報を破壊し運用不能に至らしめる 物理的被害 ( 特にクローズ制御系 ) 制御装置 駆動部等に誤作動を起こさせ装置自体を破壊 ウェブサーバ PLC 6ES7-417 PLC 6ES 制御ネットワーク 情報ネットワーク 制御情報ネットワーク SIMATIC STEP 7 SIMATIC PCS 7 SIMATIC WinCC プロセスコンピュータ 10

11 サイバー攻撃の変遷 昔と今のサイバー攻撃の絵姿変化... 不正侵入 改竄 体系化 (Botnet) 2006~ 2000~ 2004~ 2009~ 多段化正規サービスの (Botnet 技術基盤利用 ) 攻撃基盤利用 2010~11 組織を跨った新しいタイプの攻撃 正規サイト サービス利用 1 脆弱性 =1 攻撃の時代 PC とホームページ改竄がターゲット ウイルス亜種の大量出現シーケンシャルマルウエア ( 多段型攻撃 ) 0-Day 脆弱性利用 tool によるウイルス生産情報システムがターゲット 攻撃者ひとり 攻撃組織基盤化 攻撃組織間連携 戦術的攻撃 多様な意図性 ( 情報窃取攻撃 ) 出展 : 亀山社中 11

12 サイバー攻撃の変遷昔と今のサイバー攻撃の絵姿変化... ~ 攻撃者像や攻撃の目的も変わってきている~ 個人の攻撃者 いたずら目的 技術力の誇示 犯罪集団 金銭目的 クレジットカード情報 個人情報の窃取 諜報的活動 ( サイバースパイ ) 政府 企業の機密情報の窃取や妨害行為が目的 攻撃目的と攻撃組織の変化 いたずら目的顕示欲の誇示 攻撃者 1 人セキュリティ技術者 金銭目的 ( 犯罪 ) サービス妨害 ( 嫌がらせ ) グループ犯罪者 共通思想的集団 ( ハクティビスト ) スパイ 諜報活動機密情報の窃取 国家? インターネット呼掛け 自分達の主義 主張に反する政府や企業を攻撃 12

13 昔と今のサイバー攻撃の絵姿変化... サイバー攻撃の変遷 ~ 攻撃に対するインパクトの変化 ~ インパクトの変化 ウイルス感染 PC 数台の被害 個人情報流出 企業の社会的責任 知的財産情報の窃取 企業の競争力低下 軍需情報 外交情報 国家の危機管理問題へ 制御機器のシステム停止 都市機能 交通機能の麻痺 攻撃 企業の不祥事企業競争力低下社会生活への影響懸念 攻撃によるインパクトが 1 つの組織に留まらず 国家や社会生活を巻き込んだ問題になってきている 13

14 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 14

15 IPA の取組みの紹介 ~ きっかけは IPA を騙った標的型メール ~ IPA を語った標的型メールが発見 (2008) 大手総合重機メーカへの攻撃で使われた標的型メールと同様 1 メールの受信者が興味を持つと思われる件名 送信者のメールアドレスが信頼できそうな組織のアドレス 件名に関わる本文 本文の内容に合った添付ファイル名 添付ファイルがワープロ文書や PDF ファイルなど 2 に対応した組織名や個人名などを含む署名 15

16 IPA の取組みの紹介 標的型メールにおける対応体制の整備 ( ~) 標的型メールの受付け窓口の設置 定期的な分析 対策レポートの発行とツールの提供 新たな脅威 ウイルス標的型メール IPA 安心安全相談窓口 IPA 研究会 委員会など IPA ツール開発 ガイド検討 状況把握 脅威分析 対策方法提示 現状に則した情報発信 注意喚起の発信 技術白書への掲載 分析レポートの公開 脅威の分析と対策レポート vol.1~6 まで公開 対策 チェックツールの提供 標的型攻撃解析ツール MyJVN バージョンチェッカ 脅威の分析や脆弱性チェックする為のツールは整備できたが 具体的に実害を防ぐ対策を打出すことが課題であった 16

17 IPA の取組みの紹介 ~ 様々な分野の専門家が集結した研究会の発足 ~ IPA 脅威と対策研究会 ( ~) SI ベンダ セキュリティベンダ 大学関連等の有識者で構成 新しいタイプの攻撃 に関する攻撃の特徴の分析および対策の検討等を行う 研究会アウトプット 2010 年 12 月公表 : IPA テクニカルウォッチ 新しいタイプの攻撃 に関するレポート 2011 年 8 月公表 : 新しいタイプの攻撃 の対策に向けた設計 運用ガイド 2011 年 11 月公表 : 改訂第二版の公開 新しい脅威 インシデント 予兆 A 社 A 社の知見 ツール Z 社 大学 研究組織 IPA Z 社の知見 ツール 組織の知見 ツール IPA の知見 ツール IPA 知見ある人 外部 脅威と対策研究会 ツール 外部有識者 知見の連携の場 知見集約 検体 IPA IPA 成果 アウトプット 1 注意喚起脅威の注意喚起 2 解説資料脅威の解説資料 3 脅威パターンと対策セット 3 脅威パターンと対策セット 1. ベース資料作成 RM から抜粋と IPA として公開できる形式に整理 (1) どのようなものか決定 (2) どう作成するかドキュメント作成者決定 IPA 非常勤 (Sier?) (3) レビュー &FIX 2. 新しい脅威パターン等追加 (1) 更新 17

18 設計 運用ガイドの公開 新しいタイプの攻撃 の対策に向けた設計 運用ガイド 2011/8/1 リリース ~Stuxnet( スタックスネット ) をはじめとした新しいサイバー攻撃手法の出現 ~ < 内容 > エグゼクティブサマリ (1 章 ) 経営層を対象として 新しいタイプの攻撃 の解説とその対策における考え方を記載 新しいタイプの攻撃 の問題と背景 (2 章 ) 新しいタイプの攻撃 への対策の提案 指示等を行うプロジェクト管理者を対象として 新しいタイプの攻撃 の概要の解説と 対策を行う際の設計における考え方を記載 新しいタイプの攻撃 への対策 (3,4 章 ) 新しいタイプの攻撃 への対策を実際に設計する方 実装する方を対象として 新しいタイプの攻撃 を 5 つのパターンに分類し それら 5 つのパターンに有効な 6 つの対策を提示 18

19 本ガイドで扱う 脅威 の対象 本ガイドで扱う 脅威 の対象 情報セキュリティの脅威分野 本ガイドはサイバー攻撃分野のうち 内部に入り込んで情報を窃取する分野を取り扱う 情報セキュリティの脅威分野 サイバー攻撃防御 サイバ攻撃分野 情報管理 情報管理分野 脅威分野 1 破壊 本ガイドの分野 守るべきもの 脅威分野 3 内部犯罪 ( 情報漏洩 ) 脅威分野 2 情報窃取 組織機能ビジネス信頼等 メガリーク 知財保護 ( 人的 組織管理 ) の問題 脅威とリスクは組織の外から 脅威とリスクは組織の内から 19

20 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 20

21 新しいタイプの攻撃 とは? 新しいタイプの攻撃 の定義 (IPA): ソフトウェアの脆弱性を悪用し 複数の既存攻撃を組み合わせ ソーシャル エンジニアリングにより特定企業や個人を狙った攻撃の総称 攻撃の特徴 標的組織と業務上関係のある人物を装い ( ソーシャル エンジニアリング ) メール送付し システム内部に忍び込む IT システムの脆弱性 ( 既知 未知 ) を突き ウイルスに感染させる 外部の指令サーバ (C&C サーバ ) との通信することによる 新たなウイルスを呼び込む 個別システムに特化した攻撃 個々の攻撃が防御システムを回避するように巧みに組合わ さり 攻撃目標に合わせて設計されている 21

22 新しいサイバー攻撃の出現 新しいタイプの攻撃 Google Yahoo! を狙った攻撃 (Operation Aurola) Google,Yahoo!,Symantec,Adobe System など 30 余りの企業を標的とした攻撃 ソフトウェア構成管理などの知的財産を窃取する Google の中国撤退騒動など 国際的な問題にまで発展 イランの原子力施設を狙った攻撃の発生 (Stuxnet) 原子力施設の制御システムが攻撃のターゲットになったことで世界的に注目 多様な感染手段と通信機能を持ち ほとんどが未知の脆弱性を悪用していた 攻撃者は Windows OS/ 電動制御装置など幅広い知識を有している 攻撃を成功させるために 証明書の秘密鍵を盗むなど 幅広い諜報活動の跡が窺える 米中央軍ネットワークにおけるウイルス感染 (2008 年 ) 中東の基地にあったノート PC がウイルスに感染し 米中央軍のネットワークに入り込んだ ウイルスは検知されないまま機密システムと非機密システムの両方に広がり 外国の支配下にあるサーバーに作戦計画が渡ってしまう状態であった 本件を契機にサイバーディフェンス戦略の見直しが進められた これらの攻撃は 海外では APT(advanced persistent threat: 高度かつ継続的な脅威 ) などと呼ばれる攻撃手法であり IPAでは 新しいタイプの攻撃 と呼称した 22

23 新しいタイプの攻撃 の動向 ~ このような事件が世界中で起こっている ~ McAfee 社が 2011 年 8 月に公表した資料 世界 14 カ国 72 組織をターゲットにした Operation Shady RAT (McAfee) 国家機密情報 ソースコード メールアーカイブ 交渉計画 新規油田 ガス田開発に関する詳細な調査結果 ドキュメントストア 契約書 システム設計図面などが窃取 金銭情報 機密 知的財産情報 2006 年から 2010 年までの攻撃対象国 国 攻撃数 国 攻撃数 業種 米国 49 インドネシア 1 政府 行政機関 カナダ 4 ベトナム 1 工業関連 韓国 3 デンマーク 1 通信関連 台湾 3 シンガポール 1 軍需関連 日本 2 香港 1 金融関連 スイス 2 ドイツ 1 その他 英国 2 インド 1 攻撃数 22 組織 6 組織 13 組織 13 組織 4 組織 12 組織 23

24 新しいタイプの攻撃 対策の難しさ 攻撃が検知できない ウイルスの通信は HTTP などオフィス環境で使用する通信と同じため 攻撃を検知することができない 攻撃者がシステムの状況に応じて攻撃方法を変える 攻撃者が送り込むウイルスがスパイ活動を行い 内部のシステム状況に応じて 攻撃を仕組んでくる アカウント パスワード情報などのセキュリティを確保する上で前提となる情報が攻撃者の手に渡り セキュリティシステムが無効化される 次は何を攻略しようかな ID/PW こんなの見つかったぞ 巧みなソーシャルエンジニアリング 事前調査段階で窃取した情報が標的型メールとして使用されるため 標的型メールと気付けない 24

25 新しいタイプの攻撃 対策の難しさ ~ 初期攻撃は 必ず内部に潜入できるように作られている ~ 標的型攻撃メールに使用されるテーマや送信者 # 送信者メールのテーマ特徴見分け難易度 1 省庁関係者 ( 実在人物 ) イベントのお知らせ 報告書の送付 時事ネタに応じた喚起 ファイルを開かせそうな文面 実際の公開文書を模倣した文面 不完全な日本語 2 省庁関係者 ( 実在人物 ) 震災に乗じたお知らせ 放射能に関する連絡 計画停電に関する連絡 受信者が見ないと被害を受ける危険性を示唆する内容 受信者の冷静な判断を狂わせる 3 取引先 同僚 ( 知人 ) 取引に関する情報 業務に関する連絡 当事者しか知らない情報 事前攻撃にて窃取された情報やメール文面が使用される 普段の業務メールに紛れてくるため 標的型攻撃メールと見分けることが極めて困難 人間の判断で 標的型攻撃メールと見分けるのは 極めて困難な状況 見分けられないことを前提とした対策が必要 25

26 情報セキュリティにおける攻撃の分類 ~ 新しい対策が求められている ~ 各対策のカバー範囲 従来の対策でカバーできなくなった 新しいタイプの攻撃 新対策でカバー サイバー攻撃 標的型攻撃 その他の攻撃 不特定目標攻撃 従来対策でカバー 情報セキュリティ 例 :DDoS ホームページ改ざん等 情報管理 人間による情報窃取 誤操作 例 : 内部告発のための持出 メール ファックス誤送信等 コンプライアンス強化で対処 一口に標的型攻撃といっても 攻撃目的や手法などの違いがあり 対策方法も異なってきる 26

27 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 27

28 攻撃の特徴と対策検討のポイント ~ 検知をすり抜け 素早く次のステップに移行 ~ ウイルスを使って深部に空けたバックドア ( 裏口 ) を用いて攻撃基盤を構築し システムをハッキング ( 情報漏洩 ) 初期潜入に成功後 バックドアを設置まで素早く数分 その後はバックドアを使ってマルウエアの機能を拡張し 攻撃基盤を構築 事前調査 初期潜入段階 攻撃基盤構築段階 システム調査段階 攻撃最終目的 (( 窃取 )) の遂行 28

29 攻撃の特徴と対策検討のポイント ~ 一言で言うと 標的型メールを使ったハッキング ~ 内部を自由に探索! 何でも出来る情報窃取 情報破壊 組織の動向モニター etc.. 標的型メールによって作られた通信経路 ( バックドア ) 発見が非常に困難! 元々 情報システムは境界内部は安全ゾーン思想で設計してある 攻撃者が情報システム内部からハッキングしてるのと同じ状態になる 29

30 新しいタイプの攻撃 の分析 新しいタイプの攻撃 の流れを分析してみると共通的な攻撃手法があることが分かった 段階攻撃内容特徴 第 0 段階 [ 事前調査段階 ] 第 1 段階 [ 初期潜入段階 ] 第 2 段階 [ 攻撃基盤構築段階 ] 第 3 段階 [ システム調査段階 ] 第 4 段階 [ 攻撃最終目的の遂行段階 ] 攻撃戦略の検討 攻撃ターゲットの環境調査 関係機関に対する情報窃取活動 各種初期攻撃 標的型攻撃メール添付ウイルス ウェブ改ざんによるダウンロードサーバ誘導 外部メディア (USB 等 ) 介在ウイルスなど バックドアを使った攻撃基盤構築 ウイルスのダウンロードと動作指示 ウイルスの拡張機能追加 (1) 組織のシステムにおける情報の取得 (2) 情報の存在箇所特定 (1) 組織の重要情報 ( 知財 個人情報等 ) の窃取 (2) 組織情報 ( アカウント等 ) と基に 目標を再設定 第 1 段階の初期潜入を確実に行うための関係者しか知らない情報が狙い 入口の対策をすり抜け システム深部に潜入素早く次の段階へ移行 攻撃手法は使い捨て 構築した攻撃基盤は発見されない 構築した攻撃基盤は再利用される 時間をかけて何度もしつこく行う 何度も攻撃を行うための情報窃取 組織への影響を与える情報窃取 共通攻撃手法 30

31 新しいタイプの攻撃 のイメージ 新しいタイプの攻撃 をロケットの例で考えてみると システムへの攻撃に特化したペイロード部と特定のシステムに侵入する為の共通仕様部分のランチャー部に分けることができる 付け替え可能 制御システム動作妨害用 (Stuxnet の場合 ) ソースコード窃取 (OperationAurora の場合 ) ペイロード部 ( 個別攻撃手法 ( ) ) ランチャー部 ( 共通攻撃手法 ( ) ) 個別攻撃部 ( 特定のシステムを標的とする ) 共通攻撃部 ( システムへの侵入等が目的 ) ランチャー部は共通の攻撃手法で作成されている ランチャー部の対策に視点を! 状況に応じた脅威の判断が必要 31

32 目次 サイバー攻撃の実情 サイバー攻撃の変遷 IPAの取組みの紹介 新しいタイプの攻撃 とは 新しいタイプの攻撃 の分析 新しい発想に立った対策 32

33 新しい発想で対策を考えてみよう 脅威を入れない の思想で対策 コンプライアンスポリシ セキュリティ基準類 コスト的にも 技術的にも.. 限界 脅威は入っても 実害は防ぐ の思想で対策 注意喚起 情報共有 脆弱性管理 インシデントレスポンス フォレンジックス解析 従来の対策 脅威を入れない 対策 侵入されることを前提とした対応 新しい発想の対策 実害を防ぐ 対策 33

34 新しい発想による対策の考え方 入口と出口に二重のセキュリティ対策を 外部からの脅威をブロックする 入口対策 情報が外部に持出されない為の 出口対策 入口対策と影響 多くの攻撃は防げるが すり抜けてしまう 組織への影響と入口対策 出口対策 入口対策 A 社 知財 個人情報等重要情報の窃取 組織への影響 ( 知財等の情報窃取やシステムの破壊 ) を回避する必要 入口対策では防ぎきれない場合がある 出口対策イメージ A 社 出口対策によりたとえ攻撃されても 組織への影響を回避することが可能になる 入口対策 たとえ入口で防げなくても 窃取を防ぐ対策 出口対策 34

35 出口対策 ( 設計対策 ) とは? 設計対策のポイント 外部通信の検知と遮断することによる攻撃基盤構築の阻止 ウイルスのシステム内拡散防止による攻撃の最終目的への到達回避 ウェブサーバ 情報ネットワーク 3 発見しにくく静かな ( 密かな ) 攻撃 2 1 IT オープン系 4 PLC 6ES7-417 制御ネットワーク 制御情報ネットワーク 共通攻撃手法部分 SIMATIC WinCC SIMATIC STEP 7 PLC 6ES プロセスコンピュータ SIMATIC PCS 7 クローズ系 番号共通攻撃手法機能役割 http バックドア通信機能 システム内拡散機能 一斉バージョンアップ機能 USB 利用型情報収集機能 共通攻撃手法を止める対策 ( 出口対策 ) を ウイルスと攻撃者のサーバとの通信を確立 システム内の情報窃取の効率化のため 多くの端末に感染させる システム内のウイルスに効果的な攻撃を行わせる機能を持たせるようにする クローズ系システムの情報を収集するため USB 等にそのような機能のウイルスを入れ込む 35

36 8 つの出口対策 ( 設計対策 ) を行い バックドア検知 ウイルス拡散を防止する 対策実装手法区分 ( 黄色 ) はバックドア通信を止める対策 ( 青色 ) はシステム内拡散等を止める対策 1 サービス通信経路設計 1. ファイアウォールの外向き通信の遮断ルール設定 2. ファイアウォールの遮断ログ監視 A. 保守等作業ですぐできる対策 2 ブラウザ通信パターンを模倣する http 通信検知機能の設計 1.http メソッド利用バックドア通信の遮断 B. システム設計時に見直すべき対策 3 RAT の内部 proxy 通信 (CONNECT 接続 ) の検知遮断設計 1.RAT の CONNECT 確立通信の特徴を利用した 内部 proxy ログでの監視 B. システム設計時に見直すべき対策 4 最重要部のインターネット直接接続の分離設計 最重要部がインターネットへ直接接続しないように VLAN 等で設計 B. システム設計時に見直すべき対策 5 重要攻撃目標サーバの防護 1.AD を管理する管理セグメントを防護する 2. 利用者から見える AD のサービスに対するパッチ当て B. システム設計時に見直すべき対策 6 SW 等での VLAN ネットワーク分離設計 利用者セグメントと管理セグメントを分離設計する等 B. システム設計時に見直すべき対策 7 容量負荷監視による感染活動の検出 スイッチ等の負荷やログ容量等における異常検知を行い セキュリティ部門と連携する B. システム設計時に見直すべき対策 8 P2P 到達範囲の限定設計 34 の対策に加え 不要な RPC 通信の排除を目的としたネットワーク設計 B. システム設計時に見直すべき対策 36

37 出口対策例 ( 設計での対策 ) 1 サービス通信経路設計の効果 FW でプロキシ経由以外の通信を遮断することで TCP ベースの独自プロトコルと HTTP( プロキシ対応しない ) 通信の 46% のバックドア通信を遮断可能 4% バックドア通信種別 26% 28% 42% TCPベースの独自プロトコル HTTPS HTTP( プロキシ対応 ) HTTP( プロキシ対応しない ) データ提供 : トレンドマイクロ 2011 年 4 月 ~10 月国内で収集標的型攻撃メールに添付されていたと思われるウイルス 50 個のバックドア通信サンプル 37

38 出口対策の適用例 38

39 現場で活用できる資料の提供 (1) サービス通信経路の設計 最重要部のインターネット直接接続の分離設計 ブラウザ通信パターンを模倣する http 通信検知機能の設計 SW 等での VLAN ネットワーク分離設計 研究会に参加するベンダの知見から実用的に活用できる設計情報を提供 39

40 現場で活用できる資料の提供 (2) [1] 対策要件定義 [2] 設計 [3] 製造 ( 実装 ) [4] テスト [5] 運用 業務 APP 開発 業務要件整理 機能概要機能方式プロセス設計 APP 開発 APP 単体動作業務動作確認 業務運用サポート 開発チーム 業務インフラ インフラ要件整理非機能要件整理全体ネットワーク構成図作成 基本設計方式設計 HW/SW 設計環境設計 環境構築基盤動作確認基盤サポート セキュリティ機能 (A) 目的の明確化 (B) 脅威タイプの分類 (C) 共通脅威ハ ターン (D) 設計方針の検討 (E) 対策要件の決定 基本設計方式設計 HW/SW 設計環境設計 環境構築設計動作の検証監視 / 分析 工程毎の成果物 要件定義書 運用設計書 ( 組織間連携等 ) 基本設計書 運用設計書 ( 運用前提等 ) 防御テストシナリオ 環境設計書 ( デザインシート等 ) 防御テスト結果確認 運用手順書 各チーム毎が各工程毎に実施すべき事項とチーム間で連携すべきポイントをリンク 40

41 対策の考え方の整理 攻撃による組織への損失を見極めましょう 何が発生すると組織にとって脅威なのか ウイルス侵入ではなく 情報の窃取 同じ攻撃であっても 環境や組織の形態によって脅威は変わってくる システム全体を見渡したトータルな対策 一部分の対策では対策に漏れや 効率的 効果的な対策が行えなくなる 入口対策に偏らず 出口対策にも視点を当てたバランスの取れた対策が重要 入口対策 出口対策 組織の運用形態に合った対策を いくら万全のセキュリティ対策設備を整えても 運用ができなければ効果なし 自分達で運用できることを念頭においた対策検討が重要 他組織の脅威をそのまま自組織の脅威に当てはめて考えるのではなく 自組織の影響を分析して対策することが重要 41

42 今後 求められる対策 ( 前提 ) サイバー攻撃のイメージと問題が組織で共有出来てるか? ( 前提 ) まず サイバー攻撃による影響 を把握する 現場だけではなく 管理者を含めた把握が必要 サイバー攻撃の現状サイバー攻撃による影響は 今や単なる ウイルス感染 ではない組織の影響は 機密情報の情報窃取 や システムのサービス不能 である サイバー攻撃の現実サイバー攻撃は 攻撃者優位 : 対策を立ててもそれをすり抜けられる手法が出現防御側が 攻撃者の現状を把握していなければすり抜けられてしまう 組織の対応は現場の一部専門家だけ把握している状況からの脱却セキュリティ技術だけではなく 関連分野含めて全体的な要素を加味する必要 42

43 今後 求められる対策 プロジェクトマネージャ ( 運用者含む ) 橋渡し不在 セキュリティエンジニア + 脅威アナリスト 必要な機能の洗い出し 最適化 出展 : 亀山社中 製品プロダクト担当 情報システムは 各分野の専門家が連携できておらず システム全体の脅威を把握できずにいる 全体像が分かることにより 対策のポイントが見えてくる 43

44 IPA の取り組み : 官民連携によるサイバー攻撃への対応サイバー情報共有イニシアティブ J-CSIP 44

45 おわりに IPA は 安心安全な情報システム 社会インフラの実現を目指します ご清聴, ありがとうございました 独立行政法人情報処理推進機構技術本部セキュリティセンター