Microsoft PowerPoint _筑波大学_公開用(谷川).ppt [互換モード]

Transcription

1 ネットワーク時代を安全に過ごす エストニアへのサイバーテロ 世界初の 国家の情報技術基盤を狙ったサイバーテロ 企業内のセキュリティ管理 2007 年 10 月 15 日日本電気株式会社 IT 戦略部セキュリティ技術センター谷川哲司 発生日時 2007/4/27( 金 )~5 月中旬 攻撃対象 政府機関 ( 政府 大統領府 13 省庁 国会 ) 金融機関 (2つの大手銀行) プロバイダー主要報道機関 (3 機関 ) 公共機関民間機関政党のサイト BOTNET を利用した DDoS 攻撃 DoS 攻撃の手法は少なくとも 10 種 (ICMP Flood, F5 アタック, ) 第 1 波 5/3 第 2 波 5/7~8 第 3 波 5 月中旬 遮断措置 ロシア米国中国エジプトベトナム日本など 攻撃元 NEC Corporation 目次 1. 企業のセキュリティ対策 2. インシデントの分析 3. 脅威 リスクの分析 4. 対策方法の検討 5. 運用 6. 新しい技術 1. 企業のセキュリティ対策 NEC Corporation (1) 企業のセキュリティ上の課題 [1] サイバーアタック ワーム, ボット 公開サーバー, 受動的攻撃 ( ブラウザ ) [2] 情報漏洩 P2P 対策, 不正なデータ持出し メール誤配信 携帯端末紛失 中傷メール 情報暴露 (2) 企業でのセキュリティ対策の考え方 政府 社会インフラ 企業ではセキュリティ強度と費用のバランスを計る リスク 個人 [3] 不適切なネットワーク利用 掲示板書込み, SNS, 株取引 セキュリティ 費用 NEC Corporation NEC Corporation

2 (3) セキュリティ対策の検討手順 [1] インシデント情報の分析 [2] 脅威 / リスクの分析 [3] 対策方法の検討 2. インシデントの分析 [X] 運用 NEC Corporation , ,000 (1) セキュリティインシデント数の推移 ( 全世界 ) インシデント数 インシデントは世界規模で急激に増加中 インターネットを利用した犯罪が米国を中心に増加 82, ,529 マルウェア (2) 脅威の変化 ( 悪質化 ) 2006 年度は マルウェア 脆弱性とも減少 より悪質化 ( ゼロデイ化 ) 20,000 15,000 マルウェア 4, 脆弱性 ,000 50,000 インターネットの普及に伴いインシデントが増え始める 21,756 52,658 10,000 5, 脆弱性 ,000 1, ,334 2,340 2,412 2,573 2,134 3,734 9, 参考資料 NEC Corporation NEC Corporation 2007 idefense 社の情報より引用 10 (3) 最近のセキュリティ犯罪の動向 以前はスクリプトキディの売名行為が中心 ターゲット プロ化 方法 個人情報スピア攻撃 お金儲け ステルス化 3. 脅威 / リスクの分析 サービス DoS 攻撃 ランサムウエア 詐欺 フィッシング詐欺 ファーミング ビッシング NEC Corporation

3 (1) セキュリティ対策の重点課題 2000~ ~ ~2010 (2) ワームの脅威 社内インフラ ( ネットワーク ) の寸断 不正侵入 WebAP/DB アプリ /DB ワーム P2P BOT BOT Internet 情報漏えい DoS 攻撃 SPAM メール 情報漏えい フィッシング スピアメール SPAM メール フィッシング スピアメール ワームの最大の脅威は大量パケットによるネットワーク帯域の枯渇 IP 電話も被害の対象 認証が出来なくなると 社内システムがほぼ活動を停止 NEC Corporation NEC Corporation (3) Web アプリケーションに対する攻撃 Web アプリケーションレベルの脆弱性を突く攻撃が急増している OS やミドルウェアへのパッチ適用では Web システムを守りきれない パスワード推測 バッファ オーバーフロー セッション ハイジャック パラメータ改ざん OS コマンド インジェクション SQL インジェクション (4) P2P の脅威 Winny/Share で不注意による大規模な情報漏洩事件が多発 お客様 ( 企業 個人 ) 会社 組織 自宅 感染提供持出し暴露 P2P ネットワーク Internet クライアントクロスサイト リクエスト フォージェリ LDAP インジェクション クロスサイト スクリプティング 個人情報 WebAP Webサーバソフト Web/APサーバ設定 構成不備の悪用 データベース DBサーバ 個人情報 機密情報 軍事情報 捜査情報 Antinny ワーム 回収はほぼ不可能偽情報を流す事は可能 ( ハッシュを一致させるのは困難 ) 自宅での使用制限は困難 ( 業務データを持出させない ) NEC Corporation 2007 LDAPサーバ 15 NEC Corporation (1) 対策方法 ルール策定 システム化 4. 対策方法の検討 確実性小 費用低 確実性大 費用大 No 対策方法 長所 課題 1 ルール策定 費用 効果 2 システム化 機械的 費用 3 ハイブリッド 目標の達成度を把握 NEC Corporation

4 (2) ルール / ガイド策定 企業では各種ルールを制定し 目標と制限を明確にしている セキュリティ基本方針 セキュリティ基本規定 各種規定 各種ガイドライン 各種ガイド ルールが守られるような確認システムの存在が鍵 4-1.CAPS (Cyber Attack Protection System) NEC Corporation (1) ワームの襲来 CodeRed/NIMDA を教訓に防御システム (CAPS) を構築 (2) CAPS ( サイバーアタック対策システム ) NEC グループ 15 万人 ( 約 20 万台 ) で運用しているシステム 世界的規模でワームが発生 2001 年 8 月 CodeRed II 2001 年 9 月 NIMDA アクション ワクチン配布 ワクチン配布 パッチ配布監視センター フィルター 切断 2001 年 10 月 ~2002 年秋サイバーアタック対策システム (CAPS) 構築 2003 年 1 月 Slammer 2003 年 5 月 Sasser 2003 年 8 月 Blaster(Nachi) NEC Corporation で絶大な効果を発揮 情報収集 統合管理データベース 未承認パッチ PC 検出 ワクチン情報 (SecureVisor) (PC 見張り隊 ) NEC Corporation 脆弱性情報インシデント情報 NW 監視 IDS セキュリティポリシー / マネジメント ログ解析 (GateMinder) Web 改ざん監視 (3) 統合データベース 他のシステム すべての管理対象マシンの情報を一元的に管理 データ連係 統合データベース 端末名バッチワクチン暗号化 1 PC-1 2 PC-2 3 PC-3 (4) 検疫 ( 特徴 ) 未承認 PC/ サーバの接続を検知し管理者へ通知 ネットワーク上のホスト情報を収集してサイトマネージャに収集 SecureVisor サイトマネージャ 管理情報通知 統合管理システム インベントリ管理 状況確認インターフェース 4 PC-4 5 PC-5 部門管理者は自部門データを参照可能 部門 部門 SecureVisor ネットワークエージェント 新規ホストや不審なホストを発見すると通知 SecureVisor ネットワークエージェント パッチ適用状況 ワクチン導入状況 アプリケーションインストール状況 接続 PC 状況 暗号化状況 NEC Corporation LAN を流れるパケットをチェック 初期導入時はすべてのホストを発見通知 NEC Corporation

5 (5) パッチ適用 (6) 遮断システム 各 PC のパッチやワクチンの適用情報を収集 最新パッチ ワクチン一覧と比較して 古い場合はPCにポップアップで知らせてダウンロード パッチチェックビューア ( 未適用のパッチを自己チェック ) PC 見張隊サーバ 1 万端末毎に 1 サーバ 管理情報通知 SWチェックリスト イントラネット 未適用時 Popup ダウンロード 統合管理システム インベントリ管理 ログ解析 ( GateMinder ) 状況確認インターフェース 1. 監視 CAPS(IDP) でNEC インタネット上の攻撃パケットを監視 2. サイト特定 Worm 発生時 攻撃元サイトを特定 3. 遮断 LAN 単位でTCP UDP の外向き攻撃ポートを遮断 Router 遮断 イントラネット 1 全ポート遮断 2 特定ポート遮断 サイト特定 IDP 監視 NEC Corporation 部門 LAN PC 見張隊クライアント パッチ ワクチン情報 OS/ ソフト /HWの情報 利用者の情報 感染 PC NEC Corporation 全ルータ遮断特定ルータ遮断特定モジュール遮断 5. 運用 5.1 ログ監視 (1) 漏洩データの解析方針 機密情報 漏洩データを特定 データアクセス者の絞込み データ持出者の絞込み 漏洩経路の推定 (2) ログ収集と解析の基本 ログ解析を行うためには ログ採取 ログ収集 ログ解析 が不可欠 ログ採取 ログ収集 ログ解析 InfoTrace LogCollector テキスト検索 時系列分析 デザインデータオフィスデータ 犯人 経路 漏えい先 クライアント PC クライアント PC 収集 SV 解析 PC アクセス記録 業務内容 NEC Corporation 外部記憶装置メール添付ファイル Web(UPLOAD) 印刷 データ確認 クライアント PC バックアップ NEC Corporation

6 (3) 攻撃ログの解析でできること ログ解析が行われていると 犯罪の大半は抑止可能 攻撃の早期発見 攻撃内容と被害の分析 (5W1H) ノイズデータ除去カムフラージュ対策 ファイル分析とログ分析 5.2 フォレンジックス セキュリティ犯罪の抑止 空き巣とクラッカーの心理は同じ 確信犯には抑止効果は効かない!! NEC Corporation (1) Solo III( 証拠保全 ) データ解析の第一歩は証拠の保全から (2) FRED( 非破壊解析 ) READ ONLY モードを実現する専用機器 解析作業はコピー HD に対して実施 犯罪等に関係する場合は ハッシュ等が取れる機器で厳密に証拠保全 フォレンジクス用 HD コピー機 Read Only 用モジュール SCSI IDE NEC Corporation ハードディスクをコピーしている様子 電源 SATA NEC Corporation (3) 解析支援ツール (EnCase) (4) P2P 情報流出事件の解析 最新技術により事実関係と被害範囲を確認し 犯罪性の有無を判断 GUI でのフォレンジッック調査を可能にした コンピューター フォレンジック ソフトウェア 簡単な操作 強力な分析力 優れた電子メールとインターネット解析機能 そしてパワフルなスクリプト機能を兼ね備え ほとんどのフォレンジック調査環境に対応が可能 [1] 流出ファイルの確認 [2] 感染者の特定と流出データ把握 [3] 感染 PC の解析 暗号解読 テキストマイニングウイルスの確認 掲示板の監視 ファイルの内容の解析流出データ確認 感染ウィルスの確認 感染 流出時刻の確認感染原因の特定 消去ファイルの復活犯罪性の判断 流出データの範囲確認 NEC Corporation NEC Corporation

7 (1) 仮想化の脅威と対策 仮想ソフトは便利な反面 管理面 解析面 証拠隠滅の問題をかかえる 6. 新しい技術 代表的な仮想ソフト 1 VMWare 2 VirtualPC/Server 3 Xen 仮想 OS が生み出す脅威 下記は無料で入手可能 1. セキュリティ管理対象から漏れる可能性 発見が困難 ウイルス ボットの温床になる可能性 2. 独自形式のため外部からの解析が困難 ゲストOS 内での解析 ( ログイン, マウント ) 3. 証拠隠滅が容易 ゲストOSごと消去可能 以前の状態に復元可能 消去ファイルの完全抹消が容易 1YouOS WebOS インターネット上の仮想 OS NEC Corporation (2) 仮想 LAN/ デバイスの脅威と対策 セキュリティツールの抜け道となる可能性あり 仮想 LAN の脅威 例 : PacketiX, OpenVPN 特徴 : 暗号化したコネクションを作成 1. クライアントでの検出 2. 通信の把握 3. 使用申請制 1. 社外からの侵入 攻撃に利用可能 2. 情報漏えい BOT 通信に利用可能 仮想デバイスの脅威 例 : 仮想 FD, 仮想 CD, 仮想 DVD, 仮想 CF ファイル転送ケーブル, 特殊 USBデバイス特徴 : デバイスの偽装が可能 1. ツールでの検出 1. 外付けデバイスからの OS 起動 情報漏えいツールが無力 2. 情報漏えいツールの誤魔化し NEC Corporation ファイル転送ケーブル 仮想 CF USBをCFと偽装 NEC Corporation