目次はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃まとめ 1

Size: px

Start display at page:

Download "目次はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃まとめ 1"

えつみしのしま
5 years ago
Views:

1 IoT 時代と高度サイバー攻撃 2015 年 12 月 2 日 JPCERT コーディネーションセンター洞田慎一

2 目次はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃まとめ 1

3 はじめに 2

4 JPCERT/CC をご存知ですか? JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター日本国内のインターネット利用者やセキュリティ管理担当者ソフトウエア製品開発者等 ( 主に情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応などを通じセキュリティ向上を推進インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する我が国の窓口となるCSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となるCSIRTが存在する ( 米国のUS-CERT CERT/CC 中国のCNCERT 韓国のKrCERT/CCなど) 経済産業省からの委託事業としてサイバー攻撃等国際連携対応調整事業を実施 3

制御システムに関する脆弱性関連情報の適切な流通情報収集分析発信定点観測 (TSUBAME) ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供インシデントハンドリング ( インシデント対応調整支援 )

5 JPCERT/CC をご存知ですか? JPCERT/CC の活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通情報収集分析発信定点観測 (TSUBAME) ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有早期警戒情報 CSIRT 構築支援制御システムセキュリティアーティファクト分析国内外関係者との連携国際連携重要インフラ重要情報インフラ事業者等の特定組織向け情報発信海外のNational-CSIRTや企業内のセキュリティ対応組織の構築運用支援制御システムに関するインシデントハンドリング情報収集分析発信マルウエア ( 不正プログラム ) 等の攻撃手法の分析解析日本シーサート協議会フィッシング対策協議会の事務局運営等各種業務を円滑に行うための海外関係機関との連携 4

6 JPCERT/CC に報告されるインシデントインシデントの概要標的型攻撃 1% マルウエア 4% DoS 1% フィッシング 13% Web サイト改ざん 16% 制御システム 0% その他 9% JPCERT/CC 対応インシデントの内訳 (2015 年 4-9 月 ) JPCERT/CC インシデント報告対応レポートよりスキャン 56% 様々なインシデントが報告されています高度サイバー攻撃 ( 標的型攻撃 ) など複雑なインシデントも継続して観測しています 5

7 インシデントに対策していくには? 攻撃 : コストとベネフィット攻撃にもコストが必要 ( 攻撃インフラツール等 ) 環境を改善しない限り攻撃は終わりません costs benefits costs benefits 攻撃にかかるコストを上げて行くには組織だけの対策だけではなく情報の公開や共有も重要 JPCERT/CC からの情報発信注意喚起や早期警戒情報脅威に関する情報を分析し情報共有することで攻撃を防ぐように努めています攻撃手法特徴攻撃を検知! 攻撃情報の共有 6

8 組織ではどう対応したらよいのか? インシデントが発生する主な背景利用者の注意や確認の不足脆弱性に対する攻撃者と利用者の知識の差多くは修正済みの脆弱性が悪用されています攻撃者も被害者も人マルウエアは道具脆弱性は知識運用を改善することや体制を見直すことは有効策攻撃を受けにくくするには基本的な対応は必須 ( ウイルス対策ソフト等による対策 ) ソフトウエアハードウエアの管理更新運用を改善情報収集共有 7

9 脆弱性情報やアップデート情報の提供 JPCERT/CC では脆弱性の情報やアップデートに関する情報を提供しています注意喚起脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) 注意喚起組織で利用されている主要なソフトウエアについての更新情報等を注意喚起として配信しています Microsoft Windows Adobe Acrobat / Reader / Flash Player Oracle Java ISC BIND などその他の公開情報 Weekly Report 分析レポート詳しくはまで 8

10 脆弱性情報や対策情報の提供脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) 情報を定期的に確認しアップデートなど必要な対策をとることが重要です 9

脆弱性ハンドリングハンドリングの全体像海外の情報源海外の情報源 CERT/CC CPNI CERT-FI 等通知ネット上の情報通知収集通知海外発見者通知 JPCERT/CC 国外メーカ脆弱性の検証対策の作成脆弱性情報の開示公表日程の調整メーカ 1 メーカ 2 メーカ 3 エンドユーザ企業ユーザ SIer 脆弱性の発見者脆弱性情報の報告受付分析 IPA 通知

11 脆弱性ハンドリングハンドリングの全体像海外の情報源海外の情報源 CERT/CC CPNI CERT-FI 等通知ネット上の情報通知収集通知海外発見者通知 JPCERT/CC 国外メーカ脆弱性の検証対策の作成脆弱性情報の開示公表日程の調整メーカ 1 メーカ 2 メーカ 3 エンドユーザ企業ユーザ SIer 脆弱性の発見者脆弱性情報の報告受付分析 IPA 通知該当するメーカを抽出し情報配信 MITRE 対策情報のとりまとめ対策情報の提供メーカ 4 メーカ 5 JVN ( 脆弱性情報ポータル ) 日程を合わせて公表 ISP 小売マスコミ CVE# 採番 CERT/CC : CERT Coodination Center CPNI : Centre for the Protection of National Infrastructure CERT-FI : MITRE : 10

利用者利用者いつどこに情報が公開されるか解らない情報の収集分析発信が極めて重要必要としている人に

12 情報の収集分析発信脆弱性への対応対策済みの脆弱性として公開 ( 通常のケース ) 脆弱性報告者調整機関開発者修正プログラム対応未然の脆弱性として公開されてしまうケース報告者攻撃者公開や脆弱性売買 Exploit / マルウエア利用者利用者いつどこに情報が公開されるか解らない情報の収集分析発信が極めて重要必要としている人に必要な情報を届ける注意喚起早期警戒情報例 :Adobe Flash Player の未修正の脆弱性に関する注意喚起 (7/13) 11

Flash Player のアップデートを公開注意喚起 7/10 Fri 7/11 Sat 新しい exploit が発見され公開される 7/12

13 情報収集分析発信例 Hacking Team のデータ流出と悪用 Day 7/5 Sun データ流出発生 7/6 Mon 事象 7/7 Tue Adobe Flash Player の exploit が発見され公開される 7/8 Wed マルウエアによる被害 7/9 Thu Adobe Flash Player のアップデートを公開注意喚起 7/10 Fri 7/11 Sat 新しい exploit が発見され公開される 7/12 Sun 7/13 Mon マルウエアによる被害注意喚起 7/14 Tue 7/15 Wed Adobe Flash Player のアップデートを公開 12

14 脆弱性を放置しない運用を心掛けましょう脆弱性をそのままにしておくとマルウエアの感染等のインシデントに繋がりますサイバー攻撃の被害に遭うリスクが高まりますこれくらいは大丈夫だろうから被害に遭うかもしれないという運用へハードウエアやソフトウエアの管理管理方法及び体制の整備セキュリティに関する教育特に様々な開発者利用者が想定される IoT においてセキュリティに対する Human Factor の影響は極めて大きいと考えられます 13

15 IOT セキュリティへの熱い視線 14

16 IoT セキュリティへの熱い視線 BlackHat / DEF CON / USENIX 等におけるセキュリティ研究者の熱い視線 Internet of Things (IoT) 制御システムに関する話題スマートフォン (Android, ios) に関する話題 PC やネットワークを超え社会インフラに影響を与える攻撃を示唆自動車衛星位置情報携帯照準器産業用制御システムなど脆弱性への対応姿勢に対する警鐘セキュリティを考慮した設計の検討脆弱性に対処するまでの時間 IoT などの非 PC 環境のフロンティアにセキュリティの関心 15

17 ネットワークの接続ポイントが主な攻撃対象ネットワークは便利であると同時に攻撃者も接続端末が持つ脆弱性の悪用中間者攻撃によるサービスの悪用テレマティクス端末例 :Uconnect 例 :OnStar ネットワーク攻撃者クラウドサービス遠隔の第三者からの攻撃に脆弱問題 : 利用者デバイス以外の第三者の存在が想定されていない 16

18 産業用スイッチの対応事例産業用スイッチベンダーに見る対応の違い C. Cassidy et.al, Switches Get Stitches, BlackHat USA 2015 / DEFCON 23. 指摘された脆弱性は Web インタフェースにおける XSS や秘密鍵 ( パスワード ) ハードコードなどの問題 OpenGeer 1 週間足らずで修正 Seimens 3 ヶ月 General Electronic 8 ヶ月 Seimens SCALANCE X200 早さだけが問題ではありません設計の段階からセキュリティへの考慮が十分でない? 高度サイバー攻撃でもし利用されたら? ソフトウエアの品質と改修スピードが問われています 17

19 TSUBAME がとらえた制御システムへの攻撃産業制御システムで使用される PLC の脆弱性を標的としたアクセスインターネット定点観測システム (TSUBAME) インターネット上の攻撃動向を観測するためのシステム機器産業機器がネットワークに繋がりつつあります産業制御システムがダメージを受けた場合影響は大インターネット産業用制システムプラント 18

20 SHODAN の ICS 探索能力が向上 SHODAN はインターネットに接続されたノード (IP アドレスを持つ機器 ) を検索するサービス様々なプロトコルのリクエストを送信しレスポンスについて IP アドレスをキーとして DB 化している検索結果の地図上表示を追加制御システム関連プロトコルの処理コードや製品固有のシグニチャ等の提供を受けて制御システム関連の探索能力が向上 Modbus DNP3 Ethernet/IPなど大手ベンダのSCADAやPLCが利用するプロトコル 19

21 IOT とサイバー攻撃 20

制御システムにおけるインシデント特定の産業を狙ったサイバー攻撃は世界的にも複数観測されています ICS-CERT インシデント統計 S. H.

2010 年 2011 年 2012 年 2013 年 2014 年米 ICS-CERT インシデント統計 ( 米会計年度 ) 39 140 197 245 257 0

ICS-CERT Year in Review 2014 のデータを元に JPCERT/CC にて作成 https://ics-cert.uscert.

22 制御システムにおけるインシデント特定の産業を狙ったサイバー攻撃は世界的にも複数観測されています ICS-CERT インシデント統計 S. H. Houmb, Protecting industrial control systems, Control Engineering (2015) 年 2011 年 2012 年 2013 年 2014 年米 ICS-CERT インシデント統計 ( 米会計年度 ) インシデント報告件数 2014 年産業別内訳 ( カレンダー年 ) ICS-CERT Year in Review 2014 のデータを元に JPCERT/CC にて作成 df Energy Critical Manufacturing 21

23 制御システム環境でのスパイ活動米国では 2012 年頃からエネルギー関連企業に対するサイバー攻撃が増加情報窃取型の攻撃業務妨害型の攻撃が混在石油やガスパイプライン用の制御システムにアクセスされた事例もある現状では偵察目的で甚大な被害を引き起こす攻撃の準備段階であると推測されている米国の電力供給事業者ではほぼ毎日攻撃を受けている事業者が十数社に上る状況長期に渡って攻撃を仕掛けていることが特徴 22

24 二つのマルウエア : Havex と BlackEnergy Havex 概要 Dragonfly (Energetic Bear) が欧米のエネルギー関連企業を対象に攻撃第二の Stuxnet とも目的将来に向けたスパイ活動妨害破壊活動と推測される特徴メールや水飲み場型攻撃 Web サイト上の制御機器向けソフトウエアの置き換えなど様々な方法を利用するマルウエア Havex RAT 制御機器 (ICS / SCADA) の情報を調査する機能を有する遠隔操作型のマルウエア BlackEnergy 概要 Sandwormが制御システムを利用する組織を狙って攻撃目的将来に向けたスパイ活動妨害破壊活動と推測特徴 SCADAソフトウエアの脆弱性を突いて侵入を試みる ICS-CERTによると複数の企業のHMIで感染が確認されている ICS-CERT Alert (ICS- ALERT B) マルウエア BlackEnergy の亜種マルウエアがモジュール化されている 23

Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm

攻撃者は目的達成のために必要な最小限のツールしか使用しませんそのため一連のイベント自体が

例えば繰り返しアクセスを図り複数年にわたってアクセスを維持することもあります脅威 (T)

国家等が活動を支援していることが疑われる場合があります高度サイバー攻撃の流れ -

25 Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm ともに高度サイバー攻撃 ( 標的型攻撃 ) を行う攻撃グループとされています先進的 (A) 攻撃者は目的達成のために必要な最小限のツールしか使用しませんそのため一連のイベント自体が先進的と見なされます執拗な (P) 攻撃者はネットワーク上に長期にわたって居座り続けます例えば繰り返しアクセスを図り複数年にわたってアクセスを維持することもあります脅威 (T) 長期的な活動を実施するためには技術だけではなくリソースが必要ですそのため国家等が活動を支援していることが疑われる場合があります高度サイバー攻撃の流れ - サイバーキルチェインモデル - 準備潜入横断的侵害活動観察マルウエア感染社内侵入被害発生目的は必ずしも情報窃取だけとは限りません 24

Android 端末を使った高度サイバー攻撃チベットウイグルの活動家に対する攻撃 (2013 年 3 月 ) 標的型メールにより感染情報を窃取 Contacts (SIM と電話両方 ) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version) K.

26 Android 端末を使った高度サイバー攻撃チベットウイグルの活動家に対する攻撃 (2013 年 3 月 ) 標的型メールにより感染情報を窃取 Contacts (SIM と電話両方 ) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version) K. Baumgartner, C. Raiu, D. Maslennikov (Kaspersky), Android Trojan Found in Targeted Attack 高度サイバー攻撃は既に非 PC 領域に進出 25

27 おわりに 26

28 IoT は既にサイバー攻撃の前線に組織のネットワークに接続する機器は PC / 非 PC によらずサイバー攻撃の対象となっている現実 IoT はフロンティアであると同時にセキュリティについても考慮をすることが既に求められています IoT に対する高度サイバー攻撃はまだ進展する可能性があります準備潜入横断的侵害活動自動車や制御システムの脆弱性 (BlackHat 等での発表 ) Havex / BE2 などの武器化マルウエア展開まだ観測されていない活動サイバー破壊? 27

29 すでにいろいろなモノが接続していますもはや繋がっていない機器はない? IP アドレスが付与された機器や専用の制御網あるいは USB などの人が介在する機器 Cyber3 Conference Okinawa 2015 における E. Kaspersky の発言 IoT は Internet of Things を超え Internet of Threats へ世界最大級の IoT として CERN 加速器に言及 IoT セキュリティの問題 CERN, モノのスケールが大きくなると Cyber-Physical Threat へと発展 28

30 管理者開発者のセキュリティ対策 IoT の脅威を現実のものとしないためには 1 NW 管理者による対策 2 開発者による対策侵入をうけて当たり前というところから見つめる 1 攻撃が来るはずがない被害を受けても被害者であり攻撃者が悪い 2 攻撃は来て当たり前組織顧客の情報を守るためには適切な対策が必要報告を受けてから考えるのではなく事前からセキュリティ対策を施すことは NW 管理者も開発者も同じく重要開発に脆弱性はつきもの完璧などあり得ない実装の段階からセキュリティを考えてみませんか? 29

31 開発とセキュリティ利便性と安全性バランスはとれていますか? 利便性安全性手元で情報を入手できるいつでも好きな番組や音楽が視聴できる ICT により時間と距離が縮まる遠隔地にいても看護ができる個人情報の管理不正なコンテンツの混入遠隔の第三者からの攻撃昼夜関係なく世界中から攻撃に狙われる子供からお年寄りまで何らかのインターネットに繋がるデバイスを所持使用して生活怖いから使わないでおくことは不可能誰もがサイバー攻撃に巻き込まれる可能性使用者だけでなく開発者やサービス提供者の役割は大きい脆弱性への対処安全対策セキュアコーディング... 30

32 ( 参考 ) 自己評価ツールの提供制御システムセキュリティに関する各種調査ツールの提供制御システムやその管理体制等制御システムのセキュリティへの対策状況を可視化しセキュリティへ取組むきっかけとして活用いただくことを目的としたセキュリティ自己評価ツールを工業会と連携して作成提供日本版 SSAT(SCADA Self Assessment Tool) 約 100 問の短い設問で施策の達成状況や問題点を診断技術的施策から管理施策までの幅広くカテゴリをカバー J-CLICS SSATをもとにした制御システム向けセキュリティ自己評価ツールチェックリストと補足ガイド制御システム部門全体で取組むSTEP1と各担当者で取組むSTEP2 SICE/JEITA/JEMIMAと一部のアセットオーナに協力いただき作成 31

33 最後に攻撃はセキュリティの甘いところが狙われています対応未然のセキュリティやパッチ適用が遅れがちなシステムは攻撃者には魅力 BlackHat, DEFCON 等セキュリティ研究者が注目している IoT セキュリティの先を見つめてみる新しいソリューションやサービスの開始と並行してセキュリティへの配慮が必要です開発者と利用者の他攻撃者の存在を意識セキュアコーディングやシステム監査の活用 JPCERT/CC の活用脆弱性ハンドリング早期警戒情報インシデント対応アーティファクト分析制御システムセキュリティインシデントが起きる前からぜひご活用を! 32

お問い合わせインシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 Web: https://www.

34 お問い合わせインシデント対応のご依頼は JPCERT コーディネーションセンター Tel: Web: インシデント報告 Web: ご清聴ありがとうございました 33

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

つながった機器とインシデント 2016 年 8 月 23 日一般社団法人 JPCERT コーディネーションセンター早期警戒グループ鹿野恵祐本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1 1. JPCERT/CC の紹介 2 JPCERT/CC をご存知ですか? 1. JPCERT/CC

目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

目次はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃まとめ 1