スライド 1

Transcription

1 サイバー攻撃の動向と サイバーセキュリティの最前線 サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会サイバー攻撃対策分科会 (2014/03/06) 独立行政法人情報通信研究機構 (NICT) ネットワークセキュリティ研究所サイバーセキュリティ研究室笠間貴弘

2 近年の主なセキュリティ事案 2008 年 : Conficker( 過去最悪の大規模感染ワーム ) 2009 年 : Gumbler(Web 媒介型攻撃 ) 2010 年 : Stuxnet( 重要インフラ向けマルウェア ) 2011 年 : Sony への DDoS 攻撃 (Hacktivism) 標的型攻撃 (Cyber Espionage) 2012 年 : 不正ポップアップマルウェア (Online 銀行 ) 遠隔操作ウイルス ( 愉快犯?) 2013 年 : Amplification 攻撃 (DNS/NTP)

3 サイバー攻撃の変遷 20 世紀 : 愉快犯 / 自己顕示 Richard Skrenta 世界初のウイルス Elk Cloner の作者 ( 当時高校生 ) 21 世紀 : 経済犯 + Anonymous 2010 年代 : 示威活動 (Hacktivism) 諜報活動 (Cyber Espionage)

4 サイバー攻撃のツール : マルウェア Malware = Malicious( 悪意のある )+ Software - 情報漏えいやデータの破壊 改竄 他のコンピュータへの攻撃など ユーザの望まない不正な活動を行うソフトウェアの総称 ウイルス ボット ワーム

5 マルウェアの技術革新 : ボットネット ボット 指令者からの遠隔操作により多岐に渡る活動を行うマルウェア ボットネットと呼ばれるオーバレイネットワークを形成 ( 数百 ~ 一千万台規模 ) 指令者 ( ハーダ ) 攻撃者からの命令コマンド (C&C) 例 : スキャン開始 DoS 攻撃開始 スパム送信 指令サーバ 感染拡大 DDoS 攻撃 スパム送信 etc. ボットネット

6 ダークネット観測ライブネット観測本日の講演内容 1. インシデント分析センタ 2. 対サイバー攻撃アラートシステム DAEDALUS 3. ネットワークリアルタイム可視化システム NIRVANA 4. サイバー攻撃統合分析プラットフォーム NIRVANA 改

7 鳥の目 / 虫の目 DAEDALUS NIRVANA NIRVANA 改 グローバル観測 ( ダークネット ) ローカル観測 ( ライブネット )

8 インシデント分析センタ (Network Incident analysis Center for Tactical Emergency Response)

9 の全体像 ボット ウイルス ネットワークモニタリング マクロ解析システム 可視化エンジン Tiles Cube Atlas 分析エンジン! ワーム 21 万アドレスからなるダークネット観測網 1 日 7000 検体のマルウェア解析能力 現象 原因 相関分析システム 相関分析エンジン 30 秒 1 分でマルウェアを推定 インシデントハンドリングシステム 分析者ワークベンチ Alert インシデントアラート発行 政府 官公庁! インターネットサービスプロバイダ マルウェア検体収集 ミクロ解析システム マルウェア静的解析 マルウェア動的解析! ハニーポット 一般ユーザ

10 IP アドレスとポート番号 IP アドレス : インターネット上の一意の識別子 ( 住所 ) ポート番号 : サービスを特定するための番号 ( 窓 ) 20 番ポート ( ファイル転送データ ) 21 番ポート ( ファイル転送制御 ) 53 番ポート (DNS) IP アドレス 番ポート ( メール ) 80 番ポート (WWW) 119 番ポート ( ネットニュース )

11 ネットワークスキャンとポートスキャン ポートスキャン 1 ホストに対して複数のポートをスキャン ネットワークスキャン複数のホストの特定のポートをスキャン 80 番ポート Open 25 番ポート Closed :80 Open :80 Closed :80 Closed :80 Open

12 ダークネットとライブネット ダークネット : 未使用 IP アドレスブロック ライブネット : 使用中 IP アドレスブロック IPv4 Usage Map[1] ( ヒルベルトマップ ) 黒色 : ダークネット 赤色 : ライブネット ( パッシブ観測 ) 緑色 : ライブネット ( アクティブ観測 ) 青色 : ライブネット ( パッシブ アクティブ両方で観測 ) 灰色 :Unrouted( 経路なし ) /24 ブロックの 46.3% が使用中 ( ライブネット ) 53.7% が未使用 ( ダークネット )or 経路なし [1] A. Dainotti, K. Benson, A. King, k. claffy, M. Kallitsis, E. Glatz, and X. Dimitropoulos, Estimating Internet address space usage through passive measurements,' ACM SIGCOM M Computer Communication Review (CCR), vol. 44, no. 1, pp , Jan 2014.

13 ダークネットで何が見えているのか? マルウェアによるスキャン ワーム型マルウェアの探索活動 マルウェア感染の大局的傾向 感染爆発の前兆 DDoS 攻撃の跳ね返り 送信元 IP アドレス偽装された SYN Flood 被攻撃サーバからの応答 (SYN-ACK) DDoS 攻撃の早期検知 (1 パケット目から ) 設定ミス 組織内ダークネット Darknet リフレクション攻撃の準備活動 DNS Open Resolver 探索 NTP 探索 etc.

14 Atlas: 世界地図上での可視化エンジン ダークネットに飛来するパケットの送信元アドレスから緯度 経度を推定し世界地図上で可視化 色 : パケットごとにプロトコルや TCP のフラグを表現 高度 : ポート番号に比例 ( 対数軸 ) TCP SYN TCP SYN/ACK TCP ACK TCP FIN TCP RESET TCP PUSH TCP Other UDP ICMP

15 Cube: 3 次元空間上での可視化エンジン ダークネットに飛来するパケットを 3 次元の立方体中に可視化 左平面 : 送信元右平面 : 宛先 縦軸 :IP アドレス横軸 : ポート番号 Source IP Address Destination IP Address TCP SYN TCP SYN/ACK TCP ACK TCP FIN TCP RESET TCP PUSH TCP Other UDP ICMP

16 Tiles: 振舞分析エンジン 1 ホストごとの 30 秒間の挙動を 1 つのタイルで表現 ホストの挙動は自動分類されデータベースに蓄積される 蓄積された情報を基に新規の攻撃パターンを検出可能

17 ダークネット観測統計 年 年間総観測パケット数 観測 IP アドレス数 1 IP アドレス当たりの年間総観測パケット数 2005 約 3.1 億約 1.6 万約 1.9 万 2006 約 8.1 億約 10 万約 1.7 万 2007 約 19.9 億約 10 万約 2.0 万 2008 約 22.9 億約 12 万約 2.5 万 2009 約 35.7 億約 12 万約 6.4 万 2010 約 56.5 億約 12 万約 7.5 万 2011 約 45.4 億約 12 万約 6.0 万 2012 約 77.9 億約 19 万約 6.6 万 2013 約 億約 21 万約 9.3 万 100,000 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10, IP アドレスあたりの年間総観測パケット数

18 マルウェアパンデミック事例 2008/11 Conficker 2011/08 Morto

19 過去最悪のパンデミック Conficker 2008 年 10 月 23 日 Microsoft 緊急セキュリティ情報 MS 同日 セキュリティ更新プログラムをリリース MicrosoftServer Service の脆弱性 リモートからのバッファオーバーフローが可能 Conficker( 別名 Downadup) 出現 2008 年 11 月 21 日 Microsoftが25 万ドルの懸賞金 2009 年 2 月 12 日 Blaster 以来の大規模感染が続く

20 ダークネット観測結果 ( 宛先 445/TCP) ユニークホスト数 / 日 (Sensor A) ユニークホスト数 / 日 (Sensor A) / / Conficker A (11/21) Conficker B (12/29) ユニークホスト数 / 日 (Sensor B) Conficker C (2/20) Conficker D (3/4) Conficker E (4/7) ユニークホスト数 / 日 (Sensor B) 年 11 月 21 日感染爆発 2008/11/ /11/ /12/ /12/ /01/ /02/ /03/ /03/ /04/ /04/30 Date (Nov 1 st 2008 Apr 30 th 2009) 0

21 リモートデスクトップの悪用 (Morto) W32.Morto リモートデスクトッププロトコル (RDP) を悪用して感染を広げるマルウェア 特徴 3389/TCPに対してスキャン 辞書攻撃によってログインを試行 DNS(TXTレコード ) を用いた指令受信 時系列 2011/08/28:MicrosoftおよびF-Secureからの注意喚起 2011/09/07:JPCERT/CCからの注意喚起

22 ダークネット観測結果 ( 宛先 3389/TCP) SIGMON で報告 Microsoft, F-Secure 注意喚起 JPCERT/CC 注意喚起

23 ユニークホスト数 ( 宛先 3389/TCP) SIGMON で報告

24 DDoS 攻撃観測バックスキャッタ観測 DNS/NTP amp 攻撃

25 バックスキャッタ観測の仕組み 送信元を無作為に詐称した大量の接続要求 被攻撃サーバ 被攻撃サーバからの返信パケットを観測 攻撃者 約 21 万の未使用 IPv4 アドレス群 ( ダークネット )

26 バックスキャッタ統計情報

27 SONY DDoS 攻撃時の観測状況 ~ 被攻撃サイトからの跳ね返りの通信 ( バックスキャッタ ) を観測 ~ April 5, 2011 Sony Computer Entertainment April 3, 2011 Sony Online Diego April 5, 2011 Sony Computer

28 2013 年 3 月 Spamhaus への DDoS 攻撃

29 DNS amp 攻撃の概要 キャッシュ DNS サーバ (Open Resolver) 権威 DNS サーバ DNS 要求パケット ( アドレスを詐称 ) 攻撃者 DNS 要求 (2 度目 ) DNS 応答 ( キャッシュ ) DNS 問い合わせ DNS 応答 被害者 DNS 応答パケット 増幅例 要求 :26 byte(ripe.net, IN, ANY) 応答 :821 byte(dnssec 署名等含む ) 増幅率 : 約 32 倍

30 DNS amp 攻撃とダークネット Open Resolver を攻撃に利用するためには Open Resolver を探す必要があります Open Resolver 探索のスキャンが来る! ( 宛先 53/UDP)

31 パケット数 ( 宛先 53/UDP) 年 1 月 ~10 月 (/16 センサ ) Spamhaus 前後にパケット数増加

32 ユニークホスト数 ( 宛先 53/UDP) 年 1 月 ~10 月 (/16 センサ ) Spamhaus 以前から周期的なホスト数の増加

33 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000, 年 6 月以降の詳細解析 年 6 月 ~10 月 (/20 センサ ) - 特定アドレスブロックからの定期的なスキャン (8/20 を最後に停止 ) それぞれ異なる特定のドメイン名の名前解決パケットの急増 /6/1 2013/6/ /7/ /7/ /8/ /9/9 2013/9/ /10/19

34 DNS ハニーポットとの比較 DNS ハニーポットとは? 横浜国立大学で開発 運用中のおとり Open Resolver[2] 攻撃者からの DNS クエリを観測 分析 ( 攻撃はフィルタ ) 攻撃者 被攻撃サーバ [2] 牧田, 吉岡, 松本, DNS ハニーポットによる不正活動観測, 第 62 回 CSEC 研究会, 2013 年 7 月. 観測 分析

35 DNS ハニーポット受信パケット 年 10 月 ~2013 年 10 月 - データ提供 : 横浜国立大学松本研究室 / 吉岡研究室

36 ダークネットと DNS ハニーポットの相関 約 3 日間約 3 日間約 3 日間 DNS ハニーポットへの攻撃クエリのピーク YLAB-DNS Darknet ダークネットでオープンリゾルバの探索 ( スキャン ) を観測 横浜国大 DNS ハニーポット ( 囮オープンリゾルバ ) で攻撃クエリを観測 国内 ISP で DNS amp 攻撃を観測 0 Date

37 NTP Amp 攻撃 123/UDP monlist を悪用 NTP amp 攻撃 過去にやりとりした最大 600 件のアドレスを回答する 他にも Amp 攻撃に利用されるサービスが存在する [3] [3] C. Rossow, Amplification Hell: Revisiting Network Protocols for DDoS Abuse, NDSS Symposium 2014

38 パケット数 ( 宛先 123/UDP) 年 1 月 ~2014 月 2 月 -

39 ユニークホスト数 ( 宛先 123/UDP) 年 1 月 ~2014 月 2 月 -

40 対サイバー攻撃アラートシステム DAEDALUS (Direct Alert Environment for Darknet And Livenet Unified Security)

41 マルウェア感染対策の現状 境界防御の限界 - 突破される従来の防御手法 回避される侵入検知システム USBメモリによるネットワーク内部からの感染 標的型メールによる 人 への攻撃 完璧ではないアンチウイルスソフト 膨大な亜種ウイルスの出現により 100% の検知は困難 マルウェア感染リスクのゼロ化は困難 事故前提のマルウェア対策が必要

42 境界防御技術と DAEDALUS 境界防御技術 組織外からの攻撃をネットワーク境界で検出 DAEDALUS 組織内からの攻撃をネットワーク広域で検出 相補的 組織内ネットワーク 組織内ネットワーク

43 基本アイデア 登録された IP アドレスから ダークネットに飛んできたら アラート

44 想定環境 nicter : Livenet : Darknet

45 ケース 1 組織内感染 ( 内部アラート ) nicter : Livenet : Darknet : Infected Host

46 ケース 2 組織外への攻撃 ( 外部アラート ) Darknet Traffic nicter : Livenet : Darknet : Infected Host

47 ケース 3 DDoS 攻撃の跳ね返り ( バックスキャッタ ) Darknet Traffic nicter : Livenet : Darknet : DDoS Victim

48 国内某大学の DAEDALUS 運用事例 Class B (65536 アドレス ) 保有 90 うち数万アドレスをダークネットとして に提供 /9( 金 ) マルウェア内部感染 1 日平均約 30 アラート 内部アラート 外部アラート /14( 水 ) 内部感染収束 DAEDALUS-VIZ (DAEDALUS 可視化エンジン ) 12 月 01 日 12 月 02 日 12 月 03 日 12 月 04 日 12 月 05 日 12 月 06 日 12 月 07 日 12 月 08 日 12 月 09 日 12 月 10 日 12 月 11 日 12 月 12 日 12 月 13 日 12 月 14 日 12 月 15 日 12 月 16 日 12 月 17 日 12 月 18 日 12 月 19 日 12 月 20 日 12 月 21 日 12 月 22 日 12 月 23 日 12 月 24 日 12 月 25 日 12 月 26 日 12 月 27 日 12 月 28 日 12 月 29 日 12 月 30 日 12 月 31 日 2011 年 12 月のアラート数

49 DAEDALUS の国内展開 : 地方自治体へのアラート提供 2013 年 11 月 1 日より 地方自治体にむけてアラート送信開始 地方自治情報センター (LASDEC) を窓口として自治体より申込受付 アラート発生時の対応マニュアルを NICT と LASDEC で整備 地方自治体 47 自治体 (2013 年 11 月時点 ) 申込申請 LASDEC 情報セキュリティ対策支援 平成 25 年度サイバー攻撃検知通報 ( フィールド実証実験 ) 観測対象登録申請 NICT DAEDALUS システム 112 自治体 (2014 年 2 月時点 ) 対応マニュアル アラート送信

50 ネットワークリアルタイム可視化システム NIRVANA (nicter real-network visual analyzer) サイバー攻撃統合分析プラットフォーム NIRVANA 改

51 NIRVANA ライブネットを見える化 ネットワーク管理者の負荷を軽減 ( 輻輳 切断等の障害 設定ミス等を瞬時に発見可能 ) 管理コストの軽減 ( 管理の迅速化 効率化 ) パケットモード フローモード

52 標的型攻撃 特定組織を標的にした長期に渡る執拗なサイバー攻撃 周到な内容のメールに添付されたマルウェアで組織に侵攻 組織内ネットワークに潜伏 浸透し重要情報を収奪 標的型攻撃の Kill Chain 諜報侵攻潜伏 橋頭堡確保 索敵浸透占領収奪撤収 TECH.ASCII.jp 9.5 社に 1 社が対象に! シマンテックが明かす日本の標的型攻撃 ( )

53 入口対策 / 出口対策 入口 ( 境界防御 ) 出口 ( 境界防御 ) 諜報侵攻潜伏 橋頭堡確保 索敵浸透占領収奪撤収 ネットワークの内側でも対策を! ( 組織内ネットワークのリアルタイム観測 分析 ) NIRVANA 改 = NIRVANA + セキュリティ分析機能

54 NIRVANA 改 NIRVANAによるライブネット観測 各種のリアルタイム分析エンジン ( 新規開発中 ) 既存セキュリティアプライアンスのアラート集約 各種アラートを基にしたメタ分析 ドリルダウン機能付き可視化エンジン 組織内ネットワークを守る 統合分析プラットフォームの確立に向けて研究開発中

55 NIRVANA 改 NIRVANAによるライブネット観測 各種のリアルタイム分析エンジン ( 新規開発中 ) 既存セキュリティアプライアンスのアラート集約 各種アラートを基にしたメタ分析 ドリルダウン機能付き可視化エンジン NIRVANA 改 組織内ネットワークを守る 統合分析プラットフォームの確立に向けて研究開発中

56 外部展開の取り組み セキュリティ対策組織系 定点観測友の会 大学系 全国規模の観測 分析網構築 国内のセキュリティ対策組織の情報共有ネットワー ク (定点観測友の会) への インシデント情報 対策 手法の提供 日本全国の大学にnicterの センサ 分析エンジン設置を 進める I-SOC L-SOC 国内のネットワーク セキュリティ維持に貢献 平成20年度委託研究 インシデント分析の広域化 高速化技術に関する研究開発 との連携 ユーザ系 nicterweb 企業系 NIRVANA 一般ユーザのセキュリティ意識 工場のためnicterの観測結果の 一部をWebで常時公開 国内大手企業からの強い要請により nicterの 可視化技術を応用した 社内大規模グリッド 可視化システムを開発 Webブラウザ上でサイバー攻撃 のリアルタイム可視化結果や 各種統計情報を閲覧可能 2009年度末に稼働開始 2012年3月3日に公開開始 高度分析結果 2010年度に実証実験 を開始し 分析結果を 各大学に提供 IPA 等への 情報提供を通して緊急 警戒情報を広く社会に公開 大学A 大学C 大学B nicter real-network visual analyzer その他 複数社からのオファーを受け 技術移転推進中

57 ダークネット : 広がる応用 高まる効用 ワーム型マルウェアの傾向把握 大規模感染検知 DDoS 攻撃 (Spoofed SYN Flood) の早期検知 リフレクション攻撃の準備活動検知 国内外 産学官へのアラート提供 ライブネット : 入口 / 出口 次の一手 組織内ネットワークのリアルタイム観測 分析 新規 & 既存対策技術を統合したメタ分析 Kill Chain の進行途中で攻撃検知 まとめ 高度化 複雑化する攻撃手法 All Japan 体制の産学官民連携が必須!!