高度度標的型攻撃の対応事例例と現状課題

Transcription

1 高度度標的型攻撃の対応事例例と現状課題 近年年の脅威から考えるサイバー攻撃対応策 デロイト トーマツ リスクサービス株式会社 マネジャー デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 岩井 博樹

2 本資料料の意 見見に関する部分は私 見見であり 所属する法 人の公式 見見解ではありません

3 サイバー攻撃 手法の変化

4 テクノロジーの変化と共の脅威も変化 データはインターネット上で管理理することが 一般的になった CLOUD インターネット上に様々なデータが移管されている 様々なサービスを利利 用してのサイバー攻撃の増 大が懸念念されている INTERNET 3

5 今年年の標的型攻撃の特徴 攻撃規模の絞り込みにより標的企業単体での検知は困難化 1 侵 入端末台数をより制限 2 3 特定のセキュリティツールを回避 攻撃期間は 2 3 日間と限定的 最近のサイバー攻撃を検知するためには初期段階での報告が重要度度 高 4

6 事例例 (Update Hijacking) 自動アップデート はクラウド環境を回避するには最適な機能 ストレージ メール アプリケーション? セキュリティ製品 5 アップデート 殆どがSSLによる通信 ソフトウェア開発会社も クラウド上で運 用

7 事例例 (Update Hijacking) 攻撃者は標的に対して能動的な 行行動はとっていないことが特徴 標的組織 改竄サイト 1 改竄サイト 2 改竄サイト 3 自動更更新 / 同期処理理 SSH による 不不正ログオン 転送 rootの場合は 他の侵 入経路路の構築 侵 入 改ざん 被害端末 Linux Server Web Server SSH ログイン認証 情報の窃取 リダイレクトの設定やマルウェア等は攻撃対象期間 標的数 標的環境に依存する 6

8 Update Hijacking の攻撃キャンペーン 時系列列にみるキャンペーンの全容 サンプルイメージです 7

9 攻撃準備期間の 手 口の特徴 RAT の開発とテスト期間 RAT! ダウンローダー! RAT 1 ( 標的組織に特化した作りになっている )! RAT 2 ( 多少 汎 用的な作りになっている ) リスク ウェア! WinRar( 改造版 )! ds コマンド群 ワーク フォルダ! C:\Windows\Temp! C:\PC メーカー固有のフォルダ 8

10 投影のみ 9

11 攻撃本番の 手 口の特徴 標的の複数組織への本攻撃は 非常にシンプル RAT! ダウンローダー! RAT 2 のみ ( 多少 汎 用的な作りになっている ) リスク ウェア! 利利 用した証跡は無し ワーク フォルダ! C:\Users\ ユーザ名 \AppData\LocalLow\Microsoft \CryptnetUrlCache\Content\ ( 証明書のキャッシュフォルダ )! C:\Windows\inf\ 10

12 < 参考 > 攻撃者の狙いは特定情報の窃取 攻撃準備期間は探索索 行行為を含んだ操作内容で繊細さ 注意深さが無い reg.exe, find.exe を多 用 - ジャーナルより連続で特定のプロセスが動作している ことを確認 レジストリへの登録がサービス情報に追記のみで雑 Rar.exe をリネームせずに利利 用 ( レジストリより ) 不不正プログラム駆除後のプロセスの状況 駆除に失敗している 11

13 < 参考 > 攻撃者の操作の差分 攻撃本番時の操作は効率率率的 且つ巧妙であり証跡 が少ないことが特徴 インストール作業をスケジュール管理理 バッチファイルの利利 用 暗号処理理 投影のみ 不不正プログラム (DLL) の 読込み 12

14 攻撃者の侵 入後の操作の分析 攻撃本番時は計画性が 高くインシデントの検出が難しい!? 攻撃準備期間中に利利 用された 不不正プログラムリストの 一部 攻撃本番時に利利 用された 不不正プログラム CMCKLMD.DAT CMCKLMD.dll DLLVersion.dll GSECNSJKCN.EXE R86.EXE ahnjksdn.dat azdiojas.dat msddd.dat winsrv.exe winxx.exe zjndk.dll zsklzsjd.dat zsklzsjd.dll 投影のみ crptsrv.dll shell64.dll 13

15 参考 最終的に利利 用されたマルウェアの検出状況の推移 14

16 脅威の初期情報の共有が被害拡 大防 止に役 立立つのだが 各被害箇所でのインテリジェンスが分断されていることが課題 フォレンジック解析 被害組織 A 他社 CSIRT1 NDA インテリジェンス コミュニティ 内から関連情報の収集 インシデント ハンドラー NDA 被害組織 B 他社 CSIRT2 マルウェア解析 被害組織 C NDA 15

17 今どきの対策の考え 方

18 現状のセキュリティ対策の実装確認 NIST Cybersecurity Framework による質問例例 特定 資産の洗い出しは アクティブスキャン パッシブスキャン を利利 用して実施している 防御 業務端末上の情報保護のため ソフトウェア ファームウェア 情報 の不不正な変更更を検知するた めのツールを導 入している 検知 社内からの監視は IDS/IPS アプリケーションファイアウォール マルウェア対策 製品 によりアプリケーションやマルウェアによる通信を監視している 対応 インシデント対応 手順は フォレンジックを前提に メモリダンプやストレージの保全についても 記載がある 回復復 組織内において定期的に インシデント対応からシステム復復旧までの訓練および演習を実施している 17 Cybersecurity Framework を参考に筆者が作成 Cybersecurity Framework :

19 仮想敵の設定をする 業種毎に仮想敵とインパクトは異異なる Very High High Moderate Low インパクト 攻撃者 金金銭窃取 / 詐欺 IP や戦略略計画等の窃取 事業継続 の不不可 インフラ基盤破壊 風評被害 人命に関わる脅威 取締 ( 当局 ) 組織犯罪 ハクティビスト 不不正送 金金等を含む DoS 攻撃等 韓国事案のようなケースを想定 特定国家 内部者 9.18 の DoS 等 ライバル 企業 ハッカー ( 個 人 ) 18

20 対策優先度度の 高いリスクを把握していますか? 企業毎に優先度度の 高いリスクは異異なる 損失額 高 不不正アクセス 最優先のリスクシナリオ 内部不不正 文書の持ち出し 標的型サイバー 攻撃 高 値 5 点 割合 13 % 影響中 度度 施設への不不正 侵 入 社外での不不正 クラウド事業者のミス 公開システムの 改竄 優先度度 4 点 3 点 40 % 24 % 低 アカウント推測攻撃 物理理的な不不正 オペレーション ミス SCADA への マルウェア感染 2 点 1 点 20 % 2 % 低 中 脆弱性 高 低 19

21 近年年の攻撃内容の変化は主に 3 つ 勝 手に 動作する仕組みが悪 用傾向にある 間接的な攻撃が増加傾向 Update Hijacking や Cloud Strage 等の周辺環境から攻撃 同期 処理理 1 サーバとの 自動同期 モバイルコードの多 用 Java や Active Script 等の 自動的にダウンロードされる種のコードを悪 用 検知 困難 2 ウェブ閲覧時に ウェブブラウザ等 自動処理理 モバイル端末への攻撃の本格化 スマートフォン PC のマルチ OS に対応した攻撃が徐々に増加 携帯 端末 3 クラウドとの 自動同期 20

22 対策ツールの有効性は 50/50 多層防御実装の有効性と運 用における費 用対効果のバランスを考える 対策項 目 対応システム 課題キーワード 不不正通信の検出 IDS, IPS, NGF シグネチャ運 用, 暗号通信 情報流流出の検出 DLP シグネチャ運 用, 暗号通信 レイヤー 7の監視 NGF 独 自プロトコル SSLの監視 NGF ハードウェアのスペック マルウェアの監視 NGF, MPS, AV サンドボックス ホストの監視 HIPS, AV プロセス監視 モバイルコード IDS, IPS, AV, NGF JAVA, SWF, VBS IDS: 侵 入検知システム IPS: 侵 入防 止システム DLP: データ流流出緩和システム MPS: マルウェア防御システム AV: アンチウイルスゲートウェイもしくはアンチウイルスソフト NGF : アプリケーション層 ( レイヤー 7) の監視が可能なセキュリティ製品 21

23 < 参考 > 選ぶならどっち? 公判を 見見据えた製品を選択した 方が良良い 1 ファイルサーバ等からの機微データを複製 2 データを USB メモリ等による持出し 資産管理理ツールの ユーザ操作ログ出 力力 22

24 サイバー攻撃を前提に考えた場合の防御優先度度 攻撃者 目線と防御者 目線は似て 非なるもの 仮想敵は海外ライバル企業と仮定して考えた場合 : High 影響度度 システム破壊 風評被害 知的財産 内部情報 Q: 何を守るのが効率率率が良良いか? 1) ファイルサーバ上のデータ 2) 従業員 PC 内のデータ 3) メールサーバ上のデータ 4) 従業員の頭の中 5) 役員 PC 内のデータ Low Low 発 生確率率率 High 23

25 今後気にしておきたいサービス 利利 用せざるを得ないサービスが攻撃の標的になる可能性が 高い 01 自動アップデート OS アプリケーション 02 データ同期 アプリケーションの設定ファイル等 普段 意識識してい ない可能性のある通信 インスタント メッセンジャー 文書作成ツール Office 365 / Google Apps ウェブメール 24

26 実施しておきたいセキュリティ対策例例 重要なのは被害検出と初動対応によるダメージコントロール 確認しておきたい項 目 クライアント PC のモニタリング強化 アプリケーション ファイアウォールの運 用 外部への不不正通信の監視補強 インシデント対応 手順の 見見直し 25

27 インシデント対応 手順の 見見直し例例 従来型のインシデント対応 方法では対応が困難であるため 見見直しが必要 Step4. ネットワークログの収集 プロキシやセキュリティ機器等のログを収集 Step3. モバイル端末への初動対応 モバイル端末とデータを同期している可能性がある Step2. 初期調査 ( 特にメモリダンプ未取得時は重要 ) 端末が起動中の場合は接続先のサーバが調べられる場合は調べておく Step1. 初動対応 ( メモリダンプ, HDD 物理理コピー ) データがクラウド上に設置されている可能性があるため 全てが端末上で完結することは無い 26

28 まとめ 企業毎に優先度度の 高いリスクは異異なってくる 自動処理理 されているものは注意する 同期処理理やクラウドはその代表格 セキュリティ対策には優先順位がある まずは最悪のケースを想定しての対策が重要 インシデント対応 手順は 見見直し時期である セキュリティ ベースラインを 見見直すことで全体のセキュリティ対策のバランスを調整 27

29 トーマツグループは日本におけるデロイトトウシュトーマツリミテッド ( 英国の法令に基づく保証有限責任会社 ) のメンバーファームおよびそれらの関係会社 ( 有限責任監査法人トーマツ デロイトトーマツコンサルティング株式会社 デロイトトーマツファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む ) の総称です トーマツグループは日本で最大級のビジネスプロフェッショナルグループのひとつであり 各社がそれぞれの適用法令に従い 監査 税務 コンサルティング ファイナンシャルアドバイザリー等を提供しています また 国内約 40 都市に約 7,600 名の専門家 ( 公認会計士 税理士 コンサルタントなど ) を擁し 多国籍企業や主要な日本企業をクライアントとしています 詳細はトーマツグループ Web サイト ( をご覧ください Deloitte( デロイト ) は監査 税務 コンサルティングおよびファイナンシャルアドバイザリーサービスをさまざまな業種にわたる上場 非上場クライアントに提供しています 全世界 150 を超える国 地域のメンバーファームのネットワークを通じ デロイトは 高度に複合化されたビジネスに取り組むクライアントに向けて 深い洞察に基づき 世界最高水準の陣容をもって高品質なサービスを提供しています デロイトの約 200,000 名を超える人材は standard of excellence となることを目指しています Deloitte( デロイト ) とは 英国の法令に基づく保証有限責任会社であるデロイトトウシュトーマツリミテッド ( DTTL ) ならびにそのネットワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します DTTL および各メンバーファームはそれぞれ法的に独立した別個の組織体です DTTL( または Deloitte Global ) はクライアントへのサービス提供を行いません DTTL およびそのメンバーファームについての詳細は をご覧ください 有限責任監査法人トーマツ東京事務所エンタープライズリスクサービスは 2006 年 2 月 8 日 監査法人として初めて情報セキュリティマネジメントの国際規格である ISO/IEC27001 の認証を取得しました 2009 年 4 月 1 日には デロイトトーマツリスクサービス株式会社をこの認証範囲に含めております 有限責任監査法人トーマツ東京事務所における BCP/BCM サービス提供部門およびデロイトトーマツリスクサービス株式会社は 2011 年 3 月 11 日に事業継続マネジメントシステムの規格である BS :2007 の認証を取得し 2013 年 2 月 19 日に国際規格である ISO22301:2012 の認証を取得しました 本資料は皆様への情報提供として一般的な情報を掲載するのみであり その性質上 特定の個人や事業体に具体的に適用される個別の事情に対応するものではありません また 本資料の作成または発行後に 関連する制度その他の適用の前提となる状況について 変動を生じる可能性もあります 個別の事案に適用するためには 当該時点で有効とされる内容により結論等を異にする可能性があることをご留意いただき 本資料の記載のみに依拠して意思決定 行動をされることなく 適用に関する具体的事案をもとに適切な専門家にご相談ください IS / ISO (JIS Q) BCMS / ISO Member of Deloitte Touche Tohmatsu Limited