自己紹介 株式会社インターネットイニシアティブ セキュリティ本部長 齋藤衛 1967 年生まれ 1993 年中央大学大学院理工学研究科管理工学専攻修了 1995 年株式会社インターネットイニシアティブに入社 法人向けファイアウォールサービスに従事の後 法人向けセキュリティサービスの開発 ( マネージ

Transcription

1 第二回サイバーセキュリティセミナープロバイダーから見たサイバー空間の現状 2017/11/15 株式会社インターネットイニシアティブセキュリティ本部長齋藤衛

2 自己紹介 株式会社インターネットイニシアティブ セキュリティ本部長 齋藤衛 1967 年生まれ 1993 年中央大学大学院理工学研究科管理工学専攻修了 1995 年株式会社インターネットイニシアティブに入社 法人向けファイアウォールサービスに従事の後 法人向けセキュリティサービスの開発 ( マネージドセキュリティサービス IDS サービス DDoS 対策サービスなど ) セキュリティサービス担当プロダクトマネージャを経て 現職 2001 年より IIJ グループの緊急対応チーム IIJ-SECT の活動を行う (IIJ-SECT は 2002 年に FIRST に加盟 ) テレコムアイザックジャパン 日本セキュリティオペレーション事業者協議会 テレコム セプターなど複数の団体の運営委員 内閣官房 総務省 警察庁などの研究会や WG など複数の場で活動を行う 共訳書として ファイアウォール構築第二版 ( オライリー ジャパン ) IIJ-SECT の活動は 平成 21 年 経済産業省商務情報政策局長表彰 ( 情報セキュリティ促進部門 ) を受賞 平成 27 年より兵庫県警警察サイバーセキュリティ対策アドバイザー 厚生労働省社会保障審議会年金事業管理部会委員 日本年金機構アドバイザー 平成 29 年より島根県警察サイバー犯罪対策テクニカルアドバイザー 2

3 Agenda IIJ のセキュリティに関する取り組みマルウェアの活動 IoT ボットの活動 DDoS 攻撃とその対策 脆弱性対応の宿題 経路ハイジャック

4 IIJ のセキュリティに関する 取り組み

5 IIJ セキュリティ事業の沿革 1992 年 IIJ は国内初の ISP として創業 セキュリティに関しても技術面を中心にイニシアティブを取り続けてきました 国内初 シェア No.1 迷惑メールフィルタ 提供開始 2004 年 ファイアウォールサービス 提供開始国内初 IIJ セキュア Web ゲートウェイサービス IIR 発刊 (Internet Infrastructure Review) MITF(Malware Investigation Task Force) 活動開始 1994 年 1992 年 IIJ 設立 IIJ ID サービス 提供開始 IIJ 不正送金対策ソリューション 提供開始 1999 年 2007 年 2001 年 2008 年 2011 年 2014 年 安全をあたりまえに 2016 年 2012 年 2015 年 サンドボックスオプション 提供開始 2010 年 IIJセキュアMXサービス シェア No 年送信ドメイン認証技術の導入を開始 DDoS 対策サービス 提供開始 IIJ-SECT(IIJ group Security Coordination Team) 結成 IIJ セキュリティスタンダード を開始 Web アクセス管理サービス を開始 仮想デスクトップサービス 提供開始 国内初 国内初 5

6 IIJ セキュリティ事業の強化 より高度なセキュリティオペレーションを提供するために 人材 システム 体制 設備 を強化しました 1. 人材 人材育成 2. システム 情報分析基盤の刷新 3. 体制 設備 セキュリティ本部 オペレーションセンター 6

7 情報分析基盤の刷新 膨大な情報の分析から セキュリティインテリジェンスを生成 ISPだからこそ得られる情報 バックボーントラフィック DNSクエリ etc IIJセキュリティサービスの情報 ファイアウォール IPS/IDS メール DDoS 対策 etc IIJ 独自調査 / 研究で得られた情報 独自の調査で得られた情報 研究で得られた情報 etc ビッグデータ解析 - リアルタイム脅威検知 - 最新の攻撃に対する研究情報分析基盤 情報参照 セキュリティインテリジェンス C&C サーバなど攻撃元の レピュテーション情報 攻撃者プロフィールや手法等将来の攻撃に備えるための指針となる情報 対策実装に必要とされる 脅威情報や攻撃トレンド 公開情報 ホワイトペーパー 脅威 / 事故事例 etc SOC セキュリティアナリストチーム 広く安全を実現するための 脅威情報の公開と提供 7

8 ISP ならではの膨大な量の情報ソース 膨大なセキュリティ機器のログやバックボーントラフィック DNS クエリなどに 外部情報を加え ビッグデータ解析を行っています トラフィック /DNS ファイアウォール Web メール DDoS 対策アンチウイルスサンドボックス IPS/IDS 900 億行 / 月のWebアクセスログ 38 億行 / 月のメールアクセスログ 1,700 億行 / 月のセキュリティ機器ログ 40 万サイト以上 / 日の Web クローラ調査サイト数 Mail ゲートウェイ システム運用実績 情報分析基盤 約 172 万アカウント Web ゲートウェイ 約 116 万アカウント サーバ数 : 約 21,000 監視ノード数 : 約 48,000 Tbps クラスの DDoS 攻撃に対応する設備 地球を一周する日本最大級のバックボーン 形を変えながら運用を続け 21 年 IIJ のシステム運用実績 * 数字は 2017 年 1 月末時点の情報です 8

9 クライアントハニーポットによる Web 改ざん検出データ クライアントハニーポットによる ( マルウェア配布悪用 ) Web 改ざんの検出状況 (IIJ 調査結果 2017/4~9) 表の見方 横軸 : 調査期間日 縦軸 :Web サイト名称 表中 : 改ざん検出結果 ( 赤色が検出 ) 赤色の横線 : マルウェア配布の温床として継続 赤色の縦線 : キャンペーンによる複数サイトが改ざん 9

10 Web 改ざんの検出頻度 Web 改ざんとして検出されたサイトのうち断続的に 2 日以上検出された Web サイトは 7 割以上となった 調査期間中 断続的に 20 日以上検出された Web サイトは 15.8% になった 1 日しか検出されない Web サイトも 29.8% 存在した 20 日以上 15.8% ~20 日 4 日 3 日 110~120 日 1.2% 1 日 29.8% 2 日 Web 改ざん検出頻度 ( 断続的日数 )2017/4~9 10

11 IIJ セキュア Web ゲートウェイサービスでの脅威防御 悪性と判定された Web サイトへのアクセスブロック数 2017/9 悪性と判定された Web サイトへのアクセスは実際に発生している 2017 年 9 月のデータでは 多いときは 10,000 件を超えるアクセスを防御 11

12 Apache Struts 2 を狙った攻撃元 IP アドレス 30 日 2.24% 4 日 3 日 7 6 日日 5 日 2 日 8 9 日日 13 日 1 日 55.6% 2017 年 9 月において Apache Struts 2 の脆弱性を悪用する攻撃の検出データから攻撃元 IP アドレスの検出頻度割合を集計 同一の攻撃元 IP アドレスから断続的に 2 日 ~30 日間継続した攻撃は全体の 4 割を超えていた 攻撃を 30 日間連続して継続していた IP アドレスが 2.24% あった これらの IP アドレスが攻撃以外の活動をしているかは不明 12

13 2017 年 9 月の DDoS 攻撃の状況 60~90 分 6% 30~60 分 6% DDoS 攻撃継続時間 90 分以上 2% 2017 年 9 月の DDoS 攻撃検出件数 575 件 1 日あたり 件 最大攻撃規模 12.06Gbps 30 分以上継続する攻撃が 14% 最大継続時間 46 時間 57 分 30 分未満 86% DDoS 攻撃が発生しやすい 9 月 18 日前後での発生件数は多くなかった 13

14 ボットが狙うポートの状況 (2017 年 9 月 ) IIJ マネージドサービスで観測したボットの不許可アクセス A) インド 中国 B) 米国中国 C) フランス ポート番号 A) IoT ボットとして有名な Mirai の Scan 対象でもある 23/TCP ポートへの探査行為が最も多くなっている ( 多くは国外からであり 中国とインドが大半を占める ) B) 米国 中国からのアクセスが目立つ 53413/UDP は Netis 製ルータの脆弱性を狙ったアクセスであると考えられる C) 5060/UDP のアクセスがフランスから多く観測されており SIP サーバー / 機器を狙ったスキャン行為と考えられる 14

15 情報分析基盤の活用によるセキュリティ品質の向上 Apache Struts2 脆弱性 (CVE ) での対応例 脆弱性公開 IIJ カスタムシグネチャによる防御と解析 IIJ カスタムシグネチャ IIJ カスタムシグネチャ緊急リリース Struts2 攻撃情報解析 ( 情報分析基盤 ) _ 攻撃者 Log Log Log 攻撃情報解析 情報分析基盤 ベンダーシグネチャ公開 ベンダーシグネチャ改善点発見と修正依頼 ベンダーシグネチャ修正版リリース インターネット全体の脅威の低減に寄与 _ IIJ カスタムシグネチャ 攻撃者ベンダーシグネチャサーバ 情報分析基盤による解析で 適切なカスタムシグネチャを提供 ベンダへの情報提供等 インターネット全体の脅威の低減に寄与 15

16 Internet Infrastructure Review IIJ の把握したセキュリティ情報や観測結果 IIJ のセキュリティ対策活動をまとめて公表することで インターネット上のインシデント発生状況を把握してもらうためのレポート 2008 年 10 月より 四半期に一回発行 最新版は Vol.36(2017 年 9 月発行 ) PDF 版は HomePage( から無料でダウンロード可能 Vol.37 は 2017 年 12 月発行予定

17 IIJ-SECT Security Diary

18 wizsafe Security Signal での観測状況公開 /10/19 Release 情報分析基盤における観測情報 分析結果をもとにした脅威動向 新たな攻撃手法や脆弱性など緊急度の高い情報を発信 情報分析基盤に取り込むデータの拡大にともない お客様にとってさらに有益となる情報を提供 18

19 IIJ セキュリティオペレーションセンターの刷新 業務に 集中 できる独立した作業スペースと高度化する脅威に対して 協調 し対処するため 専用に設計した設備です 分離 集中 マルウェアなどリスクの高い分析を 行うために業務ネットワークから 独立したネットワーク環境 IIJ セキュリティオペレーションセンター より複雑化 高度化した脅威を 監視し続け 分析を行うための 集中できる環境 保全 フォレンジックの分析結果やお預かりする証拠品保護のための セキュリティゾーニング 協調 同時多発的なものや高度なインシデントに対処するための コラボレーション促進 19

20 IIJ セキュリティオペレーションセンターエントランス 20

21 IIJ セキュリティオペレーションセンターオペレーションルーム 21

22 IIJ セキュリティオペレーションセンターセキュリティラボ 22

23 IIJ セキュリティ事業全体像 検知 防御 対処を IIJ-SOC を中心に 24 時間 365 日で実施しお客様のセキュリティ支援を行います 外部からの通信 正常な通信 DDoS 攻撃 悪意あるサイト ( 水飲み場攻撃など ) 標的型メール攻撃 IIJ セキュリティサービス ソリューション ファイアウォール IPS/IDS WAF など Mail/Web セキュリティサンドボックスなど DDoS 対策 スマートデバイスセキュリティ ID 管理 認証 セキュリティ監査 / コンサルティング 情報収集 設定変更 ログ収集 IIJ 独自サービス基盤 IIJ-SOC セキュリティアナリストチーム 情報参照 セキュリティインテリジェンス ( 情報分析基盤 ) インシデント対応フロー イベント検知 調査 分析 トリアージ インシデント抑制 影響範囲の特定 対象機器の設定変更 レポーティング グローバル脅威情報 国内インシデント情報 サイバー攻撃トレンド 脆弱性情報 予兆検知 / 事前対策 シグネチャ作成 / 反映 正常な通信 連携 報告 情報提供 お客様ネットワーク 公的機関 公開サーバ ユーザ PC 運用が楽チン お客様管理者 連携 セキュリティ業界団体 トラフィック情報 DNS クエリ お客様ログ情報 マルウェア情報 悪意ある URL 23

24 Agenda IIJ のセキュリティに関する取り組みマルウェアの活動 IoT ボットの活動 DDoS 攻撃とその対策 脆弱性対応の宿題 経路ハイジャック

25 マルウェアの活動

26 Wannacry HDD を暗号化して身代金を要求するランサムウェア 5/12 日頃より世界各国に感染を広げる 国内では大手企業で感染の報告 3 月の MS のパッチに含まれていた SMBv1 の脆弱性を利用し感染を広げる 組織内ネットワークでの急速な感染 キルスイッチの存在 26

27 Wannacry ( ワームとしての活動 ) IIJ では 6 月以降 ハニーポットで Wannacry の亜種を観測しており 現在も活動が継続 オリジナルと同じ脆弱性を利用 キルスイッチ機能が無効化 暗号化機能は動作せず感染を広げるのみ 今年は Petya,NotPetya,BadRabbit 等 破壊的な活動を行ったり ワーム的な感染活動を行ったり 純粋なランサムウェアと呼ぶには微妙な活動が多い 27

28 正当なソフトウェアへのマルウェアの混入 Avast 社傘下の Piriform 社が作成しているシステムメンテナンスツールである CCleaner 及び Ccleaner Cloud にマルウェアが混入 コンピュータ名 インストールソフト一覧などの情報が外部に送信される 特定の企業内で感染した場合のみ新たなマルウェアをダウンロードして実行 28

29 Web ExploitKits による感染活動の終焉 ExploitKitsを使ってブラウザにマルウェアを感染させようとする試みの減少 悪用可能な脆弱性が減ったことに起因 Support Scamなど詐欺行為で不要なソフトウェアをインストールさせる行為に移行 他の勢力として Coinhive( 仮想通貨の掘削を行わせる行為 ) が登場 29

30 IoT Bot の活動

31 IoT 機器を狙ったマルウェア 監視カメラ ルーター DVR などの IoT 機器に感染 デフォルトで設定されているユーザ ID/ パスワードを利用してログインし感染 感染後に命令を受け 標的へ DDoS 攻撃を行うものも 31

32 Hajime 年 10 月に最初に報告され 2017 年に入ってから感染活動が活発化 Dos 攻撃などは行わず感染活動のみを行う 時期によりスキャンするポートが変化 23/tcp 及び 5358/tcp による感染活動が現在は多い 32

33 Mirai Bot 感染活動の観測 ハニーポットに到着した 23/TCP 通信の推移 ( 日別 国別 一台あたり )

34 Mirai bot の現状 Mirai の亜種が出現 ソースコードが公開されたため同じ特徴を持つものが多いが 一致しない亜種の活動も活発化 8 月末時点で 4 万台程度がこの Mirai 亜種に感染していると推測 現在も活動は活発 34

35 Mirai の感染事例 DDoS 攻撃事案 複数のアドレスから DDoS 攻撃を受けたと苦情 利用者はすべて特定の企業 ( メーカ ) 当該メーカの作成した IoT デバイスが IoT ボットに感染 SIM を搭載したモバイル接続 全国で稼働していながら常時移動していることが判明 対策 幸い IoT ボットの多くは電源断で消失する ISP はモバイル接続でフィルタリングをオファー ( 契約形態の変更 ) メーカにて自社作業による対策と ISP のオファーを比べて対策検討 フィルタリングを採用 こういう装置が他にどのくらいの種類あるのか? 35

36 国内 IoT ボット発見事案 (2017/11) ICT-ISAC Japan DoS 即応 WG 11/1 より国内 IP アドレスからの 23/TCP,2323/TCP への接続の試みの増加が NiCT のダークネットによる観測から報告された 国内 1.6 万 IP アドレス マルウェア satori/okiru の感染の試みとその特徴などを IIJ から報告 世界規模で数万 国内 1.2 万 合わせて数が多いプロバイダに連絡 IIJ の接続元情報を ISP などで確認 ロジテックの実装が多いと結果 IIJ の honeypot では SSDP への攻撃 および GoAhead( 組み込み用 Web サーバ ) の脆弱性も同時に攻撃されている様子が見える 年に大きな問題となったロジテックのルータ WL300 も GoAhead の実装を中核に製造したものであった 現在 WG でボットの感染メカニズムの解明 (SSDP/UPnP 経由で SOAP コマンドの実行までは確認 ) メーカにコンタクトをとるか検討中 合わせて他の団体から国内からのリスト型攻撃の増加について問い合わせを受けており 関連を調査中

37 DDoS 攻撃とその対策

38 DDoS 攻撃の状況 DDoS 恐喝事案や Anonymous による攻撃 2 チャンネル関連の攻撃が散発 9 月には 約 20 社の仮想通貨及び FX 業者に DDoS 攻撃が仕掛けられ いくつかの会社には脅迫メールが届いたとの報告あり 攻撃者の意図は 推測ではあるが 取引所間での価格差を人為的に生み出して裁定取引で利ざやを得る あるいは不利益を被ったものの逆恨みなどの可能性が考えられる 38

39 DDoS 攻撃への対策 (IIJ DDoS プロテクションサービス ) 網の中に対策装置を設置した場所がある状態から 網の出入り口すべてに対策装置がある状態へ 39

40 脆弱性対応の宿題

41 脆弱性対応の宿題 Bluetooth 脆弱性 BlueBorne Bluetooth 接続した機器を制御することができる Android Linux ios Windows のパッチはリリースされたが あてていますか? ペアリングする相手がパッチを当てているか確認できますか? WPA2 の脆弱性 KRACK クライアント側パッチはリリースされたが あてましたか? 攻撃するためには無線が届く範囲にいる必要がある 特定のセッションに中間者 (MITM) 攻撃される ( 暗号鍵が盗まれるわけではない ) 公衆無線 LAN などで攻撃されている人がいるリスクは何でしょう? Infineon TechnologiesRSA ライブラリ 鍵生成時のエントロピー不足 エストニア e-residency IC カード PC の TPM にも影響 Intel ATOM C2000 エラッタ ネットワーク機器などに影響の可能性

42 経路ハイジャック

43 2017/08/25 に何が起こったか IIJ TECHNICAL WEEK2017 経路制御の課題と対策より 2017/08/25 12:22JST 頃 AS15169 が他 AS の IPv4 経路をトランジット開始 日頃流通しない細かい経路が大量に広報 これによりトラヒックの吸い込みが発生 国内の各 AS で通信障害を検知 2017/08/25 12:33JST 頃 AS15169 がトランジットしていた経路を削除 経路数 全体で約 11 万経路 ( 日本分が約 経路 ) /10 から /24 まで幅広い経路 ( 半数程度が /24) 通常流れていない細かい経路が多かった AS PATH は概ね < 本来の AS PATH> 広報元 AS 番号は正しそう 各 AS が直接 AS15169 と張っている BGP 接続では今回の経路広報は観測されていない 影響 広報された経路に従って通信が米国経由になり遅延や輻輳 上限 70 万経路問題 ( 常時 60 万経路 + 今回の 10 万 ) など 上限設定や実装のバグに抵触したルータがあった BGP は観測点によって える情報が異なるのでご注意 43

44 2017/08/25 に何が起こったか IIJ TECHNICAL WEEK2017 経路制御の課題と対策より 44

45 2017/08/25 に何が起こったか IIJ TECHNICAL WEEK2017 経路制御の課題と対策より 45

46