自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックサイバーグリッド研究所長兼チーフエバンジェリスト兼チーフ宴会オフィサー (CEO) 内閣府本府情報化参与 ( 非常勤 ) 富山県警察サイバーセキュリティ対策アドバイザー WASForum Hardening Project テクニ

Size: px

Start display at page:

Download "自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックサイバーグリッド研究所長兼チーフエバンジェリスト兼チーフ宴会オフィサー (CEO) 内閣府本府情報化参与 ( 非常勤 ) 富山県警察サイバーセキュリティ対策アドバイザー WASForum Hardening Project テクニ"

ちかこまるこ
5 years ago
Views:

1 サイバーセキュリティの最新トピック 2018 年 3 月 5 日川口洋, CISSP 株式会社ラックサイバーグリッド研究所長チーフエバンジェリスト lac.co.jp

自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックサイバーグリッド研究所長兼チーフエバンジェリスト兼チーフ宴会オフィサー (CEO) 内閣府本府情報化参与 ( 非常勤 ) 富山県警察サイバーセキュリティ対策アドバイザー WASForum Hardening Project テクニカルリーダー ISOG-J 技術 WG リーダ 2002

~2016 年 3 月末内閣官房内閣サイバーセキュリティセンター (NISC) にて行政機関のセキュリティ対策支援セキュリティインシデントの対応一般国民向け普及啓発活動を行った現在はサイバーグリッド研究所長としてラック社内における研究開発サイバーセキュリティに関する情報集約情報発信を担当情報セキュリティ EXPO Interop

2 自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックサイバーグリッド研究所長兼チーフエバンジェリスト兼チーフ宴会オフィサー (CEO) 内閣府本府情報化参与 ( 非常勤 ) 富山県警察サイバーセキュリティ対策アドバイザー WASForum Hardening Project テクニカルリーダー ISOG-J 技術 WG リーダ 2002 年ラック入社 2002 年 ~2012 年社内インフラシステムの維持運用に従事その他セキュアサーバの構築サービスやサーバのセキュリティ検査業務なども行い経験を積むその後 IDS や Firewall などの運用管理業務を経てセキュリティアナリストとして監視サービスに従事し日々セキュリティインシデントに対応した 2013 年 4 月 ~2016 年 3 月末内閣官房内閣サイバーセキュリティセンター (NISC) にて行政機関のセキュリティ対策支援セキュリティインシデントの対応一般国民向け普及啓発活動を行った現在はサイバーグリッド研究所長としてラック社内における研究開発サイバーセキュリティに関する情報集約情報発信を担当情報セキュリティ EXPO Interop 各都道府県警のサイバーテロ対策協議会などで講演し安全な IT ネットワークの実現を目指して日夜奮闘中セキュリティキャンプの講師として未来ある若者の指導にあたるまた最高の守る技術を持つトップエンジニアを発掘顕彰する技術競技会 Hardening Project のスタッフとして IT システム運用に関わる全ての人の能力向上のための活動も行っている 2

3 2017 年 12 月 10 日時点 (31) 和歌山北海道千葉海上保安庁三重熊本山形警視庁沖縄神奈川長野栃木宮城富山石川茨城愛知長崎奈良岐阜大阪山口宮崎福岡青森京都福島群馬 IPA 岡山山梨静岡埼玉

4 サイバー空間の出来事 4

5 Coincheck の NEM 盗難事件事件概要原因犯人仮想通貨取引所 Coincheck から 2018 年 1 月 26 日 580 億円相当の仮想通貨 NEM が盗みだされた不正アクセス ( 内部犯行は記者会見で否定 ) 不明社員エンジニアを狙った攻撃??( 標的型攻撃 APT など ) 提供ウェブアプリケーションに対する攻撃??(SQL インジェクション API の不正操作など ) システム面の不備ビットコイン以外の仮想通貨への対応が後手に回っていた顧客資産 NEM と自社資産 NEM を分離していなかったマルチシグ ( マルチシグネチャ ) を使っていないコールドウォレットを使っていない ( すべての NEM 資産がサーバ上で扱われていた = ホットウォレット ) 5

6 仮想通貨の管理個人のウォレット仮想通貨取引所ホットウォレットオンラインのサーバで管理操作に便利 = 攻撃者にも便利コールドウォレットオフラインの形式で管理操作は不便 = 攻撃者も不便 6

7 犯罪者の視点から仮想通貨でお金儲け盗む誰かの仮想通貨を盗んでくるユーザから盗む ( いわゆるバンキングマルウェア ) 取引所から盗む (Coincheck や MtGOX の例 ) だます誰かをだましてお金を集めるニセコイン詐欺コイン投資詐欺マイニング ( 採掘 ) する他人のリソースで仮想通貨をマイニングコインマイナーコインハイブ Web マイナーレートの不正操作レートを不正操作し差益で儲けるフェイクニュースによる風説の流布インサイダー取引サイバー攻撃でシステム停止 7

8 ビットコインが不正アクセスで 30 万円分盗難仮想通貨口座に不正ログインされ入金していた 30 万円が奪われた 2 段階認証を設定していた 2 段階認証の方式はメール形式 2 段階認証のメール送信先はヤフーメール仮想通貨口座とヤフーメールは同じパスワードを使用ビットコイン口座に不正ログインされ 30 万円を奪われた顛末 (Engadget 日本版 ) - Yahoo! ニュースより 8

9 2017 年 12 月のニュース 14 億件の平文ログインデータが漏洩最多のパスワードは? ( マイナビニュース ) ダーク Web において 14 億件を超えるアカウントデータを含んだファイルおよびデータベースを発見したこれまでダーク Web で発見された流出アカウントデータとしては過去最大規模で調査の結果流出したアカウントデータが本物であることも確認されたダークウェブに 14 億件の個人データ流出有名ポルノサイトも (Forbes JAPAN) 4iQ の 12 月 8 日のブログによると 41 ギガバイトの容量を持つファイルがダークウェブで発見されその中に 14 億件分のユーザーネームとパスワードのセットが含まれていたという 9

10 漏えいしたデータの危険性日本のドメイン名のデータも多く漏えいしているメールアドレスのユーザの管理責任ではなく登録したサイトから漏れている可能性が高い漏れたデータは 5 年以上前のものである可能性が高い = 最新データが漏れているわけではないヤフーメールや Gmail など認証や決済に使われるサービスは要注意パスワードを使いまわしているユーザに対する注意喚起過去に漏えいした情報に自分のメールアドレスが含まれているか確認できる 10

11 大阪大学の情報漏えい事件 2017 年 1. 教員の ID とパスワードが何らかの経路で盗まれた 2. 教育用計算機システムに教員 ID で不正ログイン 3. 教育用計算システムに不正プログラムが仕込まれる 4. システム管理者の ID が盗まれる 5. システム管理者の権限を悪用され利用者情報が漏えい 6. グループウェアに対して教職員 59 人の ID で不正ログイン 7. 教職員のメールの情報が漏えい不正アクセスによる個人情報漏えいについて大阪大学 11

12 ランサムウェア WannaCry 12

13 継続して発生しているランサムウェアの事件社内に入り込んだウイルスがネットワーク全体に蔓延し業務が停止する持ち出し端末工場や海外拠点オフィスネットワーク 1 2 技術的課題 1 初期侵入古い OS の存在パッチが未適用グローバル IP アドレスのアクセス制御不備組織的課題情報資産の未把握ガバナンスが効かない 2 内部展開パッチが未適用社内ネットワークのアクセス制御不備検知機能がないトリアージ機能がない IT 部門と OT 部門に壁がある 13

14 想像と現実想像インターネット現実インターネット重要システム制御システムインターネットから隔離重要システム制御システム実はインターネットに接続されている社内の業務端末 14 開発経理営業総務社内の業務端末

15 自診くんの紹介自分のパソコンの無料診断ができるサービス 15

16 自診くんの紹介 16

17 2017 年 3 月 Struts の脆弱性 2017 年 3 月 6 日脆弱性情報 3 月 7 日攻撃開始 3 月 10 日被害報道 17

18 2017 年 3 月の Struts の脆弱性ホームページを構成するソフトウェア (Struts2) に重大な欠陥が発見されサイバー攻撃を受けた G 社 P 社漏洩件数約 135 万件約 15 万件特別損失 2 億 7000 万円 2 億円前期の純利益約 29 億円約 12 億円 18

19 取りうる選択肢システム担当者何もしないアップデートフィルタ設定セキュリティ製品で防御特定機能を無効化事業責任者何もしないアップデートフィルタ設定セキュリティ製品で防御特定機能を無効化サービスを ( 一時 ) 停止 19

20 サイバー攻撃の被害を受けた後システム復旧作業インターネット接続遮断による業務停止メディア対応監督官庁への報告被害者への謝罪事故対応担当者の過負荷 20

21 これらの事件から学ぶことサイバー問題は役員室へスピードに応じた安全装置が必要事後対応の重要性 21

22 セキュリティに 100 点はない? IT 部門のセキュリティ経営者のセキュリティ 100 点 FW FW MF MF MF MF MF DF DF DF GK IT 部門のセキュリティは 100 点から下がるしかない事業継続や事業に影響を与えないセキュリティを考える必要がある = 経営者の役割 22

Hardening Project 実践的な堅牢化技術の価値を最大化することビジネスの視点 Focus on prevention techniques and process 守る技術の顕彰 Engineering awards and talent discovery 利用者視点の認識向上 1.

2014 年 11 月 Hardening 10 Evolutions ( 沖縄 ) 6. 2015 年 6 月 Hardening 10 MarketPlace ( 沖縄 ) 7. 2015 年 11 月 Hardening 10 ValueChain ( 沖縄 ) 8.

23 Hardening Project 実践的な堅牢化技術の価値を最大化することビジネスの視点 Focus on prevention techniques and process 守る技術の顕彰 Engineering awards and talent discovery 利用者視点の認識向上年 4 月 Hardening Zero ( 東京 ) 年 10 月 Hardening One ( 東京 ) 年 7 月 Hardening One Remix ( 東京 ) 年 6 月 Hardening 10 APAC ( 沖縄 ) 年 11 月 Hardening 10 Evolutions ( 沖縄 ) 年 6 月 Hardening 10 MarketPlace ( 沖縄 ) 年 11 月 Hardening 10 ValueChain ( 沖縄 ) 年 6 月 Hardening 100 Value x Value( 沖縄 ) 年 11 月 Hardening 100 Weakest Link( 沖縄 ) 年 6 月 Hardening 1010 Cash Flow( 沖縄 ) 年 11 月 Hardening 2017 Fes( 淡路島 ) 年 7 月 Hardening ( 検討中 ) Perspective for stakeholder communication 23

をリアルタイムスコアボードに第三者の製品とサービス参加者 (6 人 ~10 人のチームで編成 ) チーム A チーム B チーム C チーム X チーム X

24 Hardening Project 11 時間の耐久競技にインターネットの縮図を実現限られたリソースを最大限に生かしビジネス価値の最大化を競う競技空間で提供される様々なサービスや製品を調達し自チームに足りない能力を補完シナリオ遂行評価 kuromame6 E コマースサイトの売上と稼働状況をリアルタイムスコアボードに第三者の製品とサービス参加者 (6 人 ~10 人のチームで編成 ) チーム A チーム B チーム C チーム X チーム X チーム X 参加者は与えられたショッピングサイトの売上を最大化するべくチームワークを生かして行動する攻撃検知被害の極小化攻撃対処システム復旧社内調整顧客対応商品調達など様々な技能を競う 24

25 対策の前に立ちはだかる壁予算獲得人材東京と地方の格差次にコチラまずはコチラお金と手間をかけなくても効果が出る対策現在のレベル最低限欲しいレベル理想とするレベル 25

26 まずやることは情報資産の棚卸パソコンの棚卸サーバの棚卸インターネット回線の棚卸ホームページのドメインの棚卸ユーザアカウント ( 特に管理者権限 ) 実は残っていたクレジットカード情報 ( デバッグ情報やログファイル ) 26

27 すぐにやるべき対策 ( システム管理者向け ) 対策ポイント対策内容チェックログ保存を行う ( ログイン履歴 Outbound ログは必須 ) システム全体ログ保存期間を延ばす ( 最低 1 年 ) リモートアクセスのログイン履歴を確認する時刻の同期設定を確認するアプリのバージョンを確認する (Tomcat, JBoss, Struts, Joomla!, WordPress, Movable Type, MODX など ) サーバ DNS のクエリログを記録する cron やタスクスケジューラの中身を確認する公開 DNS サーバや NTP サーバが UDP アンプ攻撃に悪用されないか確認する管理用端末でウェブアクセスとメール閲覧を制限する Adobe Reader Flash Player Java 一太郎のアップデートを検討するクライアントウイルス対策ソフトの定時スキャンのログを確認する UAC の設定が初期値より低くなっていないか確認する AutoRun の設定を確認する ( 特にサポート期限の切れた Windows XP) ブラウザは 2 種類入れておく (IE の脆弱性騒ぎに対応するため ) 端末間アクセスを制限するネットワーク FW Proxy URL フィルタ等のログを確認する Proxy 認証の認証ログを確認するアクセス制御ルールに不備がないか確認する人組織 CSIRT の整備運用を行うインシデント発生を想定した演習を行う IPA JPCERT J-LIS( 旧 LASDEC) のコンテンツを周知する 27

28 タスクスケジューラの中身を確認このあたりに見慣れないものが登録されていないかを確認する ( この例は Google のアップデートタスク ) 攻撃者はタスクスケジューラ機能 ( 指定時刻にプログラムを実行する Windows の機能 ) を悪用して攻撃を行うタスクスケジューラの項目で見慣れないものが存在しないかを確認する最低限 AD サーバのタスクスケジューラは確認する 28

29 タスクスケジューラの実行ログを確認 IPA 高度標的型攻撃対策に向けたシステム設計ガイドから引用 29

30 ソフトウェアの実行制御とりあえずデスクトップやテンポラリフォルダからのexeの実行を止めておくだけでも不用意に実行ファイルが動作することを防ぐことが可能 ( アップデート関係の処理に以下のディレクトリを実行許可注意 ) C: Program Files C: Program Files (x86) C: ProgramData C: MSOCache C: Windows C: Users username 以下の実行ツール置場 30

31 端末間アクセスの禁止プリンタサーバユーザ PC 同等構成のユーザ PC の横展開を防ぐユーザ PC 間の通信を制限する (Windows ファイアウォール等で ) サーバやプリンタとの間の通信のみ許可する 31

32 管理者 PC の保護アクセス制御を実施セグメントを分離するユーザ用セグメント管理者用セグメント社員個人としてのメール参照システム管理のときウェブサイト参照システム管理者 Aさん管理者 PC でウェブとメール閲覧を制限するインターネットアクセスが必要な場合はユーザの Proxy 認証アカウントを使う (=Domain Admin のアカウントを使わない ) 32

33 家庭個人における基本的な対策パスワードの管理アップデートを積極的に行うウイルス対策ソフトを使うバックアップを取る 33

34 Thank you. Any Questions? 34

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日川口洋, CISSP 株式会社ラックチーフエバンジェリスト hiroshi.kawaguchi @ lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム自己紹介川口洋 ( かわぐちひろし ),CISSP 株式会社ラックチーフエバンジェリスト兼担当部長 ISOG-J 技術 WG リーダ