目次 1 はじめに : 守りたいのは何ですか? 社内サーバを狙う攻撃手法 外部への 公開サーバ も もちろんターゲットに サーバ要塞化 対策のポイント シンプルにできる サーバ要塞化 と プラスアルファ の対策 標的型攻撃時代にお

Transcription

1 標的型攻撃時代における サーバセキュリティ検討ガイド 提供 : トレンドマイクロ株式会社 2017/02 発行 : Version 1.0

2 目次 1 はじめに : 守りたいのは何ですか? 社内サーバを狙う攻撃手法 外部への 公開サーバ も もちろんターゲットに サーバ要塞化 対策のポイント シンプルにできる サーバ要塞化 と プラスアルファ の対策 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 2

3 1 はじめに : 守りたいのは何ですか? セキュリティ対策を実施する際にまず考えなくてはならないのは 何を守りたいのか を明確にすることです 顧客の個人情報だったり 設計に関する機密情報だったり あるいは取引先にまつわるデータだったり 会社によって守るべきものは異なるでしょう いずれにせよ まず自社が守るべきものを特定し それを取り巻くリスクは何かを検討することによってはじめて 適切な対策が浮かんできます ここで考えておきたいのが 守るべき情報の在り処です 多くの場合 重要データ 情 報資産の多くはクライアント PC ではなく ファイルサーバやデータベースサーバ あるいは 業務システムが稼働しているサーバなど サーバ 側に保存されているかと思います 昨今の攻撃手法も 最終目的地である サーバ への侵入を見越したものになっています 詳しくは後述しますが メールや Web を用いてクライアント PC に感染して それでおしまいというサイバー攻撃はあまりありません クライアント PC への感染はあくまで最初の足がかりであり そこから最終目的地であるサーバへと感染を広めるケースが多数報告されています そして 必ずしも 不正プログラム対策製品を導入しているから大丈夫 とは言いきれないほど 攻撃手法は多様化しているのも現実です こうした状況を踏まえると クライアント PC の保護に加え サーバとそこに保存されているデータの保護も同時に考えなければ 昨今の攻撃に対処しうる バランスの取れた対策とは言えません しかも クラウドサービスやモバイルデバイスが普及し 社内システム と インターネット の境界がなくなりつつある今 社内システムとインターネットの境界部分でのセキュリティを強化するという境界防御アプローチだけでは不十分であり 最終的なターゲットであるサーバそのものの保護が重要な意味を持つようになっています そこでこのホワイトペーパーでは 企業が運用するサーバ それも 社内で重要な役割を果たす内部サーバだけでなく インターネットに公開され さまざまなサービスを提供している外部サーバの双方 を取り巻くリスクにはどのようなものがあるかを解説し それらへの対策を検討していきます 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 3

4 2 社内サーバを狙う攻撃手法 サーバを守る適切な防御策を検討するには サーバを取り巻く 脅威 リスク を理解 しなければなりません そこでまず サーバがどのような攻撃を受けているか 最新のリサ ーチ結果などを元に紹介します 最終目的地として社内サーバを狙う 標的型攻撃 標的型攻撃というと 関係者を装った巧妙なメールや 脆弱性を突くコードを用意した不正な Web サイトに誘導してクライアント PC を不正プログラムに感染させる手口が広く知られています クライアント PC の不正プログラム感染を防ぐため ダミーの攻撃メールを従業員に送って手口を理解させ いざという時の対応方法を学習させる 標的型攻撃メール訓練 に取り組む企業も増えているようです ですが本当に注意しなければならないのは システム内で横展開を広げ 社内サーバ への侵入を試みる次のステップなのです 標的型攻撃の真の目的は 企業の情報資産を盗み出すことです 攻撃者は あくまで目的達成の足がかりとしてクライアント PC を利用し 侵入後は隣の端末へ さらに隣の端末へと侵害範囲を広げながら より重要な情報や それを獲得するために必要な管理者権限を奪い取ろうと試みます そして システムの脆弱性を突いたり 簡単なパスワード 推測しやすいパスワードを解いたり キーロガーを用いるなど さまざまな手法を用いて Active Directory サーバで社内のアカウント情報を収集し そこで得た権限を用いてファイルサーバやデータベースサーバから顧客の個人情報や取引に関する重要な情報を抜き取り 外部に送信しようと試みます ネットワーク型のファイアウォールや IPS/IDS といった境界型の防御で社外の不正なアクセスから社内システムを保護していても システム内のクライアント PC から社内サーバに対して行われるこうした不正なアクセスには無力です しかも社内サーバに対する不正アクセスには クライアント PC 向けの攻撃とは異なる特性があります サーバは基本的に 24 時間稼働し続けています その上攻撃者は OS に標準で含まれている正規 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 4

5 のツールやコマンドを利用して 堂々とタスクを実行し 情報を盗み取ることもあります しかし サーバから見れば正規な通信としか認識できず なかなか検出が難しいのが実 情です 図 1: 標的型攻撃の代表的なプロセス こうした手口が存在することを念頭に入れ 現在十分にセキュリティ対策が施されてい るように思える内部サーバも決して脅威と無縁ではないことをご理解いただければ と思 います 社内サーバの共有データを狙う ランサムウェア の脅威 ファイアウォールで守られているはずの社内サーバを狙うもう一つの脅威が 最近猛威 を振るう ランサムウェア です 既にご存知の方も多いと思いますが ランサムウェアは 感染した端末の画面をロックしたり 保存されたデータを暗号化したりして 元通りに操作できるようにしてほしければ 金銭を支払え と要求してくる不正プログラムの総称です PC やデータを 人質 に取って身代金を要求してくることから ランサム (Ransom= 身代金 ) ウェア と名付けられています 2016 年は日本国内で このランサムウェアによる被害が急増しました 特に注意したいのは 自宅で PC を利用している個人ユーザだけでなく 法人ユーザでの被害が拡大していることです トレンドマイクロの脅威インテリジェンスデータベース Smart 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 5

6 Protection Network(SPN) で収集したデータによると 法人ユーザにおけるランサムウェアの検出件数は 全世界で 2014 年の 1 万 4440 件から 2015 年には 3 万 1900 件へと大幅に増加しました 同様に 国内法人からいただいたランサムウェアに関する問い合わせ件数は 2014 年はわずか 40 件だったものが 2015 年は 650 件へと急増しており 2016 年はそれを上回るペースとなっています 図 2: 日本におけるランサムウェア脅威件数推移 :2016 年トレンドマイクロ調べ なぜ法人ユーザでの被害が増加したのでしょうか 理由は単純で クライアント PC 単独を狙うものだけでなく ネットワークでつながっているファイルサーバ上のデータを狙うランサムウェアが登場したからです 複数台あるクライアント PC のうちどれか 1 台がランサムウェアに感染した結果 社内で共有している売り上情報や顧客情報などのデータが暗号化され 業務がストップしてしまう事件が多発しています その典型例が SAMAS という名称のランサムウェアです このランサムウェアは 先に説明した標的型攻撃と同じように 感染後は社内ネットワークで横展開を行い サーバ側の脆弱性を探索して悪用します その上 共有ファイル本体に加え ネットワーク上に保存されているバックアップまで破壊しようと試みます ( 関連リンク : ) こうしたランサムウェアへの対策としては クライアント PC での対策強化やこまめなバッ クアップの取得が挙げられます しかし ファイルサーバ上での挙動を監視し ランサムウェ 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 6

7 アがファイルを不正に暗号化しようと外部の制御サーバ (C&C サーバ ) と通信したり その前段階として社内で横展開しようとしたりする動きをいち早く検知することができれ ば 被害を未然に防ぐことができるでしょう ここまで紹介してきた通り 標的型攻撃 そしてランサムウェアのどちらにおいても クライアント PC だけでなく重要な情報資産が格納されている社内サーバが主な標的になりつつあります そして残念ながら 従来の境界型防御や単なる不正プログラム対策製品だけでは 脆弱性を狙ったり アカウントリストを基にログイン施行を繰り返したり などといったさまざまな攻撃手法を用いる脅威から 社内サーバを守ることは難しいのが実情です 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 7

8 3 外部への 公開サーバ も もちろんターゲットに もちろん インターネットに公開され 何らかのサービスを提供している公開サーバも サイバー攻撃とは無縁ではありません 標的型攻撃などの被害報道に隠れがちですが 公開サーバの脆弱性を狙った攻撃は むしろ継続的に発生しています 公開サーバを狙ったサイバー攻撃の典型例は Web サーバ内の Web アプリケーションに存在する脆弱性を狙って SQL インジェクションやクロスサイトスクリプティングといった攻撃を仕掛け バックエンドのデータベースサーバから個人情報を抜き取るといったものです 最近では 一から Web アプリケーションを自社開発するのではなく オープンソースソフトウェアや 国内外のベンダーが開発した CMS ソフト そのプラグインを活用するケースが増えていますが そうしたソフトウェアやプラグインに脆弱性が存在すると 影響を受けるサーバは多数に上ります 本来公開サーバというものは 何らかのサービスを外部に提供することを目的に動かしているもので 安易にサービスを停止することはできません そこが攻撃者の狙い目になっており 正規のユーザにサービスを提供するために用いている HTTP や HTTPS といったサービスが 攻撃経路としても悪用されてしまいます これを防ぐには セキュリティパッチを適用したり Web アプリケーションプログラムに修正を加えるなどして脆弱性そのものを修正するのが根本的な解決策となります しかし公開サーバの場合は サーバを停止させることによるサービスレベルを損なうリスクを天秤にかけなければなりません いつ どのタイミングでサービスを停止し 修正するかを 会社のビジネスプランの中で検する必要があります 場合によっては 既存の機能が動かなくなるといった大きな影響が生じるため パッチの適用はどうしても見送らざるを得ないという判断に至る可能性もあります そうした場合のリスク緩和策を考えなくてはなりません また もう一つ特筆すべき事実として 公開サーバが攻撃を受けて情報漏えい被害に 遭った組織の 5 割は 外部の指摘によってはじめて被害を把握したという事実です つ まり半数の組織は公開サーバが攻撃を受けながら 自力でそのことに気付けなかったと 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 8

9 いうことを意味します 何らかの形でサーバの挙動を監視し 攻撃の予兆を早期発見で きる仕組みを整えていく必要があると言えるでしょう 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 9

10 4 サーバ要塞化 対策のポイント ここまで 社内サーバと公開サーバのどちらともがサイバー攻撃のターゲットになっており インターネットとの境界部分にファイアウォールを設置する といった従来型の対策だけでは十分に対応できないことを説明してきました これを踏まえて これからのサーバセキュリティ対策を検討する際のポイントをまとめてみましょう 一つは 特にサーバを狙う攻撃は脆弱性を利用するものが多いということです 脆弱性とは セキュリティ上の問題につながるプログラム上の不備のことで セキュリティホール と表現されることもあります これを悪用されると 任意のコード ( つまり ありとあらゆる操作 ) がリモートから実行されてしまったり システムが停止に追い込まれてしまったりする恐れがあります もちろん はじめから入念にソフトウェアを開発していれば 脆弱性の数は減るはずですが 間違いのない人間がいないのと同じで バグ (= 脆弱性 ) のないソフトウェアはなかなかあり得ません ソフトウェアベンダー側では 事前のテストだけでなく ソフトウェアリリース後も セキュリティ機関や研究者と連携して脆弱性情報を受け付け パッチ ( 修正ソフトウェア ) を公開する取り組みが広まっています しかし前述の通り サーバの場合は 既存のサービスやアプリケーションとの互換性を考慮すると すぐにパッチを適用するのは難しいことが大半です 最終的にはパッチ適用を実施するにせよ それまでの間何らかの手段でサーバを保護し 時間を稼ぐ手段が必要になります しかも世の中には ベンダーやセキュリティ研究者が指摘する前に 攻撃者が未知の脆弱性を発見し 悪用するケースもあります こうした脆弱性は ゼロデイ脆弱性 と呼ばれ 高度な標的型攻撃などに悪用されています こうした未知の脆弱性を突かれた場合に備え 異常を早期に検知することが重要です それでなくても 最近の攻撃手法の高度化 巧妙化に伴って ファイアウォールや不正プログラム対策といったどれか一つの対策だけで守りきるのは難しくなっています 前述の脆弱性を突く攻撃はもちろんですが それ以外にもアカウント情報を狙ったり 人間をだ 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 10

11 まして悪意あるファイルを実行させたりと 攻撃者はさまざまな手法を使って侵入を試み ます 残念ながら攻撃を 100% 防ぎきることはできない という前提に立って せめて自 ら攻撃に気付き 被害最小化を図るための仕組みを整備する必要があります 不正プログラム SQL インジェクション ログの隠蔽工作 バッファオーバーフロー ブルートフォース ファイル改ざん ポートスキャン DoS 攻撃 クロスサイトスクリプティング アカウントリスト攻撃 図 3. 多種多様な近年の攻撃手法 具体的には不正プログラム対策や IPS/IDS 不正な Web サイトへのアクセスを防ぐ Web レピュテーションといった 多層防御 によってこうした攻撃を食い止めるとともに 万一 侵入されてしまった場合にいち早くそれを発見し 拡散を防ぐための変更監視 セキュリティログ監視といった複数の対策を組み合わせることが大切です 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 11

12 5 シンプルにできる サーバ要塞化 と プラスアルファ の対策 では こうした前提を踏まえ まず設定変更などで手軽に実行できる ( むしろ実行す べき ) 事柄を確認してみましょう 可能な限り OS やアプリケーションを最新の状態に保つ サーバの目的にとって不要なサービス 機能は停止する 不要なアカウントは削除し 管理者のアカウントおよびパスワード管理を厳密に行う 定期的に動いているサービスを棚卸し 脆弱性検査 ペネトレーションテストを行う また サーバやシステムの役割に応じてネットワークを論理的に分割することも有効です しかし 繰り返しになりますが多くのサーバでは 既存のアプリケーションの動作に支障が生じる可能性のあるパッチ適用はすぐにはできません また ファイルやプロセスに与える権限を不用意に変更しても 動作に問題が生じる恐れがあります そこで修正やパッチ適用と言った根本的な対策を実施するまでの間 サーバを保護する策として サーバセキュリティに特化したセキュリティ製品を導入するのも一つの手です トレンドマイクロでは こうした目的のために Trend Micro Deep Security を提供しています 不正プログラム対策 IPS/IDS Web レピュテーション ファイアウォール 変更監視 そしてセキュリティログ監視といったサーバを保護するのに必要な複数のセキュリティ機能を包括的に提供する製品で 社内サーバ 公開サーバ問わず適用可能です 以下に Trend Micro Deep Security のいくつかの特徴をまとめてみました ホスト型であること システムの規模が広がれば広がるほど 守るべきサーバの数は増加します 仮想化技術やクラウドサービスの普及にともなって 企業が管理すべきサーバの数はますます増加していくことになりますが その全てをゲートウェイのみで保護するのは困難です 将来サーバが増加することを事前に考慮したスループットのゲートウェイを用意しておく必要があ 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 12

13 ること 万が一ゲートウェイに障害が発生した場合に単一障害点となり サーバ全体に影響を及ぼしてしまうことが考えられるからです ホスト型の場合 万が一障害が発生しても影響範囲はそのサーバのみとなり リスクを分散することが可能です また ネットワークの構成変更も不要です ネットワーク型の場合 前後のスイッチやルータなど構成が複雑になりがちですが ホスト型の場合は対策が必要な部分にだけ導入ができるので 容易に導入することができます Web アプリケーション防御機能があること 最近の攻撃の多くは ファイアウォールで許可されているポート (HTTP や HTTPS) が用いられます これも攻撃者の工夫の一つですが 止めようがないサービス 業務で利用しているポートを用いて入ってくる攻撃を検出して食い止めるには ネットワークレベルだけでなくアプリケーションレベルでの防御機能が求められます 統合管理ができること 通常 多層防御を実現しようとすると 複数のセキュリティ製品を導入し 複数の管理マネージャを管理する必要が出てきます もちろん ログもバラバラとなり 相関的に分析するのが非常に難しいです Trend Micro Deep Security は Windows や Linux といった複数のプラットフォームに対応し かつ仮想基盤やクラウドサービス上でも動作します インフラの種別ごとに異なるセキュリティ製品 異なる管理コンソールを使い分ける必要がなく 一元的に運用管理が行えます インシデントレスポンスを支援するログ機能を備えていること 繰り返しになりますが 近年のサイバー攻撃の手口は日々変化しており これからもまた 新たなだましの手口や攻撃手法が登場してくることでしょう Trend Micro Deep Security は 多層防御によってこれらをできる限り食い止めつつ それでもすり抜けてきた攻撃を早期に検知するための変更監視やセキュリティログ監視機能を備えています 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 13

14 図 4:Trend Micro Deep Security における多層防御 企業のレピュテーションを考える上で 事故発生時にどれだけ説明責任を果たせるかは重要なポイントです 外部からの通報によって後手後手で調査を進めるのではなく 自ら異常に気づき 迅速に被害範囲や原因を特定し それに基づく再発防止策を講じるために大事なのが 記録 です こうした事柄を踏まえ 自社にとって最も重要な情報資産を保護するために 今すぐで きること 中期的に投資できることを確認し ぜひ取り組んでいただければと思います 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 14

15 TREND MICRO 本書に関する著作権は トレンドマイクロ株式会社へ独占的に帰属します トレンドマイクロ株式会社が書面により事前に承諾している場合を除き 形態および手段を問わず本書またはその一部を複製することは禁じられています 本書の作成にあたっては細心の注意を払っていますが 本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします 本書およびその記述内容は予告なしに変更される場合があります TRENDMICRO TREND MICRO Trend Micro Deep Security は トレンドマイクロ株式会社の登録商標です 東京都渋谷区代々木 新宿マインズタワー大代表 TEL: FAX: Trend Micro Incorporated. All Rights Reserved. 標的型攻撃時代におけるサーバセキィリティ検討ガイドページ 15