高度サイバー攻撃 (APT) 先進的で (Advanced) 執拗な (Persistent) 脅威 (Threat) 先進的(A) 標的組織を徹底的に調査し 目的達成のために最適化された必要最小限のツールを使用する 執拗な(P) 標的組織のネットワークに繰り返しアクセスを図り 長期にわたって居座り

Transcription

1 高度サイバー攻撃 (APT) 対応のための 演習プログラム 2016 年 10 月 7 日一般社団法人 JPCERT コーディネーションセンターエンタープライズサポートグループ佐藤祐輔

2 高度サイバー攻撃 (APT) 先進的で (Advanced) 執拗な (Persistent) 脅威 (Threat) 先進的(A) 標的組織を徹底的に調査し 目的達成のために最適化された必要最小限のツールを使用する 執拗な(P) 標的組織のネットワークに繰り返しアクセスを図り 長期にわたって居座り続ける 脅威(T) 長期的な活動をおこなうための潤沢なリソース 体制 能力を持つ国家の支援や大規模な犯罪組織の関与が疑われることもある 攻撃者は 明確な攻撃の目的とその能力を有しており その活動は組織化され 資金も十分で また経験も豊富に有した人たちが連携することで行われれます 各種ツールを提供する企業も存在します 2

3 攻撃活動の概要 踏み台にされた組織 C2 サーバ 1 ウェブサイトを改ざん 5 機密情報流出 3 遠隔操作 4 感染拡大 ファイルサーバ 攻撃者 2 標的型メール 職員の端末標的組織 3

4 事例 代表的な事案 2011 国内の重工業企業における標的型攻撃インシデント 2012 農水省 JAXA など 2013 韓国のテレビ局や金融機関に対する大規模サイバー攻撃 攻撃キャンペーン に関する多くの報告 2014 国内で多くの攻撃事案を確認標的型メール 水飲み場攻撃 (drive by download) アップデートハイジャック ドメイン名ハイジャック etc. PlugX, PoisonIvy, derusbi, Emdivi, daserf, etc 日本年金機構をはじめとする Emdivi 関連インシデントの多発 4

5 サイバー攻撃への対応 リスク評価と 対応ポリシー 技術的管理策 組織としての対応 体制と手順 訓練 人材育成 5

6 1. 攻撃に関する情報を受け付け 展開し 適切な初動対応を行うための体制 手順 始まりはいつも外部情報から 警察? IPA? JPCERT/CC? NISC? 同業他社? メディア? 匿名の通報者? Web 掲示板に張られていたら? 通報の真正性をどうやって確認する? 対応するために十分な情報があるか? ログやデータを保全する 攻撃の証跡 攻撃活動の追跡の手掛りとなる重要な情報 そもそも 攻撃活動を追跡するために必要なログを 十分な期間取得しているか? 緊急対応体制を敷く 既存の災害対応計画や BCP が応用できるか? 6

7 2. 事前のリスク評価を行っているか 抜線すればいいのか? 業務への影響 攻撃を検知していることを 攻撃者に気付かれる可能性 リスクに基づいて対応を決定する 止血が先か 追跡が先か システムや業務毎のリスクシナリオの検討と評価を事前におこなっておく リスク判断の責任を持つ経営層に関与させる 正確な情報が集まらない中で 短時間で判断せざるをえない状況も想定する 組織全体で意思統一された対応 顧客 所管省庁 株主 メディアなどのステークホルダーへの対応 7

8 3. 他の組織との連携 情報共有 信頼できる外部組織との連携 情報共有は有効である 他の組織が同様の攻撃に対し備えることができる 攻撃者についての追加情報が得られる可能性 誰と連携 情報共有するのか セキュリティベンダ 情報共有の枠組み IPA JPCERT/CC 何を共有するのか 共有してよい情報は何か 共有できない情報は何か 8 連携 共有のための手順 誰が窓口となるのか 共有する情報について誰が承認するのか

9 組織の対応能力の検証 リスク評価と 対応ポリシー 技術的管理策 組織としての対応 体制と手順 訓練 人材育成 演習プログラムによる検証 9

10 演習プログラム 組織の意思決定に関わる経営層や上級管理職を含む サイバーインシデン トに関わる全ての部門による演習 インシデント発生時の状況をもとに 組織としての対応をディスカッショ ンする 組織における現在の対応体制 ポリシーや手順 能力は APTによる攻撃に 直面した際に有効なものであるか リスクは何か 守るべきものは特定されているか 組織の危機管理に関連するポリシー 手順 体制は サイバー攻撃を想定してい るか サイバー攻撃への対応について 組織内のステークホルダーの間での共通理解が あるか 技術的 機能的な対応能力を備えているか 常に活用できるよう準備が整っているか 演習の実施によって 組織の現在の姿を確認する ギャップを特定し 対策につなげる 10

11 演習シナリオの例 シーンの概要 海外で押収された C2 サーバの通信ログに自社との定期的な通信の記録が残されていたことが 外部組織から通知された 調査の結果 暗号化された大量のファイルを不審な外部サーバに送信していた記録が見つかった さらに Active Directory サーバへの不審なアクセスと 見慣れない特権ユーザが作成されていたことが確認された 侵害があったことをメディアにリークされ取材と問い合わせが殺到している 今回の攻撃が複数の企業を標的としたキャンペーンの一環であること また過去の標的型メール攻撃を端緒としていたことが判明した 主な論点 漏えいしたデータ 被害範囲の特定 外部組織との連絡 社内への情報展開の手順 対応体制や対策本部の立ち上げ手順 APT がネットワーク内に潜伏している前提でどう行動するか 守るべきデータや資産は何か 攻撃者の活動の痕跡の発見と対応 情報流出による事業への影響 顧客 メディア 法執行機関 所管省庁等への対応 マルウェア 不審なプログラムへの対処 ネットワーク全体が侵害される危機的状況の中での事業継続 機密情報を守るための防御策 外部組織との連携の在り方 標的型メールへの対策 その他の侵入手口への対策 IT 利用ポリシー ネットワーク運用ポリシーへの影響 外部組織やコミュニティとの情報共有 教育 訓練

12 演習の効果 社内のステークホルダー間での理解 認識のギャップの解消 外部との連絡窓口は誰か? 部署間の連絡手順は? サイバーインシデントに適用される規定や手順は何か 情シス セキュリティチームに出来ること 出来ないこと サイバーインシデント対応の特殊性への共通理解 感染システムやサービスを停止しながら事業継続する 攻撃者がネットワーク内に潜伏する状況下での対応 サイバーインシデントによるビジネスへの影響の確認 守るべき情報資産は何か 顧客 メディア 法執行機関 所管省庁等への対応 防御能力の強化策の確認 技術的な対策強化 ポリシー 手順 体制面での改善点 教育と訓練

13 演習によって得られるもの 対応できない 手順は整備されていない 人材とスキル 時間が足りないという現状認識を全員で持つことができる 組織や各部門の対応能力の限界 あるべき姿とのギャップが明らかになる やるべきことリスト その他 13

14 テクニカルハンズオン CSIRT システム部門のレイヤーにおけるAPTインシデント対応の 意思決定に関する演習 サイバーレンジ 実際のインシデントを模したシナリオ Control Cell JPCERT/CC Trusted Agent Controller Observers 演習環境 Red Team 攻撃 シナリ オ 参加チーム 14

15 気づきと教育的効果 対応能力 手順の検証 現在の対応手順書で対応できるかどうか 指揮命令や情報共有が適切かどうか セキュリティチームのメンバー間での認識や理解のギャップの解消 個々人の業務範囲を超え 全体を俯瞰し理解したうえで対応する 各メンバーの経験値の底上げ 現在のセキュリティ対策とのギャップの認識 ログ管理 外部との情報共有

16 高度サイバー攻撃 (APT) への備えと対応ガイド Lockheed Martin Mandiant 他の先進的な対応能力を持つ組織の経験をもとに 米国 DeltaRisk 社が纏めたレポート国内有識者による検討委員会を設け 日本の企業 組織向けにローカライズ 2016 年 3 月に一般公開 APT に対する準備と対応を体系的に纏めたもの 企業や組織が考慮 検討すべき項目を網羅 高度サイバー攻撃 (APT) についての全体像 攻撃に対応するために 企業や組織がどのように備え 行動するのか キーワードは 脅威を理解する リスク評価とリスク許容度の決定 組織としての対応方針 手順 体制 準備 情報共有と連携 [ 対応ガイド ] 16

17 高度サイバー攻撃 (APT) への備えと対応ガイド 事前準備のために利用するチェックリスト 平時において インシデント対応の準備を行う際に考 大項目カテゴリ1 守るべき資産の特定 中項 目 小項目 ~ A. リスク許容度の評価と管理策の実装 1 組織のプロファイリング 2 リスク判断によるビジネスインパクトの整理 3 とくに自動化すべき資産管理策 3.1 ハードウェア管理 3.2 ソフトウェア管理 本文関連箇所 2.3 リスク許容度の評価と管理策の実装 慮するべき活動を列挙したチェックリスト カテゴリ2 迫りくる脅威の理解 B. 脅威の理解 3.3 アイデンティティ管理 1 業界のセキュリティ動向の検討 2 外部脅威攻撃者に係わる情報の収集と交換 2.1 攻撃者に係わる情報収集能力の構築 2.2 攻撃者に係わる情報を共有する際の留 意点 3 内部脅威脆弱性スキャンとペネトレーション テスト 3.1 脆弱性スキャンの実施 2.5 脅威の理解 3.2 ペネトレーションテストの実施 C. 予防的なログの保持 1 ログの取得と保守ポリシー 2.7 予防的ログの保持 D. ポリシーやガイドラインの整備 1 セキュアな構成 1.1 サーバおよび端末のハードウェア ソ カテゴリ3 具体的 フトウェアのセキュアな構成 1.2 ネットワーク機器のセキュアな構成 1.3 特権 ID アクセス権のセキュアな構成 2 モニタリング 2.1 無線 LAN のモニタリング 2.8 ポリシーやガイドラインの整備 防御策 2.2 アカウントのモニタリング の検討 2.3 外部データ送信のモニタリング E. インシデント対応機能の整備と人材育成 2.9 インシデント対応機能の整備と 1 インシデント対応機能の整備 F. トレーニングおよび演習の実施 1 トレーニングの実施 2 演習の実施 3 演習後の対応に関する留意点 G. インシデント対応計画の検証 1 インシデント対応計画の検証 人材育成 2.11 トレーニングおよび演習の実施 2.12 インシデント対応計画の検証 17

18 C. 予防的なログの保持 高度サイバー攻撃 (APT) への備えと対応ガイド 事前準備のために利用するチェックリスト 平時において インシデント対応の準備を行う際に考慮するべき活動を列挙したチェックリスト ( 一部抜粋 ) C. 予防的なログの保持 チェックリスト内容補足解説 Check 1 ログの取得と保守ポリシー 1.1 すべてのサーバとネットワーク機器には NTP が 2 つ以上組み込まれてい るか 1.2 重要な資産に関するログを維持しているか 1.3 各ハードウェア装置と そこにインストールされているソフトウェアの監査 ログには 必要な要素が含まれている か NTP - Network Time Protocol : 定期的に 時刻情報を取得する同期化された時刻ソース ログ内のタイムスタンプが整合し UTC( 協 定世界時 ) に設定されるようにする必要があ る DNS プロキシ ファイアウォールなどが対 象となる 必要な要素とは 最低限以下のものを示す 日付 タイムスタンプ ソースアドレス 宛先アドレス 各パケットやトランザクションのさまざま なその他の有用な要素 システムでは syslog エントリなどの標準 化された形式や Common Event Expression イニシアチブによって概略され ている形式でログを記録する必要がある シ ステムが標準化された形式でログを生成でき ない場合は ログを標準化された形式に変換 するためにログ正規化ツールを適用が可能で ある 1.4 ログを格納するすべてのシステムには 生成されるログに適したストレー ストレージを定期的に確認し ログ循環間隔の間にログファイルがあふれないようにする ジスペースが用意されているか 必要がある ログは 定期的にアーカイブしてデジタル署 名することが望ましい 1.5 ログの保守ポリシーは策定されているか 数カ月にわたり組織が侵害されているにも関わらず その侵害が検出されないことがあ る こうした事態を正確に判断するために は ログを長期間にわたって保持する必要が ある 1.6 特に重要なログは 一元管理下におかれているか 1.7 ログの一元管理システムは 他のネットワークから保護されているか ログを格納するデータベースや SIEM などのツールがアクセスするデータをすべて含 む ログファイルを参照するタスクに係る作業者は特定されているか および作 業時間がどの程度であるか把握されて 対象者の一覧や 一般的なタスクに要する時間はインシデント対応チームにとって重要な情報となる

19 高度サイバー攻撃 (APT) への備えと対応ガイド インシデント対応フロー APT インシデント発生時の標準的な対応手順をフローチャート形式にまとめたも の このフローを利用することで APT への初 動対応手順を網羅できる インディケータ通知受領 1. インディケータの通知検証 正式な通知 である EXIT インシデント対応フローインディケータの通知検証ログ保全 APT 攻撃の検証インシデント対応支援のアウトソーシングインシデント対応 2. ログの保全 3.APT 攻撃の検証 APT 攻撃と判定される 通常の インシデント対応へ 4.APT インシデント対応 EXIT 19

20 高度サイバー攻撃 (APT) への備えと対応ガイド インシデント対応フロー 1. インディケータの通知検証 インディケータの 提供元確認 社内からの 通知である ユーザ / システムからの通知である システム TEL/ メールでの 通知である メール ユーザ TEL 1-1. 社内ユーザからの通知受領 1-2. 社内システムからの通知受領 1-3. 社外から電話での通知受領 1-4. 社外からメールでの通知受領 官公庁 / マスコミ / その他 からの通知である その他 1-5. 官公庁への 対応 官公庁 1-6. マスコミへの 対応 マスコミ EXIT 20

21 高度サイバー攻撃 (APT) への備えと対応ガイド インシデント対応フロー 1-1. 社内ユーザからの通知受領 1-2. 社内システムからの通知受領 1-3. 社外から電話での通知受領 氏名 所属部署 架電時刻 通知内容を確認通知を受理 TEL 通知を受理 EXIT 氏名 職業 架電時刻 基本的なメッセージの終了後 通知元が電話を切ったか ( 標準手順の確 認 ) TEL TEL EXIT 見知らぬ組織からの通知受領 通知元組織に対して 予め整備している連絡先リ ストを使って再度連絡 TEL 正式な通知を確認する際 各社で予め整備している連絡先リストをもとに通知元を検証するのは有効な手段であるが これまでコンタクトを取ったことがない組織からコンタクトがあった場合や 直接海外からの情報を受け取った場合などは 信頼できる情報提供であるにも関わらず通知を棄却してしまい 貴重な情報源を失ったり 自組織への風評被害を招く可能性も考えられる 特定の組織から初めてコンタクトを受け取った場合には JPCERT/CC やその他の信頼できる組織に問い合わせることも一つの手である また 初めてのコンタクトを行う場合も 相手企業に無視されることを考慮し JPCERT/CC やその他の信頼できる第三者を経由して情報伝達を行うことが有用な場合もある 正式な通知 通知を受理 EXIT 連絡リストから発信元への なりすましの調査依頼 引き続きなりすまし調査の結果を確認 Mail 21

22 高度サイバー攻撃 APT への備えと対応ガイド 付録文書 ログ保管に関する分析レポート ログ保管期間に関する推奨値 強力なAPT対応能力を備える企業の事例 先進的なAPT対応のプラ クティスを持つ企業への オンライン保管 インタビュー結果 オンライン保管 インシデントレスポンスプロバイダによる推奨値 オフライン保管 インシデントレスポンス プロバイダの知見に基づ オフライン保管 く 理想的 保管期間 Aggregate Storage Findings DNSログ オンライン保管 オンライン保管 1-2 years 6-12 months プロキシログ 1Y 3-6 months IPログ 6-12 months 6-12 months 3M Netflow サーバログ N/A offline 6 months - indefinite 2-12 months 3-9 months ホストログ 6 months - indefinite 6 months 2 years 1Y 3-9 months 1+ year 1-2 years 1+ year 1-12 months 6M 1 year - indefinite 6 months 2 years Months オフライン保管 オフライン保管 2Y+ 2Y+

23 お問合せ インシデント対応のご依頼は JPCERTコーディネーションセンター Tel: インシデント報告 制御システムインシデントの報告 23

24 ご静聴ありがとうございました 24