Microsoft PowerPoint ラック　村上様.ppt

Size: px

Start display at page:

Download "Microsoft PowerPoint ラック　村上様.ppt"

るるみかたいわ
5 years ago
Views:

1 資料 2-5 セキュリティ脅威の現状と対策の課題 ~2006 年 CSL JSOC レポートから ~ 2007 年 1 月 26 日 ( 株 ) ラック

2 目次セキュリティの脅威の現状今後とりうる対策と課題 1

3 セキュリティの脅威の現状 2

4 ネットワークセキュリティ上の脅威 (1) 悪人脅威が様々な形で存在する不正アクセス情報漏えい踏み台盗聴 SPAM( 迷惑メール ) P2P( ファイル共有ソフトウェア ) 3

5 ネットワークセキュリティ上の脅威 (2) ウイルスやボットはネットワークの割!? 過剰通信ウイルス / ワームボットスパイウェア Denial of Service(DoS) 詐欺デマ恐喝悪人ネットワークには必要のない通信が多く流れています 4

6 CSL レポート (1) ADSL( フレッツ ) 神奈川県川崎市で観測観測時間 24 時間観測方法パケットモニタリング Tcpdump での単純なキャプチャ通信の概要約 70% はワーム Bot による通信 5

37.5% 捕獲したマルウェアの定義 Nepenthes の Shellcode Signature に適合したバイナリを捕獲 Bot

7 CSL レポート (1) 検出可能なマルウェアは 37.5% (6 月 ) 捕獲したマルウェア ( 殆ど Bot) をウイルス対策ソフトウェアでスキャンを実施した結果検出可能なマルウェアは全体の 37.5% 捕獲したマルウェアの定義 Nepenthes の Shellcode Signature に適合したバイナリを捕獲 Bot がダウンロードするバックドアは殆ど未検出実際には Virustotal.com も利用してます Nepenthes : 6

8 CSL レポート (3) 攻撃傾向の変化攻撃の内容攻撃の特徴攻撃対象 ~2005 年ウェブ改ざん大規模に感染するワーム目立ちやすいベンダが公開しているアプリケーション脆弱性情報が広く公開される多くの企業が対応に慣れてきた 2006 年 SQL インジェクション攻撃者の命令で動くボットお金を目的としている目立ちにくい企業が独自に作成したアプリケーションサーバの設定ミス設定不備脆弱性発見には診断を行う必要がある対応対策が漏れやすい JSOC レポートからの統計 c_report.pdf 7

JSOC(Japan Japan Security Operation Center) レポート (1) 2006 年上半期に JSOC で検出した Critical 以上の重要イベントの割合重要イベントの半数以上は内部ネットワークで発生内部ネットワークにおいてボットやワームの感染通信を多く検出したなお次々とワームやボットの亜種が発生するため今後もこの傾向は続くと想定分類

9 JSOC(Japan Japan Security Operation Center) レポート (1) 2006 年上半期に JSOC で検出した Critical 以上の重要イベントの割合重要イベントの半数以上は内部ネットワークで発生内部ネットワークにおいてボットやワームの感染通信を多く検出したなお次々とワームやボットの亜種が発生するため今後もこの傾向は続くと想定分類 Emergency Critical Warning Informational 説明攻撃が成功し侵入されたことを示します侵入の根拠となるセッションデータもしくはパケットデータなどの侵入を証明する情報を元に判断しています攻撃が成功した可能性が著しく高い状況を示します Emergency との違いは決定的となる証拠が欠けているもしくは攻撃は成功しているが侵入には至っていないなどがあります攻撃失敗および予備調査に成功しサーバの設定情報など後に攻撃を行う要素として考えられる情報が漏洩した場合などがあります攻撃であるかは不明ですが悪意のあるコードは含まれていない通信アプリケーションによる通信や日常通信である可能性が高く情報通知レベルのものを示します JSOC レポートからの統計 c_report.pdf 8

10 JSOC レポート (2)SQL インジェクション攻撃 2006 年 1 月 1 日 ~2006 年 6 月 30 日攻撃元ホスト ( 発信元 IP) の分析をすると... JSOC レポートからの統計 c_report.pdf 9

JSOC レポート (3)Web サーバへの攻撃傾向 JSOC レポートからの統計 http://www.lac.co.

11 JSOC レポート (3)Web サーバへの攻撃傾向 JSOC レポートからの統計 c_report.pdf まだまだ対策が不十分のサイトがたくさんある 10

12 JSOC レポート (4)FTP サーバーへの攻撃傾向原因として考えられるものはボットや著作権侵害の可能性のある不正なファイル交換サーバフィッシングサイトを構築するための脆弱なサーバ FTP サービスで判別した脆弱なユーザを悪用し SSH や Telnet サービスへ侵入 JSOC レポートからの統計 c_report.pdf 11

13 弊社の検査結果統計 (1)Web サイトの脆弱性 ) 2006 年 1 月 ~6 月で弊社脆弱性診断サービスの 75 サイトからのサンプリング統計結果問題なし 4% 問題あり 96% のサイトが Web アプリケーションに問題を抱えている 96% 12

弊社の検査結果統計 (2) 脆弱性診断の結果クロスサイトスクリプテイングの脆弱性が存在するアプリケーションのうち約 70% がSQLインジェクションの脆弱性を併せ持っていた XSS の脆弱性を持つサイトの約 7 割が SQL インジェクションの問題を抱えているクロスサイトスクリプティング認証, セッション管理その他の好ましくない仕様

14 弊社の検査結果統計 (2) 脆弱性診断の結果クロスサイトスクリプテイングの脆弱性が存在するアプリケーションのうち約 70% がSQLインジェクションの脆弱性を併せ持っていた XSS の脆弱性を持つサイトの約 7 割が SQL インジェクションの問題を抱えているクロスサイトスクリプティング認証, セッション管理その他の好ましくない仕様 SQLインジェクション SSL 関連詳細なエラーメッセージローカルパス, ローカルアドレス漏えい改行コードインジェクションソースコードファイル閲覧権限昇格, なりすましその他のインジェクションデータファイル閲覧ディレクトリリスティング 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 自社開発アウトソース 13

15 弊社の検査結果統計 ( 業種別 ) 情報通信 (28) 製造 (14) サービス業 (12) 金融 (11) クロスサイトスクリプティング SQL インジェクション官公庁公共機関 (6) 流通 (5) その他 (3) 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 14

16 不正アクセスのインフラ ( ボットネット ) ハニーポットによる検体収集によるボットネットの状況 JPCERT/CC のレポートから既知未知合計数割合数割合検体数 35, % 3, % 39,591 種類 1, % 3, % 4,

17 ボットネット対策昨年 12 月にサイバークリーンセンターが発足経済産業省総務省の連携プロジェクト (IPA,JPCERT/CC,T-ISAC Japanによる相互連携ボットネットに関する情報公開ボット駆除ソフトの無償提供 16

18 問題の背景にはなにが問題なのか? システムの欠陥 (OS アプリケーション) セキュリテ対策を実施する組織体制や制度の疲弊監視体制の不備従業員のセキュリティ意識の欠如管理者側の認識不足 etc 金銭目的化しつつある 17

19 今後とりうる対策と課題 18

ウイルス対策ウイルス対策コンテンツフィルタコンテンツフィルタリングリング WAF WAF セキュアプログラミセキュアプログラミングング入退室管理入退室管理監視カメラ

20 19 多層防御とセキュリティの運用多層防御とセキュリティの運用データデータネットワークネットワーク端末アプリケーショ端末アプリケーション物理セキュリティ物理セキュリティ人的セキュリティ人的セキュリティ暗号化暗号化 FW FW VPN VPN IDS IDS 検疫ネット検疫ネットワークワークウイルス対策ウイルス対策コンテンツフィルタコンテンツフィルタリングリング WAF WAF セキュアプログラミセキュアプログラミングング入退室管理入退室管理監視カメラ監視カメラセキュリティセキュリティポリシーポリシー個人情報保個人情報保護方針護方針サーバサーバハードニハードニングングパッチパッチ認証認証多層防御 (Defense in Depth) 端末側とネットワーク側で相互連携した防御が必要になってくる

21 可用性の維持 (IT( 障害含む ) 次世代 IP 端末を利用する場合サービス環境をいかに崩さず安全に運用するか? 従攻撃を止めなければサービスも止まる攻撃を止めてもサービスは止まる攻撃を受けてもサービスを止めない端末や & ネットワークの検討来の妥協点20

22 現在の技術の限界点侵入検知システムや防御システムを検討する場合不正アクセスや Dos/DDos ウィルスワーム等の検知の検知条件として定義可能な通信や現象など暗号化されていないもの実現可能な技術であること単一システムでの防御だけでの対処は難しいのが現状 21

23 対策としては ( 例 ) 道路がつまったら迂回路を作るイメージ? セキュリティ環境を整えることは環境維持に似ている利便性と安全性のバランスをとりつつ安全サイドに利用者をナビゲートするシステムと仕組みの検討脆弱箇所のハンドリングを踏まえた堅牢なシステムの検討利用者保護につながる 22

24 最低限の見える化を計ることも必要 1. 何が起こっているのか判る仕組み例えば端末が利用者に危険性や攻撃有無などを知らせる 2. セキュリティ対策機器端末ネットワークなどの異なるレイヤが相互に連携できる仕組み例えば端末がセキュリティ機能を柔軟に且つ自動的に強化したり機能を追加したりできる 3. セキュリティ機能を選択できる端末やセキュリティサービス選択ができる端末の仕組み等の検討 4. 利用者やサービス提供者納得できる課金方式の検討安全安心な次世代 IP 端末 23

25 ご清聴有り難うございました 24

JSOCマネージド・セキュリティ・サービス（MSS）インシデントご報告・セキュリティ動向

JSOCマネージド・セキュリティ・サービス（MSS）インシデントご報告・セキュリティ動向 JSOC マネージドセキュリティサービス (MSS) 2016 年 1 月 1 Copyright LAC Co., Ltd. 2012 All Rights Reserved. XXXX JSOC (Japan Security Operation Center) 2 JSOC Japan Security Operation Center 24 時間 365 日のリアルタイムセキュリティ監視

Microsoft PowerPoint ラック 村上様.ppt

Microsoft PowerPoint ラック　村上様.ppt