IoT 時代と 高度サイバー攻撃 2015 年 12 月 2 日 JPCERT コーディネーションセンター 洞田慎一
目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1
はじめに 2
JPCERT/CC をご存知ですか? JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応などを通じ セキュリティ向上を推進インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 我が国の窓口となるCSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となるCSIRTが存在する ( 米国のUS-CERT CERT/CC 中国のCNCERT 韓国のKrCERT/CCなど) 経済産業省からの委託事業として サイバー攻撃等国際連携対応調整事業を実施 3
JPCERT/CC をご存知ですか? JPCERT/CC の活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し 対応依頼 関係機関と連携し 国際的に情報公開日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適切な流通 情報収集 分析 発信定点観測 (TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集 分析 必要とする組織への提供 インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確認 拡散抑止 再発防止に向けた関係各関の情報交換及び情報共有 早期警戒情報 CSIRT 構築支援制御システムセキュリティアーティファクト分析国内外関係者との連携国際連携 重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信海外のNational-CSIRTや企業内のセキュリティ対応組織の構築 運用支援制御システムに関するインシデントハンドリング 情報収集 分析発信マルウエア ( 不正プログラム ) 等の攻撃手法の分析 解析日本シーサート協議会 フィッシング対策協議会の事務局運営等各種業務を円滑に行うための海外関係機関との連携 4
JPCERT/CC に報告されるインシデント インシデントの概要 標的型攻撃 1% マルウエア 4% DoS 1% フィッシング 13% Web サイト改ざん 16% 制御システム 0% その他 9% JPCERT/CC 対応インシデントの内訳 (2015 年 4-9 月 ) JPCERT/CC インシデント報告対応レポートより https://www.jpcert.or.jp/ir/report.html スキャン 56% 様々なインシデントが報告されています高度サイバー攻撃 ( 標的型攻撃 ) など 複雑なインシデントも継続して観測しています 5
インシデントに対策していくには? 攻撃 : コストとベネフィット 攻撃にもコストが必要 ( 攻撃インフラ ツール等 ) 環境を改善しない限り攻撃は終わりません costs benefits costs benefits 攻撃にかかるコストを上げて行くには 組織だけの対策だけではなく 情報の公開や 共有も重要 JPCERT/CC からの情報発信 注意喚起や早期警戒情報 脅威に関する情報を分析し情報共有することで 攻撃を防ぐように努めています 攻撃手法 特徴 攻撃を検知! 攻撃情報の共有 6
組織ではどう対応したらよいのか? インシデントが発生する主な背景 利用者の注意や確認の不足 脆弱性に対する攻撃者と利用者の知識の差 多くは 修正済みの脆弱性が悪用されています 攻撃者も被害者も 人 マルウエアは道具 脆弱性は知識 運用を改善することや 体制を見直すことは有効策 攻撃を受けにくくするには 基本的な対応は必須 ( ウイルス対策ソフト等による対策 ) ソフトウエア ハードウエアの管理 更新 運用を改善 情報収集 共有 7
脆弱性情報やアップデート情報の提供 JPCERT/CC では 脆弱性の情報や アップデートに関する情報を提供しています 注意喚起 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) 注意喚起 組織で利用されている主要なソフトウエアについての更新情報等を注意喚起として配信しています Microsoft Windows Adobe Acrobat / Reader / Flash Player Oracle Java ISC BIND など その他の公開情報 Weekly Report 分析レポート 詳しくは https://www.jpcert.or.jp/ まで 8
脆弱性情報や対策情報の提供 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) https://jvn.jp/ 情報を定期的に確認し アップデートなど必要な対策をとることが重要です 9
脆弱性ハンドリング ハンドリングの全体像 海外の情報源 海外の情報源 CERT/CC CPNI CERT-FI 等 通知 ネット上の情報 通知 収集 通知 海外発見者 通知 JPCERT/CC 国外メーカ 脆弱性の検証対策の作成 脆弱性情報の開示 公表日程の調整 メーカ 1 メーカ 2 メーカ 3 エンドユーザ 企業ユーザ SIer 脆弱性の発見者 脆弱性情報の報告 受付分析 IPA 通知 該当するメーカを抽出し情報配信 MITRE 対策情報のとりまとめ 対策情報の提供 メーカ 4 メーカ 5 JVN ( 脆弱性情報ポータル ) 日程を合わせて公表 ISP 小売 マスコミ CVE# 採番 CERT/CC : CERT Coodination Center http://www.cert.org/ CPNI : Centre for the Protection of National Infrastructure http://www.cpni.gov.uk/ CERT-FI : http://www.cert.fi/ MITRE : http://cve.mitre.org/ 10
情報の収集 分析 発信 脆弱性への対応 対策済みの脆弱性として公開 ( 通常のケース ) 脆弱性 報告者 調整機関 開発者 修正プログラム 対応未然の脆弱性として公開されてしまうケース報告者攻撃者公開や脆弱性売買 Exploit / マルウエア 利用者 利用者 いつ どこに情報が公開されるか解らない 情報の収集 分析 発信が極めて重要 必要としている人に 必要な情報を届ける 注意喚起 早期警戒情報 例 :Adobe Flash Player の未修正の脆弱性に関する注意喚起 (7/13) 11
情報収集 分析 発信例 Hacking Team のデータ流出と悪用 Day 7/5 Sun データ流出発生 7/6 Mon 事象 7/7 Tue Adobe Flash Player の exploit が発見され公開される 7/8 Wed マルウエアによる被害 7/9 Thu Adobe Flash Player のアップデートを公開 注意喚起 7/10 Fri 7/11 Sat 新しい exploit が発見され公開される 7/12 Sun 7/13 Mon マルウエアによる被害 注意喚起 7/14 Tue 7/15 Wed Adobe Flash Player のアップデートを公開 12
脆弱性を放置しない運用を心掛けましょう 脆弱性をそのままにしておくと マルウエアの感染等のインシデントに繋がりますサイバー攻撃の被害に遭うリスクが高まります これくらいは 大丈夫だろう から 被害に遭うかもしれない という運用へ ハードウエアやソフトウエアの管理 管理方法及び体制の整備 セキュリティに関する教育 特に様々な開発者 利用者が想定される IoT においてセキュリティに対する Human Factor の影響は極めて大きいと考えられます 13
IOT セキュリティへの熱い視線 14
IoT セキュリティへの熱い視線 BlackHat / DEF CON / USENIX 等におけるセキュリティ研究者の熱い視線 Internet of Things (IoT) 制御システムに関する話題 スマートフォン (Android, ios) に関する話題 PC やネットワークを超え 社会インフラに影響を与える攻撃を示唆 自動車 衛星位置情報 携帯 照準器 産業用制御システムなど 脆弱性への対応姿勢に対する警鐘 セキュリティを考慮した設計の検討 脆弱性に対処するまでの時間 IoT などの非 PC 環境のフロンティアにセキュリティの関心 15
ネットワークの接続ポイントが主な攻撃対象 ネットワークは便利であると同時に攻撃者も接続 端末が持つ脆弱性の悪用 中間者攻撃によるサービスの悪用 テレマティクス端末 例 :Uconnect 例 :OnStar ネットワーク 攻撃者 クラウドサービス 遠隔の第三者からの攻撃に脆弱問題 : 利用者 デバイス以外の第三者の存在が想定されていない 16
産業用スイッチの対応事例 産業用スイッチベンダーに見る対応の違い C. Cassidy et.al, Switches Get Stitches, BlackHat USA 2015 / DEFCON 23. 指摘された脆弱性は Web インタフェースにおける XSS や 秘密鍵 ( パスワード ) ハードコードなどの問題 OpenGeer 1 週間足らずで修正 Seimens 3 ヶ月 General Electronic 8 ヶ月 Seimens SCALANCE X200 早さだけが問題ではありません 設計の段階から セキュリティへの考慮が十分でない? 高度サイバー攻撃で もし利用されたら? ソフトウエアの品質と 改修スピードが問われています 17
TSUBAME がとらえた制御システムへの攻撃 産業制御システムで使用される PLC の脆弱性を標的としたアクセス インターネット定点観測システム (TSUBAME) インターネット上の攻撃動向を観測するためのシステム https://www.jpcert.or.jp/tsubame/ 機器 産業機器がネットワークに繋がりつつあります 産業制御システムがダメージを受けた場合 影響は大 インターネット 産業用制システム プラント 18
SHODAN の ICS 探索能力が向上 SHODAN はインターネットに接続されたノード (IP アドレスを持つ機器 ) を検索するサービス 様々なプロトコルのリクエストを送信し レスポンスについて IP アドレスをキーとして DB 化している 検索結果の地図上表示を追加 制御システム関連プロトコルの処理コードや製品固有のシグニチャ等の提供を受けて 制御システム関連の探索能力が向上 Modbus DNP3 Ethernet/IPなど大手ベンダのSCADAやPLCが利用するプロトコル https://www.shodan.io/ 19
IOT とサイバー攻撃 20
制御システムにおけるインシデント 特定の産業を狙ったサイバー攻撃は 世界的にも複数観測されています ICS-CERT インシデント統計 S. H. Houmb, Protecting industrial control systems, Control Engineering (2015). 2010 年 2011 年 2012 年 2013 年 2014 年 米 ICS-CERT インシデント統計 ( 米会計年度 ) 39 140 197 245 257 0 50 100 150 200 250 300 インシデント報告件数 2014 年 産業別内訳 ( カレンダー年 ) 79 65 14 12 6 5 15 13 36 ICS-CERT Year in Review 2014 のデータを元に JPCERT/CC にて作成 https://ics-cert.uscert.gov/sites/default/files/annual_reports/year_in_review_fy2014_final.p df 0 50 100 150 200 250 Energy Critical Manufacturing 21
制御システム環境でのスパイ活動 米国では 2012 年頃からエネルギー関連企業に対するサイバー攻撃が増加 情報窃取型の攻撃 業務妨害型の攻撃が混在 石油やガスパイプライン用の制御システムにアクセスされた事例もある 現状では偵察目的で 甚大な被害を引き起こす攻撃の準備段階であると推測されている 米国の電力供給事業者では ほぼ毎日攻撃を受けている事業者が十数社に上る状況 長期に渡って攻撃を仕掛けていることが特徴 22
二つのマルウエア : Havex と BlackEnergy Havex 概要 Dragonfly (Energetic Bear) が 欧米のエネルギー関連企業を対象に攻撃第二の Stuxnet とも 目的 将来に向けたスパイ活動 妨害 破壊活動と推測される 特徴 メールや水飲み場型攻撃 Web サイト上の制御機器向けソフトウエアの置き換えなど様々な方法を利用する マルウエア Havex RAT 制御機器 (ICS / SCADA) の情報を調査する機能を有する遠隔操作型のマルウエア BlackEnergy 概要 Sandwormが 制御システムを利用する組織を狙って攻撃 目的 将来に向けたスパイ活動 妨害 破壊活動と推測 特徴 SCADAソフトウエアの脆弱性を突いて侵入を試みる ICS-CERTによると複数の企業のHMIで感染が確認されている ICS-CERT Alert (ICS- ALERT-14-281-01B) マルウエア BlackEnergy の亜種マルウエアがモジュール化されている 23
Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm ともに高度サイバー攻撃 ( 標的型攻撃 ) を行う攻撃グループとされています 先進的 (A) 攻撃者は目的達成のために必要な最小限のツールしか使用しません そのため 一連のイベント自体が 先進的 と見なされます 執拗な (P) 攻撃者はネットワーク上に長期にわたって居座り続けます 例えば 繰り返しアクセスを図り 複数年にわたってアクセスを維持することもあります 脅威 (T) 長期的な活動を実施するためには技術だけではなくリソースが必要です そのため 国家等が活動を支援していることが疑われる場合があります 高度サイバー攻撃の流れ - サイバーキルチェインモデル - 準備潜入横断的侵害活動 観察マルウエア感染社内侵入被害発生 目的は必ずしも情報窃取だけとは限りません 24
Android 端末を使った高度サイバー攻撃 チベット ウイグルの活動家に対する攻撃 (2013 年 3 月 ) 標的型メールにより感染 情報を窃取 Contacts (SIM と電話両方 ) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version) K. Baumgartner, C. Raiu, D. Maslennikov (Kaspersky), Android Trojan Found in Targeted Attack https://securelist.com/blog/incidents/35552/android-trojanfound-in-targeted-attack-58/ 高度サイバー攻撃は 既に非 PC 領域に進出 25
おわりに 26
IoT は既にサイバー攻撃の前線に 組織のネットワークに接続する機器は PC / 非 PC によらずサイバー攻撃の対象となっている現実 IoT はフロンティアであると同時に セキュリティについても考慮をすることが既に求められています IoT に対する高度サイバー攻撃は まだ進展する可能性があります 準備潜入横断的侵害活動 自動車や制御システムの脆弱性 (BlackHat 等での発表 ) Havex / BE2 などの武器化マルウエア 展開 まだ観測されていない活動サイバー破壊? 27
すでにいろいろなモノが接続しています もはや 繋がっていない機器はない? IP アドレスが付与された機器や 専用の制御網 あるいは USB などの人が介在する機器 Cyber3 Conference Okinawa 2015 における E. Kaspersky の発言 IoT は Internet of Things を超え Internet of Threats へ 世界最大級の IoT として CERN 加速器 に言及 IoT セキュリティの問題 CERN, http://home.cern/ モノのスケールが大きくなると Cyber-Physical Threat へと発展 28
管理者 開発者のセキュリティ対策 IoT の脅威を現実のものとしないためには 1 NW 管理者による対策 2 開発者による対策 侵入をうけて当たり前というところから見つめる 1 攻撃が来るはずがない 被害を受けても被害者であり 攻撃者が悪い 2 攻撃は来て当たり前 組織 顧客の情報を守るためには適切な対策が必要 報告を受けてから考えるのではなく 事前からセキュリティ対策を施すことは NW 管理者も開発者も同じく重要 開発に脆弱性はつきもの 完璧などあり得ない実装の段階から セキュリティを考えてみませんか? https://www.jpcert.or.jp/securecoding/ 29
開発とセキュリティ 利便性と安全性 バランスはとれていますか? 利便性 安全性 手元で情報を入手できる いつでも好きな番組や音楽が視聴できる ICT により 時間 と 距離 が縮まる 遠隔地にいても 看護ができる 個人情報の管理 不正なコンテンツの混入 遠隔の第三者からの攻撃 昼夜関係なく 世界中から攻撃に狙われる 子供からお年寄りまで 何らかのインターネットに繋がるデバイスを所持 使用して生活 怖いから使わないでおくことは不可能 誰もがサイバー攻撃に巻き込まれる可能性 使用者だけでなく 開発者やサービス提供者の役割は大きい 脆弱性への対処 安全対策 セキュアコーディング... 30
( 参考 ) 自己評価ツールの提供 制御システムセキュリティに関する各種調査 ツールの提供 制御システムやその管理体制等 制御システムのセキュリティへの対策状況を 可視化 し セキュリティへ取組むきっかけとして活用いただくことを目的としたセキュリティ自己評価ツールを工業会と連携して作成 提供日本版 SSAT(SCADA Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html 約 100 問の短い設問で施策の達成状況や問題点を診断 技術的施策から管理施策までの幅広くカテゴリをカバー J-CLICS https://www.jpcert.or.jp/ics/jclics.html SSATをもとにした 制御システム向けセキュリティ自己評価ツール チェックリストと補足ガイド 制御システム部門全体で取組むSTEP1と各担当者で取組むSTEP2 SICE/JEITA/JEMIMAと一部のアセットオーナに協力いただき作成 31
最後に 攻撃はセキュリティの甘いところが狙われています 対応未然のセキュリティや パッチ適用が遅れがちなシステムは 攻撃者には魅力 BlackHat, DEFCON 等 セキュリティ研究者が注目している IoT セキュリティの 先 を見つめてみる 新しいソリューションやサービスの開始と並行してセキュリティへの配慮が必要です 開発者と利用者の他 攻撃者の存在を意識 セキュアコーディングや システム監査の活用 JPCERT/CC の活用 脆弱性ハンドリング 早期警戒情報 インシデント対応 アーティファクト分析 制御システムセキュリティ インシデントが起きる前からぜひご活用を! 32
お問い合わせ インシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 Web: https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp Web: https://www.jpcert.or.jp/form/ ご清聴ありがとうございました 33