資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト hiroshi.kawaguchi @ lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム
自己紹介 川口洋 ( かわぐちひろし ),CISSP 株式会社ラックチーフエバンジェリスト兼担当部長 ISOG-J 技術 WG リーダ http://www.lac.co.jp/academy/instructor.html#kawaguchi 2002 年ラック入社社内インフラシステムの維持 運用に従事する その他 セキュアサーバの構築サービスや サーバのセキュリティ検査業務なども行い 経験を積む その後 IDS や Firewall などの運用 管理業務を経て セキュリティアナリストとして JSOC 監視サービスに従事し 日々セキュリティインシデントに対応 2005 年より アナリストリーダとして セキュリティイベントの分析とともに IDS/IPS に適用する JSOC オリジナルシグネチャ (JSIG) の作成 チューニングを実施し 監視サービスの技術面のコントロールを行う JSOC チーフエバンジェリストとして JSOC 全体の技術面をコントロール そしてセキュリティオペレーションに関する研究 IT インフラへのリスクに関する情報提供 啓発活動を行っている BlackHatJapan PacSec InternetWeek PASSJ などのテクニカルカンファレンスや情報セキュリティシンポジウムなどで講演し 安全な IT ネットワークの実現を目指して日夜奮闘中 2010 年 ~2011 年 セキュリティ & プログラミングキャンプの講師として未来ある若者の指導にあたる 川口洋のセキュリティ プライベート アイズ (@IT) 連載中 http://www.atmarkit.co.jp/fsecurity/index/index_kawaguchi.html 2
L i t t l e e A r t h C o r p o r a t i o n 株式会社ラック会社案内 情報セキュリティ技術で 社会基盤を支える企業 設立 1986 年 ( 昭和 61 年 )9 月 資本金 11 億 5,942 万円 会社概要 サイバー救急センター 事業継続と被害者保護を第一に事業復旧を支援 サイバー救急センター サイバーセキュリティ研究所 世界レベルで脅威情報を収集し分析 / 提供する サイバーセキュリティ研究所 社会活動 社会活動 国際標準化活動への参加やセキュリティ連絡会の設立 事業内容セキュリティソリューションサービス サイバービジネスセンター セキュアクラウド セキュリティ診断 本社 102-0093 東京都千代田区平河町 2 丁目 16 番 1 号平河町森タワー オフィスの IT 環境をまるごとアウトソーシング セキュリティ診断 脆弱性を発見し セキュリティリスクを可視化 名古屋オフィス 460-0002 愛知県名古屋市中区丸の内 2 丁目 18 番 11 号 46KT ビル 4F セキュリティ監視 セキュリティコンサルティング セキュリティコンサルティング 子会社 関連企業 Cyber Security LAC Co., Ltd.( 韓国 ) LAC CHINA CORPORATION Co., Ltd.( 中国 ) 株式会社 IT プロフェッショナル グループ (ITPG) Japan Security Operation Center 24 時間 365 日のセキュリティ監視サービス セキュリティアカデミー セキュリティアカデミー 最適化されたセキュリティ対策の策定支援 実践的な情報セキュリティ教育 3
JSOC マネージド セキュリティ サービス ( MSS) 安全安心のネットワークの提供 狡猾化する悪意を持ったハッカーの攻撃から プロフェッショナルによるセキュリティ運用 監視がお客様をお守りし ビジネスを成功に導きます 4
クラウドで変わること これが 情報システム こうなる 情報システム 情報システムは社内 情報システムが社外へ コンプライアンス対応可用性 パフォーマンスクラウドのアクセス制御 5
クラウドの利用による変化 クラウドサービス アカウント情報の漏洩 内部システム 従来のシステムは IP アドレスによるアクセス制御が設定されている ( パブリック ) クラウドは誰でもアクセス可能 ( アクセス制御は可能 ) 悪用された場合でも 課金請求は正規の利用者へ アカウント情報を盗用するボットが大きな脅威になる 6
クラウドからの攻撃 クラウドサービス事業者 この攻撃にかかる費用を負担するのは誰? 当社のお客様 攻撃 検知データ 次に使う人がマークされる? 7
発生しているインシデント SSH ブルートフォース 22/tcp パスワード認証 脆弱なパスワードを設定しているユーザ サーバ管理画面に対する侵入 Tomcat JBoss CMS に対する侵入 phpmyadmin Plone/Zope Joomla! Xoops phpbb その他 聞いたことがない CMS 結局 昔からある手法で侵入されている 8
原因脆弱なパスワード設定 ユーザ 管理画面 Firewall のアクセス制御不備 設定したつもり 一時的な設定 アップデートしていないアプリケーション 脆弱性情報に気づかない 脆弱性情報より先に攻撃手法が公開される アップデートできない環境 9
学術機関のインシデントの実態 20% のユーザが 64% のインシデントを占めている特にウイルス感染事故が多い 10
学術機関で発生するインシデントウイルス感染 ウイルス対策ソフトが未導入 ウイルス対策ソフトをアップデートしていない 不用意に添付ファイルを開く P2P ファイル交換ソフト 著作権侵害意識のないユーザ 外国人留学生 不用意なサーバ公開 XAMPPの使用 開発用アプリ アップデートしていない 11
ウイルス感染手口ファイル名偽装 http://www.atmarkit.co.jp/fsecurity/rensai/tipstoday08/tips01.html より ファイル名の向きを操作することが可能 (RLO) 12
対策 13
共通対策 :Adobe Reader 設定 Acrobat JavaScript を無効化 JavaScript を OFF 14
共通対策 :Adobe Reader 設定 外部アプリケーションの起動をさせない 外部アプリケーションで PDF 以外の添付ファイルを開くことを許可 を OFF 15
共通対策 :RLO 対策 ローカルセキュリティ設定 ソフトウェアの制限ポリシー 追加の規則 ** を指定し * と * の間に RLO を指定する 16
まとめ クラウドも従来のシステム管理の基本が重要 基本的なウイルス対策を実施ウイルスが仕込まれると内部からやられる 外国人留学生のオリエンテーションを手厚く 17
ありがとうございました ネット犯罪の多くは 気づかなかったのではなく 見えなかったのです 18 株式会社ラック http://www.lac.co.jp