Prowise Business Forum in Tokyo 第 77 回 新 たな 脅 威 に 企 業 はどう 立 ち 向 かうべきか 2014/07/29 株 式 会 社 日 立 ソリューションズ プラットフォームソリューション 事 業 本 部 プロダクトマーケティング 本 部 マーケティング 推 進 部 主 任 技 師 中 川 克 幸
Contents 1. 標 的 型 サイバー 攻 撃 の 最 近 の 傾 向 2. 標 的 型 メール 攻 撃 への 対 策 3. Webサイトに 対 する 攻 撃 への 対 策 4. 実 施 しておくべき 基 本 的 な 対 策 5. まとめ 付 録 標 的 型 サイバー 攻 撃 対 策 の 基 本 的 な 考 え 方
1. 標 的 型 サイバー 攻 撃 の 最 近 の 傾 向
標 的 型 サイバー 攻 撃 とは 標 的 型 サイバー 攻 撃 とは 機 密 情 報 等 の 窃 取 を 目 的 として 標 的 を 特 定 した 上 で 仕 掛 けるサイバー 攻 撃 のこと 以 下 の 流 れで 攻 撃 を 遂 行 する 潜 入 基 盤 構 築 調 査 目 的 遂 行 メールの 送 付 等 の 手 口 で マルウェアを 潜 入 させる マルウェアの 感 染 を 拡 大 させつつ 重 要 情 報 のありかをさぐる 最 終 目 的 である 機 密 情 報 等 を 窃 取 を 遂 行 する 3
2014 年 版 情 報 セキュリティ10 大 脅 威 IPAが 2014 年 版 情 報 セキュリティ10 大 脅 威 を 公 開 サイバー 攻 撃 に 関 連 する 脅 威 が 上 位 6 位 までを 独 占 全 体 では8つが サイバー 攻 撃 に 分 類 される 脅 威 だった 1 位 2 位 3 位 4 位 5 位 6 位 7 位 8 位 9 位 10 位 標 的 型 メールを 用 いた 組 織 へのスパイ 諜 報 活 動 不 正 ログイン 不 正 利 用 ウェブサイトの 改 ざん ウェブサービスからのユーザ 情 報 の 漏 えい オンラインバンキングからの 不 正 送 金 悪 意 あるスマートフォンアプリ SNSへの 軽 率 な 情 報 公 開 紛 失 や 設 定 不 備 による 情 報 漏 えい ウイルスを 使 った 詐 欺 恐 喝 サービス 妨 害 出 典 :IPA 発 行 2014 年 版 情 報 セキュリティ10 大 脅 威 (2014 年 3 月 ) 4
攻 撃 の 手 口 も 高 度 化 巧 妙 化 攻 撃 の 手 口 も 高 度 化 巧 妙 化 している 標 的 型 メール 攻 撃 Webサイトへの 攻 撃 やりとり 型 水 飲 み 場 型 攻 撃 5
本 日 お 話 させて 頂 くのは 本 日 は ますます 高 度 化 巧 妙 化 する 最 近 の 標 的 型 サイバー 攻 撃 に 対 してどのように 対 策 していけばよいのか そのポイント についてお 話 させて 頂 きます 2 章 標 的 型 メール 攻 撃 への 対 策 やりとり 型 3 章 Webサイトに 対 す る 攻 撃 への 対 策 水 飲 み 場 型 攻 撃 6
2. 標 的 型 メール 攻 撃 への 対 策
最 近 の 手 口 ~やりとり 型 ~ やりとり 型 攻 撃 とは 業 務 に 関 するメールを 何 度 かやりとりして 警 戒 されない 状 況 を 作 った 上 で マルウェア 付 きメールを 送 る 手 口 のこと HITACHI Net Shopp ing 採 用 担 当 窓 口 宛 メールを 装 う 商 品 問 合 せ 窓 口 宛 メールを 装 う 8
従 来 の 対 策 標 的 型 メール 攻 撃 に 対 しては 従 来 メールゲートウェイを 導 入 しマルウェア&スパムメールをブロックしたり クライアント 側 に 総 合 セキュリティソフトを 導 入 することで 対 策 してきた メールゲートウェイ 総 合 セキュリティソフト 9
従 来 の 対 策 の 課 題 しかし 従 来 の 対 策 には 課 題 がある メールゲートウェイや 総 合 セキュリティソフト 標 的 となる 企 業 向 けに 特 化 した マルウェアは 検 知 することが 難 しい マルウェア 等 のサンプルが 少 なく 開 発 ベンダが 自 薦 に 定 義 ファイル を 用 意 しておくことが 難 しい 標 的 企 業 で 使 用 しているセキュリ ティ 製 品 に 検 知 されないマルウェア を 送 り 込 まれてしまう 10
サンドボックス 登 場! 未 知 のマルウェア 等 を 検 知 するためには 実 環 境 に 影 響 を 及 ぼさない 仮 想 環 境 上 で 怪 しいファイルを 実 際 に 実 行 し 振 る 舞 いを 確 認 するサンドボックス 製 品 の 導 入 が 有 効 11
予 防 から 早 期 発 見 へ 発 想 の 切 替 が 必 要 手 を 尽 くしても 潜 入 される 可 能 性 は 否 定 できない 第 2 第 3の 手 を 打 つことで 最 終 的 な 目 的 遂 行 は 何 としても 防 止 するという 発 想 に 対 策 の 考 え 方 を 切 り 替 える 必 要 がある 潜 入 基 盤 構 築 調 査 目 的 遂 行 潜 入 の 防 止 にのみ 注 力 するのではなく 攻 撃 の 各 フェーズで 多 層 に 防 御 することで 最 終 的 な 情 報 窃 取 は 何 としても 防 止 する 12
潜 入 を 前 提 とした 場 合 に 次 に 打 つべき 手 ログのチェックにより 基 盤 構 築 ~ 調 査 での 早 期 発 見 を 図 る 潜 入 したマルウェアを 早 期 発 見 するために 確 認 すべきログの 例 としては 以 下 がある 未 使 用 のIPアドレス へのアクセス 不 特 定 多 数 の 端 末 へのアクセス サーバ クライアント 間 のアクセス 13
ログをチェックする 手 段 ネットワークやサーバ クライアント 等 のセキュリティ 製 品 専 用 の ログチェックツールや SIEM (セキュリティ 情 報 およびイベント 管 理 ) 製 品 が 使 われてきた 各 セキュリティ 製 品 専 用 の ログチェックツール SIEM(セキュリティ 情 報 およびイベント 管 理 ) Security Information and Event Management 14
従 来 のツールの 課 題 しかし 従 来 の 対 策 には 課 題 もある 各 セキュリティ 製 品 専 用 のログチェックツール 各 製 品 のログを 統 合 的 横 断 的 に チェックできない SIEM(セキュリティ 情 報 およびイベント 管 理 ) ログが 大 量 になった 場 合 分 析 に 時 間 がかかる スケールアウトに 対 応 していない 15
ログのチェックにともなう 課 題 の 解 決 従 来 のログチェックツールの 課 題 を 解 決 するには 以 下 の 特 長 を 備 えた SIEMに 適 したツールが 必 要 大 量 & 不 定 形 ログの 収 集 が 得 意 リアルタイムに 処 理 が 可 能 スケールアウトが 容 易 16
Splunkのご 紹 介 ビッグデータ 利 活 用 基 盤 ソリューション Splunk 大 量 のマシンデータを 素 早 く 簡 単 に 価 値 のある 情 報 に 変 換 する 分 析 ソフトウェアです 大 量 のマシンデータ 分 析 結 果 ( 価 値 のある 情 報 ) Energy Meters Web Clickstream s Custom Applications Web Services 複 数 ログから 障 害 調 査 前 月 当 月 売 上 比 較 部 品 故 障 率 の 将 来 予 測 Servers Storage Online Services Security Networks GPS Location Online Packaged Shopping Applications Cart Smartphones and Devices Desktops Telecoms RFID Call Detail Records Messaging Databases 素 早 く 簡 単 に リソース リアルタイム 監 視 経 営 者 向 け ダッシュボード セキュリティ 攻 撃 のリアルタイム 地 図 表 示 17
ここまでのまとめ 標 的 型 メール 攻 撃 は 潜 入 の 防 止 にのみ 注 力 するのでは なく 攻 撃 の 各 フェーズで 多 層 的 に 防 御 することで 最 終 的 な 情 報 窃 取 は 何 としても 防 止 するという 考 えで 対 策 する 必 要 があります 従 来 からの 対 策 最 近 の 脅 威 への 更 なる 対 策 標 的 型 メール 攻 撃 メールゲートウェイ 総 合 セキュリティソフト 各 セキュリティ 製 品 専 用 の ログチェックツール SIEM サンドボックス ビッグデータ 利 活 用 基 盤 ソリューション 18
3. Webサイトに 対 する 攻 撃 への 対 策
最 近 の 手 口 ~ 水 飲 み 場 型 攻 撃 ~ 水 飲 み 場 型 攻 撃 とは マルウェアに 感 染 させたい 企 業 の 従 業 員 が 頻 繁 にアクセスするWebサイトを 改 ざんしワナをしかける 攻 撃 のこと 最 近 では 大 手 企 業 への 攻 撃 の 足 掛 かりとして セキュリティ 対 策 の 遅 れる 中 小 中 堅 企 業 も 狙 われている 20
従 来 の 対 策 Webサイトに 対 する 攻 撃 に 対 しては 従 来 セキュアプログラミング によるWebアプリの 脆 弱 性 排 除 や Webアプリケーションファイア ウォール(WAF)の 導 入 等 が 行 われてきた Webセキュア プログラミング Webアプリケーション ファイアウォール(WAF) 21
従 来 の 対 策 の 課 題 しかし 従 来 の 対 策 には 課 題 もある Webセキュアプログラミング 開 発 や 保 守 に 高 度 な 知 識 と 運 用 コスト が 要 求 される パッケージソフトを 利 用 している 場 合 修 正 が 困 難 である WAF ゼロデイ 攻 撃 に 対 処 できない シグネチャの 更 新 とチューニングに 手 間 がかかる 22
新 しいアプローチは おとりの 設 置 ますます 高 度 化 巧 妙 化 するWebサイトへの 攻 撃 を 防 ぐには Webサイトの 前 段 に おとりを 設 置 するのが 効 果 的 攻 撃 の 標 的 をずらす わざと 攻 撃 させ 犯 人 をマーキングする シグネチャを 使 用 しないため 未 知 の 攻 撃 にも 対 処 可 能 また 運 用 の 手 間 もかからない 23
WebApp Secureのご 紹 介 Webサーバハッキング 対 策 製 品 Juniper Networks WebApp Secure WebApp Secureは Webサイトを 改 ざんから 守 る おとり 捜 査 官 自 らをわざと 攻 撃 させることで 攻 撃 者 を 捕 捉 します 罠 をしかけて わざと 攻 撃 させる 攻 撃 してきた 相 手 の 特 徴 や 手 口 を 覚 える 次 に 攻 撃 してきたら ブロック! 24
WASが 攻 撃 者 に 対 して 仕 掛 ける 罠 の 例 ダミーのクエリストリング?id=1 ダミーの.htaccess ディレクトリ トラバーサル に 対 するダミーの 応 答 25
従 来 のWebセキュリティ 対 策 DDoS 攻 撃 Web 改 ざん 未 知 の 攻 撃 インターネット ネットワークベース フラッド 攻 撃 Low and Slow 攻 撃 Webサーバ アプリケーション ベースフラッド 攻 撃 Firewall/IPS SQLインジェクション WAF 社 内 LAN 26
DDoS 攻 撃 って 何? DDoS 攻 撃 とは Webサーバをダウンさせることを 目 的 とした 攻 撃 のこと ボットに 感 染 させた 多 数 のPCから 攻 撃 対 象 の サーバに 大 量 のパケットを 送 りつける 等 の 方 法 で 攻 撃 する 27
昨 今 のサービス 妨 害 攻 撃 の 事 情 攻 撃 手 法 説 明 従 来 型 の 攻 撃 ネットワークベース フラッド 攻 撃 SYN Flood ICMP Flood UDP Flood IP/TCPを 中 心 に 大 量 の 通 信 を 発 生 させて 攻 撃 する アプリケーション ベースフラッド 攻 撃 HTTP Flood SMTP Flood DNS AMP アプリケーションを 中 心 に 大 量 の 通 信 を 発 生 させて 攻 撃 する 最 近 の 攻 撃 傾 向 Low and Slow 攻 撃 R-U-Dead Yet (RUDY) Slowloris 大 量 のパケットを 送 り 付 けずにリソースを 消 費 させる 攻 撃 Bot ハッカー 集 団 Anonymousなど 専 用 ツール LOIC/HOICなど DoS/DDoS 攻 撃 も 日 々 進 化 している 28
DDoS Secureのご 紹 介 DDoS 対 策 製 品 Juniper Networks DDoS Secure DDoS Secureとは Webサーバのいわば ガードマン Webサーバが 忙 しくなると ツールやボットからの 攻 撃 と 推 測 されるタチの 悪 いアクセスを 優 先 的 にブロックします Webサーバが 低 負 荷 の 時 Webサーバが 高 負 荷 になると ツールやボットからの 攻 撃 と 推 測 される 通 信 をブロック 29
ここまでのまとめ Webサイトへの 攻 撃 に 対 しては 従 来 からの 対 策 に 加 えて 高 度 化 巧 妙 化 する 脅 威 に 特 化 した 製 品 を 導 入 することで 未 知 の 脅 威 に 対 しても 手 間 をかけずに 対 策 が 可 能 となります Webサイト への 攻 撃 従 来 からの 対 策 セキュアプログラミング Webアプリケーション ファイアウォール ネットワーク サーバの 設 定 や 構 成 の 見 直 し 最 近 の 脅 威 への 更 なる 対 策 おとりの 設 置 (WAS) DDoS 攻 撃 対 策 専 用 システムの 導 入 30
4. 実 施 しておくべき 基 本 的 な 対 策
セキュアルータ Juniper Networks SRXシリーズ UTM(ルータ/スイッチ/ファイアウォール/IPS) 機 能 により ネットワークをシンプル にし 管 理 運 用 コストを 削 減! インターネット Juniper Networks SRXシリーズ データ 入 力 閲 覧 ブラウジング 禁 止 アプリケーションは 遮 断 特 定 の 利 用 者 にのみ 認 めた アプリケーションを 許 可 する ことで 入 口 / 出 口 対 策 を 実 現 書 き 込 み ファイル 転 送 アプリケーションを 識 別 LINE Winny SAP NetSuite ファイル 転 送 書 き 込 み Facebook Twitter Yahoo! アプリケーション 識 別 / 制 御 の 機 能 は 弊 社 からは2014 年 中 にリリース 予 定 アプリの 利 用 禁 止 営 業 部 マーケティング 部 全 員 利 用 可 32
情 報 漏 洩 防 止 ソリューション 秘 文 シリーズ 標 的 型 メール による 攻 撃 を3つの 対 策 でブロック 1 入 口 対 策 (メール) : 社 外 からの 標 的 型 メール 攻 撃 を 入 口 (メール)でブロック 2 内 部 対 策 (エンドポイント) : 感 染 PCからの 情 報 窃 取 を 暗 号 化 と 持 ち 出 し 制 御 でブロック 3 出 口 対 策 (Web) : マルウェア 感 染 PCからの 社 外 送 信 を 出 口 (Web)でブロック 1 入 口 対 策 2 内 部 対 策 秘 文 統 合 サーバ 秘 文 ファイルサーバ 秘 文 AE Email Gateway 1 入 口 でブロック 2 共 有 フォルダ の 暗 号 化 インターネット 3 出 口 対 策 秘 文 AE Web Gateway 3 出 口 でブロック 秘 文 クライアント 2エンドポイントからの 持 ち 出 し 制 御 ( 外 部 媒 体 /メール/Web)とログ 取 得 33
5. まとめ
本 日 のまとめ 標 的 型 サイバー 攻 撃 は 潜 入 の 防 止 にのみ 注 力 するのではなく 攻 撃 の 各 フェーズで 多 層 的 に 防 御 することで 最 終 的 な 情 報 窃 取 は 何 としても 防 止 す るという 考 えで 対 策 する 必 要 があります 高 度 化 巧 妙 化 する 標 的 型 サイバー 攻 撃 に 対 して は 従 来 の 対 策 に 加 え 最 近 の 手 口 への 備 えが 必 要 です 基 本 的 な 対 策 ができていないと 最 近 の 手 口 への 備 えは 困 難 です (まずは 基 本 的 な 対 策 の 見 直 しから) 35
標 的 型 サイバー 攻 撃 対 策 ソリューション 対 策 の 概 要 対 策 ソリューション 基 本 的 な 対 策 ネットワーク (ファイアウォール) サーバ/エンドポイント 標 的 型 メール 攻 撃 への 対 策 ネットワーク(UTM) メール/Web SIEM Webサイト への 攻 撃 対 策 Webサーバハッキング 対 策 DDoS 対 策 36
付 録 標 的 型 サイバー 攻 撃 対 策 の 基 本 的 な 考 え 方
標 的 型 メール 攻 撃 対 策 のガイドライン IPAより 標 的 型 攻 撃 対 策 のガイドが 公 開 されています 標 的 型 メール 攻 撃 対 策 に 向 けたシステム 設 計 ガイド http://www.ipa.go.jp/security/vuln/newattack.html 38
標 的 型 メール 攻 撃 の7つの 攻 撃 段 階 出 典 :IPA 標 的 型 メール 攻 撃 対 策 に 向 けたシステム 設 計 ガイド http://www.ipa.go.jp/security/vuln/newattack.html 39
対 策 の 基 本 的 な 考 え 方 高 度 化 巧 妙 化 した 手 口 の 攻 撃 に 対 して 入 口 対 策 だけで 止 めることは 困 難 潜 入 を 許 したとしても 情 報 の 流 出 だけ は 食 い 止 める 内 部 対 策 と 出 口 対 策 も 実 施 することが 重 要 標 的 型 攻 撃 の 攻 撃 パ タ ー ン 初 期 潜 入 段 階 基 盤 構 築 段 階 内 部 侵 入 調 査 段 階 目 的 遂 行 段 階 入 口 対 策 内 部 対 策 出 口 対 策 参 考 :IPA 標 的 型 メール 攻 撃 対 策 に 向 けたシステム 設 計 ガイド http://www.ipa.go.jp/security/vuln/newattack.html Hitachi Solutions, Ltd. 2013. All rights reserved. 40