新たな脅威に企業はどう立ち向かうべきか

Prowise Business Forum in Tokyo 第 77 回新たな脅威に企業はどう立ち向かうべきか 2014/07/29 株式会社日立ソリューションズプラットフォームソリューション事業本部プロダクトマーケティング本部マーケティング推進部主任技師中川克幸

Contents 1. 標的型サイバー攻撃の最近の傾向 2. 標的型メール攻撃への対策 3. Webサイトに対する攻撃への対策 4. 実施しておくべき基本的な対策 5. まとめ付録標的型サイバー攻撃対策の基本的な考え方

1. 標的型サイバー攻撃の最近の傾向

標的型サイバー攻撃とは標的型サイバー攻撃とは機密情報等の窃取を目的として標的を特定した上で仕掛けるサイバー攻撃のこと以下の流れで攻撃を遂行する潜入基盤構築調査目的遂行メールの送付等の手口でマルウェアを潜入させるマルウェアの感染を拡大させつつ重要情報のありかをさぐる最終目的である機密情報等を窃取を遂行する 3

2014 年版情報セキュリティ10 大脅威 IPAが 2014 年版情報セキュリティ10 大脅威を公開サイバー攻撃に関連する脅威が上位 6 位までを独占全体では8つがサイバー攻撃に分類される脅威だった 1 位 2 位 3 位 4 位 5 位 6 位 7 位 8 位 9 位 10 位標的型メールを用いた組織へのスパイ諜報活動不正ログイン不正利用ウェブサイトの改ざんウェブサービスからのユーザ情報の漏えいオンラインバンキングからの不正送金悪意あるスマートフォンアプリ SNSへの軽率な情報公開紛失や設定不備による情報漏えいウイルスを使った詐欺恐喝サービス妨害出典 :IPA 発行 2014 年版情報セキュリティ10 大脅威 (2014 年 3 月 ) 4

攻撃の手口も高度化巧妙化攻撃の手口も高度化巧妙化している標的型メール攻撃 Webサイトへの攻撃やりとり型水飲み場型攻撃 5

本日お話させて頂くのは本日はますます高度化巧妙化する最近の標的型サイバー攻撃に対してどのように対策していけばよいのかそのポイントについてお話させて頂きます 2 章標的型メール攻撃への対策やりとり型 3 章 Webサイトに対する攻撃への対策水飲み場型攻撃 6

2. 標的型メール攻撃への対策

最近の手口 ~やりとり型 ~ やりとり型攻撃とは業務に関するメールを何度かやりとりして警戒されない状況を作った上でマルウェア付きメールを送る手口のこと HITACHI Net Shopp ing 採用担当窓口宛メールを装う商品問合せ窓口宛メールを装う 8

従来の対策標的型メール攻撃に対しては従来メールゲートウェイを導入しマルウェア&スパムメールをブロックしたりクライアント側に総合セキュリティソフトを導入することで対策してきたメールゲートウェイ総合セキュリティソフト 9

従来の対策の課題しかし従来の対策には課題があるメールゲートウェイや総合セキュリティソフト標的となる企業向けに特化したマルウェアは検知することが難しいマルウェア等のサンプルが少なく開発ベンダが自薦に定義ファイルを用意しておくことが難しい標的企業で使用しているセキュリティ製品に検知されないマルウェアを送り込まれてしまう 10

サンドボックス登場! 未知のマルウェア等を検知するためには実環境に影響を及ぼさない仮想環境上で怪しいファイルを実際に実行し振る舞いを確認するサンドボックス製品の導入が有効 11

予防から早期発見へ発想の切替が必要手を尽くしても潜入される可能性は否定できない第 2 第 3の手を打つことで最終的な目的遂行は何としても防止するという発想に対策の考え方を切り替える必要がある潜入基盤構築調査目的遂行潜入の防止にのみ注力するのではなく攻撃の各フェーズで多層に防御することで最終的な情報窃取は何としても防止する 12

潜入を前提とした場合に次に打つべき手ログのチェックにより基盤構築 ~ 調査での早期発見を図る潜入したマルウェアを早期発見するために確認すべきログの例としては以下がある未使用のIPアドレスへのアクセス不特定多数の端末へのアクセスサーバクライアント間のアクセス 13

ログをチェックする手段ネットワークやサーバクライアント等のセキュリティ製品専用のログチェックツールや SIEM (セキュリティ情報およびイベント管理 ) 製品が使われてきた各セキュリティ製品専用のログチェックツール SIEM(セキュリティ情報およびイベント管理 ) Security Information and Event Management 14

従来のツールの課題しかし従来の対策には課題もある各セキュリティ製品専用のログチェックツール各製品のログを統合的横断的にチェックできない SIEM(セキュリティ情報およびイベント管理 ) ログが大量になった場合分析に時間がかかるスケールアウトに対応していない 15

ログのチェックにともなう課題の解決従来のログチェックツールの課題を解決するには以下の特長を備えた SIEMに適したツールが必要大量 & 不定形ログの収集が得意リアルタイムに処理が可能スケールアウトが容易 16

Splunkのご紹介ビッグデータ利活用基盤ソリューション Splunk 大量のマシンデータを素早く簡単に価値のある情報に変換する分析ソフトウェアです大量のマシンデータ分析結果 ( 価値のある情報 ) Energy Meters Web Clickstream s Custom Applications Web Services 複数ログから障害調査前月当月売上比較部品故障率の将来予測 Servers Storage Online Services Security Networks GPS Location Online Packaged Shopping Applications Cart Smartphones and Devices Desktops Telecoms RFID Call Detail Records Messaging Databases 素早く簡単にリソースリアルタイム監視経営者向けダッシュボードセキュリティ攻撃のリアルタイム地図表示 17

ここまでのまとめ標的型メール攻撃は潜入の防止にのみ注力するのではなく攻撃の各フェーズで多層的に防御することで最終的な情報窃取は何としても防止するという考えで対策する必要があります従来からの対策最近の脅威への更なる対策標的型メール攻撃メールゲートウェイ総合セキュリティソフト各セキュリティ製品専用のログチェックツール SIEM サンドボックスビッグデータ利活用基盤ソリューション 18

3. Webサイトに対する攻撃への対策

最近の手口 ~ 水飲み場型攻撃 ~ 水飲み場型攻撃とはマルウェアに感染させたい企業の従業員が頻繁にアクセスするWebサイトを改ざんしワナをしかける攻撃のこと最近では大手企業への攻撃の足掛かりとしてセキュリティ対策の遅れる中小中堅企業も狙われている 20

従来の対策 Webサイトに対する攻撃に対しては従来セキュアプログラミングによるWebアプリの脆弱性排除や Webアプリケーションファイアウォール(WAF)の導入等が行われてきた Webセキュアプログラミング Webアプリケーションファイアウォール(WAF) 21

従来の対策の課題しかし従来の対策には課題もある Webセキュアプログラミング開発や保守に高度な知識と運用コストが要求されるパッケージソフトを利用している場合修正が困難である WAF ゼロデイ攻撃に対処できないシグネチャの更新とチューニングに手間がかかる 22

新しいアプローチはおとりの設置ますます高度化巧妙化するWebサイトへの攻撃を防ぐには Webサイトの前段におとりを設置するのが効果的攻撃の標的をずらすわざと攻撃させ犯人をマーキングするシグネチャを使用しないため未知の攻撃にも対処可能また運用の手間もかからない 23

WebApp Secureのご紹介 Webサーバハッキング対策製品 Juniper Networks WebApp Secure WebApp Secureは Webサイトを改ざんから守るおとり捜査官自らをわざと攻撃させることで攻撃者を捕捉します罠をしかけてわざと攻撃させる攻撃してきた相手の特徴や手口を覚える次に攻撃してきたらブロック! 24

WASが攻撃者に対して仕掛ける罠の例ダミーのクエリストリング?id=1 ダミーの.htaccess ディレクトリトラバーサルに対するダミーの応答 25

従来のWebセキュリティ対策 DDoS 攻撃 Web 改ざん未知の攻撃インターネットネットワークベースフラッド攻撃 Low and Slow 攻撃 Webサーバアプリケーションベースフラッド攻撃 Firewall/IPS SQLインジェクション WAF 社内 LAN 26

DDoS 攻撃って何? DDoS 攻撃とは Webサーバをダウンさせることを目的とした攻撃のことボットに感染させた多数のPCから攻撃対象のサーバに大量のパケットを送りつける等の方法で攻撃する 27

昨今のサービス妨害攻撃の事情攻撃手法説明従来型の攻撃ネットワークベースフラッド攻撃 SYN Flood ICMP Flood UDP Flood IP/TCPを中心に大量の通信を発生させて攻撃するアプリケーションベースフラッド攻撃 HTTP Flood SMTP Flood DNS AMP アプリケーションを中心に大量の通信を発生させて攻撃する最近の攻撃傾向 Low and Slow 攻撃 R-U-Dead Yet (RUDY) Slowloris 大量のパケットを送り付けずにリソースを消費させる攻撃 Bot ハッカー集団 Anonymousなど専用ツール LOIC/HOICなど DoS/DDoS 攻撃も日々進化している 28

DDoS Secureのご紹介 DDoS 対策製品 Juniper Networks DDoS Secure DDoS Secureとは Webサーバのいわばガードマン Webサーバが忙しくなるとツールやボットからの攻撃と推測されるタチの悪いアクセスを優先的にブロックします Webサーバが低負荷の時 Webサーバが高負荷になるとツールやボットからの攻撃と推測される通信をブロック 29

ここまでのまとめ Webサイトへの攻撃に対しては従来からの対策に加えて高度化巧妙化する脅威に特化した製品を導入することで未知の脅威に対しても手間をかけずに対策が可能となります Webサイトへの攻撃従来からの対策セキュアプログラミング Webアプリケーションファイアウォールネットワークサーバの設定や構成の見直し最近の脅威への更なる対策おとりの設置 (WAS) DDoS 攻撃対策専用システムの導入 30

4. 実施しておくべき基本的な対策

セキュアルータ Juniper Networks SRXシリーズ UTM(ルータ/スイッチ/ファイアウォール/IPS) 機能によりネットワークをシンプルにし管理運用コストを削減! インターネット Juniper Networks SRXシリーズデータ入力閲覧ブラウジング禁止アプリケーションは遮断特定の利用者にのみ認めたアプリケーションを許可することで入口 / 出口対策を実現書き込みファイル転送アプリケーションを識別 LINE Winny SAP NetSuite ファイル転送書き込み Facebook Twitter Yahoo! アプリケーション識別 / 制御の機能は弊社からは2014 年中にリリース予定アプリの利用禁止営業部マーケティング部全員利用可 32

情報漏洩防止ソリューション秘文シリーズ標的型メールによる攻撃を3つの対策でブロック 1 入口対策 (メール) : 社外からの標的型メール攻撃を入口 (メール)でブロック 2 内部対策 (エンドポイント) : 感染 PCからの情報窃取を暗号化と持ち出し制御でブロック 3 出口対策 (Web) : マルウェア感染 PCからの社外送信を出口 (Web)でブロック 1 入口対策 2 内部対策秘文統合サーバ秘文ファイルサーバ秘文 AE Email Gateway 1 入口でブロック 2 共有フォルダの暗号化インターネット 3 出口対策秘文 AE Web Gateway 3 出口でブロック秘文クライアント 2エンドポイントからの持ち出し制御 ( 外部媒体 /メール/Web)とログ取得 33

5. まとめ

本日のまとめ標的型サイバー攻撃は潜入の防止にのみ注力するのではなく攻撃の各フェーズで多層的に防御することで最終的な情報窃取は何としても防止するという考えで対策する必要があります高度化巧妙化する標的型サイバー攻撃に対しては従来の対策に加え最近の手口への備えが必要です基本的な対策ができていないと最近の手口への備えは困難です (まずは基本的な対策の見直しから) 35

標的型サイバー攻撃対策ソリューション対策の概要対策ソリューション基本的な対策ネットワーク (ファイアウォール) サーバ/エンドポイント標的型メール攻撃への対策ネットワーク(UTM) メール/Web SIEM Webサイトへの攻撃対策 Webサーバハッキング対策 DDoS 対策 36

付録標的型サイバー攻撃対策の基本的な考え方

標的型メール攻撃対策のガイドライン IPAより標的型攻撃対策のガイドが公開されています標的型メール攻撃対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html 38

標的型メール攻撃の7つの攻撃段階出典 :IPA 標的型メール攻撃対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html 39

対策の基本的な考え方高度化巧妙化した手口の攻撃に対して入口対策だけで止めることは困難潜入を許したとしても情報の流出だけは食い止める内部対策と出口対策も実施することが重要標的型攻撃の攻撃パターン初期潜入段階基盤構築段階内部侵入調査段階目的遂行段階入口対策内部対策出口対策参考 :IPA 標的型メール攻撃対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html Hitachi Solutions, Ltd. 2013. All rights reserved. 40