Prowise Business Forum サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ セキュリティソリューション 部 坂 本 篤 郎
C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 1
APT( 新 しいタイプの 攻 撃 )とは? Advanced 諜 報 機 関 並 みのすぐれた 情 報 収 集 能 力 高 度 な 不 正 侵 入 技 術 Persistent 継 続 的 な 不 正 侵 入 行 為 目 的 を 達 成 するまで 潜 伏 詮 索 監 視 を 繰 り 返 す Threat 重 要 情 報 / 知 的 財 産 を 搾 取 される 脅 威 破 壊 的 行 為 による 脅 威 2
APTの 恐 ろしい 動 作 1 初 期 潜 入 IPS( 不 正 侵 入 防 御 装 置 ) ウィルス 対 策 ソフトでは 検 知 できない 未 知 の 攻 撃 (ゼロday 攻 撃 ) 未 知 のウィルスで 潜 入 例 : 標 的 型 攻 撃 メール USB 経 由 でのウィルス 混 入 Web 改 竄 によるウィルスダウンロードサーバへの 誘 導 2 攻 撃 基 盤 構 築 バックドアを 作 成 し 業 務 で 使 用 しているHTTP 通 信 を 使 って 埋 め 込 んだウィルスと 攻 撃 者 が 通 信 3 システム 調 査 長 い 時 間 をかけて 重 要 情 報 機 密 情 報 のありかを 調 査 4 攻 撃 最 終 目 標 の 遂 行 見 つけた 重 要 情 報 の 搾 取 3
出 口 対 策 の 重 要 性 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド 4
5つの 共 通 脅 威 パターンごとの 出 口 対 策 共 通 脅 威 パターン1:バックドア 通 信 httpプロトコルでのバックドア 通 信 port80 使 用 proxy 未 使 用 共 通 脅 威 パターン2:バックドア 通 信 独 自 通 信 プロトコルでのバックドア 通 信 port80 使 用 proxy 未 使 用 共 通 脅 威 パターン3:バックドア 通 信 httpメソッド(get, POST, CONNECT) 利 用 のバックドア 通 信 port80 使 用 proxy 使 用 ファイアウォールの 通 信 遮 断 ルール 及 び ファイアウオールの 遮 断 ログ 監 視 で 対 応 いかに 対 応 するかが 問 題 共 通 脅 威 パターン4: システム 内 情 報 の 捜 索 脅 威 共 通 脅 威 パターン5: ウィルスのシステム 内 拡 散 機 能 更 新 脅 威 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド ネットワークの 設 計 で 対 応 5
IPAの 共 通 脅 威 パターン3の 対 策 案 案 1: 認 証 Proxyを 導 入 する ウィルスが 人 間 が 認 証 した 後 の 既 認 証 状 態 を 使 用 するような 仕 様 となった 場 合 遮 断 できない 案 2: 内 部 Proxyを 導 入 する ウィルスが 内 部 Proxy 経 由 で 攻 撃 者 と 通 信 する 仕 様 となった 場 合 遮 断 できない 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド 6
IPAの 共 通 脅 威 パターン3の 対 策 案 案 3:JavaScriptやMETAタグを 利 用 したリダイレクト 方 式 1 PCからProxyへのHTTPリクエスト 2 強 制 リダイレクト 指 示 (JavaScriptやMETAタグを 利 用 ) ブラウザからのHTTP 通 信 の 場 合 3を 実 行 できるが ウィルスによ るHTTP 通 信 は3を 実 行 できない 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド 7
C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 8
共 通 脅 威 パターン1 2の 対 策 共 通 脅 威 パターン1:バックドア 通 信 httpプロトコルでのバックドア 通 信 port80 使 用 proxy 未 使 用 共 通 脅 威 パターン2:バックドア 通 信 独 自 通 信 プロトコルでのバックドア 通 信 port80 使 用 proxy 未 使 用 次 世 代 ファイアウォールの 導 入 で ルールの 防 御 に 加 え 以 下 の 機 能 による より 強 固 な 出 口 対 策 を 実 現 します 国 別 フィルタ 機 能 サイバー 攻 撃 で 利 用 される 中 国 北 朝 鮮 といった 国 への 通 信 を 遮 断 します アプリケーションフィルタ 機 能 http(ポート80)を 使 用 したWinny, IM, P2P, SNS といったAP 通 信 ( 約 1300 種 )を 遮 断 します ボットネット 検 知 機 能 ボットネット 特 有 の 通 信 を 振 舞 い 検 知 し 感 染 が 疑 われる 端 末 を 検 出 します Internet 次 世 代 FW 9
共 通 脅 威 パターン1 2の 対 策 更 に ファイアウォールログ 解 析 ツールを 併 用 することにより グラフ 表 からなるレポートにFWアクセスをまとめることができます これにより ウィルスによるバックドア 通 信 を 検 出 し 感 染 端 末 の 特 定 につなげるひとつの 手 立 てとなります 内 部 外 部 の 拒 否 された 通 信 の 接 続 数 を 時 系 列 に 示 します 突 然 の 遮 断 通 信 の 多 発 ウイルス 感 染 か? 攻 撃 者 が 用 意 したサーバか? 内 部 外 部 の 拒 否 された 通 信 のうち 接 続 数 の 多 い 接 続 元 と 接 続 先 を 示 します # 接 続 元 接 続 先 接 続 数 1 192.168.3.1 202.xxx.8.3 872 2 192.168.15.33 201.xxx.45.27 3 3 192.168.17.81 133.xxx.231.160 1 合 計 876 ウイルス 感 染 PCか? 10
共 通 脅 威 パターン3の 対 策 ( 自 動 防 御 ) 共 通 脅 威 パターン3:バックドア 通 信 httpメソッド(get, POST, CONNECT) 利 用 のバックドア 通 信 port80 使 用 proxy 使 用 いかに 対 応 するかが 問 題 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド 11
共 通 脅 威 パターン3の 対 策 ( 自 動 防 御 ) Internet 次 世 代 FW IPS DMZ 前 頁 で 示 した ブラウザ 通 信 と ウィルスhttpバックドア 通 信 の 違 いを 利 用 し カスタムシグネチャを 作 成 して 不 正 侵 入 防 御 装 置 (IPS) もしくは アプリケーション ファイアウォールで 遮 断 12
共 通 脅 威 パターン3の 対 策 ( 情 報 漏 洩 防 止 ) ネットワークDLP(Data Loss Prevention)ソリューション PCがウィルス 感 染 しても 情 報 漏 洩 させない! Internet FW ゲートウェイでのWeb 通 信 チェック 信 頼 できるWebサイトのみ アクセス 許 可 特 定 のWebサイトのみファイルの アップロードを 許 可 重 要 情 報 はアップロードさせない ( 特 定 キーワードチェック HTTPSの 通 信 でもチェック 可 能 ) 上 長 の 承 認 を 受 けていない 文 書 はアップロードさせない 13
C o n t e n t s 1 APT 対 策 についての 考 察 2 出 口 対 策 ソリューション 3 入 口 対 策 ソリューション 14
入 口 対 策 の 再 考 入 口 対 策 は 本 当 に 無 意 味 なのでしょうか? いいえ ウィルスを 検 知 駆 除 するというスタンスでなく 怪 しいと 判 断 したものは ネットワーク 内 に 侵 入 させない という 考 え 方 が 大 切 です また 一 度 内 部 に 侵 入 したウィルスは OSや 各 種 アプリケーションの 脆 弱 性 を 利 用 し システム 内 へ 拡 散 します 最 悪 侵 入 された 場 合 でも ウィルスの 拡 散 を 許 してはな りません 15
入 口 対 策 ソリューション1(3つの 侵 入 経 路 対 策 ) 1 電 子 メールによる 侵 入 ( 標 的 型 メール 攻 撃 )の 防 御 ゲートウェイでの 電 子 メールチェック 元 のファイルタイプを 認 識 し 偽 装 添 付 ファイル 付 きメールはブロック 信 用 できないサーバからのメールはブロック 仮 想 クラウド 環 境 で 添 付 ファイルを 実 行 し 問 題 があればブロック 2 Web 経 由 による 侵 入 の 防 御 ゲートウェイでのWeb 通 信 チェック 信 頼 できるWebサイトからのダウンロードでなければブロック 特 定 のWebサイトからのダウンロードでなければブロック 仮 想 クラウド 環 境 でダウンロードファイルを 実 行 し 問 題 があればブロック 3 USB 等 の 外 部 デバイス 経 由 による 侵 入 の 防 御 未 許 可 デバイスの 利 用 禁 止 未 許 可 デバイス 利 用 時 の 警 告 通 報 USBデバイスの 利 用 禁 止 16
入 口 対 策 ソリューション2( 高 度 な 標 的 型 メール 攻 撃 対 策 ) 入 口 対 策 の 判 定 精 度 強 化 標 的 型 攻 撃 メールは 検 知 できないウイルス(マルウェア)を 利 用 した 攻 撃 でもあるため ウイルス 対 策 だけでは 完 璧 に 防 ぐことができません 入 口 対 策 には スパムやウイルス 対 策 の 判 定 精 度 を 多 角 的 に 強 化 し 少 しでも 不 審 なメールの 受 信 を 拒 否 します 対 策 対 策 送 信 者 になりすまして 不 正 なサーバからメール 送 信 しているか 送 信 ドメイン 認 証 (DKIM,SPF)を 利 用 して 判 定 スパムの 送 信 実 績 がないか 送 信 元 サーバの 信 用 度 (IPレピュ テーション)を 利 用 して 判 定 対 策 対 策 対 策 対 策 送 信 元 サーバがリストに 登 録 されているかによる 判 定 スパムの 判 定 精 度 を 今 まで 以 上 に 向 上 させるために 異 なるアプ ローチ( 製 品 追 加 やルール 変 更 )を 組 み 合 わせて 判 定 ウイルスの 判 定 精 度 を 今 まで 以 上 に 向 上 させるために 異 なるア プローチ( 製 品 追 加 やルール 変 更 )を 組 み 合 わせて 判 定 ウイルスメールを 誰 が 受 信 したのかを 後 日 判 別 できるようにメー ルをアーカイブ 17
脆 弱 性 管 理 の 必 要 性 <2の 攻 撃 > システム 内 の 脆 弱 性 を 利 用 し ネットワーク 内 に 感 染 を 拡 大 する < 目 的 > システム 内 の 情 報 を より 効 率 的 に 窃 取 するため 出 展 IPA 新 しいタイプの 攻 撃 の 対 策 に 向 けた 設 計 運 用 ガイド 18
入 口 対 策 ソリューション3 脆 弱 性 管 理 ソリューション 日 頃 未 管 理 の 端 末 も 漏 れなく 診 断 管 理 が 可 能 自 動 的 に 診 断 を 実 施 診 断 範 囲 をセグメントで 指 定 できるため 端 末 を 漏 れなく 診 断 脆 弱 性 が 発 見 された 場 合 対 策 パッチ 適 用 チケットを 端 末 管 理 者 に 自 動 配 布 (ワークフローでのチケット 管 理 ) 診 断 結 果 がスコア(100 点 満 点 )で 表 示 されるため 現 在 のセキュリティレベルを 容 易 に 把 握 可 能 診 断 エンジン 19
入 口 対 策 ソリューション4 不 正 アクセス 防 御 ソリューション ゼロディ 攻 撃 対 策 脆 弱 性 は 存 在 するが 対 策 パッチがリリースされていない 状 況 であっても IPSで 検 知 防 御 が 可 能 なものがあります 理 由 1 IPSのメーカーは 専 門 のセキュリティ 研 究 機 関 を 保 持 しており 日 々 様 々なOS アプリケーションの 脆 弱 性 を 調 査 している 発 見 した 脆 弱 性 対 策 シグネチャを 日 々 更 新 理 由 2 脆 弱 点 だけに 着 目 するのではなく シェル 部 分 に 着 目 して 攻 撃 を 検 知 防 御 する 機 能 が 向 上 している 脆 弱 点 を 突 く 部 分 脆 弱 点 に 着 目 攻 撃 パケット 攻 撃 パケット 不 正 に 実 行 するシェル 部 分 攻 撃 そのものに 着 目 脆 弱 点 20
まとめ セキュリティに100%はありません しかし ITを 使 わなければ 業 務 の 継 続 は 困 難 です お 客 様 の 守 るべき 情 報 をもとに 出 口 対 策 入 口 対 策 をどこまで 実 施 するかを 絶 えず 検 討 決 定 していく 必 要 があります 今 回 ご 紹 介 させて 頂 いたソリューションでご 興 味 が あるものがございましたらご 連 絡 ください 詳 細 な 内 容 をご 説 明 させて 頂 きます 21
END サイバー 攻 撃 対 策 ソリューションのご 紹 介 株 式 会 社 日 立 ソリューションズ