Comments
Transcript
サイバーセキュリティ:傾向分析レポート2013 第196回NRIメディアフォーラム
第196回NRIメディアフォーラム サイバーセキュリティ:傾向分析レポート2013 ~巧妙化するサイバー攻撃から企業を守るキーワード -トリアージ、セキュリティアウェアネス、多層防御~ 2013年7月10日 NRIセキュゕテクノロジーズ株式会社 コンサルテゖング事業本部 テクニカルコンサルテゖング部 中島 智広 〒105-7113 東京都港区東新橋1-5-2 汐留シテゖセンター 概要 「サバーセキュリテゖ:傾向レポート2013」の発表にあたり、 その内容をふまえ、下記についてお話しします。 1 外部からの脅威に対しシステムの開発・運用担当者が取り組むべき対策 2 人を狙う標的型攻撃に対し経営者やリスク管理部門が取り組むべき対策 3 標的型攻撃対策を進める上で情報システム部門が直面する課題と解決策 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 1 本日の内容 1. 今日のサバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 2 1. 今日のサイバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 3 1. 今日のサイバー攻撃事情 サイバー攻撃の多様な脅威と攻撃手法 多様な脅威 攻撃手法 愉快犯 思想犯 (ハクテゖビスト) 世間を騒がせる 思想信条を主張 商業犯 システム脆弱性の悪用 ソーシャルエンジニゕリング サービス妨害(DoS, DDoS) など 金銭目的 企業システム 巧妙化 国家組織 国家戦略で動く Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 標的型攻撃/APT※ ※ Advanced Persistent Threat:脆弱性を突く攻撃や既存の攻 撃手法を組み合わせ、ソーシャルエンジニアリングにより特 定企業や個人を標的として行われる、執拗な一連の攻撃 4 1. 今日のサイバー攻撃事情 標的型攻撃 特定の標的を狙い特化して行われる巧妙な攻撃の総称 一般に観測されていないマルウェゕや専用のツールを利用するケースでは、 パターンマッチングを主にした旧来の手法では検出が困難な場合がある その特性から攻撃を受けたことが明確に分かりにくい メールとマルウェアを用いた標的型攻撃の例 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 5 1. 今日のサイバー攻撃事情 大規模なDDoS(分散型サービス妨害) 事例)Spamhaus DDoS事件 時期:2013年3月16日~3月下旬 標的:The Spamhaus Project 内容:DNSリフレクタ攻撃を用いた 300Gbps以上のトラヒックによる 分散サービス不能(DDoS)攻撃 DNSリフレクタ攻撃のメカニズム 送信元ゕドレスを攻撃対象に偽装し、応答サズが大 きくなるDNSクエリを多量のDNSサーバに一斉送信 多量のDNSサーバから攻撃対象に応答が送信されるこ とで、攻撃対象のネットワーク帯域が溢れる ギリス、ドツ、オランダ、香港な どの大手IX(ンターネット相互接続 点)においてトラヒック交換の遅延が 発生、ンターネットが一時的に利用 しにくくなる (出所)http://blogs.cisco.com/security/chronology-of-a-ddos-spamhaus/ 帯域溢れ Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 6 1. 今日のサイバー攻撃事情 本発表の趣旨 先述の脅威や攻撃手法、攻撃事例は、古くから存在したものが近年顕在化し てきているものであり、全く新しいものではない。 従っていつどこで発生してもおかしくない 当社が昨年度にサービス提供を行う中で蓄積したデータを元に、 外部からの攻撃状況と企業システム側の防御状況を分析し、 あるべき対策を提示 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 7 1. 今日のサバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 8 2. 調査対象 外部からの攻撃状況を示す集計データ (集計期間:2012年4月1日~ 2013年3月31日) ンターネット ウイルスチェック のログ フゔゕ ウォール IDSの攻撃 検知ログ ウルス SPAM チェック フゖルタ URL フゖルタ IDS※ URLフィルタ のログ メール サーバ 社内ネットワーク FWの防御 ログ WAFの攻撃 検知ログ WAF※ 下記のサービス提供を通じて得られたログ ・ FNCセキュゕンターネット接続サービス Web サーバ ・ FNCセキュゕWebネット管理サービス ※ ※IDS(Intrusion Detection System):主にプラットフォームへの攻撃を検知する装置 ※WAF(Web Application Firewall:Webアプリケーションへの攻撃を防御する装置 ※FNC(Firewall Network Center):インターネットの出入口のセキュリティを提供する 弊社のサービスブランド Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 9 2. 調査対象 Webサイトの防御状況を示す集計データ (集計期間:2012年4月1日~ 2013年3月31日) ンターネット 企業のWebサイト群に対する簡易な セキュリティチェック結果 Webアプリ 診断結果 Webゕプリ Web サーバ AP サーバ プラットフォーム 診断結果 下記のサービス提供を通じて得られた結果 DB サーバ Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. ・プラットフォーム診断 ・Webゕプリケーション診断 ・Webサト群探索棚卸サービス 10 2. 調査対象 標的型メール攻撃への耐性を示すデータ (集計期間:2011年12月1日 ~2013年3月31日) 開封結果のログ アンケート のログ Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 下記のサービス提供を通じて得られたログ ・標的型メール攻撃シミュレーション 11 1. 今日のサバー攻撃事情 2. 調査対象 3. インターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 12 3. インターネットからの脅威と対策 DDoS攻撃は今そこにある脅威 2012年度の後半からTCP/UDP53(DNS)宛の通信が増大 海外の組織を中心にDNSリフレクタ攻撃によるDDoS被害が断続的に報告されている 国内の被害事例は少ないが、今後増える可能性は十分にある (防御数) ファイアウォールにて観測したTCP/UDP53(DNS)宛通信の防御数 顕著な増加は、 ・DNSリフレクタ攻撃の試行 ・攻撃に利用可能なDNSサーバの探索 のいずれかによると考えられる。 (年月) Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 13 3. インターネットからの脅威と対策 脆弱性情報は公表後直ちに攻撃に悪用される 製品の脆弱性を悪用する攻撃は、脆弱性公表から1週間以内に検出されることが増加 パッチ適用に際しては、開発や運用部門で一定の検証期間を必要とするため、パッチ 適用が完了する前に攻撃を受ける可能性がある 2012年度に公表された危険な脆弱性とそれを悪用する攻撃の検知日 対象プロダクト 脆弱性内容 脆弱性 公表日 初回攻撃 検出日 公表日から 検出日まで サーバに対する攻撃の検出状況 Struts※1 任意のコマンド実行の可能性 2012/01/08 2012/01/14 6日 PHP※2 任意のコマンド実行の可能性 2012/05/03 2012/05/09 6日 脆弱性を悪用するマルウェアの検出状況 Windows 任意のコマンド実行の可能性 2012/06/18 2012/06/18 0日 Java 任意のコマンド実行の可能性 2012/08/30 2012/09/05 6日 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. ※1:Javaを用いたWebアプリケーション開発フレームワーク ※2:Webアプリケーション向けサーバサイドスクリプト言語処理系 14 3. インターネットからの脅威と対策 2割以上のシステムでパッチ適用の運用が不十分 2012年度のプラットフォーム診断結果で危険と判断された原因の多くを占めたのは、 2011年8月に公表されたApache HTTP ServerのDoS脆弱性に対する対策の不備 パッチ適用を推進するのに十分な期間を経ても、なおパッチ適用が完了していない状況 プラットフォーム診断結果に基づく危険性割合の推移(インターネット公開システム) 2008(n=41) 2009(n=96) Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 2010(n=82) 2011(n=85) 2012(n=88) 15 3. インターネットからの脅威と対策 管理の行き届かないWebサイトが全体の約4割 グローバル企業のWebサトを棚卸し、簡易的に実施したセキュリテゖチェックの結果 管理が行き届いておらず攻撃が受けうると推測されるWebサトが全体の約4割 国内拠点よりも海外拠点の方がより管理が行き届いていない 管理が行き届いておらず攻撃を受けうると推測される問題の検出割合 100% 80% 60% 40% 20% 0% 全体(n=2759) Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 国内(n=1493) 海外(n=1266) 16 3. インターネットからの脅威と対策 Webアプリケーションの3分の1に危険な問題が存在 2012年度のセキュリテゖ診断の結果から、例年と変わらず3割強のWebゕプリケーショ ンで危険な問題を発見 開発工程でセキュリテゖ対策の観点取り入れが徹底されていないものと推測される Webアプリケーションに対するセキュリティ診断結果に基づく危険度割合の推移 2008(n=217) 2009(n=206) Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 2010(n=229) 2011(n=308) 2012(n=531) 17 3. インターネットからの脅威と対策 パッチが適用されていないCMS※3やブログが狙われている CMSやブログといった既製Webゕプリケーションを狙う攻撃の増加 被害事例により攻撃の有効性が広く認知されることで攻撃試行がさらに増加する (検知数) WordPress※4の脆弱性を悪用する攻撃の検知数 海外の大手通信社がこの脆弱性を 悪用する攻撃を受け、不正な記事 を配信されたことが話題となる。 (年月) ※3:コンテンツマネジメントシステム ※4:オープンソースのCMS/ブログプラットフォーム Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 18 3. インターネットからの脅威と対策 対策案①)システム開発プロセスの改善 問題点:システム開発時に危険な問題を排除できていない 要件や設計にセキュリテゖの観点の盛り込みが不十分 実装後の問題点洗い出しが不十分 解決策 開発ガドランの策定・活用 設計レビュー体制の整備 セキュリテゖ診断 Webゕプリ 診断 ソースコード 診断 Web AP サーバサーバ プラットフォーム 診断 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. DB サーバ 19 3. インターネットからの脅威と対策 対策案②)パッチマネジメント体制の構築 問題点:パッチ適用の運用が上手く機能していない 対応方針が部署依存になり対策が徹底されない 何らかの理由により対策が網羅的に実施されない 解決策:セキュリテゖ統括部署を基点としたパッチマネジメント体制 関連Webサトの状況把握(棚卸) トップダウンの対策指示 セキュリティ 統括部署 部署A Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 部署B 基盤A 基盤B 海外、グループ会社 20 3. インターネットからの脅威と対策 対策案③)多層防御デバイスの活用 問題点:パッチ適用が間に合わない、すぐに改修ができない 脆弱性公表から攻撃観測までの期間短期化 開発や運用部門で必要な検証期間の存在 サポートが終了したソフトウェゕを利用しておりパッチが提供されない なんらかの理由により改修が困難 解決策:多層防御デバスを活用し本格対策が完了するまでの暫定対策とする 例)Webゕプリケーションフゔゕウォール(WAF) 攻撃 正常な通信 多層防御デバス (WAFなど) 企業システム ※ただし、あくまで暫定対策であり、本格対策としてパッチ適用、問題の改修は必要 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 21 1. 今日のサバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 22 4. 標的型メール攻撃の脅威と対策 再掲)メールとマルウェアを用いた標的型攻撃の例 特徴 一般に観測されていないマルウェゕや専用のツールが利用された場合、 パターンマッチングを主にした旧来の手法では検出が困難な場合がある その特性から攻撃を受けたことが明確に分かりにくい Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 23 4. 標的型メール攻撃の脅威と対策 標的型攻撃メールの例①(偽装レベル2※後述) 件名 : 【緊急】アンケートのお願い それらしい送信者名 1 From : 情報システム部<[email protected]> 2 関係者を装った送信者名 それらしいタイトル 【緊急】【重要】など興味を引くタイトル 各位 情報システム部 この度、情報システム部では、業務システムの効率化とセキュリティ強化のため、 大規模なリプレースの検討を開始しました。 そこで、現状の業務システムについて社員から広く意見を収集し、参考にさせて 3 いただきます。 つきましては、以下のアンケートにアクセスするか、アンケート質問票を参照の上、 それらしい本文 至急ご回答ください。 業務を装った本文の内容 アンケートはこちら 添付ファイル: アンケート質問表.pdf 従業員がうっかり添付フゔルを開いてしまうことでマルウェゕに感染 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 24 4. 標的型メール攻撃の脅威と対策 標的型攻撃メールの例②(偽装レベル4※後述) From : ○×新聞 山田 太郎<taro.yamada@○×shimbun.co.jp> 本物らしい送信者名 1 件名 : 【○×新聞】記事化のご相談(サイバーセキュリティ傾向レポート2013) 実在組織を装った送信者名 2 本物らしいタイトル NRIセキュアテクノロジーズ中島様 興味を引くタイトル ○×新聞の山田と申します。 「サイバーセキュリティ傾向レポート2013」を興味深く拝見させて頂きました。 標的型メール訓練の内容について記事にさせて頂きたいと考えております。 第一稿を作成しましたので内容を確認いただけないでしょうか。 3 本物らしい本文 展開パスワード:******** 添付ファイル: 時事の公開情報を用い 業務を装った本文の内容 標的型メール訓練記事.exe ンターネットやソーシャルメデゖゕの普及により 標的型メール攻撃に利用可能な情報収集が容易になっている Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 25 4. 標的型メール攻撃の脅威と対策 偽装レベルが高いメールは開封率が高い 偽装レベル別標的型メールの開封率 (未実施) レベル1 偽装レベル 5 4 3 2 1 レベル2 レベル3 レベル4 レベル5 メール内容(差出人、件名、本文など) 標的組織の非公開情報を活用し、かつ特定の受信者に向けた内容 標的組織の公開情報を活用し、かつ特定の受信者に向けた内容 時事情報を活用し、かつ特定の受信者に向けた内容 時事情報を活用し、かつ不特定多数の受信者に向けた内容 一般的な情報で作成され、かつ不特定多数の受信者に向けた内容 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 26 4. 標的型メール攻撃の脅威と対策 標的型メール攻撃訓練の効果 2回目の開封率は1回目の訓練経験により減少傾向 標的型メール訓練における開封率 1回目(n=104,028通) Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 2回目(n=62,291通) 27 4. 標的型メール攻撃の脅威と対策 セキュリティアウェアネス(セキュリティに意識を向けること) 人やシステムを狙うサバー攻撃に対し、ルールを定め注意喚起をしても、 従業員の意識が向いていなければ効果は期待できない 事故事例を自身にも起こりうる脅威として関連づけることで、 従業員の意識を変え、セキュリテゖに対する優先順位を上げさせ、 単一の事故事例のみならず、企業のセキュリテゖ全般に意識を向けさせる 企業 事故事例 関連付け 企業 従業員 事故事例 関連付け 従業員 セキュリテゖゕウェゕネス(セキュリテゖに意識を向けること)が 企業のセキュリテゖレベルを維持するための最初の防衛線 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 28 4. 標的型メール攻撃の脅威と対策 標的型メール攻撃訓練による意識の変化 標的型メール訓練は従業員のセキュリテゖゕウェゕネスに有効 標的型メール訓練後のアンケート結果(N=6,308人) Q.標的型メール攻撃訓練は セキュリテゖ意識の向上に役立つと思うか? 8% 6% 思う 思わない 86% 分からない ※ただし、効果は永続的とはいえず、さらに同じ内容を繰り返すだけでは 従業員が慣れてしまうため、継続的に形を変えながら行うことが望ましい Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 29 1. 今日のサバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型攻撃対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 30 5. 標的型対策導入後の課題と対策 標的型攻撃対策によるグレーイベントの顕在化 セキュリテゖ対策製品の進化 セキュリテゖゕウェゕネスの取り組み 新たなゕラートの増加 エスカレーションの増加 パターンマッチング以外の検出手法を導入 検出事象単体だけでは白黒をはっきりつけら れない事象(グレーベント)を新たに検出 従業員のセキュリテゖ意識が高まる 従業員が白黒を判断できない不審な事象 (グレーベント)について問い合わせが増加 なんらかの理由により攻撃と判定 不審なURLにゕクセスしてしまった 誤検出(False Positive) など 不審なメールを開いてしまった など 標的型攻撃対策進める上で、グレーベント対応の課題が顕在化する Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 31 5. 標的型対策導入後の課題と対策 セキュリティ対策機器からのグレーイベント検出 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 32 5. 標的型対策導入後の課題と対策 従業員からのエスカレーション増加 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 33 5. 標的型対策導入後の課題と対策 被害拡大防止にグレーイベントへの対応が重要 国内標的型攻撃事例における攻撃メール受信から発覚までの期間 マルウェゕへの感染から情報の窃取など具体的な被害が発生するまでは 必ずしも短期間ではないと推測される。その間の活動が標的型攻撃対策 によるグレーベントとして検出される可能性が考えられる。 検出されたグレーベントに迅速かつ適切に対応することで、被害を最 小限にとどめられる可能性がある。 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. (出所)公開情報を元にNRIセキュゕテクノロジーズ作成 34 5. 標的型対策導入後の課題と対策 グレーイベントへの対応は困難 高度なセキュリテゖ知識の不足 本当の攻撃かどうかの判断は容易でない 高度セキュリテゖ人材の不足 グレーベントが本当の攻撃であるか否か、 どのように対処すべきかを判断をできる人材 がそもそも不足している 限られた人員で最大の効果を得るため迅速に優先度付けが必要 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 35 5. 標的型対策導入後の課題と対策 インシデントレスポンス(事故対応)の3ステップ Detect ディテクト (検出) ベントの検出 Triage トリアージ (選別) 対応要否の判断 IDSでScan行為を確認 → その後の攻撃有無は? データ変更を検出 → 想定外のものか否か? 不審なメール受信 → 他の従業員も受信? 感染者は? 社内トラフゖック急増 認証エラーログが急増 … 判断 対応すべきものなのか? 何をすべきなのか? 想定内のベント 手順どおりに対応 想定外のベント Response レスポンス (対応) 必要に応じて対応 さらなる調査 復旧作業 再発防止策検討 ポリシー/手順の見直し等 … 対応をその都度検討 ンシデントレスポンスにおけるトリゕージの困難さが課題 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 36 5. 標的型対策導入後の課題と対策 インシデントレスポンス専任体制の構築にむけて CSIRT(Computer Security Incident Response Team) =セキュリテゖンシデント発生時の実務を担う体制 外部対応組織 国内CSIRT (ISP/NISC/IPA/JPCERT等) 情報連携 組織内CSIRT A部 事故? B部 ンシデントに関する調整 技術的支援等 C部 CSIRTの機能例 ンシデント事後対応 ンシデントハンドリング 検出 トリアージ 対応 ・・・ ・・・ ンシデント事前対応 ・・・・ セキュリテゖ品質向上 セキュリテゖゕウェゕネス ・・・・ ンシデントレスポンス 情報システム部 自組織のみでCSIRTを構築することも一つの方針だが、 外部のセキュリテゖ専門組織の活用も有効なゕプローチ Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 37 5. 標的型対策導入後の課題と対策 対策案)外部の専門組織を活用したトリアージの例① ゕラートの分析を外部のセキュリテゖ専門組織に委ね、 判断の難しいトリゕージの支援を得る Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 38 5. 標的型対策導入後の課題と対策 対策案)外部の専門組織を活用したトリアージの例② 支援 怪しいメールの分析を外部のセキュリテゖ専門組織に委ね 判断の難しいトリゕージの支援を得る Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 39 1. 今日のサバー攻撃事情 2. 調査対象 3. ンターネットからの脅威と対策 4. 標的型メール攻撃の脅威と対策 5. 標的型対策導入後の課題と対策 6. おわりに Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 40 6. おわりに 本日のまとめ 1 外部からの脅威に対しシステムの開発・運用担当者が取り組むべき対策 システム面だけではなく、開発プロセスや運用スキームも含めた 広範な多層防御の取り組みが改めて必要 2 人を狙う標的型攻撃に対し経営者やリスク管理部門が取り組むべき対策 従業員の意識が向いていなければセキュリテゖ対策の効果は期待できない、 継続的なセキュリティアウェアネスの取り組みで防衛線を形成 3 標的型攻撃対策を進める上で情報システム部門が直面する課題と解決策 グレーベントの優先度を的確に判断し選別するトリアージの必要性が高まる 効果的に実施するためには外部のリソース活用も視野にいれることを推奨 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 41 お問い合わせ先 内容に関するお問い合わせ NRIセキュゕテクノロジーズ テクニカルコンサルテゖング部 中島 TEL:03-6274-1011 E-mail:[email protected] 「サバーセキュリテゖ 傾向分析レポート2013」は下記URLから 無料でダウンロードできます。 http://www.nri-secure.co.jp/news/2013/0710_report.html Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved. 42 Copyright(C) 2013 Nomura Research Institute, Ltd. All rights reserved.