Comments
Description
Transcript
1 イスラエルにおけるボットに対する取組み状況調査報告書概要
イスラエルにおけるボットに対する取組み状況調査報告書概要 1 調査内容 ボットによる被害は世界的に拡大しているが、海外における詳しい被害実態を、日本から把 握することは困難である。そこで、セキュリティ産業が盛んであるイスラエルにおいて、ボッ ト対策の現状等について調査を実施する。又、イスラエルにおけるボットに対する調査・研究 実績、セキュリティ製品の動向についても調査を実施する。 ○ 調査項目 イスラエルにおける: ① ボットによる被害事例、被害内容、被害額等の実態。 ② ボット対策の取組み、施策の動向。特に、政府等の公的機関が取り組んでいる施策や研究 実態。 ③ ボットに関する研究を行っている機関。活動の実態や実績等。 ④ ボットに対応するためのセキュリティ製品の動向。 2 調査報告書概要 (1) イスラエルにおける Bot の現状・統計(1∼2 章) ○ イスラエルにおける統計(民間企業調べ) ・イスラエル政府機関に向けられる BotNet 攻撃は、年間 14,000 件にものぼる ・一日当たりの Active な Zombie の数は、500 万∼1,000 万 ・単一の BotNet に対する Zombie の平均数は、1 万∼20 万 ・24 時間毎に活性化する Zombie 数は、20 万∼50 万 (2) Bot による被害事例及び被害額推計(3∼4 章) ○ Bot による被害事例 ・Bot を利用した産業スパイ事件(2004 年 6 月) ・エストニアへの攻撃(2007 年 4 月) ・100 万を超える Zombie により、政府機関等の Web サイトへ DDoS 攻撃 ・グルジアに対しても、同様の攻撃あり(2008 年 8 月) ・イスラエル人3名による、BotNet を利用した銀行の顧客 ID 窃盗 ・eBay サイトへの攻撃(2007 年 9 月) ○ Bot(スパムメール)による被害額推計 ・イスラエルの企業により、Bot(スパムメール)による被害額を推計した結果を紹介 ・金銭的な損害は、大企業やエンドユーザに深く関与 1 ・損害額やセキュリティ投資額を公表する企業は少ない ・政府機関や諜報機関の優位性が損なわれるケースも大きな損害の一種 (3) Bot 対策(5 章) ○ 防止策 ・BotNet の増殖を予防することは困難 ・Zombie が活性化されるまでは、感染した事実に気付かない ・P2P の利用により、帯域幅と拡散率が増大する ・Bot が潜入できる欠陥が大変多い ○ 関係するイスラエル政府機関・軍事機関 ・国家のインターネットセキュリティを担当する機関 ・Director of Security of the Defense Establishment(国防省傘下) ・政府の ISP、Tehila(財務省傘下) ・Ministerial Committee(閣僚委員会) ・各省庁のメンバーで構成する特別委員会 ・サイバー攻撃を防ぐための法律・規則等の策定、対策の実施 ・政府機関 CERT ・2005 年に設立、サイバー攻撃への対応が主任務 ・情報セキュリティの専門家やし市民に対し、コンピュータウイルスやネットワーク攻 撃から保護する方法について情報提供 ・メーリングリスト(2008 年 8 月より) ・CERT の前長官により創設 ・Bot 対策を含む各種情報を提供 ・BotNet や C&C サーバ発見時の通報先としても機能 ○ イスラエルの法律 ・The Computer Law ・1995 年制定、サイバー攻撃者に対し、懲役 3∼5 年を規定 ・コンピュータ及びコンテンツの妨害(侵入、転送、ソフトウェア導入等)禁止 ・違法コンテンツ、コンピュータウイルスの導入、Dos 攻撃等禁止 ・トロイの木馬プログラムの作成、配布禁止 ・スパム規制法 ・2008 年 5 月に Communication Law を改正、同年 12 月施行 ・電子メール、FAX、携帯電話等のショートメッセージ(SMS)等、あらゆるスパムを 規制 2 ・違反者には、スパムメール1通当たり 1000 シェケル(約 22,000 円)の罰金 ○ 民間セクター ・必要とされるのは、ただのスパム対策、ウイルス対策以上のもの ・メール送受信、添付ファイル、その他のメッセージを独自のルールに基づいて管理で きる洗練されたツールである ・組織全体にわたるポリシーの導入も求められている (4) Bot に関する調査研究(6 章) ○ Bot 及び BotNet に関する研究 ・Barak Nirenberg(Technion, Israel Institute of Technology)による研究 ・Bot、BotNet について、その最新動向、伝播方法、特徴等について報告 ○ BotNet の検知と特定に関する研究 ・David Hoeflin とその仲間による研究 ・BotNet を検知し、特定できるアルゴリズムを考案、システムを開発 ・システムの特徴は以下の通り ・検知技術が受動的なため、BotNet オペレータに気付かれない ・誤検知率が 2%以下 ・暗号通信を利用する BotNet も検知可能 ・BotNet に加わることなく、BotNet の大きさと活動内容を推定可能 ○ 見えない裏で BotNet が活動しているかを検知する研究 ・Yoav Atsion(ヘブライ大学)による研究 ・BotNet の挙動について研究 ・CPU リソースの消費を隠すため、検知が困難な場合がある ・或いは、無関係なプロセスを不正プロセスと誤認してしまう場合もある ・CPU クロックの変化を観察することによって、不正プロセスを検知する ○ パケットのカプセル化による DDoS 攻撃防止 ・Dr. Avital Yachin(Technion, Israel Institute of Technology)による研究 ・パケットレベルの認証機構を作り、攻撃から守る研究 ・各パケットを秘密の鍵(送信者と受信者のみ知る)でカプセル化 ○ VPN を通じた秘匿チャンネルの検知に関する研究 ・Isakov Yehiel(Technion, Israel Institute of Technology)による研究 ・秘匿チャンネルやステガノグラフィー(ファイル内に隠す技術)等、通常の技術では検 知困難な秘匿技術を理解する 3 ・秘匿チャンネルは、キャリアとして機能するネットワーク・プロトコルを必要とするた め、その観点から検知できる技術を研究 ○ 秘匿タイミングチャンネル ・Jonathan Avidal と Oren Ben Simon(Technion, Israel Institute of Technology)に よる研究 ・検知が極めて困難な秘匿チャンネルを作ることがこの研究の目的 ・秘匿チャンネルは、秘密情報(パスワードや暗号鍵等)の送受に利用するチャンネル ・タイミングチャンネルは、反応時間のズレを利用して情報のやりとりを行うもので、管 理者や監視プポログラムに検知されにくい (5) BotNet に関する最新動向(7 章) ○ BotNet の侵入を検知、防止する技術及びイスラエル内で開発された製品について考察 ○ IUCC/IDC Internet Telescope ・Efi Arazi(Israel Inter-University Computation Center : IUCC)による研究 ・Internet Telescope は、偽造 IP トラフィックの拡散を監視するツール ・ランダムに偽造 IP アドレスからばらまかれる BotNet による攻撃を検知可能 ○ P2P 接続 ・BotNet が P2P 接続を利用すると、C&C が必要なくなる場合がある ○ ブログ及び個人のホームページ等 ・ブログ等が BotNet の標的に利用される傾向がある ・facebook も BotNet に対して脆弱、cookie や隠された form ID を利用したなりすまし ○ 将来の BotNet 開発 ・BotNet の数は日毎に増加するが、その大きさは小さくなる ・BotNet は小さい方が特定されにくい、又、販売・貸出されやすい ・BotNet は、市場においては望まれる商品であり、多くの人が購入を希望 ・将来にわたって、コンピュータの敵として君臨する恐れあり (6) イスラエル製のセキュリティ製品の動向(8 章) ○ Mi5 Networks(WebGate) ・Bot の検出・遮断を行うソフトウェア ・Bot を検知すると、外向きのトラフィックを遮断 ・Bot に感染した PC のうち、活動期にあるのは 5∼15%のみだが、WebGate は、一度で も Bot 活動が認められた PC にもフラグを付け、活動期にある Bot から優先的に処理 4 ・外部からの Bot やトロイの木馬攻撃を遮断するのみならず、BotNet の拡散を追跡し、 Bot による外部への情報伝達を阻止 ○ CheckPoint ・Firewall や IDS 開発で有名、ネットワークインフラ保護のための技術を開発 ・ネットワーク及びアプリケーション層への攻撃を防止 ○ CommTouch Ltd.(Zero-Hour™ Virus Protection) ・e-mail 通信の保護技術を開発 ・シグネチャに依存せず、怪しい通信を遮断する ○ BEYOND SECURITY LTD. ・セキュリティホールを発見するツールを開発 ・セキュリティポータル上で脆弱性情報、パッチ情報を公開 ・内外からネットワークへの侵入試験を試みる自動スキャンエンジンを開発 ○ PINEAPP LTD.(Mail-SeCure、Surf-SeCure) ・BotNet やスパムから、ネットワークや email システムを守る技術を開発 ○ Applicure Technologies Ltd. ・内外からの攻撃から、Web 及び Web アプリケーションを守る技術を開発 ○ BeeFence ・誤検知を除去し、実攻撃を緩和するリアルタイム調査技術を開発 ・主に外部からの、BotNet、トロイの木馬、スパム等の攻撃からネットワークを保護 ○ Radware Ltd.(DefensePro) ・Dos 攻撃、BotNet、サーバマルウェア等の脅威に対処するための技術を開発 ・攻撃がアプリケーションレベルに到達する前に遮断 ・多重レイヤの保護を導入、人間の介入なしに、BotNet やトロイの木馬、Zero-Day 攻撃 等からネットワークを保護 5