Comments
Description
Transcript
IPA
「情報セキュリティ月間」キックオフ・シンポジウム パネルディスカッション2 情報セキュリティにおける 脅威の動向とその対策 の展望について ~IPA~ 独立行政法人情報処理推進機構(IPA) セキュリティセンター セキュリティセンター長 矢島 秀浩 情報セキュリティ技術ラボラトリー長 小林 偉昭 2011.2.1 パート1 IPAの紹介 IPAとは (Information-Technology Promotion Agency,Japan) ◇経済産業省所管の独立行政法人 ◇IT産業の健全な発展を推進し、国民すべてにITのメリットが行き渡る社会の実現に向けた取組み ◇次の4つの柱がIPAの重点施策 1-1 IPAセキュリティセンターの位置づけ 1-2 IPAセキュリティセンターは情報セキュリティ全 般の概況を『トピックス10』と『10大脅威』として 、毎年、情報セキュリティ白書にて紹介 全国書店(官報販売所) より入手可能 Amazon 1-3 『 トピックス10』2010年版 (情報セキュリティ白書より) 1-4 『10大脅威』第1位の推移 2006年版 『事件化する SQL インジェク ション』 2007年版 『Winny自動閲 覧ネットワーク』 2008年版 『誘導型攻撃の脅 威』 情報搾取を 目的とした 攻撃 情報漏えい の深刻化 悪意あるサイト への誘導 ウェブサイトに不 正な入力を送りつ けるなどしてウェ ブサーバアプリ ケーションや内部 のデータベースを 攻撃する方法 P2Pネットワークは、 流出しやすいだけで なく、流出した情報 が流通し続けてしま うというもう一つの脅 威が存在している 攻撃者による罠のウェ ブページやメールを閲 覧することにより、利 用者は情報漏えいをさ せられてしまう 2009年版 『DNSキャッ シュポイズニン グの脅威』 2010年版 『ガンブラーの 脅威』 正規サービスの 攻撃基盤利用 DNSサーバーの ホスト名とIPアドレ スの情報を書き換 える攻撃。正しい URLを指定しても 罠のサイトを閲覧 してしまう 改ざんされたウェブ サイトへのアクセス により、FTPアカウ ント等が盗まれ、自 サイトまでも改ざん の脅威に晒される 2011年版 ??? ??? ??? 1-5 パート2 情報セキュリティにおける 脅威の動向について ~IPA~ 2010年版 10大脅威 『あぶり出される組織の弱点!』 http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf セキュリティの脅威を学ぶ。 【1 位】変化を続けるウェブサイトの改ざんの手口 【2 位】アップデートしていないクライアントソフト 【3 位】悪質なウイルスやボットの多目的化 【4 位】対策をしていないサーバ製品の脆弱性 【5 位】あわせて事後対応を!情報漏えい事件 【6 位】被害に気づけない標的型攻撃 【7 位】深刻なDDoS攻撃 【8 位】正規のアカウントを悪用される脅威 【9 位】クラウド・コンピューティングのセキュリティ問題 【10 位】インターネットインフラを支えるプロトコルの 脆弱性 ダウンロード数 初版からの累計で、約97.2万件 2010年版は、約30.1万件 Copyright © 2011, IPA all right reserved. 2-1 2010年版 10大脅威 『あぶり出される組織の弱点!』 http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf 2009年における組織へのビジネスインパクト Copyright © 2011, IPA all right reserved. 2-2 2010年版 10大脅威 『あぶり出される組織の弱点!』 http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf 「2010年版 10大脅威」はIPAに届出のあったコンピュータウイルス、不正アクセス および脆弱性に関する情報や、インターネット等で一般に報道された情報を基に、 「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュ リティ分野における研究者、実務担当者など120名から構成される「10大脅威執 筆者会」でまとめたもの。2005年から毎年公開しており、今年で6回目。 2010年版 10大脅威 2009年事例 10大脅威 運営者・開発者向け: 経営者向け: リスク・影響・対策 リスク・影響・対策 「2010年版 10大脅威」では、経営者 向けに脅威が及ぼす、組織へのビジネ スインパクトの考察を記載。 組織が対策すべき項目は何か、 対策を企画するための資料。 2011年版10大脅威 作成中(2011.3公表予定) Copyright © 2011, IPA all right reserved. 2-3 2011年版 10大脅威カテゴリ別 (経営者/システム管理者/開発者) 脅威を訴えかけたい対象者 10大脅威 既知の攻撃を組み合わせた新しいタイプの攻撃 経営者 システム管理者 ◎ ○ 進化し続けるウェブサイトを経由した攻撃 ◎ 狙われる定番ソフトウェアの脆弱性 ◎ 被害に気付けない標的型攻撃 ◎ 開発者 ○ 狙われだしたスマートフォン ◎ 携帯サイトのセキュリティ ◎ セキュリティ実装不備がもたらすトラブル ○ 「人」が起こしてしまう情報漏えい ◎ ◎ ○ SNSユーザを狙った攻撃 ◎ クラウドのセキュリティ ◎ Copyright © 2011, IPA all right reserved. ○ ○ 2-4 パート3 情報セキュリティにおける 脅威の対策 ~IPA~ 社会インフラへの攻撃の広がり 生活・ビジネス 発電所 電力送電網 社会インフラ 電力配電網 社会インフラ への影響 情報システム ITインフラ 制御システム 監視・制御装置 センサ、製造装置等 Copyright © 2011, IPA all right reserved. 攻撃 攻撃 コントローラ 制御機器 ベンダ 3-1 2011年版 10大脅威カテゴリ別 (経営者/システム管理者/開発者) 脅威を訴えかけたい対象者 10大脅威 既知の攻撃を組み合わせた新しいタイプの攻撃 経営者 システム管理者 ◎ ○ 進化し続けるウェブサイトを経由した攻撃 ◎ 狙われる定番ソフトウェアの脆弱性 ◎ 被害に気付けない標的型攻撃 ◎ 開発者 ○ 狙われだしたスマートフォン ◎ 携帯サイトのセキュリティ ◎ セキュリティ実装不備がもたらすトラブル ○ 「人」が起こしてしまう情報漏えい ◎ ◎ ○ SNSユーザを狙った攻撃 ◎ クラウドのセキュリティ ◎ Copyright © 2011, IPA all right reserved. ○ ○ 3-2 2011年版 10大脅威の脅威相関図 (一部) 関連する10大脅威 個別攻撃手法(ペイロード部): x位 止まらないウェブサイトを経由した攻撃 特定の組織に特化した攻撃 y位 定番ソフトウェアの脆弱性を狙った攻撃 共通攻撃手法(ランチャー部): z位 既知の攻撃を組み合わせた新しいタイプの攻撃 w位 攻撃に気付けない標的型攻撃 システムへの侵入や攻撃者のサーバとの通信(マ ルウェアのアップデート等)に使用される攻撃 入口部 共通攻撃手法 個別攻撃手法 情報漏えい 例:米石油会社 w位 標的型攻撃 ○○○○ ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ y位 定番ソフトウェアの 脆弱性を狙った攻撃 x位 止まらないウェブサイト を経由した攻撃 システム破壊 例:Stuxnet USB感染マルウエア Stuxnet Copyright © 2011, IPA all right reserved. 3-3 『新しいタイプの攻撃』の流れ 既知の攻撃を組み合わせた新しいタイプの攻撃 <共通攻撃手法と個別攻撃手法の流れ> (共通攻撃手法) ①インターネットやUSBメモリを通じた情報システムへのウイルス感染 ②システムの脆弱性を利用することによる情報システム環境内部でウイルスの拡散 ③バックドアを作成し、外部の指令サーバ(C&Cサーバ)と通信することにより、 ④ウイルスの増強や新たなウイルスのダウンロードの実行 ※ウイルスの増強やダウンロードは以降④⑤の手順でも実行される可能性あり。 (個別攻撃手法:Stuxnetの場合) ⑤原子力システム等を制御する装置が配備してある、制御システムへの侵入 ⑥制御システム上にある装置に対する攻撃の実行 標的型メール攻撃やUSBメモリを悪用したウイルス等による組織の情報搾取を目的とした情報システムへの攻撃 においても同様な共通的攻撃手法が用いられる。 個別攻撃への対策よりも、共通攻撃に対する対策が重要 ランチャー部の侵入を防げば、個別攻撃まで進まない!! Copyright © 2011, IPA all right reserved. 3-4 システム設計からの脅威への対策 部分的な対策では防げなくなってきています IPAテクニカルウォッチ「新しいタイプの攻撃」に関するレポート に掲載した「脅威と対策研究会」でまとめた 新しいタイプの攻撃における「共通攻撃手法」への対策6項目 No 機能要件項目 機能要件内容 要件理由及び背景 設計事例 1 プロキシの認証情報のチェック 一般PCの外部Webアクセス時、認証プロキシ による認証アクセスを設計。 ウイルスが、独自の通信メソッドを用いて搾取した情報を 悪性サイトに送信する場合、認証情報を使用しない場合 が多いことが確認されている。 ※ウイルスが既認証状態を使用した攻撃仕様となった場 合は、防止出来ない。 ・認証プロキシ 2 HTTP,SSL通信のヘッダーチェック 外部通信(GET,POSTコマンドのヘッダー等通 信内容)の検出・遮断。 ウイルスが窃取した情報を外部の悪性サイトに送付する 場合、新たな攻撃コードをダウンロードする場合、C&C サーバからの指示を受信する場合に多くは 80/tcp,443/tcpが用いられる。 ・NOC/SOC監視 3 未知のウイルスを検出可能なソフト ウェアの導入 ゼロデイ脆弱性含む、ウイルスが脆弱性を使 用した時の挙動検知。 PC上のウイルスの脆弱性利用等の挙動などから攻撃動 作を検出することにより、未知ウイルスや、未知の脆弱性 を突く「ゼロデイ攻撃」を検出し防御することが可能な製品 が複数の企業から発表されてきている。 ・ただし、従来のウイルス対策ソフトを補完するものとして、 防御機能、管理工数等十分な評価の上で設計利用検討 の可能性がある。 ・振舞い検知タイプのウイ ルス対策ソフトの導入 4 スイッチ等でのVLANネットワーク 分離設計 ルータ、スイッチによる必要なアクセス範囲に 限定した、VLAN及びルーティング設定。 特に、管理系端末LANの分離設計。 システムへの影響を最小化するため、攻撃時の影響範囲 をネットワーク設計上分離できるようにする。 ・Conficker、Stuxnet事案等対処事例 ・ネットワーク設計 ・ルータ、スイッチのVLAN 設定 5 最重要部のインターネット直接接続 の分離設計 最重要部の通常サービス(http,ssl)に関する インターネット直接接続を分離設計し、外部か らの制御シーケンスの影響を回避する。 外部からの制御シーケンスは、http,ssl等の通常通信を多 用する。 USB等を介し、最重要部にウイルスが侵入した場合でも、 インターネットを介した環境等攻撃分析情報の搾取、攻撃 ウイルス更新、攻撃指示の影響を回避する。 ・ネットワーク設計 6 システム内P2P通信の遮断と検知 VLAN設定において、P2P通信の到達範囲を 限定する。 外部のダウンロードサーバからアップデートされるウイル スは、外部接続可能なP2P用に仕立てた内部PCを経由し て、内部システムに存在するウイルスの一斉バージョン アップやリモートコントロールを行う。 ・ネットワーク設計 Copyright © 2011, IPA all right reserved. 3-5 アプリケーションのバージョンアップが重要 ・悪意ある者が、FTPアクセスにより、 改ざんウェブページをアップロード ・悪意あるウェブサイトには、Adobe製 品の脆弱性を突くウイルスが・・ Copyright © 2009, IPA all right reserved. Copyright © 2011, IPA all right reserved. メールに添付されている文 書ファイルや圧縮ファイルに は、脆弱性を悪用するウイ ルスが仕込まれていること 19 がある 3-6 できることを確実にやりましょう 最新バージョンのソフトを利用しましょう 20 Copyright © 2011, IPA all right reserved. 3-7 ウイルス対策について できることを確実にやりましょう • 新しいコンピュータウイルスが日々発見されているため、新しい ウイルスを検出できるような設定にしなければウイルスに感染 する可能性があります。 最新のウイルス対策が出来るように設定を確認しましょう。 ウイルス対策ソフトのウイルス定義フ ァイルを自動更新するなどのように、 常に最新のウイルス定義ファイルにな るようにしていますか? ○:実施している △:一部実施している ×:実施していない 4点 2点 Copyright © 2011, IPA all right reserved. 0点 3-8 パスワードについて できることを確実にやりましょう パスワードは自分の名前を避けるなどの ように、他人に推測されにくいものに 設定していますか? • パスワードを他人が見えるような場所 に貼らないなどのように、他人にわか らないように管理していますか? • ログイン用のパスワードを定期的に変 更するなどのように、他人に見破られ にくくしていますか? どうぞ、 使って下さい!! ○:実施している △:一部実施している ×:実施していない 4点 2点 Copyright © 2011, IPA all right reserved. 0点 3-9 パート4 今後の展望について ~IPA~ 日本のユーザの意識 4-1 経営者の意識 Q:貴社の経営者は、情報セキュリティ対策にどのような姿勢・意識で取り組んで いると思いますか 1. 経営者自らが対策を進めている(対 策検討中を含む) 1% 0% 8% 2. 基本的に担当者や外部専門家に任 せれば良い(任せざるを得ない) 4% 48% 39% 3. 情報漏洩などに関係する任意保険 に入っていれば良い 4. セキュリティ事故(例えば情報漏洩 やウェブサイト改ざん)が起きてから対 応すればいい(対応せざるを得ない) 5. 全く情報セキュリティ対策は必要な い 6. 分からない 2009年度IPA情報セキュリティセミナーアンケートより 4-2 プライバシー侵害に係る リスクの認知状況と対策状況 (日欧比較) <サンプル>15歳-25歳:1006(日本Yで表現) 調査期間:2010年3月12-16日 15歳以上:1076(日本Aで表現) IPA『eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査報告』より 4-3 グローバルな協調とともに、 日本の社会の特徴を考慮した情報 セキュリティの対応が求められる 4-4 グローバルな協調とともに、 日本の情報セキュリティ力の強化 日本の社会の特徴を考慮した情報 セキュリティの対応が求められる 4-5 日本の情報セキュリティ力の強化 ユーザの意識向上 4-6 脆弱性対策の推進 4-7 『脆弱性体験学習ツールAppGoatの開発・公開』 New! ■概要 ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法 等を演習環境で体験的かつ実践的に学ぶツール「脆弱性体験学習ツール(AppGoat)」 を開発・公開し、脆弱性対策を促進する。(2011年1月27公開) ■ツールの概要 脆弱性実習ツール AppGoat ダウンロード 利用者はウェブ画面上で演習と学習 教材を通して学習を進める。 ①脆弱性の解説 学習教材 ②脆弱性の発見 演習環境 ③対策方法解説 学習教材 ④プログラム修正 演習環境 ⑤検証手法確認 演習環境 脆弱性学習 IPA ウェブサイト ウェブアプリケーション 演習環境 ウェブサイト運営者 脆弱性学習 提供機能 ソフトウェア製品開発者 (組込み技術者を含む) サーバ・デスクトップ アプリケーション 演習環境 ウェブアプリケーション演習環境 – 演習用に準備された故意に脆弱性を持たせた擬似的なウェブサイト サーバ・デスクトップアプリケーション 演習環境 – 演習用に準備された故意に脆弱性を持たせた、擬似的なサーバ及びデスクトップアプリケーション等の集合 学習教材 – 利用者の演習の補助や理解・知識を深めるための教材 31 4-8 脅威に係る 情報共有と対策の提示 4-9 脅威と対策研究会 & テクニカルウォッチ 4-10 国内外の関係機関との連携の一層の強化 (みんなで守る) Virus Bulletin Conference EICAR European Institute for Computer Antivirus Research Korea Internet & Security Agency FIRST Forum of Incident Response and Security Teams European Network and Information Security Agency National Information Security Center AVAR Association of anti Virus Asia Researchers Economic Research Institute for ASEAN and East Asia National Institute of Information and Communications Technology 国際的 な連携 4-11