Comments
Description
Transcript
SQAT Security Topics
S.Q.A.T. Security Topics March 2011 Vol.27 INDEX ・ IPA 調査、WAF を導入している組織の 4 割は脆弱性の修正を放棄?! ・ フォレンジック捜査に新たな“敵”現る ・ 企業内で使用するエンドポイント、適切なセキュリティ対策を ・ データ侵害における被害額、2010 年は前年よりさらにアップ ・ ユーザ登録の前に立ちはだかる難問、これにはボットもお手上げ?! ・ 東日本大震災に便乗したオンライン詐欺や攻撃に注意 ・ スマートフォン利用率増加に、カードセキュリティ業界も対応を検討 ・ 誕生 25 周年を記念し、最も悪名高いコンピュータウイルスのトップ 25 を 表彰 IPA 調査、WAF を導入している組織の 4 割は脆弱性の修正を放棄?! 2011 年 2 月末、独立行政法人 情報処理推進機構(略称:IPA)より相次いで脆弱性対策に関する調 査報告書やガイドラインなどが公開された。 同調査の目的は、国内の組織における脆弱性対策の実態を把握することと、対策の普及・推進にあ たっての課題を抽出することにある。 調査の結果、組織の規模によって脆弱性対策の取り組みに違いがあることが明らかになった。中小 企業等は、大企業等に比べて被害経験が乏しいため、対策の必要性を強く感じていないのだという。 コスト面でも問題もあるだろうが、Web サイトの脆弱性診断やクライアント PC の脆弱性対策など、 中小企業における実施率は大企業の半分以下となっている。 不正アクセス等の被害経験は、中小企業等では 14.9%であるのに対し、大企業等では 47.1%に及ん でいる。IPA では、この結果について、名の知れた大企業等のほうが攻撃の標的になりやすいためだ という。また、中小企業等の数値については、セキュリティ対策が進んでいないために被害に気が付 いていない可能性もあり、実際は 14.9%より高いのではないかと指摘する。 また、脆弱性対策の一つとして Web アプリケーションファイアウォール(WAF)を導入している組 織は、大企業等では 48.2%、中小企業等では 24.1%という結果が出た。しかし、WAF を導入してい る組織の約 4 割は「WAF によって脆弱性への攻撃を防御し、Web アプリケーションを修正しない」 と答えている。WAF による防御効果は高いが万全ではない。IPA は、根本的な対策、つまり脆弱性 の修正を実施しないと、万が一 WAF による防御壁が崩された場合に被害を受ける恐れがある、と述 べた。 なお、脆弱性対策における主な課題には、以下のようなものが挙げられた。 y 増え続ける脆弱性に逐一対応するのは難しい y 全システムに対策を行うのは難しい y 対策にコストがかかる y 社内外に対策に必要な体制・人員が整備されていない y 経営層の理解が乏しい y システムに影響を及ぼす可能性があるため、対策を適用できない など IPA では、こうした結果を受け脆弱性対策に関するガイドラインを複数発行した。特に、組織にお けるセキュリティ担当者への啓発が重要だとし、「セキュリティ担当者のための脆弱性対応ガイド」 を公開した。 Copyright©BroadBand Security, Inc. 2 同ガイドでは、3 件の事例を紹介するなどして脆弱性対策のポイントを基本的なことから説明して いる。情報システムのライフサイクルの様々な場面において要求される対策や、外部委託におけるセ キュリティ上の注意事項、実際に脆弱性が悪用されトラブルが発生した場合の対処方法などが記述さ れている。 同ガイドは、情報システムセキュリティ分野での経験や知識がまだ浅い担当者もいることを想定し て作成されているため、「脆弱性とはなにか」といった初歩的な解説から始まっており、自社に専任 の情報セキュリティ部門があるような大企業のセキュリティ担当者で、既に豊富な経験を持つ人には 物足りないかもしれない。あるいは「なぜ、今さらこんな初歩的な事柄を集めたガイドラインを発行 するのか」と考えるセキュリティ担当者もいることだろう。 しかし、世の中には様々な“セキュリティ担当者”が存在する。何百台というサーバの安全を任さ れている大企業等のセキュリティ担当者もいれば、ウイルス対策ソフトさえインストールすれば対策 は十分、と考える総従業員数 3 名の会社のセキュリティ担当者だっているのだ。同ガイドは、このよ うに幅広い層に向けた啓発資料となっているが、後者のようなセキュリティ担当者には是非活用して もらいたいものである。 IPA:http://www.ipa.go.jp/ Copyright©BroadBand Security, Inc. 3 フォレンジック捜査に新たな“敵”現る 豪セキュリティ研究者 2 名による研究結果発表によると、デジタルフォレンジックの「黄金時代」 は、ソリッドステートドライブ(SSD)の普及によって、終焉を迎えるという。 Flash ドライブに保存されたデータは、磁気ベースのハードドライブに保存されたデータと違い、 研究者らが「自己腐食」と呼ぶプロセスの対象となる。ユーザから明示的に命令が出されなくても、 データは SSD によって自動的に“改変”されてしまうのだ。そのためデータの完全性は失われ、フ ォレンジック捜査における証拠としての信頼性に“グレーゾーン”が生まれてしまうことが懸念され ている。 研究者らは報告書の中で「消去されたデータやメタデータの科学的な復元や分析における『黄金時 代』は過去の栄光となりそうだ」と述べた。 フォレンジック捜査官は何十年もの間、テープやフロッピーディスク、ハードドライブから“消さ れたはずのデータ”を復元してきた。これは、ディスク・ワイプを実行しても完全にデータが消去さ れないことがあるからだ。しかし SSD の場合は違う。 SSD は、データをブロックまたは NAND 型メモリチップに保存する。消去されたデータは一度は そのまま空き領域に残るが、ユーザから再度書き込み命令があると、自己修復機能やガベージコレク ションなどにより、永久的に消去もしくは改変される。また、PC 上で書き込み防止機能が有効にな っていたとしても、SSD は PC の発行するコマンドから完全に独立しているため、ガベージコレクシ ョンは発動するという。 「もしガベージコレクションがフォレンジック捜査の前もしくは真っ最中に発生した場合、重要な データが大きな範囲で失われることになりかねない。フォレンジック捜査プロセスにおいて通常証拠 として収集されるべきデータが収集できなくなるのだ。我々はこの事象を“証拠の腐食”と呼んでい る」と研究者らは報告書に綴った。 この研究結果は、電子的な証拠に依存する刑事または民事訴訟の判決に大きな影響を及ぼすことだ ろう。提出された証拠の完全性が保証できないとなれば、裁判では不利になる。 最近では、SSD を製品に組み込むコンピュータメーカーも増えている。SSD には HDD に比べ、読 み出し速度が速い、低消費電力・低発熱、小型化や軽量化が容易、耐衝撃性が高い、などという利点 がある。今後、普及はさらに進むことが予測されており、フォレンジック捜査官にとっては悩みの種 となるだろう。 研究結果報告書は以下より閲覧できる。 http://www.jdfsl.org/subscriptions/JDFSL-V5N3-Bell.pdf Copyright©BroadBand Security, Inc. 4 企業内で使用するエンドポイント、適切なセキュリティ対策を 米 IBM の最新調査によれば、調査を実施した企業の 7 割以上がスマートフォンや iPad、その他エ ンド・ポイント・デバイスを企業のネットワークに接続することを許可していることが明らかになっ た。しかし、その一方で許可していると答えた企業の約 4 割は、それらデバイスが適切にセキュリテ ィで保護されていないという。 現在でも、企業内で最も大きな脅威となるエンドポイントは PC やラップトップであることに変わ りないが、最近ではスマートフォンやタブレットも脅威として認識されつつある。主な原因は、企業 におけるエンドポイントの利用を全て把握できていないことにある。個人が持ち込んだモバイル・エ ンドポイントをセキュリティ担当者が掌握、管理することはほぼ不可能だ。 それでは、こうしたデバイスの企業への持ち込み自体を禁止すれば良いのではないだろうか。 米 IBM セキュリティソリューション部門の Marc van Zadelhoff 氏によれば、 それも難しいという。 というのも、最初にモバイル・エンドポイントを社内に持ち込み、ネットワークに接続しようとする のは、大抵の場合「経営層」だという。一介のセキュリティ担当者が経営層の“お偉方”に向かって 「企業ネットワークに接続するな」とは、なかなか言えないようだ。 企業における情報セキュリティを成功させるには、経営層の協力が必要だといわれている。新しい おもちゃを部下に自慢したい気持ちも分からなくはないが、様々なエンドポイントが攻撃の対象とな る現状を踏まえ、経営層は率先してセキュリティ対策にあたって欲しい。セキュリティ担当者に関し ては、経営層に対しても「NO!」と言える勇気を持てるよう願っている。 Copyright©BroadBand Security, Inc. 5 データ侵害における被害額、2010 年は前年よりさらにアップ 米情報管理調査会社 Ponemon Institute より、データ侵害が企業に及ぼす影響を調査、分析したレ ポート「2010 Annual Study: Cost of a Data Breach」が公開された。本調査は 2005 年から毎年実施 されており、今回で 6 度目となる。 データ侵害は時に大きな被害をもたらすことがあるが、2010 年は「WikiLeaks」による機密情報の 大量流出が発生したこともあり、さらにそれを痛感したことだろう。 Ponemon が 2005 年に調査を開始した当初から、データ侵害が企業に及ぼす被害額は年々増加して いる。同社の調査結果によれば、データ侵害が企業に及ぼした被害を金額に換算した場合、2010 年の データ 1 件当たりの平均被害額は 214 ドルとなった。被害額には、直接的費用(専門家による調査、 ヘルプデスクの設置、訴訟費用、信用監視サービスの提供など)および間接的費用(社内における調査 や体制作り、顧客離れによる機会損失など)が含まれる。年度ごとの比較は以下のとおりである。 【データ 1 件当たりの平均被害額(年度別)】 年 平均被害額 2005 年 138 ドル 2006 年 182 ドル 2007 年 197 ドル 2008 年 202 ドル 2009 年 204 ドル 2010 年 214 ドル 同社の分析によると、被害額の増加には主に次の事柄が関係しているという。 ・“早期対応”を行う企業の増加 調査の結果、調査対象の 43%がデータ侵害発覚後一ヶ月以内に、被害者に対して通知等を含む対 応を行っていることが明らかになった(前年の 2009 年は 36%)。多くの場合、データ侵害の影響 範囲を正確に把握する前に通知を行っているため、必然的にコストが高くなるのだという。利用 者に対する姿勢としては非常に重要かつ健全なものかもしれないが、裏を返せば必要のない出費 が発生している可能性がある。データ 1 件当たりの平均被害額は、“早期対応”を行った企業で は 268 ドル、十分な時間を調査に費やした企業では 174 ドルと、大きな差が発生している。 ・「悪意のある攻撃/犯罪目的の攻撃」による被害額が過去最高に 2010 年に発生したデータ侵害の約 3 割が、「悪意のある攻撃/犯罪目的の攻撃」であった。また、 これによるデータ 1 件当たりの平均被害額は他のどの要因よりも高い 318 ドルで、2009 年の平 均 215 ドルよりさらに上昇している。 Copyright©BroadBand Security, Inc. 6 【データ 1 件当たりの平均被害額(侵害の要因別)】 要因 平均被害額 悪意のある攻撃/犯罪目的の攻撃 318 ドル 第三者機関(外部委託先等) 302 ドル デバイスの紛失/盗難 258 ドル システム障害 210 ドル 従業員による人為的ミスおよび注意力不足 196 ドル なお、上記 5 つの要因を発生頻度別に見ると、以下のような結果となった。 ※( )内は前年の割合。 【データ侵害の要因】 要因 発生頻度 悪意のある攻撃/犯罪目的の攻撃 31% (24%) 第三者機関(外部委託先等) 39% (42%) デバイスの紛失/盗難 35% (36%) システム障害 27% (36%) 従業員による人為的ミスおよび注意力不足 41% (40%) 「従業員による人為的ミスおよび注意力不足」 は 2009 年に引き続き最も大きな要因となっている。 しかし Ponemon によれば、情報セキュリティ対策を積極的に実施する企業は徐々に増えており、 「シ ステム障害」や「デバイスの紛失/盗難」、「第三者機関(外部委託先等)」によるデータ侵害が減少の 傾向にあることがそれを物語っているという。 データ侵害を受けた企業において、再発を防止するために最も一般的に実施される対策は、従業員 のセキュリティ意識向上を図る教育プログラムの導入とポリシーや基準、手順書の整備および実施で ある。2010 年は、これらに加えて暗号化ソリューションの活用拡大が重要視された。調査対象の 61% が、(データ侵害後に)暗号化ソリューションを強化したと答えている。 だが、これについてグローバルセキュリティ企業 Symantec は「データ侵害による被害額を減らし たいのであれば、侵害が発生する前に暗号化ソリューションの導入もしくは強化を実施すべきである。 侵害が発生した後では、既に手遅れだ。流出してしまったデータに対しては全く効果がない」と指摘 する。 Copyright©BroadBand Security, Inc. 7 Ponemon では、データ侵害における主な予防策として以下を挙げている。 y データの暗号化 y データ紛失防止(DLP)ソリューション y 身元管理/アクセス制限ツール y エンドポイント・セキュリティ y マルウェア対策ツール など 2010 年度の調査には 51 の米企業(15 業種)が協力し、調査の実施支援は Symantec が行った。デー タ侵害における 2010 年度の平均被害額は、侵害を受けた米企業 1 社当たり約 725 万ドル(2009 年は 675 万ドル)となっている。 Ponemon Institute:http://www.ponemon.org/ Symantec Corporation:http://www.symantec.com/ Copyright©BroadBand Security, Inc. 8 ユーザ登録の前に立ちはだかる難問、これにはボットもお手上げ?! 近年、社会的に問題となっているスパムメールだが、その多くはボットに感染したコンピュータから 送信されている。このボットによる無差別なスパム送信やアカウント取得を防止する対策の一つとして、 コンピュータにアクセスした相手が本当に人間であるかどうかを判断するために、「CAPTCHA」と呼 ばれる認証プログラムを採用しているサイトは数多く存在する。だが、クロアチアのあるサイトで使用 されている「CAPTCHA」は、さらに一歩進んだ認証方法だと話題を呼んでいる。 最も一般的な CAPTCHA は、文字を歪ませたり、一部分を覆い隠したりした画像をユーザに表示し、 そこに書かれている文字列を入力させるものだが、最近では写真や絵画などを使用するケースもある。 しかし、クロアチアの自然科学・技術研究所、Ru?er Bo?kovi? Institute の運用するサイト「Quantum Random Bit Generator Service」では、ユーザ登録の際に、ユーザ名、パスワード、その他必要な個 人情報(氏名、電子メールアドレス、在住国など)といった基本情報に加え、表示されている計算式の 答えを入力しなければならない。 表示される計算式は、加減乗除から微積分まで様々なものが用意されている。参考までに、表示さ れる計算式のいくつかを紹介すると、 1. 3-(-3)+(-1)+2×2-(-1)-1=? 2. ∂/∂χ[3sin(2χ-π/2)] (χ=π) 3. p(x)=(x-5)(x-1)(x-3) 問:p(x)=0 になるよう x の最小値を求めよ 4. ∂/∂χ[2sin(7χ-π/2)+cos(2χ+π/2)] (χ=0) などがある。計算式の答えを入力するフィールドの下には「表示された計算式を解けない場合には、 ページを更新してください。別の問題が表示されます」といった注意書きがあるが、新たに表示され る問題が前のより簡単だとは限らない。高校数学レベルの問題だというが、即答できるユーザはどれ ほどいるだろう。 では、コンピュータに計算させてはいかがだろうか。実際、「WolframAlpha」など、インターネ ット上にはこうした難解な計算式を瞬時に計算してくれる便利サイトも複数存在する。 しかし、そもそも人間であることを証明するための認証プログラムであるならば、コンピュータに 計算させるのは本末転倒なのではないだろうか。人間よりコンピュータのほうがより短時間で正確に 答えを導き出せるとしたら、この CAPTCHA は簡単に見破られてしまうのではないか。 Copyright©BroadBand Security, Inc. 9 最近のボットは、従来の CAPTCHA を解読可能なほど“賢く”なっている。だが、こうした計算 式の画像を読み取り、それが計算式だと理解し、自動的に計算、正確に解答するボットは現在のとこ ろ存在しない。「WolframAlpha」のようなサイトでも、画像の計算式をテキストに変換して入力す る必要がある。また、単にテキストにするだけでなく、正しい形式で入力しなければ認識されないの だ。例えば、上記の問題 2.の場合、 「d/dx(3sin(2x - pi/2) ), x = pi」というように入力する必要がある。 技術の進歩に伴い、こうした CAPTCHA にも対応可能なボットが将来出現する可能性は十分あり うるが、現時点では有効なボット対策だといえよう。ただし、登録する側のユーザからすれば、非常 に厄介な認証方法だ。 なお、このサイトでは量子力学に基づいた真の乱数(量子乱数)を生成するサービスを提供している。 このサイトを利用する必要があるユーザともなれば、上記のような問題など朝飯前だろう。この CAPTCHA は、ボットだけでなく、不特定多数のユーザ登録も防止する役割を果たしているのかもし れない。 Copyright©BroadBand Security, Inc. 10 東日本大震災に便乗したオンライン詐欺や攻撃に注意 すでにご存知の方々も多いと思うが、この度発生した大規模な地震災害に便乗したサイバー攻撃が 国内外で多発しているとして、政府機関やセキュリティ企業各社が注意を呼びかけている。 実在する慈善団体を騙って寄付金を募ったり、クレジットカード情報や個人情報などを収集したり する攻撃は目新しいものではなく、ハイチ大地震やニュージーランド大地震の際にも同様の攻撃が見 られた。 セキュリティ企業の McAfee によると、東日本大震災に便乗した攻撃は主に次の 3 つに分類できる という。 1.偽の寄付金を募るスパムメールやフィッシングサイト 2.悪質なリンクやプログラムが埋め込まれた動画や画像 3.ソーシャルメディアを悪用した攻撃 また、Trend Micro では、悪質なファイルが添付された日本語のメールが国内で流通していること を確認している。問題のファイルには「地震」「津波」「原発」「節電」「家族安否」など、受信者 の興味を引くような言葉が含まれており、ファイルを開いてしまうとマルウェアに感染、外部の不正 サーバへ感染したコンピュータの OS 情報やファイル、ディレクトリ、稼働中のプロセスのリストな どが送信されてしまう。さらに、マルウェアのバックドア機能により、コンピュータが不正に遠隔操 作される恐れがあるという。 こうした被害に遭わないためには、寄付の依頼メールやメッセージに安易に応じないことが重要だ としている。震災に関連する動画や画像をダウンロード・表示する際も十分に注意し、特に、リンク に短縮 URL が使用されている場合は、リンク先が分からないこともあるため、より警戒が必要であ る。 中には、先日修正されたばかりの Adobe 製品の脆弱性を悪用した事例も確認されているため、(ま だ対応していないユーザは)早急なアップデートの実施が推奨される。 Copyright©BroadBand Security, Inc. 11 スマートフォン利用率増加に、カードセキュリティ業界も対応を検討 米 Google 社や米 Apple 社、カナダの RIM 社など、世界の主要スマートフォン企業は一斉に近距離 無線通信技術(NFC)の採用に向けて動き出している。日本ではすでにお馴染みの「おサイフケータイ」 ごとく、NFC 機能が搭載されたスマートフォンは決済機能を持つことになる。これにより、多機能モ バイル端末を利用したカード決済ビジネスチャンスは広がるが、セキュリティ専門家の多くは、クレ ジットカードデータがさらなるサイバー攻撃のリスクに晒されることを懸念している。 スマートフォンの普及が拡大する中、クレジットカードのセキュリティ基準「PCI DSS」を策定、 運用、管理する PCI SSC(Payment Card Industry Security Standards Council)は、スマートフォン を決済デバイスとして利用した場合のリスク等を調査するための“モバイル調査特別委員会”を立ち 上げた。 PCI SSC のジェネラルマネージャーを務める Bob Russo 氏は「世の中には多種多様の多機能モバ イル端末が存在するが、それらのセキュリティに関しては不明な点が数多くある。また、店舗の POS レジ端末と比較すると、多機能モバイル端末は“未熟”といってもよい。たとえ、POS レジ端末上で 安全性の低いアプリケーションが実行していたとしても、その部分を強化するセキュリティ技術が存 在する分、POS レジ端末のほうが安全かもしれない」と述べた。 近年、iPhone や Android を搭載した各種スマートフォン等の大幅な普及により、多機能モバイル 端末を利用したオンラインショッピングが増加の傾向にある。そして、それに比例するかのように、 これら多機能モバイル端末を標的とした攻撃はますます増加しており、モバイルプラットフォーム上 で稼動する悪質なアプリケーションも多数検出されている。しかし、Russo 氏によれば、モバイル環 境で通信されるクレジットカードデータの保護に関するベストプラクティス(最善策)は整備されてい ないのに等しいという。 PCI SSC では、現行のセキュリティ基準 PCI DSS 2.0 について、予定されている 2013 年の更新時 期まで変更しない意向を示している。但し、今後数年以内にはスマートフォンセキュリティに関連す るガイドラインを発行する予定だ。 また、PCI SSC では各種分科会を開催しており、ベンダやセキュリティ企業、加盟店など、700 以 上の組織が参加している。Russo 氏は、今後スマートフォンを利用した決済に関わるセキュリティ上 のベストプラクティスを調査、設定するための分科会を設置することも検討していると述べた。 PCI SSC:https://www.pcisecuritystandards.org/ Copyright©BroadBand Security, Inc. 12 誕生 25 周年を記念し、最も悪名高いコンピュータウイルスのトップ 25 を表彰 2011 年は、コンピュータウイルスが初めて確認されてから 25 周年目にあたる。フィンランドのセ キュリティ企業 F-Secure は、同社の公式ブログにおいて過去 25 年間において確認された最も悪名高 い 25 のウイルスを紹介した。 同社が選定したコンピュータウイルスのトップ 25 は以下のとおり(順不同)。危険度は最も低い「レ ベル 1」から「レベル 10」までの 10 段階評価となっている。 【 BRAIN 】 発見年: 1986 年 発祥地: パキスタン 危険度: レベル1 概要 : 世界最古のコンピュータウイルスといわれている。“悪さ”を するのが目的ではなく、不正コピー警告プログラムとして作成 された。 【 STONED 】 発見年: 1987 年 発祥地: ニュージーランド 危険度: レベル1 概要 : ブートセクタ感染型ウイルスで、破壊的な有害な機能はない。 作者は当時、高校生だった。 【 FORM 】 発見年: 1990 年 発祥地: スイス 危険度: レベル 6 概要 : 最も感染範囲が広いウイルスの一つ。 【 MICHELANGELO 】 発見年: 1991 年 発祥地: ニュージーランド 危険度: レベル 5 概要 : はじめて国際的に有名になったウイルスといわれている。 Copyright©BroadBand Security, Inc. 13 【 VCL 】 発見年: 1992 年 発祥地: 米国 危険度: レベル 2 概要 : 単純なグラフィカルインターフェースでウイルスを自動作成。 【 HAPPY99 】 発見年: 1999 年 発祥地: 不明 危険度: レベル 3 概要 : 世界最古の電子メール感染型。 世界中の何百万台もの PC に感染。 【 MONKEY 】 発見年: 1994 年 発祥地: カナダ 危険度: レベル 5 概要 : 自身を隠蔽する機能を持つウイルス。 【 CONCEPT 】 発見年: 1995 年 発祥地: 米国 危険度: レベル 7 概要 : Microsoft Word ファイルに感染した最初のウイルス。 【 MELISSA 】 発見年: 1999 年 発祥地: 米国 危険度: レベル 4 概要 : マクロ型ウイルス。ある女性ストリッパーにちなんで命名され たとされている。最も感染範囲が広いウイルスの一つ。 Copyright©BroadBand Security, Inc. 14 【 CODE RED 】 発見年: 2001 年 発祥地: 不明 危険度: レベル 6 概要 : ユーザによる干渉を必要としない最初のワーム。 【 LOVE LETTER 】 発見年: 2000 年 発祥地: フィリピン 危険度: レベル 8 概要 : 最も爆発的に感染を拡げたワームの一つ。電子メール感染型。 【 SLAMMER 】 発見年: 2003 年 発祥地: 不明 危険度: レベル 6 概要 : Bank of America の ATM ネットワークや米国シアトル市の緊 急連絡(警察、消防など)ネットワークをダウンさせたことで 有名。 【 SOBIG 】 発見年: 2003 年 発祥地: 不明 危険度: レベル 7 概要 : 散布から数時間で何百万台もの PC に感染。 【 MYDOOM 】 発見年: 2004 年 発祥地: ロシア 危険度: レベル 7 概要 : 電子メールおよび P2P ファイル交換ソフト「KaZaA」のネッ トワーク経由で拡散。 Copyright©BroadBand Security, Inc. 15 【 SASSER 】 発見年: 2004 年 発祥地: ドイツ 危険度: レベル 7 概要 : オーストラリア、香港、イギリスと広い範囲に影響を及ぼした。 【 FIZZER 】 発見年: 2004 年 発祥地: 不明 危険度: レベル 6 概要 : 金銭の取得を目的とした最初のウイルス。 【 CABIR 】 発見年: 2003 年 発祥地: フィリピン 危険度: レベル 3 概要 : 世界最古の携帯電話を標的としたワーム。 【 SDBOT 】 発見年: 2004 年 発祥地: 不明 危険度: レベル 4 概要 : バックドアを作成するトロイの木馬型ウイルス。 【 HAXDOOR 】 発見年: 2005 年 発祥地: 不明 危険度: レベル 4 概要 : 他のマルウェアを隠すことのできる Windows rootkit。 Copyright©BroadBand Security, Inc. 16 【 SONY ROOTKIT 】 発見年: 2005 年 発祥地: 米国/イギリス 危険度: レベル 1 概要 : デジタル権管理を行うためにソニーBMG によってインストー ルされた rootkit。 【 STUXNET 】 発見年: 2010 年 発祥地: 米国/イスラエル 危険度: レベル 5 概要 : USB メモリ等の外部メディア経由で、Windows の脆弱性を悪 用して Windows PC に感染する。制御システムや電力会社を 狙うのが特徴。その複雑性や目的などから、作成には政府機関 (どこの政府機関かは不明)が絡んでいるとされている。 【 MEBROOT 】 発見年: 2007 年 発祥地: 不明 危険度: レベル 3 概要 : オンライン銀行のアカウント認証情報など、個人情報を盗み出 すことが可能。 【 STORM WORM 】 発見年: 2007 年 発祥地: 不明 危険度: レベル 9 概要 : 欧州で実際に発生した暴風雨被害の動画ファイルを偽装。メー ルの題名は「ヨーロッパを襲った暴風雨により死者 230 人」な どとなっている。 Copyright©BroadBand Security, Inc. 17 【 3D ANTI-TERRORIST 】 発見年: 不明 発祥地: ロシア 危険度: レベル 2 概要 : Windows 携帯電話を標的としたウイルス。 【 CONFICKER 】 発見年: 2008 年 発祥地: 不明 危険度: レベル 5 概要 : Windows OS を標的とする自己増殖型のワーム。世界中で大規 模な感染が確認された。 コンピュータウイルスは日々進化しており、また新種や亜種も次々に出回っている。被害を未然に 防ぐために、ウイルス対策ソフトの常駐はもちろんのこと、定義ファイルを最新の状態に保つことが 重要だ。また、OS やアプリケーションの既知の脆弱性についても対応を忘れてはならない。「いま さら」と思われる基本的な対策を徹底することが、自分自身、そして他のユーザを感染から守ること に繋がるのだ。 F-Secure:http://www.f-secure.com/ S.Q.A.T. Security Topics 発行人 2011 年 3 月号 株式会社ブロードバンドセキュリティ 〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階 TEL : 03-5338-7417 文責:田澤 http://www.bbsec.co.jp/ 本書の全部または一部を無断で複写複製(コピー)することは、著作権法上での例外を除き、禁じられており ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。 Copyright©BroadBand Security, Inc. 18 BBSec セキュリティソリューションご紹介 NEW 統合ログ管理/分析サービス ILMS Integrated Log Management Service 昨今の社会問題にも発展している情報漏えい事故に関して、事業継続を行なう上でこの問題を経営の最 重要課題の一つとして捉えている企業が増えています。情報セキュリティに対する脅威が増大し、個人情報 保護法や J-SOX 法の施行、クレジットカードセキュリティ基準 PCI DSS など法令に加え各種セキュリティ規格 においても、システムに起きたことを記録するログ収集の重要性が高まっています。 【お客様の課題】 【サービス概要】 お客様のネットワーク、セキュリティ、サーバ システムから発生する、膨大で多様なフォーマットのログ を統合管理し、分析を行ないます。発生した障害やセキュリティリスクなどに対する能動的な対応、技 術的な問題点の特定、解決を図るサービスをご提供いたします。 【BBSec ILMS 導入による期待される効果】 ■システムの運用業務及びサービス信頼性の保証 z IT サービスの停止することのない安定的な運用支援を通じた信頼度及び対外イメージの向上 z システム、ネットワーク、セキュリティシステムの運用高度化によるサービス安定性の確保 z 主要サービスの利用に対する可用性・セキュリティ強化によるサービス信頼度の向上 ■ログ管理業務の効率性及び生産性の向上 z ログの収集、保存、分析、アラーム、レポートの作成の自動化による運用負荷の削減 z システム、ネットワーク、セキュリティシステム管理者などの各管理者別に最適化されたログ分析を提供 ■障害・セキュリティ事故の発生時、迅速な対応支援 z 閾値ベース及びイベントベースのアラーム機能を通じ、障害及び事故発生の際の迅速な通知 z イベント別の処理状況を記録することにより、業務・担当別に情報共有、共同対応が可能 ■システムの運用業務及びサービス信頼性の保証 z ログ保存のソリューションの検索及び分析の限界を克服 z ログ分析のソリューションの事後分析及び多重ログの相関関係分析の限界を克服 z SMS(Service Management System)、NMS(Network Management System)の障害原因把握のための分析 の限界を克服 z ESM(Enterprise System Manager)の構成や運用(セキュリティ要員、構築費用)の限界を克服 【統合ログ管理分析サービス「ILMS」サービスご紹介 URL】 http://www.bbsec.co.jp/solution/ilms.html Copyright©BroadBand Security, Inc. 19 Cracker Detect EXOCET サービス概要 2009 年 12 月からガンブラーと呼ばれるドライブバイダウンロード攻撃手法による Web 改 ざん被害が急拡大しております。また、さらなる亜種が増加、進化を続け新たな脅威を生ん でおります。最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生 成される高度に難読化された JavaScript 内に悪意のあるプログラム(マルウェア)へのリ ンクを埋め込む攻撃手法が主流になっています。こうした進化する攻撃に対して BBSec で は、新サービス「Cracker Detect EXOCET」にて防御を実践いたします。 【サービス概要】 ■改ざんコンテンツの公開を水際で阻止 業界初の FTP プロキシー型のリアルタイム改ざん検知により改ざんコンテンツの公開を防ぎます ■リンク評価にクラウドマーク社のレピュテーション DB を採用 SNS だけで 1 億 3000 万アカウントを守る「Cloudmark Sender Intelligence」を採用しました レピュテーション DB の情報更新が圧倒的に高速です ■難読化リンクも.htaccess の改ざんも未然に防ぎます HTTP 経由の改ざん検知ソリューションの弱点は EXOCET(エグゾセ)には存在しません ■フィッシングサイト等へ向けたリンクの埋め込みも未然に防ぎます レピュテーションは犯罪サイト全般を網羅しています ■改ざんに使用された FTP アカウントもお知らせします 事後処理のための完璧な情報を提供致します ■大規模サイトでは検出用アプライアンスを設置・運用 必要最小限の稼働コストで余計な設備投資や回線負荷を生じさせません LDAP でのユーザ認証に対応しています(各種 DB に対応予定) ■小規模サイトでは FTP プロキシーの ASP を提供致します FTP アカウント情報は弊社側で LDAP に登録致します 【サービスイメージ図】 世界で 1 億 3,000 万人が利用する 最大規模の SNS サイトでも採用 された、クラウドマーク社 の IP レピュテーションサービス を採用し、リンク先サイトの信用度 を分析します。 【Cracker Detect EXOCET サービスご紹介 URL】 http://www.bbsec.co.jp/solution/exocet.html Copyright©BroadBand Security, Inc. 20 Managed Security Service セキュリティオペレーションセンターG-SOC(ジーソック) BBSec で は 、 従 来 よ り ご 提 供 し て い た Management Service に 付 加 し て 、 MSSP ( Managed Security Service Provider)機能をご提供する G-SOC を立ち上げました。これによりネットワークや サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が 可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す る事を実現いたしました。 【サービス概要】 G-SOC でご提供するサービスは、 PCI DSS(ペイメントカード・インダストリー・データ・セキュリティ・ス タンダード)でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従 前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、 DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。 【サービスフロー】 【Managed Security Service サービスご紹介 URL】 http://www.bbsec.co.jp/solution/mss.html Copyright©BroadBand Security, Inc. 21