Comments
Description
Transcript
スライド 1 - 公益財団法人防衛基盤整備協会
標的型サイバー攻撃の現状と対策 テクノロジー・マーケット・リサーチ 古田 英一朗 自己紹介 古田 英一朗 ◦ (有)テクノロジー・マーケット・リサーチ 代表 ◦ 米国通信機器メーカー、セキュリティソフトメーカー勤務 を経て、2001年よりアナリストに転身 ◦ 2003年(有)テクノロジー・マーケット・リサーチを設立 セキュリティを含むテクノロジーのマーケット全般をウォッチし、 価値ある情報の提供に努めています ◦ 2008年より財団法人防衛調達基盤整備協会主催 「情報セキュリティに関する懸賞論文」選考委員 2011/12/09 2 Technology Market Research Inc. 実に色々なことがあった2011年 昨年末から年初にかけて- ◦ Wikileaks、Anonymous After 3.11 ◦ 大規模災害時の事業継続のあり方 ◦ 震災に便乗する経済犯罪が増加 今夏以降 ◦ 標的型攻撃が相次いだ 2011/12/09 3 Technology Market Research Inc. 衆参両院の公務用PCやサーバへの攻撃 事件の顛末 ◦ 議員のひとりが受信したメールに添付されていたトロ イの木馬に感染したのをきっかけに、衆議院で32台の サーバとPCに、参議院では29台のPCに感染した 被害状況 ◦ 最初に感染したPCのデータが外部から不正アクセス ◦ サーバ管理者のID、パスワードを窃取 ◦ 感染サーバ上の全議員のIDやパスワードなど合計 2,676件が外部へ送信 ◦ 最大15日間、両院のメールが外部から閲覧 ◦ 米国のフリーメールの受信箱に両院議員のメールと見 られる情報が暗号化されて転送されていた 2011/12/09 4 Technology Market Research Inc. McAfee社によるハッカーの7分類 ホワイトハットハッカー ◦ 良いハッカー。セキュリティの専門家。 ブラックハットハッカー ◦ 悪いハッカー。一般的にその動機は金銭を得ること スクリプトキディ ◦ 有名になるために、借用したプログラムで他者を攻撃するハッカーの蔑称 ハクティビスト ◦ 政治的な信念や宗教的な動機で活動するハッカー 国家ハッカー ◦ 国家的軍事目的のために活動するハッカー スパイハッカー ◦ 競合会社に侵入し、企業秘密を盗み出すため、企業に雇われたハッカー サイバーテロリスト ◦ 特定の宗教や政治的な信念を達成しようとして活動するハッカー ◦ ハクティビストと似ているが、より暴力的で圧倒的に危険 2011/12/09 5 Technology Market Research Inc. 不正目的の多様化・複雑化 自己 顕示 • 愉快犯 経済的 社会的 政治的 2011/12/09 6 • 犯罪組織 • 地下市場 • FaaS • Wikileaks • Anonymous Technology Market Research Inc. アプローチ別に見たサイバー攻撃 侵す 欺す 停める Advanced Persistent Threat 2011/12/09 7 Technology Market Research Inc. 人間を対象とした詐欺的方法 ソーシャルエンジニアリング ◦ マルウェアなどを使って標的のコンピュータに攻撃を加 えることなく、情報資産を窃取する手法 人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘 密情報を入手する方法のこと ◦ 具体的な手口 2011/12/09 電話口や窓口などでのなりすまし ショルダーハック フィッシングメール(騙りメール) フィッシングサイト(騙りサイト) 8 Technology Market Research Inc. 代表的なフィッシングの手口 第3段階 不正な振り込み盗んだ個人情報で勝手にログイン・送金 被害者が口座を持つ オンラインバンク オンライン詐欺師 偽のオンラインバンクサイト 偽のログイン画面 入力された 個人情報を詐取 被害者 フィッシングサイトに 誘導される メールの URLをクリック 第2段階 2011/12/09 第1段階 他者の名前を騙った 大量のフィッシングメール 不特定多数を狙って大量に送信 9 Technology Market Research Inc. 盗んだ情報の換金方法…リシッピング詐 欺 通販事業者 換金担当 受け取った商品を現金化。 詐欺サービスのメニュー としても確立されている 盗んだクレジット カード情報 購入担当 不正入手した クレジットカード情報で 高価な商品を購入。 ミュール宛に納品させる。 2011/12/09 ミュール 不正に購入した商品の受け取り役 受け取り、スキャマーに転送 たいていは騙されて働いている 10 Technology Market Research Inc. スピアフィッシングとは… 偽のウェブサイト トロイの木馬を 自動的にダウンロード 被害者 フィッシングサイトに 誘導される メールの メールを 開かずに削除 URLをクリック トロイの木馬に感染 2011/12/09 受信者が信頼して開封する 他者の名前を騙った 大量のフィッシングメール と考えられる人物の名前を騙った 不特定多数を狙って大量に送信 フィッシングメールをピンポイント送信 11 Technology Market Research Inc. スピアフィッシングメールのプロファイル シマンテック社によると- ◦ 2008年4月以降、同社が検 知した標的型攻撃メール メール数… 7万2500件 宛先… 2万8300アドレス ◦ 標的型攻撃メールを受信し ていた計算 世界全体… 日本… 100人以下… 15% 101~500人以下… 25% 501~1500人以下… 25% 1501~5000人以下… 25% ◦ 標的型攻撃メールを受信し た人の役職 46.2社に1社 9.5社に1社 経営者… 管理職… 一般社員… ◦ 標的型攻撃メールを受信し た日本企業の内訳 娯楽・アミューズメント・ ゲーム業界… 35% 政府・公営企業… 31% 2011/12/09 ◦ 日本で攻撃された企業の 従業員規模の内訳 12 34% 24% 4% Technology Market Research Inc. アプローチ別に見たサイバー攻撃 侵す Advanced Persistent Threat 2011/12/09 13 Technology Market Research Inc. 他人のコンピュータシステムを侵害する 他者のコンピュータの脆弱な箇所を攻撃し、機密情報を窃取したり、 支配下に置く 気づかれず、対策が講じられていない脆弱性 ゼロデイ ウイルス ◦ 感染先のファイル(「宿主」と呼ぶ)の一部を書き変えて自分のコピーを追加し (感染)、 感染した宿主のプログラムが実行された時に自分自身をコピーするコードを実行させる ことによって増殖していく(以下略) トロイの木馬 ◦ ◦ ◦ ◦ ◦ コンピュータの安全上の脅威となるソフトウェアの一つ ギリシア神話に登場するトロイの木馬に なぞらえて名前がつけられた なお、トロイの木馬は、自己増殖機能がない事から コンピュータウイルスとは区別されている(より高度な侵害が可能) 出典 Wikipedia ハイジャッ ク 不正な添付ファイル 不正なウェブサイト トロイの木馬 に感染 感染先を ボット化 DDoS攻撃 マルウェア配信サイトに フィッシングサイトに バックドア設置 不正な外部メディア 機密情報の持出 2011/12/09 14 Technology Market Research Inc. トロイの木馬を使った攻撃法~中間者攻撃 ⑦指示されるままに、入金された お金を指定された口座に送金 ②オンラインバンクにログイン すると、木馬が起動 ミュール 騙し取ったお金の 一次送金先 詐欺師に騙されて 雇われている ④偽の画面を表示して セッションをハイジャック ⑤乗っ取ったセッションから ミュール口座に不正送金 被害者 ① トロイの木馬 に感染 ⑥送金が無事完了した かのような画面を表示 2011/12/09 ③利用する金融機関などの 条件に合ったミュールを選び、 詳細情報を返信する 15 オンライン詐欺師 C&C(指揮管理) サーバ Technology Market Research Inc. トロイの木馬を使った攻撃法~HTMLインジェク ション 改ざん用データをC&Cサーバーからの指示で更新 ◦ 対象のURLや改ざん内容 ユーザーが狙われた銀行のログイン画面にアクセスすると、 ◦ 本物にそっくりな偽の画面を表示 ◦ 疑いなくアクセスしようとすると… オンラインバンク 偽のログイン 画面を表示 C&C サーバー 定期通信時に 設定を更新 改ざん用の データ ドロップ サーバー ログイン情報を窃取 2011/12/09 16 Technology Market Research Inc. 攻撃手法の分類 停める Advanced Persistent Threat 2011/12/09 17 Technology Market Research Inc. 機能不全に陥らせる攻撃 DoS/DDoS攻撃(Distributed/Denial of Service attack) ◦ 攻撃対象のサーバなどのネットワーク機器に対して、処理能 力を超えたアクセスを行うことで、正常な動作ができない状 態に追い込む マルウェアに感染した一般ユーザPC(=ボット)の大群に遠隔操作 することで攻撃を実施する 攻撃目的としては、いたずら、嫌がらせ、陽動などが考えられる ◦ 有効な直接的対策はない サイトを閉鎖すれば回復はする しかし、サービスの提供ができない アクセスを選択的に遮断するのが困難 特定の国や地域のドメインからのアクセスとは限らない 最も有効な対策 ボットのネットワークを壊滅させること 2011/12/09 18 Technology Market Research Inc. 攻撃手法の分類 侵す 欺す 停める Advanced Advanced Persistent Persistent Threat Threat 2011/12/09 19 Technology Market Research Inc. 「21世紀の戦争・サイバー攻撃の恐怖」 NHK BS ドキュメンタリーWAVE ◦ 2010年、あわやチェルノブイリ原発事故級の大惨事を引き起こしかねない、 大がかりなサイバー攻撃が起きていた。 ◦ ターゲットとなったのは、国際社会の批判を黙殺し、核開発を進めているので はないかと言われるイラン。そのイランの核関連施設が正体不明のウイルス によって攻撃にさらされ、制御不能となったのだ。 ◦ 今年2月、ミュンヘン安全保障国際会議ではサイバーテロ問題が初めて討議 され、今年を「サイバー戦争元年」と位置づけた。21世紀、戦争の主戦場は、 兵士たちが銃と銃で向き合う戦場から、サイバー空間に広がろうとしている。 ◦ 番組では、これまでSFや映画の世界でしかなかったサイバーテロ兵器が史上 初め て、現実のものとなった衝撃を、当事者たちの生々しい証言でたどり、本 格化するサイバー空間の戦いを描く。 ◦ (公式HPの番組説明より) 2011/12/09 20 Technology Market Research Inc. 革新的マルウェア「Stuxnet」 何が革新的だったのかー ◦ ◦ ◦ ◦ ソースコードが長大で複雑(数十KB→数百KB) 盗まれた本物の証明書を使ってドライバに署名 工場の生産システムを狙った攻撃 4種のゼロデイを含む、5種類の脆弱性を利用 強力な感染力 その市場価値は数百万ドルとも言われる… 新しいタイプの戦術を採用 ◦ 様々な手段を組み合わせて、執念深く徹底的に攻略 ◦ ステルス性と自律性の高さ ◦ 特定の地域で利用されている標的だけを攻撃 高度に戦略的な目的に用いるための設計 2011/12/09 21 Technology Market Research Inc. 新たなサイバー兵器が拡げる波紋 標的以外にも感染する標的型攻撃 ◦ 感染力は強力だが、発症するのは攻撃対象だけ 感染対象が攻撃対象でなければ、感染拡大以外の活動を停止 ◦ 完全オフライン環境への攻撃を実現 外部業者のPC→USBメモリ→施設内のLAN?→攻撃対象 死者を伴わない安価な攻撃 ◦ イランの核燃料工場の遠心分離器に破壊的ダメージを与 えるために開発されたと目されている 目的は一定の効果を上げたと見られている しかし、人の手に余る玩具かも知れない ◦ ハッカー集団Anonymousが入手したと宣言 ◦ Stuxnetをベースにした新たなマルウェア「Duqu」の登場 2011/12/09 22 Technology Market Research Inc. 標的型攻撃にいかに対応すればいいのか? 2011/12/09 23 Technology Market Research Inc. 標的型攻撃の典型的な手順 組織に関する 知識を得るため の偵察 内部システムを 侵害 最終目的の 遂行 侵入口に最適な エンドユーザの 絞り込み 特権の エスカレーション 痕跡の除去 エンドポイントの 脆弱性を突き 標的を攻撃 ネットワーク内を 自由に動き回る ために展開 2011/12/09 24 Technology Market Research Inc. 標的型攻撃の典型的な手順 組織に関する知識を得るための偵察 ◦ ソーシャル・エンジニアリングに利用する従業員や関係者の 氏名や役職、メールアドレスなどを入手したり、ITシステムの 構成の脆弱性を事前調査したりする 侵入口に最適なエンドユーザの絞り込み ◦ ソーシャル・エンジニアリングを活用して、標的を絞り込む エンドポイントの脆弱性を突き標的を攻撃 ◦ 入り口に選んだユーザに、そのエンドポイントの脆弱性を突 くマルウェアを送りつけ、バックドアを設置する ネットワーク内を自由に動き回るための展開 ◦ ネットワーク内で色々なエンドポイントをボット化することで、 情報収集や活動の拠点を内部に水平展開する 2011/12/09 25 Technology Market Research Inc. 標的型攻撃の典型的な手順 特権のエスカレーション ◦ さらなるスピア・フィッシングや管理者パスワードの暗号解 読により、最も効果的な管理者のアカウントを乗っ取ったり、 権限の限定されている管理者の特権を昇格させる 内部システムを侵害 ◦ 内部システムを物色し、ターゲットの場所を確認する 最終目的の遂行 ◦ 知的財産情報を外部に送信したり、誤った情報を植え付け るなど、当初の目的を達成する 痕跡の除去 ◦ 脅威検知エンジンに検知されないように、痕跡を消去する 2011/12/09 26 Technology Market Research Inc. 採るべき対策 緻密な情報収集・分析 モニタリングの実施 適切なアクセス制御の回復 効果的なユーザ教育の徹底 経営者の理解と関心の獲得 IT基盤の再設計 情報交換への参画 2011/12/09 27 Technology Market Research Inc. 緻密な情報収集・分析 相手は時間と手間をかけてじっくり調査している ◦ その敵に対抗するには、自らも十分な情報収集が必要 脅威に対する知識 ◦ どのような資産が狙われているのか? ◦ どのように目的を達成するのか? その手段、方法、動機は何か? ◦ ◦ ◦ ◦ ◦ 実際にどのような攻撃が他の組織で発生しているか? 攻撃パターンはどのようなものか? マルウェアはどのように見えるか? 自らの業界に関係する攻撃が計画されているか? 自らの組織が狙われているという具体的な噂はあるか? 2011/12/09 28 Technology Market Research Inc. 緻密な情報収集・分析 自分たちのシステムに関する必要な知識 ◦ 保護すべき最も重要なデジタル資産は- どのようなものか? どこにあるか? アクセス権を持っているのは誰か? どのように保護しているか? ◦ 現状の攻撃に対するセキュリティ・コントロールはどうなって いるか? ◦ 攻撃者にとって最も価値があるのは、誰の管理者権限か? ◦ 最も脆弱な点はどこか? ◦ 正規ユーザの行動が外部に漏れていないか? いるとしたら何? ◦ 正常なネットワーク活動はどのような構成か? ◦ 正しい行動と不正な行動を区別できる状態にあるか? 仕組みはあるか?ポリシーは適切か? 2011/12/09 29 Technology Market Research Inc. 緻密な情報収集・分析 被害が確認された場合に集めるべき情報 ◦ ◦ ◦ ◦ ◦ ◦ どのデータが奪われたのか?(できるだけ厳密に) どこからどこへ送信されたか? どのくらいの間、攻撃者はシステム内にいたか? ネットワーク内のどこまで侵入されたか? どのような権利を奪われたか? まだマルウェアが残されていないか? 2011/12/09 30 Technology Market Research Inc. モニタリングの実施 最新の脅威の中でも比重の重いマルウェア ◦ その活動状況を完全に把握するには- 組織のシステムをアプリケーション、ホスト、ネットワーク、データなど、 複数のレイヤからモニタリングすることが重要 セキュリティ視点からイベントデータを十分に分析 ◦ 大量のイベントデータと履歴データを処理する高速な分析 エンジンが必要 リアルタイムでユーザとシステムの行動傾向を把握し、侵害を示す 異常を通知できれば、被害を最小限に抑えられる ◦ ネットワーク上のイベントの可視化にはパケット監視が有効 パケット監視を行うことで、所定の攻撃パターン(シグネチャ)や異 常なトラフィックを探し出すことができる ただし、ゼロデイ攻撃に対しては効果がないので、過度の依存は禁物 2011/12/09 31 Technology Market Research Inc. 適切なアクセス制御の回復 こんな環境は攻撃者にとって攻略しやすい ◦ 不必要な特権を付与されたアカウントが散乱している環境 特権の最小化に留意したポリシーに移行すべき ◦ 重要資産に対するアクセス権限を持つ人の削減 ◦ 管理者としてログインできる端末の限定 その端末からリモートアクセス、メール、ウェブアクセスを禁止する ◦ 管理者のパスワード変更をフェイス・ツー・フェイスに限定 多要素認証の導入も有効である ◦ ◦ ◦ ◦ 全システムに通用する管理用パスワードの廃止 ネットワーク内を移動できる管理者権限を持つ人の削減 管理者グループの一般ユーザからの分離 すべての管理者に対する広範囲なモニタリング 2011/12/09 32 Technology Market Research Inc. 効果的なユーザ教育の徹底 すべての組織の最大の脆弱性は「人」 ◦ ソーシャル・エンジニアリングは、標的型攻撃の柱 人の意識が変わらなければ、攻撃は防げない ユーザに当事者意識を持たせることが肝要 ◦ 電子メールをクリックするだけで、組織全体に壊滅的な 打撃を与えかねないという現実 社員一人ひとりがしっかり胸に刻まなければならない ◦ ウェブ研修、ビデオ、教室でのプレゼンテーションなどの 既存の方法だけでは難しい 場合によっては、より懲戒的なアプローチも採らざるをえない 2011/12/09 33 Technology Market Research Inc. 衆参両院への攻撃の経緯に学ぶ… 本事案の情報共有経過 ◦ ◦ ◦ ◦ ◦ 7月末 8月末 10月末 11/2 参院議員7人、衆院議員3人へ標的型メール 運用管理会社が感染発見、事務局に報告 その後、報告は放置される 衆院事務局、議員にパスワード変更要請 衆院の事案調査中に参院の被害が発覚 感染確認から 2か月以上対応が進まなかった ◦ パスワード変更要請が速やかに行われていれば、問題はここまで 大きくならなかったという議員からの声 まったくもってもっともだけれど… 問題はもっと根深かった… ◦ パスワード盗まれても…変更の議員は半数以下 10月25日と27日の計2回のパスワード要請変更後、事務局が今月2日に 全議員に確認したところ- 貸与パソコン2台のうち 1台以上で「パスワードを変更した」と回答した議 員は45%。「変更していない」や無回答は55%に上った- 2011/12/09 34 Technology Market Research Inc. 経営者の理解と関心の獲得 経営層の理解、関心、協力なしに勝ち目はない ◦ 標的型攻撃を行う相手は、学術的な水準で脅威を 研究開発するチームを形成する極めて優秀な連中 総力を傾けた最高の体制づくりが不可欠 ◦ クロスファンクション型のセキュリティチーム 異なるスキルや専門知識を持ち寄り、それぞれの取り組みの 調整が必要 ◦ トップダウンで事に当たる体制づくりも重要 2011/12/09 35 Technology Market Research Inc. IT基盤の再設計 基本的な考え方 ◦ 絶対に侵入されない体制づくりよりも- ◦ 侵入されても好き勝手にされないための工夫が必要 エンドポイントから重要資産管理エリアに侵入されないように する 出口(バックドア)を開けさせない、開けられたものを放置しない 自社にたいした資産はない、という考えは危険 ◦ トロイの木馬に感染することで、自社のPCが踏み台に 使われて、取引先への侵入を許すかも知れない 取引先の信頼を損なうばかりかー 取引停止などの直接的損失につながる恐れがある 2011/12/09 36 Technology Market Research Inc. IT基盤の再設計 ネットワーク設計の再考 ◦ 導入・管理が容易な構成の弱点 ◦ 重要な資産を分離し、ネットワーク環境を区分する ◦ 高機密情報資産のオフライン化 エンドポイントの保護 ◦ デスクトップの仮想化・シンクライアント ソフトウェアの更新 ◦ 古いOSからの移行 ◦ 社内アプリケーションの脆弱性診断・対策 専門家の活用 ◦ 事が起きてから依頼すると、結局ひどく高くつく 2011/12/09 37 Technology Market Research Inc. 情報交換への参画 外部の情報を活用する ◦ 米ISAC (Information Sharing and Analysis Center) ◦ IPA(独立行政法人情報処理推進機構) 標的型サイバー攻撃の特別相談窓口 『新しいタイプの攻撃』の対策に向けた設計・運用ガイド 改定 第2版 ◦ JPCERTコーディネーションセンター(JPCERT/CC) 組織内部の関心を新鮮に保つのにも有効 2011/12/09 38 Technology Market Research Inc. そして…何より重要なのが- マインドセットの切り替え ◦ 相手は極めて高度に合理的な思考の持ち主 最も効果的なことは「賢者になること」 失うかも知れない価値に応じた投資・対策 敵が合理的であればこそ、対処のしようがある ◦ こちらも、あくまでも合理的に対処する ◦ 合理的な相手は 必ず目的を持って攻撃してくる 必ずこちらの弱いところを突いてくる ◦ 情緒的な対応は最悪の結果を招きかねない 2011/12/09 39 Technology Market Research Inc. ご静聴ありがとうございました ご質問やお問い合わせは- ◦ [email protected] まで よろしくお願いいたします 2011/12/09 40 Technology Market Research Inc. 【出典】 ・ITPro 特集: 過激化するサイバー犯罪 http://itpro.nikkeibp.co.jp/article/COLUMN/20111024/371282/ ・アサヒコム サイバー攻撃、衆院把握後も参院で被害か 連携不足の声 http://www.asahi.com/national/update/1114/TKY201111140577.html ・YOMIURI ONLINE 参院もメール情報流出、送信先画面に中国簡体字 http://www.yomiuri.co.jp/net/news/20111102-OYT8T00392.htm ・パスワード盗まれても…変更の議員は半数以下 http://www.yomiuri.co.jp/net/news/20111117-OYT8T00882.htm ・毎日.jp サイバー攻撃:参院議員会館も3人のパソコン感染 http://mainichi.jp/select/biz/it/news/20111112k0000m040154000c.html ・ASCII.jp 週刊セキュリティレポート: Stuxnetベースの新マルウェア「Duqu」とは http://ascii.jp/elem/000/000/646/646840/ ・InternetWatch 標的型攻撃メール、国内企業の1割が標的に~シマンテック調べ http://internet.watch.impress.co.jp/docs/news/20111129_494193.html ・NHK BS ドキュメンタリーWAVE http://www.nhk.or.jp/documentary/1111.htm 2011/12/09 Technology Market Research Inc. 41