Comments
Description
Transcript
SQAT Security Topics
S.Q.A.T. Security Topics March 2013 Vol.51 INDEX ・ 組織におけるアクセス制御 ~ 監査人の目から見た評価項目とは ・ 脆弱性情報は企業にとって“タダ”では提供できない重要資産の一つ ・ 脆弱性の 8 割は Microsoft 以外の製品に存在、パッチ管理の徹底を ・ 国内でも相次ぐ改ざん被害 ~ Apache の不正モジュールを挿入 組織におけるアクセス制御 ~ 監査人の目から見た評価項目とは 情 報セキュリティとは言葉どおり“情報を 保護する”ことだが、組織によって対策 を実施するに至った理由は「過去に侵害を受け たから」、 「顧客からの強い要望があったから」、 「業界標準や法規則に準拠するため」など様々 である。もちろん、所有する情報の価値を認識 し、第三者に漏えいするリスクを軽減する、と いった根本的な理由のもとに対策を実施してい る組織がほとんどだろう。 監査では、中央の情報に辿り着くまでの外側 の層に複数の認証機構が実装されているか、ま たどのような認証機構であるかを調査するとい では、情報を保護するためにはどのような対 う。例えば、パスワード認証の場合、パスワー 策を行えばよいのか。情報セキュリティの監査 ドポリシー(パスワードの長さ、複雑性、有効期 に 30 年以上携わっている専門家によると「きち 間など)が十分に業界標準を満たしているかを確 んとしたアクセス制御」が重要な対策の一つで 認する。 あるという。 <評価項目その 2:役割ベースのアクセス制御> 監査の専門家は、組織において適切なアクセ 情報セキュリティ対策において、各ユーザに対 ス制御が実施されているかどうかを評価する際、 しては業務上必要な情報にのみアクセスを許可 次の 4 つの事柄をチェックするとのことだ。 することが基本だが、このプラクティスを実践で きていない組織は多数存在する。例を挙げると、 <評価項目その 1:多層防御> 商品管理部に属するユーザが組織の人事情報に 弓道やアーチェリーの的を思い浮かべて欲し アクセスできる、R&D 部に属するユーザが商品 い。中央の小さな丸が保護したい情報だ。そし の物流データベースにアクセスできる、などがあ てそれを囲んでいる“層”がアプリケーション、 る。ユーザが不必要に多くの情報にアクセスでき データベース、オペレーティングシステム、ネ る環境は、情報漏えいが発生する危険性を高める ットワーク、あるいは物理的な物(施錠可能なキ ため、セキュリティ上好ましくない。 ャビネットやオフィスへの入退室管理など)にな る。内側の層は外側の層によって守られており、 つまり外側の層が弱いと内側の層が危険に晒さ れる。 <評価項目その 3:特権管理・保護> 重要なアプリケーションやデータベースへは 限られたユーザのみアクセスを許可すべきであ る。そして、そのような“特権アカウント”は 悪用を防止するために厳しく管理される必要が あるのだ。特権アカウントが第三者に漏れない ようにするのはもちろんのこと、特権アカウン トを使用したアクティビティもすべてログに記 録、モニタリングすることが重要である。そし て、通常と異なるアクティビティが検出された 場合には、アラートを発する機能や体制作りを 整備しておく必要だ。 <評価項目その 4:ログ管理> 最近では大半の組織においてログ記録が実施 されている。しかしその一方で、記録したログ を定期的にレビュー、精査、分析できている組 織は少ないのが現状である。ただログに記録し ているだけで中身を見ていなければ、記録して いないのと何ら変わりない。セキュリティ侵害 が発生した組織で、後にログを分析してみたら、 攻撃の痕跡や兆候がログに記録されていた、と いうケースは多々確認されている。 莫大な量のログをレビュー、分析するには多 大な労力を要するだろう。組織がログのレビュ ーや分析を怠っている原因の多くはそこにある。 専門家は、「日常のレビューにおいて、ログの 内容をすべて隅から隅までチェックする必要は ない。フィルタリング機能やログ管理ツールを 利用するなどして、留意すべき事柄を重点的に 見ることで効率的なレビュー、分析が可能とな る」とし、「業界標準、例えば PCI DSS などは 日々のログレビューを要件の一つとして定義し ており、効率的なログ管理は不可欠である」と 述べた。 Copyright©BroadBand Security, Inc. 3 脆弱性情報は企業にとって“タダ”では提供できない重要資産の一つ 2 007 年以降、毎年恒例となっている 2013 年のコンテストでは、攻撃手法までも提 「CanSecWest」セキュリティカンファレン 供することが条件に含まれていた。前年に攻撃 スでのハッキングコンテスト“Pwn2Own”が今 手法の提供を拒否した VUPEN が、なぜ参加を 年も開催された。2013 年は、前年から賞金が大 決意したかについて尋ねると、Bekrar 氏は「最 幅にアップされていることもあり、これまでに 新のテクノロジにおいても脆弱性は存在するこ もまして熱の入った挑戦が繰り広げられた。 と、最新版の OS やブラウザを使用しているから といって完全に安全だとは言い切れないことを コンテストの詳細については他メディアも報 証明したかった」と述べ、攻撃手法の提供につ 道しているのでここでは割愛するが、賞金を獲 いては「今回の賞金はそれをするのに十分だと 得した仏セキュリティ企業 VUPEN の CEO で 判断した」と回答した。 ある Chaouki Bekrar 氏へのインタビューが興 味深い内容であったため、紹介させていただく。 攻撃手法を提供しない理由の一つとして、提 供した攻撃手法に対して対策が講じられた場合、 Bekrar 氏によると、VUPEN は Microsoft の その後(例えば別の脆弱性でも)同じ攻撃手法が タブレット「MS Surface Pro」で IE 10 (Internet 通用しなくなることが挙げられた。VUPEN は Explorer 10)の“ゼロデイ脆弱性”2 件を攻撃、 「攻撃手法を提供したのは、それが唯一の方法 サンドボックスを迂回し、Windows 8 をハッキ ではないからだ。ターゲットには他にも複数の ングすることに成功した。攻撃に利用した脆弱 脆弱性があり、手法を一つ提供したところで問 性は、整数オーバーフローとブローカープロセ 題はない」と説明している。 スにおけるメモリ破壊の脆弱性だという。 脆弱性の発見や攻撃手法の考案には多大な時 VUPEN は同コンテストのいわば常連で、 間と労力がかかる。今回 VUPEN が披露したケ 2012 年にも Google Chrome への攻撃を成功さ ースにおいても、脆弱性を発見するまでに数週 せている。当時もサンドボックスを迂回する手 間、攻撃手法を考案するまでに数ヶ月の時間を 法が用いられた。Google は攻撃手法を提供する 要している。新しく実装されたセキュリティ制 対価として、VUPEN に対し日本円で約 600 万 限機能やサンドボックスを迂回する方法を見つ 円のオファーを提示したが、VUPEN がそのオ け出す必要があったからだ。また、攻撃のステ ファーを断ったことでも話題になった。 ルス性を高めるために、ブラウザをクラッシュ させずに攻撃を成功させる手法を生み出すこと にさらなる時間を要している。 Copyright©BroadBand Security, Inc. 4 VUPEN が Google からのオファーを断った理 最後にインタビュアーは、産業制御システム 由はここにもあるようだ。「つまり、“金を出 (SCADA)について尋ねた。Bekrar 氏は「顧客か さなければ情報は提供しない、情報が欲しけれ ら依頼があれば、PC、モバイル端末、SCADA、 ば要求する対価を支払え”というのは、恐喝に 何であっても調査を行う。ただし SCADA の場 近いのではないか」とインタビュアーが詰め寄 合、現時点でそれほど需要がない。というのも、 ると、VUPEN は次のように反論した。「以前 当社の顧客は彼らでは手に負えない、より複雑 より、各ベンダに対して奨励金制度を導入する な脆弱性や攻撃手法に興味を持っている。ター よう呼びかけてきた。しかし、ベンダは全く協 ゲットが SCADA であれば、わざわざ当社に依 力する意思を見せない。“タダ”で情報を提供 頼する必要はない」と皮肉交じりに説明した。 するには、あまりにも当社でのコストが大きい。 ベンダが非協力的であるならば、情報を欲して いる顧客に提供するだけだ」と述べた。 VUPEN では年に 100 件以上のゼロデイ脆弱 性を発見し、それらのいくつかに対して実際の 攻撃手法を考案するという。つまり、ベンダす VUPEN では「Defensive(防御用)」と ら認識していない脆弱性や攻撃手法が山のよう 「Offensive(攻撃用)」といった 2 つのビジネス にあるわけだ。我々としては、VUPEN などの モデルを用意している。前者では、ウイルス対 企業が売る情報が悪意のある者の手に落ちない 策ソフトや IPS、IDS など、従来のセキュリテ ことを願うばかりである。 ィソリューションでは検知できない、ゼロデイ 脆弱性を利用した攻撃からシステムを保護する “戦略的”方法について、顧客に情報提供を行 っている。問題は後者だ。情報提供を行う相手 は主に政府機関で、VUPEN は提供した情報は サイバー犯罪の捜査や対策において使用される と説明するが、実際どのように使用されている かまでは当然管理できていない。 インタビュアーがそれについて言及すると 「VUPEN では取引相手を厳選している。情報 が悪用されうる相手には提供していない」と、 Bekrar 氏は答えた。しかし、インタビュアーは 「とはいえ、悪用されていないかの保証はでき ない」と VUPEN の回答には納得していないよ うだ。 Credits go to Ryan Naraine at Security Week. VUPEN:http://www.vupen.com/ Copyright©BroadBand Security, Inc. 5 脆弱性の 8 割は Microsoft 以外の製品に存在、パッチ管理の徹底を デ ンマークに本社を構えるセキュリティ企 調 査 は 、 同 社 の 製 品 「 Personal Software 業の Secunia より、同社が 2012 年に検 Inspector (PSI)」をインストールしている 100 出したソフトウェアの脆弱性に関して分析結果 万台以上のシステムを対象に行われた。システ をまとめた最新レポートが発表された。 ム 1 台あたり平均 72 個のプログラムがインスト 「Secunia Vulnerability Review 2013」と題さ ールされており、今回のレポートでは、そのう れたそのレポートによると、2012 年、同社では ち普及度の最も高い上位 50 個のプログラムに 421 ベンダの 2,503 製品において、9,776 件の脆 焦点が当てられた。 弱性を発見しており、その数は過去 5 年間の平 均と比較すると 15%の増加だという。なお、前 年の 2011 年からは 5%増加した。 これら 50 個のプログラムの内訳は、29 個が Microsoft 製品、21 個が Microsoft 以外の製品と なっている。該当するベンダは 8 社、製品は 18 脆弱性が存在するソフトウェアの数、それら 種類に及び、検出された脆弱性は 1,137 件、そ ソフトウェアを提供するベンダの数は年々減少 れら脆弱性の 78.8%は「高」リスクに、5.3%は の傾向にある。しかし同社は、その背景にはベ 「重大」リスクに分類された。 ンダ間の買収やソフトウェアの統合などがある という。つまり、“箱”が大きくなっただけで、 中に含まれる脆弱性の数は減っていないのだと 同社は指摘する。また、検出された脆弱性の 2 割は危険性が高いもので、8 割は遠隔から悪用 することが可能であった。 Copyright©BroadBand Security, Inc. 6 ま た 、 2012 年 に おい ては 脆 弱性 の 86% が 幸いなことに、脆弱性が発見されてからベンダ Microsoft 以外の製品で検出されている。2007 年 によってパッチが提供されるまでの期間は短く は 57%、2011 年は 78%を非 Microsoft 製品が なっている。2012 年では 84%の脆弱性に対し、 占めていたが、その割合は年々高くなっている 情報公開の同日にパッチがリリースされている。 ことが分かる。 また、普及度の高い 50 個のプログラムにおいて 発見された“ゼロデイ”脆弱性は 8 件にとどまっ 検出された脆弱性に対しては、各ベンダから ており、2010 年の 12 件、2011 年の 14 件から減 修正パッチが提供されているが、使用している 少している。Secunia によれば、こうした傾向は ソフトウェアの種類が多ければ多いほどパッチ ソフトウェアベンダとセキュリティ研究者間の 管理が困難になると同社は指摘する。また、ベ 協力が深まっていることの表れだという。 ンダによっては自動セキュリティアップデート を実施していないところもあるため、全ての製 「当社では何年にもわたってセキュリティパ 品を最新かつ安全な状態に維持することは容易 ッチの重要性を呼びかけてきた。大半の脆弱性 ではないと述べた。2012 年において Microsoft はパッチを適用することで解消される。企業は から自動セキュリティアップデートが提供され 自社と顧客を守るために、より積極的にパッチ た脆弱性は全体の 8.5%にしか過ぎなかったこ 管理を実施すべきだ」と述べた。 とからも、Microsoft 以外の製品の脆弱性解消が セキュリティを強化する上での鍵となっている、 と同社は分析する。例えば、Java や Adobe 関 連の脆弱性は過去に多数検出されており、また それらを悪用した攻撃が国内でも頻発している ことはご存知だろう。 Secunia:http://secunia.com/ Copyright©BroadBand Security, Inc. 7 国内でも相次ぐ改ざん被害 ~ Apache の不正モジュールを挿入 セ して、Trend Micro では以下を実施するよう呼 している。改ざんされた Web サイトを閲覧した びかけている。 キュリティ企業各社が、正規サイトに対 する改ざん被害について注意喚起を発 なお、こうした攻撃に遭わないための対策と ユーザは、攻撃者が用意した不正サイトへと誘 導され、マルウェア感染の被害を受ける恐れが あるという。 <ユーザ側の対策> ・使用している OS やアプリケーションを最新 版に更新する 米セキュリティ企業の Trend Micro によれば、 ・セキュリティソフトを最新の状態で使用する 今回確認された攻撃は、Apache の不正モジュー ルを使用して正規サイトに<IFRAME>タグを埋 め込むことで別のコンテンツを表示させ、ユー <システム管理者側の対策> ・自身の管理するサーバで実行している ザを不正サイトへと誘導する手口を利用してい Apache 拡張モジュールをリストアップし、 る。誘導された先の不正サイトでは、「Black 不正なモジュールが動作していないことを Hole Exploit Kit (BHEK)」を用いて、ユーザの 確認する システムに存在する Adobe Reader、Adobe ・各モジュールの所有権を確認する Flash Player、または Java の脆弱性を突き、マ ルウェアに感染させる。 このような不正モジュールは「Darkleech Apache Module」と呼ばれ、過去にもインジェ クション攻撃に悪用されている。 Trend Micro によれば、誘導先の不正サイト の URL には一種の規則性があり、同社で調査を 進めたところ、2013 年 3 月の 18 日間だけでも 約 4,000 の不正サイトを確認した。また、国内 ユーザによる不正サイトの閲覧状況について 1 週間観測を行った結果、少なくとも約 42,000 件 の IP アドレスからアクセスが試行されていたと いう。 不正サイトの「寿命」が比較的短く、攻撃者 は次々と新しい“入口”を用意し、ユーザを誘 き寄せていることから、多種多様のサイトが改 ざん被害を受けている可能性が高いと同社は分 析した。 Trend Micro:http://www.trendmicro.com/ Copyright©BroadBand Security, Inc. 8 S.Q.A.T. Security Topics 発行人 2013 年 3 月号 株式会社ブロードバンドセキュリティ 〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階 TEL : 03-5338-7417 文責:田澤 http://www.bbsec.co.jp/ 本書の全部または一部を無断で複写複製(コピー)することは、著作権法上での例外を除き、禁じられており ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。 Copyright©BroadBand Security, Inc. 9 BBSec セキュリティソリューションご紹介 NEW 統合ログ管理/分析サービス ILMS Integrated Log Management Service 昨今の社会問題にも発展している情報漏えい事故に関して、事業継続を行なう上でこの問題を経営の最 重要課題の一つとして捉えている企業が増えています。情報セキュリティに対する脅威が増大し、個人情報 保護法や J-SOX 法の施行、クレジットカードセキュリティ基準 PCI DSS など法令に加え各種セキュリティ規格 においても、システムに起きたことを記録するログ収集の重要性が高まっています。 【お客様の課題】 【サービス概要】 お客様のネットワーク、セキュリティ、サーバ システムから発生する、膨大で多様なフォーマットのログ を統合管理し、分析を行ないます。発生した障害やセキュリティリスクなどに対する能動的な対応、技 術的な問題点の特定、解決を図るサービスをご提供いたします。 【BBSec ILMS 導入による期待される効果】 ■システムの運用業務及びサービス信頼性の保証 z IT サービスの停止することのない安定的な運用支援を通じた信頼度及び対外イメージの向上 z システム、ネットワーク、セキュリティシステムの運用高度化によるサービス安定性の確保 z 主要サービスの利用に対する可用性・セキュリティ強化によるサービス信頼度の向上 ■ログ管理業務の効率性及び生産性の向上 z ログの収集、保存、分析、アラーム、レポートの作成の自動化による運用負荷の削減 z システム、ネットワーク、セキュリティシステム管理者などの各管理者別に最適化されたログ分析を提供 ■障害・セキュリティ事故の発生時、迅速な対応支援 z 閾値ベース及びイベントベースのアラーム機能を通じ、障害及び事故発生の際の迅速な通知 z イベント別の処理状況を記録することにより、業務・担当別に情報共有、共同対応が可能 ■システムの運用業務及びサービス信頼性の保証 z ログ保存のソリューションの検索及び分析の限界を克服 z ログ分析のソリューションの事後分析及び多重ログの相関関係分析の限界を克服 z SMS(Service Management System)、NMS(Network Management System)の障害原因把握のための分析 の限界を克服 z ESM(Enterprise System Manager)の構成や運用(セキュリティ要員、構築費用)の限界を克服 【統合ログ管理分析サービス「ILMS」サービスご紹介 URL】 http://www.bbsec.co.jp/solution/ilms.html Copyright©BroadBand Security, Inc. 10 Cracker Detect EXOCET サービス概要 2009 年 12 月からガンブラーと呼ばれるドライブバイダウンロード攻撃手法による Web 改 ざん被害が急拡大しております。また、さらなる亜種が増加、進化を続け新たな脅威を生ん でおります。最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生 成される高度に難読化された JavaScript 内に悪意のあるプログラム(マルウェア)へのリ ンクを埋め込む攻撃手法が主流になっています。こうした進化する攻撃に対して BBSec で は、新サービス「Cracker Detect EXOCET」にて防御を実践いたします。 【サービス概要】 ■改ざんコンテンツの公開を水際で阻止 業界初の FTP プロキシー型のリアルタイム改ざん検知により改ざんコンテンツの公開を防ぎます ■リンク評価にクラウドマーク社のレピュテーション DB を採用 SNS だけで 1 億 3000 万アカウントを守る「Cloudmark Sender Intelligence」を採用しました レピュテーション DB の情報更新が圧倒的に⾼速です ■難読化リンクも.htaccess の改ざんも未然に防ぎます HTTP 経由の改ざん検知ソリューションの弱点は EXOCET(エグゾセ)には存在しません ■フィッシングサイト等へ向けたリンクの埋め込みも未然に防ぎます レピュテーションは犯罪サイト全般を網羅しています ■改ざんに使用された FTP アカウントもお知らせします 事後処理のための完璧な情報を提供致します ■大規模サイトでは検出用アプライアンスを設置・運用 必要最小限の稼働コストで余計な設備投資や回線負荷を生じさせません LDAP でのユーザ認証に対応しています(各種 DB に対応予定) ■小規模サイトでは FTP プロキシーの ASP を提供致します FTP アカウント情報は弊社側で LDAP に登録致します 【サービスイメージ図】 世界で 1 億 3,000 万⼈が利用する 最大規模の SNS サイトでも採用 された、クラウドマーク社 の IP レピュテーションサービス を採用し、リンク先サイトの信用度 を分析します。 【Cracker Detect EXOCET サービスご紹介 URL】 http://www.bbsec.co.jp/solution/exocet.html Copyright©BroadBand Security, Inc. 11 Managed Security Service セキュリティオペレーションセンターG-SOC(ジーソック) BBSec で は 、 従 来 よ り ご 提 供 し て い た Management Service に 付 加 し て 、 MSSP ( Managed Security Service Provider)機能をご提供する G-SOC を立ち上げました。これによりネットワークや サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が 可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す る事を実現いたしました。 【サービス概要】 G-SOC でご提供するサービスは、 PCI DSS(ペイメントカード・インダストリー・データ・セキュリティ・ス タンダード)でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従 前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、 DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。 【サービスフロー】 【Managed Security Service サービスご紹介 URL】 http://www.bbsec.co.jp/solution/mss.html Copyright©BroadBand Security, Inc. 12