標的型サイバー攻撃対策 - IPA 独立行政法人 情報処理推進機構

映像で知る情報セキュリティ 社内研修養成コース
「標的型サイバー攻撃対策」
2014年2月10日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
標的型(諜報型)サイバー攻撃の傾向
～気づかれないように情報を盗んでいく攻撃者～
 攻撃の背景
 攻撃の目的⇒企業や政府機関の機密情報窃
⇒知的財産情報、組織の活動情報の収集
 狙われた情報
国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガス田開発に
関する詳細な調査結果、ドキュメントストア、契約書、システム設計図面など
業種
攻撃数
航空宇宙・防衛
41組織
エネルギー関係
34組織
金融
26組織
ソフトウェア産業
19組織
法律関係
17組織
メディア・出版
17組織
情報通信
14組織
出典：Mandiant M-Trends
出典：「東京SOC情報分析レポート 2013上半期」
http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf
2
標的型サーバ攻撃の歴史
～同じ攻撃でも、問題のインパクトは変わっている～
国内政府機関への
標的型メールの観測
Operation Aurora
Stuxnet(ｲﾗﾝ)
リン国防副
長官論文
米政府サイバー空間ドクトリン発表
国内重工業事案
政府・技術機関への攻撃
MANDIANT
レポート
国家安全保
障戦略策定
J-CSIP発足
サイバー攻
高度解析協議会
撃対処で日
CYMAT発足
米連携
Titan Rain(米)
2003
~
2005
~
2011
2010
2012
2013
 不審メール問題
 海外でインシデント発生
 国内での被害の顕在化
 対策に向けた制度の発足
 外交・安全保障
などの国際政治
問題に
・
・
・
3
標的型サイバー攻撃の仕組み
～「不審メール」「ウイルス感染」のみがクローズアップされる～
「ウイルス対策」「不審メール対策」を行えば良いとの
認識が生まれる
4
標的型サイバー攻撃の仕組み
～攻撃者によるウイルスを使ったリモートハッキング～
 攻撃の手口
対策できない ウイルス
感染
計画
①計画立案:
攻撃目標選定、偵察
②攻撃準備:
メール、攻撃用サーバ準備
③初期潜入:
標的型メールの送付
人が行う不正アクセス
④攻撃基盤構築:
・バックドア開設
・端末情報入手
・ネットワーク構成把握
⑤内部調査侵入:
・サーバ不正ログイン
・管理サーバ乗っ取り
・他端末への攻撃範囲拡大
⑥目的遂行:
・情報窃取
・情報破壊
5
標的型サイバー攻撃の仕組み
～攻撃者によるウイルスを使ったリモートハッキング～
 問題の本質を理解しておこう
メールによる
ウイルス感染
メールによる
内部侵入
攻撃者の活動フィールドは、パソコンだけでなくシス
テム全体におよぶ
6
『標的型サイバー攻撃』の特徴①
～政府機関や大企業しか狙われないと思わないで下さい～
 政府機関や大企業だけしか攻撃されない？
情報は、複数の組織で
共有されるものです。
31%が
250人以
下の企業
小規模組織であっても
狙われます。
出典：シマンテック：2013 年インターネットセキュリティ脅威レポート 第 18 号
http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp
7
『標的型サイバー攻撃』の特徴①
～弱い組織から狙われる攻撃の常識～
 弱い組織が攻撃の踏み台にされる
Aは攻略が難し
いからBから攻
めよう
A社
③バックドアを開設
を攻撃者との通信
チャネルを開設
②Aにメールを送付
し、侵入する
①Bのパソコンを
乗っ取る
B社
8
『標的型サイバー攻撃』の特徴②
～攻撃者によって、受信者がメールを開く状況が作り出されている～
 メールを開かない様に周知すれば大丈夫？
巧妙な手口が使われる為、全員がメールを
開かないのは不可能です
 メール偽装のテクニック
 時事ネタの転用・・・・・・・・・・・・「停電のお知らせ」、「子ども手当」など
 内部情報の転用・・・・・・・・・・・「会議情報」、「○○のお知らせ」
 実在メールの転用・・・・・・・・・・実在メールの返信、転送
 心理的なテクニック




「至急」「緊急」等の用語を用いる・・・・見ないと自身が損を被る可能性
やりとり型･････・・・・・・・・・・・・・・・・・業務に関するメールをやり取りする
職位上位者、取引先からのメール・・・送付者に確認しづらい状況の創出
叱責、クレームメール・・・・・・・・・・・・・・対応しないと、後が怖い・・・
9
『標的型サイバー攻撃』の特徴②
～メール開封率と攻撃全体における効果を考えてみよう～
 何パーセント防げれば安全？
 1本のコネクトバックが開設できれば作戦成功
 対策側は、開封率0%が対策の必須条件
 事実上、偽装メールを100%見破るのは困難
1人が引っ掛れば
攻撃成功
残存リスク
標的型メール攻撃
ウイルス感染
対処率
標的型メール訓練は、注意喚起の意味合いが強い
10
『標的型サイバー攻撃』の特徴③
～徐々にセキュリティ対策をすり抜ける攻撃が増加～
 ウイルス対策やセキュリティパッチを当てていれば、大丈夫？
大半の攻撃は防ぐことが出来ます。但し、完璧ではあり
ません。
 ショートカットを悪用した攻撃手法（脆弱性を悪用しない手法）
ショートカットファイルに埋
め込まれたスクリプト
通常リンク先は起動したいソフト
であることが多いが、この例では、
不正接続先に接続するスクリプト
を生成するスクリプトと、新しい攻
撃スタイルが使われていた。
11
『標的型サイバー攻撃』の特徴③
～攻撃の特性を内部侵入を基点に考えることが重要～
 システム内部侵入後の挙動
ウイルス感染
の拡大
攻撃者による
侵入の拡大
真の恐怖は、システム内部に侵入された後の情報窃取
や破壊的行為にある
12
効果的な対策とは？
ポイント
 セキュリティ機器の役割を理解する
 攻撃シナリオを理解し、バランスの取れた対策を考える
 運用体制・インシデント発生時の対応を決めておく
13
セキュリティ対策の特徴と弱点
～ 組織としては、これまでの防御では防ぎきれなくなってきている ～
 現状のネットワークセキュリティは、外から内への侵入に
備える境界防御の概念である
 一番の欠点は、侵入された後の防御が弱い
 不正侵入を阻止
 ファイアウォール
検疫システム
ウイルス対策
ファイアウォール
IDS/IPS
DMZ
 許可された通信のみ通過
 通信内容は関知しない
 IDS（IPS）侵入検知（防止）システム
内部LAN
 攻撃を行う通信を検知
 未知の攻撃の阻止は難しい
 ウイルス対策ソフト
 マルウェアの侵入を阻止
 見逃しの可能性
制限NW
14
内部侵入後の防御策
～ 内部システムの防御はセキュリティ製品ではなく業務システム ～
 内部侵入後の挙動
 他セグメントの端末へ侵入
 ファイルサーバ/業務サーバへの不正ログイン
 プロキシサーバを介した情報の外部への送出
業務・ネットワーク機器
で攻撃を食い止める
セキュリティ機器で食
い止めるステージでは
ない
攻撃者によるリ
モート操作で侵入
範囲を拡大
15
標的型攻撃の対策の考え方
～攻撃の流れを理解した上でバランスの取れた対策を考える必要あり～
 攻撃の手口
対策できない
計画
①計画立案:
攻撃目標選定、偵察
②攻撃準備:
メール、攻撃用サーバ準備
ウイルス
感染
③初期潜入:
標的型メールの送付
人が行う不正アクセス
④攻撃基盤構築:
・バックドア開設
・端末情報入手
・ネットワーク構成把握
⑤内部調査侵入:
・サーバ不正ログイン
・管理サーバ乗っ取り
・他端末への攻撃範囲拡大
⑥目的遂行:
・情報窃取
・情報破壊
入口対策
内部対策
・ウイルス対策ソフト
・FWによる不正通信検知
・ウイルスGW
⇒セキュリティ製品による防御
・ネットワーク分離設計
・キャッシュPWの保存禁止
・アクセス権限の最小化
・管理者端末の分離
⇒システム設計・運用による防御
対策は極めて困難
16
「標的型サイバー攻撃」対策に向けた課題
～実は知られていない攻撃の詳細～
C&C
サーバ
インターネット
攻撃者
FW
ルータ/ L3SW
バックドア開設後の攻撃仕様が不明
実際の攻撃を受けた機関にヒアリン
グを行い、攻撃仕様の分析を実施
L2SW
L2SW
・・・・・・
ユーザ端末
（感染源）
ユーザ端末
ユーザ端末
ユーザセグメント
運用管理
端末
認証
サーバ
（AD）
DB
サーバ
ファイル
サーバ
運用管理
サーバ
サーバセグメント
17
「標的型メール攻撃」対策ガイドの紹介
～攻撃の詳細を明確にし、対策手法を紹介～
「標的型メール攻撃」対策に向けたシステム設計ガイド
http://www.ipa.go.jp/security/vuln/newattack.html
攻撃の特徴を解説
攻撃の流れを解説
攻撃を食い止める為
の設計対策を記載
18
システム設計策 (1)
～コネクトバック通信の遮断と検知を強化する～
 基盤構築段階におけるシステム設計策
基盤構築段階における、対策目標は下記2点。
① リモートコントロール通信経路（コネクトバック通信）の検知/遮断
② 攻撃者による、内部探索・調査活動の検知/遮断
分類
防御遮断策
No.
対策タイトル
概要
断①
ネットワーク通信経路設計によるFWでのコ
ネクトバック通信の遮断
プロキシサーバのアクセス制御によるコネ
クトバック通信の遮断
ネットワーク通信経路設計により、フ
FWでコネクトバック通信を遮断する
プロキシサーバにおけるアクセス制御によ
りコネクトバック通信を遮断する
断②
断③
視①
監視強化策
視②
対象機器
FW
プロキシ
プロキシ
プロキシサーバの認証機能によるコネクト プロキシサーバの認証機能により不正な
通信を遮断する
バック通信の遮断
プロキシサーバの認証ログの監視と分析
プロキシサーバの認証ログを分析し、コネ
クトバック通信の兆候を監視する
プロキシ
プロキシサーバ経由通信強制遮断によ プロキシサーバ経由の通信を一度切断し、
るコネクトバック通信の発見
強 制切 断時に発 生す る ロ グ等に より、
C&Cサーバへ再接続を行うコネクトバック
通信を調査・発見する
プロキシ
プロキシ
19
システム設計策 (2)
～アカウント窃取防止と攻撃の検知を主眼とした対策～
 内部侵入・調査段階におけるシステム設計策
内部侵入調査段階における、対策目標は下記2点。
① 攻撃者による内部侵入の拡大防止
② ユーザ端末におけるアカウント窃取防止
分類
No.
対策タイトル
断④ 管理端末とユーザ端末の分離
概要
対象機器
ユーザ端末と運用管理端末を分離し、ユーザ ユーザ端末
端末から運用管理端末へアクセスできない 運用管理端末
ようにネットワークを分離する
防御遮断策
断⑤ ネットワークの分離設計とアクセ 適切なネットワークセグメントの分離設計と ネットワーク機器
ス制御
ネットワークセグメント間のアクセス制御を実
施する
断⑥ 権限の強いアカウントのキャッ 高い管理者権限を有するアカウント(Domain ユーザ端末
Admins等)のキャッシュ禁止
シュ禁止
断⑦ ユーザ端末間のファイル共有の
禁止
端末間でのファイル共有や管理共有を禁止 ユーザ端末
(無効化)し、ファイルサーバなど必要最低限 ネットワーク機器
の対象とだけファイル共有を許可する
監視強化策
視⑤ トラップアカウントによる認証ロ ユーザ端末にトラップアカウントを仕込み、攻 端末
撃者のログイン攻撃を検知する
グの監視と分析
認証サーバ(AD)
20
事実①:バックドア通信の遮断
 攻撃の流れ(特徴)
正常なサービス通信
マルウェアの通信
プロキシ
CONNECT要求
Internet
CONNECT要求/SSL通信
FW
バックドアプ
ログラムの
通信仕様に
は、特徴が
ある
 CONNECT要求は、SSL/TLS等のプロトコルで暗号化された通
信をプロキシサーバでトンネリングさせるために使用される
 一部のマルウェアは、CONNECT要求をプロキシに対して発行
して、外部接続を行っている
外部サーバにアクセスするConnect要求の99.9%はSSL/TLS通信
である。プロキシで通信制限を行えば、コネクトバックの遮断が可能
21
事実②:管理者端末が乗っ取られサーバに侵攻
 攻撃の流れ(特徴)
 メール経由で侵入した攻撃者は、ユーザ端末のID/PWを窃取しながら
、侵入範囲を拡大していく
 ユーザ端末と運用管理端末が混在している環境だと、運用管理端末
が乗っ取られ、侵入範囲がサーバ群に及んでしまう
 運用管理端末には、管理用のID/PWが保存されている為、窃取された
際の影響が大きくなる傾向にある
22
事実②:管理者端末が乗っ取られサーバに侵攻
 対策概要と効果
運用管理端末
やネットワーク
のセグメントを
分けるだけで、
侵入を阻止で
きる
 ユーザ端末と運用管理端末とのネットワークを分離することで、運
用管理端末の乗っ取りを防ぐ
 運用管理端末を用意し、外部からマルウェアが侵入しないように、
メールやWeb閲覧を行わない運用とする
 ADのような重要サーバに対しては、管理機能へのアクセスを特定の
端末に制限することで、不正アクセスのリスクを低減
23
事実③:ユーザ端末のDomainAdminが窃取される
 攻撃の流れ(特徴)
パソコンのキッ
ティング
に”Domain
Admins”が使わ
れているケース
が多い
 攻撃者は、ユーザ端末にキャッシュされているアカウント情報を窃
取しながら、侵入範囲の拡大を行う
 高い権限のアカウント情報がキャッシュされていると、認証サーバ
等の高いサーバへの不正アクセスを誘発してしまう
 リモートメンテナンス、ソフトウェア自動更新等の目的で、全端末
一律に”Domain Admins”が使用されているケースが散見
“Domain Admins”をユーザー端末にキャッシュさせない運用を行う
24
運用体制/インシデント発生時の対応
 インシデント発生時の対応モデル
全貌把握と対応判断
組織対処
部門対処
緊急回避（回復）OPS
簡易分析
初動分析
追跡調査（原因特定と被害分析）
各段階で上位段階に
移行すべきか判断
再発防止（予防）対策の検討と実施
監視（アラート）
 何をトリガーとして判断するか？
 誰にエスカレーションするか？
25
重要性を増すパソコンのセキュリティ対策
～パソコンを基点に攻撃が行われる～
感染ステップ
内部侵入
攻撃ステップ
持ち出し
破壊
パソコンのセキュリティ対策
パソコンのセキュリティ対策




Javaの脆弱性を悪
ウイルス対策ソフトの導入
用した攻撃が多い
Windows Update
Adobe Reader/JRE/Adobe Flash Player 等のアップデート
アカウントの権限の見直し(高い権限でログインしない)
26
ご清聴ありがとうございました
標的型サイバー攻撃特別相談窓口
～IPAのサイバー攻撃特別相談窓口～
まずはご連絡ください！
★サイバー攻撃特別相談窓口：
[email protected]
27