Comments
Transcript
情報セキュリティの 脅威とBCP/BCM - IPA 独立行政法人 情報処理推進
情報セキュリティワークショップ in 越後湯沢2010 「~逃げちゃダメだよ!~IT社会のBCP・BCM。なう!」 情報セキュリティの 脅威とBCP/BCM ~自助・共助・公助と連携・情報共有~ 自助では、個人よりも企業を主体に考えます。 BCP : Business Continuity Plan BCM : Business Continuity Management 2010年10月7日 独立行政法人 情報処理推進機構(IPA) セキュリティセンター 情報セキュリティ技術ラボラトリー長 小林 偉昭(ひであき) [email protected] Copyright © 2010, IPA all right reserved. 1 はじめに(IPAとは) ウイルス・不正アクセス対策普及対策 ウイルス・不正アクセスの届出・相談受付 「今月の呼びかけ」等の情報提供 普及啓発 脆弱性対策 脆弱性関連情報の届出受付・分析 攻撃手法等の収集・分析 脆弱性情報の提供 JVN (http://jvn.jp/) セキュリティの第3者認証 情報セキュリティセミナー 中小企業のセキュリティ対策 情報セキュリティ対策ベンチマーク (http://www.ipa.go.jp/security/benchmark/index.html) 調査・社会経済分析 意識調査、被害実態調査 情報セキュリティ関連の社会経済的分析 情報セキュリティ白書 ITセキュリティ評価・認証制度 (コモンクライテリア) 暗号モジュール試験認証制度(JCMVP) 国際展開 国際協力・貢献 世界の情報セキュリティ機関との連携 安全性技術の国際標準化活動 Copyright © 2010, IPA all right reserved. 2 目次 1.脅威とBCP/BCM 2.脅威の対象の変化・多様化 3.自助・共助・公助と連携・情報共有 4.10大脅威と具体的な例 ・標的型攻撃 ・DDoS攻撃 ・暗号の危殆化 5.IPAからのプレゼント 6.最新バージョンのソフトを利用しましょう Copyright © 2010, IPA all right reserved. 3 脅威の現状 インターネットの環境は大きく変化している 攻撃(悪意)の動機も変化している <初めの頃は> <現在、これから?> あなたのパソコンは 4分に1回 不正な?アクセス いたずら 金銭・犯罪・テロ・情報戦 Copyright © 2010, IPA all right reserved. 4 期待しないアクセス(攻撃)の数は? 1日あたりの期待しないアクセス数及び発信元数 2010年8月の期待しないアクセスは, 1日あたり162の発信元から358件 のアクセスがあった 約4分ごとに 誰かがあなたの パソコンを のぞいている。 インターネット定点観測TALOT2の仕組み Copyright © 2010, IPA all right reserved. 5 多様化する脅威/リスク 社会政治的 災害 9.11テロ、7.7テロ 自爆テロ、大量破壊兵器 社会的犯罪の 増加 不法侵入、詐欺、迷惑通信、 有害・違法コンテンツ 内部不正 コミュニティ (社会) ビジネス 機密情報の持ち出し 不正アクセス、不正操作 (企業) ネット犯罪 ライフ (家庭・個人) 自然災害・ 障害 地震、津波、火災、水害、 停電、大型ハリケーン 人為的災害 オペレーションミス 従業員モラル、 不法投棄 プライバシー 問題 個人情報保護法(05/4施行) (金融・医療データ等)、 盗聴、盗撮 スキミング、フィッシング 不正アクセス、Web改竄 DoS攻撃、ウイルス 「不安解消」、「安心・安全の確保」に対する社会的ニーズ増大 Copyright © 2010, IPA all right reserved. 6 脅威と危険性(リスク)と影響 「脅威」と「危険性」と「影響」と「対策」を別けて、 かつシリーズで考える。 守るべきモノへの影響 影響 脅威 発射の脅威有無 発射の準備完了 危険性(リスク) 被弾の危険性有無 日本射程内 意図は? 能力? 出典:亀山社中 放射能被爆の影響 首都機能停止の影響 経済的影響 対処判断と準備 対策と対処計画 対策 被害見積は? Copyright © 2010, IPA all right reserved. 7 セキュリティとBCP/BCM セキュリティとは(次のように考えてみたい) 何を 何から どう守り 安心・安全な状態を、いかなる変化に対しても持続する 公害発生時の関係 安定した状態 公害発生 健康と病気の関係 浄化能力>汚染 安定した健康状態 体・気力・薬>感染 浄化能力<汚染 疾病発生 体・気力・薬<感染 BCP/BCM(事業継続計画・管理) (次のように考えてみたい) 経営や社会などで 想定外のことも対象にする ・パンデミック 影響による優先付け ・サイバー攻撃 守るものを決め 大切なこと トップダウンの決定 いかなるリスク(影響)に対しても 可能な限り継続できるような事前・災害時・回復時にすべき計画と管理 持続:環境問題から注目された言葉 「守る」という受身的発想だけからの脱却 Sustainability Copyright © 2010, IPA all right reserved. 8 BCPとBCMの定義 Business Continuity Plan & Business Continuity Management BCP:潜在的損失によるインパクトの認識を行い実行可能な継続戦 略の策定と実施、事故発生時の事業継続を確実にする事業計画。 事故発生時に備えて開発、編成、維持されている手順及び情報を文 書化した事業継続の成果物。 BCM:組織を脅かす潜在的なインパクトを認識し、利害関係者の利 益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応 力を構築するための有効な対応を行うフレームワーク、包括的なマ ネジメントプロセス。 参考文献 事業継続策定ガイドライン(経済産業省)(2005年3月) http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf 事業継続ガイドライン第一版(内閣府中央防災会議)(2005年8月) http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf 中小企業BCP策定運用指針(中小企業庁)(2006年2月) http://www.chusho.meti.go.jp/bcp/ ビジネス継続性技術調査報告書(情報処理相互運用技術協会)(2005年3月) http://www.net.intap.or.jp/INTAP/information/report/16-business-report.pdf http://www.bcao.org/ Copyright © 2010, IPA all right reserved. 9 BCPの構築・運用のPDCAサイクル PDCAサイクル:「計画(Plan)」「実施(Do)」「監視(Check)」 「改善(Action)」のマネジメントサイクルとして捉え、 組織運営を通じて継続的な改善を図る取り組み ビジネスインパクト分析 Plan BCPの策定 Do 事業継続にあたってのボトルネック ( 事業継続上、重要な 箇所・事象 )を特定。 事業継続上、 ボトルネックを守るた めの対策検討・実施。 ■会社としてのBCP方針の策定 ■組織体制の構築 ■目標復旧時間を設定しその事業体に応じたBCP作成 維持・管理 効果検証・ 継続的改善 Action BCMの運営 Check BCPはあくまで計画であり、それをいかに企業内に浸 透、戦略的に活用するかという「マネジメントの視点」(= BCM)が重要。 Copyright © 2010, IPA all right reserved. 10 出典:経済産業省報告書 目次 1.脅威とBCP/BCM 2.脅威の対象の変化・多様化 3.自助・共助・公助と連携・情報共有 4.10大脅威と具体的な例 ・標的型攻撃 ・DDoS攻撃 ・暗号の危殆化 5.IPAからのプレゼント 6.最新バージョンのソフトを利用しましょう Copyright © 2010, IPA all right reserved. 11 サイバーテロ(攻撃)も映画に 金融街の交通システム、航空管制システムやテレビ放送の制御奪取等の攻撃 http://movies.foxjapan.com/diehard4/ Copyright © 2010, IPA all right reserved. 12 サイバーテロ(攻撃)も映画に ワシントンDCのFBIのシステムがハックされた。 1000人のハッカーを捕らえろ・・・・ Fire sale 「投売り」 公共機関に対する3段階の攻撃 ステージ1 : 交通機関への攻撃 交通管制センター攻撃で信号機を全て青にする シカゴ高架鉄道ダウン、航空管制ダウン DHS等への炭素菌警報 ステージ2 : 金融・通信・放送への攻撃 証券取引所、金融街パニック 映像(ホワイトハウス崩壊等)配信 ステージ3 : ガス・水道・電気・原子力設備への攻撃 遠隔からの進入はできるが、現実攻撃は現場への物理攻撃 電力停止(東部、西部、中部)、天然ガス制御 本当の目的は 金融バックアップセンターに侵入し、情報窃取お金 Copyright © 2010, IPA all right reserved. 13 サイバー空間(新しい生活空間?) サイバー空間 (新しい生活空間?) 安い、簡単 汚染 (攻撃) インターネット 汚染 (攻撃) 汚染 (攻撃) ネットワークの共有 クラウド(スマートデバイス) 安い、簡単 CPU、ストレージ、APの共有 汚染 (攻撃) スマートインフラ(スマートコントロール) 犯罪・悪意 社会インフラの共有 犯罪・悪意 スマートコミュニティ (スマートソサイアティ) 犯罪・悪意 愉快犯→金銭犯→エスピオナージ(産業スパイ) →国防の対象 Copyright © 2010, IPA all right reserved. 14 これからのサイバー空間に向けて サイバー空間で守るものは:情報だけか +クラウド インターネット +スマートインフラ 現実空間 グリッド スマート 発電所 電力送電網 電力配電網スマートメータ サイバー空間 ネットワーク CPU/ストレージ AP S/W H/W H/W SaaS ビル 家庭 S/W SaaS 信頼関係 リアルとサイバの信頼関係 リアルとサイバーの連携強化により社会活動への影響も 15 Copyright © 2010, IPA all right reserved. 米国政府のインターネット対策強化 出典:ワシントンポスト他 攻撃 企業・家庭・市民の ネットワーク・システム 攻撃 プライバシー? 政府の ネットワーク・システム 重要インフラの ネットワーク・システム 脅威の90%は:原子力 設備、電力、銀行、鉄道、 航空、水道、医療・・・の 民間重要インフラ分野 攻撃 ハッカーに加え、 テロ集団、 外国政府 海底ケーブル(ファイバ)、 通信衛星等 システム防護 ネットワーク DHS 監視NSA ペンタゴン 反撃 NSA:National Security Agency 米空軍、サイバースペースを舞台とする攻撃として、インターネット等を通じたコン ピュータシステムへのサイバー攻撃や、電磁パルスを用いた電子機器の破壊、地 上や衛星の通信インフラへの攻撃など、サイバースペースを空や宇宙を含めた幅 広いものとして捉え、活動。 16 Copyright © 2010, IPA all right reserved. 中国 電子戦能力を増強 陸海空に加え 宇宙と電磁空間へ 日経新聞記事 16 グローバルな攻撃者:インターネット犯罪分布 第1期: 北米・欧州の学生の趣味 第2期: ロシアなど旧ソ 連諸国、中国、 プロが標的を絞って攻撃 ブラジル等。 高度なスキルを 持つが、職が得 られない。 地下経済とヤミ組織: 攻撃手法の専門集団とその 連携(生産性向上) 出典:F-Secure社 今後の課題: 脅威は、OSから多種多様なアプ リケーションAPへ拡大。 MSのUPDATE相当の マルチベンダーAP対応自動更新 の一般人でも容易に対策できる 仕掛け・基盤の整備が必要 さらに高度化、 標的型の進展。 アフリカ、アジア 地区、メキシコ 第3期: 更なる高度化、標的型攻撃 Copyright © 2010, IPA all right reserved. 17 昔と今のサイバー攻撃の絵姿変化... 昔と今のサイバー攻撃の絵姿変化... 攻撃構造と手法と影響の変化 2000 2000 不正侵入・改竄 攻撃構造と手法と影響の変化 2006~ 2004~ 2004~ 体系化(Botenet) 2006~ 多段化 (Botnet技術基盤利用) 2009~ 2009~ 正規サービスの 攻撃基盤利用 正規サイト・サービス利用 ウイルス亜種の大量出現 シーケンシャルマルウエア(多段型攻撃) 0-Day脆弱性利用 toolによるウイルス生産 情報システムがターゲット 1脆弱性=1攻撃の時代 PCとホームページ改竄がターゲット 攻撃組織間連携 攻撃者ひとり PCの破壊・HP改竄 攻撃組織基盤化 戦術的攻撃 多様な意図性(情報搾取攻撃) 情報搾取等 e-マーケットビジネス、決済等への影響 決済関連情報搾取等、サプライチェーン 危機管理 影響(業務インパクト)の変化 影響(業務インパクト)の変化 対象:PC、サーバ 対象:情報システム(組織・ビジネス) セキュリティ製品でカバー(製品の出現) 製品を置く設計思想 出展:亀山社中 ? ? 設計思想を変 設計思想を変 化させないと... 化させないと... 脅威全貌とポイントが見えにくい時代 一定の情報運用で守る時代(情報連携) 皮を切られても肉まで切られない発想設計 18 システム・ネットワークトポロジ設計で防御 Copyright © 2010, IPA all right reserved. 18 目次 1.脅威とBCP/BCM 2.脅威の対象の変化・多様化 3.自助・共助・公助と連携・情報共有 4.10大脅威と具体的な例 ・標的型攻撃 ・DDoS攻撃 ・暗号の危殆化 5.IPAからのプレゼント 6.最新バージョンのソフトを利用しましょう Copyright © 2010, IPA all right reserved. 19 現実の我々の生活では:防災 地震・火災・台風等に対して 自助・共助・公助の考え 回覧板、連絡網、自治会などの地域活動 一人ひとりの積極的な参加 ボランティア、リーダ 自助: 防災の基本 自分の責任で、自分自身 が行うこと 自助 共助: 自分だけでは解決や実 行が困難なことについて、 周囲や地域が協力して行 うこと 公助: 個人や周囲、地域あるい は民間の力では解決でき ないことについて、公共 (公共機関)が行うこと 共助 公助 災害を起こさないように 準備する 災害が起きても 被害が広がらないように 自警団 消防団など 自助・共助・公助の相互関係 : 連携・情報共有が大切 Copyright © 2010, IPA all right reserved. 20 サイバー空間でも!! 緊急時の対処が大切 インターネット CERT、CSIRT CERT: Computer Emergency Response Team, CSIRT: Computer Security Incident Response Team FIRST Forum of Incident Response and Security Teams 緊急時に対する準備対応が大切 クラウド US-CERT United States Computer Emergency Readiness Team 守るべきものが多様化 多様な関係者 スマートインフラ (スマートグリッド) スマートコミュニティ (スマートソサイアティ) サイバー空間(社会)を構成する幅広い仲間の連携 CS-ERT Cyber Space Emergency Readiness Team 自助・共助・公助の相互関係 : 連携・情報共有が大切 Copyright © 2010, IPA all right reserved. 21 サイバー空間でも!! 日本での活動は 業界:自助 IPA、NTT、IIJ、 日立、ラック、 パナソニック、 JPCERT/CC ・・・・ 業界:共助 日本シーサート協議会、 FIRST(日本メンバ)、 テレコムISAC ・・・・ 政府関係:自助・公助 CFC、 NISC ・・・・ Cyber Force Center コミュニティ(地域)ベースでの海外活動の紹介 英国WARP(Warning, Advice and Reporting Point)(*1) 英国政府が推進している、中小規模組織向けのセキュリティ情報共有サービスのフレー ムワーク(中小自治体、地域商工会議所、地域公共サービス部門(救急、警察、教育)、アマチュア無線組織・・・) 南アフリカC-SAW ヨハネブルグ大の講演でコミュニティベースのセキュリティ支援とアドバイスを進めるチー ムC-SAW( Community-oriented Security Advice and Warning )の検討紹介 (*1)詳細は以下のIPA報告書を参照。 2008年2月12日公開 脆弱性情報共有フレームワークに関する調査報告書~中小規模組織における脆弱性対策促進への各国の取り組み~ http://www.ipa.go.jp/security/fy19/reports/vuln_Framework/vuln_Framework.pdf Copyright © 2010, IPA all right reserved. 22 情報セキュリティの脅威と自助・共助・公助 WARPのイメージ http://www.ipa.go.jp/security/fy19/reports/vuln_Framework/vuln_Framework.pdf Copyright © 2010, IPA all right reserved. 23 情報セキュリティの脅威と自助・共助・公助 WARPの概念と特長(CERTとの比較で) http://www.ipa.go.jp/security/fy19/reports/vuln_Framework/vuln_Framework.pdf Copyright © 2010, IPA all right reserved. 24 情報セキュリティの脅威と自助・共助・公助 WARPの概念と特長(CERTとの比較で) http://www.ipa.go.jp/security/fy19/reports/vuln_Framework/vuln_Framework.pdf Copyright © 2010, IPA all right reserved. 25 情報セキュリティの脅威と自助・共助・公助 C-SAW: Community-oriented Security Advice and Warning コミュニティ 「ユーザグループ」 一般的なCSIRTの構造 キーポイント Community-centric: 後進国では このような構 造を構築す るのは大変 運用にはコミュニティの知恵とサポート Autonomous: 自律的なセキュリティサポート Geographically independent: 地域的に塊のある単位 既存、これからのCSIRTと共存できる ボトムアップのアプローチ 出典:IFIP WCC2010 CIPセッション@ブリスベン(2010.09.20) Copyright © 2010, IPA all right reserved. 26 サイバー演習 自助・共助・公助の確認、課題の洗い出し 演習 (1)NISCの活動:情報セキュリティ2010 国民生活を守る情報セキュリティ基盤の強化 ② 重要インフラの基盤強化 ・重要インフラ防護対策の向上 【具体的施策】 イ) 分野横断的演習の実施(内閣官房及び重要インフラ所管省庁) セプター及び重要インフラ事業者等の協力を得て、具体的なIT 障害発生を想定した演習シナ リオ作成とそれに基づく分野横断的な演習を実施し、課題の抽出及び演習実施のための知見 の整理を行う。なお、得られた課題や知見については、関係者間で共有するとともに、可能な 範囲で公表する。 (2)サイバーテロ訓練:横浜に事業者集め--APECで県警 /神奈川 http://mainichi.jp/area/kanagawa/news/20100916ddlk14040241000c.html 横浜市であるアジア太平洋経済協力会議(APEC)首脳会議(11月13、14日)を前に、県警サイ バーテロ対策本部は15日、会議場となる同市西区みなとみらい1のパシフィコ横浜でインフラ事業 者を集めたサイバーテロ対策訓練を行った。 会議場周辺に営業所を持つ電気、ガスなど21事業者約80人が参加。システムに不具合が無い かを確認する事前対策やサイバー攻撃を受けた際の通報手順や対処方法について、警察官が演 技を織り交ぜながら説明した。 被害に遭った時に適切に事業を続けながら、被害の拡大を防止するため担当者がコンピュー ター内の情報を保全したり、被害範囲の調査・確認を実施する訓練もあった。 Copyright © 2010, IPA all right reserved. 27 サイバー演習 自助・共助・公助の確認、課題の洗い出し 演習 (3)米国DHSの活動:Cyber Storm III 2010.9.28から FACT SHEET http://www.dhs.gov/xlibrary/assets/cyber-storm-3-media-fact-sheet.pdf The Cyber Storm III exercise scenario reflects the increased sophistication of our adversaries, who have moved beyond more familiar Web page defacements and Denial of Service (DOS) attacks in favor of advanced, targeted attacks that use the Internet’s fundamental elements against itself— with the goal of compromising trusted transactions and relationships. この訓練は、米中枢のインフラ設備への大規模なサイバー攻撃を 想定し、米政府の7つの省、11州、民間企業60社、12か国 (オーストラリア、英国、カナダ、フランス、ドイツ、ハンガリー、 日本、イタリア、オランダ、ニュージーランド、スウェーデン、スイス) から数千人が参加する。 ナポリターノ長官は、「米国のサイバーインフラの安全保障には、連邦政府と州、海外 のパートナー、民間企業との緊密な協力関係が不可欠。今回の訓練で、進化するサイ バー攻撃に対しめざましく進歩した防御機構をさらに強化することが可能になる」と声明 で述べた。 Copyright © 2010, IPA all right reserved. 28 サイバー演習 自助・共助・公助の確認、課題の洗い出し 演習 (4)欧州ENISAの活動: 「CYBER EUROPE 2010」 初の全欧州重要情報インフラ防護演習「CYBER EUROPE 2010」開催に向けた第一フェーズを 完了。このフェーズでEU構成国うち21カ国からの代表者が演習に係るトレーニングと予行演習を実 施。第2フェーズは演習本番であり、本年11月開催を予定。 <すべての重要インフラに影響を与える通信に対する演習を実施する計画を説明。各国での通信 インフラでの最低レベルを確保するための実装推奨や情報共用促進をするよう指導し、2011年5月 15日までに対応することを要求しているようだ。最低限のセキュリティレベルを確保すると言う考え 方。通信として、IPv6、DNSSecへの対応を推進。CRITIS2010でのENISA講演より。> (5)「サイバー防御における学会の役割について:サイバー戦争は今ここにある!」 2010.9.24 CRITIS2010@アテネ アテネ大学 Dimitris Gritzalis 全国の大学が連携して第1回目のギリシャサイバー防御演習(National Cyber Defense Exercises)を昨年5月18日から20日に実施した。このアカデミックでの演習目的は、国民にサイ バー攻撃と防御の認識を高めること。また、この演習で専門家のデータベースを作成し、専門家と そのスキルを特定し、実際の演習でその技術力を確認することも目的。この演習では、DDoS、デー タ漏洩、マルウエア分析、法的衝突などの9つの項目を挙げていた。今年も10月の中頃に2回目を 実施予定のようだ。 ENISA:欧州ネットワーク情報セキュリティ機関 Copyright © 2010, IPA all right reserved. 29 目次 1.脅威とBCP/BCM 2.脅威の対象の変化・多様化 3.自助・共助・公助と連携・情報共有 4.10大脅威と具体的な例 ・標的型攻撃 ・DDoS攻撃 ・暗号の危殆化 5.IPAからのプレゼント 6.最新バージョンのソフトを利用しましょう Copyright © 2010, IPA all right reserved. 30 10大脅威 「あぶり出される組織の弱点!」 「2010年度版 10大脅威」はIPAに届出のあったコンピュータウイルス、 不正アクセスおよび脆弱性に関する情報や、インターネット等で一 般に報道された情報を基に、「情報セキュリティ早期警戒パートナー シップ」に参画する関係者のほか、情報セキュリティ分野における研 究者、実務担当者など120名から構成される「10大脅威執筆者会」 でまとめたもの。2005年から毎年公開しており、今年で6回目。 ダウンロード件数 2010年版 10大脅威 2009年事例 10大脅威 運営者・開発者向け: 経営者向け: リスク・影響・対策 リスク・影響・対策 http://www.ipa.go.jp/security/vuln/10threats2010.html Copyright © 2010, IPA all right reserved. 31 10大脅威 「あぶり出される組織の弱点!」 2009年における組織へのビジネスインパクト Copyright © 2010, IPA all right reserved. 32 十大脅威 「あぶり出される組織の弱点!」 脅威 1位 2位 3位 4位 5位 6位 7位 8位 9位 10位 変化を続けるウェブサイト改ざんの手口 アップデートしていないクライアントソフト 悪質なウイルスやボットの多目的化 対策をしていないサーバ製品の脆弱性 あわせて事後対応を!情報漏えい事件 被害に気づけない標的型攻撃 深刻なDDoS攻撃 正規のアカウントを悪用される脅威 クラウド・コンピューティングのセキュリティ問題 インターネットインフラを支えるプロトコルの脆弱性 Copyright © 2010, IPA all right reserved. 33 情報セキュリティの脅威 ~自助・共助・公助~ 情報セキュリティの脅威 標的型攻撃(APT) ・・ DDoS ボット ・・ 内部犯罪 ・・ 暗号の危殆化 APT: Advanced Persistent Threat DDoS: Distributed Denial of Service Copyright © 2010, IPA all right reserved. 34 標的型攻撃は、サイバー空間での産業スパイ 盗聴・盗撮などは気になりませんか? 産業スパイ 個人情報・プライバシー侵害 標的型攻撃もサイバー空間での盗聴(情報窃取)です。 もっと怖いこと(ITシステム・機器の停止攻撃)も可能です。 Copyright © 2010, IPA all right reserved. 35 標的型攻撃の脅威について ・特定の企業・組織を標的とした標的型攻撃が深刻化 攻撃対象の組織・人が限定的。役員やキーの従業員にピンポイント攻撃 ・攻撃が見えにくくなっている → 近年のマルウエア攻撃 一般的なセキュリティ対策では十分に機能しない。従来のマルウエアとは異な る。(多段型, ダウンローダ, 脆弱性利用, 検出・解析対策, 攻撃対象が限定的, etc…) ・企業・組織は十分な情報や技術的解決策を得られない 攻撃発生前に情報を入手し対応する事が難しい ・ 詳細な挙動・仕組みはよく分かっていない ・ 脅威を正確に把握できない → 従来型マルウエア対策(検知・駆除)で良いのか? Copyright © 2010, IPA all right reserved. 36 近年の標的型攻撃 従来のように単体動作するのではなく、ダウンローダを介して設置される シーケンシャル(多段型)マルウエアが多い 攻撃者が用意したサーバ 検出 困難 ピンポイント 配布 役員やキーの従業員に ピンポイント攻撃 Copyright © 2010, IPA all right reserved. 37 標的型攻撃用マルウエアの検知と対策 コード解析結果:ダウンロード要求を遮断できれば脅威が発生しない事が分かったが・・・・ 攻撃者が用意したサーバ 対策 1. 不必要な外向きのTCPポートを全て閉じる 2. 80/TCP、443/TCPにてHTTP、HTTPS以外の通信検知で通信遮断 3. HTTP(80/TCP)、およびHTTPS(443/TCP)はProxy経由のみ Copyright © 2010, IPA all right reserved. 38 攻撃者への挑戦と課題 攻撃者側の準備:さまざまな解析対策や解析を困難にする要素 1.暗号化、認証、多重難読化 攻撃者が用意したサーバ 2.独自プロトコル、独自APIテーブル 3.多数の無駄コード挿入 4.アンチデバッギング 5.アンチリバースエンジニアリング 80/TCP 6.マルチスレッド 443/TCP 認証 7.圧縮されたコードの展開 8.他プロセスへのインジェクト 独自プロトコル 9.リモートホストからの 部分コード受信と実行認証 API (Application Program Interface) マルウエア 今後の課題: ・ コードサイズも大きく大半でIDA(*)が利用不可 ・ 迅速な解析を行うために、熟練した解析技術が必要 ・ 解析エンジニアの育成が重要 ・ 解析効率化ツール環境等の基盤整備が必要 ・ 有効な対策分析の為には脅威変化の継続監視が重要 * IDA(HexRay社の高機能ディスアセンブラ) Copyright © 2010, IPA all right reserved. TROJ_MDROPPER系 攻撃サイトの特徴 攻撃者が用意したサーバ (1) MDROPPER (2) 不明コード MDROPPER として認識 詳細は分からない 状況に応じて変化する可能性 1 39 IPAでは、脆弱性を利用した標的型攻撃の ための解析ツールを開発 実行パスアナライザー IATリビルダー API 名前解決ツール 難読化解除ツール ツール群 デバッガ検出対策 - セクションパッキング - データパッキング - シェルコードデコーダ シェルコード展開ツール コアエンジン プロセス毎 パケットモニター API トレーサ - インストラクショントレーサ - 逆アセンブラ - PEビルダー - APIコールトレーシング - ハンドルトレーシング - メモリトレーシング マルウエアサーバ エミュレータ API プロトタイプDB レポートエンジン - XMLレポートジェネレータ - HTML フォーム やり直しとバックトレース支援 カーネルモード インジェクショントレーサー ユーザーモード インジェクショントレーサー Copyright © 2010, IPA all right reserved. 40 標的型攻撃解析ツールの貸出について ※貸出には、利用許諾条件合意書への同意が必要です ご興味のある方は、以下にメールによってお問い合わせをお 願いします。 貸出に関するお問合せ: [email protected] ~貸出までの手順~ ①IPAから、指定のメールアドレスに確認メールが届きます。 ②確認メールに返信して下さい。 ③利用条件合意書がメールで送られてきます。以下を記入し、IPAまで郵送し て下さい。 ・利用者・・・氏名・所属組織名・連絡先・印鑑 ・利用者の直属の管理職(課長以上)・・・氏名・役職・印鑑 ④ツールを郵送します。 利用期限は1年で、更新の際は再度合意書を提出していただきます。 ~皆様の申込をお待ちしております~ Copyright © 2010, IPA all right reserved. 41 現実となった制御システムSCADAへの攻撃 「オープン化」:汎用製品+標準プロトコル 標準 プロトコル ファイアウォール Stuxnetウイルス 汎用製品を採用 生産管理 サーバ USB? 攻撃 HMI EWS デフォルトPWを使用 PLC DCS 情報窃取 SCADA 攻撃 制御情報ネットワーク (イーサネット) コントロールネットワーク 汎用ネット ワーク 汎用PC・ 専用アプリ ケーション PLC 汎用ネット ワークの場 合もあり フィールドネットワーク リモート I/O 専用製品 (独自ハード、 独自OS) センサバス M センサ・アクチュエータなど DCS:Distributed Control System PLC:Programmable Logic Controller HMI:Human Machine Interface EWS:Engineering Workstation Copyright © 2010, IPA all right reserved. 専用 プロトコル 42 標的型攻撃: 自助・共助・公助と連携・情報共有 自助:アンチウイルス対策、脆弱性対策、最新状況収集と教育、 セキュリティベンダや関連組織連絡先確保・・・ 共助:関連業界との連携、CEPTOAR連携、セキュリティ情報共有組織(CSIRT)との連携、 セキュリティボランティアコミュニティーへの参画・情報共有・・・ 公助:NISC(Cyber Clean Center)との情報共有(重要インフラ業界)・・・・ 自治体CEPTOARとしての業務 内閣官房情報セキュリティセンター (NISC)から提供されるIT障害等の 緊急連絡をLGWAN経由で地方公 共団体に配信します。 http://www.lasdec.nippon-net.ne.jp/cms/12,1279.html NISC:National Information Security Center内閣官房情報セキュリティセンター CEPTOAR(セプター): Capability for Engineering of Protection, Technical Operation, Analysis and Response 第1次情報セキュリティ基本計画(平成18年2月2日)に基づき、IT障害の未然防止等のため政府等から提供される情報について関係重要インフラ分野で共有するため、 各重要インフラ分野(情報通信、金融、航空、鉄道、政府・行政サービス(地方公共団体を含む)等の10分野)内で整備する「情報共有・分析機能」のこと。 43 Copyright © 2010, IPA all right reserved. DDoS攻撃:ボット・ウイルスの脅威 ボットネットの脅威 ~加害者にもなり犯罪にも利用される~ Cyber Clean Center(CCC) https://www.ccc.go.jp/index.html Copyright © 2010, IPA all right reserved. 44 DDoS:自助・共助・公助と連携・情報共有 自助:アンチウイルス対策、脆弱性対策、帯域強化・帯域制御機器、ISP連絡先確保・・・ 共助:ISPとの連携、ISP間連携、企業間での緊急時帯域共用?、CCCとの連携・・・ 公助:CCC(Cyber Clean Center)、ISP連携・・・・ 自助・共助・公助と連携・情報共有 https://www.ccc.go.jp/index.html Copyright © 2010, IPA all right reserved. 45 DDoS:自助・共助・公助と連携・情報共有 公助の事例:韓国KISA( Korea Internet and Security Agency)のDDoSセンター Current Activities and Developments – DDoS Response B E F O R E A F T E R Internet Internet OK DDoS Center Copyright © 2010, IPA all right reserved. 46 DDoS:自助・共助・公助と連携・情報共有 公助の事例:韓国KISA( Korea Internet and Security Agency)のDDoSセンター Current Activities and Developments – DDoS Response Domain Q:A.co.kr Q:A.co.kr?? Re:20.20.1.1 Re:10.10.1.1 DNS IP A.co.kr 20.20.1.1 10.10.1.1 B.co.kr 10.10.1.2 C.co.kr 10.10.1.3 20.20.1.1 Update 20.20.1.1 We use Reverse Proxy Tech. 出典 No iBGP, GRE Tunneling WDM, Rerouting, PBR etc. Copyright © 2010, IPA all right reserved. 47 「2010年問題」「世代交代」、 一言でいえば・・・・ 多くのシステムで利用されている 様々な暗号の安全性低下が無視できなくなってきた • 暗号解読技術の進展 脆弱性が見つかれば 急激に安全性が低下する恐れあり • 計算機環境の進展 計算機能力の向上に伴い 徐々にだが確実に安全性低下 現実的な前提条件での解読成功は 「実害が生じる恐れがあり得る」の意味をもつ 等価安全性 共通鍵暗号 ハッシュ関数 80ビット 2-key Triple DES 112ビット 128ビット 192ビット 256ビット 3-key Triple DES AES-128 AES-192 AES-256 公開鍵暗号 素因数分解 離散対数 楕円曲線 SHA-1 K=1024 L=1024, N=160 F=160-223 SHA-224 SHA-256 SHA-384 SHA-512 K=2048 K=3072 K=7680 K=15360 L=2048, N=224 L=3072, N=256 L=7680, N=384 L=15360, N=512 F=224-255 F=256-383 F=384-511 F=512 Copyright © 2010, IPA all right reserved. 48 暗号移行は「リスクマネジメント」問題 「暗号システムのリスクマネジメント」の一環ととらえるべき • 2010年に暗号技術が破れるわけではない • 対応しなければ将来にわたって潜在的解読リスク・脆弱性をもつ 「副作用を受ける割合(1%? 5%? 50%? 70%? …)があっても対策す べき」と説得できる効果があるも のをガイドラインに採用 実リスク判断 対策をする ことによる 効果 対策をする ことによる 副作用 (ユーザが要望しないなら) 開発費がかかるからできる だけ移行しないですむよう にしたい ベンダ 暗号学会 (オオカミ尐年的だが) 安全でない暗号は速やか に移行すべき 情報提供 ユーザ 監督官庁・業界団体 対応指針 どんな暗号を使ってい るかはほとんど気にし ていない ガイドライン 通常対応 暗号のポイント : ①国境、 ②寿命、 ③選択 Copyright © 2010, IPA all right reserved. 49 米国政府の暗号世代交代指針 • 政府機関の情報セキュリティ施 策遂行権限をNISTに法的付与 • NSAが国家安全保障シ – FISMA ステムで利用する暗号を – Executive Order #13011 規定 (Federal Information Security Management Act of 2002) ~デファクトとしての米国政府標準暗号の交代~ 2006 2007 2008 2009 2010 2011 2012 運用終了 2TDES 推奨に格下げ 3TDES 推奨に格下げ AES SHA-1 運用終了 SHA-(224)/256/384/512 AHS competition 1024-bit RSA/DH/DSA 検証のみ 運用終了 2048(3072)-bit RSA / DH/DSA 256(382)-bit ECDSA/ECMQV NSA Suite B Cryptography – 暗号化:AES(鍵長128ビット 及び256ビット) – 署名:ECDSA(256ビット素体 及び384ビット素体) – 鍵交換:ECDHまたは ECMQV (256ビット素体及 び384ビット素体) – ハッシュ関数:SHA-256及び SHA-384 ECDSAとECMQVを指定したため、 NSAはCerticomから26個の特許を 購入し、米国政府向けシステム用に 無償ツールキットを提供 Copyright © 2010, IPA all right reserved. 50 移行指針@情報セキュリティ政策会議 (08.4.22) 「政府機関の情報システムにおいて使用されている暗号 アルゴリズムSHA-1及びRSA1024に係る移行指針」 2007 セキュア ジャパン 2007 システム 2008 対応計画 報告 2009 2010 一部先行 対応 2011 2012 2013 2014 新規・更改システムから順次対応 相互運用性検証環境 構築 SHA-1/RSA1024の使用停止が 確定したわけではない 政府認証基盤(GPKI)及び商業登記 認証局 政府認証基盤に依存する情報システム 全システムの 対応完了 その他の情報システム 構成要件 電子証明書の発行・検証に使用する暗 文書ファイルへの電子署名・検証に使用す 別の暗号への変更が速やかに 号を複数の中から選択可能とする構成 る暗号を複数の中から選択可能とする構成 対応できる措置を事前に用意 用意する アルゴリ ズム ■ RSA2048withSHA-1および RSA2048withSHA-256を含める ■ エンドユーザ向けはRSA1024と RSA2048を含める SHA-1およびSHA-256、RSA1024および RSA2048を含める 複数の暗号を導入する際は、 SHA-256相当以上、RSA1152 相当以上のものを含める その他の 要件 ■ 電子証明書の発行では特定時期に 切替可能とする ■ 検証では開始・終了時期を設定可 能 開始・終了時期を設定可能にする RSA1024withSHA-1以外があ るときは原則そちらを利用し、 必要なときのみ RSA1024withSHA-1を利用可 能とする構造 緊急避難的に、電子証明書の失効・再発行等を行うことで、業務継続性が確保される構造 Copyright © 2010, IPA all right reserved. 51 日本政府の暗号政策への取り組み体制 内閣 内閣府 内閣官房 IT戦略本部 内閣総理大臣 内閣官房 長官 情報セキュリティ 政策会議(ISPC) (2005.5~) 大臣 大臣 大臣 総務省 経済産業省 防衛省 ○○省 長官 国家公安 委員会 CRYPTREC NICT (2000~) 暗号技術検討会 暗号方式 委員会 暗号実装 委員会 IPA セキュリ ティセンター 暗号運用 委員会 警察庁 内閣官房情報 セキュリティセンタ (NISC) (2005.4~) (1) 基本戦略策定 (2) 政府機関総合対策 促進 (3) 事案対処支援 (4) 重要インフラ対策 (5) 国際戦略 (1) 電子政府推奨暗号リストの作成と監視、暗号技術 に関する情報収集 (2) 暗号モジュール評価に関する安全評価基準や試験 項目の検討 (3)電子政府推奨暗号の適切な運用法を調査・検討 Copyright © 2010, IPA all right reserved. 52 目次 1.脅威とBCP/BCM 2.脅威の対象の変化・多様化 3.自助・共助・公助と連携・情報共有 4.10大脅威と具体的な例 ・標的型攻撃 ・DDoS攻撃 ・暗号の危殆化 5.IPAからのプレゼント 6.最新バージョンのソフトを利用しましょう Copyright © 2010, IPA all right reserved. 53 開発者向け脆弱性 実習ツールAppGoat(仮称)の公開予定 ■概要 ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法 等を演習環境で体験的かつ実践的に学ぶツール「開発者向け脆弱性実習ツール (AppGoat:仮称)」を開発・公開し、脆弱性対策を促進する。 ■ツールの概要 脆弱性実習ツール (AppGoat:仮称) ダウンロード 利用者はウェブ画面上で演習と学習 教材を通して学習を進める。 ①脆弱性の解説 学習教材 ②脆弱性の発見 演習環境 ③対策方法解説 学習教材 ④プログラム修正 演習環境 ⑤検証手法確認 演習環境 脆弱性学習 IPA ウェブサイト ウェブアプリケーション 演習環境 ウェブサイト運営者 脆弱性学習 提供機能 ソフトウェア製品開発者 (組込み技術者を含む) ソフトウェア製品用 演習環境 ウェブアプリケーション演習環境 – 演習用に準備された故意に脆弱性を持たせた擬似的なウェブサイト ソフトウェア製品用 演習環境 – 演習用に準備された故意に脆弱性を持たせた、擬似的なサーバ及びデスクトップアプリケーション等の集合 学習教材 – 54 利用者の演習の補助や理解・知識を深めるための教材 Copyright © 2010, IPA all right reserved. 54 ネットワーク化する 情報家電セキュリティ対応(IPv6接続)強化 ■概要 今後、ネットワーク化が進む情報家電において、有識者の検討やベンダへのヒアリングを基に、IPv6等の脅威や 対策について追記した『組込みシステムのセキュリティへの取組みガイド(2010年度改定版)』を作成し、公開した (2010年9月7日)。 また、併せてIPv6の既知の脆弱性への対応を拡充した『TCP/IPに係る既知の脆弱性検証ツールV5.0』を2010年 11月以降提供することにより、情報家電等の組込み機器への脆弱性対策を促進した。 家電業界に対するヒアリング ソニー、東芝、三菱、シャープ、日立 IPv6脆弱性検証機能を 5項目から14項目に強化 IPv6を含め、より組込み機器 開発現場に則したガイドに IPv6を実装する組込み機器 開発ベンダに無償で提供 有識者による検討 キャリア系 (NTT、沖) ルータ開発者 (バッファロー) 家電セキュリティ関係者 (パナソニック) 組込みシステムの TCP/IPに係る既知の セキュリティへの 脆弱性検証ツールV5.0 取組みガイド (2010.11以降無償提供) (2010年度改訂版) ■想定する効果 「IPv6技術検証協議会」との連携も視 野に入れ、ツールの普及を促進 TCP/IP: Transmission Control Protocol/Internet Protocol IPv6: Internet Protocol virsion 6 普及啓発強化 IPv6のセキュリティの普及 – IPv6のセキュリティ検討に対して、キャリアやルータ開発者を含んだ検討を実施し、その成果を 公開する事で、今後普及が見込まれるIPv6に対するセキュリティ対策の促進が可能となる。 開発現場目線のセキュリティ対策 – 情報家電6社(パナソニック、ソニー、東芝、三菱、シャープ、日立)との連携も新たに推進する事 で、実際の現場の要望もガイドに取り入れることができ、開発者への展開が期待できる。 55 Copyright © 2010, IPA all right reserved. 55 各種ツールの提供 普及啓発資料 1.「安全なウェブサイトの作り方 第5版」 – – – 2.「Web Application Firewall読本 第2版」 ウェブサイト開発者や運 営者が適切なセキュリ ティを考慮したウェブサイ トを作成するための資料 として公開 ダウンロード数 220万件 (2006/1~) 就業日当たり5,000件 – – – ウェブサイト運営者が WAFの導入を 検討す る際に、その理解を促 すための資料として公 開 ダウンロード数 13万件 (2010/2~) 就業日当たり450件 3.「 2011年版 10大脅威 」 – – – 2010年の1年間の脆弱 性に関する情報や、一 般報道された情報を10 大トピックとして纏めた 資料 ダウンロード数 19万件 (2010/3~) 就業日当たり1,900件 脆弱性検証ツール 4.「TCP/IPに係る既知の脆弱性検証ツール V.5.0」 – – – TCP/IP製品の開発者を対象に脆弱性の 有無を検証するツールとして、2006年より 公開している。 TCP/IP製品の開発者に対してツールを貸 出し (累計115件) 新バージョンでは、脆弱性の深刻度や近年 のIPv6環境の広がりを考慮して、IPv6対応 をメインに機能拡張を実施。 5.「SIPに係る既知の脆弱性検証ツール V.2.0」 – – – SIP製品の開発者を対象に脆弱性の有無 を検証するツールとして、2009年より公開 している。 SIP製品の開発者に対してツールを貸出し (累計25件) 新バージョンでは、より有効的なツールとな るべく、検証項目の拡充をメインに機能拡 張を実施。 Copyright © 2010, IPA all right reserved. 56 各種ツールの提供 6.「ウェブサイト攻撃の検出ツール iLogScanner V.3.0」 – – – 利用者はウェブブラウザでIPAのウェブサイトからツール をダウンロードし、ログを解析でき、脆弱性を狙った攻撃 と思われる痕跡を確認することができる ダウンロード件数:51000件(1500件/月) 新バージョンでは、利用者の拡大や利便性向上を目的に、 ログフォーマットのサポートや性能向上を実施した。 2010年8月 公開済 脆弱性対策ツール 7.開発者向け脆弱性 実習ツールAppGoat(仮称)の開発・公開 脆弱性実習ツール (AppGoat:仮称) ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必 要性及び対策手法等を演習環境で体験的かつ実践的に学ぶツール 「開発者向け脆弱性実習ツール(AppGoat:仮称)」を開発・公開し、脆 弱性対策を促進する。 脆弱性学習 演習環境 利用者 Copyright © 2010, IPA all right reserved. 57 各種ツールの提供 脆弱性対策ツール 8.脆弱性対策情報データベース 「JVNiPedia V3.2」 国内外の脆弱性対策情報を蓄積したデータベース。次期 開発では下記の点をメインに機能拡張を実施する。 – – – 脆弱性関連情報に対する検索・統計機能の強化 海外の脆弱性データベースとの相互連携を目的 とした機能拡張 利便性向上、管理機能の強化 脆弱性の届出状況 届出件数6,300件突破! http://www.ipa.go.jp/security/vuln/report/vuln2010q2.html 9.脆弱性対策ツール 「MyJVN V3.0」 JVN iPediaに登録された脆弱性対策情報を基に、利用者が自 動的に脆弱性対策を行う為のツール。 次期バージョンでは、脆弱性関連情報を利用者やサーバ管理 者等に確実に展開するため、「MyJVN」(情報システム利用者 の脆弱性対策支援ツール)のOS等のサポート対象を拡張する とともに、ソフトウェア等のバージョンとセキュリティ設定を同時 確認する等の機能を設ける。 公表した脆弱性 対策情報の傾向 アプリケーションが増加 http://www.ipa.go.jp/security/vuln/report/JVNiPedia2010q2.html Copyright © 2010, IPA all right reserved. 58 最新バージョンのソフトを利用しましょう 59 Copyright © 2010, IPA all right reserved. 59