Comments
Description
Transcript
SQAT Security Topics
S.Q.A.T. Security Topics October 2011 Vol.34 INDEX ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ソーシャルエンジニアリングを駆使した標的型攻撃メールに注意せよ Mac を標的としたマルウェアの小史 ~ “Mac 安全説”はもはや通用しない? セキュリティ対策においてインシデントレスポンス体制の整備は必須! 小売業者に対する攻撃増 ~ SQL インジェクション対策漏れ企業も多数 ロンドンオリンピック開催に向けて情報セキュリティ対策も本格的に始動 相次ぐ標的型攻撃に IPA が再び注意喚起 ~ 対応状況の確認と対策の徹底を ハッカー達の“教育アカデミー”、フォーラムから学ぶ最新動向 官民連携によるサイバー攻撃対策 ~ 情報交換・共有が重要な鍵 セキュリティ対策において企業が犯す 6 つの“致命的”なミスとは? アジア圏は接続速度も攻撃トラフィックの配信量も世界トップクラス ソーシャルエンジニアリングを駆使した標的型攻撃メールに注意せよ 独立行政法人 情報処理推進機構(略称:IPA)は 2011 年 10 月 3 日、近年増加傾向にある「標的型攻 撃メール」に関する分析結果および対策をまとめたレポートを公開した。標的型攻撃とは、特定の個 人や組織を狙った攻撃のことであるが、マルウェア感染や情報漏えい等の発生原因の一つとして、国 内外で大きな脅威となっている。 IPA による説明では、標的型攻撃メールには次のような特徴があるという。 y 特定の組織や個人の情報を搾取することが目的のため、無関係な組織(個人)に攻撃メール が送られる可能性は低い。 y ウイルス対策ソリューションを回避するために、ゼロデイ脆弱性を突く攻撃を行う場合が ある。 y 信頼できそうな組織を騙ったり、受信者に関係ありそうな件名や内容の日本語によるメー ルを送信したりすることで、添付ファイルを開かせようとする。 y 文書ファイル(.doc ファイル)に見せかけたファイルを送信することで、受信者を油断させ、 ファイルを開かせようとする。 y システムに極力影響を与えない方法を使用することで、ユーザにマルウェア感染している ことを気付かせない。そのため、長期間にわたり被害を及ぼしたり、他のシステムへ感染 して被害を拡大させたりすることが可能である。 悪質なファイルやリンクを含む攻撃メールは多数出回っており、ユーザの大半は「不審なメールに は注意し、むやみに添付ファイルを開いたり、リンクをクリックしたりしない」という情報セキュリ ティ上のベストプラクティスを実践している。しかし、標的型攻撃メールには、受信者を騙すための テクニックが使われているため、さらなる注意が必要だと IPA は勧告する。同レポートでは、メール 受信者を騙すために使用されるテクニックのうち、以下の 4 つを事例として挙げている。 (1) Web 等で公表されている情報を加工して使用する (2) 組織内の業務連絡メールを加工して使用する (3) 添付ファイルのないウイルスメール (4) “おれおれ詐欺”を模倣した標的型攻撃メール 例えば(3)では、メール本文に不正なリンクが記載されており、リンク先を参照しただけで悪質なプ ログラムをパソコンにダウンロードされる「ドライブ・バイ・ダウンロード」攻撃の被害に遭うケー スも確認されている。 Copyright©BroadBand Security, Inc. 2 また、(4)の事例では、最初テキスト本文のみの日常会話的なメールを何回かやり取りした後にウイ ルス付きの PDF ファイルが添付されたメールが届くというものであった。メールのやり取りのフロ ーは以下のとおり。 ア. ある日、心当たりのない人物からテキストメールが届く。 イ. 「誰ですか」という内容のメールを返信。 ウ. 「以前に一緒に食事をしたことがある」という内容のメールが届く。 エ. その後、何度かメールのやり取りを行う。 オ. 結局、誰だか見当が付かないため「食事をしたのはいつか」と問う 内容のメールを返信する。 カ. 「その時の写真を送る」という内容のメールが届き、PDF ファイルが 添付されていた。 キ. 添付ファイルを開いても写真が見られないので「見られない」と返信。 ク. 以後、相手からのメールは途絶えた。 ケ. メール受信者は添付ファイルを開いてしまったことでウイルスに感染。 IPA によれば、(4)の事例は標的型攻撃メールの見分け方の一つである「心当たりのない人からのメ ール」ではあるが、最初はテキストファイルのみで知人とするような日常会話的なメールのやりとり を数回繰り返すことで警戒心を和らげ、最後に添付ファイル(またはリンク)を開くように誘導する、 新しい騙しのテクニックだという。 標的型攻撃メールが詐称する送信元で最も多いのは官公庁(49%)で、続いて独立行政法人(13%)、 民間企業(11%)となっている。これは、政府関係機関を名乗ることで、メール受信者を安心させたり、 重要な情報と思わせたりすることで、添付ファイルの開封を誘導する手口だと IPA は推察する。 なお、IPA は、標的型攻撃メールの対策として、運用管理面では「従業員の情報リテラシーの向上」 「標的型攻撃メールに関する情報集約と情報共有の体制整備」を、技術面では「ウイルス対策ソフト の適切な運用」「OS やアプリケーションの既知の脆弱性の速やかな修正」「添付ファイルのファイ ル識別子やメールヘッダの確認」などを推奨している。 IPA:http://www.ipa.go.jp/ Copyright©BroadBand Security, Inc. 3 Mac を標的としたマルウェアの小史~Mac 安全説”はもはや通用しない? 2011 年 10 月 3 日、セキュリティ企業の英 Sophos は同社の公式ブログにて、Apple 社の Mac を標 的としたマルウェアの略史を紹介した。同社では 2010 年 12 月にも同様に Mac マルウェアの歴史を 綴った記事を掲載しており、これはその更新版である。 「Mac でマルウェアに感染するなどよっぽどバカなユーザだけだ」と同ブログ記事にコメントする ユーザもいるほど、“Mac 安全説”は根強く支持されている。しかし一方で、今後は Mac を狙うマ ルウェアがますます増加し、影響度も拡大されるだろうという見解もあり、両者の議論は時に感情的 になることもあるようだ。 では、ここで Mac を攻撃対象とした代表的なマルウェアをおさらいしてみよう。 1982 年:Elk Cloner 当時 15 歳の学生が作成した、Apple II コンピュータのブートセクタに感染するウイルス。 50 回目の起動ごとにメッセージを表示した。 1987 年:nVIR 主にフロッピーディスクから Mac に感染したウイルス。後に nVIR のソースコードが公 開されたため次々を亜種が出現した。この頃から Mac 用のウイルス対策製品も市場に出 回り始める。 1988 年:HyperCard Mac OS の初期バージョンで実行可能なウイルス。そのうちの一つは 14 歳の“いたずら っ子”が作者であるとされ「私は無害です。'88 年はデュカキス氏を大統領に!地球に平 和を!ごきげんよう」というメッセージを表示した後、自己破壊した。 1990 年:MDEF(別名:Garfield) Mac 上のアプリケーションやシステムファイルに感染したウイルス。 1991 年:HC(別名:Two Tunes/Three Tunes) オランダとベルギーで発見された HyperCard ウイルス。感染したドイツ語版の OS では ドイツの民族音楽が再生された。 1995 年:Concept Word に関する初のマクロウイルス。Microsoft 社により、このウイルスに感染した CD-ROM が誤って出荷されたことにより、Microsoft Word を実行している Mac にも感 染。Concept 自体は有害なものではなかったが、その後多数の亜種が出回ることとなる。 Copyright©BroadBand Security, Inc. 4 1996 年:Laroux Excel に関する初のウイルス。出現当初、Mac は影響を受けないとされていたが、Mac 用の Excel 98 が発売されたことで影響を受ける可能性がでてきた。 1998 年:AutoStart 9805 香港で最初に発見された、QuickTime 2.5 以降の CD-ROM AutoPlay の機能を悪用して 拡散したワーム。感染はアジアから全世界へと拡がった。 Sevendust(別名:666) Mac 上のアプリケーションに感染したウイルス。 ⇒⇒ 完全に新しい OS のバージョンである Mac OS X のリリースにより、それまでのマルウェ アは全て効力を失う。 2004 年:Renepo(別名:Opener) Mac OS X ファイアウォールを含む、Mac OS X のセキュリティ機能を無効にするスクリ プトワーム。パスワード搾取を目的としたハッカーツールのダウンロード/インストール、 システムディレクトリへの書き込み許可、管理者権限を持つユーザの作成などを可能にし た。 2006 年:Leap-A Mac OS X にとって初めてのウイルス。iChat を通じて拡散。Windows のインスタント メッセージング機能を悪用するワームと似ていることからウイルス(またはワーム)と定 義されているが、Leap-A の定義を巡っては様々な議論がなされた。 その後、同年に Inqtana や Macarena といった概念実証(POC)ウイルスが登場した。 2007 年:BadBunny Mac OS X システムに Ruby スクリプトウイルスを落とし込み、不正な画像(JPEG)を表 示させた。 OSX/RSPlug-A Mac を標的とした金銭搾取を目的とした最初のトロイの木馬。DNS サーバエントリを変 更し、ユーザを他の Web サイトへ誘導した。 Copyright©BroadBand Security, Inc. 5 2008 年:MacSweeper Mac 向けの偽セキュリティ対策ソフト。TV 関連の Web サイトにウイルスを含んだ広告 が存在し、アクセスしたユーザが被害に遭った。 OSX/Hovdy-A 感染したシステム上にバックドアを作成し、さらに別のマルウェアに感染させたり、シス テムを制御したりすることができた。 Jahlav 偽の動画配布サイトへアクセスすることで感染。問題のページへユーザがアクセスすると、 動画を見るために DMG(ディスクイメージ)ファイル(実態はトロイの木馬)をインストー ルするよう促される。 2009 年:OSX/iWorkS-A iWork '09 ソフトウェアスイートの海賊版に含まれる BitTorrent を介して拡散するトロ イの木馬。その後、この亜種も出現する。 同年は Tored メールワームや Jahlav Mac、RSPlug の亜種も確認された。 2010 年:OSX/Pinhead(別名 HellRTS) iMac や MacBook をリモートから制御可能にするバックドア型トロイの木馬。Mac に付 属の正規のアプリケーション(iPhoto)を偽装して拡散。 Boonana クロスプラットフォームのワーム。Windows だけでなく、Mac OS X や Linux にも影響 を及ぼした。 2011 年:BlackHole RAT Mac をリモートから制御可能にするトロイの木馬。 MacDefender/Mac Security Mac を標的とした偽セキュリティ対策ソフト。検索エンジンの汚染により、ユーザを不 正なサイトへ誘導することで拡散。 OSX/Revir-B PDF を装って配布されたトロイの木馬。尖閣諸島の領有権に関する文書と見せかけ、ユ ーザの興味を引こうとした。 Copyright©BroadBand Security, Inc. 6 Flashback Adobe Flash のアップデートを装って配布されたトロイの木馬。Mac をリモートから制 御したり、さらに別の悪意のあるコードをダウンロードさせようとしたりすることを可能 にした。 もちろん、Windows を狙ったマルウェアとは圧倒的に数に差はあるが、英 Sophos は「数の多さが 問題なのではなく、Mac ユーザもマルウェアに感染しうる」脅威を認識することが重要なのだという。 Sophos:http://www.sophos.com/ Copyright©BroadBand Security, Inc. 7 セキュリティ対策においてインシデントレスポンス体制の整備は必須! 今日の情報セキュリティ事情を危惧する企業は、自社および顧客の情報を保護するために様々な対 策を講じている。サイバー攻撃は未然に防ぐことが重要であるが、ますます手口が巧妙化する中、万 が一攻撃の被害に遭ってしまった場合に、事故後の対応、いわゆる“インシデントレスポンス”が適 切に行われたかどうかで企業の明暗が分かれる。 2011 年 4 月に大規模な情報流出事件を引き起こし、全世界に影響を及ぼした某大手電子機器メー カー・電気メーカーは、技術的な防御対策における不備についてセキュリティ対策への基本的な姿勢 を問われた。しかし、それ以上に問題となったのが、事件に関する情報開示が遅れたことでユーザの 不安が増幅されたことだ。 同社がシステムへの不正侵入を確認してから情報を公開するまでに、一週間以上の時間がかかって いる。流出したとされる情報には、氏名や住所などの個人情報に加え、クレジットカード情報も含ま れていた。同社は事件発覚後直ちにサービスを停止したが、それら情報が悪意のある者の手に渡って いたとしたらユーザが知らないところで不正利用されていた可能性がある。情報開示が遅れたことが 一部では「真実の隠蔽」とまでいわれ、これにより同社がこれまでに築き上げたブランドイメージに 少なからず傷が付いたのは否定できない。 そして 2011 年 10 月、またしても同社のシステムが何者かによって攻撃を受けた。同社の公式発表 によれば、米国時間 2011 年 10 月 7 日から 10 日にかけて、同社の提供する 2 つのサービスに対し大 量のログイン試行が行われたという。今回の場合、同社のシステムにおける脆弱性などを突いた攻撃 ではなく、他社サービスのアカウント情報を同社のサービスで流用した「なりすまし」攻撃であると のことだ。 同社の調査によると、ログインを試みるために入力された ID とパスワードの組み合わせの大半は 同社サービスにおいて無効であった。しかし、そのうちの約 9 万 3,000 件については、現在有効なユ ーザアカウントと一致したという。実際に何件のログイン試行が行われたかについては、今のところ 公表されていない。 同社は、影響を受けたユーザアカウントを速やかに一時停止し、翌日の 11 日に今回の攻撃に関す る発表を行った。現在も引き続き調査中だが、ログイン試行が成功した約 9 万 3,000 件のアカウント のうち、アカウントが一時停止される前に何らかの不正操作が行われたと思われるものはごく一部で あるとの見解だ。対象ユーザへはパスワードの変更を促すメールが送信されるという。 Copyright©BroadBand Security, Inc. 8 今回の事件で同社は、前回の教訓を踏まえてか非常に迅速な対応を取った。事件のことを綴ったブ ログ記事には、同社の対応についてユーザから 200 件以上のコメントが寄せられている。以下にその 一部を紹介しよう。 ¾ 事件が発生したことは遺憾だが、迅速な情報開示に感謝する。 ¾ 事件の内容が分かっただけでも多少は安心できた。 ¾ インシデントレスポンスとはこうあるべきだ。 ¾ 前回の教訓を生かせたようで何よりだ。 ¾ 貴社への信頼の回復に一歩近づいたことだろう。 同社の発表では、今回の攻撃が他社サービスのアカウント情報を使用した「なりすまし」攻撃であ ると強調されており、同社を批判するようなコメントは少ない。しかし、もし今回も前回同様、情報 開示が遅れていたらどうなっていただろうか。ユーザの同社に対する不信感はさらに強まっていたに 違いない。 2011 年 8 月にシステムへ不正侵入を受け、偽の SSL 証明書を多数発行していたオランダの認証局 のことはまだ記憶に新しいことだろう。同認証局は技術的なセキュリティ対策に加え、その対応も問 題視されていた。結果、事件が発覚した一ヶ月後には自己破産を申請するに至った。 不適切なインシデントレスポンスが、このように企業の事業継続に大きく影響する恐れがある。シ ステムをインターネット上に公開している以上、サイバー攻撃を受けるのは免れない。サイバー攻撃 を受けても影響を受けない堅牢なシステムを構築することが当然大切だが、意図的かつ執拗な標的型 攻撃に対して完璧な防御を行うことは困難である。特に今回のような「なりすまし」攻撃に対しては 為す術がないといってもよい。そこで重要になるのが、もし攻撃に遭った場合でも、被害を最小限に 食い止めることのできる体制を整備しておくことだ。有効なレスポンス体制が存在し、それが正しく 機能するかどうかで、企業の未来も大きく変わるだろう。 なお、今回の不正ログオン試行による同社サーバへの不正侵入は確認されておらず、またクレジッ トカード情報等の漏えいも発生していないという。 同社はユーザに対し、推測が困難なパスワードを使用すること、また複数のサービスで同じ ID/パ スワードを使い回さないことを注意喚起した。 Copyright©BroadBand Security, Inc. 9 小売業者に対する攻撃増 ~ SQL インジェクション対策漏れ企業も多数 情報セキュリティサービスを提供する米 Dell SecureWorks によると、小売業者に対するハッキン グ攻撃が前年に比べて増加しているという。同社がサービスを提供している企業に対する攻撃を分析 した結果、明らかになった。 2010 年 4 月から 12 月までの 9 ヶ月間では、 小売業者に対して約 6 万 3,600 件の攻撃が発生したが、 2011 年 1 月から 9 月までの 9 ヶ月間は、43%増の約 9 万 1,500 件の攻撃が確認されている。同社の CTO、Jon Ramsey 氏によれば、そのうちの多く Web ベースの攻撃であり、特に目立ったのは「SQL インジェクション」「Web ベースのエクスプロイトキットを使用した攻撃」「ダウンローダ型トロイ の木馬を使用した攻撃」の 3 つだという。 【SQL インジェクション】 SQL インジェクション攻撃は広く知られているにも関わらず、未だこの攻撃に対して脆弱なシス テムが多く存在する。SQL インジェクション脆弱性を突いた攻撃は、2008 年に 1 億 3,000 万件以上 のクレジットカード情報を流出させた Heartland Payment Systems の事件が有名である。また、今 年 7 月には、過去 10 年間に渡り、SQL インジェクション攻撃を通じて盗み出したクレジットカード 情報を売りさばき、3,600 万ドルもの大金を荒稼ぎしていたグルジア人の男(26)が 120 ヶ月の禁固刑 に処された。 【Web ベースのエクスプロイトキットを使用した攻撃】 エクスプロイトキットとは、複数の攻撃プログラムをパッケージ化したもので、マルウェアの配 布などを行うために使用される。現在では闇市場等で容易に入手できることもある。エクスプロイト キットには Zeus や SpyEye といった悪名高いマルウェアをインストールするためのプログラムが含 まれていることが多いという。通常、攻撃プログラムは既知の脆弱性を突くものがほとんどであるた め、適切な対策が施されているシステムは影響を受けない。しかし、こうした攻撃が多く確認されて いる事実は、インターネット上に脆弱なシステムがまだ多数存在することを示唆している。 【ダウンローダ型トロイの木馬を使用した攻撃】 ダウンローダ型トロイの木馬の主目的は、ウイルス対策ソフトやファイアウォールなどコンピュ ータのセキュリティ機能を回避、もしくは無効にすることである。そうすることで、他のマルウェア を勝手にダウンロードしたり、ユーザに悪意のあるソフトウェア(偽セキュリティソフトウェア等)を ダウンロードさせたりすることを可能にする。 Copyright©BroadBand Security, Inc. 10 小売業者の中には、個人情報やクレジットカード情報を取り扱うところもあり、適切なセキュリテ ィ対策の実施は急務である。 セキュリティ企業の Imperva によれば、闇市場で取引されるクレジットカード情報の価値も不況の 煽りを受け、米国人名義の Visa カードは所有者の個人情報(氏名、住所、メールアドレスなど)付きの 場合でも 1 件あたり 2 ドルという安値で売られているという。よって、儲けを得るためには大量の数 が必要であり、事態は益々悪化しているとのことだ。 Dell SecureWorks では、こうした状況の中、企業において少なくとも下記対策の実施を検討する よう推奨している。 ・ 侵入防止システム(IPS)の設置 ・ Web アプリケーションファイアウォール(WAF)の設置 ・ サーバやセキュリティデバイスの常時監視 ・ 最新の脅威および当該脅威の影響を受けるシステムの把握 ・ 定期的な脆弱性診断/侵入テスト ・ Web コンテンツのフィルタリング ・ 適切なパッチ管理 ・ 安全なソフトウェア開発ライフサイクルの導入 ・ セキュリティポリシーの整備と実施 Copyright©BroadBand Security, Inc. 11 ロンドンオリンピック開催に向けて情報セキュリティ対策も本格的に始動 9 ヶ月先に開催されるロンドンオリンピックに向けて、2011 年 10 月 10 日、同市東部にある大規 模なウォーターフロント再開発地域「Canary Wharf」にオリンピックの IT システムを管理、監視す るテクノロジー・オペレーションズ・センター(略称:TOC)が正式に開設された。オリンピック開催 時には何千名というスタッフが 24 時間体制でオリンピックの IT システムの監視を行う。既に 180 名 のスタッフがシステムの調整を開始しているとのことだ。 サーバダウンや停電などシステムの正常な稼動はもちろん重要だが、最も懸念される事柄は意図的 なサイバー攻撃だという。2008 年の北京オリンピックの際には 1 日に平均して 1,200 万件の攻撃が 発生したこともあり警戒を高めている。 TOC の CIO を務める Gerry Pennell 氏は「ミッションクリティカルなシステムをインターネット に接続されたシステムから隔離することで、外部からの攻撃を防ぐ」としている。 また、TOC は 2012 年の 3 月と 5 月に大規模な擬似攻撃を実施することを計画している。擬似攻撃 ではオリンピック IT システムのシミュレーション版を用意し、約 100 名の“攻撃者”役の技術者が、 大規模な分散型サービス運用妨害(DDoS)攻撃を行ったり、意図的にウイルスに感染させたりするなど のテストを実施する予定だ。 Copyright©BroadBand Security, Inc. 12 相次ぐ標的型攻撃に IPA が再び注意喚起~対応状況の確認と対策の徹底を 独立行政法人 情報処理推進機構(略称:IPA)は 2011 年 10 月 18 日、標的型のサイバー攻撃に関する 注意喚起を行った。標的型のサイバー攻撃とは、特定の企業や団体を狙ったサイバー攻撃のことで、 近年国内外で相次いで確認されている。 IPA では、過去数度に渡って標的型攻撃に関する注意喚起を行ってきたが、今回改めて注意を呼び かけることで、再度ユーザに脅威を認識してもらう狙いだ。 国内における標的型攻撃としては、2011 年 9 月に発生した大手総合重機メーカーに対する攻撃が 記憶に新しい。警察庁の調査によれば、こうした標的型攻撃は増加の傾向にあり、同年 4 月から 9 月 までの間に、震災や原発事故に関する情報提供を装った標的型メールを約 540 件、その他の標的型メ ールを約 350 件確認したという。 また、時を同じくして米 Symantec などのセキュリティ各社は現地時間の 18 日、2010 年に世界を 揺るがした、産業制御システムを狙うマルウェア「Stuxnet」に酷似したマルウェアが発見されたこ とを報じた。発見されたマルウェアは「Duqu」と名付けられ Stuxnet と同じソースコードを使用し ているという。フィンランドのセキュリティ企業 F-Secure は、Stuxnet のソースコードが未公開で あることから、この新しいトロイの木馬型マルウェアは同じ作者によって作成された可能性が高いと 推測する。 このような背景を受けて IPA では、以下の観点に基づいたセキュリティ対策を組織において検討、 実施することを推奨している。 (以下、IPA の公式資料より引用) 【対策 1】:入口(ネットワーク経路)をしっかり守る 【対策 2】:ファイアウォールを抜けてもシステムにつけ入られる隙(脆弱性)を与えない 【対策 3】:標的型攻撃のルートとなる箇所を防御する 【対策 4】:ウイルスの活動(組織内蔓延や外部通信)を阻害、抑止する 【対策 5】:重要な情報はその利用を制限(アクセス制御)する 【対策 6】:情報にアクセスされても保護するための鍵(暗号)をかける 【対策 7】:操作や動き(ログ証跡)を監視・分析し不審な行為を早期に発見する 【対策 8】:万一被害が発生したら早急な対応(ポリシーと体制)をとる Copyright©BroadBand Security, Inc. 13 上記対策の 2 や 4 では、 マルウェアによる感染や拡散を防止するための一つの基本的対策として「使 用しているソフトウェアを最新の状態に保つ」ことが挙げられる。Microsoft の最新の調査によれば、 2011 年上半期において 99%のマルウェア攻撃が既知の脆弱性を悪用したものであった。前述の大手 総合重機メーカーの場合も、脆弱性対策が不十分な“弱い”システムが大きな被害を受けた。また、 世界中で 3 億 4,000 万台(4 台に 1 台)が古いブラウザを使用しており、同社はブラウザの更新も重要 だと指摘する。 対策 8 については、警察庁の調査で興味深い結果が出ている。標的型攻撃に関して、調査対象組織 全体の約 92%は従業員教育を実施するなどして啓蒙活動に励んでいることが明らかになった。しかし その一方で、不審なメールを受信した際の報告方法や報告先などについて、しっかりと規程を設けて いる組織は全体の約 16%にとどまった。よって、万が一ウイルス感染した場合に被害が拡大する恐れ がある。 IPA は、セキュリティ面で弱い部分をいかに無くすかが組織および業界全体の課題であり、そのた めには組織におけるセキュリティ対応状況の確認と対策の徹底が重要であるとした。 IPA :http://www.ipa.go.jp/ 警察庁:http://www.npa.go.jp/index.html Copyright©BroadBand Security, Inc. 14 ハッカー達の“教育アカデミー”、フォーラムから学ぶ最新動向 ユーザや企業、団体がサイバー攻撃に日々立ち向かう中、サイバー攻撃者らは常に新しい攻撃手法 やツールを生み出している。また、技術やスキルも年々洗練され、進化しているように見える。では、 彼等は一体どこでそんな技術やスキルを身に着けているのだろうか。そんな素朴な疑問に答えてくれ たのが、米セキュリティ企業 Imperva の「Hacker Intelligence Initiative」レポートだ。 近年、サイバーインテリジェンスという言葉を良く耳にするが、同社ではカウンターインテリジェ ンス(防諜)、ならぬ“ハッカーインテリジェンス”という観点からハッカーコミュニティに関する諜 報活動を行っている。同レポートによれば、ハッカー達の知識や技術の源は「フォーラム」にあるよ うだ。ちなみにここでいう“ハッカー”とは必ずしも悪意を持った人々のことではないことを強調し ておきたい。犯罪や悪意を伴う行為を目的としてフォーラムを訪れる者は多いが、中には研究や調査 のために参加している人々もいることを忘れてはならない。 ハッカー向けのフォーラムでは、教育から情報交換、共同研究・作業、雇用サービス、商取引まで、 様々な活動が繰り広げられている。また、フォーラムはハッカー達の社会的交流の場として重要な役 割を果たしている。 現在、サイバー攻撃について、ハッカー達の間で最も“熱い”トピックは、SQL インジェクション 攻撃と DDoS(分散型サービス運用妨害)攻撃だという。もっとも頻繁に議論が交わされるトピック は次のとおり。 トピック 全体に占める割合 スパム攻撃 16% DoS/DDoS 攻撃 22% SQL インジェクション攻撃 19% シェルコード攻撃 12% ブルートフォース(総当たり)攻撃 12% ゼロデイ脆弱性攻撃 10% HTML インジェクション攻撃 9% Copyright©BroadBand Security, Inc. 15 ハッキングに関しては以下のトピックが人気がある。 トピック 全体に占める割合 初心者向けハッキング 25% ハッキングツール/プログラム 22% Web サイト/フォーラムのハッキング 21% ボットネット/ゾンビ 8% ハッキング講座 6% 暗号化技術 5% ソーシャルエンジニアリング 3% 携帯電話のフリーキング 3% プロキシ/ソックス 3% ワイヤレスハッキング 2% インスタントメッセージング(IM)ハッキング 2% なお、スマートフォンの普及に伴い、モバイルデバイスに対するハッキングの話題がフォーラムで 頻繁に取り上げられているという。その中で最も話題に上がるのが iPhone のハッキングで、2010 年 におけるスレッド数は前年の約 4 倍になっている。 上記からも分かるとおり、フォーラムには様々なハッキング講座も用意されている。初心者向けに 動画付きで詳しく丁寧に教えてくれるものや、上級者向けに濃い内容で彩られたもの、中には警察の 手から逃れるために犯罪行為の証拠を隠滅する方法などというものまで存在する。 また、今日のサイバー攻撃は複数人で行われることが多い。フォーラムは同じ目的を持った“協力 者”を募る場としても使用される。セキュリティの固い壁を打ち破るためには豊富な知識とスキル、 技術が必要となるが、個人が一人でそれだけの能力を身に着けるのは容易ではない。協力者がいれば、 互いに互いの弱いところをカバーすることが可能になるため、フォーラムでは協力者探しや雇用活動 が活発に行われていると同レポートは説明する。 Copyright©BroadBand Security, Inc. 16 今回 Imperva が調査したフォーラムは、名前は明らかにされていないが約 25 万人のメンバーを抱 える大規模なものだという。インターネット上には、規模は違えど何千というハッカー向けフォーラ ムが存在しており、同社によれば、こうしたフォーラムの実態を知ることで次のようなメリットを得 られる。 1. サイバー攻撃における攻撃対象の傾向が分かる 2. ハッキングに関する最新技術や手法などが分かる 3. サイバー攻撃における“ビジネスモデル”や金銭の流れ、闇市場で取引される 人気のある商品などが分かる 4. サイバー攻撃の方向性や将来の行方が予測できる 「敵に勝つためには、まず敵を知れ」というが正にそのとおりである。 Imperva:http://www.imperva.com/index.html Copyright©BroadBand Security, Inc. 17 官民連携によるサイバー攻撃対策 ~ 情報交換・共有が重要な鍵 2011 年 10 月 25 日、官民でサイバー攻撃に関する情報を共有するための組織「サイバー情報共有 イニシアチブ(J-CSIP)」が発足した。同組織発足の背景には、防衛産業をはじめとした特定の業界や 組織を狙った巧妙かつ執拗なサイバー攻撃が国内でも頻発していることがあり、経済産業省を中心に 民間企業と連携を図ることで、サイバー攻撃の特徴や手口などを共有することを目的とする。 2011 年 9 月に大手総合重機メーカーに対するサイバー攻撃事件が報道された後、それを皮切りに したかのように相次いで標的型攻撃が発生している。今月に入ってからは、衆院や外務省、在外公館 などが攻撃を受けたことが発覚した。 標的型のサイバー攻撃は世界各国で発生しており、米国防総省や英国防省、豪国防軍などでも年数 千回に及ぶ攻撃と戦っている。特に米国防総省においては、一日に 600 万回というプローブ攻撃(シ ステムのセキュリティ状態を偵察する攻撃)を受けているといい、一瞬も気の抜けない状態だ。ゆえに 米国防総省では、サイバー空間を「陸、海、空、宇宙空間に続く第 5 の戦場」に認定している。 J-CSIP の発足は、個別企業の利害関係を超えた情報共有により社会全体のメリットにつながると 経産省は期待する。ここで要となるのが有効な情報の収集だが、原則として、企業からの情報収集は 同省所管の独立行政法人 情報処理推進機構(IPA)が担う。 IPA は、重要基幹産業に対するサイバー攻撃を深刻な問題として捉え、これまでにも標的型攻撃に 関する注意喚起や情報提供をしばしば行ってきた。IPA は、標的型サイバー攻撃に対して被害の拡大 を防止するためには、個別企業のみでの対応だけでなく、攻撃情報の共有が不可欠になるとしている。 J-CSIP における IPA の今後の主な取り組みは以下のとおりだ。 (1) 「標的型サイバー攻撃特別相談窓口」の設置 ユーザが標的型攻撃に遭った際、“駆け込み寺”として専門的知見を有する相談員が対応 を行う。 (2) 「情報ハブ」としての役割 - 情報の匿名化&メンバー間での情報共有 標的型攻撃メールの内容や攻撃に使用されたウイルスなどの分析結果を、信頼できる情報 ハブ(IPA)を介してメンバー間で情報共有することにより、同様の標的型攻撃を未然に防止 する。 (3) 標的型サイバー攻撃の実態調査 IPA が「重大な攻撃が発生している」と判断した場合、対象メンバー企業の協力のもと、 検出された不審ファイルの分析や現地での一次調査等、攻撃の実態調査を実施する。 Copyright©BroadBand Security, Inc. 18 現在 J-CSIP に参加している民間企業・団体は、防衛省と取引が大きい企業 10 社と日本情報システ ム・ユーザー協会(JUAS)などだが、来年度からは自動車や電機など他業界からも参加を募っていくと いう。 サイバー攻撃対策において、情報の収集・分析・共有は必要不可欠といってよい。むしろ、もっと 早くこうした組織体制が整備されていてもよかったのではないだろうか。今後、IPA という“情報ハ ブ”を通じて情報共有および対策活動が広く展開されることを期待する。 経済産業省:http://www.meti.go.jp/ IPA :http://www.ipa.go.jp/ Copyright©BroadBand Security, Inc. 19 セキュリティ対策において企業が犯す6 つの“致命的”なミスとは? サイバー攻撃においては、ほんの些細なミスがシステムへの不正侵入を可能にしてしまう。設定ミ スや、退職した従業員のユーザアカウントの消し忘れなど攻撃の「足掛かり」にされうる要因は様々 あるが、日々の業務に加え、業界基準への準拠、ますます巧妙になるマルウェアに対する対策、複雑 なネットワーク構成等、広くアンテナを張り巡らさなければならない分、細かい部分まで目が届かな いのは仕方のないことかもしれない。 とはいえ、もし自社のシステムが侵害され重要な情報が窃取された場合、それら“言い訳”は全く 通じないのである。 では、一体どのようなミスが攻撃者につけ込まれやすいのだろうか。 1. SSL サーバの設定ミス 米セキュリティ企業 Qualys の調査によれば、SSL を使用している Web サイトの約半数におい て適切な設定がされていないという。SSL サーバの 7 割は、ログイン情報を平文(つまり暗号化 されていない状態)で処理し、また半数以上がパスワードを平文で送信している。せっかくの暗 号化技術が活用されていないのだ。 また、今週、1 台の PC から SSL サーバに対してサービス運用妨害(DoS)攻撃を実行できる新た なツールが公開された。ボットネットを使用する必要がないことから、より手軽に攻撃を行う ことができるため今後の影響が懸念されている。このツールは SSL のリネゴシエーション機能 を悪用するが、そもそも通常 Web サーバの運用に同機能は必要ない。セキュリティ対策の 基本として「必要のないサービスや機能は無効にする」べきなのだが、多くのシステムで同機 能が有効のままだという。なお、ツールは SSL プロトコルの仕様上の問題を突くため、現時点 で根本的な対策はない。 2. ユーザアカウントの取り扱いにおけるミス 未だに多くの企業において、管理者アカウントにデフォルトのユーザ名とパスワードが使用さ れている。主要機器のデフォルトのユーザ名とパスワードはリスト化され広く出回っているた め、攻撃者にとっては認証機構が導入されていないのと同じである。 ユーザアカウント管理がずさんな企業もある。もしくは、しっかり管理しているつもりが“管 理漏れ”が発生しているケースも存在する。ある企業は、Fortune 500 に名を連ね、情報セキ ュリティ対策にも余念がないとされていた。しかし実際に侵入検査を行ったところ、作成した ことさえ忘れられていた古い特権アカウントが発見された。万が一この特権アカウントが悪意 のある者によって発見されていたら、甚大な被害が出ていたことだろう。 Copyright©BroadBand Security, Inc. 20 3. 仮想プライベートネットワーク(VPN)に対する誤った思い込み 「VPN を経由すれば安全」だと勘違いしている企業ユーザは少なくない。VPN は理論上、認 証や暗号化などにより通信が保護されるのだが、例えばユーザの PC が既にマルウェアに感染 していた場合、接続先の企業ネットワークも同様にマルウェア感染してしまう恐れがある。ボ ット感染した PC が VPN を介して企業ネットワークに接続した場合、企業ネットワークが乗っ 取られる危険性さえあるのだ。 多くの企業では、信頼できない外部からのトラフィックを監視しているが、VPN 経由のトラフ ィックに対しては監視の目が甘い、とセキュリティ企業 AlgoSec は指摘する。 4. 組み込みシステムにおける設定ミス コピー機やスキャナ、VoIP 電話など、Web サーバが組み込まれている製品は多々存在するが、 大抵の場合、設定が不適切なために無防備な状態で Web 上の脅威に晒されているという。この 問題は、今夏に開催された世界最大規模のハッカーカンファレンス「Black Hat USA」でも取 り上げられた。 講演を行った Michael Sutton 氏によれば、特にリコーやシャープ製のコピー機、HP 製のスキ ャナ、Snom 製の VoIP 電話などが多く Web 上で発見される。そして所有者、つまり企業のほ とんどは、これら機器が外部からアクセス可能な状態にあるとは思ってもいない。 5. ソースコードや設定ファイルにおける誤字・脱字 設定ファイルの記述にたった一文字抜けているだけでセキュリティ上の脆弱性となる場合があ る。先ごろ発見された Apache mod_proxy における脆弱性(CVE-2011-3368)が正にそれである。 設定ファイルの「RewirteRule」において、URL の末尾にスラッシュ(/)があるかないかで、攻 撃者に proxy 先を任意の host に変更されてしまう。 6. 不適切なパッチ管理/バージョン管理 パッチ管理は情報セキュリティ対策において“義務”といっても過言ではないが、この基本的 な管理を怠っている企業や組織が多々存在する。既知の脆弱性に対し、ベンダーから何ヶ月も 前にパッチが提供されているにも関わらず対応していない。 また、ベンダーサポートが終了している OS やアプリケーションを“慣れているから”または“新 しいバージョンへの更新が面倒だから”という理由で使用し続けているケースも少なくない。 Copyright©BroadBand Security, Inc. 21 当社でも、システムやネットワークの診断サービスを提供しているが、診断対象全体の約 8 割にお いて上記いずれかの問題に遭遇する。その中には、個人情報やクレジットカード情報などの重要情報 を取り扱うシステムも含まれている。 あからさまに脆弱なシステムは論外だが、隙の多いシステムは攻撃者に狙われる危険性も高くなる。 絶対に侵害されないシステムを構築することは非現実的だが、少なくとも自ら隙を作ることは避ける べきであろう。 Copyright©BroadBand Security, Inc. 22 アジア圏は接続速度も攻撃トラフィックの配信量も世界トップクラス コンテンツ配信事業を行う米 Akamai Technologies, Inc.が実施した調査によると、2011 年第 2 四 半期における攻撃トラフィック全体の 47%は、アジアパシフィックおよびオセアニア地域から発信さ れたという。 この調査は、同社のインテリジェントプラットフォームに接続する 238 カ国、約 6 億 400 万の IP アドレスを対象として実施されたもので、攻撃トラフィックが最も多く発信されている国のトップ 10 は以下のようになった。 順位 国名 全体に占める割合 1位 台湾 10.0% 2位 ミャンマー 9.1% 3位 米国 8.3% 4位 中国 7.8% 5位 ロシア 7.5% 6位 インドネシア 7.4% 7位 ブラジル 5.6% 8位 インド 2.7% 9位 エジプト 2.7% 10 位 ルーマニア 2.7% また、インターネット接続の速度についても、韓国、香港、そして日本とアジア勢が世界トップと なった。 順位 国名 平均速度 単位:Mbps 1位 韓国 13.8 2位 香港 10.3 3位 日本 8.9 4位 オランダ 8.5 5位 ラトビア 8.2 6位 チャコ共和国 7.4 7位 スイス 7.3 8位 ルーマニア 6.8 9位 ベルギー 6.4 10 位 デンマーク 6.4 Copyright©BroadBand Security, Inc. 23 なお、国内市町村区別に見てみると、下妻市(茨城県)、神奈川区(神奈川県)、東海市(愛知県)、旭 市(千葉県)、浦和市(埼玉県)、栃木市(栃木県)、広島市(広島県)、長野市(長野県)、茨木市(大阪府)、静 岡市(静岡県)、豊中市(大阪府)がインターネット接続速度の速い地域の世界トップ 20 にランクインし ている。ちなみに最も速い都市は、韓国のテグ市だった。 Copyright©BroadBand Security, Inc. 24 S.Q.A.T. Security Topics 発行人 2011 年 10 月号 株式会社ブロードバンドセキュリティ 〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階 TEL : 03-5338-7417 文責:田澤 http://www.bbsec.co.jp/ 本書の全部または一部を無断で複写複製(コピー)することは、著作権法上での例外を除き、禁じられており ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。 Copyright©BroadBand Security, Inc. 25 BBSec セキュリティソリューションご紹介 NEW 統合ログ管理/分析サービス ILMS Integrated Log Management Service 昨今の社会問題にも発展している情報漏えい事故に関して、事業継続を行なう上でこの問題を経営の最 重要課題の一つとして捉えている企業が増えています。情報セキュリティに対する脅威が増大し、個人情報 保護法や J-SOX 法の施行、クレジットカードセキュリティ基準 PCI DSS など法令に加え各種セキュリティ規格 においても、システムに起きたことを記録するログ収集の重要性が高まっています。 【お客様の課題】 【サービス概要】 お客様のネットワーク、セキュリティ、サーバ システムから発生する、膨大で多様なフォーマットのログ を統合管理し、分析を行ないます。発生した障害やセキュリティリスクなどに対する能動的な対応、技 術的な問題点の特定、解決を図るサービスをご提供いたします。 【BBSec ILMS 導入による期待される効果】 ■システムの運用業務及びサービス信頼性の保証 z IT サービスの停止することのない安定的な運用支援を通じた信頼度及び対外イメージの向上 z システム、ネットワーク、セキュリティシステムの運用高度化によるサービス安定性の確保 z 主要サービスの利用に対する可用性・セキュリティ強化によるサービス信頼度の向上 ■ログ管理業務の効率性及び生産性の向上 z ログの収集、保存、分析、アラーム、レポートの作成の自動化による運用負荷の削減 z システム、ネットワーク、セキュリティシステム管理者などの各管理者別に最適化されたログ分析を提供 ■障害・セキュリティ事故の発生時、迅速な対応支援 z 閾値ベース及びイベントベースのアラーム機能を通じ、障害及び事故発生の際の迅速な通知 z イベント別の処理状況を記録することにより、業務・担当別に情報共有、共同対応が可能 ■システムの運用業務及びサービス信頼性の保証 z ログ保存のソリューションの検索及び分析の限界を克服 z ログ分析のソリューションの事後分析及び多重ログの相関関係分析の限界を克服 z SMS(Service Management System)、NMS(Network Management System)の障害原因把握のための分析 の限界を克服 z ESM(Enterprise System Manager)の構成や運用(セキュリティ要員、構築費用)の限界を克服 【統合ログ管理分析サービス「ILMS」サービスご紹介 URL】 http://www.bbsec.co.jp/solution/ilms.html Copyright©BroadBand Security, Inc. 26 Cracker Detect EXOCET サービス概要 2009 年 12 月からガンブラーと呼ばれるドライブバイダウンロード攻撃手法による Web 改 ざん被害が急拡大しております。また、さらなる亜種が増加、進化を続け新たな脅威を生ん でおります。最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生 成される高度に難読化された JavaScript 内に悪意のあるプログラム(マルウェア)へのリ ンクを埋め込む攻撃手法が主流になっています。こうした進化する攻撃に対して BBSec で は、新サービス「Cracker Detect EXOCET」にて防御を実践いたします。 【サービス概要】 ■改ざんコンテンツの公開を水際で阻止 業界初の FTP プロキシー型のリアルタイム改ざん検知により改ざんコンテンツの公開を防ぎます ■リンク評価にクラウドマーク社のレピュテーション DB を採用 SNS だけで 1 億 3000 万アカウントを守る「Cloudmark Sender Intelligence」を採用しました レピュテーション DB の情報更新が圧倒的に高速です ■難読化リンクも.htaccess の改ざんも未然に防ぎます HTTP 経由の改ざん検知ソリューションの弱点は EXOCET(エグゾセ)には存在しません ■フィッシングサイト等へ向けたリンクの埋め込みも未然に防ぎます レピュテーションは犯罪サイト全般を網羅しています ■改ざんに使用された FTP アカウントもお知らせします 事後処理のための完璧な情報を提供致します ■大規模サイトでは検出用アプライアンスを設置・運用 必要最小限の稼働コストで余計な設備投資や回線負荷を生じさせません LDAP でのユーザ認証に対応しています(各種 DB に対応予定) ■小規模サイトでは FTP プロキシーの ASP を提供致します FTP アカウント情報は弊社側で LDAP に登録致します 【サービスイメージ図】 世界で 1 億 3,000 万人が利用する 最大規模の SNS サイトでも採用 された、クラウドマーク社 の IP レピュテーションサービス を採用し、リンク先サイトの信用度 を分析します。 【Cracker Detect EXOCET サービスご紹介 URL】 http://www.bbsec.co.jp/solution/exocet.html Copyright©BroadBand Security, Inc. 27 Managed Security Service セキュリティオペレーションセンターG-SOC(ジーソック) BBSec で は 、 従 来 よ り ご 提 供 し て い た Management Service に 付 加 し て 、 MSSP ( Managed Security Service Provider)機能をご提供する G-SOC を立ち上げました。これによりネットワークや サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が 可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す る事を実現いたしました。 【サービス概要】 G-SOC でご提供するサービスは、 PCI DSS(ペイメントカード・インダストリー・データ・セキュリティ・ス タンダード)でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従 前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、 DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。 【サービスフロー】 【Managed Security Service サービスご紹介 URL】 http://www.bbsec.co.jp/solution/mss.html Copyright©BroadBand Security, Inc. 28