サイバーテロの国際動向と サイバー攻撃対策について(2013)
DESCRIPTION
第9回制御システム関連団体合同委員会TRANSCRIPT
「サイバーテロの国際動向と
サイバー攻撃対策について」
~元アナリストからみた
今後のサイバーテロの予測と
組織における2つの課題と提言
2013-12-18
谷本 重和 Copyright (C) 2013 Shigekazu Tanimoto All Rights Reserved.
第9回制御システム関連団体合同委員会
2
略歴
Senior Corporate Security Analyst
Senior Information Security Engineer
Security Analyst / Subject Matter Expert
Risk Consultant / Information Management
3
Agenda
1. サイバーテロとは 2. 時系列でみるサイバーテロの動向 3. 海外サイバーテロの特徴とその傾向 4. サイバー攻撃のシナリオとは 5. サイバー攻撃対策の技術的課題 6. サイバー攻撃対策の管理上の課題 7. 今後のサイバーテロの予測と システム運用現場における2つの課題
4
1.1 サイバー攻撃ツール「Blackhole」の作者 欧州当局が逮捕か? 1.2 サイバーテロの定義 1.3 サイバーテロ犯罪者の目的 1.4 サイバーテロ犯罪者の特徴 1.5 サイバーテロの国際動向
1. サイバーテロとは
1.1 サイバー攻撃ツール「Blackhole」 作者 欧州当局が逮捕か? (2013年10月7日)
Blackhole Exploit Kit
Author Arrested in Russia “Paunch(太鼓腹)”と名乗るハッカー
Blackholeは、WebブラウザやJava,Flashなどに存在するさまざまな脆弱性を悪用した攻撃ツール http://en.wikipedia.org/wiki/Blackhole_exploit_kit
欧州連合(EU)のサイバー犯罪対策機関 European Cybercrime Centre(EC3) 逮捕の事実を確認 http://www.bbc.co.uk/news/technology-24456988
http://www.securityweek.com/blackhole-exploit-kit-author-paunch-arrested-reports
http://www.itmedia.co.jp/enterprise/articles/1310/09/news029.html
http://threatpost.com/blackhole-exploit-kit-author-arrested-in-russia/102537 5
1.2 サイバーテロの定義
サイバーテロ (cyber-terrorism)
ネットワークを対象に行われるテロ行為
攻撃対象が仮想空間である(狭義)
日本においては、不正アクセス禁止法、電子計算機 損壊等業務妨害罪および、共同正犯に抵触する可能性のある威力業務妨害(刑法)対象
民事損害賠償、請求訴訟の訴因行為となる可能性
クラッカーが行うコンピュータウィルスの大量発信や大規模なクラッキング行為
企業体質や特定団体の方策を批判してのDoS攻撃
引用:佐藤,谷本(2010)テロ対策ドラマにみる情報分析活動,日本社会情報学会,P239
6
6
1.3 サイバーテロ犯罪者の目的
攻撃インシデントによる分類
政治的活動
サイバーテロ犯罪(金銭目的、株取引)
サイバーテロ
サイバー戦争
業務妨害
政治的駆け引き、個人的な動機による攻撃
愉快犯、恨み辛み、サイバーストーカー
7 引用:岩井(2013) 標的型攻撃セキュリティガイド, P7
犯罪者グループによる不法なビジネス活動
• 盗んだ情報やIT資源を転売することで利益を得る
金銭
テロ組織やハッカー集団などによる主義主張の表明 • 改ざんやサービス妨害など派手な攻撃が多用される
示威
国家スパイや産業スパイによる情報窃取や破壊 • 目的を達成するためには手段を選ばない
諜報
8
1.4 サイバーテロ犯罪者の特徴
引用:http://www-935.ibm.com/services/jp/ja/it-services/information-security-frontline2.html
9
1.5 サイバーテロの国際動向 ロシアの大規模なサイバー犯罪活動の標的は サービス業、製造業、政府、運輸業界にも(2013年10月23日)
引用: http://community.websense.com/blogs/securitylabs/archive/2013/10/23/massive-russian-cyber-criminal-campaign-targets-business-services-manufacturing-government-and-transportation-industries.aspx?cmpid=prlink#! http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2013-090611-2333-99&tabid=2
ロシアとウクライナが発信源とみられる大規模なサイバー攻撃を監視
発券日:2013年9月5日 種別:トロイの木馬
Backdoor.Mevade 危険度1: ほとんど影響無 感染サイズ:不定 影響を受けるシステム Windows 2000, Windows 7,
Windows Vista, Windows XP
危険性の評価
被害状況
被害レベル:低
感染台数:0 - 49
感染報告数:0 - 2
地域危険度:低
対処レベル:易
駆除:易
10
2.1 年表に見る海外サイバーテロの動向事例 2.2 国内の政府機関に対する標的型攻撃の事例 2.3 最近のサイバーテロによる事件 2.4 産業基盤・インフラ施設における海外の 過去事例(2000-2013年) 2.5 新たなサイバー攻撃の予兆 “DuQu”
2. 時系列でみるサイバーテロの動向
11 引用: Symantec インターネットセキュリティ脅威レポート2013年 図: http://www.alienvault.com/c-suite-blog/the-eternal-life-of-malware/
2.1 海外の政府機関・企業組織に対する サイバーテロの動向事例(2010-12年)
12
2.2 国内の政府機関に対する サイバーテロの事例(2010-12年)
公表日 対象 感染台数 備考
‘10/11 経済産業省 0台 添付ファイルは約20人が開封したが、 ウィルスは動作せず
‘11/08 国土交通省 四国整備局
1台 886名分の個人情報、行政事務情報の流出
‘11/10 衆議院 32台 衆参議員の公務用PC,議員のID,PW流出
‘11/11 総務省 23台 震災に関連する内容を騙ったメール
‘12/01 宇宙航空研究開発機構
1台 固体燃料ロケットの仕様や運用に関係する情報が漏洩した可能性
‘12/02 特許庁 3台 特許出願中の未公開情報の流出は確認されていない
‘12/05 原子力安全基盤機構
19台 原発事故調査・検証委員会、節電ポータルサイト等のウェブサイトが、改ざん
‘12/07 財務省 123台 国税や機密情報は含まれず
集計: 筆者調べ 12
13
2.2 「標的型メール攻撃」の 主な標的は官公庁(2013年上半期)
検知日 添付ファイル名 悪用する脆弱性
‘13/1/16 安倍政権の命運を握る「新・四人組」.doc
Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158)
‘13/2/27 2013年経済展望-重要 课题.doc
Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158)
‘13/3/20 レーダー照射で新たな段階に.doc
Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158)
‘13/3/29 李明博政府の労動政策は問題がある.doc
Adobe Flash Player の脆弱性 (CVE-2012-1535)
‘13/3/29 H25 ノーベル平和賞推薦について.pdf
Adobe Reader の脆弱性 (CVE-2013-0640)
‘13/4/24 エネルギーシェールガス⾰命で激変するエ ネルギー調達戦略.doc
Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158)
‘13/5/16 日本からの台湾進出をサポートする体制.doc
Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158)
引用: IBM Security Service 2013年上半期 Tokyo SOC情報分析レポート
http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf
2.3 最近のサイバーテロによる事件 (2012年前半)
1月 データ侵害により約2400万件の個人情報窃盗 Zappos社(アパレル企業)(米) 2月 Google社がGoogle Playへの不正アプリ検出システム Google Bouncerの導入を発表 3月 Visa,MasterCard決済処理システムが不正アクセス 150万人分のクレジットカード情報流出(米) 4月 60万台以上のMacが、パッチ未適用のJava
エクスプロイトによるOSX.Flashback感染 5月 ソーシャルネットワーク (SNS)tumblr, Pinterest
を悪用した詐欺が発生 6月 Linkedinでデータ侵害が発生 数百万のアカウント流出 引用: Symantec インターネットセキュリティ脅威レポート2013年 http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp
14
15
7月 財務省、行政情報化LANシステム内のパソコン123台 トロイの木馬による情報流出の形跡(日本) http://www.mof.go.jp/about_mof/other/other/press_20120720.html
8月 機密情報を収集するワーム(W32.Gauss)発見 W32.Flammerと同様、被害は中東地域に集中 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2012-080919-1048-99
9月 攻撃ツールキットの新バージョン、 Blackhole 2.0発見 10月 Skype メッセンジャーを介した ランサムウェア発見 12月 攻撃者がtumblrの脆弱性をついて、 SNSにスパムを広める
2.3 最近のサイバーテロによる事件 (2012年後半)
引用: Symantec インターネットセキュリティ脅威レポート2013年 http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp
16
2.4 産業基盤・インフラ施設における 海外の過去事例(2000-2013年)
2000年 元従業員による下水処理施設への攻撃(豪)
2003年 原子力発電所の制御システムへのワーム侵入 MS SQLサーバを狙ったSlammerが、VPN経由で 侵入感染、SCADAシステムを5時間停止 (米)
2005年 Zotobワームによる自動車工場の操業停止(米)
2008年 鉄道線路のトラックポイントに対するハッキング (ポーランド)
2009年 高速道路の信号機に対する交通表示改ざん(米)
2010年 Stuxnetによる制御システムに対する攻撃(イラン)
イランにある遠心分離機9000台の内、約1000台を破壊 2011年 救急サービスシステムがマルウェア感染
(ニュージーランド)
2013年 金融機関・公共放送サービスの中断(韓国)
引用: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-the-scad a-that-didnt-cry-wolf.pdf https://www.ipa.go.jp/files/000024447.pdf
2.5 新たなサイバー攻撃の予兆 “DuQu”
2011年10月 W32.DuQu発見
2010年7月、SCADAシステムを標的 Stuxnetの存在が確認
http://www.symantec.com/content/en/us/enterprise/media/ security_response/whitepapers/w32_stuxnet_dossier.pdf
SCADA(Supervisory Control And Data Acquisition)
公共交通機関や水道設備、石油精製設備など各種の産業設備の
複雑なインフラの監視や制御に用いられるシステム
DuQuの目的は、Stuxnetのように、SCADA自体を標的とせず
産業基盤に関する知的財産の取得と機微な情報を収集
関連する組織や施設に対する将来的な攻撃を容易にすることが目的
実行可能ファイルは、キーストロークやシステム情報を取得する
引用: http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=DUQU+Uses+STUXNET- Like+Techniques+to+Conduct+Information+Theft
17
18
3.1 APTの増加と新たな攻撃手法 3.2 月別の攻撃数に見るAPTの推移 3.3 標的型攻撃とAPTの相違点 3.4 持続的標的型攻撃(APT)の特徴 3.5 持続的標的型攻撃の傾向 (2012年上半期)
3. 最近の海外サイバーテロの特徴と その傾向
19
3.1 APTの増加と新たな攻撃手法
サイバーテロ・スパイ行為 82件 (前年比+ 77件)
2010年 Stuxnet 広範囲に感染するワーム プロセス制御を監視するシステムを狙って設計
2011年 石油産業、化学産業施設に対する様々な攻撃 (Anonymous, LulzSecの出現) 2011年10月 DuQu Stuxnetから派生したマルウェア
ゼロデイ・エクスプロイトを含む キー入力やスパイウェアを仕掛ける攻撃
引用:http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr17_wp_201207.pdf 図: http://www.alienvault.com/c-suite-blog/the-eternal-life-of-malware/
20
3.2 月別の攻撃数に見るAPTの推移
標的型攻撃から、APTへと変化する傾向 ドライブバイダウンロード、SQLインジェクション、マルウェア、
フィッシング、スパムによる攻撃手法の併用が特徴
引用: http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr17_wp_201207.pdf
21
3.3 標的型攻撃とAPTの相違点
標的型攻撃(Targetted Attack) スピア型攻撃(=攻撃対象を槍で突く意)
知的財産や金銭的利益、破壊行為を目的
特定の組織や個人を標的に攻撃を絞ることが特徴
APT(Advanced Persistent Threats) 持続的標的型攻撃
さらに特定の組織に絞り、持続的に行われる標的型攻撃
① 『公開サーバに対する攻撃』
② 『直接ユーザに対する攻撃』
ex. 標的型メール攻撃 引用: http://jp.trendmicro.com/jp/threat/aboutthreat/detail/apt/ 参考: http://www.legendarypokemon.net/pokedex/Beedrill
スピアー (Spear) Copyright (C) (株)ポケモン
22
3.4 持続的標的型攻撃(APT)の特徴
高度にカスタマイズされたツールと侵入方法を駆使
軍事、政治、経済に関わる機密情報等、 価値の高い情報の収集を目指す
サイバー攻撃者の背景には、資金と人材が豊富で、軍や国家機関の支援を受けて機能する
政府機関、軍事産業、有名な製造業、重要インフラ等、社会的に重要性が高い組織・施設を標的にする
対策: 長期にわたる持続的な攻撃に対するリスク脅威を低減 する手法を確立する必要がある (詳細第6章)
Backdoorによる情報窃取
主に化学物質や先端素材の研究、開発製造に 関連する民間企業や、金融機関のウェブサイトが主な標的の対象
Javaの脆弱性を狙った
新たなゼロデイ
最も使用されたバックドア
PoisonIvy (検出名:
BKDR_POISON、
BKDR_DARKMOON)
3.5 2012年(上半期) 持続的標的型攻撃の傾向 -Nitro(Poisonlvy)
引用: http://blog.trendmicro.co.jp/archives/5861
23 トレンドマイクロ リージョナルトレンドラボ 2012年上半期国内における 持続的標的型攻撃の分析
4. サイバー攻撃のシナリオとは
24
4.1 脅威は本当に存在するのか? 4.2 さまざまな攻撃の予兆と検知の実際 4.3 SOC(Security Operation Center) の現場 4.4 攻撃手法の種類と推移 - Blackhole - Phoenix - Ransomeware 4.5 Microsoft XML コアサービスの脆弱性に より、リモートでコードが実行される(2012)
不正アクセス(illegal access)
不正コードが送られる予兆として攻撃者は対象とする端末に、まず偵察・調査を行う
フェーズ1:偵察 IPアドレス、各種サービス
フェーズ2:スキャン 侵入可能なポート
フェーズ3:アクセス権の獲得 exploit,XSS,SQL injection
フェーズ4:アクセス権の維持 root, 権限昇格
フェーズ5:情報窃盗 構成、設定、機密情報
フェーズ6:証拠隠滅 ログ改ざん、rootkit
25
4.1 脅威は本当に存在するのか?
ZmEu exploit Scanner (脆弱性調査ツール)
Morfeus.F Scanner
phpmyadmin に存在する脆弱性を狙った調査行為
SSH - new brute force tool? http://isc.sans.edu/diary/SSH+-+new+brute+force+tool%3F/9370
“GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1” 404 489 “-” “ZmEu” “GET /phpMyAdmin/scripts/setup.php HTTP/1.1” 404 478 “-” “ZmEu” “GET /pma/scripts/setup.php HTTP/1.1” 404 473 “-” “ZmEu” “GET /myadmin/scripts/setup.php HTTP/1.1” 404 476 “-” “ZmEu” “GET /MyAdmin/scripts/setup.php HTTP/1.1” 404 476 “-” “ZmEu” “GET /user/soapCaller.bs HTTP/1.1” 404 469 “-” “Morfeus Fucking Scanner” "GET /user/soapCaller.bs HTTP/1.1" 404 469 "-" "Morfeus Fucking Scanner" "GET /user/soapCaller.bs HTTP/1.1" 404 469 "-" "Morfeus Fucking Scanner"
4.2 さまざまな攻撃の予兆と検知の実際
26
from The Matrix (1999)
27
4.3 SOC(Security Operation Center) の現場 MSS-SOC (2012年12月- 2013年2月)
27
Exploit Scanner !!!
28
最近の傾向
専門的なハッキング技術の知識を持ち合わせていなかった従来の犯罪者を、サイバー犯罪に結びつける
職業クラッカーの台頭
ハッキング技術を悪用し、コンピュータや
ネットワークに不正アクセスする攻撃者
高度な攻撃用ツールキットの利用
APTに利用される傾向
脅威の80%がexploit(攻撃コード)
をもつ攻撃用ツールキットを使用
4.3.1 攻撃用ツールキットに支配される脅威
28
29
4.4 攻撃手法の種類と推移 “脅威の8割が攻撃ツールキット”
29 引用: Symantec インターネットセキュリティ脅威レポート2013年 http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp
30
4.4.1 - Blackhole ブラック市場を席捲するクライムウェア
引用: http://www.symantec.com/connect/blogs/blackhole-theory Sophos セキュリティ脅威レポート2013年 http://www.sophos.com/ja-jp/security-news-trends/reports/security-threat-report/blackhole-exploit/blackhole-hosted-sites.aspx
経緯 2006年頃から、ブラック市場にて入手可能(US500-1000)
ロシアのクラッカーによって作成された。PHPベースのマルウェアのキット (Mpackの例)
2007年8月、インドの銀行のウェブサイト攻撃に使用
攻撃の方法 Blackholeライフサイクルの 4つのステージ ① ユーザをツールキットが仕組まれているサイトに誘導する ② ランディングページから感染したコードをロードする ③ ペイロード(攻撃コード)配信 ④ 追跡および学習し、機能を向上
31
4.4.2 - Phoenix PCの脆弱性をチェックし、攻撃を仕掛けるツールキット
引用: http://community.websense.com/blogs/securitylabs/pages/phoenix-exploit-s-kit.aspx 参考: http://media.blackhat.com/bh-us-12/Briefings/Jones/BH_US_12_Jones_State_Web_Exploits_Slides.pdf
2007年頃から、ブラック市場にて入手可能(US300-400).
PHPとMySQLのバックエンドデータベースを使用して実装.
DBは、攻撃のページの訪問者から収集した統計データを収集するために使用.
攻撃の方法 ①偽装サイトへのURLを記載したメールを送る ②FacebookやTwitterなどに短縮URLを含めたメッセージをばらまく ③SEO対策の検索エンジンの上位に表示させる ④短縮URLにiFrameに埋め込み、攻撃者のサーバにリダイレクトさせる
32
4.4.3 - Ransomeware 身代金要求型の不正プログラム
引用:http://ja.wikipedia.org/wiki/ランサムウェア http://www.symantec.com/connect/ja/blogs-138
1989年に発生したPC Cyborgというトロイの木馬が原型
ネットワークサービスの脆弱性や Eメールに添付されたファイル、ソーシャル・エンジニアリングなどによってシステムに侵入
攻撃の方法 ①システムに必要なサービスを無効化、またはスタート時にディスプレイ表示を変更できなくする ②ユーザの個人的なファイルを 暗号化する ③犯人に身代金を振り込むか、有料のSMSに送った後に入手できるコードを入力しろと要求する ④復号ツールや削除ツールの購入を迫る
発券日:2010年12月20日 種別:トロイの木馬 Trojan.Ransomlock.F 危険度1: ほとんど影響無 感染サイズ:40,448バイト 影響を受けるシステム Windows 2000, Windows 7,
Windows Vista, Windows XP
危険性の評価
被害状況
被害レベル:低
感染台数:0 - 49
感染報告数:0 - 2
地域危険度:低
対処レベル:易
駆除:易
33
Host Application
脆弱性名 脆弱性情報
CVSS スコア
緊急性 影響を受ける技術 感染可能性
Windows XP SP3 XP Pro x64 SP2 2003 SP2, x64 SP2 Vista SP2,x64 SP2 2008, R2 32-bit SP2 64-bit SP2 Windows 7 32-bit SP1 64-bit SP1 Windows 8 32-bit 64-bit Windows Server 2012 MS Office 2003 SP3 MS Office 2007 SP2 MS Office 2007 SP3
MS XML Core Services Remote Code Execution Vulnerability
CVE-2012-1889 OSVDB-82873 MS 12-043 MS KB 2719615 JVNDB-2012-1889
9.3 High Microsoft XML Core Services 3.0,4.0,5.0,6.0 Avaya Messaging Application Server 5.2 Avaya Meeting Exchange - Webportal 0 Avaya Conferencing Standard Edition 6.0 SP1 MS XML
コアサービスの脆弱性により、 リモートでコードが 実行される
高 緊急
Microsoft XML コアサービスには、初期化されていないメモリへのアクセスにより、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態と なる脆弱性が存在します
4.5 Microsoft XML コアサービスの脆弱性により リモートでコードが実行される 緊急(MS12-043) 公開日: 2012年6月12日 | 最終更新日: 2012年8月14日
5. サイバー攻撃対策の技術的課題とは
5.1 セキュリティ監査ツールによるネットワーク 侵入テストの実施 5.1.1 セキュリティ監査による現状評価とリスク分析 5.1.2 ハードニングとコンプライアンスチェック概要 5.1.3 侵入テストによるセキュリティ受け入れテスト 5.2 ネットワークセキュリティ監査ツールによる セキュリティ受け入れテストのプロセス手法 5.2.1 デモ: exploits for Windows 5.2.2 Server サービスのRPC処理にリモートで コードが実行される脆弱性(2008年)
34 34
セキュリティ監査 ネットワーク侵入テスト
セキュリティ監査 内部ネットワーク
DMZ
外部インターネット
35
5.1 セキュリティ監査ツールによる ネットワーク侵入テストの実施
①侵入テスト 広範囲に及ぶ制限のないアプローチを使用する
②ネットワークのセキュリティ監査 自動ツールの使用および手作業に よる修正を行う
③脆弱性スキャニング ネットワークスキャニングおよびレポート生成を行う自動ツールを使用する
36
5.1.1 セキュリティ監査による現状評価とリスク分析 Risk Assessment and Analysis by audit
36
5.1.2 ハードニングとコンプライアンスチェック概要 Hardening and Compliance checking
ハードニングとは、脆弱性を低減することにより、よりシステムの 情報セキュリティを堅牢にする
必要のないサービスや不要なアカウント、デーモンを停止などで、攻撃可能なリスクを減らすことが目的
情報セキュリティガバナンスの実現とコンプライアンスにより、組織は 情報を保護し、事前にその利用を 追跡、統制する必要がある 1) PCI DSS(Payment Card Industry Data
Security Standard)米国PCIデータセキュリティ 基準審議会(PCI SSC)制定基準
2) SOX(Sarbanes-Oxley Act) 会計監査制度の充実と内部統制強化の目的
3) FISMA(The Federal Information Security Management Act)米国連邦政府関係機関と 受託業者間の取引に関する規制と基準
4)NIST800-53 「連邦情報システムと 組織に推奨されるセキュリティコントロール」
37
38
5.1.3 侵入テストによる セキュリティ受け入れテストのプロセス SAT: Security Configuration and Acceptance Testing
セキュリティ受け入れテスト概要
① システム・ハードウェアを、データセンターに納入 ② 顧客のセキュリティ・スタンダードに基づいて、 ハードニングを行う(1回目のSAT) 同時に、CAM(Compliance Assurance Manager)
が、全てのプロセスと準拠性の確認を行う ③ 全ての脆弱性テストと潜在的な問題が解決されたか を確認する ④ テスト実施者(ベンダー)はハードニングの結果を 提出し、PMがSATフォームに確認のサインを行う ⑤ PMは、④のプロセスを調整し、CAMに証拠を提示 ⑥ CAMはレビューを行い、一回目のSATを完了する ⑦ PMと顧客のアプリケーションチームは、アプリ ケーションのインストールを実施する ⑧ アプリケーションのインストール完了 ⑨ SOCならびにセキュリティエンジニアは第2回目の SATを実施する(2回目のSAT) ⑩ ベンダーは、そのテスト結果を確認する ⑪ PMは、フォローアップの通知を行う ⑫ セキュリティ・スタンダードとの差異を検討する ⑬ 修正がある場合、CAMが例外フォームで追記する ⑭ 上記、SATフォームをレビューし、プロダクト展開 のために、上級管理者の承認を得る
39
5.2 実践的なネットワークセキュリティ 監査ツールによるセキュリティ受け入れテスト
http://www.rapid7.com/
exploit vulnerability
!!!
Powered by
40
WSUS
Server/
Antivirus
Update
PI HistorianTerminal
Services
Business LAN
Internet
Application
ServerEngineering
Station
Domain
Controller
Backup
Services
Internet
Or
Private WAN
Enterprise
Switch
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
IED
Router
OPC
Server
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Protection
Relay
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Logic
Solver
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
PLC
PI
Aggregator
HMI / Operator Station
Touch Panel
Display
Operations
POWER
ALLEN BRADLEY
!
Operator
Workstation
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Protection
Relay
IP to Serial
Gateway
Time
Source
User WorkstationEngineering
Manager
Domain
Controller
Email / HTTP / VOIP
DMZ
Enterprise
Switch
Telco, Radio, VSAT
RUN
FLT
BATT
FORCE
Dh485
Rs232
SLC 5/05 CPU
RUN PROGREM
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
POWER
ALLEN BRADLEY
!
INPUT
DC-SINK
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
OUTPUT
RELAY
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
RTU
Telecom
Equipment
Router /
VPN
Network Topology Metasploit配置例 for SCADA System
資料提供:日本コーネット・テクノロジー株式会社 http://www.nihon-cornet.co.jp/
41
5.2.1 デモ: exploits for Windows
42
5.2.1 デモ: exploits for Windows
43
Host サービス 脆弱性名 脆弱性情報 CVSS スコア
緊急性 影響を受ける技術 感染可能性
Windows 2003 SP1
445 tcp
MS server Service Relative Path Stack Corruption
CVE-2008-4250 OSVDB-49243 MS 08-067 Bugtraq ID
JVNDB-2008-001894
10.0 High Avaya Messaging Application Server MS Windows 2000 Server SP4,2003 SP1,SP2,2008, Vista,XP Nortel Networks Contact Center – CCT Trojan.Gimmiv.A W32.Wecorl MS
Windows Server サービスの RPC 処理にリモートでコードが実行される脆弱性
高 緊急
第三者による巧妙に 細工されたRPC要求に よりパスの正規化で オーバーフローが発生し、任意のコードを実行される可能性 トロイの木馬 ワーム
5.2.2 Server サービスのRPC処理にリモートでコードが
実行される脆弱性 公開日: 2008年10月24日 | 最終更新日: 2008年10月24日
6. サイバー攻撃対策の管理上の課題
6.1 まず何を準備すればよいのか?
6.2 次に想定される脅威とは?
6.3 さらに現状分析が必要な理由とは?
6.4 証拠収集が必要な理由とは?
6.5 復旧戦略における重要指標とは?
6.6 インシデントを抑止するには、
どうすればよいか?
44 44
45
① 準備
② 識別
③ 封じ込め
④ 根絶
⑤ 復旧回復
⑥ 事後 検討
インシデントレスポンスとは、イベントを検知しつつ、 インシデントの発生を事前に抑制する一連の活動をさす
①準備とは、イベント対応、フォレンジック、システムの復旧、原因の追求と再発防止策をどのようにするかを、 インシデントの発生前において決めること
予防措置を講じて、インシデントを抑止すること 情報セキュリティポリシー作成・見直し、ネットワークトラフィック監視
SAT、リスク分析、脆弱性調査・評価の実施 etc..
情報共有 組織上層部へのレポート
6.1 まず何を準備すればよいのか? インシデントに対する準備フェーズの検討
46
6.1.1 まず何を準備すればよいのか? Incident Response: インシデントレスポンス
インシデント抑止準備とフォレンジック対応準備
インシデント調査終了
インシデント 発見
インシデント終結
47
① 準備
② 識別
③ 封じ込め
④ 根絶
⑤ 復旧回復
⑥ 事後 検討
②識別とは、イベントが本当に発生したかを検証し、 もし予兆があれば、その性質や内容を調べ、特定
インシデントの特定と分析を行う実施・指揮する担当者 (ex. Analyst, Incident Handler)を確保
インシデントの記録を開始、証拠を収集し、保全
イベントが本当にインシデントであるかどうかを確認
上記の結果を慎重に分析判断
情報共有 組織上層部へのレポート
6.2 次に想定される脅威とは? インシデントに対する識別フェーズの検討
48
インシデント の種類
原因 サイバー攻撃の手段 考えられるリスク
ハッキング (exploit)
不正アクセス不十分な監視
不正アクセス DoS, exploit
データ盗難 ウィルス感染
Denial of Service (DoS) サービス拒否
メールアカウントへのフラッド攻撃(APT)
従業員による インターネットの悪用
ビジネス損失 社会的信頼の喪失 時間・経費の損失
ウィルス、ワーム
トロイの木馬 不十分なセキュ
リティ対策 ウェブ、USBから感染 不十分なメール対策
データの損失 データの破損
データ盗難 ハッキング 不正アクセス
不正アクセス 可搬型メディアの使用
データ保護違反 知的財産の損失
機密情報漏えい 不適切なデータ廃棄・管理
不正アクセス 可搬型メディアの使用
顧客信用の損失 データ保護違反
データ削除 不十分なデータ管理策
不正アクセス バックアップ復元 データの復旧
6.2.1 次に想定される脅威とは? Incident types:インシデントの種類
48
49
① 準備
② 識別
③ 封じ込め
④ 根絶
⑤ 復旧回復
⑥ 事後 検討
③封じ込めとは、イベントが識別された後、その範囲と規模をそれ以上大きくしないようにする(悪化の防止)
インシデントの拡大防止に必要なデータを、迅速に収集
機会を逃すと二度と収集出来ないようなデータも存在する
情報共有 組織上層部へのレポート
6.3 さらに現状分析が必要な理由とは? インシデントに対する封じ込めフェーズの検討
ハニーポットによる分析は、識別のフェーズに、 どのように役立つでしょうか?
A) クライアント機にアンチウイルスソフトをインストール して、正常に動作するか確認できる
B) 他のネットワークにセキュリティ脅威の攻撃者が いないかどうかを検査できる
C) 脅威や攻撃が、どういった行動をとるかを確認出来る
D) 不正なデータ盗難の取り扱いを評価するのに役立つ
ハニーポット (Honeypot) は、不正アクセスを受けることに価値を持つ
おとりシステム
重要なシステム領域で被害を出さないために、攻撃の対象を逸らせたり、
フォレンジック分析を行うため証拠を集めたり、一種のおとり手法に使われます
50
6.3.1 ケーススタディ③封じ込め
フォレンジック分析 IDS・IPSや監査ツールとの連携により、サイバー攻撃や異常を検出・反応した時点で、自動的に対象のハードディスク 及び、揮発性データのスナップショットの取得
また取得したイベントを分析し発生可能性のある サイバー攻撃の影響度や侵害範囲の調査を実施
⇒ 証拠開示手続き、法的訴訟対応
サイバー犯罪の捜査ツール 捜査機関において用いられる、サイバー犯罪に対する
効率的かつ効果的な分析のための証拠保全を実行
ex.
51
6.4 証拠収集が必要な理由とは? Forensic Analysis:フォレンジック分析
参考URL: https://www.encase.com/ http://www.accessdata.com/products/digital-forensics/ftk
インシデント対応時に、適格な証拠を収集して保管する場合、最も重要な事項は、次のうちどれでしょうか?
A) 上司への報告
B) 分析過程の保全管理
C) 目標復旧時点(Recovery Point Objective)
D) 目標復旧時間(Recovery Time Objective)
適格な証拠は「分析過程の保全管理」(Chain of Custody) により事後分析のため、保管する必要があります
発生可能性のあるサイバー攻撃の影響度や侵害範囲の調査します ⇒ 証拠開示手続き、法的訴訟対応
52
6.4.1 ケーススタディ④根絶
53
6.5 復旧戦略における重要指標とは? Recovery Time Objective: 目標復旧時間
目標復旧ポイント (Recovery Point Objective: RPO)
業務が中断した場合にデータ損失がどれだけ許容出来るかを基に、データを復旧許容可能な最も 早いポイント
目標復旧時間 (Recovery Time Objective:RTO)
業務が中断した場合のダウンタイムに基づいた 中断後に、業務を再開すべき最も早いポイント
目標復旧ポイント(RPO) どの時点までデータを 復旧させるか?
目標復旧時間(RTO) どれだけ早く業務を再開 できるか?
インシデント 発見
54
6.5.1 ケーススタディ⑤復旧回復
インデント対応にかかる費用と時間の削減は、 どうすればよいでしょうか?
A)適切なエスカレーションの手順を策定する
B) ITスタッフ全員に携帯電話を貸与する
C) 報告の範囲を慎重に設定する
D)インシデントの全容をスタッフ全員に一斉連絡する
55
① 準備
② 識別
③ 封じ込め
④ 根絶
⑤ 復旧回復
⑥ 事後 検討
⑥事後検討とは、何が発生し、どのような攻撃手段が講じられ、
計画が実行された際、どのような結果となったかについて情報を
共有し、その一連を可能なかぎり記録と文書化を行う
インシデント報告書の記述
インシデント対応の取り組みと問題分析
発生したインシデントをベースとした改善案の提案
関連する利害関係者への報告
情報共有 組織上層部へのレポート
6.6 インシデントを抑止するには、 どうすればよいか? インシデントに対する事後検討フェーズの検討
インシデントを抑止するには、どうすればよいでしょうか?
A)影響を受けたサーバやネットワーク機器を一定の時間 シャットダウンする
B)検知したイベントに関連する、予兆の有無を確認する
C) イベントの内容をスタッフ全員で情報共有する
D)インシデントの内容をインターネット上で調べる
56
6.6.1 ケーススタディ⑥事後検討
7. 今後のサイバーテロの予測と システム運用現場における2つの課題と提言
7.1 今後のサイバーテロ攻撃の予測:
“ 標的とする目標別に特化した、より高度な ツールキットによる攻撃が発生する可能性”
7.2 2つの課題: 脅威に対するサイバー攻撃対策へのリスク 管理の見直しとインテリジェンスの必要性 7.3 提言: 組織におけるセキュリティ・インテリジェンス 構築の急務
57 57
7.1 今後のサイバーテロ攻撃の予測 “ 標的とする目標別に特化した、より高度なツール キットによる攻撃が発生する可能性”
論拠① 近年、ネット上のブラック市場から入手(購買)が容易、かつ低価格化が進み、職業クラッカーやサイバー犯罪者の活動を助長する、攻撃ツールは、サイバーテロ犯罪の温床ともなっている。
論拠② 何等かの目的(金銭・示威・諜報)により、攻撃目標とする組織のシステム上の脆弱性を発見するために、サイバーテロ犯罪者は、 日常的な調査活動・偵察行為を行っている。
論拠③ ソーシャルネットワークを悪用し、悪意のある攻撃ツールや ランサムウェアにより、サイバーテロ犯罪者は、攻撃を確実に 実行するため、標的対象に必要な情報の入手を試みる。
58
想定される脅威とサイバー攻撃対策には、
リスク管理の見直しとインテリジェンスを検討
長期にわたる持続的な攻撃に対するリスクを低減する には、①~⑥のフェーズを、今一度確認することが重要
① 準備
② 識別
③ 封じ込め(拡大の防止)
④ 根絶(原因の除去)
⑤ 復旧と回復
⑥ 事後の検討
59
7.2 課題: 脅威に対するサイバー攻撃対策へのリスク管理の 見直しとセキュリティインテリジェンスの必要性
7.3 提言: 組織におけるセキュリティ・インテリジェンス構築の急務
60
脆弱性分析 リスク評価 モニタリング
セキュリティ・インテリジェンスとは、組織のガバナンスを確立するために、ITセキュリティやリスクに影響を与えるユーザーやアプリケーション情報、またはIT基盤が生成するデータを、リアルタイムに収集正規化、分析する情報 集積活動のこと
具体的には、組織のITシステムが出力するさまざまなログ情報(SIEM)や、 ユーザーのシステムやネットワーク上での行動に関する情報を一元的に収集し、それぞれの情報の相関関係を分析することによって、組織内部に潜む 情報セキュリティの脅威やサイバー攻撃の予兆を検討する
証拠性確保 記録文書化 法的訴訟対応
資源管理 カネ、ヒト、モノの
整合的な管理
Thank you!
FAQ
61 Copyright (C) 2013 Shigekazu Tanimoto All Rights Reserved.