2017年のセキュリティ対策

傾向と対策講座

2017年1月30日

NHNテコラス株式会社 データホテル事業本部

セキュリティ・エンジニア 香取 弘徳

NHN テコラス株式会社の「ITインフラ・マネージド」を担う事業部門です。

インターネットインフラを安心してご利用頂けますように、セキュリティ強化

に取組んでいます。

東京都新宿区新宿6-27-30

新宿イーストサイドスクエア 13階

https://datahotel.jp

http://www.itmedia.co.jp/author/211284/

ITmediaエンタープライズ

現場エキスパートに学ぶ実践的サイバー攻撃対策塾

DATAHOTELで、開発業務をしています。

でも、本当は…セキュリティ・エンジニアです。

（専門はWeb セキュリティ）

香取弘徳（かとりひろのり）

2017年のセキュリティ対策

傾向と対策講座

2,275

3,575

994

6,449

212

55

46

0 1,000 2,000 3,000 4,000 5,000 6,000 7,000

フィッシングサイト

Webサイト改ざん

マルウェアサイト

スキャン

DoS/DDoS

制御システム関連

標的型攻撃

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

2016年 カテゴリ別インシデント件数

（件）

1,560

1,719

1,611

1,948

3,592

2,980

2,442

1,985

1,526

1,654 1,520

1,098

0

1,000

2,000

3,000

4,000

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

スキャン報告件数の推移（件）

ポートスキャン

脆弱性診断

[80 or 443 開いている]

[開いていない…]

攻撃準備開始

[脆弱性を発見！]

（つづく）

[脆弱性は見つからない]

攻撃対象Webアプリケーションの脆弱性を探る

ポートスキャン

脆弱性診断

[対象のポートが開いている]

[開いていない…]

Exploit

[脆弱性を発見！]

（つづく）

[脆弱性は見つからない]

対象の脆弱性を探る

例えば、対象ネットワークに Heartbleed の脆弱性があるのか？

#nmap -sS -p443 -script=ssl-heartbleed.nse 192.168.177.0/24

Starting Nmap 7.40 ( https://nmap.org ) at 2017-01-25 15:12 JSTNmap scan report for 192.168.177.101Host is up (0.0029s latency).PORT STATE SERVICE443/tcp closed httpsMAC Address: **:**:**:**:**:** (Unknown)

Nmap scan report for 192.168.177.254Host is up (0.0083s latency).PORT STATE SERVICE443/tcp closed httpsMAC Address: **:**:**:**:**:** (Unknown)

Nmap scan report for 192.168.177.109Host is up (0.000055s latency).PORT STATE SERVICE443/tcp open https

Nmap done: 256 IP addresses (3 hosts up) scanned in 23.94 seconds

1. Reconnaissance偵察

7. Objectives目的の実行

Cyber Kill Chain

2. Weaponization武器化

3. Deliveryデリバリ

4. Exploitエクスプロイト

5. Installationインストール

6. Command and Control遠隔操作

スキャン

SEチーム

監視チーム

運用チーム

要件定義・設計・構築

アラート監視・検知

定常運用・障害対応

専用回線または、インターネットVPN

DATAHOTELマネージドホスティング

セキュリティ機器／ソリューション

DATAHOTEL IDC

サーバー

ネットワーク機器

サポートチーム

お客様サポート

専用回線または、インターネットVPNGSX-SOC

ログやアラート等、相互突合／分析

セキュリティ・アナリスト

ログ解析・アラート分析

解析・分析結果のレポートを作成

GSX-SOC 分析システム

DATAHOTEL::SI2 ご提供の例

Cloud

Computing

各種パブリック／プライベートクラウド

https://si2.datahotel.jp

2,275

3,575

994

6,449

212

55

46

0 1,000 2,000 3,000 4,000 5,000 6,000 7,000

フィッシングサイト

Webサイト改ざん

マルウェアサイト

スキャン

DoS/DDoS

制御システム関連

標的型攻撃

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

2016年 カテゴリ別インシデント件数

（件）

1,604

1,501

1,123

968

781

792

649

592

826

1,268

1,065

554

0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

Web改ざん報告件数の推移（件）

2015年：2,814件 → 2016年：3,713件

32%増加

以前の改ざん

最近の改ざん

Web改ざんの今昔

見た目でハッキリと改ざんが

確認できる。

一見、何もされていない様に

見える。

Drive by DownloadsWeb 閲覧者が iframe 等により、

悪意のあるWebサイトにアクセスしてしまう。

ブラウザやアドオンの脆弱性を突かれてしまう。

（Exploit）

【出典】Usage Statistics and Market Share of Content Management Systems for Websites, January 2017https://w3techs.com/technologies/overview/content_management/all

53.327.4

3.4

2.2 13.7

CMSを使っていない WordPress

Joomla Drupal

その他のCMS

CMSのシェア

（％）

【出典】改ざんの標的となるCMS内のPHPファイル（2016-02-25） - JPCERT/CChttps://www.jpcert.or.jp/magazine/acreport-cms.html

CMS名 改ざんされていたPHPファイル

WordPress/wp-includes/nav-menu.php

/wp-admin/includes/nav-menu.php

Joomla!/includes/defines.php

/administrator/includes/defines.php

Drupal /includes/bootstrap.inc

改ざんの標的となったファイルの例

改ざんされた

Webサイト

悪意のある

Webサイト

ユーザーの

ブラウザ

リクエスト

危険なコードを含む

レスポンス

コードを取得

危険なコード

JavaScript により

タグ生成（iframe等）

リクエスト

Drive by Downloads

できるところから対策を始めましょう

• ファイルのパーミッションを適切に設定する。

• 管理ページへのアクセス元IPアドレスを制限する。

• 出所不明のテーマやプラグインを使用しない。

...など「すぐにできる対策」から！

$ md5sum /etc/passwd | cut -b-32

e9007abd63168874704cfc86a9c16c3d

監視も大切

$ md5sum /etc/passwd | cut -b-32

30554d61964f09b61413511b0102499b

攻撃者が不正なユーザーを追加した可能性

「何をもって異常とするか」を管理者は定義しましょう。

攻撃を検知経路の調査

アラート検知後

被害の調査

経路を遮断報告

検知後のフローを明確にしておきましょう。

2,275

3,575

994

6,449

212

55

46

0 1,000 2,000 3,000 4,000 5,000 6,000 7,000

フィッシングサイト

Webサイト改ざん

マルウェアサイト

スキャン

DoS/DDoS

制御システム関連

標的型攻撃

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

2016年 カテゴリ別インシデント件数

（件）

12

6

10

15

0

5

10

15

20

2016-1Q 2016-2Q 2016-3Q 2016-4Q

【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

標的型攻撃報告件数の推移（件）

標的型攻撃メールの

添付ファイル

60%

27%

6%3% 4%

添付（圧縮） 添付（非圧縮）

URLリンク 添付・URLリンクなし

不明

【出典】IPA J-CRAT 標的型攻撃メールの傾向と見分け方https://www.ipa.go.jp/files/000052612.pdf

PDF

文書exe.pdf

文書fdp.exe

RLO（Right-to-Left Override）

ここから先は「右から左に読む」という unicode 制御文字

•アイコン偽装

•ファイル名偽装

60% が圧縮ファイル

添付資料.zip

展開

対策

単一のソリューションで

完全ブロックなんて出来ない。

情報セキュリティも同じ。

でも、どうすると良いのでしょう？

組織で、情報セキュリティ戦略を

確立しましょう。

現場CSIRT

経営層

本ガイドラインは、大企業及び中小企業（小規模事業者を除く）のうち、IT に関

するシステムやサービス等を供給する企業及び経営戦略上 IT の利活用が不可欠

である企業の経営者を対象として、サイバー攻撃から企業を守る観点で、２．経

営者が認識する必要がある「３原則」、及び３．経営者が情報セキュリティ対策

を実施する上での責任者となる担当幹部(CISO（最高情報セキュリティ責任者：

企業内で情報セキュリティを統括する担当役員）等)に指示すべき「重要１０項

目」をまとめたものである。

【出典】サイバーセキュリティ経営ガイドラインを策定しました（METI/経済産業省）http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html

サイバーセキュリティ経営ガイドライン

CISO Chief Information Security Officer

情報セキュリティと、セキュリティ方策全体の監督・統括を行う。

情報セキュリティ戦略で事業の優位性を築く。

58%

42%

はい いいえ

46%

54%

はい いいえ

【出典】旅行会社の情報保護、大手と中小の取り組みに開き－観光庁調査 | 旅行業界 最新情報 トラベルビジョンhttp://www.travelvision.jp/news/detail.php?id=73624

情報セキュリティを統括する責任者（CISO等）は存在するか。

大企業 中小企業

Computer Security Incident Response

Team の略で、「シーサート」または「シーエ

スアイアールティ」と読みます。

「コンピュータセキュリティインシデント」に関

する報告を受け取り、調査し、対応活動を行う組

織体の名称です。

CSIRT

インシデントへの対応

情報管理やシステム運用に関して

保安上の脅威となる事象

Incident?

インシデントを確認

インシデントの原因を調査

被害の調査

解決策の立案実施

CSIRTの基本的なフロー

【出典】航空事故調査から学ぶ【4】～アクシデントでなくインシデントから学べ！｜三谷流構造的やわらか発想法｜ダイヤモンド・オンライン

http://diamond.jp/articles/-/32863

ハインリッヒの法則

１

ヒヤリ・ハット300

軽微な事故・災害29

重大な事故・災害1929年 ハーバード・ウイリアム・ハインリッヒ

が論文で発表した。

ある工場で発生した労働災害 5,000件余を調べた

結果、導き出した法則。

インシデントの対策に活かしましょう。

48%

47%

5%

はい いいえ 回答なし

46%

54%

はい いいえ

情報セキュリティにかかわる担当部署や CSIRT は存在するか。

【出典】旅行会社の情報保護、大手と中小の取り組みに開き－観光庁調査 | 旅行業界 最新情報 トラベルビジョンhttp://www.travelvision.jp/news/detail.php?id=73624

大企業 中小企業

情報セキュリティ戦略の立案について、

現場で出来ること。

1. Reconnaissance偵察

7. Objectives目的の実行

Cyber Kill Chain

2. Weaponization武器化

3. Deliveryデリバリ

4. Exploitエクスプロイト

5. Installationインストール

6. Command and Control遠隔操作

対策 A. 検知 B. 拒否 C. 中断 D. 低下 E. 惑わす

1. 偵察 攻撃者に情報を与えない Web分析 Firewall / ACL ユーザー教育 虚偽の資料

2. 武器化 エクスプロイトコード、

マルウェアへの対応

IDS IPS アプリ数の削減

3. デリバリ マルウェアが添付された

メール、悪意のあるURL

へのアクセスを妨害

慎重なユーザー プロキシ

フィルター

サンドボックス

4. エクスプロイト 脆弱性を突く攻撃からの

防御

ホストIPS バッチ対策 ホストIPS 最小権限

5. インストール マルウェアをインストー

ルさせない

ホストIPS アプリの

ホワイトリスト

ウイルス対策 エンドポイント型

サンドボックス

6. C2 C2との通信を検知・遮断 ホストIPS Firewall / ACL IPS

7. 目的の実行 外部への情報の持ち出し

を妨害

ログの監視 リソースのACL 通信の遮断 ファイル暗号化

【出典】紙とペンで見つけていくセキュリティ対策の落とし穴 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1608/02/news013.html

見える化テンプレートで、見える化してみましょう。

守るということ。

護られているということ。

情報セキュリティ分野の第一人者と

して、急増するハイテク犯罪やサイ

バーテロに対抗しうる、社会基盤の

構築、企業の情報管理体制の強化支

援に取り組みます。

安全・安心のITインフラで

ビジネスを強力にサポートします。

ITインフラのプロフェッショナルとして、

より高性能・高品質のサービス基盤の提

供に取り組みます。

チームとして、

一緒に取り組みましょう。

Managed & Secured

Hosting Service

DATAHOTEL::SI2

https://si2.datahotel.jp