「情報セキュリティ10大脅威2017」...
Post on 16-Apr-2017
944 Views
Preview:
TRANSCRIPT
2017年2月20日
NHNテコラス株式会社 データホテル事業本部
セキュリティ・エンジニア 香取 弘徳
「情報セキュリティ10大脅威2017」 から読み取る
最新セキュリティ傾向とその対策
NHN テコラス株式会社の「ITインフラ・マネージド」を担う事業部門です。
インターネットインフラを安心してご利用頂けますように、セキュリティ強化
に取組んでいます。
東京都新宿区新宿6-27-30
新宿イーストサイドスクエア 13階
https://datahotel.jp
http://www.itmedia.co.jp/author/211284/
ITmediaエンタープライズ
現場エキスパートに学ぶ実践的サイバー攻撃対策塾
DATAHOTEL で、開発業務をしています。
でも、本当は…セキュリティ・エンジニアです。
(専門はWeb セキュリティ)
香取弘徳(かとりひろのり)
【出典】情報セキュリティ10大脅威 2017:IPA 独立行政法人 情報処理推進機構https://www.ipa.go.jp/security/vuln/10threats2017.html
「情報セキュリティ10大脅威2017」 から読み取る
最新セキュリティ傾向とその対策
昨年順位 個人 順位 組織 昨年順位
1位インターネットバンキングやクレジットカード情報の不正利用
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位スマートフォンやスマートフォンアプリを狙った攻撃
3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求などの不当請求 5位内部不正による情報漏えいとそれに伴う業務停止
2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 匿名によるネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 ランク外
10位 インターネット上のサービスを悪用した攻撃 9位攻撃のビジネス化(アンダーグラウンドサービス)
ランク外
ランク外 IoT機器の不適切管理 10位インターネットバンキングやクレジットカード情報の不正利用
8位
昨年順位 個人 順位 組織 昨年順位
1位インターネットバンキングやクレジットカード情報の不正利用
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位スマートフォンやスマートフォンアプリを狙った攻撃
3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求などの不当請求 5位内部不正による情報漏えいとそれに伴う業務停止
2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 匿名によるネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 ランク外
10位 インターネット上のサービスを悪用した攻撃 9位攻撃のビジネス化(アンダーグラウンドサービス)
ランク外
ランク外 IoT機器の不適切管理 10位インターネットバンキングやクレジットカード情報の不正利用
8位
IDDoS
2016年9月
Krebs on Security に 620Gbps と言われる DDoS攻撃
【出典】KrebsOnSecurity Hit With Record DDoS – Krebs on Securityhttps://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
300
620
0
100
200
300
400
500
600
700
2013年
Spamhaus or CloudFlare
2016年
Krebs on Security
(Gbps)
【出典】The DDoS That Almost Broke the Internethttps://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/
miraiLinux で動作するコンピュータを、大規模なネットワーク
攻撃の一部に利用可能な、遠隔操作できるボットにする
マルウェア
OS / ミドルウェアの脆弱性
アプリケーションの脆弱性
ITインフラの脆弱性
設定の不備
脆弱な IoT デバイス
23/TCP
Telnet で
アクセスできるとか...
1,560
1,719
1,611
1,948
3,592
2,980
2,442
1,985
1,526
1,654 1,520
1,098
0
1,000
2,000
3,000
4,000
【出典】JPCERT コーディネーションセンター インシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html
スキャン報告件数の推移(件)
脆弱IoTデバイスを探しているかも
2016年 パスワード 2015年
1 123456 1
2 password 2
3 12345 5
4 12345678 3
5 football 7
6 qwerty 4
7 1234567890 12
8 1234567 9
9 princess 21
10 1234 8【出典】Worst Passwords of 2016https://www.teamsid.com/worst-passwords-2016/
脆弱なパスワード
https://si2.datahotel.jp
昨年順位 個人 順位 組織 昨年順位
1位インターネットバンキングやクレジットカード情報の不正利用
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位スマートフォンやスマートフォンアプリを狙った攻撃
3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求などの不当請求 5位内部不正による情報漏えいとそれに伴う業務停止
2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 匿名によるネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 ランク外
10位 インターネット上のサービスを悪用した攻撃 9位攻撃のビジネス化(アンダーグラウンドサービス)
ランク外
ランク外 IoT機器の不適切管理 10位インターネットバンキングやクレジットカード情報の不正利用
8位
ランサムウェア
マルウェア
不正かつ有害に動作させる意図で作成された
悪意のあるソフトウェアや悪質なコードの総称
マルウェアの一種である。これに感染した
コンピュータはシステムへのアクセスを制
限される。この制限を解除するため、被害
者はマルウェアの作者にransom(身代金)
を支払うよう要求される。
【出典】ウィキペディア日本語版 - Wikipediahttps://ja.wikipedia.org/wiki/
昨年順位 個人 順位 組織 昨年順位
1位インターネットバンキングやクレジットカード情報の不正利用
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位スマートフォンやスマートフォンアプリを狙った攻撃
3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求などの不当請求 5位内部不正による情報漏えいとそれに伴う業務停止
2位
マルウェア関係が上位に
問題の本質は侵入経路?
マルウェア3大侵入経路
• メール添付ファイル
• Drive by Downloads
• 不正なアプリケーションの
インストール
標的型攻撃メールの
添付ファイル
60%
27%
6%3% 4%
添付(圧縮) 添付(非圧縮)
URLリンク 添付・URLリンクなし
不明
【出典】IPA J-CRAT 標的型攻撃メールの傾向と見分け方https://www.ipa.go.jp/files/000052612.pdf
文書exe.pdf
文書fdp.exe
RLO(Right-to-Left Override)
ここから先は「右から左に読む」という unicode 制御文字
•アイコン偽装
•ファイル名偽装
60% が圧縮ファイル
添付資料.zip
展開
Drive by DownloadsWeb 閲覧者が iframe 等により、
悪意のあるWebサイトにアクセスしてしまう。
ブラウザやアドオンの脆弱性を突かれてしまう。
(Exploit)
改ざんされた
Webサイト
悪意のある
Webサイト
ユーザーの
ブラウザ
リクエスト
危険なコードを含む
レスポンス
コードを取得
危険なコード
JavaScript により
タグ生成(iframe等)
リクエスト
Drive by Downloads
不正なアプリケーションの開発
リバース
エンジニアリング
正規コード
悪性コード
リパッケージ
正規アプリケーション 不正アプリケーションカメラ操作遠隔操作
…等
不正なアプリストア
不正なアプリストアから、
悪性コードアプリをダウンロードさせる。
Next-Generation Firewall
Sandbox EndpointSecurity Solutions
+ SOC
VM添付資料.zip
添付資料.zip
Sandbox
仮想マシン上でメールを開き
マルウェアと思われるものを検知
?
一点豪華主義は意味がない
何にしても、費用がかかる...
情報セキュリティ戦略に
合った投資を!
戦略戦争・闘争のはかりごと。
戦争の総合的な準備・計画・運用の方策
【出典】google 辞書
情報セキュリティ戦略
情報セキュリティの総合的な準備・計画・運用の方策
自組織の利益となる様に構築する。
ITインフラ事業者の我々の場合は...
エンドユーザーの幸せから考えてみよう。
エンドユーザー ショッピングサイト運営事業者 データホテルマネージドホスティング
エンドユーザーに安心・安全なお買い物をしてもらえる
ショッピングサイトのITインフラを提供する。
例.
では、ショッピングサイト運営事業者がどうであると、
エンドユーザーに安全・安心を提供できるのだろうか?
1. サイバーセキュリティ経営ガイドラインに準拠する。
2. CSIRTを設置し、活動報告を内外に示す。
3. サービス/組織内システムの多層防御を実施し、
耐性を高めること。
1.サイバーセキュリティ経営ガイドラインへの準拠
組織の共通認識にする。
経営層の把握・理解
【出典】サイバーセキュリティ経営ガイドライン(METI/経済産業省)http://www.meti.go.jp/policy/netsecurity/mng_guide.html
自組織用に最適化した
セキュリティガイドラインを作成する。
用語、システム名、責任者・担当者、
業務フローなどを具体的に記述する。
CSIRT(Computer Security Incident Response
Team、シーサート)とは、コンピュータやネットワー
ク(特にインターネット)上で何らかの問題(主にセ
キュリティ上の問題)が起きていないかどうか監視する
と共に、万が一問題が発生した場合にその原因解析や影
響範囲の調査を行ったりする組織の総称。
2. CSIRT
【出典】CSIRT - Wikipediahttps://ja.wikipedia.org/wiki/CSIRT
CSIRTが活躍するのは
インシデント発生時だけではない。
• 活動報告
• 現場の工夫
• エンドユーザーの安心・安全のための取組み
情報発信
対策 A. 検知 B. 拒否 C. 中断 D. 低下 E. 惑わす
1. 偵察 攻撃者に情報を与えない Web分析 Firewall / ACL ユーザー教育 虚偽の資料
2. 武器化 エクスプロイトコード、
マルウェアへの対応
IDS IPS アプリ数の削減
3. デリバリ マルウェアが添付された
メール、悪意のあるURL
へのアクセスを妨害
慎重なユーザー プロキシ
フィルター
サンドボックス
4. エクスプロイト 脆弱性を突く攻撃からの
防御
ホストIPS バッチ対策 ホストIPS 最小権限
5. インストール マルウェアをインストー
ルさせない
ホストIPS アプリの
ホワイトリスト
ウイルス対策 エンドポイント型
サンドボックス
6. C2 C2との通信を検知・遮断 ホストIPS Firewall / ACL IPS
7. 目的の実行 外部への情報の持ち出し
を妨害
ログの監視 リソースのACL 通信の遮断 ファイル暗号化
【出典】紙とペンで見つけていくセキュリティ対策の落とし穴 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1608/02/news013.html
3.多層防御
SEチーム
監視チーム
運用チーム
要件定義・設計・構築
アラート監視・検知
定常運用・障害対応
専用回線または、インターネットVPN
DATAHOTELマネージドホスティング
セキュリティ機器/ソリューション
DATAHOTEL IDC
サーバー
ネットワーク機器
サポートチーム
お客様サポート
専用回線または、インターネットVPNGSX-SOC
ログやアラート等、相互突合/分析
セキュリティ・アナリスト
ログ解析・アラート分析
解析・分析結果のレポートを作成
GSX-SOC 分析システム
DATAHOTEL::SI2
Cloud
Computing
各種パブリック/プライベートクラウド
ITインフラ事業者の我々の場合は...
1. サイバーセキュリティ経営ガイドラインに準拠する。
2. CSIRTを設置し、活動報告を内外に示す。
3. サービス/組織内システムの多層防御を実施し、
耐性を高めること。
お客様の情報セキュリティ戦略の
実現・運用をサポートすること。
チームとして、
一緒に取り組みましょう。
Managed & Secured
Hosting Service
DATAHOTEL::SI2
https://si2.datahotel.jp
top related