高度標的型攻撃対策に向けた システム設計ガイド -...
TRANSCRIPT
高度標的型攻撃対策に向けた システム設計ガイド ~感染することを前提とした「防御グランドデザイン」 に向けたシステム設計の勘所~
2015年5月 独立行政法人情報処理推進機構
技術本部 セキュリティセンター
研究員 佳山こうせつ
情報セキュリティEXPO
Copyright © 2015 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
対策の考え方
システム設計策による内部対策
最後に
2
Copyright © 2015 独立行政法人情報処理推進機構
セキュリティ脅威の変遷 ~やるべき対策が多く複雑化した時代へ~
主な対策の軸足
コンピュータウイルス(マルウェア)対策
不正アクセス対策
情報漏えい対策
内部統制対応
出口対策による監視の強化
緊急対応体制
高度標的型 攻撃対策
ウイルス蔓延事案
省庁サイト改ざん
個人情報保護法施行
金融商品取引法改訂
サイバー空間をめぐる攻防
防衛産業を狙ったサイバー攻撃
止まないサイバー攻撃と被害報道
3
Copyright © 2015 独立行政法人情報処理推進機構
サイバー攻撃の報道事例
時期 報道 2009/12 ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 必要なサービスがつかれる
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起 2011/4-5 ソニーにサイバー攻撃、個人情報流出1億件超 (朝日新聞等) 2011/9 三菱重工にサイバー攻撃、80台感染…防衛関連も (読売新聞等) 2011/10 衆院にサイバー攻撃 議員のパスワード盗まれる (朝日新聞等) 2011/11 サイバー攻撃:参院会館のPC、ウイルス感染は数十台に (毎日新聞等) 2012/1 JAXA:職員のパソコン感染、無人補給機情報など流出か (毎日新聞等) 2012/2 特許庁、トロイの木馬型感染…メール情報流出か (読売新聞等) 2012/6 パソコン5台、ウイルス感染か=外部サイトと通信-原子力安全基盤機構(時事通信) 2012/11 JAXA、ロケット設計情報流出か PCがウイルス感染 (朝日新聞等) 2012/12 三菱重工もウイルス感染 宇宙関連の情報流出か(産経新聞) 2012/12 原子力機構PCウイルス感染…告発情報漏えい?(読売新聞) 2013/1 農水機密、サイバー攻撃…TPP情報など流出か(読売新聞) 2013/3 韓国の1万6000台のATM停止、銀行業務PC停止、複数の放送局システム障害 2013/3 過去最大規模のDDoS攻撃が発生、ピーク時には300Gbps以上のトラフィック 2013/8 「やり取り型」サイバー攻撃メールの再発を確認(IPA) 2014/1 動画再生ソフト「GOMプレーヤー」更新で感染,(読売新聞) 2014/5 当機構のサーバと外部との意図せざる通信の可能性について(日本貿易振興機構(JETRO)) 2014/11 ソニーピクチャーズ、サイバー被害 北朝鮮を疑う声も(朝日新聞) 2014/12 隣人宅のルーター使いウイルス送信、不正送金図った疑い(朝日新聞) 2015/2 首都大学東京における個人情報が格納されたNASを踏み台にした学外への多量メール送信 2015/3 複数サイト改ざん、「イスラム国」のマーク表示(読売新聞) 2015/3 Using Baidu 百度 to steer millions of computers to launch denial of service attacks
Copyright © 2015 独立行政法人情報処理推進機構
さらに、いろいろな報道が ~整理が必要な時代に~
米中首脳会談 不正アクセス事案
情報漏洩事件
ミサイル技術の窃取
これってみんな同じ 情報セキュリティ?
5
Copyright © 2015 独立行政法人情報処理推進機構
セキュリティにおける領域の整理 ~一言にセキュリティと言っても、視点や対象は様々~
国家
組織
集団
個人
自己満足・信念 経済的利益 信仰・国防
国家危機管理
興味本位
ハクティビズム (抗議活動)
ネット被害
サイバーインテリジェンス
サイバー 犯罪
サイバー テロ
2ちゃんねらー
Anonymous
各国諜報機関
紅客集団
★重要インフラ ★官公庁
★個人情報漏洩
★フィッシング
★政府サイト攻撃 プロハッカー
★stuxnet
主体(攻撃者)
★なりすまし犯罪予告
★韓国攻撃 システム破壊
目的(攻撃動機)
★バンキング マルウェア
★ITベンダー攻撃
6
参考:金銭目的のサイバー犯罪 ~個人をターゲットにした金銭情報の窃取を目的とした攻撃~
7
サイバー犯罪の実態
被害額 ⇒世界:1,130 億ドル(約11.3兆円)
※1人あたり平均298ドル(¥29,794)
⇒国内:10億ドル (約1,000億円)
被害者数⇒世界:3億7,800万人/年(新生児の2.8倍)
※毎秒12人の被害者
⇒国内:400万人/年
※10秒に1人の被害者
狙われる情報⇒金銭に直結する情報や本人に成りすませる情報
代表的な攻撃例⇒スパイウェア、スピアメール、フィッシングサイト etc
※人を騙してこっそりと金銭に変える
出典:株式会社シマンテック http://www.symantec.com/content/ja/jp/about/presskits/2013_Norton_Report.pdf
Copyright © 2015 独立行政法人情報処理推進機構
Copyright © 2015 独立行政法人情報処理推進機構
参考:金銭目的のサイバー犯罪 ~日本のインターネットバンキングで起きている現実~
不正なポップアップ画面を表示する攻撃 (2012年11月)
※IPAでウイルスの動作確認を行い導き出した結果です。
図:通常のログイン画面(注意書き部分を拡大) 図:偽のログイン画面(注意書き部分を拡大)
ウイルス感染後に 同じURLにアクセスすると
注意書きが 書換わってい
る
利用者は正規のURLにアクセスしている為、不正なページと判断できない
銀行からの注意喚起が隠されてしまう
8
Copyright © 2015 独立行政法人情報処理推進機構 ※IPAでウイルスの動作確認を行い導き出した結果です。
「質問」と「合言葉」を入力してしまうと、情報が窃取されてしまう
ログインすると、利用者が既に設定してある「質問」と「合言葉」の入力を要求する不正なポップアップ画面が表示
参考:金銭目的のサイバー犯罪 ~日本のインターネットバンキングで起きている現実~
9
Copyright © 2015 独立行政法人情報処理推進機構
オンラインバンキングを標的としたマルウェアの検出数が増加
参考:金銭目的のサイバー犯罪 ~日本のインターネットバンキングで起きている現実~
マルウェアの検出件数の推移
出典:「PWS:Win32/Zbot」の国内検出数推移(グラフ:日本MS)
10
出典:2013年、モバイルマルウェアの進化を振り返る (カスペルスキー社ウェブサイトより)
Copyright © 2015 独立行政法人情報処理推進機構
セキュリティにおける領域の整理 ~一言に情報セキュリティと言っても、視点や対象は様々~
国家
組織
集団
個人
自己満足・信念 経済的利益 信仰・国防
危機管理
興味本位
ハクティビズム (抗議活動)
ネットコミュニティ とのトラブル
サイバーインテリジェンス
サイバー 犯罪
サイバー テロ
2ちゃんねらー
Anonymous
各国諜報機関
紅客集団
★重要インフラ ★官公庁
★個人情報漏洩
★フィッシング
★政府サイト攻撃 プロハッカー
★stuxnet
主体(攻撃者)
★なりすまし犯罪予告
★韓国攻撃 システム破壊
目的(攻撃動機)
★バンキング マルウェア
★ITベンダー攻撃
被害が顕在化 しやすい
被害が顕在化しにくい
Copyright © 2015 独立行政法人情報処理推進機構
高度化する侵入の手口 ~ウェブサイト改ざんが急増~
出典:IPA・JPCERT/CC 共同注意喚起
出典:警察庁
12
水飲み場 攻撃なども 侵入に悪用
実際改ざんされてしまっているウェブサイトの氷山の一角
Copyright © 2015 独立行政法人情報処理推進機構
高度化する侵入の手口 ~ウェブサイトとウイルス感染は、密接な関係~
2013年8月のウイルス検知マシン数 Top10
出典:マカフィー株式会社(一部)
上位10の内、半数がウェブ感染型のウイルス
ウイルス感染の主要手口にウェブサイトが悪用される
13
Copyright © 2015 独立行政法人情報処理推進機構
2014年 ゼロデイ攻撃の注意喚起(IPA発信)
高度化する侵入の手口 ~ゼロデイの脆弱性の悪用が増加~
デモ
14
CVE番号 対象 1月 CVE-2013-5065 MS Internet Explorer 2月 CVE-2014-0497 Adobe Flash Player
CVE-2014-0266 MS XML CVE-2014-0295 .NET Flamework CVE-2014-0502 Adobe Flash Player
3月 CVE-2014-0322 MS Internet Explorer CVE-2014-1761 MS Word
4月 CVE-2014-0160 Open SSL(HeartBleed)
CVE-2014-0094 Apache Struts2 CVE-2014-0112
CVE-2014-0113 CVE-2014-0515 Adobe Flash Player
5月 CVE-2014-1776 MS Internet Explorer CVE-2014-1812 MS Internet Explorer CVE-2014-1815 MS Internet Explorer
8月 CVE-2014-0546 Adobe Reader CVE-2014-2817 MS Internet Explorer
9月 CVE-2013-7331 MS Internet Explorer
CVE場号 対象 10月 CVE-2014-6271
Bash(ShellShock) CVE-2014-6277 CVE-2014-7169 CVE-2014-4123 MS Internet Explorer CVE-2014-4148 Kernel Driver CVE-2014-4114 MS PowerPoint CVE-2014-0569 Adobe Flash Player CVE-2014-6352 Windows OLE
11月 CVE-2014-6332 MS Internet Explorer
CVE-2014-6321 Microsoft Secure Channel
12月 (CVE-2014-0580)
Adobe Flash Player
(CVE-2014-0587) CVE-2014-8443 CVE-2014-9162 CVE-2014-9163 CVE-2014-9164
ゼロデイ脆弱性の件数 ・2012年→14件 ・2013年→22件
・2014年→36件
Copyright © 2015 独立行政法人情報処理推進機構
高度化する侵入の手口 ~新脅威 PlugXの出現とその影響~
認証プロキシを突破するPlugX
15
Plug Xの割合 (認証プロキシ突破タイプ) 21% (+4%)
P43
Copyright © 2015 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
対策の考え方
システム設計策による内部対策
最後に
16
サイバー攻撃の背景 ~気づかれないように情報を盗んでいく攻撃者~
17
攻撃の背景
攻撃の目的⇒企業や政府機関の機密情報窃
⇒知的財産情報、組織の活動情報の収集
狙われた情報
国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガス田開発に関する詳細な調査結果、ドキュメントストア、契約書、システム設計図面など
出典:Mandiant M-Trends
業種 攻撃数 航空宇宙・防衛 41組織
エネルギー関係 34組織
金融 26組織
ソフトウェア産業 19組織
法律関係 17組織
メディア・出版 17組織
情報通信 14組織 出典:「東京SOC情報分析レポート 2013上半期」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf
Copyright © 2015 独立行政法人情報処理推進機構
問題の本質を理解しておこう
ウイルス感染? ~攻撃者によるウイルスを使ったリモートハッキング~
ウイルス感染
攻撃者の活動フィールドは、パソコンだけでなくシステム全体におよぶ
内部侵入
18
Copyright © 2015 独立行政法人情報処理推進機構
内部侵入後の挙動
他の端末、セグメントへ侵入
ファイルサーバ/業務サーバへの不正ログイン
プロキシサーバを介した情報の外部への送出
侵入を前提とした対策の課題 ~内部システムの防御は業務システムの運用・設計を中心に~
主に、設計上、運用上の弱点が狙われる
内部侵入後の挙動の理解が重要
主に、脆弱性が狙われる
デモ
19
Copyright © 2015 独立行政法人情報処理推進機構
侵入を前提とした対策の課題 ~ 内部システムの防御は業務システムの運用・設計を中心に ~
0 5 10 15 20 25 30
3.全社的にセグメント分離とアクセス制御をしていますか?
2.プロキシログから不正な通信をチェックしていますか?
1.運用に専用端末を使用していますか
実施している 一部実施している 実施していない わからない 未回答
対策とし
て不十分
IPA CYBER-SECURITY SYMPOSIUM 2014 アンケート結果より 20
Copyright © 2015 独立行政法人情報処理推進機構
テクニカルウォッチの公開(’14.3.28)
21
「攻撃者に狙われる設計・運用上の弱点についてのレポート」
~標的型攻撃におけるシステム運用・設計10の落とし穴~
10の落とし穴 メールチェックとサーバ運用管理端末が同一 分離できていないネットワーク 止められないファイル共有サービス 初期キッティングで配布さえれるローカルAdmin 使いこなせないWindowsセキュリティログ パッチ配布のためのDomain Admin ファイアウォールのフィルタリングルール形骸化 不足している認証プロキシログの活用とログ分析 なんでも通すCONNECTメソッド 放置される長期間のhttpセッション
攻撃に対して意外な弱点となっているシステム設計例を10点挙げ、運用(背景)と対策の考え方を解説
内容を補完
IPAガイド テクニカ
ル ウォッチ
’13.8.29公開
21
Copyright © 2015 独立行政法人情報処理推進機構
22
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設計ガイド(第4版)の公開(’14.9.30)
https://www.ipa.go.jp/security/vuln/newattack.html
Copyright © 2015 独立行政法人情報処理推進機構
23
・新たな分析結果を追加 ・標的型メール攻撃対策を対象
・政府政策に連動 ・内部(攻撃段階)対策に特化 ・新脅威への対策を追加
2011年11月 2013年8月 2014年9月 2011年8月
某事案(9月~)
NISCリスク評価ガイドラインに活用 NISC政策:セキュリティ・バイ・デザイン
2009年~2011年
対策に向けたシステム設計ガイドの歴史
Copyright © 2015 独立行政法人情報処理推進機構
サイバー攻撃の仕組み 全貌整理 ~攻撃者によるウイルスを使ったリモートハッキング~
計画
ここここここここここここここここここ
①計画立案: 攻撃目標選定、偵察
ここここここここここここここここここ
③初期潜入: 標的型メールの送付
④攻撃基盤構築: ・コネクトバック開設 ・端末情報入手 ・ネットワーク構成把握 ⑤内部調査侵入: ・サーバ不正ログイン ・管理サーバ乗っ取り ・他端末への攻撃範囲拡大
⑥目的遂行: ・情報窃取 ・情報破壊
対策できない
ウイルス感染
人が行う不正アクセス
②攻撃準備: メール、攻撃用サーバ準備
24
P26
Copyright © 2015 独立行政法人情報処理推進機構 25
サイバー攻撃の連鎖 ~サプライチェーンの問題~ J-CRATで対応した事案より
・ 標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。 組織内での、多層防御(入口、出口、内部、統括管理)だけでなく、 - 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。
- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。
国
官公庁
公的機関
業界団体 (社団、財団)
重要産業関連企業 取引先企業/組織
攻撃者
①
攻撃者
③
④
凡例 ① 直接攻撃 ② ある組織から上流の組織への攻撃 ③ ある組織から傘下の組織への攻撃 ④ ある組織と関連する組織への攻撃
③ ①
②
③
①
Copyright © 2015 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
対策の考え方
システム設計策による内部対策
最後に
26
Copyright © 2015 独立行政法人情報処理推進機構
効果的な対策の考え方とは?
攻撃の全貌と攻撃者に狙われる弱点を理解し、システム設計に反映する
システム全体でバランスの取れた対策を考える
ポイント
27
Copyright © 2015 独立行政法人情報処理推進機構
標的型攻撃の対策の考え方 ~攻撃の全貌と攻撃者に狙われる弱点を理解し、対策の全体像を押さえる~
攻撃シナリオ
攻撃手口
人が行う不正アクセスマルウェア感染
・ネットワーク分離設計・アクセス権限の最小化・管理者端末の分離・キャッシュPWの禁止
・ウィルス対策ソフト・ファイアウォール・IDS/IPS・セキュリティパッチ
対策
偵察・攻撃準備
内部対策
入口対策エンドポイント対策
出口対策
対策なし
対策は極めて困難
28
P39
Copyright © 2015 独立行政法人情報処理推進機構
攻撃シナリオと対応機器の概要
標的型攻撃の対策の考え方 ~システム全体でバランスの取れた対策を考える~
スパ
ムフ
ィルタ
SPF
次世
代サ
ンドボ
ックス
型フ
ァイア
ウォ
ール
メール
サー
バ
イン
ターネ
ットフ
ァイア
ウォ
ール
IPS/
IDS
次世
代 ウ
ェブア
プリケ
ーシ
ョンフ
ァイア
ウォ
ール
ウェブ
サー
バ
ウェブ
改ざ
ん検
知
ウイ
ルス
対策
ソフ
ト
ゼロ
デイ
対策
ソフ
ト
ウェブ
プロ
キシ
サー
バ
ウェブ
フィル
タリン
グ
次世
代型
ネット
ワー
ク振
る舞
い検
知型
FW/
IDS/
IPS
業務
端末
運用
管理
端末
内部
セン
サー
認証
サー
バ
ファイ
ルサ
ーバ
DBサ
ーバ
監視
サー
バ
ネット
ワー
ク機
器
1計画
立案
2 ○ ○ ○
3
4
5 △ △ ○ □ △ ○
6 ○ △ ○
7 ○ ○ ○ △ △ □ □
8
9端末内のシステム情報を収集
△ ○ □ □
10攻撃ツールのダウンロード
○ △ ○ ○ ○ □ □
11 周辺端末調査 △ □ □ ○
12 ○ □ □ ○
13 ○ □ □ ○ ○ ○
14 ○ □ □
15 ○ ○ □ □
16 □ □ ○
【凡例】 ○:攻撃検知(主観測) △:攻撃検知(補助) □:ログ取得機器 セキュリティ製品 業務機器
リモートコマンド実行
端末情報の収集
C&Cサーバ準備
標的型メール作成
エンドポイント対策
他端末への不正アクセス
入口対策 内部対策
ターゲット周辺の調査
ウェブサイト改ざん、水飲み場サイト構築
No. 対応機器
攻撃手口
バックドア開設・リモートコントロールの確立後
攻撃準備
標的型メール受信
水飲み場サイトアクセス
初期潜入
基盤構築段階
内部侵入・調査
バックドア開設
目的遂行
情報窃取
情報破壊
出口対策
セキュリティ製品中心の対策
システムの運用と設計中心の対策
29
P40
Copyright © 2015 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
脅威の全貌を理解する所から始める
対策の考え方
システム設計策による内部対策
最後に
30
対策に向けたシステム設計ガイド の概要
31 Copyright © 2015 独立行政法人情報処理推進機構
①防御・遮断策 ②監視強化策
攻撃回避を主眼とした設計策
攻撃シナリオをベースに対策
不正アクセス・PW窃取等を防止
早期発見を主眼とした設計策
攻撃者の足跡を発見
トラップを仕掛け、ログ監視強化
攻撃者が歩く経路を少なくする事で、監視
強化にも繋がる システムとセキュリティ機能が連携して、攻
撃者の足跡を残す
P47
Copyright © 2015 独立行政法人情報処理推進機構
32
情報窃取 システム破壊
再侵入
1.計画立案 2.攻撃準備 3.初期潜入 4.基盤構築 5.内部侵入・調査 6.目的遂行 7.再侵入
攻撃シナリオにおける攻撃段階
入口・エンド ポイント対策 (統一基準範囲)
内部設計対策 (出口対策を含む) 攻
撃者
対策セットA
突破①
突破③
突破②
対策セットB
対策セットC
対策セットD
対策セットE
対策セットF
ユーザ端末の感染 コネクトバック通信の施行
コネクトバック通信の確立 ユーザ端末のリモートコントロール
どの対策セットで検知・遮断したかの把握を行う事で、「攻撃がどの段階まで到達した可能性があるか」の判断材料の一つに利用する。
攻撃の入口(段階)の対策 攻撃の内部(段階)の対策
対策に向けたシステム設計ガイド の概要
P51
Copyright © 2015 独立行政法人情報処理推進機構
脅威と対策の関連付け
33
利便性を考慮した運用により、引き起されるリスクを記載
P48
Copyright © 2015 独立行政法人情報処理推進機構
34
対策セットA~C(基盤構築段階) P49
攻撃者が狙うシステム上の弱点 統制目標の概要
対策セットA ネットワーク通信経路設計によるコネクトバック通信の遮断
システム構成とファイアウォールのフィルタリング形骸化。 透過型プロキシ。
ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
対策セットB 認証機能を活用したコネクトバック通信の遮断とログ監視
プロキシの認証機能を活用できてないプロキシ。 ブラウザに認証情報を保存する設定(オートコンプリート機能)。
認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
対策セットC プロキシのアクセス制御によるコネクトバック通信の遮断と監視
プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。 (なんでも通すCONNECTメソッドと放置される長期間のセッション)
CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する。
Copyright © 2015 独立行政法人情報処理推進機構
35
対策セットD~F(内部侵入・調査段階)
攻撃者が狙うシステム上の弱点 統制目標の概要
対策セットD 運用管理専用の端末設置とネットワーク分離と監視
サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用している運用設計。 適切に分離、アクセス制御されていないネットワーク設計。
ユーザ端末に保存されている重要情報(運用管理業務で使われている管理者情報や機微情報など)の窃取を防止して検知する。
対策セットE ファイル共有の制限とトラップアカウントによる監視
WindowsOSにおいてデフォルトで有効になっているファイル共有。 止められないファイル共有。 初期キッティングで配布される共通のローカルAdministrator。 運用管理ツール(タスクスケジューラ、PsExec)と使いこなせないWindowsログ。
攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有機能を悪用した内部侵害拡大を防止する。また、ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する。
対策セットF 管理者権限アカウントのキャッシュ禁止とログオンの監視
ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限のアカウント(DomainAdmin)。
攻撃者に管理者権限のアカウント情報を窃取させない。および、万が一窃取されたときも管理者権限のアカウントの不正使用を検知する。
P50
Copyright © 2015 独立行政法人情報処理推進機構
対策セットA ~ネットワーク通信経路設計によるコネクトバック通信の遮断~
36
ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
P53
システム構成とファイアウォールのフィルタリング形骸化。透過型プロキシ。
Copyright © 2015 独立行政法人情報処理推進機構
対策セットB ~認証機能を活用したコネクトバック通信の遮断とログ監視~
37
認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断および検知する。
P57
プロキシの認証機能を活用できてないプロキシ。 ブラウザに認証情報を保存する設定(オートコンプリート機能)。
Copyright © 2015 独立行政法人情報処理推進機構
対策セットC ~プロキシのアクセス制御によるコネクトバック通信の遮断と監視~
38
CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する
P63
プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。 (なんでも通すCONNECTメソッドと放置される長期間のセッション)
Copyright © 2015 独立行政法人情報処理推進機構
対策セットD ~運用管理専用の端末設置とネットワーク分離と監視~
39
ユーザ端末に保存されている重要情報(運用管理業務で使われている管理者情報や機微情報など)の窃取を防止し検知する
P68
サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用している運用設計。適切に分離、アクセス制御されていないネットワーク設計。
Copyright © 2015 独立行政法人情報処理推進機構
対策セットE ~ファイル共有の制限とトラップアカウントによる監視~
40
攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有機能を悪用した内部侵害拡大を防止する ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する
P75
WindowsOSにおいてデフォルトで有効になっているファイル共有。 止められないファイル共有。初期キッティングで配布される共通のローカルAdministrator。 運用管理ツール(タスクスケジューラ、PsExec)と使いこなせないWindowsログ。
Copyright © 2015 独立行政法人情報処理推進機構
対策セットF ~管理者権限アカウントのキャッシュ禁止とログオンの監視~
41
攻撃者に管理者権限のアカウント情報を窃取させない 万が一窃取されたときも管理者権限のアカウントの不正使用を検知する
P87
ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限のアカウント(DomainAdmin)。
Copyright © 2015 独立行政法人情報処理推進機構
目次
情報システムを取巻く状況
標的型メール攻撃とは
対策の考え方
システム設計策による対策
最後に
42
Copyright © 2015 独立行政法人情報処理推進機構
43 https://www.ipa.go.jp/security/vuln/newattack.html
作成:IPA『脅威と対策研究会』
「高度標的型攻撃」対策に向けたシステム設計ガイド(第4版)の公開(’14.9.30)
P118 ツール一覧
Copyright © 2015 独立行政法人情報処理推進機構
44
サイバー攻撃に対するIPAの取り組み 「サイバーセキュリティと経済 研究会」(経産省) での検討
政策を受けて展開
国内でもここ3年間で攻撃による被害が顕在化、深刻化
標的型攻撃には、多層的な防御が不可欠となっている
Stuxnet
Operation Aurora
RSA
重工被害発覚
政府機関 への攻撃
Titan Rain
国内の政府機関への標的型メールの観測
2003 ~ 2005 2009 2010 2011 2012 ~ 2013
「脅威と対策 研究会」
2014
●METI 「サイバーセキュリティと 経済研究会」
「標的型特別 相談窓口」
2011/8 設計Guide v1
2013/8 設計Guide v3
「情報共有 J-CSIP」
2011/10
2012/4
2010/12
サイバー レスキュー隊 J-CRAT」
5業界の情報共有体制
標的型攻撃が深刻な脅威に
分析レポート 分析レポート
レスキュー試行
*1)
*2)
*3)
システム設計
早期対応
情報共有
2014/9 設計Guide v4
Copyright © 2015 独立行政法人情報処理推進機構
Windows Server 2003のサポートが、2015年7月15日に終了します。 サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。 サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの 影響調査や改修等について計画的に迅速な対応をお願いします。
45
会社の事業に悪影響を及ぼす被害を受ける可能性があります
IPA win2003 検索 詳しくは
またWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします
脆弱性が 未解決なサーバ
脆弱性を 悪用した攻撃
ホームページの改ざん
重要な情報の漏えい
他のシステムへの攻撃に悪用
業務システム・サービスの停止・破壊
データ消去
Windows Server 2003のサポート終了に伴う注意喚起
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター 上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
47