新しいサイバー攻撃に立向うために - ipawincc プロセスコンピュータ...

新しいサイバー攻撃に立向うために～設計・運用ガイドの紹介～

1

2012年2月23日

独立行政法人情報処理推進機構

技術本部セキュリティセンター

研究員大森雅司

ダウンロード： http://www.ipa.go.jp/security/vuln/newattack.html

Copyright © 2012 独立行政法人情報処理推進機構

目次

サイバー攻撃の実情

サイバー攻撃の変遷

IPAの取組みの紹介

『新しいタイプの攻撃』とは

『新しいタイプの攻撃』の分析

新しい発想に立った対策

Copyright © 2012 独立行政法人情報処理推進機構 2

サイバー攻撃とは

2011年にサイバー攻撃の報道が目立った

3

時期報道

2011/2 中国から欧米エネルギー５社攻撃（毎日新聞等）

2011/3 韓国で大規模ハッカー攻撃大統領府や銀行など４０機関（朝日新聞等）

2011/3 仏財務省にサイバー攻撃、Ｇ２０情報盗まれる（読売新聞等）

2011/4-5 ソニーにサイバー攻撃、個人情報流出１億件超（朝日新聞等）

2011/6 米グーグル：中国からサイバー攻撃米韓政府関係者ら被害（毎日新聞等）

2011/9 三菱重にサイバー攻撃、８０台感染…防衛関連も（読売新聞等）

2011/9 ＩＨＩにもサイバー攻撃日本の防衛・原発産業に狙いか（産経新聞等）

2011/10 衆院にサイバー攻撃議員のパスワード盗まれる（朝日新聞等）

2011/11 サイバー攻撃：参院会館のＰＣ、ウイルス感染は数十台に（毎日新聞等）


ウェブサイトへのサイバー攻撃の発生（2011年4,5月） 1億件を超える個人情報が漏えいし、1ヶ月近くに渡りウェブサービスが停止

自分たちの主張を通すため、政治的に敵対する政府や企業のサーバ等へ

攻撃を加えるグループの存在

自身の主張を誇示する為、攻撃を予告したあり、成果をインターネット上に公開

攻撃者は、情報共有サイトを通じて攻撃者を募る、攻撃を煽る

攻撃集団大手企業ウェブサイト

攻撃

情報の流出

4

最近のサイバー攻撃の発生状況(1) ～組織のウェブサイトが攻撃集団のターゲットに～


自分たちの主義・主張を誇示する手段としてウェブサイトを攻撃する集団の登場

最近のサイバー攻撃の発生状況(2) ～防衛産業・セキュリティ企業を狙ったサイバー攻撃～

軍需情報を狙った戦略的な多段攻撃（2011年3月～5月） 3月に米EMC社からのRSA SecurIDに関する情報を窃取

5月に米ロッキード・マーティン社に対して、窃取されたRSA SecurID関連情報を悪用した侵害活動が発生

攻撃者の真の狙いは米ロッキード・マーティン社の軍需関連の情報だったと言われている

5

EMC社

ロッキード

マーティン社

攻撃者は、ロッキードマーティン社でＳｅｃｕｒＩＤが使用されていることを事前調査で把握し、軍需関連情報が窃取できると考えた

①RSA SecurID に関する情報を窃取

②RSASecurIDの情報を基に軍需情報を窃取


最近のサイバー攻撃の発生状況(３) ～日本、イスラエル、米国の防衛産業に対する標的型攻撃～

6

① 関係組織の職員のPCがウイルスに感染し、大手総合重機メーカとやり取りしていたメール情報が盗まれた。

② 盗まれたメールを使用され、関係企業に対して標的型攻撃メールを送付された。正規メール送付の約10時間後その関係企業の中に、関係組織に所属する複数の企業宛にメールが送付された。

関係組織へのメール情報を窃取

ウイルス付きのメール

関係組織から窃取したメールを利用して標的型攻撃メールを送付

※複数の報道から導き出したシナリオです。

関係組織

A社 B社

国内大手の総合重機メーカに対するサイバー攻撃（2011年9月）


（被害）事象：ウイルスは広域に社内拡散事業所数11拠点感染数：83台のPCやサーバ外部通信を行われる

端末に感染したウイルスにより内部サーバへ侵入され、情報を抜き取られる。抜き取られた情報を攻撃者のサーバ（米国サーバ）へ送付される。原発・防衛関連の情報を窃取された。

感染した端末から深部のサーバへ侵入し、情報を抜き取る。

抜き取った情報を攻撃者のサーバへ送付する

※複数の報道から導き出したシナリオです。

組織内に巧妙なルートで侵入され、・組織内拡散・組織内調査・重要サーバへの不正アクセスによる・・・

組織の重要情報（知的財産、顧客情報等）を狙われる事件が顕在化

同社の愛知の拠点のサーバへ情報が集約され送付された

可能性

最近のサイバー攻撃の発生状況（３）～日本、イスラエル、米国の防衛産業に対する標的型攻撃～

7 Copyright © 2012 独立行政法人情報処理推進機構

現状のサイバー攻撃を行う攻撃者の目的

– 情報窃取（サイバー諜報） • 組織の知財や政府の機密等の重要情報

– サービス運用妨害(DDoS) • 組織のサーバや機器等を停止状態に陥らせる

サイバー攻撃の目的

9

抜き取った情報を攻撃者のサーバへ送付する

＜攻撃の手法＞

• 従業員宛に「標的型攻撃メール」を送付し、組織内ネットワークへ侵入し、攻撃者へ情報を送付する

• 公開サーバを攻撃し、個人情報を窃取する

ボットネット

＜攻撃の手法＞

• 攻撃者の制御内にあるボットネットを使用して企業のサーバへ攻撃する

• 攻撃の呼びかけをして標的のサーバを攻撃する

攻撃指令


– 情報破壊 • 組織の重要情報を破壊し運用不能に至らしめる

– 物理的被害（特にクローズ制御系） • 制御装置、駆動部等に誤作動を起こさせ装置自体を破壊。

サイバー攻撃の目的


ウェブサーバ

情報ネットワーク

ウェブサーバ


制御情報ネットワーク

SIMATIC

WinCCプロセスコンピュータ

制御ネットワーク

PLC6ES7-417

SIMATIC

STEP 7SIMATIC

PCS 7

PLC6ES7-315-2


SIMATIC



PLC6ES7-417

SIMATIC

STEP 7SIMATIC

PCS 7

PLC6ES7-315-2

昔と今のサイバー攻撃の絵姿変化...

攻撃者ひとり

体系化（Botnet) 不正侵入・改竄

攻撃組織基盤化

多段化正規サービスの攻撃基盤利用

２００６～

（Botnet技術基盤利用）

PCとホームページ改竄がターゲット

１脆弱性＝１攻撃の時代

攻撃組織間連携

多様な意図性（情報窃取攻撃）

２０００～２００４～２００９～２００６～

出展：亀山社中



２０１０～１１

戦術的攻撃

ウイルス亜種の大量出現

シーケンシャルマルウエア（多段型攻撃）

0-Day脆弱性利用

toolによるウイルス生産

情報システムがターゲット

正規サイト・サービス利用

組織を跨った新しいタイプの攻撃

昔と今のサイバー攻撃の絵姿変化... サイバー攻撃の変遷～攻撃者像や攻撃の目的も変わってきている～


個人の攻撃者

・いたずら目的

・技術力の誇示

犯罪集団

・金銭目的

・クレジットカード

情報、個人情報

の窃取

諜報的活動

(サイバースパイ)

・政府・企業の機密情報の窃取や妨害行為

が目的

共通思想的集団

(ハクティビスト)

・自分達の主義・主張に反する政府や企業を攻撃

いたずら目的顕示欲の誇示

金銭目的（犯罪）サービス妨害（嫌がらせ）

スパイ・諜報活動機密情報の窃取

攻撃者1人セキュリティ技術者

グループ犯罪者

国家？インターネット呼掛け

攻撃目的と攻撃組織の変化

昔と今のサイバー攻撃の絵姿変化... サイバー攻撃の変遷～攻撃に対するインパクトの変化～


攻撃によるインパクトが、１つの組織に留まらず、国家や社会生活を巻き込んだ問題になってきている

インパクトの変化ウイルス感染 ⇒ PC数台の被害

個人情報流出 ⇒ 企業の社会的責任

知的財産情報の窃取 ⇒ 企業の競争力低下

軍需情報・外交情報 ⇒ 国家の危機管理問題へ

制御機器のシステム停止 ⇒ 都市機能、交通機能の麻痺

攻撃

企業の不祥事企業競争力低下社会生活への影響懸念

IPAの取組みの紹介～きっかけは、IPAを騙った標的型メール～

IPAを語った標的型メールが発見 (2008)

大手総合重機メーカへの攻撃で使われた標的型メールと同様


2

3

4

1 メールの受信者が興味を持つと思われる件名

送信者のメールアドレスが信頼できそうな組織のアドレス

件名に関わる本文

本文の内容に合った添付ファイル名

5

6

添付ファイルがワープロ文書やPDF ファイルなど

②に対応した組織名や個人名などを含む署名

15

状況把握

・注意喚起の発信・技術白書への掲載

ウイルス標的型メール

IPA

安心安全相談窓口

脅威分析

分析レポートの公開

対策方法提示

対策・チェックツールの提供

・標的型攻撃解析ツール

・MyJVN バージョンチェッカ

新たな脅威

IPA

ツール開発・ガイド検討

現状に則した情報発信


・脅威の分析と対策レポート vol.1～6まで公開

16

標的型メールにおける対応体制の整備（2008.9 ～）標的型メールの受付け窓口の設置

定期的な分析・対策レポートの発行とツールの提供

IPA

研究会・委員会など

脅威の分析や脆弱性チェックする為のツールは整備できたが、具体的に実害を防ぐ対策を打出すことが課題であった


IPAの取組みの紹介～様々な分野の専門家が集結した研究会の発足～

IPA「脅威と対策研究会」（2010.12 ～） SIベンダ、セキュリティベンダ、大学関連等の有識者で構成

「新しいタイプの攻撃」に関する攻撃の特徴の分析および対策の検討等を行う

新しい脅威

A社

Z社

大学・研究組織

IPA

検体

外部

知見ある人

IPA

脅威と対策研究会成果・アウトプット

① 注意喚起脅威の注意喚起

② 解説資料脅威の解説資料

③ 脅威パターンと対策セット

③脅威パターンと対策セット1.ベース資料作成RMから抜粋とIPAとして公開できる形式に整理(1)どのようなものか決定(2)どう作成するか

ドキュメント作成者決定IPA非常勤（Sier?）

(3)レビュー＆FIX

2.新しい脅威パターン等追加(1)更新

IPA

ツール

ツール

ツール

A社の知見

Z社の知見

組織の知見

インシデント

予兆

知見集約

知見の連携の場

外部有識者

IPA

・・・

ツール

IPAの知見

ツール

2010年12月公表：

IPA テクニカルウォッチ

『新しいタイプの攻撃』に関するレポート

2011年8月公表：

「新しいタイプの攻撃」の対策に向けた

設計・運用ガイド

研究会アウトプット


2011年11月公表：

改訂第二版の公開


設計・運用ガイドの公開

『新しいタイプの攻撃』の対策に向けた設計・運用ガイド 2011/8/1 リリース

～Stuxnet(スタックスネット)をはじめとした新しいサイバー攻撃手法の出現～

http://www.ipa.go.jp/security/vuln/newattack.html

＜内容＞エグゼクティブサマリ（1章）

経営層を対象として、「新しいタイプの攻撃」の解説とその対策における考え方を記載。

「新しいタイプの攻撃」の問題と背景（2章）「新しいタイプの攻撃」への対策の提案・指示等を行うプロジェクト管理者を対象として、「新しいタイプの攻撃」の概要の解説と、対策を行う際の設計における考え方を記載。

「新しいタイプの攻撃」への対策（3,4章）「新しいタイプの攻撃」への対策を実際に設計する方、実装する方を対象として、「新しいタイプの攻撃」を5つのパターンに分類し、それら5つのパターンに有効な6つの対策を提示。

18

守るべきもの

情報管理分野サイバ攻撃分野

脅威とリスクは組織の外から脅威とリスクは組織の内から

組織機能

ビジネス

信頼等

脅威分野②「情報窃取」

脅威分野①「破壊」

情報管理サイバー攻撃防御

メガリーク、知財保護（人的、組織管理）の問題

脅威分野③「内部犯罪（情報漏洩）」

情報セキュリティの脅威分野

本ガイドで扱う「脅威」の対象

本ガイドで扱う「脅威」の対象情報セキュリティの脅威分野

本ガイドはサイバー攻撃分野のうち、内部に入り込んで情報を窃取する分野を取り扱う

本ガイドの分野


『新しいタイプの攻撃』とは？

『新しいタイプの攻撃』の定義(ＩＰＡ)：

ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、

ソーシャル・エンジニアリングにより特定企業や個人を狙った

攻撃の総称。

攻撃の特徴

標的組織と業務上関係のある人物を装い（ソーシャル・エンジニアリング）メール送付し、システム内部に忍び込む。

ITシステムの脆弱性(既知・未知)を突き、ウイルスに感染させる

外部の指令サーバ（C&Cサーバ）との通信することによる、新たなウイルスを呼び込む

個別システムに特化した攻撃


個々の攻撃が防御システムを回避するように巧みに組合わ

さり、攻撃目標に合わせて設計されている

21

新しいサイバー攻撃の出現『新しいタイプの攻撃』

これらの攻撃は、海外では「APT(advanced persistent threat：高度かつ継続的な脅威)」などと呼ばれる攻撃手法であり、IPAでは『新しいタイプの攻撃』と呼称した

Google、Yahoo! を狙った攻撃 (Operation Aurola) Google,Yahoo!,Symantec,Adobe System など30余りの企業を標的とした攻撃

ソフトウェア構成管理などの知的財産を窃取する

Googleの中国撤退騒動など、国際的な問題にまで発展

イランの原子力施設を狙った攻撃の発生(Stuxnet) 原子力施設の制御システムが攻撃のターゲットになったことで世界的に注目

多様な感染手段と通信機能を持ち、ほとんどが未知の脆弱性を悪用していた

攻撃者は、Windows OS/電動制御装置など幅広い知識を有している

攻撃を成功させるために、証明書の秘密鍵を盗むなど、幅広い諜報活動の跡が窺える

米中央軍ネットワークにおけるウイルス感染（2008年）中東の基地にあったノートＰＣがウイルスに感染し、米中央軍のネットワークに入り込んだ

ウイルスは検知されないまま機密システムと非機密システムの両方に広がり、外国の支配下にあるサーバーに作戦計画が渡ってしまう状態であった

本件を契機にサイバーディフェンス戦略の見直しが進められた


『新しいタイプの攻撃』の動向～このような事件が世界中で起こっている～


McAfee社が、2011年8月に公表した資料「世界14カ国、72組織をターゲットにしたOperation Shady RAT (McAfee)」 http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1275

国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガス田開発に関する詳細な調査結果、ドキュメントストア、契約書、システム設計図面などが窃取

国攻撃数国攻撃数

米国 49 インドネシア 1

カナダ 4 ベトナム 1

韓国 3 デンマーク 1

台湾 3 シンガポール 1

日本 2 香港 1

スイス 2 ドイツ 1

英国 2 インド 1

2006年から2010年までの攻撃対象国

機密・知的財産情報金銭情報

業種攻撃数

政府・行政機関 22組織

工業関連 6組織

通信関連 13組織

軍需関連 13組織

金融関連 4組織

その他 12組織

『新しいタイプの攻撃』対策の難しさ

攻撃が検知できない

ウイルスの通信は、HTTPなどオフィス環境で使用する通信と同じため、攻撃を検知することができない

攻撃者がシステムの状況に応じて攻撃方法を変える攻撃者が送り込むウイルスがスパイ活動を行い、内部のシステム状況

に応じて、攻撃を仕組んでくる

アカウント・パスワード情報などのセキュリティを確保する上で前提となる情報が攻撃者の手に渡り、セキュリティシステムが無効化される

巧みなソーシャルエンジニアリング

事前調査段階で窃取した情報が標的型メールとして使用されるため、標的型メールと気付けない


ID/PW

次は何を攻略しようかな

こんなの見つかったぞ

標的型攻撃メールに使用されるテーマや送信者

25

＃送信者メールのテーマ特徴見分け難易度

１省庁関係者 (実在人物)

・イベントのお知らせ・報告書の送付・時事ネタに応じた喚起

・ファイルを開かせそうな文面・実際の公開文書を模倣した文面・不完全な日本語

○ ２省庁関係者

(実在人物)

・震災に乗じたお知らせ・放射能に関する連絡・計画停電に関する連絡

・受信者が見ないと被害を受ける危険性を示唆する内容・受信者の冷静な判断を狂わせる △

３取引先・同僚 (知人)

・取引に関する情報・業務に関する連絡・当事者しか知らない情報

・事前攻撃にて窃取された情報やメール文面が使用される・普段の業務メールに紛れてくるため、標的型攻撃メールと見分けることが極めて困難

×

人間の判断で、標的型攻撃メールと見分けるのは、極めて困難な状況。見分けられないことを前提とした対策が必要

『新しいタイプの攻撃』対策の難しさ

～初期攻撃は、必ず内部に潜入できるように作られている～


情報セキュリティにおける攻撃の分類～新しい対策が求められている～


各対策のカバー範囲

新しいタイプの攻撃

不特定目標攻撃サイバー攻撃

標的型攻撃

その他の攻撃

情報セキュリティ例：DDoS、ホームページ改ざん等

従来対策でカバー

新対策でカバー

コンプライアンス強化で対処

人間による情報窃取・誤操作

例：内部告発のための持出、メール・ファックス誤送信等

情報管理

一口に標的型攻撃といっても、攻撃目的や手法などの違いがあり、対策方法も異なってきる

従来の対策でカバーできなくなった

システム調査段階

攻撃最終目的（窃取）の遂行

ウイルスを使って深部に空けたバックドア（裏口）を用いて攻撃基盤を構築し、システムをハッキング（情報漏洩）

～検知をすり抜け、素早く次のステップに移行～

初期潜入段階

初期潜入に成功後、バックドアを設置まで素早く数分。その後はバックドアを使ってマルウエアの機能を拡張し、攻撃基盤を構築。

事前調査

28

攻撃の特徴と対策検討のポイント

事前調査

初期潜入段階

攻撃基盤構築段階攻撃基盤構築段階

システム調査段階

攻撃最終目的(窃取)の遂行


～一言で言うと…標的型メールを使ったハッキング～

29

攻撃の特徴と対策検討のポイント


攻撃者が情報システム内部からハッキングしてるのと同じ状態になる。

標的型メールによって作られた通信経路（バックドア）

発見が非常に困難！

内部を自由に探索！何でも出来る

情報窃取、情報破壊、組織の動向モニター etc..

元々、情報システムは境界内部は安全ゾーン思想で設計してある。


「新しいタイプの攻撃」の流れを分析してみると共通的な攻撃手法があることが分かった

段階攻撃内容特徴

第0段階 [事前調査段階]

攻撃戦略の検討・攻撃ターゲットの環境調査・関係機関に対する情報窃取活動

第1段階の初期潜入を確実に行うための関係者しか知らない情報が狙い

第1段階 [初期潜入段階]

各種初期攻撃・標的型攻撃メール添付ウイルス・ウェブ改ざんによるダウンロードサーバ誘導・外部メディア(USB等)介在ウイルスなど

入口の対策をすり抜け、システム深部に潜入素早く次の段階へ移行。攻撃手法は使い捨て

第2段階 [攻撃基盤構築段階]

バックドアを使った攻撃基盤構築・ウイルスのダウンロードと動作指示・ウイルスの拡張機能追加

構築した攻撃基盤は発見されない。構築した攻撃基盤は再利用される。

第3段階 [システム調査段階]

（1）組織のシステムにおける情報の取得（2）情報の存在箇所特定

時間をかけて何度もしつこく行う。

第4段階 [攻撃最終目的の遂行段階]

（1）組織の重要情報(知財・個人情報等)の窃取（2）組織情報(アカウント等)と基に、目標を再設定

何度も攻撃を行うための情報窃取。組織への影響を与える情報窃取。

共通攻撃手法


『新しいタイプの攻撃』のイメージ

ペイロード部(個別攻撃)

ランチャー部(共通攻撃)

個別攻撃部(特定のシステムを標的とする)

共通攻撃部(システムへの侵入等が目的)ランチャー部は共通の攻撃手法で作成されている。

ランチャー部の対策に視点を！

状況に応じた脅威の判断が必要

『新しいタイプの攻撃』をロケットの例で考えてみると、システムへの攻撃に特化したペイロード部と特定のシステムに侵入する為の共通仕様部分のランチャー部に分けることができる。

制御システム動作妨害用

（Stuxnetの場合）

ソースコード窃取

（OperationAuroraの場合）

付け替え可能

31

(個別攻撃手法)

(共通攻撃手法)


新しい発想で対策を考えてみよう

コンプライアンスポリシ、セキュリティ基準類

インシデントレスポンス、フォレンジックス解析

注意喚起、情報共有、脆弱性管理

「脅威を入れない」の思想で対策

コスト的にも、技術的にも..限界

「脅威は入っても、実害は防ぐ」の思想で対策

「脅威を入れない」対策

「実害を防ぐ」対策

侵入されることを前提とした対応

従来の対策新しい発想の対策


新しい発想による対策の考え方

A社

A社

入口対策

入口対策出口対策

知財・個人情報

等重要情報の窃取

多くの攻撃は防げるが、すり抜けてしまう

たとえ入口で防げなくても、窃取を防ぐ対策

組織への影響（知財等の情報窃取やシステムの破壊）を回避する必要。

入口対策では防ぎきれない場合がある。

出口対策により

たとえ攻撃されても、組織への影響を回避することが可能になる

組織への影響と入口対策・出口対策

入口対策と影響

出口対策イメージ

入口と出口に二重のセキュリティ対策を外部からの脅威をブロックする「入口対策」

情報が外部に持出されない為の「出口対策」


出口対策（設計対策）とは？

設計対策のポイント外部通信の検知と遮断することによる攻撃基盤構築の阻止

ウイルスのシステム内拡散防止による攻撃の最終目的への到達回避

共通攻撃手法部分

ウェブサーバ


ウェブサーバ


発見しにくく静かな（密かな）攻撃


SIMATIC



PLC6ES7-417

SIMATIC

STEP 7SIMATIC

PCS 7

PLC6ES7-315-2


SIMATIC



PLC6ES7-417

SIMATIC

STEP 7SIMATIC

PCS 7

PLC6ES7-315-2

ＩＴオープン系クローズ系

２３

４

１

番号共通攻撃手法機能役割

① httpバックドア通信機能ウイルスと攻撃者のサーバとの通信を確立

② システム内拡散機能システム内の情報窃取の効率化のため、多くの端末に感染させる

③ 一斉バージョンアップ機能システム内のウイルスに効果的な攻撃を行わせる機能を持たせるようにする

④ USB利用型情報収集機能クローズ系システムの情報を収集するためUSB等にそのような機能のウイルスを入れ込む

共通攻撃手法を止める対策（出口対策）を


8つの出口対策（設計対策）を行い、バックドア検知、ウイルス拡散を防止する


対策実装手法区分

① サービス通信経路設計 1.ファイアウォールの外向き通信の遮断ルール設定 2.ファイアウォールの遮断ログ監視

A.保守等作業ですぐできる対策

② ブラウザ通信パターンを模倣するhttp通信検知機能の設計

1.httpメソッド利用バックドア通信の遮断

B.システム設計時に見直すべき対策

③ RATの内部proxy通信(CONNECT接続)の検知遮断設計

1.RATのCONNECT確立通信の特徴を利用した、内部proxyログでの監視


④ 最重要部のインターネット直接接続の分離設計

最重要部がインターネットへ直接接続しないようにVLAN等で設計


⑤ 重要攻撃目標サーバの防護

1.ADを管理する管理セグメントを防護する。 2.利用者から見えるADのサービスに対するパッチ当て。


⑥ SW等でのVLANネットワーク分離設計利用者セグメントと管理セグメントを分離設計する等


⑦ 容量負荷監視による感染活動の検出スイッチ等の負荷やログ容量等における異常検知を行い、セキュリティ部門と連携する


⑧ P2P到達範囲の限定設計 ③④の対策に加え、不要なRPC通信の排除を目的としたネットワーク設計


■(黄色)はバックドア通信を止める対策 ■(青色)はシステム内拡散等を止める対策

37

出口対策例（設計での対策）

① サービス通信経路設計の効果

FWでプロキシ経由以外の通信を遮断することで・・・ TCPベースの独自プロトコルとHTTP（プロキシ対応しない）通信の46％のバ

ックドア通信を遮断可能。

42%

28%

26%

4% バックドア通信種別

TCPベースの独自プロトコル

HTTPS

HTTP（プロキシ対応）

HTTP（プロキシ対応しない）

データ提供：トレンドマイクロ

※2011年4月～10月国内で収集標的型攻撃メールに添付されていたと思われるウイルス50個のバックドア通信サンプル


出口対策の適用例


現場で活用できる資料の提供(1)

ブラウザ通信パターンを模倣するhttp通信検知機能の設計

サービス通信経路の設計最重要部のインターネット直接接続の分離設計

SW等でのVLANネットワーク分離設計

研究会に参加するベンダの知見から実用的に活用できる設計情報を提供


現場で活用できる資料の提供(2)

各チーム毎が各工程毎に実施すべき事項とチーム間で連携すべきポイントをリンク


[1] 対策要件定義 [2] 設計 [3] 製造（実装） [4] テスト [5] 運用

開発チーム

業務APP 開発

業務要件整理機能概要機能方式プロセス設計

APP開発 APP単体動作業務動作確認

業務運用サポート

業務インフラ

インフラ要件整理非機能要件整理全体ネットワーク構成図作成

基本設計方式設計 HW/SW設計環境設計

環境構築基盤動作確認基盤サポート

セキュリティ機能

(A)目的の明確化 (B) 脅威タイプの分類 (C) 共通脅威ﾊﾟﾀｰﾝ (D) 設計方針の検討 (E) 対策要件の決定

基本設計方式設計 HW/SW設計環境設計

環境構築設計動作の検証監視／分析

工程毎の成果物

要件定義書基本設計書

環境設計書（デザインシート等）

防御テストシナリオ防御テスト結果確認

運用設計書（運用前提等）

運用手順書

運用設計書（組織間連携等）

対策の考え方の整理

他組織の脅威をそのまま自組織の脅威に当てはめて考えるのではなく、自組織の影響を分析して対策することが重要

攻撃による組織への損失を見極めましょう何が発生すると組織にとって脅威なのか。ウイルス侵入ではなく、情報の窃取

同じ攻撃であっても、環境や組織の形態によって脅威は変わってくる

システム全体を見渡したトータルな対策一部分の対策では対策に漏れや、効率的・効果的な対策が行えなくなる

入口対策に偏らず、出口対策にも視点を当てたバランスの取れた対策が重要

組織の運用形態に合った対策をいくら万全のセキュリティ対策設備を整えても、運用ができなければ効果なし

自分達で運用できることを念頭においた対策検討が重要

41

入口対策出口対策



今後、求められる対策

（前提）サイバー攻撃のイメージと問題が組織で共有出来てるか？

（前提）まず、「サイバー攻撃による影響」を把握する

現場だけではなく、管理者を含めた把握が必要

◆サイバー攻撃の現状サイバー攻撃による影響は、今や単なる「ウイルス感染」ではない

組織の影響は「機密情報の情報窃取」や「システムのサービス不能」である

◆サイバー攻撃の現実サイバー攻撃は「攻撃者優位」：対策を立ててもそれをすり抜けられる手法が出現

防御側が、攻撃者の現状を把握していなければすり抜けられてしまう

●組織の対応は現場の一部専門家だけ把握している状況からの脱却

セキュリティ技術だけではなく、関連分野含めて全体的な要素を加味する必要

今後、求められる対策


橋渡し不在

＋

脅威アナリスト製品プロダクト担当

プロジェクトマネージャ（運用者含む）

セキュリティエンジニア必要な機能の洗い出し、最適化

情報システムは、各分野の専門家が連携できておらず、システム全体の脅威を把握できずにいる

全体像が分かることにより、対策のポイントが見えてくる

出展：亀山社中


IPAの取り組み：官民連携によるサイバー攻撃への対応

サイバー情報共有イニシアティブ J-CSIP

おわりに

IPAは、安心安全な情報システム、社会インフラの実現を目指します

独立行政法人情報処理推進機構技術本部セキュリティセンター http://www.ipa.go.jp/security/index.html http://www.ipa.go.jp/security/vuln/index.html

45

ご清聴,ありがとうございました


http://www.ipa.go.jp/security/index.html

http://www.ipa.go.jp/security/vuln/index.html

新しいサイバー攻撃に立向うために - ipawincc プロセス コンピュータ...

Documents

新しいサイバー攻撃に立向うために - ipawincc プロセスコンピュータ...