gartnerサミット ver1 0 20150713forprint

Copyright © NTT Communications Corporation. All rights reserved.

当社の運用事例で解き明かす、サイバー攻撃の実際と対策

NTTコミュニケーションズ株式会社

セキュリティ・エバンジェリスト

小山覚

2015年7月14日


目次

1. 企業をとりまくセキュリティ脅威の動向

2. N機構のインシデント事例から学ぶ標的型攻撃の対策

3. 当社の運用事例にみる標的型攻撃への対策

4.当社におけるセキュリティ・リスクマネジメントの見直し

●記載されている会社名や製品名は、各社の商標または登録商標です

2


1.企業を取り巻くセキュリティ脅威の動向

3


リスクの影響度

セキュリティ対策に対する課題認識の変化

「サイバー攻撃」や「重要情報インフラの故障」は重大な悪影響を及ぼすリスク高い！！

サイバー攻撃重要情報インフラの故障

Impact第7位 Likelihood第10位

財政危機

気候変動

水危機

失業

エネルギー価格の高騰国内紛争

大量破壊兵器感染病の蔓延

発生する可能性

(*1)グローバルリスク報告書は全世界及び全産業界に対して重大な悪影響を及ぼす可能性のあるものとして抽出した31のリスクに関する今後10年間の展望について、世界各地の700名以上の専門家に対する調査結果を取りまとめたもの。

出展：「WORLD ECONOMIC FORUM Global Risks 2015 10th Edition」 http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf

・サイバー攻撃の発生する可能性が拡大

・重要情報インフラの故障による影響度が拡大

世界経済フォーラム（WEF）の『グローバルリスク報告書2015年版』(*1)より

インターネットに依存

IoTの進展など

4


社会インフラ、制御系システムの脅威動向

制御システム監視及び、異常検知の手法、事故の体制整備を各社が検討

日本企業でも被害

【インシデントの主な原因】

・スピアフィッシング（標的型攻撃メール）・ウイルス／トロイの木馬・インターネットから組織内ネットワークへの侵入

通信 14.6%

その他 6.2%

IT 5.2%

医療 15.6%

政府機関 15.6% 金融 3.1% 農業 2.1%

水道 14.6%

交通 12.5%

原子力 6.2%

商業施設 7.3% 化学 4.2%

エネルギー（電力・ガス）

32% 79件

最先端/ 軍需産業 27% 65件

（報告件数245件）

（出典）ICS-CERT Year in Review 2014 https://ics-cert.us-cert.gov/sites/default/files/documents /Year_in_Review_FY2014_Final.pdf

5


日本におけるサイバーセキュリティへの取り組み

2014年10月29日：サイバーセキュリティ基本法が成立国や自治体、重要インフラ事業者、民間事業者、個人までサイバーセキュリティ強化

2015年1月9日：内閣サイバーセキュリティセンターが始動

2015年5月25日サイバーセキュリティ戦略本部第2回会合サイバーセキュリティ戦略（案）を決定。経済社会の分野では、「費用から投資へ」と意識改革を推進し、持続的発展を目的としている。

出展：サイバーセキュリティ戦略本部とNISCの位置付けと役割（NISC資料より） http://www.itmedia.co.jp/enterprise/articles/1501/09/news097.html

6


サイバー攻撃の変遷

2000

現在

将来

【目的】【手段】

求められるセキュリティ対策サイバー攻撃

金銭窃取

テロ活動

軍事活動

・Mail添付ウイルス

・サーバー不正アクセス

・USB媒介ウイルス

・ゼロディ攻撃・標的型/APT

・Internet GW/サーバー/クライアントのウイルス対策

・Internet GWの不正アクセス対策 (FW/IDS)

・クライアントから有害サイトへのアクセス制限

・企業内LAN及び利用アプリケーション可視化

・企業内LANに潜む未知のマルウエア対策

・DMZ内各種サーバーの脆弱性診断

愉快犯

・マルウエア配布サイト

■サイバー攻撃はより巧妙化 ⇒ ICT環境に対する攻撃に対し横断的且つ能動的な対策が必要

〈未知のリスクへの対応〉

〈出口対策〉

〈入口対策〉

・NWの異常な振る舞い検知・防御・DDoS攻撃

7


企業に侵入する未知マルウェアの実態

・企業のインターネットGWを通過したマルウェア添付メールをサンドボックスで検知・当該マルウェア検体をほぼ同時にウイルス対策製品で検査

8

平均月間メール通数：13,821,493通平均月間添付ファイル数：422,413件

未知マルウェア添付のメール通数 (AVメーカ4社でチェック)

既知マルウェア添付のメール通数

：1社以上が検知

：４社とも未検知

Firewall

Anti-Spam

Anti-Virus

社内PC

Sandbox

４社AVの最新ﾊﾟﾀｰﾝで検査


Sandboxのしくみ（参考）

・社内ネットワークとは切り離した仮想環境に閉じ込めて、プログラムを実行します・プログラムを実行し、その挙動を監視することで、マルウェアかどうかを判定します・プログラムを複数の種類・バージョンのOS・ソフトウェアで実行します

仮想環境様々なファイル

ファイルの実行

検知

Web, Office,PDFなどファイルを Sand Boxに入れると

複数のOS 複数のOS 複数のOS 複数のOS

マルウェアとしての動作を仮想環境で検知

Sandbox技術を用いて、従来のアンチウイルスソフトやIDS/IPSで検知できなかった未知のマルウェアを検出します “Sandbox“ ＝ “砂場“

Sandboxのここがメリット！

サンドボックスはシグネチャやパターンファイルに頼らないため、 ①未知（ゼロデイ）の脅威が検出可能 ②解析エンジンそのもの（シグネチャ情報）の頻繁なアップデートが不要

9


10

現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、やがて防衛ラインを突破／侵入し攻撃を達成します。

以前の委託業者

わからない

委託業者

ハッカー

退職者

現行の従業員 27%

11%

18%

5%

8%

43% 18%

18%

15%

24%

30%

35%

日本（n=206）グローバル（n=9,329）

日本企業の43%はインシデント発生要因が不明!?

出典：PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査2015」


11

現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、やがて防衛ラインを突破／侵入し攻撃を達成します。

以前の委託業者

わからない

委託業者

ハッカー

退職者

現行の従業員 27%

11%

18%

5%

8%

43% 18%

18%

15%

24%

30%

35%

日本（n=206）グローバル（n=9,329）

日本企業の43%はインシデント発生要因が不明!?

原因不明では根本的な対策はうてない！

絶え間なく繰り返す攻撃はいずれ成功する！

ステークホルダーへの説明責任も果たせない！

出典：PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査2015」


2.N機構のインシデント事例から学ぶ標的型攻撃の対策

一連の対策に、少なくとも8億円の費用がかかる見通し ①番号を変更する人の新たな年金手帳の作成、送付に約4億円 ②専用の電話相談窓口運営に約3億円 ③情報が流出した人への謝罪文の送付に約1億円

（東京新聞 2015年7月7日朝刊より抜粋）

12


個人情報流出の経緯①~⑩（想定を含む）

社会保険オンラインシステム

そのうち55万件にはパスワードによるアクセス制限はされていなかった。

約125万件

②5/8以前、第1弾受信 ⑦5/18、第2弾を複数受信 ⑧5/20、第3弾を複数受信

職員攻撃者

ファイル共有サーバや個人の端末にデータを保存

※2015年7月2日午前9時時点での公開情報に基づく

年金加入者個人情報

厚生労働省などを装ったメールが送信される

作業用にデータを抽出

情報系システム

悪性サイト /C&Cサーバ

③URLクリック

④悪性サイトにアクセス

⑤ウイルス感染＆バックドア

⑥機構内情報が流出

⑨被害拡大

⑩個人情報が流出

外部サーバに情報を保存。一部は、東京都港区の海運事業者の

サーバに保存されていた。

①個人情報を作業用にコピー

13

N機構において、職員の端末が不正アクセスを受け、年金加入者の氏名・年金管理番号など、約125万件（101万人分）の個人情報が流出


時系列から見る改善ポイント

N機構において、職員の端末が不正アクセスを受け、年金加入者の氏名・年金管理番号など、約125万件（101万人分）の個人情報が流出した。

時間事象備考

① 5/8以前個人情報を一般LAN環境にコピー

② 5/8以前標的型と思われる不正メール（第1弾）を1台PCが受信

③ 5/8 特定PCが不正メールにあったURLをクリック

④ 5/8 特定PCが不正サイトにアクセス

⑤ 5/8 特定PCがウイルスに感染、バックドアも？特定PCを隔離

⑥ 5/8～5/18 特定PCから外部に機構内情報が流出

⑦ 5/18～標的型の不正メールが（第2弾）を複数PCが受信警視庁に被害相談

⑧ 5/20 標的型の不正メールが（第3弾）を複数PCが受信

⑨ 5/21～5/23 九州や東京の複数PCで外部との不正通信を確認

5/26 全体で27台のウイルス感染を確認

⑩ 5/28～個人情報の漏えいが確認される INTERNET遮断

6/1 N機構から個人情報漏えいに関する報道発表

セキュリティ規定、従業員教育、定期的な評価など組織的なリスク管理に不備はないか？

１

感染の前兆／兆候を素早く察知し最悪の事態（情報漏えい）を防ぐ対策はとれているか？

２

事故全容の明確化と再発防止策の検討体制はあるか？最悪のシナリオに応じた事業継続性プランはあるか？

４

感染PCを素早く特定し被害範囲を最小化、また原因究明による拡散防止の対策はとれているか？

３

14


インシデント対応ライフサイクルの強化について

15

■ウイルス侵入防止は困難！

■標的型攻撃は潜伏し水面下で攻撃行動を達成する！

・事故前提の対策検討が必要

・インシデント発生を迅速に検知し、被害を最小化、再発防止を徹底する、技術の導入とCSIRT等の体制強化に注力すべき！!

*出典：NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」（マルウェアによるインシデントの防止と対応のためのガイド）の「Figure 4-1. Incident Response Life Cycle」（インシデント対応のライフサイクル）

「人」「技術」「プロセス」三位一体となった体制強化が必要

当社採用中の対策をご紹介

準備検知と分析

封じ込め根絶と復旧

事故発生後の活動


Preparation（準備）とは・・・

■インシデントに対する個人と組織の役割および責任を規定 ■インシデント対応ポリシーと手続きを策定 ■トレーニングや演習の定期的な実施および評価

■ICTに関する幅広い知識、運用システム構成の理解 ■マルウェア解析、感染の手口、検知ツールの理解 ■コンピュータフォレンジクス

■組織的なインシデント対応能力を備える

■インシデント対応技術の体系化

■インシデント対応を支援するシステムの導入

■不正アクセスやウイルスを検出するシステム ■マルウェアを解析するシステム ■インシデント発生時の連絡手段等

16

セキュリティ規定、従業員教育、定期的な評価など組織的なリスク管理に不備はないか？

１

準備


Detection & Analysis（検知と分析）とは・・・

•ベンダーの脅威情報

•脆弱性情報

•システム監査／評価

•演習の評価等

前兆を知る

•ユーザの誤操作

•システムの異常な挙動

•セキュリティ機器ログ

•SIEMのログ相関分析

兆候を掴む •ウイルス検体の採取

•検体の挙動解析

•侵入拡散ルート特定

•対策優先順位の決定

攻撃の把握

17

感染の前兆／兆候を素早く察知し最悪の事態（情報漏えい）を防ぐ対策はとれているか？

２検知と分析


Containment Eradication & Recovery （封じ込め、根絶と復旧）とは・・・

封じ込めの方針策定

・対応レベルの定義・方法や手順・タイミング・復旧判断

ユーザ実施

セキュリティ機器

サービスの無効化

ネットワークの遮断

感染ホストの識別

・感染ホストの詳細分析と特徴の把握

・同事象ホスト・二次感染ホスト

攻撃特徴の配備

各種ログ分析

フォレンジック

根絶

駆除や再構築等

復旧

封じ込め解除等

事業継続性に配慮！

18

感染PCを素早く特定し被害範囲を最小化、また原因究明による拡散防止の対策はとれて

いるか？

３


Post-Incident Activity（事故発生後の活動）とは・・・

反省会（全容の把握）

コスト把握

評価

・事象と原因・被害状況等・攻撃者（加害者）情報・事故シナリオ・対応時系列・各工程の課題と対策

・事故発生から復旧までの時間・事故に係った内部稼働・事故に係った外注費・システム修繕費・損害賠償等費用・事故期間の遺失利益・信頼回復に係る費用

・組織的なインシデント対応能力（プロセス）・インシデント対応技術の体制（人）・インシデント対応支援システム（技術）

19

再発防止策の立案とカイゼン導入

事故全容の明確化と再発防止策の検討体制はあるか？最悪のシナリオに応じた事業継続性プランはあるか？

４

事故発生後の活動


標的型攻撃の被害を最小化する対応策

20

社会保険オンラインシステム

そのうち55万件にはパスワードによるアクセス制限はされていなかった。

約125万件

②5/8以前、第1弾受信 ⑦5/18、第2弾を複数受信 ⑧5/20、第3弾を複数受信

職員攻撃者

ファイル共有サーバや個人の端末にデータを保存

年金加入者個人情報

厚生労働省などを装ったメールが送信される

作業用にデータを抽出

情報系システム

悪性サイト /C&Cサーバ

③URLクリック

④悪性サイトにアクセス

⑤ウイルス感染＆バックドア

⑥機構内情報が流出

⑨被害拡大

⑩個人情報が流出

外部サーバに情報を保存。一部は、東京都港区の海運事業者やアメリカのサーバに保存されていた。

①個人情報を作業用にコピー

メールの中から怪しいファイルを検出し、インターネットGWをすり抜けた未知のウイルスを洗い出す

RTMD

悪性サイトやC&Cサーバの評価情報に基づき、そのサイト向けの通信を検知、自動的に遮断

RTMD

未知のウイルスを検知後15分以内に、当該メールの送付先ユーザーに注意喚起メールを通知し、クリック実行を抑制

RTMD

RTMD : Real Time Malware Detection →WideAngleが提供するネットワーク型の標的型攻撃対策サービス

EPTP : End Point Threat Protection →WideAngleが提供するエンドポイントの標的型攻撃対策サービス

X X

社内に接続されるPCやサーバの異常な振る舞い情報を収集し、感染範囲の確認やリモート隔離を実行

EPTP


3. 当社の運用事例にみる標的型攻撃への対策

21


標的型攻撃対策の実績

総合ログ分析

リアルタイム・マルウェア検知

(Sandbox+PCAP)

IPS/UTM (従来型SOC) ４件

22件

13件

1-2

件/月

目標

22

NTT Com グループ独自のSIEMエンジンやブラックリストなどにより、従前の対策で検知困難な未知の重篤なセキュリティ脅威を発見

170億件/53日のログを抽出

監視対象：PC約8万台

(ログソース：IPS/IDS, Sandbox, PROXY)

セキュリティ運用基盤による分析 22万件の疑わしいログに絞り込み

リスクアナリストによる重篤度判定

39件の重篤なセキュリティ脅威を検知


現状の課題と次の打ち手

総合ログ分析


(Sandbox+PCAP)

IPS/UTM (従来型SOC)

ユーザPCに届いてしまった攻撃の分析と対応

防御！

防御！

検知!?

23


現状の課題と次の打ち手

総合ログ分析


(Sandbox+PCAP)

IPS/UTM (従来型SOC)

ユーザPCに届いてしまった攻撃の分析と対応

防御！

防御！

検知!?

24

パターンファイルやシグニチャに依存しない、新しいエンドポイント型

のセキュリティ対策が必要


エンドポイントにおいて不審な挙動を検知

25

Windows Error Reporting

MTDS

IPSなど企業LAN

高度分析はエスカレーション

セキュリティ監視

MSS

セキュリティ監視

MTDS

クラッシュ時のメモリダンプ

MS社コンサルメニュー FFRI yarai

!! ・攻撃元URL ・攻撃コード

・攻撃元URL ・攻撃コード

攻撃防御時のメモリダンプ

25

End Point Threat Protection Analysis & Blocking


Sandboxで検知した未知のマルウェア情報にてエンドポイントをチェック

エンドポイント

管理機能 RTMDで検知した

ウイルスの振る舞い情報

社内PC管理

社内サーバ管理

・感染範囲・端末の特定

など実態の把握が可能

・感染端末の隔離が可能

リアルタイムマルウェア検知 (RTMD Web/email (On site) )

RTMD Mail

RTMD管理機能 RTMD Web

(仮想実行環境によるメールの解析)

(仮想実行環境によるウェブトラフィックの解析)

FW

EPTP Validation & Isolation

グローバルリスクオペレーションセンター

・リアルタイム解析

・攻撃内容、重篤度通知

・インシデントレスポンス

・フォレンジック対応

FireEye サイバーデフェンスセンター

Internet

Agent AnywhereTM

ウイルスの振る舞い情報を

もとにスキャンの実施

Sandboxで怪しいと判断したファイルを、端末エージェントと連携し更なる対策を実施 ⇒ PC潜伏成功後の攻撃からの防御 ⇒ 攻撃の証跡、影響範囲の把握 ⇒ 侵入後の影響範囲の特定、以降の情報漏洩事故等の阻止 ⇒ 法的対応を可能とする証拠収集

Sandboxと連携した高度対策の展開

お客さまICT環境

26

・リアルタイムマルウェア検知（RTMD）・End Point Threat Protection Analysis & Blocking


標的型攻撃への対策のまとめ

●グローバルなビジネスの世界で、そして日本でも情報セキュリティが重視されており、今後一層、企業におけるリスクマネジメントのあり方が問われる時代となります。

●企業の重要情報を標的型攻撃から守るためには、市販のセキュリティ機器に頼った対策だけでは、攻撃者の思う壺にはまっています。

●リスクに対応する為には、社員教育と既存セキュリティ対策でノイズの除去と、彼らが想定していない方法で、ログを相関分析し脅威を検出することが重要です。

27


4. 当社におけるセキュリティ・

リスクマネジメントの見直し

28


2013年7月23日 400万件の顧客情報が流出

29


★全社ITシステムのセキュリティリスク低減策

1. 全社ITシステム等の調査

2. ITシステムのソフトウェア脆弱性解消の対応策

3. セキュリティ強化策

★セキュリティリスクマネジメントの新たな業務運営プロセス

4. 全社ITシステムの管理方針を改めて策定

5. ソフトウェア脆弱性発覚時の対応

6. ソフトウェア脆弱性発覚時の対応訓練

7. 規程/約款の改定

30

セキュリティリスクマネジメントの見直し


脆弱性マネジメントサービスの概要

警報配信、問合対応

ISMP（独自開発）管理対象システム

CISO、セキュリティ管理者が、より簡易に抜け漏れなく、全社のセキュリティ・ガバナンス強化を実施できるように工夫

セキュリティ管理者

（効果１）システム固有の資産情報に基づき、的確に診断実施

（効果２）診断結果に基づく対策実施計画と実施状況を一元管理

Information Security Management Platform

CISO

全登録システムの脆弱性対応状況管理・脆弱性の有無および規模・対策実施の計画と実績

（効果３）登録システム全体の脆弱性管理状況を統合的にレポートしボトムラインを可視化

フェーズ1 ICT資産登録/DB化、管理（システム名、用途、IP、OS/AP等）

フェーズ2 ・脆弱性診断（定期、随時）・当該システムに必要な脆弱性情報を抽出、自動通知

フェーズ3 診断結果と脆弱性情報に基づく対策実施

31


当社のリスクマネジメントフレームワーク

企画/設計開発/構築運用

脆弱性診断

▲開発判断 ▲提供判断

リスク評価/ 分析

セキュリティ対策導入

カスタムシグニチャの提供

脆弱性管理システムに情報登録

インシデント

拡張/最適化

脆弱性対策

レスキューサービス

★ ★

サービス開始前に2回チェック

脆弱性情報

具体事例をご紹介

32


bash脆弱性（ShellShock）の対応事例

bashとは？

米国時間2014年9月24日、bashにおいて任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) があると発覚、コマンドインジェクションの一種で、「Shellshock」と呼ばれた。bashの環境変数の処理に問題がある。WebサーバがCGIスクリプトを実行する際の受け皿としてbashが利用されているケースが多いため、重大な脆弱性とされている。

GNU Project が提供する bash とは、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル。（OS の一部としてプログラムの起動や制御などを行うプログラム）Linux系OSの大半、UNIX系OSの多く、BSD系OSのいくつか、そしてAppleのOS X（10.3以降）を含む、多くのOSのデフォルトのコマンドラインインタプリタとして広く配布されている。

どのような脆弱性？

どのような影響が想定される？

攻撃者が細工を施した環境変数をbash側で受け入れた場合、そこに含まれる任意のコマンドまで実行してしまう恐れがある。サーバ側の権限設定にもよるが、システム内情報の盗聴、サーバの改ざん、Webサーバへの過負荷によるパフォーマンス低下などの影響を受ける恐れがある。

33


bash脆弱性（ShellShock）対応状況

0:00 ①脆弱性公開パッチ提供

IP

S

A製品

B製品

WA

F

C製品

D製品

9/25 13:00 作成

9/26 17:30 公式提供

9/29 10:00 公式提供

9/27 10:30 公式提供 45.5 時間

87.5 時間

28.5 時間

9/25(木) 26(金) 27(土) 28(日) 29(月)

15:00 ②脆弱性公開 (修正もれ)

11:00 ②パッチ提供

▲ ▲ ▲

● ●

9/25 13:00 作成 ● ●

9/25 18:30 作成 ● ●

9/25 22:00 作成 ● ●

●独自にカスタムシグニチャを作成し対策実施

34



A社メーカーシグネチャリリース

B社メーカーシグネチャリリース

NTT Com カスタムシグネチャ

リリース

4500件以上の攻撃を検知・防御

35



A社メーカーシグネチャリリース

B社メーカーシグネチャリリース

NTT Com カスタムシグネチャ

リリース

4500件以上の攻撃を検知・防御経営者が決断すべきは、事業継続のためのシステム停止

攻撃者より早く、決断できますか？

36


ご清聴ありがとうございました。

総合リスクマネジメントサービス「WideAngle」

http://www.ntt.com/wideangle_security/

gartnerサミット ver1 0 20150713forprint

Documents