APTによる攻撃の影響を減らす ネットワーク設計

名古屋大学大学院 情報科学研究科 高倉・八槇研究室 M1 長谷川　皓一@IIJ-IIでインターンシップ中

APTによる攻撃の影響を減らすネットワーク設計 1

APT（新しいタイプの攻撃）の脅威

• 特定の攻撃目標から情報搾取などを行うAPT…

• 国内の大手重工メーカーや衆議院・参議院が狙われたり…

• 既存攻撃の組み合わせにより、対策が困難だったり…

APTによる攻撃の影響を減らすネットワーク設計 2

APTへの対策

APTによる攻撃の影響を減らすネットワーク設計 3

IPAのガイドラインなどによると

•  FWやウイルス対策ソフトなど、

ウイルスが入り込まない対策：入口対策

だけではなく・・・・

ウイルスが入ってしまった場合！

• 情報を持ち出させないための対策：出口対策も重要 •  内部分離

•  Proxy経由通信　など

APTへの対策

APTによる攻撃の影響を減らすネットワーク設計 4

• 具体的に対策を盛り込んで設計

• 内部分離 •  ウイルスの拡散範囲を抑える

•  管理系端末の防護

➡VLANによる分離設計、裏LANによるサーバ管理

• プロキシ経由 •  バックドア通信の検知・遮断

➡不要なルーティングをなくし、外部との通信はすべてプロキシを経由

具体的な設計

•  一般ユーザ：部署ごとに分離 •  サーバ •  管理グループ（サーバ管理用裏LAN） •  プロキシ

5

FW

Proxy

General User Servers

標的システム

Management Group

一般ユーザ General User

• サーバ、プロキシとのみ通信可能

6

FW

Proxy

General User Servers

標的システム

Management Group

管理グループ Management Group

• サーバ（裏LAN）とのみ通信可能 (VLANのグループ内での通信のみ)

7

FW

Proxy

General User Servers

標的システム

Management Group

今回の設計の検証

• AlaxalA AX3630S-24TでVLANとルーティング設定 • ホストの到達可能パス数

•  何も設定していない状態だと…

•  ルーティング設定を行った場合

➡内部拡散の範囲を限定できた

　 外部との通信はプロキシを経由する場合のみ

　 管理グループへの外部からの到達不可能

APTによる攻撃の影響を減らすネットワーク設計 8

送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN

到達可能地点 すべて：5 すべて：5 すべて：5 すべて：5 すべて：5 すべて：5

送信元 Ⅰ 一般ユーザ Ⅱ 一般ユーザ Ⅲ Server Ⅳ 管理 Ⅴ Proxy Ⅵ WAN

到達可能地点 Ⅲ , Ⅴ：2 Ⅲ , Ⅴ：2 Ⅰ,Ⅱ,Ⅴ：3 なし：0 ⅠⅡⅢⅥ：4 Ⅴ：1

今回の設計の検証

• AlaxalA AX3630S-24TでVLANとルーティング設定 • RATツール(PoisonIvy) の実行可能性

•  ProxyにはSquidをデフォルト設定で使用 •  Port 3460, 80 443を使うそれぞれで、Proxy経由あり/なしで検証 •  Proxy経由なし：外部と直接通信できないので実行不可 •  Proxy経由あり：3460, 80はCONNECT通信の禁止により実行不可

　　　　　　　　　　 443はSSL用にCONNECT通信許可のため実行可能

APTによる攻撃の影響を減らすネットワーク設計 9

これが使われる可能性が高い…

⬇ 対策を考える必要

APTによる攻撃の影響を減らすネットワーク設計 10

ありがとうございました。