Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© Hitachi Solutions, Ltd. 2014. All rights reserved.
新たな脅威に企業はどう立ち向かうべきか
株式会社 日立ソリューションズ プラットフォームソリューション事業本部 プロダクトマーケティング本部 マーケティング推進部
2014/07/29
中川 克幸
Prowise Business Forum in Tokyo 第77回
主任技師
© Hitachi Solutions, Ltd. 2014. All rights reserved.
1. 標的型サイバー攻撃の最近の傾向
2. 標的型メール攻撃への対策
Contents
付録 標的型サイバー攻撃対策の基本的な考え方
3. Webサイトに対する攻撃への対策
5. まとめ
4. 実施しておくべき基本的な対策
© Hitachi Solutions, Ltd. 2014. All rights reserved.
標的型サイバー攻撃とは
3
標的型サイバー攻撃とは、機密情報等の窃取を目的として、 標的を特定した上で仕掛けるサイバー攻撃のこと。 以下の流れで攻撃を遂行する。
潜入 基盤構築 調査 目的遂行
メールの送付等の手口でマルウェアを潜入させる
マルウェアの感染を拡大させつつ重要情報のありかをさぐる
最終目的である機密情報等を窃取を遂行する
© Hitachi Solutions, Ltd. 2014. All rights reserved.
2014年版 情報セキュリティ10大脅威
4
IPAが「2014年版 情報セキュリティ10大脅威」を公開。サイバー攻撃に関連する脅威が上位6位までを独占。全体では8つが サイバー攻撃に分類される脅威だった。
出典:IPA発行「2014年版 情報セキュリティ10大脅威」(2014年3月)
標的型メールを用いた組織へのスパイ・諜報活動 1位
不正ログイン・不正利用 2位
ウェブサイトの改ざん 3位
ウェブサービスからのユーザ情報の漏えい 4位
オンラインバンキングからの不正送金 5位
悪意あるスマートフォンアプリ 6位
SNSへの軽率な情報公開 7位
紛失や設定不備による情報漏えい 8位
ウイルスを使った詐欺・恐喝 9位
サービス妨害 10位
© Hitachi Solutions, Ltd. 2014. All rights reserved.
攻撃の手口も高度化・巧妙化
攻撃の手口も高度化・巧妙化している。
Webサイトへの攻撃
水飲み場型攻撃
標的型メール攻撃
やりとり型
5
© Hitachi Solutions, Ltd. 2014. All rights reserved.
本日、お話させて頂くのは…
本日は、ますます高度化・巧妙化する最近の標的型サイバー 攻撃に対してどのように対策していけばよいのか、そのポイントについてお話させて頂きます。
6
Webサイトに対する攻撃への対策
水飲み場型 攻撃 3章
標的型メール 攻撃への対策 やりとり型 2章
© Hitachi Solutions, Ltd. 2014. All rights reserved.
最近の手口 ~やりとり型~
8
やりとり型攻撃とは、業務に関するメールを何度かやりとりして、警戒されない状況を作った上で、マルウェア付きメールを送る 手口のこと。
HITACHI Net Shopp ing
採用担当窓口宛メールを装う
商品問合せ窓口宛メールを装う
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策
9
標的型メール攻撃に対しては、従来、メールゲートウェイを導入しマルウェア&スパムメールをブロックしたり、クライアント側に総合セキュリティソフトを導入することで対策してきた。
メールゲートウェイ 総合セキュリティソフト
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策の課題
10
しかし、従来の対策には、課題がある。
メールゲートウェイや総合セキュリティソフト
標的となる企業向けに特化した マルウェアは検知することが難しい
マルウェア等のサンプルが少なく、開発ベンダが自薦に定義ファイルを用意しておくことが難しい 標的企業で使用しているセキュリティ製品に検知されないマルウェアを送り込まれてしまう
© Hitachi Solutions, Ltd. 2014. All rights reserved.
サンドボックス登場!
11
未知のマルウェア等を検知するためには、実環境に影響を 及ぼさない仮想環境上で怪しいファイルを実際に実行し、 振る舞いを確認するサンドボックス製品の導入が有効。
© Hitachi Solutions, Ltd. 2014. All rights reserved.
「予防」から「早期発見」へ発想の切替が必要
12
手を尽くしても「潜入」される可能性は否定できない。 第2、第3の手を打つことで、最終的な目的遂行は何としても 防止するという発想に、対策の考え方を切り替える必要がある。
潜入 基盤構築 調査 目的遂行
「潜入」の防止にのみ 注力するのではなく…
攻撃の各フェーズで多層に防御することで、最終的な情報窃取は何としても防止する。
© Hitachi Solutions, Ltd. 2014. All rights reserved.
潜入を前提とした場合に次に打つべき手
13
ログのチェックにより「基盤構築~調査」での「早期発見」を図る。潜入したマルウェアを「早期発見」するために確認すべきログの例としては、以下がある。
未使用のIPアドレスへのアクセス
不特定多数の 端末へのアクセス
サーバ⇔クライアント間のアクセス
© Hitachi Solutions, Ltd. 2014. All rights reserved.
ログをチェックする手段
14
ネットワークやサーバ、クライアント等のセキュリティ製品専用のログチェックツールや、SIEM※(セキュリティ情報およびイベント管理) 製品が使われてきた。
各セキュリティ製品専用の ログチェックツール
SIEM(セキュリティ情報 およびイベント管理)
※ Security Information and Event Management
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来のツールの課題
15
しかし、従来の対策には課題もある。
各セキュリティ製品専用のログチェックツール
SIEM(セキュリティ情報およびイベント管理)
各製品のログを統合的・横断的にチェックできない
ログが大量になった場合、分析に時間がかかる スケールアウトに対応していない
© Hitachi Solutions, Ltd. 2014. All rights reserved.
ログのチェックにともなう課題の解決
16
従来のログチェックツールの課題を解決するには、以下の特長を備えた、SIEMに適したツールが必要。
大量&不定形ログの収集が得意
リアルタイムに 処理が可能
スケールアウトが容易
© Hitachi Solutions, Ltd. 2014. All rights reserved.
Splunkのご紹介
17
ビッグデータ利活用基盤ソリューション Splunk
大量のマシンデータを、素早く簡単に価値のある情報に 変換する分析ソフトウェアです。
Online Services
Web Services
Security GPS Location
Desktops
Networks
Packaged Applications
Custom Applications
Messaging
Telecoms Databases
Call Detail Records
RFID
Servers
Online Shopping
Cart
Storage
Smartphones and Devices
Energy Meters Web
Clickstreams
前月、当月 売上比較
複数ログから 障害調査
部品故障率の 将来予測
セキュリティ攻撃 のリアルタイム
地図表示
リソース リアルタイム
監視
経営者向けダッシュボード
分析結果(価値のある情報)
素早く 簡単に
大量のマシンデータ
© Hitachi Solutions, Ltd. 2014. All rights reserved.
ここまでのまとめ
18
標的型メール攻撃は、「潜入」の防止にのみ注力するのではなく、攻撃の各フェーズで多層的に防御することで、最終的な情報窃取は何としても防止するという考えで対策する必要があります。
標的型 メール攻撃
メールゲートウェイ 総合セキュリティソフト
サンドボックス
各セキュリティ製品専用のログチェックツール SIEM
ビッグデータ利活用基盤 ソリューション
従来からの対策 最近の脅威への更なる対策
© Hitachi Solutions, Ltd. 2014. All rights reserved.
最近の手口 ~水飲み場型攻撃~
20
水飲み場型攻撃とは、マルウェアに感染させたい企業の従業員が頻繁にアクセスするWebサイトを改ざんしワナをしかける攻撃のこと。
最近では、大手企業への攻撃の足掛かりとして、セキュリティ対策の遅れる中小・中堅企業も狙われている。
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策
21
Webサイトに対する攻撃に対しては、従来、セキュアプログラミングによるWebアプリの脆弱性排除や、Webアプリケーションファイアウォール(WAF)の導入等が行われてきた。
Webセキュア プログラミング
Webアプリケーション ファイアウォール(WAF)
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策の課題
22
しかし、従来の対策には課題もある。
Webセキュアプログラミング
WAF
開発や保守に高度な知識と運用コストが要求される パッケージソフトを利用している場合、修正が困難である
ゼロデイ攻撃に対処できない シグネチャの更新とチューニングに 手間がかかる
© Hitachi Solutions, Ltd. 2014. All rights reserved.
新しいアプローチは“おとりの設置”
23
ますます高度化・巧妙化するWebサイトへの攻撃を防ぐには、Webサイトの前段に“おとりを設置”するのが効果的。
シグネチャを使用しないため、未知の攻撃にも対処可能。 また運用の手間もかからない。
攻撃の標的をずらす
わざと攻撃させ犯人をマーキングする
© Hitachi Solutions, Ltd. 2014. All rights reserved.
WebApp Secureのご紹介
24
WebApp Secure Webサーバハッキング対策製品
Juniper Networks
WebApp Secureは、Webサイトを改ざんから守る「おとり捜査官」。自らをわざと攻撃させることで、攻撃者を捕捉します。
罠をしかけて わざと攻撃させる
攻撃してきた相手 の特徴や手口を覚える
次に攻撃してきたら ブロック!
© Hitachi Solutions, Ltd. 2014. All rights reserved.
WASが攻撃者に対して仕掛ける罠の例
25
?id=1
ダミーのクエリストリング
ダミーの.htaccess
ディレクトリ・トラバーサル に対するダミーの応答
© Hitachi Solutions, Ltd. 2014. All rights reserved. 26
Web改ざん
社内LAN
インターネット
DDoS攻撃
Webサーバ ネットワークベース フラッド攻撃
アプリケーション ベースフラッド攻撃
Low and Slow 攻撃
SQLインジェクション
Firewall/IPS WAF
未知の攻撃
従来のWebセキュリティ対策
© Hitachi Solutions, Ltd. 2014. All rights reserved.
DDoS攻撃って何?
DDoS攻撃とは、Webサーバをダウンさせることを目的とした攻撃のこと。ボットに感染させた多数のPCから攻撃対象のサーバに大量のパケットを送りつける等の方法で攻撃する。
27
© Hitachi Solutions, Ltd. 2014. All rights reserved.
昨今のサービス妨害攻撃の事情
ネットワークベースフラッド攻撃
アプリケーション ベースフラッド攻撃
Low and Slow 攻撃
攻撃手法 ・SYN Flood ・ICMP Flood ・UDP Flood
・HTTP Flood ・SMTP Flood ・DNS AMP
・R-U-Dead Yet (RUDY) ・Slowloris
説明 IP/TCPを中心に 大量の通信を発生させて攻撃する
アプリケーションを 中心に大量の通信を発生させて攻撃する
大量のパケットを送り付けずにリソースを消費させる攻撃
Bot ハッカー集団 Anonymousなど
専用ツール LOIC/HOICなど
DoS/DDoS攻撃も日々進化している
従来型の攻撃 最近の攻撃傾向
28
© Hitachi Solutions, Ltd. 2014. All rights reserved.
DDoS Secureのご紹介
DDoS Secure DDoS対策製品
Juniper Networks
DDoS Secureとは、Webサーバのいわば「ガードマン」。 Webサーバが忙しくなると、ツールやボットからの攻撃と推測されるタチの悪いアクセスを優先的にブロックします。
Webサーバが低負荷の時 Webサーバが高負荷になると
ツールやボットからの攻撃 と推測される通信をブロック
29
© Hitachi Solutions, Ltd. 2014. All rights reserved.
ここまでのまとめ
30
Webサイトへの攻撃に対しては、従来からの対策に加えて、 高度化・巧妙化する脅威に特化した製品を導入することで、未知の脅威に対しても手間をかけずに対策が可能となります。
Webサイト への攻撃
セキュアプログラミング Webアプリケーション ファイアウォール
おとりの設置(WAS)
従来からの対策 最近の脅威への更なる対策
ネットワーク・サーバの 設定や構成の見直し
DDoS攻撃対策専用 システムの導入
© Hitachi Solutions, Ltd. 2014. All rights reserved.
セキュアルータ Juniper Networks SRXシリーズ
Juniper Networks SRXシリーズ
インターネット
マーケティング部 全員利用可 アプリの利用禁止
×
ファイル転送 書き込み
閲覧 データ入力
ファイル転送
書き込み
× × × ×
ブラウジング
アプリケーションを識別
営業部
UTM(ルータ/スイッチ/ファイアウォール/IPS)機能により、ネットワークをシンプル にし管理・運用コストを削減!
禁止アプリケーションは遮断。特定の利用者にのみ、認めたアプリケーションを許可する ことで、入口/出口対策を実現。
× × × × SAP
NetSuite
Winny LINE
Facebook Twitter
Yahoo! ※アプリケーション識別/制御の機能は、 弊社からは2014年中にリリース予定。
32
© Hitachi Solutions, Ltd. 2014. All rights reserved.
インターネット
①入口でブロック
③出口でブロック
①入口対策
③出口対策
②共有フォルダ の暗号化
②内部対策
①入口対策(メール) : 社外からの「標的型メール攻撃」を入口(メール)でブロック ②内部対策(エンドポイント) : 感染PCからの情報窃取を暗号化と持ち出し制御でブロック ③出口対策(Web) : マルウェア感染PCからの社外送信を出口(Web)でブロック
②エンドポイントからの持ち出し制御 (外部媒体/メール/Web)とログ取得
秘文AE Email Gateway
秘文AE Web Gateway 秘文クライアント
秘文統合サーバ 秘文ファイルサーバ
「標的型メール」による攻撃を3つの対策でブロック
情報漏洩防止ソリューション 秘文シリーズ
33
© Hitachi Solutions, Ltd. 2014. All rights reserved.
本日のまとめ
35
高度化・巧妙化する標的型サイバー攻撃に対しては、従来の対策に加え、最近の手口への備えが 必要です。
標的型サイバー攻撃は、「潜入」の防止にのみ注力するのではなく、攻撃の各フェーズで多層的に防御することで、最終的な情報窃取は何としても防止するという考えで対策する必要があります。
基本的な対策ができていないと、最近の手口への備えは困難です。 (まずは基本的な対策の見直しから)
© Hitachi Solutions, Ltd. 2014. All rights reserved.
標的型サイバー攻撃対策ソリューション
Webサイトへの攻撃対策
標的型 メール攻撃への対策
Webサーバハッキング対策
DDoS対策
ネットワーク(UTM)
メール/Web
SIEM
対策の概要 対策ソリューション
36
基本的な対策
ネットワーク (ファイアウォール)
サーバ/エンドポイント
© Hitachi Solutions, Ltd. 2014. All rights reserved.
「標的型メール攻撃」対策のガイドライン
IPAより標的型攻撃対策のガイドが公開されています。
「標的型メール攻撃」対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html
38
© Hitachi Solutions, Ltd. 2014. All rights reserved.
『標的型メール攻撃』の7つの攻撃段階
出典:IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」 http://www.ipa.go.jp/security/vuln/newattack.html 39
© Hitachi Solutions, Ltd. 2013. All rights reserved.
高度化・巧妙化した手口の攻撃に対して入口対策だけで 止めることは困難。潜入を許したとしても情報の流出だけは食い止める内部対策と出口対策も実施することが重要。
対策の基本的な考え方
参考:IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」 http://www.ipa.go.jp/security/vuln/newattack.html
初期潜入段階
基盤構築段階
内部侵入・調査段階
目的遂行段階
標的型攻撃の攻撃パターン
入口対策
内部対策
出口対策
40