Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
IoT 時代と 高度サイバー攻撃
2015年12月2日 JPCERT コーディネーションセンター 洞田慎一
Copyright©2015JPCERT/CC All rights reserved.
目次 はじめに
IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ
1
Copyright©2015JPCERT/CC All rights reserved.
はじめに
2
Copyright©2015JPCERT/CC All rights reserved.
「JPCERT/CCをご存知ですか?」
JPCERT/CCとは 一般社団法人 JPCERTコーディネーションセンター
Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネーションセンター
日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等(主に、情報セキュリティ担当者)がサービス対象 コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応などを通じ、セキュリティ向上を推進 インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、我が国の窓口となるCSIRT(窓口CSIRT)
CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT、韓国のKrCERT/CCなど)
経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施
3
Copyright©2015JPCERT/CC All rights reserved.
重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報
海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援
脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し、対応依頼
関係機関と連携し、国際的に情報公開日を調整
セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適切な流通
マルウエア(不正プログラム)等の攻撃手法の分析、解析 アーティファクト分析
各種業務を円滑に行うための海外関係機関との連携 国際連携
インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応
制御システムに関するインシデントハンドリング、情報収集・分析発信 制御システムセキュリティ
日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携
マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化
攻撃手法の分析支援による被害可能性の確認、拡散抑止
再発防止に向けた関係各関の情報交換及び情報共有
インシデントハンドリング (インシデント対応調整支援)
「JPCERT/CCをご存知ですか?」
JPCERT/CCの活動
情報収集・分析・発信 定点観測(TSUBAME)
ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集、分析、必要とする組織への提供
4
Copyright©2015JPCERT/CC All rights reserved.
JPCERT/CC に報告されるインシデント インシデントの概要
5
スキャン 56% Web サイト改ざん
16%
フィッシング 13%
マルウエア 4%
標的型攻撃 1%
DoS 1%
制御システム 0%
その他 9%
様々なインシデントが報告されています 高度サイバー攻撃 (標的型攻撃) など、複雑なインシデントも継続して観測しています
JPCERT/CC 対応 インシデントの内訳
(2015年4-9月)
JPCERT/CC インシデント報告対応レポートより https://www.jpcert.or.jp/ir/report.html
Copyright©2015JPCERT/CC All rights reserved.
インシデントに対策していくには? 攻撃:コストとベネフィット —攻撃にもコストが必要 (攻撃インフラ、ツール等) —環境を改善しない限り攻撃は終わりません
攻撃にかかるコストを上げて行くには —組織だけの対策だけではなく、 情報の公開や、共有も重要
JPCERT/CC からの情報発信 —注意喚起や早期警戒情報 —脅威に関する情報を分析し 情報共有することで、 攻撃を防ぐように努めています 6
costs benefits costs benefits
攻撃情報の共有
・攻撃手法、 特徴
攻撃を検知!
Copyright©2015JPCERT/CC All rights reserved.
組織ではどう対応したらよいのか? インシデントが発生する主な背景 —利用者の注意や確認の不足 —脆弱性に対する攻撃者と利用者の知識の差
攻撃者も被害者も「人」 —マルウエアは道具、脆弱性は知識
攻撃を受けにくくするには —基本的な対応は必須 (ウイルス対策ソフト等による対策) —ソフトウエア・ハードウエアの管理・更新 —運用を改善 —情報収集・共有
7
多くは、修正済みの脆弱性が悪用されています
運用を改善することや、体制を見直すことは有効策
Copyright©2015JPCERT/CC All rights reserved.
脆弱性情報やアップデート情報の提供
注意喚起 —組織で利用されている主要なソフトウ エアについての更新情報等を注意喚起 として配信しています
Microsoft Windows Adobe Acrobat / Reader / Flash Player Oracle Java ISC BIND など
その他の公開情報 —Weekly Report —分析レポート —詳しくは、https://www.jpcert.or.jp/ まで
JPCERT/CC では、脆弱性の情報や、アップデートに関する情報を提供しています 注意喚起 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN)
8
Copyright©2015JPCERT/CC All rights reserved.
脆弱性情報や対策情報の提供 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) https://jvn.jp/
9
情報を定期的に確認し、アップデートなど必要な対策をとることが重要です
Copyright©2015JPCERT/CC All rights reserved.
脆弱性ハンドリング ハンドリングの全体像
メーカ5
メーカ4
脆弱性の検証 対策の作成 エンド
ユーザ
企業 ユーザ
SIer
ISP
小売
マスコミ
JPCERT/CC
メーカ2
メーカ1
対策情報 の提供
メーカ3
通知
ネット上 の情報
収集
JVN (脆弱性情報ポータル)
日程を 合わせて
公表 脆弱性の 発見者
CPNI CERT-FI
等
海外の 情報源
海外の 情報源
CERT/CC
IPA
日程を 合わせて
公表
MITRE
CVE# 採番 CERT/CC : CERT Coodination Center http://www.cert.org/ CPNI : Centre for the Protection of National Infrastructure http://www.cpni.gov.uk/ CERT-FI : http://www.cert.fi/ MITRE : http://cve.mitre.org/
通知
国外 メーカ
海外 発見者
通知
脆弱性情報 の開示、 公表日程 の調整
通知
脆弱性情報 の報告
受付 分析
対策情報の とりまとめ
該当する メーカを抽出し
情報配信
通知
10
Copyright©2015JPCERT/CC All rights reserved.
情報の収集・分析・発信 脆弱性への対応 対策済みの脆弱性として公開 (通常のケース)
対応未然の脆弱性として公開されてしまうケース
いつ、どこに情報が公開されるか解らない 情報の収集・分析・発信が極めて重要 必要としている人に、必要な情報を届ける
注意喚起 早期警戒情報
脆弱性 利用者 開発者
修正プログラム
脆弱性 攻撃者
Exploit / マルウエア 利用者
例:Adobe Flash Player の未修正の 脆弱性に関する注意喚起 (7/13)
11
報告者 調整機関
報告者 公開や 売買
Copyright©2015JPCERT/CC All rights reserved.
情報収集・分析・発信例 Hacking Team のデータ流出と悪用
Day 事象 7/5 Sun データ流出発生
7/6 Mon
7/7 Tue Adobe Flash Player の exploit が発見され公開される
7/8 Wed マルウエアによる被害
7/9 Thu Adobe Flash Player のアップデートを公開
7/10 Fri
7/11 Sat 新しい exploit が発見され公開される
7/12 Sun
7/13 Mon マルウエアによる被害
7/14 Tue
7/15 Wed Adobe Flash Player のアップデートを公開
注意喚起
注意喚起
12
Copyright©2015JPCERT/CC All rights reserved.
脆弱性を放置しない運用を心掛けましょう 脆弱性をそのままにしておくと —マルウエアの感染等のインシデントに繋がります
「これくらいは、大丈夫だろう」から、「被害に遭うかもしれない」という運用へ —ハードウエアやソフトウエアの管理 —管理方法及び体制の整備 —セキュリティに関する教育
13
サイバー攻撃の被害に遭うリスクが高まります
特に様々な開発者・利用者が想定される IoT においてセキュリティに対する Human Factor の影響は極めて大きいと考えられます
Copyright©2015JPCERT/CC All rights reserved.
IOT セキュリティへの熱い視線
14
Copyright©2015JPCERT/CC All rights reserved.
IoT セキュリティへの熱い視線 BlackHat / DEF CON / USENIX 等におけるセキュリティ研究者の熱い視線 —Internet of Things (IoT) 、制御システムに関する話題 —スマートフォン (Android, iOS) に関する話題
PC やネットワークを超え、 社会インフラに影響を与える攻撃を示唆 —自動車、衛星位置情報、携帯、照準器、 産業用制御システム など
—脆弱性への対応姿勢に対する警鐘 セキュリティを考慮した設計の検討 脆弱性に対処するまでの時間
15
IoT などの非 PC 環境のフロンティアにセキュリティの関心
Copyright©2015JPCERT/CC All rights reserved.
ネットワークの接続ポイントが主な攻撃対象 ネットワークは便利であると同時に攻撃者も接続 —端末が持つ脆弱性の悪用 —中間者攻撃によるサービスの悪用
16
ネットワーク
テレマティクス端末
クラウドサービス
遠隔の第三者からの攻撃に脆弱 問題:利用者、デバイス以外の第三者の存在が想定されていない
攻撃者
例:Uconnect
例:OnStar
Copyright©2015JPCERT/CC All rights reserved.
産業用スイッチの対応事例 産業用スイッチベンダーに見る対応の違い 指摘された脆弱性は、 Web インタフェースにおける XSS や、秘密鍵 (パスワード) ハードコードなどの問題
OpenGeer 1 週間足らずで修正
Seimens 3ヶ月
General Electronic 8ヶ月
早さだけが問題ではありません —設計の段階から、セキュリティへの考慮が十分でない? —高度サイバー攻撃で、もし利用されたら?
ソフトウエアの品質と、改修スピードが問われています
Seimens SCALANCE X200
C. Cassidy et.al, “Switches Get Stitches”, BlackHat USA 2015 / DEFCON 23.
17
Copyright©2015JPCERT/CC All rights reserved.
TSUBAME がとらえた制御システムへの攻撃 産業制御システムで使用される PLC の脆弱性を標的としたアクセス —インターネット定点観測システム (TSUBAME)
インターネット上の攻撃動向を観測するためのシステム https://www.jpcert.or.jp/tsubame/
— 機器・産業機器がネットワークに繋がりつつあります — 産業制御システムがダメージを受けた場合、影響は大
産業用制システム プラント インターネット
18
Copyright©2015JPCERT/CC All rights reserved.
SHODANの ICS探索能力が向上
SHODANはインターネットに接続されたノード (IPアドレスを持つ機器)を検索するサービス 様々なプロトコルのリクエストを送信し、レスポンスについて
IPアドレスをキーとしてDB化している 検索結果の地図上表示を追加 制御システム関連プロトコルの 処理コードや製品固有の シグニチャ等の提供を 受けて、制御システム関連の 探索能力が向上
Modbus、DNP3、Ethernet/IPなど 大手ベンダのSCADAやPLCが 利用するプロトコル
19
https://www.shodan.io/
Copyright©2015JPCERT/CC All rights reserved.
IOT とサイバー攻撃
20
Copyright©2015JPCERT/CC All rights reserved.
制御システムにおけるインシデント
21
S. H. Houmb, “Protecting industrial control systems”, Control Engineering (2015).
ICS-CERT Year in Review 2014のデータを元にJPCERT/CCにて作成 https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2014_Final.pdf
245 257
197 140
39
0 50 100 150 200 250 300
2014年
2013年
2012年
2011年
2010年 米ICS-CERT インシデント統計(米会計年度)
インシデント報告件数
79 65 14 12 6 5 15 13 36
0 50 100 150 200 250
2014年
産業別内訳(カレンダー年)
Energy Critical Manufacturing
特定の産業を狙ったサイバー攻撃は、世界的にも複数観測されています
ICS-CERTインシデント統計
Copyright©2015JPCERT/CC All rights reserved.
制御システム環境でのスパイ活動 米国では2012年頃からエネルギー関連企業に対する サイバー攻撃が増加 情報窃取型の攻撃、業務妨害型の攻撃が混在 石油やガスパイプライン用の制御システムにアクセス された事例もある
現状では偵察目的で、甚大な被害を引き起こす攻撃の 準備段階であると推測されている
米国の電力供給事業者では、ほぼ毎日攻撃を受けている 事業者が十数社に上る状況
22
長期に渡って攻撃を仕掛けていることが特徴
Copyright©2015JPCERT/CC All rights reserved.
Havex 【概要】Dragonfly (Energetic Bear)
が、欧米のエネルギー関連企業を対象に攻撃
第二の Stuxnet とも
【目的】将来に向けたスパイ活動・妨害・破壊活動と推測される
【特徴】メールや水飲み場型攻撃、Webサイト上の制御機器向けソフトウエアの置き換えなど様々な方法を利用する
【マルウエア】Havex RAT 制御機器 (ICS / SCADA) の情報を調査する機能を有する遠隔操作型のマルウエア
BlackEnergy 【概要】Sandwormが、制御システム
を利用する組織を狙って攻撃
【目的】将来に向けたスパイ活動・妨害・破壊活動と推測
【特徴】SCADAソフトウエアの脆弱性を突いて侵入を試みる
ICS-CERTによると複数の企業のHMIで感染が確認されている
• ICS-CERT Alert (ICS-ALERT-14-281-01B)
【マルウエア】BlackEnergyの亜種 マルウエアがモジュール化されている
二つのマルウエア : Havex と BlackEnergy
23
Copyright©2015JPCERT/CC All rights reserved.
Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm ともに高度サイバー攻撃 (標的型攻撃) を行う攻撃グループとされています
高度サイバー攻撃の流れ - サイバーキルチェインモデル -
24
【先進的(A)】 攻撃者は目的達成のために必要な最小限のツールしか使用しません。そのため、一連のイベント自体が「先進的」と見なされます。
【執拗な(P)】 攻撃者は ネットワーク上に長期にわたって居座り続けます。例えば、繰り返しアクセスを図り、複数年にわたってアクセスを維持することもあります。
【脅威(T)】 長期的な活動を実施するためには技術だけではなくリソースが必要です。そのため、国家等が活動を支援していることが疑われる場合があります
観察 マルウエア感染 社内侵入 被害発生
準備 潜入 横断的侵害 活動
目的は必ずしも情報窃取だけとは限りません
Copyright©2015JPCERT/CC All rights reserved.
Android 端末を使った高度サイバー攻撃 チベット、ウイグルの活動家に対する攻撃 (2013年3月) —標的型メールにより感染 —情報を窃取
Contacts (SIMと電話両方) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version)
高度サイバー攻撃は、既に非 PC 領域に進出
25
K. Baumgartner, C. Raiu, D. Maslennikov (Kaspersky), Android Trojan Found in Targeted Attack https://securelist.com/blog/incidents/35552/android-trojan-found-in-targeted-attack-58/
Copyright©2015JPCERT/CC All rights reserved.
おわりに
26
Copyright©2015JPCERT/CC All rights reserved.
IoT は既にサイバー攻撃の前線に 組織のネットワークに接続する機器は、PC / 非 PC によらずサイバー攻撃の対象となっている現実 —IoT はフロンティアであると同時に、セキュリティについても考慮をすることが既に求められています
IoT に対する高度サイバー攻撃は、まだ進展する可能性があります
27
準備 潜入 横断的侵害 活動
自動車や制御システムの脆弱性 (BlackHat 等での発表)
Havex / BE2 などの マルウエア まだ観測されていない活動
サイバー破壊? 武器化
展開
Copyright©2015JPCERT/CC All rights reserved.
すでにいろいろなモノが接続しています もはや、繋がっていない機器はない? — IPアドレス が付与された機器や、専用の制御網、あるいは
USB などの人が介在する機器 Cyber3 Conference Okinawa 2015 における E. Kaspersky の発言 —IoT は、Internet of Things を超え、Internet of Threats へ —世界最大級の IoT として、 「CERN 加速器」に言及
IoT セキュリティの問題
28
モノのスケールが大きくなると
Cyber-Physical Threat へと発展
CERN, http://home.cern/
Copyright©2015JPCERT/CC All rights reserved.
管理者・開発者のセキュリティ対策 IoT の脅威を現実のものとしないためには ① NW 管理者による対策 ② 開発者による対策 侵入をうけて当たり前というところから見つめる ① 「攻撃が来るはずがない。被害を受けても被害者であり、
攻撃者が悪い」 ② 「攻撃は来て当たり前。組織、顧客の情報を守るために
は適切な対策が必要」
29
報告を受けてから考えるのではなく、事前からセキュリティ対策を施すことは、NW 管理者も開発者も同じく重要
開発に脆弱性はつきもの、完璧などあり得ない 実装の段階から、セキュリティを考えてみませんか?
https://www.jpcert.or.jp/securecoding/
Copyright©2015JPCERT/CC All rights reserved.
開発とセキュリティ 利便性と安全性、バランスはとれていますか?
利便性 手元で情報を入手できる いつでも好きな番組や音楽が視聴できる ICT により、「時間」と「距離」が縮まる 遠隔地にいても、看護ができる
安全性 個人情報の管理 不正なコンテンツの混入 遠隔の第三者からの攻撃 昼夜関係なく、世界中から攻撃に狙われる
子供からお年寄りまで、何らかのインターネットに繋がるデバイスを所持・使用して生活
怖いから使わないでおくことは不可能 → 誰もがサイバー攻撃に巻き込まれる可能性
使用者だけでなく、開発者やサービス提供者の役割は大きい ・脆弱性への対処、安全対策、セキュアコーディング...
30
Copyright©2015JPCERT/CC All rights reserved.
(参考)自己評価ツールの提供
制御システムセキュリティに関する各種調査、ツールの提供 —制御システムやその管理体制等、制御システムのセキュリティへ
の対策状況を「可視化」し、セキュリティへ取組むきっかけとして活用いただくことを目的としたセキュリティ自己評価ツールを工業会と連携して作成・提供
日本版SSAT(SCADA Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html
—約100問の短い設問で施策の達成状況や問題点を診断 —技術的施策から管理施策までの幅広くカテゴリをカバー
J-CLICS https://www.jpcert.or.jp/ics/jclics.html
—SSATをもとにした、制御システム向けセキュリティ自己評価ツール —チェックリストと補足ガイド —制御システム部門全体で取組むSTEP1と各担当者で取組むSTEP2 —SICE/JEITA/JEMIMAと一部のアセットオーナに協力いただき作成
31
Copyright©2015JPCERT/CC All rights reserved.
最後に 攻撃はセキュリティの甘いところが狙われています —対応未然のセキュリティや、パッチ適用が遅れがちな システムは、攻撃者には魅力 —BlackHat, DEFCON 等、セキュリティ研究者が注目している IoT セキュリティの”先”を見つめてみる
新しいソリューションやサービスの開始と並行してセキュリティへの配慮が必要です —開発者と利用者の他、攻撃者の存在を意識 —セキュアコーディングや、システム監査の活用
JPCERT/CC の活用 —脆弱性ハンドリング、早期警戒情報、インシデント対応、 アーティファクト分析、制御システムセキュリティ —インシデントが起きる前からぜひご活用を!
32
Copyright©2015JPCERT/CC All rights reserved.
お問い合わせ、インシデント対応のご依頼は
JPCERTコーディネーションセンター ‒ Email:[email protected] ‒ Tel:03-3518-4600 ‒ Web: https://www.jpcert.or.jp/
インシデント報告 ‒ Email:[email protected] ‒ Web: https://www.jpcert.or.jp/form/
ご清聴ありがとうございました。 33