目次 1 はじめに : 守りたいのは何ですか? 社内サーバを狙う攻撃手法 外部への 公開サーバ も もちろんターゲットに サーバ要塞化 対策のポイント シンプルにできる サーバ要塞化 と プラスアルファ の対策 標的型攻撃時代にお

標的型攻撃時代における

サーバセキュリティ検討ガイド

提供：

トレンドマイクロ株式会社

2017/02 発行 : Version 1.0 2 01 7 / 02 発 行

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 2

目次

1 _{はじめに : 守りたいのは何ですか？ ... 3} 2 _{社内サーバを狙う攻撃手法 ... 4} 3 _{外部への「公開サーバ」も、もちろんターゲットに ... 8} 4 _{サーバ要塞化・対策のポイント ... 10} 5 _{シンプルにできる ”サーバ要塞化” と “プラスアルファ” の対策 ... 12}

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 3

1

はじめに :

守りたいのは何ですか？

セキュリティ対策を実施する際にまず考えなくてはならないのは、「何を守りたいのか」 を明確にすることです。顧客の個人情報だったり、設計に関する機密情報だったり、ある いは取引先にまつわるデータだったり……会社によって守るべきものは異なるでしょう。い ずれにせよ、まず自社が守るべきものを特定し、それを取り巻くリスクは何かを検討するこ とによってはじめて、適切な対策が浮かんできます。 ここで考えておきたいのが、守るべき情報の在り処です。多くの場合、重要データ、情 報資産の多くはクライアント PC ではなく、ファイルサーバやデータベースサーバ、あるいは 業務システムが稼働しているサーバなど、「サーバ」側に保存されているかと思います。 昨今の攻撃手法も、最終目的地である「サーバ」への侵入を見越したものになってい ます。詳しくは後述しますが、メールや Web を用いてクライアント PC に感染して、それ でおしまいというサイバー攻撃はあまりありません。クライアント PC への感染はあくまで最 初の足がかりであり、そこから最終目的地であるサーバへと感染を広めるケースが多数 報告されています。そして、必ずしも 「不正プログラム対策製品を導入しているから大 丈夫」 とは言いきれないほど、攻撃手法は多様化しているのも現実です。 こうした状況を踏まえると、クライアント PC の保護に加え、サーバとそこに保存されて いるデータの保護も同時に考えなければ、昨今の攻撃に対処しうる、バランスの取れた 対策とは言えません。しかも、クラウドサービスやモバイルデバイスが普及し、｢社内システ ム｣と｢インターネット｣の境界がなくなりつつある今、社内システムとインターネットの境界 部分でのセキュリティを強化するという境界防御アプローチだけでは不十分であり、最終 的なターゲットであるサーバそのものの保護が重要な意味を持つようになっています。 そこでこのホワイトペーパーでは、企業が運用するサーバ ――それも、社内で重要な 役割を果たす内部サーバだけでなく、インターネットに公開され、さまざまなサービスを提 供している外部サーバの双方―― を取り巻くリスクにはどのようなものがあるかを解説 し、それらへの対策を検討していきます。

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 4

2

社内サーバを狙う攻撃手法

サーバを守る適切な防御策を検討するには、サーバを取り巻く「脅威」「リスク」を理解 しなければなりません。そこでまず、サーバがどのような攻撃を受けているか、最新のリサ ーチ結果などを元に紹介します。



最終目的地として社内サーバを狙う「標的型攻撃」 標的型攻撃というと、関係者を装った巧妙なメールや、脆弱性を突くコードを用意し た不正な Web サイトに誘導してクライアント PC を不正プログラムに感染させる手口が 広く知られています。クライアント PC の不正プログラム感染を防ぐため、ダミーの攻撃メ ールを従業員に送って手口を理解させ、いざという時の対応方法を学習させる「標的型 攻撃メール訓練」に取り組む企業も増えているようです。 ですが本当に注意しなければならないのは、システム内で横展開を広げ、社内サーバ への侵入を試みる次のステップなのです。 標的型攻撃の真の目的は、企業の情報資産を盗み出すことです。攻撃者は、あくま で目的達成の足がかりとしてクライアント PC を利用し、侵入後は隣の端末へ、さらに隣 の端末へと侵害範囲を広げながら、より重要な情報や、それを獲得するために必要な 管理者権限を奪い取ろうと試みます。そして、システムの脆弱性を突いたり、簡単なパ スワード、推測しやすいパスワードを解いたり、キーロガーを用いるなど、さまざまな手法 を用いて Active Directory サーバで社内のアカウント情報を収集し、そこで得た権 限を用いてファイルサーバやデータベースサーバから顧客の個人情報や取引に関する重 要な情報を抜き取り、外部に送信しようと試みます。 ネットワーク型のファイアウォールや IPS/IDS といった境界型の防御で社外の不正な アクセスから社内システムを保護していても、システム内のクライアント PC から社内サー バに対して行われるこうした不正なアクセスには無力です。しかも社内サーバに対する不 正アクセスには、クライアント PC 向けの攻撃とは異なる特性があります。サーバは基本 的に 24 時間稼働し続けています。その上攻撃者は、OS に標準で含まれている正規

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 5 のツールやコマンドを利用して、堂々とタスクを実行し、情報を盗み取ることもあります。 しかし、サーバから見れば正規な通信としか認識できず、なかなか検出が難しいのが実 情です。 図 1：標的型攻撃の代表的なプロセス こうした手口が存在することを念頭に入れ、現在十分にセキュリティ対策が施されてい るように思える内部サーバも決して脅威と無縁ではないことをご理解いただければ、と思 います。



社内サーバの共有データを狙う「ランサムウェア」の脅威 ファイアウォールで守られているはずの社内サーバを狙うもう一つの脅威が、最近猛威 を振るう「ランサムウェア」です。 既にご存知の方も多いと思いますが、ランサムウェアは、感染した端末の画面をロック したり、保存されたデータを暗号化したりして 「元通りに操作できるようにしてほしけれ ば、金銭を支払え」 と要求してくる不正プログラムの総称です。PC やデータを「人質」 に取って身代金を要求してくることから、ランサム（ Ransom=身代金）ウェア、と名付 けられています。 2016 年は日本国内で、このランサムウェアによる被害が急増しました。特に注意した いのは、自宅で PC を利用している個人ユーザだけでなく、法人ユーザでの被害が拡大 していることです。トレンドマイクロの脅威インテリジェンスデータベース 「Smart

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 6 Protection Network（SPN）」 で収集したデータによると、法人ユーザにおける ランサムウェアの検出件数は、全世界で 2014 年の 1 万 4440 件から 2015 年には 3 万 1900 件へと大幅に増加しました。同様に、国内法人からいただいたランサムウェ アに関する問い合わせ件数は、2014 年はわずか 40 件だったものが、2015 年は 650 件へと急増しており、2016 年はそれを上回るペースとなっています。 図 2：日本におけるランサムウェア脅威件数推移：2016 年トレンドマイクロ調べ なぜ法人ユーザでの被害が増加したのでしょうか。理由は単純で、クライアント PC 単 独を狙うものだけでなく、ネットワークでつながっているファイルサーバ上のデータを狙うラン サムウェアが登場したからです。複数台あるクライアント PC のうちどれか 1 台がランサム ウェアに感染した結果、社内で共有している売り上情報や顧客情報などのデータが暗 号化され、業務がストップしてしまう事件が多発しています。 その典型例が「SAMAS」という名称のランサムウェアです。このランサムウェアは、先に 説明した標的型攻撃と同じように、感染後は社内ネットワークで横展開を行い、サーバ 側の脆弱性を探索して悪用します。その上、共有ファイル本体に加え、ネットワーク上に 保存されているバックアップまで破壊しようと試みます。 （関連リンク：http://blog.trendmicro.co.jp/archives/tag/samas ） こうしたランサムウェアへの対策としては、クライアント PC での対策強化やこまめなバッ クアップの取得が挙げられます。しかし、ファイルサーバ上での挙動を監視し、ランサムウェ

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 7 アがファイルを不正に暗号化しようと外部の制御サーバ（ C＆C サーバ）と通信したり、 その前段階として社内で横展開しようとしたりする動きをいち早く検知することができれ ば、被害を未然に防ぐことができるでしょう。 ここまで紹介してきた通り、標的型攻撃、そしてランサムウェアのどちらにおいても、クラ イアント PC だけでなく重要な情報資産が格納されている社内サーバが主な標的になり つつあります。そして残念ながら、従来の境界型防御や単なる不正プログラム対策製品 だけでは、脆弱性を狙ったり、アカウントリストを基にログイン施行を繰り返したり、などと いったさまざまな攻撃手法を用いる脅威から、社内サーバを守ることは難しいのが実情 です。

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 8

3

外部への「公開サーバ」も、もちろんターゲットに

もちろん、インターネットに公開され、何らかのサービスを提供している公開サーバも、 サイバー攻撃とは無縁ではありません。標的型攻撃などの被害報道に隠れがちですが、 公開サーバの脆弱性を狙った攻撃は、むしろ継続的に発生しています。 公開サーバを狙ったサイバー攻撃の典型例は、Web サーバ内の Web アプリケーショ ンに存在する脆弱性を狙って、SQL インジェクションやクロスサイトスクリプティングといっ た攻撃を仕掛け、バックエンドのデータベースサーバから個人情報を抜き取るといったも のです。最近では、一から Web アプリケーションを自社開発するのではなく、オープンソ ースソフトウェアや、国内外のベンダーが開発した CMS ソフト、そのプラグインを活用す るケースが増えていますが、そうしたソフトウェアやプラグインに脆弱性が存在すると、影 響を受けるサーバは多数に上ります。 本来公開サーバというものは、何らかのサービスを外部に提供することを目的に動かし ているもので、安易にサービスを停止することはできません。そこが攻撃者の狙い目にな っており、正規のユーザにサービスを提供するために用いている HTTP や HTTPS とい ったサービスが、攻撃経路としても悪用されてしまいます。 これを防ぐには、セキュリティパッチを適用したり、Web アプリケーションプログラムに修 正を加えるなどして脆弱性そのものを修正するのが根本的な解決策となります。しかし 公開サーバの場合は、サーバを停止させることによるサービスレベルを損なうリスクを天秤 にかけなければなりません。いつ、どのタイミングでサービスを停止し、修正するかを、会 社のビジネスプランの中で検する必要があります。場合によっては、既存の機能が動か なくなるといった大きな影響が生じるため、パッチの適用はどうしても見送らざるを得ない という判断に至る可能性もあります。そうした場合のリスク緩和策を考えなくてはなりませ ん。 また、もう一つ特筆すべき事実として、公開サーバが攻撃を受けて情報漏えい被害に 遭った組織の 5 割は、外部の指摘によってはじめて被害を把握したという事実です。つ まり半数の組織は公開サーバが攻撃を受けながら、自力でそのことに気付けなかったと

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 9

いうことを意味します。何らかの形でサーバの挙動を監視し、攻撃の予兆を早期発見で きる仕組みを整えていく必要があると言えるでしょう。

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 10

4

サーバ要塞化・対策のポイント

ここまで、社内サーバと公開サーバのどちらともがサイバー攻撃のターゲットになっており、 インターネットとの境界部分にファイアウォールを設置する、といった従来型の対策だけで は十分に対応できないことを説明してきました。これを踏まえて、これからのサーバセキュ リティ対策を検討する際のポイントをまとめてみましょう。 一つは、特にサーバを狙う攻撃は脆弱性を利用するものが多いということです。脆弱 性とは、セキュリティ上の問題につながるプログラム上の不備のことで、「セキュリティホー ル」と表現されることもあります。これを悪用されると、任意のコード（つまり、ありとあらゆ る操作）がリモートから実行されてしまったり、システムが停止に追い込まれてしまったり する恐れがあります。 もちろん、はじめから入念にソフトウェアを開発していれば、脆弱性の数は減るはずで すが、間違いのない人間がいないのと同じで、バグ（＝脆弱性）のないソフトウェアはな かなかあり得ません。ソフトウェアベンダー側では、事前のテストだけでなく、ソフトウェアリ リース後も、セキュリティ機関や研究者と連携して脆弱性情報を受け付け、パッチ（修 正ソフトウェア）を公開する取り組みが広まっています。 しかし前述の通り、サーバの場合は、既存のサービスやアプリケーションとの互換性を 考慮すると、すぐにパッチを適用するのは難しいことが大半です。最終的にはパッチ適用 を実施するにせよ、それまでの間何らかの手段でサーバを保護し、時間を稼ぐ手段が必 要になります。 しかも世の中には、ベンダーやセキュリティ研究者が指摘する前に、攻撃者が未知の 脆弱性を発見し、悪用するケースもあります。こうした脆弱性は「ゼロデイ脆弱性」と呼 ばれ、高度な標的型攻撃などに悪用されています。こうした未知の脆弱性を突かれた 場合に備え、異常を早期に検知することが重要です。 それでなくても、最近の攻撃手法の高度化・巧妙化に伴って、ファイアウォールや不正 プログラム対策といったどれか一つの対策だけで守りきるのは難しくなっています。前述の 脆弱性を突く攻撃はもちろんですが、それ以外にもアカウント情報を狙ったり、人間をだ

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 11 まして悪意あるファイルを実行させたりと、攻撃者はさまざまな手法を使って侵入を試み ます。残念ながら攻撃を 100％防ぎきることはできない、という前提に立って、せめて自 ら攻撃に気付き、被害最小化を図るための仕組みを整備する必要があります。 図 3.多種多様な近年の攻撃手法 具体的には不正プログラム対策や IPS/IDS、不正な Web サイトへのアクセスを防 ぐ Web レピュテーションといった「多層防御」によってこうした攻撃を食い止めるとともに、 万一、侵入されてしまった場合にいち早くそれを発見し、拡散を防ぐための変更監視・ セキュリティログ監視といった複数の対策を組み合わせることが大切です。 不正プログラム SQL インジェクション バッファオーバーフロー ポートスキャン ブルートフォース ファイル改ざん _{DoS 攻撃} ログの隠蔽工作 クロスサイトスクリプティング アカウントリスト攻撃

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 12

5

シンプルにできる ”サーバ要塞化” と “プラスアルファ” の対策

では、こうした前提を踏まえ、まず設定変更などで手軽に実行できる（むしろ実行す べき）事柄を確認してみましょう。  可能な限り OS やアプリケーションを最新の状態に保つ  サーバの目的にとって不要なサービス・機能は停止する  不要なアカウントは削除し、管理者のアカウントおよびパスワード管理を厳密に行う  定期的に動いているサービスを棚卸し、脆弱性検査、ペネトレーションテストを行う また、サーバやシステムの役割に応じてネットワークを論理的に分割することも有効です。 しかし、繰り返しになりますが多くのサーバでは、既存のアプリケーションの動作に支障 が生じる可能性のあるパッチ適用はすぐにはできません。また、ファイルやプロセスに与え る権限を不用意に変更しても、動作に問題が生じる恐れがあります。そこで修正やパッ チ適用と言った根本的な対策を実施するまでの間、サーバを保護する策として、サーバ セキュリティに特化したセキュリティ製品を導入するのも一つの手です。

トレンドマイクロでは、こうした目的のために「Trend Micro Deep Security™」を 提供しています。不正プログラム対策、IPS/IDS、Web レピュテーション、ファイアウォ ール、変更監視、そしてセキュリティログ監視といったサーバを保護するのに必要な複数 のセキュリティ機能を包括的に提供する製品で、社内サーバ・公開サーバ問わず適用 可能です。

以下に、Trend Micro Deep Security のいくつかの特徴をまとめてみました。  ホスト型であること

システムの規模が広がれば広がるほど、守るべきサーバの数は増加します。仮想化技 術やクラウドサービスの普及にともなって、企業が管理すべきサーバの数はますます増加 していくことになりますが、その全てをゲートウェイのみで保護するのは困難です。将来サ ーバが増加することを事前に考慮したスループットのゲートウェイを用意しておく必要があ

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 13 ること、万が一ゲートウェイに障害が発生した場合に単一障害点となり、サーバ全体に 影響を及ぼしてしまうことが考えられるからです。ホスト型の場合、万が一障害が発生し ても影響範囲はそのサーバのみとなり、リスクを分散することが可能です。また、ネットワ ークの構成変更も不要です。ネットワーク型の場合、前後のスイッチやルータなど構成が 複雑になりがちですが、ホスト型の場合は対策が必要な部分にだけ導入ができるので、 容易に導入することができます。  Web アプリケーション防御機能があること 最近の攻撃の多くは、ファイアウォールで許可されているポート（HTTP や HTTPS） が用いられます。これも攻撃者の工夫の一つですが、止めようがないサービス、業務で 利用しているポートを用いて入ってくる攻撃を検出して食い止めるには、ネットワークレベ ルだけでなくアプリケーションレベルでの防御機能が求められます。  統合管理ができること 通常、多層防御を実現しようとすると、複数のセキュリティ製品を導入し、複数の管 理マネージャを管理する必要が出てきます。もちろん、ログもバラバラとなり、相関的に分 析するのが非常に難しいです。Trend Micro Deep Security は Windows や Linux といった複数のプラットフォームに対応し、かつ仮想基盤やクラウドサービス上でも 動作します。インフラの種別ごとに異なるセキュリティ製品、異なる管理コンソールを使い 分ける必要がなく、一元的に運用管理が行えます。

 インシデントレスポンスを支援するログ機能を備えていること

繰り返しになりますが、近年のサイバー攻撃の手口は日々変化しており、これからもま た、新たなだましの手口や攻撃手法が登場してくることでしょう。 Trend Micro Deep Security は、多層防御によってこれらをできる限り食い止めつつ、それでもすり抜けて きた攻撃を早期に検知するための変更監視やセキュリティログ監視機能を備えています。

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 14

図 4：Trend Micro Deep Security における多層防御

企業のレピュテーションを考える上で、事故発生時にどれだけ説明責任を果たせるか は重要なポイントです。外部からの通報によって後手後手で調査を進めるのではなく、 自ら異常に気づき、迅速に被害範囲や原因を特定し、それに基づく再発防止策を講じ るために大事なのが「記録」です。 こうした事柄を踏まえ、自社にとって最も重要な情報資産を保護するために、今すぐで きること、中期的に投資できることを確認し、ぜひ取り組んでいただければと思います。

標 的 型 攻 撃 時 代 に お け る サー バ セ キィリ テ ィ 検 討 ガ イ ド ペー ジ 15 TREND MICRO™ 本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。 トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず 本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払 っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わ ないものとします。本書およびその記述内容は予告なしに変更される場合があります。

TRENDMICRO、TREND MICRO、Trend Micro Deep Security は、トレンドマイクロ 株式会社の登録商標です。

〒151-0053

東京都渋谷区代々木 2-1-1 新宿マインズタワー

大代表 TEL：03-5334-3600 FAX：03-5334-4008

http://www.trendmicro.co.jp