新たな脅威に企業はどう立ち向かうべきか

(1)

新たな脅威に企業はどう立ち向かうべきか

株式会社日立ソリューションズ

プラットフォームソリューション事業本部

プロダクトマーケティング本部マーケティング推進部

2014/07/29

中川克幸

Prowise Business Forum in Tokyo 第77回

(2)

1. 標的型サイバー攻撃の最近の傾向

2. 標的型メール攻撃への対策

付録標的型サイバー攻撃対策の基本的な考え方

3. Webサイトに対する攻撃への対策

5. まとめ

4. 実施しておくべき基本的な対策

(3)

(4)

標的型サイバー攻撃とは

3 標的型サイバー攻撃とは、機密情報等の窃取を目的として、

標的を特定した上で仕掛けるサイバー攻撃のこと。

以下の流れで攻撃を遂行する。

潜入

基盤構築

調査

目的遂行

メールの送付等の手口で

マルウェアを潜入させる

マルウェアの感染を拡大させつつ

重要情報のありかをさぐる

最終目的である機密情

報等を窃取を遂行する

(5)

2014年版情報セキュリティ10大脅威

IPAが「2014年版情報セキュリティ10大脅威」を公開。サイバー

攻撃に関連する脅威が上位6位までを独占。全体では8つが

サイバー攻撃に分類される脅威だった。

標的型メールを用いた組織へのスパイ・諜報活動

1位

不正ログイン・不正利用

2位

ウェブサイトの改ざん

3位

ウェブサービスからのユーザ情報の漏えい

4位

オンラインバンキングからの不正送金

5位

悪意あるスマートフォンアプリ

6位

SNSへの軽率な情報公開

7位

紛失や設定不備による情報漏えい

8位

ウイルスを使った詐欺・恐喝

9位

サービス妨害

10位

(6)

攻撃の手口も高度化・巧妙化

攻撃の手口も高度化・巧妙化している。

Webサイトへの攻撃

水飲み場型

攻撃

標的型メール攻撃

やりとり型

5

(7)

本日、お話させて頂くのは…

本日は、ますます高度化・巧妙化する最近の標的型サイバー

攻撃に対してどのように対策していけばよいのか、そのポイント

についてお話させて頂きます。

Webサイトに対す

る攻撃への対策

水飲み場型

攻撃

3章

標的型メール

攻撃への対策

やりとり型

2章

(8)

(9)

最近の手口～やりとり型～

やりとり型攻撃とは、業務に関するメールを何度かやりとりして、

警戒されない状況を作った上で、マルウェア付きメールを送る

手口のこと。

H ITA CH I N et Sh o p p in g

採用担当窓口宛

メールを装う

商品問合せ窓口宛

メールを装う

(10)

従来の対策

9 標的型メール攻撃に対しては、従来、メールゲートウェイを導入

しマルウェア＆スパムメールをブロックしたり、クライアント側に

総合セキュリティソフトを導入することで対策してきた。

メールゲートウェイ

総合セキュリティソフト

(11)

従来の対策の課題

しかし、従来の対策には、課題がある。

メールゲートウェイや総合セキュリティソフト

標的となる企業向けに特化した

マルウェアは検知することが難しい

マルウェア等のサンプルが少なく、

開発ベンダが自薦に定義ファイル

を用意しておくことが難しい

標的企業で使用しているセキュリ

ティ製品に検知されないマルウェア

を送り込まれてしまう

(12)

サンドボックス登場！

11 未知のマルウェア等を検知するためには、実環境に影響を

及ぼさない仮想環境上で怪しいファイルを実際に実行し、

振る舞いを確認するサンドボックス製品の導入が有効。

(13)

「予防」から「早期発見」へ発想の切替が必要

手を尽くしても「潜入」される可能性は否定できない。

第2、第3の手を打つことで、最終的な目的遂行は何としても

防止するという発想に、対策の考え方を切り替える必要がある。

潜入

基盤構築

調査

目的遂行

「潜入」の防止にのみ

注力するのではなく…

攻撃の各フェーズで多層に防御することで、

最終的な情報窃取は何としても防止する。

(14)

潜入を前提とした場合に次に打つべき手

13 ログのチェックにより「基盤構築～調査」での「早期発見」を図る。

潜入したマルウェアを「早期発見」するために確認すべきログの

例としては、以下がある。

未使用のIPアドレス

へのアクセス

不特定多数の

端末へのアクセス

サーバ⇔クライアント

間のアクセス

(15)

ログをチェックする手段

ネットワークやサーバ、クライアント等のセキュリティ製品専用の

ログチェックツールや、SIEM

※

（セキュリティ情報およびイベント管理）

製品が使われてきた。

各セキュリティ製品専用の

ログチェックツール

SIEM（セキュリティ情報

およびイベント管理）

(16)

従来のツールの課題

15 しかし、従来の対策には課題もある。

各セキュリティ製品専用のログチェックツール

SIEM（セキュリティ情報およびイベント管理）

各製品のログを統合的・横断的に

チェックできない

ログが大量になった場合、分析に

時間がかかる

スケールアウトに対応していない

(17)

ログのチェックにともなう課題の解決

従来のログチェックツールの課題を解決するには、以下の特長

を備えた、SIEMに適したツールが必要。

大量＆不定形ログの

収集が得意

リアルタイムに

処理が可能

スケールアウトが

容易

(18)

Splunkのご紹介

17 ビッグデータ利活用基盤ソリューション Splunk

大量のマシンデータを、素早く簡単に価値のある情報に

変換する分析ソフトウェアです。

Online Services Web Services Security GPS Location Desktops Networks Packaged Applications Custom Applications Messaging Telecoms Databases Call Detail Records RFID Servers Online Shopping Cart Storage Smartphones and Devices Energy Meters _Web Clickstream s 前月、当月売上比較複数ログから障害調査部品故障率の将来予測セキュリティ攻撃のリアルタイム地図表示リソースリアルタイム監視経営者向けダッシュボード

分析結果（価値のある情報）

素早く

簡単に

大量のマシンデータ

(19)

ここまでのまとめ

標的型メール攻撃は、「潜入」の防止にのみ注力するのでは

なく、攻撃の各フェーズで多層的に防御することで、最終的

な情報窃取は何としても防止するという考えで対策する必要

があります。

標的型

メール攻撃

メールゲートウェイ

総合セキュリティソフト

サンドボックス

各セキュリティ製品専用の

ログチェックツール

SIEM

ビッグデータ利活用基盤

ソリューション

従来からの対策

最近の脅威への更なる対策

(20)

(21)

最近の手口～水飲み場型攻撃～

水飲み場型攻撃とは、マルウェアに感染させたい企業の従業員

が頻繁にアクセスするWebサイトを改ざんしワナをしかける攻撃

のこと。

最近では、大手企業への攻撃の足掛かりとして、セキュリティ

対策の遅れる中小・中堅企業も狙われている。

(22)

従来の対策

21 Webサイトに対する攻撃に対しては、従来、セキュアプログラミング

によるWebアプリの脆弱性排除や、Webアプリケーションファイア

ウォール（WAF）の導入等が行われてきた。

Webセキュア

プログラミング

Webアプリケーション

ファイアウォール（WAF）

(23)

従来の対策の課題

しかし、従来の対策には課題もある。

Webセキュアプログラミング

WAF

開発や保守に高度な知識と運用コスト

が要求される

パッケージソフトを利用している場合、

修正が困難である

ゼロデイ攻撃に対処できない

シグネチャの更新とチューニングに

手間がかかる

(24)

新しいアプローチは“おとりの設置”

23 ますます高度化・巧妙化するWebサイトへの攻撃を防ぐには、

Webサイトの前段に“おとりを設置”するのが効果的。

シグネチャを使用しないため、未知の攻撃にも対処可能。

また運用の手間もかからない。

攻撃の標的をずらす

わざと攻撃させ犯人をマーキングする

(25)

WebApp Secureのご紹介

WebApp Secure

Webサーバハッキング対策製品

Juniper Networks

WebApp Secureは、Webサイトを改ざんから守る「おとり捜査官」。

自らをわざと攻撃させることで、攻撃者を捕捉します。

罠をしかけて

わざと攻撃させる

攻撃してきた相手

の特徴や手口を覚える

次に攻撃してきたら

ブロック！

(26)

WASが攻撃者に対して仕掛ける罠の例

25 ?id=1

ダミーのクエリストリング

ダミーの.htaccess

ディレクトリ・トラバーサル

に対するダミーの応答

(27)

Web改ざん

社内LAN

インターネット

DDoS攻撃

Webサーバ

ネットワークベース

フラッド攻撃

アプリケーション

ベースフラッド攻撃

Low and Slow 攻撃

SQLインジェクション

Firewall/IPS

WAF

未知の攻撃

(28)

DDoS攻撃って何？

DDoS攻撃とは、Webサーバをダウンさせることを目的とした

攻撃のこと。ボットに感染させた多数のPCから攻撃対象の

サーバに大量のパケットを送りつける等の方法で攻撃する。

27

(29)

昨今のサービス妨害攻撃の事情

ネットワークベース

フラッド攻撃

アプリケーション

ベースフラッド攻撃

Low and Slow 攻撃

攻撃手法

・SYN Flood

・ICMP Flood

・UDP Flood

・HTTP Flood

・SMTP Flood

・DNS AMP

・R-U-Dead Yet

(RUDY)

・Slowloris

説明

IP/TCPを中心に

大量の通信を発生

させて攻撃する

アプリケーションを

中心に大量の通信を

発生させて攻撃する

大量のパケットを送り

付けずにリソースを

消費させる攻撃

Bot

ハッカー集団

Anonymousなど

専用ツール

LOIC/HOICなど

DoS/DDoS攻撃も日々進化している

従来型の攻撃

DDoS Secureのご紹介

DDoS Secure

DDoS対策製品

Juniper Networks

DDoS Secureとは、Webサーバのいわば「ガードマン」。

Webサーバが忙しくなると、ツールやボットからの攻撃と推測

されるタチの悪いアクセスを優先的にブロックします。

Webサーバが低負荷の時

Webサーバが高負荷になると

ツールやボットからの攻撃

と推測される通信をブロック

29

(31)

ここまでのまとめ

Webサイトへの攻撃に対しては、従来からの対策に加えて、

高度化・巧妙化する脅威に特化した製品を導入することで、

未知の脅威に対しても手間をかけずに対策が可能となります。

Webサイト

への攻撃

セキュアプログラミング

Webアプリケーション

ファイアウォール

おとりの設置（WAS）

従来からの対策

最近の脅威への更なる対策

ネットワーク・サーバの

設定や構成の見直し

DDoS攻撃対策専用

システムの導入

(32)

(33)

セキュアルータ Juniper Networks SRXシリーズ

Juniper Networks

SRXシリーズ

_{インターネット}

×

ファイル転送

書き込み

閲覧

データ入力

ファイル転送

書き込み

× ×

×

ブラウジング

アプリケーションを識別

UTM（ルータ/スイッチ/ファイアウォール/IPS）

機能により、ネットワークをシンプル

にし管理・運用コストを削減！

禁止アプリケーションは遮断。

特定の利用者にのみ、認めた

アプリケーションを許可する

ことで、入口/出口対策を実現。

× ×

×

SAP NetSuite Winny

LINE Facebook Twitter

Yahoo!

※アプリケーション識別/制御の機能は、

(34)

インターネット

①入口でブロック

③出口でブロック

①入口対策

③出口対策

②共有フォルダ

の暗号化

②内部対策

①入口対策（メール）

: 社外からの「標的型メール攻撃」を入口（メール）でブロック

②内部対策（エンドポイント） : 感染PCからの情報窃取を暗号化と持ち出し制御でブロック

③出口対策（Web） : マルウェア感染PCからの社外送信を出口（Web）でブロック

②エンドポイントからの持ち出し制御

（外部媒体/メール/Web）とログ取得

秘文AE Email Gateway

秘文AE Web Gateway

秘文クライアント

秘文統合サーバ

秘文ファイルサーバ

「標的型メール」による攻撃を３つの対策でブロック

情報漏洩防止ソリューション秘文シリーズ

(35)

(36)

本日のまとめ

35 高度化・巧妙化する標的型サイバー攻撃に対して

は、従来の対策に加え、最近の手口への備えが

必要です。

標的型サイバー攻撃は、「潜入」の防止にのみ注力

するのではなく、攻撃の各フェーズで多層的に防御

することで、最終的な情報窃取は何としても防止す

るという考えで対策する必要があります。

基本的な対策ができていないと、最近の

手口への備えは困難です。

（まずは基本的な対策の見直しから）

(37)

標的型サイバー攻撃対策ソリューション

Webサイト

への攻撃

対策

標的型

メール攻撃

への対策

Webサーバハッキング対策

DDoS対策

ネットワーク（UTM）

メール/Web

SIEM

対策の概要

対策ソリューション

基本的な

対策

ネットワーク

（ファイアウォール）

サーバ/エンドポイント

(38)

(39)

「標的型メール攻撃」対策のガイドライン

(40)

『標的型メール攻撃』の７つの攻撃段階

出典：IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」

新たな脅威に企業はどう立ち向かうべきか