新たな脅威に企業はどう立ち向かうべきか
株式会社 日立ソリューションズ
プラットフォームソリューション事業本部
プロダクトマーケティング本部 マーケティング推進部
2014/07/29
中川 克幸
Prowise Business Forum in Tokyo 第77回
© Hitachi Solutions, Ltd. 2014. All rights reserved.
1. 標的型サイバー攻撃の最近の傾向
2. 標的型メール攻撃への対策
Contents
付録 標的型サイバー攻撃対策の基本的な考え方
3. Webサイトに対する攻撃への対策
5. まとめ
4. 実施しておくべき基本的な対策
© Hitachi Solutions, Ltd. 2014. All rights reserved.
標的型サイバー攻撃とは
3
標的型サイバー攻撃とは、機密情報等の窃取を目的として、
標的を特定した上で仕掛けるサイバー攻撃のこと。
以下の流れで攻撃を遂行する。
潜入
基盤構築
調査
目的遂行
メールの送付等の手口で
マルウェアを潜入させる
マルウェアの感染を拡大させつつ
重要情報のありかをさぐる
最終目的である機密情
報等を窃取を遂行する
2014年版 情報セキュリティ10大脅威
IPAが「2014年版 情報セキュリティ10大脅威」を公開。サイバー
攻撃に関連する脅威が上位6位までを独占。全体では8つが
サイバー攻撃に分類される脅威だった。
標的型メールを用いた組織へのスパイ・諜報活動
1位
不正ログイン・不正利用
2位
ウェブサイトの改ざん
3位
ウェブサービスからのユーザ情報の漏えい
4位
オンラインバンキングからの不正送金
5位
悪意あるスマートフォンアプリ
6位
SNSへの軽率な情報公開
7位
紛失や設定不備による情報漏えい
8位
ウイルスを使った詐欺・恐喝
9位
サービス妨害
10位
© Hitachi Solutions, Ltd. 2014. All rights reserved.
攻撃の手口も高度化・巧妙化
攻撃の手口も高度化・巧妙化している。
Webサイトへの攻撃
水飲み場型
攻撃
標的型メール攻撃
やりとり型
5
本日、お話させて頂くのは…
本日は、ますます高度化・巧妙化する最近の標的型サイバー
攻撃に対してどのように対策していけばよいのか、そのポイント
についてお話させて頂きます。
Webサイトに対す
る攻撃への対策
水飲み場型
攻撃
3章
標的型メール
攻撃への対策
やりとり型
2章
© Hitachi Solutions, Ltd. 2014. All rights reserved.
最近の手口 ~やりとり型~
やりとり型攻撃とは、業務に関するメールを何度かやりとりして、
警戒されない状況を作った上で、マルウェア付きメールを送る
手口のこと。
H ITA CH I N et Sh o p p in g採用担当窓口宛
メールを装う
商品問合せ窓口宛
メールを装う
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策
9
標的型メール攻撃に対しては、従来、メールゲートウェイを導入
しマルウェア&スパムメールをブロックしたり、クライアント側に
総合セキュリティソフトを導入することで対策してきた。
メールゲートウェイ
総合セキュリティソフト
従来の対策の課題
しかし、従来の対策には、課題がある。
メールゲートウェイや総合セキュリティソフト
標的となる企業向けに特化した
マルウェアは検知することが難しい
マルウェア等のサンプルが少なく、
開発ベンダが自薦に定義ファイル
を用意しておくことが難しい
標的企業で使用しているセキュリ
ティ製品に検知されないマルウェア
を送り込まれてしまう
© Hitachi Solutions, Ltd. 2014. All rights reserved.
サンドボックス登場!
11
未知のマルウェア等を検知するためには、実環境に影響を
及ぼさない仮想環境上で怪しいファイルを実際に実行し、
振る舞いを確認するサンドボックス製品の導入が有効。
「予防」から「早期発見」へ発想の切替が必要
手を尽くしても「潜入」される可能性は否定できない。
第2、第3の手を打つことで、最終的な目的遂行は何としても
防止するという発想に、対策の考え方を切り替える必要がある。
潜入
基盤構築
調査
目的遂行
「潜入」の防止にのみ
注力するのではなく…
攻撃の各フェーズで多層に防御することで、
最終的な情報窃取は何としても防止する。
© Hitachi Solutions, Ltd. 2014. All rights reserved.
潜入を前提とした場合に次に打つべき手
13
ログのチェックにより「基盤構築~調査」での「早期発見」を図る。
潜入したマルウェアを「早期発見」するために確認すべきログの
例としては、以下がある。
未使用のIPアドレス
へのアクセス
不特定多数の
端末へのアクセス
サーバ⇔クライアント
間のアクセス
ログをチェックする手段
ネットワークやサーバ、クライアント等のセキュリティ製品専用の
ログチェックツールや、SIEM
※
(セキュリティ情報およびイベント管理)
製品が使われてきた。
各セキュリティ製品専用の
ログチェックツール
SIEM(セキュリティ情報
およびイベント管理)
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来のツールの課題
15
しかし、従来の対策には課題もある。
各セキュリティ製品専用のログチェックツール
SIEM(セキュリティ情報およびイベント管理)
各製品のログを統合的・横断的に
チェックできない
ログが大量になった場合、分析に
時間がかかる
スケールアウトに対応していない
ログのチェックにともなう課題の解決
従来のログチェックツールの課題を解決するには、以下の特長
を備えた、SIEMに適したツールが必要。
大量&不定形ログの
収集が得意
リアルタイムに
処理が可能
スケールアウトが
容易
© Hitachi Solutions, Ltd. 2014. All rights reserved.
Splunkのご紹介
17
ビッグデータ利活用基盤ソリューション Splunk
大量のマシンデータを、素早く簡単に価値のある情報に
変換する分析ソフトウェアです。
Online Services Web Services Security GPS Location Desktops Networks Packaged Applications Custom Applications Messaging Telecoms Databases Call Detail Records RFID Servers Online Shopping Cart Storage Smartphones and Devices Energy Meters Web Clickstream s 前月、当月 売上比較 複数ログから 障害調査 部品故障率の 将来予測 セキュリティ攻撃 のリアルタイム 地図表示 リソース リアルタイム 監視 経営者向け ダッシュボード分析結果(価値のある情報)
素早く
簡単に
大量のマシンデータ
ここまでのまとめ
標的型メール攻撃は、「潜入」の防止にのみ注力するのでは
なく、攻撃の各フェーズで多層的に防御することで、最終的
な情報窃取は何としても防止するという考えで対策する必要
があります。
標的型
メール攻撃
メールゲートウェイ
総合セキュリティソフト
サンドボックス
各セキュリティ製品専用の
ログチェックツール
SIEM
ビッグデータ利活用基盤
ソリューション
従来からの対策
最近の脅威への更なる対策
© Hitachi Solutions, Ltd. 2014. All rights reserved.
最近の手口 ~水飲み場型攻撃~
水飲み場型攻撃とは、マルウェアに感染させたい企業の従業員
が頻繁にアクセスするWebサイトを改ざんしワナをしかける攻撃
のこと。
最近では、大手企業への攻撃の足掛かりとして、セキュリティ
対策の遅れる中小・中堅企業も狙われている。
© Hitachi Solutions, Ltd. 2014. All rights reserved.
従来の対策
21
Webサイトに対する攻撃に対しては、従来、セキュアプログラミング
によるWebアプリの脆弱性排除や、Webアプリケーションファイア
ウォール(WAF)の導入等が行われてきた。
Webセキュア
プログラミング
Webアプリケーション
ファイアウォール(WAF)
従来の対策の課題
しかし、従来の対策には課題もある。
Webセキュアプログラミング
WAF
開発や保守に高度な知識と運用コスト
が要求される
パッケージソフトを利用している場合、
修正が困難である
ゼロデイ攻撃に対処できない
シグネチャの更新とチューニングに
手間がかかる
© Hitachi Solutions, Ltd. 2014. All rights reserved.
新しいアプローチは“おとりの設置”
23
ますます高度化・巧妙化するWebサイトへの攻撃を防ぐには、
Webサイトの前段に“おとりを設置”するのが効果的。
シグネチャを使用しないため、未知の攻撃にも対処可能。
また運用の手間もかからない。
攻撃の標的をずらす
わざと攻撃させ犯人をマーキングする
WebApp Secureのご紹介
WebApp Secure
Webサーバハッキング対策製品
Juniper Networks
WebApp Secureは、Webサイトを改ざんから守る「おとり捜査官」。
自らをわざと攻撃させることで、攻撃者を捕捉します。
罠をしかけて
わざと攻撃させる
攻撃してきた相手
の特徴や手口を覚える
次に攻撃してきたら
ブロック!
© Hitachi Solutions, Ltd. 2014. All rights reserved.
WASが攻撃者に対して仕掛ける罠の例
25
?id=1
ダミーのクエリストリング
ダミーの.htaccess
ディレクトリ・トラバーサル
に対するダミーの応答
Web改ざん
社内LAN
インターネット
DDoS攻撃
Webサーバ
ネットワークベース
フラッド攻撃
アプリケーション
ベースフラッド攻撃
Low and Slow 攻撃
SQLインジェクション
Firewall/IPS
WAF
未知の攻撃
© Hitachi Solutions, Ltd. 2014. All rights reserved.
DDoS攻撃って何?
DDoS攻撃とは、Webサーバをダウンさせることを目的とした
攻撃のこと。ボットに感染させた多数のPCから攻撃対象の
サーバに大量のパケットを送りつける等の方法で攻撃する。
27
昨今のサービス妨害攻撃の事情
ネットワークベース
フラッド攻撃
アプリケーション
ベースフラッド攻撃
Low and Slow 攻撃
攻撃手法
・SYN Flood
・ICMP Flood
・UDP Flood
・HTTP Flood
・SMTP Flood
・DNS AMP
・R-U-Dead Yet
(RUDY)
・Slowloris
説明
IP/TCPを中心に
大量の通信を発生
させて攻撃する
アプリケーションを
中心に大量の通信を
発生させて攻撃する
大量のパケットを送り
付けずにリソースを
消費させる攻撃
Bot
ハッカー集団
Anonymousなど
専用ツール
LOIC/HOICなど
DoS/DDoS攻撃も日々進化している
従来型の攻撃
最近の攻撃傾向
© Hitachi Solutions, Ltd. 2014. All rights reserved.
DDoS Secureのご紹介
DDoS Secure
DDoS対策製品
Juniper Networks
DDoS Secureとは、Webサーバのいわば「ガードマン」。
Webサーバが忙しくなると、ツールやボットからの攻撃と推測
されるタチの悪いアクセスを優先的にブロックします。
Webサーバが低負荷の時
Webサーバが高負荷になると
ツールやボットからの攻撃
と推測される通信をブロック
29
ここまでのまとめ
Webサイトへの攻撃に対しては、従来からの対策に加えて、
高度化・巧妙化する脅威に特化した製品を導入することで、
未知の脅威に対しても手間をかけずに対策が可能となります。
Webサイト
への攻撃
セキュアプログラミング
Webアプリケーション
ファイアウォール
おとりの設置(WAS)
従来からの対策
最近の脅威への更なる対策
ネットワーク・サーバの
設定や構成の見直し
DDoS攻撃対策専用
システムの導入
© Hitachi Solutions, Ltd. 2014. All rights reserved.
セキュアルータ Juniper Networks SRXシリーズ
Juniper Networks
SRXシリーズ
インターネット
×
ファイル転送
書き込み
閲覧
データ入力
ファイル転送
書き込み
× ×
×
×
ブラウジング
アプリケーションを識別
UTM(ルータ/スイッチ/ファイアウォール/IPS)
機能により、ネットワークをシンプル
にし管理・運用コストを削減!
禁止アプリケーションは遮断。
特定の利用者にのみ、認めた
アプリケーションを許可する
ことで、入口/出口対策を実現。
× ×
×
×
SAP NetSuite WinnyLINE Facebook Twitter
Yahoo!
※アプリケーション識別/制御の機能は、
© Hitachi Solutions, Ltd. 2014. All rights reserved.
インターネット
①入口でブロック
③出口でブロック
①入口対策
③出口対策
②共有フォルダ
の暗号化
②内部対策
①入口対策(メール)
: 社外からの「標的型メール攻撃」を入口(メール)でブロック
②内部対策(エンドポイント) : 感染PCからの情報窃取を暗号化と持ち出し制御でブロック
③出口対策(Web) : マルウェア感染PCからの社外送信を出口(Web)でブロック
②エンドポイントからの持ち出し制御
(外部媒体/メール/Web)とログ取得
秘文AE Email Gateway
秘文AE Web Gateway
秘文クライアント
秘文統合サーバ
秘文ファイルサーバ
「標的型メール」による攻撃を3つの対策でブロック
情報漏洩防止ソリューション 秘文シリーズ
© Hitachi Solutions, Ltd. 2014. All rights reserved.
本日のまとめ
35
高度化・巧妙化する標的型サイバー攻撃に対して
は、従来の対策に加え、最近の手口への備えが
必要です。
標的型サイバー攻撃は、「潜入」の防止にのみ注力
するのではなく、攻撃の各フェーズで多層的に防御
することで、最終的な情報窃取は何としても防止す
るという考えで対策する必要があります。
基本的な対策ができていないと、最近の
手口への備えは困難です。
(まずは基本的な対策の見直しから)
標的型サイバー攻撃対策ソリューション
Webサイト
への攻撃
対策
標的型
メール攻撃
への対策
Webサーバハッキング対策
DDoS対策
ネットワーク(UTM)
メール/Web
SIEM
対策の概要
対策ソリューション
基本的な
対策
ネットワーク
(ファイアウォール)
サーバ/エンドポイント
© Hitachi Solutions, Ltd. 2014. All rights reserved.
「標的型メール攻撃」対策のガイドライン
© Hitachi Solutions, Ltd. 2014. All rights reserved.