高度サイバー攻撃(APT)対応のための
演習プログラム
2016年10月7日
一般社団法人JPCERT コーディネーションセンター
エンタープライズサポートグループ
佐藤 祐輔
【先進的(A)】
標的組織を徹底的に調
査し
、目的達成のため
に最適化された
必要最
小限のツール
を使用
す
る
【執拗な(P)】
標的組織のネットワー
クに
繰り返しアクセス
を図り、
長期にわたっ
て居座り続ける
【脅威(T)】
長期的な活動をおこな
うための
潤沢なリソー
ス、体制、能力
を持つ
国家の支援や大規模な
犯罪組織の関与が疑わ
れることもある
高度サイバー攻撃(APT)
先進的で (Advanced)、執拗な (Persistent)、脅威 (Threat)
攻撃者は、明確な攻撃の目的とその能力を有して
おり、その活動は組織化され、資金も十分で、
また経験も豊富に有した人たちが連携することで
行われれます。各種ツールを提供する企業も存在
します。
踏み台にされた組織
職員の端末
ファイル
サーバ
標的組織
攻撃活動の概要
攻撃者
②標的型メール
④感染拡大
③遠隔操作
①ウェブサイトを
改ざん
C2サーバ
⑤機密情報流出
事例
代表的な事案
2011
国内の重工業企業における標的型攻撃インシデント
2012
農水省、JAXAなど
2013
韓国のテレビ局や金融機関に対する大規模サイバー攻撃
“攻撃キャンペーン”に関する多くの報告
2014
国内で多くの攻撃事案を確認
標的型メール、水飲み場攻撃(drive by download)、アップデー
トハイジャック、ドメイン名ハイジャック、etc.
PlugX, PoisonIvy, derusbi, Emdivi, daserf, etc.
サイバー攻撃への対応
リスク評価と
対応ポリシー
技術的管理策
体制と手順
訓練、人材育成
1.攻撃に関する情報を受け付け、展開し、適切な
初動対応を行うための体制・手順
始まりはいつも外部情報から
—
警察? IPA? JPCERT/CC? NISC? 同業他社? メディア?
匿名の通報者?
—
Web掲示板に張られていたら?
—
通報の真正性をどうやって確認する?
—
対応するために十分な情報があるか?
ログやデータを保全する
—
攻撃の証跡、攻撃活動の追跡の手掛りとなる重要な情報
—
そもそも、攻撃活動を追跡するために必要なログを、
十分な期間取得しているか?
緊急対応体制を敷く
—
既存の災害対応計画やBCPが応用できるか?
2.事前のリスク評価を行っているか
抜線すればいいのか?
—
業務への影響
—
攻撃を検知していることを、攻撃者に気付かれる可能性
リスクに基づいて対応を決定する
—
止血が先か、追跡が先か
—
システムや業務毎のリスクシナリオの検討と評価を
事前におこなっておく
—
リスク判断の責任を持つ経営層に関与させる
—
正確な情報が集まらない中で、短時間で判断せざるをえない状況
も想定する
組織全体で意思統一された対応
—
顧客、所管省庁、株主、メディアなどのステークホルダーへの対
応
3.他の組織との連携、情報共有
信頼できる外部組織との連携・情報共有は有効である
—
他の組織が同様の攻撃に対し備えることができる
—
攻撃者についての追加情報が得られる可能性
誰と連携・情報共有するのか
—
セキュリティベンダ
—
情報共有の枠組み
—
IPA、JPCERT/CC
何を共有するのか
—
共有してよい情報は何か、共有できない情報は何か
連携・共有のための手順
—
誰が窓口となるのか
—
共有する情報について誰が承認するのか
組織の対応能力の検証
リスク評価と
対応ポリシー
技術的管理策
体制と手順
訓練、人材育成
組織としての対応
演習プログラムによる検証
演習プログラム
組織の意思決定に関わる経営層や上級管理職を含む、サイバーインシデン
トに関わる全ての部門による演習
インシデント発生時の状況をもとに、組織としての対応をディスカッショ
ンする
組織における現在の対応体制、ポリシーや手順、能力は、APTによる攻撃に
直面した際に有効なものであるか
—
リスクは何か、守るべきものは特定されているか
—
組織の危機管理に関連するポリシー、手順、体制は、サイバー攻撃を想定してい
るか
—
サイバー攻撃への対応について、組織内のステークホルダーの間での共通理解が
あるか
—
技術的・機能的な対応能力を備えているか、
常に活用できるよう準備が整っているか
演習の実施によって
—
組織の現在の姿を確認する
—
ギャップを特定し、対策につなげる
演習シナリオの例
シーンの概要
主な論点
海外で押収されたC2サーバの通信ログに自
社との定期的な通信の記録が残されていたこ
とが、外部組織から通知された
漏えいしたデータ、被害範囲の特定
外部組織との連絡、社内への情報展開の手順、対
応体制や対策本部の立ち上げ手順
APTがネットワーク内に潜伏している前提でどう
行動するか
守るべきデータや資産は何か
調査の結果、暗号化された大量のファイルを
不審な外部サーバに送信していた記録が見つ
かった
さらにActive Directoryサーバへの不審なアク
セスと、見慣れない特権ユーザが作成されて
いたことが確認された
侵害があったことをメディアにリークされ取
材と問い合わせが殺到している
攻撃者の活動の痕跡の発見と対応
情報流出による事業への影響
顧客、メディア、法執行機関、所管省庁等への対
応
マルウェア、不審なプログラムへの対処
ネットワーク全体が侵害される危機的状況の中で
の事業継続
機密情報を守るための防御策
外部組織との連携の在り方
今回の攻撃が複数の企業を標的としたキャン
ペーンの一環であること、また過去の標的型
メール攻撃を端緒としていたことが判明した
標的型メールへの対策、その他の侵入手口への対
策
IT利用ポリシー、ネットワーク運用ポリシーへの
影響
外部組織やコミュニティとの情報共有
教育、訓練
演習の効果
社内のステークホルダー間での理解・認識のギャップの解消
—
外部との連絡窓口は誰か? 部署間の連絡手順は?
—
サイバーインシデントに適用される規定や手順は何か
—
情シス、セキュリティチームに出来ること、出来ないこと
サイバーインシデント対応の特殊性への共通理解
—
感染システムやサービスを停止しながら事業継続する
—
攻撃者がネットワーク内に潜伏する状況下での対応
サイバーインシデントによるビジネスへの影響の確認
—
守るべき情報資産は何か
—
顧客、メディア、法執行機関、所管省庁等への対応
防御能力の強化策の確認
—
技術的な対策強化
—
ポリシー、手順、体制面での改善点
—
教育と訓練
演習によって得られるもの
対応できない、手順は整備されていない、人材とスキル、
時間が足りないという現状認識を全員で持つことができ
る
組織や各部門の対応能力の限界、あるべき姿とのギャッ
プが明らかになる
やるべきことリスト、その他
テクニカルハンズオン
CSIRT、システム部門のレイヤーにおけるAPTインシデント対応の
意思決定に関する演習
サイバーレンジ
実際のインシデントを模したシナリオ
JPCERT/CC
参加チーム
演習環境
Controller
攻撃
シナリ
オ
Trusted
Agent
Observers
Control Cell
Red Team
気づきと教育的効果
対応能力、手順の検証
—
現在の対応手順書で対応できるかどうか
—
指揮命令や情報共有が適切かどうか
セキュリティチームのメンバー間での認識や理解のギャップの解消
—
個々人の業務範囲を超え、全体を俯瞰し理解したうえで対応する
—
各メンバーの経験値の底上げ
現在のセキュリティ対策とのギャップの認識
—
ログ管理
—
外部との情報共有
高度サイバー攻撃(APT)への備えと対応ガイド
Lockheed Martin、Mandiant 他の先進的な対応能力を持つ組
織の経験をもとに、米国DeltaRisk社が纏めたレポート
国内有識者による検討委員会を設け、日本の企業・組織向け
にローカライズ
2016年3月に一般公開
https://www.jpcert.or.jp/research/apt-guide.html
APTに対する準備と対応を体系的に纏めたもの
—
企業や組織が考慮・検討すべき項目を網羅
—
高度サイバー攻撃(APT)についての全体像
—
攻撃に対応するために、企業や組織がどのように
備え、行動するのか
—
キーワードは
「脅威を理解する」
「リスク評価とリスク許容度の決定」
「組織としての対応方針・手順・体制・準備」
「情報共有と連携」
[対応ガイド]
「高度サイバー攻撃(APT)への備えと対応ガイド」
事前準備のために利用するチェックリスト
平時において、イ
ンシデント対応の
準備を行う際に考
慮するべき活動を
列挙したチェック
リスト
大項目 中項 目 小項目~ 本文関連箇所 カテゴリ1 守 る べ き 資 産 の 特 定 A. リスク許容度の評価と管理策の実装 2.3 リスク許容度の評価と管理策の 実装 1 組織のプロファイリング 2 リスク判断によるビジネスインパクトの整理 3 とくに自動化すべき資産管理策 3.1 ハードウェア管理 3.2 ソフトウェア管理 3.3 アイデンティティ管理 カテゴリ2 迫 り く る 脅 威 の 理 解 B. 脅威の理解 2.5 脅威の理解 1 業界のセキュリティ動向の検討 2 外部脅威 攻撃者に係わる情報の収集と交換 2.1 攻撃者に係わる情報収集能力の構築 2.2 攻撃者に係わる情報 を共有する際の留 意点 3 内部脅威 脆弱性スキャンとペネトレーション テスト 3.1 脆弱性スキャンの実施 3.2 ペネトレーションテストの実施 カテゴリ3 具 体 的 防 御 策 の 検 討 C. 予防的なログの保持 2.7 予防的ログの保持 1 ログの取得と保守ポリシー D. ポリシーやガイドラインの整備 2.8 ポリシーやガイドラインの整備 1 セキュアな構成 1.1 サーバおよび端末のハードウェア、ソ フトウェアのセキュアな構成 1.2 ネットワーク機器のセキュアな構成 1.3 特権ID、アクセス権のセキュアな構成 2 モニタリング 2.1 無線LANのモニタリング 2.2 アカウントのモニタリング 2.3 外部データ送信のモニタリング E. インシデント対応機能の整備と人材育成 2.9 インシデント対応機能の整備と 人材育成 1 インシデント対応機能の整備 F. トレーニングおよび演習の実施 2.11 トレーニングおよび演習の実施 1 トレーニングの実施 2 演習の実施 3 演習後の対応に関する留意点 G. インシデント対応計画の検証 2.12 インシデント対応計画の検証Copyright ©2016 JPCERT/CC All rights reserved.
「高度サイバー攻撃(APT)への備えと対応ガイド」
事前準備のために利用するチェックリスト
平時において、イン
シデント対応の準備
を行う際に考慮する
べき活動を列挙した
チェックリスト
(一部抜粋)
18 チェックリスト内容 補足解説 Check C. 予防的なログの保持 C. 予防的なログの保持 1 ログの取得と保守ポリシー 1.1 すべてのサーバとネットワーク機器に は、NTP が 2 つ以上組み込まれてい るかNTP - Network Time Protocol : 定期的に 時刻情報を取得する同期化された時刻ソース ログ内のタイムスタンプが整合し、UTC(協 定世界時)に設定されるようにする必要があ る。 1.2 重要な資産に関するログを維持してい るか DNS、プロキシ、ファイアウォールなどが対 象となる。 1.3 各ハードウェア装置と、そこにインス トールされているソフトウェアの監査 ログには、必要な要素が含まれている か 必要な要素とは、最低限以下のものを示す。 ・日付 ・タイムスタンプ ・ソースアドレス ・宛先アドレス ・各パケットやトランザクションのさまざま なその他の有用な要素 システムでは、syslog エントリなどの標準 化された形式や、Common Event Expression イニシアチブによって概略され ている形式でログを記録する必要がある。シ ステムが標準化された形式でログを生成でき ない場合は、ログを標準化された形式に変換 するためにログ正規化ツールを適用が可能で ある。 1.4 ログを格納するすべてのシステムに は、生成されるログに適したストレー ジスペースが用意されているか ストレージを定期的に確認し、ログ循環間隔 の間にログファイルがあふれないようにする 必要がある。 ログは、定期的にアーカイブしてデジタル署 名することが望ましい。 1.5 ログの保守ポリシーは策定されている か 数カ月にわたり組織が侵害されているにも関 わらず、その侵害が検出されないことがあ る。こうした事態を正確に判断するために は、ログを長期間にわたって保持する必要が ある。 1.6 特に重要なログは、一元管理下におか れているか 1.7 ログの一元管理システムは、他のネッ トワークから保護されているか ログを格納するデータベースや、SIEM など のツールがアクセスするデータをすべて含 む。 1.8 ログファイルを参照するタスクに係る 作業者は特定されているか、および作 対象者の一覧や、一般的なタスクに要する時 間はインシデント対応チームにとって重要な
「高度サイバー攻撃(APT)への備えと対応ガイド」
インシデント対応フロー
APTインシデント発生時の標準的な対応
手順をフローチャート形式にまとめたも
の。
このフローを利用することでAPTへの初
動対応手順を網羅できる。
インディケータ 通知受領 1.インディケータ の通知検証 2.ログの保全 3.APT攻撃の検証 4.APT インシデント対応 正式な通知 である EXIT APT攻撃と 判定される 通常の インシデント対応へ• インシデント対応フロー
インディケータの通知検証
ログ保全
APT攻撃の検証
インシデント対応支援のアウトソーシング
インシデント対応
「高度サイバー攻撃(APT)への備えと対応ガイド」
インシデント対応フロー
1.インディケータ の通知検証 インディケータの 提供元確認 EXIT 社内からの 通知である 1-1.社内ユーザ からの通知受領 ユーザ/ システムから の通知である 1-2.社内システム からの通知受領 1-3.社外から電話 での通知受領 TEL/メールでの 通知である 1-4.社外からメー ルでの通知受領 官公庁/マスコミ/その他 からの通知である 1-5.官公庁への 対応 TEL メール システム ユーザ 官公庁 1-6.マスコミへの 対応 その他 マスコミ「高度サイバー攻撃(APT)への備えと対応ガイド」
インシデント対応フロー
1-3.社外から電話 での通知受領 氏名、職業、架電時刻、 基本的なメッセージの終 了後、通知元が電話を 切ったか(標準手順の確 認) 通知元組織に対して、予 め整備している連絡先リ ストを使って再度連絡TEL
通知を受理 EXIT 正式な通知 連絡リストから発信元への なりすましの調査依頼 ※引き続きなりすまし調 査の結果を確認TEL
TEL
1-1.社内ユーザか らの通知受領 1-2.社内システム からの通知受領 EXIT 通知を受理 EXIT 氏名、所属部署、架電時刻、 通知内容を確認 通知を受理TEL
見知らぬ組織からの通知受領 正式な通知を確認する際、各社で予め整備している連 絡先リストをもとに通知元を検証するのは有効な手段 であるが、これまでコンタクトを取ったことがない組 織からコンタクトがあった場合や、直接海外からの情 報を受け取った場合などは、信頼できる情報提供であ るにも関わらず通知を棄却してしまい、貴重な情報源 を失ったり、自組織への風評被害を招く可能性も考え られる。 特定の組織から初めてコンタクトを受け取った場合に は、JPCERT/CCやその他の信頼できる組織に問い合 わせることも一つの手である。また、初めてのコンタ クトを行う場合も、相手企業に無視されることを考慮 し、JPCERT/CCやその他の信頼できる第三者を経由 して情報伝達を行うことが有用な場合もある。「高度サイバー攻撃(APT)への備えと対応ガイド」
付録文書:ログ保管に関する分析レポート
ログ保管期間に関する推奨値
強力なAPT対応能力を備える企業の事例
インシデントレスポンスプロバイダによる推奨値
DNSログ プロキシログ IPログ Netflow サーバログ ホストログ1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1-2 years
オンライン保管2Y+
オンライン保管 オフライン保管6-12 months
2Y+
オフライン保管1Y
1+ year
3-6 months
1-2 years
6-12 months
1+ year
3M
6-12 months
1-12 months
N/A offline
Months
6M
6 months - indefinite
6 months - indefinite
2-12 months
6 months – 2 years
3-9 months
1Y
1 year - indefinite
6 months – 2 years
3-9 months
Aggregate Storage Findings
先進的なAPT対応のプラ クティスを持つ企業への インタビュー結果 インシデントレスポンス プロバイダの知見に基づ く“理想的”保管期間
