1. 標的型サイバー攻撃の最近の傾向 - hitachi...

© Hitachi Solutions, Ltd. 2014. All rights reserved.

新たな脅威に企業はどう立ち向かうべきか

株式会社日立ソリューションズプラットフォームソリューション事業本部プロダクトマーケティング本部マーケティング推進部

2014/07/29

中川克幸

Prowise Business Forum in Tokyo 第77回

主任技師


1. 標的型サイバー攻撃の最近の傾向

2. 標的型メール攻撃への対策

Contents

付録標的型サイバー攻撃対策の基本的な考え方

3. Webサイトに対する攻撃への対策

5. まとめ

4. 実施しておくべき基本的な対策


1. 標的型サイバー攻撃の最近の傾向


標的型サイバー攻撃とは

3

標的型サイバー攻撃とは、機密情報等の窃取を目的として、標的を特定した上で仕掛けるサイバー攻撃のこと。以下の流れで攻撃を遂行する。

潜入基盤構築調査目的遂行

メールの送付等の手口でマルウェアを潜入させる

マルウェアの感染を拡大させつつ重要情報のありかをさぐる

最終目的である機密情報等を窃取を遂行する


2014年版情報セキュリティ10大脅威

4

IPAが「2014年版情報セキュリティ10大脅威」を公開。サイバー攻撃に関連する脅威が上位6位までを独占。全体では8つがサイバー攻撃に分類される脅威だった。

出典：IPA発行「2014年版情報セキュリティ10大脅威」（2014年3月）

標的型メールを用いた組織へのスパイ・諜報活動 1位

不正ログイン・不正利用 2位

ウェブサイトの改ざん 3位

ウェブサービスからのユーザ情報の漏えい 4位

オンラインバンキングからの不正送金 5位

悪意あるスマートフォンアプリ 6位

SNSへの軽率な情報公開 7位

紛失や設定不備による情報漏えい 8位

ウイルスを使った詐欺・恐喝 9位

サービス妨害 10位


攻撃の手口も高度化・巧妙化

攻撃の手口も高度化・巧妙化している。

Webサイトへの攻撃

水飲み場型攻撃

標的型メール攻撃

やりとり型

5


本日、お話させて頂くのは…

本日は、ますます高度化・巧妙化する最近の標的型サイバー攻撃に対してどのように対策していけばよいのか、そのポイントについてお話させて頂きます。

6

Webサイトに対する攻撃への対策

水飲み場型攻撃 3章

標的型メール攻撃への対策やりとり型 2章


2. 標的型メール攻撃への対策


最近の手口～やりとり型～

8

やりとり型攻撃とは、業務に関するメールを何度かやりとりして、警戒されない状況を作った上で、マルウェア付きメールを送る手口のこと。

HITACHI Net Shopp ing

採用担当窓口宛メールを装う

商品問合せ窓口宛メールを装う


従来の対策

9

標的型メール攻撃に対しては、従来、メールゲートウェイを導入しマルウェア＆スパムメールをブロックしたり、クライアント側に総合セキュリティソフトを導入することで対策してきた。

メールゲートウェイ総合セキュリティソフト


従来の対策の課題

10

しかし、従来の対策には、課題がある。

メールゲートウェイや総合セキュリティソフト

標的となる企業向けに特化したマルウェアは検知することが難しい

マルウェア等のサンプルが少なく、開発ベンダが自薦に定義ファイルを用意しておくことが難しい標的企業で使用しているセキュリティ製品に検知されないマルウェアを送り込まれてしまう


サンドボックス登場！

11

未知のマルウェア等を検知するためには、実環境に影響を及ぼさない仮想環境上で怪しいファイルを実際に実行し、振る舞いを確認するサンドボックス製品の導入が有効。


「予防」から「早期発見」へ発想の切替が必要

12

手を尽くしても「潜入」される可能性は否定できない。第2、第3の手を打つことで、最終的な目的遂行は何としても防止するという発想に、対策の考え方を切り替える必要がある。

潜入基盤構築調査目的遂行

「潜入」の防止にのみ注力するのではなく…

攻撃の各フェーズで多層に防御することで、最終的な情報窃取は何としても防止する。


潜入を前提とした場合に次に打つべき手

13

ログのチェックにより「基盤構築～調査」での「早期発見」を図る。潜入したマルウェアを「早期発見」するために確認すべきログの例としては、以下がある。

未使用のIPアドレスへのアクセス

不特定多数の端末へのアクセス

サーバ⇔クライアント間のアクセス


ログをチェックする手段

14

ネットワークやサーバ、クライアント等のセキュリティ製品専用のログチェックツールや、SIEM※（セキュリティ情報およびイベント管理）製品が使われてきた。

各セキュリティ製品専用のログチェックツール

SIEM（セキュリティ情報およびイベント管理）

※ Security Information and Event Management


従来のツールの課題

15

しかし、従来の対策には課題もある。

各セキュリティ製品専用のログチェックツール

SIEM（セキュリティ情報およびイベント管理）

各製品のログを統合的・横断的にチェックできない

ログが大量になった場合、分析に時間がかかるスケールアウトに対応していない


ログのチェックにともなう課題の解決

16

従来のログチェックツールの課題を解決するには、以下の特長を備えた、SIEMに適したツールが必要。

大量＆不定形ログの収集が得意

リアルタイムに処理が可能

スケールアウトが容易


Splunkのご紹介

17

ビッグデータ利活用基盤ソリューション Splunk

大量のマシンデータを、素早く簡単に価値のある情報に変換する分析ソフトウェアです。

Online Services

Web Services

Security GPS Location

Desktops

Networks

Packaged Applications

Custom Applications

Messaging

Telecoms Databases

Call Detail Records

RFID

Servers

Online Shopping

Cart

Storage

Smartphones and Devices

Energy Meters Web

Clickstreams

前月、当月売上比較

複数ログから障害調査

部品故障率の将来予測

セキュリティ攻撃のリアルタイム

地図表示

リソースリアルタイム

監視

経営者向けダッシュボード

分析結果（価値のある情報）

素早く簡単に

大量のマシンデータ


ここまでのまとめ

18

標的型メール攻撃は、「潜入」の防止にのみ注力するのではなく、攻撃の各フェーズで多層的に防御することで、最終的な情報窃取は何としても防止するという考えで対策する必要があります。

標的型メール攻撃

メールゲートウェイ総合セキュリティソフト

サンドボックス

各セキュリティ製品専用のログチェックツール SIEM

ビッグデータ利活用基盤ソリューション

従来からの対策最近の脅威への更なる対策


3. Webサイトに対する攻撃への対策


最近の手口～水飲み場型攻撃～

20

水飲み場型攻撃とは、マルウェアに感染させたい企業の従業員が頻繁にアクセスするWebサイトを改ざんしワナをしかける攻撃のこと。

最近では、大手企業への攻撃の足掛かりとして、セキュリティ対策の遅れる中小・中堅企業も狙われている。


従来の対策

21

Webサイトに対する攻撃に対しては、従来、セキュアプログラミングによるWebアプリの脆弱性排除や、Webアプリケーションファイアウォール（WAF）の導入等が行われてきた。

Webセキュアプログラミング

Webアプリケーションファイアウォール（WAF）


従来の対策の課題

22

しかし、従来の対策には課題もある。

Webセキュアプログラミング

WAF

開発や保守に高度な知識と運用コストが要求されるパッケージソフトを利用している場合、修正が困難である

ゼロデイ攻撃に対処できないシグネチャの更新とチューニングに手間がかかる


新しいアプローチは“おとりの設置”

23

ますます高度化・巧妙化するWebサイトへの攻撃を防ぐには、Webサイトの前段に“おとりを設置”するのが効果的。

シグネチャを使用しないため、未知の攻撃にも対処可能。また運用の手間もかからない。

攻撃の標的をずらす

わざと攻撃させ犯人をマーキングする


WebApp Secureのご紹介

24

WebApp Secure Webサーバハッキング対策製品

Juniper Networks

WebApp Secureは、Webサイトを改ざんから守る「おとり捜査官」。自らをわざと攻撃させることで、攻撃者を捕捉します。

罠をしかけてわざと攻撃させる

攻撃してきた相手の特徴や手口を覚える

次に攻撃してきたらブロック！


WASが攻撃者に対して仕掛ける罠の例

25

?id=1

ダミーのクエリストリング

ダミーの.htaccess

ディレクトリ・トラバーサルに対するダミーの応答

© Hitachi Solutions, Ltd. 2014. All rights reserved. 26

Web改ざん

社内LAN

インターネット

DDoS攻撃

Webサーバネットワークベースフラッド攻撃

アプリケーションベースフラッド攻撃

Low and Slow 攻撃

SQLインジェクション

Firewall/IPS WAF

未知の攻撃

従来のWebセキュリティ対策


DDoS攻撃って何？

DDoS攻撃とは、Webサーバをダウンさせることを目的とした攻撃のこと。ボットに感染させた多数のPCから攻撃対象のサーバに大量のパケットを送りつける等の方法で攻撃する。

27


昨今のサービス妨害攻撃の事情

ネットワークベースフラッド攻撃

アプリケーションベースフラッド攻撃

Low and Slow 攻撃

攻撃手法・SYN Flood ・ICMP Flood ・UDP Flood

・HTTP Flood ・SMTP Flood ・DNS AMP

・R-U-Dead Yet (RUDY) ・Slowloris

説明 IP/TCPを中心に大量の通信を発生させて攻撃する

アプリケーションを中心に大量の通信を発生させて攻撃する

大量のパケットを送り付けずにリソースを消費させる攻撃

Bot ハッカー集団 Anonymousなど

専用ツール LOIC/HOICなど

DoS/DDoS攻撃も日々進化している

従来型の攻撃最近の攻撃傾向

28


DDoS Secureのご紹介

DDoS Secure DDoS対策製品

Juniper Networks

DDoS Secureとは、Webサーバのいわば「ガードマン」。 Webサーバが忙しくなると、ツールやボットからの攻撃と推測されるタチの悪いアクセスを優先的にブロックします。

Webサーバが低負荷の時 Webサーバが高負荷になると

ツールやボットからの攻撃と推測される通信をブロック

29


ここまでのまとめ

30

Webサイトへの攻撃に対しては、従来からの対策に加えて、高度化・巧妙化する脅威に特化した製品を導入することで、未知の脅威に対しても手間をかけずに対策が可能となります。

Webサイトへの攻撃

セキュアプログラミング Webアプリケーションファイアウォール

おとりの設置（WAS）

従来からの対策最近の脅威への更なる対策

ネットワーク・サーバの設定や構成の見直し

DDoS攻撃対策専用システムの導入


4. 実施しておくべき基本的な対策


セキュアルータ Juniper Networks SRXシリーズ

Juniper Networks SRXシリーズ


マーケティング部全員利用可アプリの利用禁止

×

ファイル転送書き込み

閲覧データ入力

ファイル転送

書き込み

× × × ×

ブラウジング

アプリケーションを識別

営業部

UTM（ルータ/スイッチ/ファイアウォール/IPS）機能により、ネットワークをシンプルにし管理・運用コストを削減！

禁止アプリケーションは遮断。特定の利用者にのみ、認めたアプリケーションを許可することで、入口/出口対策を実現。

× × × × SAP

NetSuite

Winny LINE

Facebook Twitter

Yahoo! ※アプリケーション識別/制御の機能は、弊社からは2014年中にリリース予定。

32



①入口でブロック

③出口でブロック

①入口対策

③出口対策

②共有フォルダの暗号化

②内部対策

①入口対策（メール） : 社外からの「標的型メール攻撃」を入口（メール）でブロック ②内部対策（エンドポイント） : 感染PCからの情報窃取を暗号化と持ち出し制御でブロック ③出口対策（Web） : マルウェア感染PCからの社外送信を出口（Web）でブロック

②エンドポイントからの持ち出し制御（外部媒体/メール/Web）とログ取得

秘文AE Email Gateway

秘文AE Web Gateway 秘文クライアント

秘文統合サーバ秘文ファイルサーバ

「標的型メール」による攻撃を３つの対策でブロック

情報漏洩防止ソリューション秘文シリーズ

33


5. まとめ


本日のまとめ

35

高度化・巧妙化する標的型サイバー攻撃に対しては、従来の対策に加え、最近の手口への備えが必要です。

標的型サイバー攻撃は、「潜入」の防止にのみ注力するのではなく、攻撃の各フェーズで多層的に防御することで、最終的な情報窃取は何としても防止するという考えで対策する必要があります。

基本的な対策ができていないと、最近の手口への備えは困難です。（まずは基本的な対策の見直しから）


標的型サイバー攻撃対策ソリューション

Webサイトへの攻撃対策

標的型メール攻撃への対策

Webサーバハッキング対策

DDoS対策

ネットワーク（UTM）

メール/Web

SIEM

対策の概要対策ソリューション

36

基本的な対策

ネットワーク（ファイアウォール）

サーバ/エンドポイント


付録標的型サイバー攻撃対策の基本的な考え方


「標的型メール攻撃」対策のガイドライン

IPAより標的型攻撃対策のガイドが公開されています。

「標的型メール攻撃」対策に向けたシステム設計ガイド http://www.ipa.go.jp/security/vuln/newattack.html

38


『標的型メール攻撃』の７つの攻撃段階

出典：IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」 http://www.ipa.go.jp/security/vuln/newattack.html 39


高度化・巧妙化した手口の攻撃に対して入口対策だけで止めることは困難。潜入を許したとしても情報の流出だけは食い止める内部対策と出口対策も実施することが重要。

対策の基本的な考え方

参考：IPA「『標的型メール攻撃』対策に向けたシステム設計ガイド」 http://www.ipa.go.jp/security/vuln/newattack.html

初期潜入段階

基盤構築段階

内部侵入・調査段階

目的遂行段階

標的型攻撃の攻撃パターン

入口対策

内部対策

出口対策

40

1. 標的型サイバー攻撃の最近の傾向 - hitachi...

Documents