サイバーセキュリティ入門 - ipaパシフィコ横浜 2016年11月18日 森井昌克...
TRANSCRIPT
パシフィコ横浜2016年11月18日
森井昌克
(神戸大学大学院 工学研究科)
サイバーセキュリティ入門
森井
〜如何にして現存の脅威から自分を守るか、その現実的な対策とは〜
アジェンダ
• 最近の話題を通して
–サイバー犯罪、特に個人や組織が被害に遭う場合を想定して
• サイバー攻撃の方法について
–なぜ、いとも簡単に攻撃されるのか、そして成功するのか?
• まとめ
–防御のためには何をすべきか?
• 「金なし、人なし、知識なし」での対策とは
神戸大学大学院 森井昌克 2
マルウェアの世界的状況は?
• マルウェアの流通量(実際に有効な)は増えているのか?
–全世界的には減少傾向にある。
• 対策が少しづつであるが進みつつある– だがマルウェア自体は高度化し、2極化している
» 感染する組織と感染しない組織
神戸大学大学院 森井昌克 3
マルウェア(コンピュータウイルス)を侮ってはいけない!今や「総合不正アクセスツール」として進化を遂げ、AI等、最先端技術を取り入れている。
情報漏えいを含むすべての不正アクセスはマルウェアから、と言っても過言ではない!
世界(100カ国以上)合計の検体発生数の推移(1日毎)
0
500000
1000000
1500000
2000000
2500000
3000000
3500000
40000001 8
15
22
29
36
43
50
57
64
71
78
85
92
99
106
113
120
127
134
141
148
155
162
169
176
183
190
197
204
211
218
225
232
239
246
253
260
267
274
281
288
295
302
309
316
323
330
337
344
351
358
365
発生数
日付(2015/01/01~2015/12/31)
検体種類数:約1万
発生数1年合計:約10億
世界(100カ国以上)合計の検体発生数の詳細
発生数TOP10の発生数の推移(1日毎)
0
20000
40000
60000
80000
100000
120000
140000
1 8
15
22
29
36
43
50
57
64
71
78
85
92
99
106
113
120
127
134
141
148
155
162
169
176
183
190
197
204
211
218
225
232
239
246
253
260
267
274
281
288
295
302
309
316
323
330
337
344
351
358
365
Win32/Toolbar.CrossRider Win32/Toolbar.SearchSuite Win32/Toolbar.Conduit
トップ10に限れば、大幅に減少している。つまり、有効な対策が施されている。
日本(Japan)の検体発生数の推移(1日毎)
検体種類数:7000
発生数1年合計:1000万
0
10000
20000
30000
40000
50000
60000
70000
800001 9
17
25
33
41
49
57
65
73
81
89
97
105
113
121
129
137
145
153
161
169
177
185
193
201
209
217
225
233
241
249
257
265
273
281
289
297
305
313
321
329
337
345
353
361
発生数
日付(2015/01/01~2015/12/31)
日本(Japan)の検体発生数の推移(1日毎)
検体種類数:7000
発生数1年合計:1000万
0
10000
20000
30000
40000
50000
60000
70000
800001 9
17
25
33
41
49
57
65
73
81
89
97
105
113
121
129
137
145
153
161
169
177
185
193
201
209
217
225
233
241
249
257
265
273
281
289
297
305
313
321
329
337
345
353
361
発生数
日付(2015/01/01~2015/12/31)
日本(Japan)の検体発生数の推移(1日毎)
検体種類数:7000
発生数1年合計:1000万
0
10000
20000
30000
40000
50000
60000
70000
800001 9
17
25
33
41
49
57
65
73
81
89
97
105
113
121
129
137
145
153
161
169
177
185
193
201
209
217
225
233
241
249
257
265
273
281
289
297
305
313
321
329
337
345
353
361
発生数
日付(2015/01/01~2015/12/31)
JS/TrojanDownloader.
Nemucod(74%)
Javascriptで埋め込まれるダウンローダー型トロイの木馬(12月10日)
日本(Japan)の検体発生数の推移(1日毎)
検体種類数:7000
発生数1年合計:1000万
0
10000
20000
30000
40000
50000
60000
70000
800001 9
17
25
33
41
49
57
65
73
81
89
97
105
113
121
129
137
145
153
161
169
177
185
193
201
209
217
225
233
241
249
257
265
273
281
289
297
305
313
321
329
337
345
353
361
発生数
日付(2015/01/01~2015/12/31)
JS/Kryptik..AYQ(44%)
VBA/TrojanDownloader.
Agent.AMQ(19%)
JS/Kryptik.AYQ :Javascriptで埋め込まれるリダイレクト型のトロイの木馬VBA/TrojanDownloader.Agent: ワードによるダウンロード型トロイの木馬(12月17日)
JS/TrojanDownloader.Nemucod
• ばらまき型メール攻撃に用いられるトロイの木馬
– ランサムウェアをDLすることも。
–日本で突出して多い
神戸大学大学院 森井昌克 12
ちなみに
• 今、何かと話題のアメリカと比べると
神戸大学大学院 森井昌克 13
日本とアメリカ
神戸大学大学院 森井昌克 14
日本 アメリカ
0
20000
40000
60000
80000
100000
120000
11
73
34
96
58
19
71
13
129
145
161
177
193
209
225
241
257
273
289
305
321
337
353
発生数
0
10000
20000
30000
40000
50000
60000
70000
80000
1
16
31
46
61
76
91
106
121
136
151
166
181
196
211
226
241
256
271
286
301
316
331
346
361
発生数
日本とアメリカ
神戸大学大学院 森井昌克 15
日本 アメリカ
0
20000
40000
60000
80000
100000
120000
11
73
34
96
58
19
71
13
129
145
161
177
193
209
225
241
257
273
289
305
321
337
353
発生数
0
10000
20000
30000
40000
50000
60000
70000
80000
1
16
31
46
61
76
91
106
121
136
151
166
181
196
211
226
241
256
271
286
301
316
331
346
361
発生数
そしてIoTの世界へ
• Internet of Things
–すべてのモノがつながること
• 「つながる」とはどういうこと
• ネットでつながる!
–一意に識別可能な「もの」がインターネット/クラウ
ドに接続され、情報交換することにより相互に制御する仕組みである。「Internet of Everything」や「Smart Everything」、「サービスのモノ化」ともいう。(wikipediaより)
神戸大学大学院 森井昌克 16
そもそもIoTとは?
• Internet of Things
–すべてのモノがつながること
• 「つながる」とはどういうこと
• ネットでつながる!
–一意に識別可能な「もの」がインターネット/クラウ
ドに接続され、情報交換することにより相互に制御する仕組みである。「Internet of Everything」や「Smart Everything」、「サービスのモノ化」ともいう。(wikipediaより)
神戸大学大学院 森井昌克 17
鎖国状態(?)であった「現ネット社会」にすべての規制や制約を取り払った新たなネット社会の到来
技術の問題ではなく、新たな「インターネット革命」
そもそもIoTとは
• 身近なIoT(すぐそこに来ているIoT)
–個人にとっての電力自由化
–スマートメータ
• こまごまとした電力管理ができる
–間接的には
• スマホもIoT
– 事実上、スマホがあれば何でも出来る!
–車も
• 走るコンピュータ– ここ数年の車種は100個以上のマイクロプロセッサが
神戸大学大学院 森井昌克 18
IoTセキュリティの本質
• すべてがインターネットにつながる世界
• ネットでつながっていることが意識される世界でさえセキュリティの問題が…
–サイバー攻撃が見えない!?
• IoTの世界
–つながっていることが意識されない世界
– さらに見えないサイバー攻撃!?
• 今でさえ、何がつながっているかわからない?
神戸大学大学院 森井昌克 19
新たなる脅威
神戸大学大学院 森井昌克 20
新たなる脅威
神戸大学大学院 森井昌克 21
IoT: 何がどうつながっているのか、わからない!
自分本位のセキュリティを: 外の世界の脅威に影響されない対策を!
外の世界のセキュリティについてはわからない?
最近の話題を通して
• 日本年金機構情報漏えい事件
–標的型メール攻撃
• コンビニATM18億円不正引き出し
–サイバーフィジカル黎明期型犯罪
神戸大学大学院 森井昌克 22
対策を含めて、少し誤解がある!
今後のサイバー犯罪の手口とは?
少し古いが、現在も続く象徴的事件として
神戸大学大学院 森井昌克 23
出典:http://www.nenkin.go.jp/oshirase/press/2015/201508/20150820-02.files/press0820.pdf
神戸大学大学院 森井昌克 24
日本年金機構情報漏えいの経緯
日本年金機構対応の問題点(1)
• 標的型メール攻撃の認識がなかった(5/8)(5/18)
• 標的型メール攻撃の確認をしなかった(5/18)
• 添付ファイル開封の有無の確認を怠った(5/20)
• NISCの指示に従わなかった(問題視しなかった)(5/21)
• インターネット接続の遮断を躊躇した(5/22)
神戸大学大学院 森井昌克 25
日本年金機構情報漏えい事件
• 2015年5月8日に標的型メール攻撃を受け感染後、23日までに多数のPCおよび複数台のサーバ(通信サーバ、共有サーバ)にマルウェアが感染、その間に情報流出続く
– まず、標的型メール攻撃は防げないのか?
神戸大学大学院 森井昌克 26
神戸大学大学院 森井昌克 27
神戸大学大学院 森井昌克 28
【質問】
• 標的型メール攻撃は防げないのか?
–対策をとれば、防げると思う人 ○
–絶対に防げないと思う人 ×
神戸大学大学院 森井昌克 29
標的型攻撃
神戸大学大学院 森井昌克 30
標的型メール攻撃→無差別型メール攻撃?に
標的型攻撃は標的を選ばない!
標的型メールは標的を選ばない!
• 「標的型メール攻撃」という言葉が悪い?
–自分のところは狙われていない!
• 大いなる錯覚
• 自分の(情報の)価値を正しく認識していない
• 踏み台(攻撃の前線基地)になる!– 最悪の事態→裁判の矢面に!
• 標的型メール攻撃ではなくAPT
–執拗でずる賢い攻撃
• 年単位の攻撃– 2013年3月の韓国全土におけるサイバー攻撃では3年前から準備
神戸大学大学院 森井昌克 31
標的型メール攻撃は防げないのか?
• 標的型メール攻撃の演習は無意味?
神戸大学大学院 森井昌克 32
• 標的型メール攻撃は防げない!?
–不審なメールなどありえない?
• 詐欺師(攻撃側)は巧妙な手段を使う
• とはいえ、対策も行われている。
–標的型メール攻撃の演習
• メールを送って、安易に添付ファイルを開くか否かを試験し、開いた人には注意を促す。それを年間数回繰り返す。
【質問】
• 標的型メール攻撃の演習は無意味か?
–無意味と思う人 ○
–効果があると思う人 ×
神戸大学大学院 森井昌克 33
標的型メール攻撃は防げないのか?
• 標的型メール攻撃は防げない!?
–不審なメールなどありえない?
• 詐欺師(攻撃側)は巧妙な手段を使う
• 標的型メール攻撃の演習は無意味?
– 「前回10人が引っ掛かったのが今回2人になった」というのは無意味
–一人でも引っ掛かれば感染は広まる!
–では、それでもなぜ行うのか?
• セキュリティ意識を高めるため
神戸大学大学院 森井昌克 34
標的型メール攻撃は防げないのか?
• もはや「おまじないのレベル」
–怪しい添付ファイルは開かない!
–ウイルス対策ソフトを有効に!
– ファイヤーウォールやUTMを導入!
• もちろん、UTMは有効であるが… しかし– UTMも「お札」ではない!?
神戸大学大学院 森井昌克 35
標的型メール攻撃は防げないのか?
• (よく言われるが)標的にならないのでは!?
–情報の価値を評価できない
–その価値が最大の時に漏えいすれば…
–バックドアを仕掛けられる
–他社を攻撃する踏み台に
• 訴えられる可能性
神戸大学大学院 森井昌克 36
本当に標的型攻撃を受けているのか?
• 確実に言えるのは攻撃を受け、それが成功しているサイトの70%~80%は気付いていない!
– しかも楽観的考えても、数%、悲観的に考えれば10%前後のサイトは攻撃受け、事実上の被害を受けている
神戸大学大学院 森井昌克 37
標的型メール対策の勘違い
• 標的型メール攻撃演習の本来の意味
–引っかからないようにすることではなく(それも重要ですが)、その後の処理が大事!
• どのように連絡し、事後にどのように処理するか。
• 被害を最小に抑えるための対策
神戸大学大学院 森井昌克 38
リスクを最小化するハザードトレラントシステム
災害:予知できない、避けられない
日本年金機構情報漏えい事件
• 2015年5月8日に標的型メール攻撃を受け感染後、23日までに多くのPCおよび複数台のサーバ(通信サーバ、共有サーバ)にマルウェアが感染
– まず、標的型メール攻撃は防げないのか?
– マルウェアを検知することはできなかったのか?
神戸大学大学院 森井昌克 39
【質問】
• マルウェアを検知することはできるハズ?
–費用や人材育成を十分とすればできると思う人 ○
–できないと思う人 ×
神戸大学大学院 森井昌克 40
マルウェア感染
• マルウェアの初動で感染を検知することは極めて難しい
–ひそかに活動する能力に富んでいる
• 通常の業務(動作)と見分けることが難しい
–絶対に不可能というわけではないが…
• 事実上(コストもあって)難しい
• ただし、データを外部に送る、遠隔操作される等の行動は検知できる!(ハズ)
神戸大学大学院 森井昌克 41
日本年金機構情報漏えい事件
• 2015年5月8日に標的型メール攻撃を受け感染後、23日までに多くのPCおよび複数台のサーバ(通信サーバ、共有サーバ)にマルウェアが感染
– まず、標的型メール攻撃は防げないのか?
– マルウェアを検知することはできなかったのか?
• 5月21日の不審な通信を確認後、23日までに通信遮断。
– 3日間は長すぎないか? 早期に(瞬時に)遮断できなかったのか?
神戸大学大学院 森井昌克 42
【質問】
• 不審な通信を発見してからの対策が遅すぎる!
–確かに遅すぎると思う人 ○
–いや、3日間は妥当であると思う人 ×
神戸大学大学院 森井昌克 43
【回答】
• 確かに、不審な通信を発見してからの対策が早いとは言えない。
–おそらく危機管理がなっていない!?
• 感染後のシナリオを想定した対策を行っていなかった?
神戸大学大学院 森井昌克 44
日本年金機構情報漏えい事件
• 2015年5月8日に標的型メール攻撃を受け感染後、23日までに多くのPCおよび複数台のサーバ(通信サーバ、共有サーバ)にマルウェアが感染
– まず、標的型メール攻撃は防げないのか?
– マルウェアを検知することはできなかったのか?
• 5月21日の不審な通信を確認後、23日までに通信遮断。
– 3日間は長すぎないか? 早期に遮断できなかったのか?
• 6月1日の公表後は、「悪用の事実はない」としている
– 安心していいのか、犯人の目的は何か?
神戸大学大学院 森井昌克 45
改めて、サイバー攻撃
• 他人事ではない!
–あなたは常に狙われている!
–標的型メール攻撃だけではない、無差別型もある?!
神戸大学大学院 森井昌克 46
他人事ではない!?
• なぜ攻撃が存在するのか?
• なぜ「あなた」を狙うのか?
–情報の価値
• なぜ「あなた」は狙われるのか?
–攻撃の容易さと無作為性
• なぜ攻撃されているとわかるのか?
– これが一番大きな問題: 実際、わからない場合は多いのだから。
神戸大学大学院 森井昌克 47
誰が行うのか、標的型攻撃
• 特定の思想を持つ個人、グループ
– hogehogeに刃物!?
• 営利目的
– 「もの」から「情報」へ
• 犯罪組織
– 情報共有
• テロリスト
– インフラは全てITで制御
• そして国家組織
– サイバー戦
神戸大学大学院 森井昌克 48
不正アクセスからサイバーテロへ
• スクリプトキディ– インターネット上で公開されている操作が簡単なクラックツールを利用して、興味本位の不正アクセスを試みる「幼稚な」クラッカー
• ハクティビスト
– 独善的な「正義」を動機とするタイプのハッカー
• 犯罪者(金銭目的)– システム破壊(ランサムウェア)
– 情報搾取
• 価値に関係なく神戸大学大学院 森井昌克 49
サイバーテロ対策
• 他人事じゃないサイバーテロ
–社会の一員であることを自覚
• サイバー攻撃への対処(一般編)
–一人の被害が組織の被害に、そして社会の被害に
–一人一人のセキュリティ意識が重要• 小さい穴から大きな穴に
• いきなり「爆弾」が落とされる事はまずない!
–インテリジェンス(コツコツと情報を集めて、最後に爆発させる)
神戸大学大学院 森井昌克 50
最近の話題を通して
• JTB顧客情報漏えい事件
–標的型メール攻撃
• コンビニATM18億円不正引き出し
–サイバーフィジカル黎明期型犯罪
神戸大学大学院 森井昌克 51
今後のサイバー犯罪の手口とは?
コンビニATM、何が問題だった?
• 問題はない、あえて言うならば
「(犯罪を)想定」しなかったこと!
– クレジットカード犯罪は十分予期できたこと。
• 日本の環境が犯罪に最適であった!?
– 24時間稼働のコンビニATM
– コンビニの集中化、過密化
–ネットによる情報共有
–そして、サイバー犯罪
による情報搾取神戸大学大学院 森井昌克 52
ネット社会の便利さは犯罪者にとって有利?
アジェンダ
• 最近の話題を通して
–サイバー犯罪、特に個人や組織が被害に遭う場合を想定して
• サイバー攻撃の方法について
–なぜ、いとも簡単に攻撃されるのか、そして成功するのか?
• まとめ
神戸大学大学院 森井昌克 53
なぜ攻撃が容易か?
• 空き巣と同じで「戸締まり」の悪いサイトが存在する
– 空き巣は一日の行動範囲はわずか数Kmから数十Km
– ネットでは世界中を簡単に俯瞰できる!
• 空き巣と同じで「様々な道具」を使いこなせる
– 空き巣が使える道具は高々持ち運べるものぐらいで使いこなすにはかなりの熟練を要する
– ネットでは最新の機材が、誰でも使いこなせるように準備されている。
神戸大学大学院 森井昌克 54
では対策?
• アンチマルウェアソフト(総合セキュリティソフト)があるから大丈夫!?
–優れたセキュリティソフトもあるし…
–それにFirewallも実装されているし…
– もうこれで十分安全?
• 本当?
– 99.99%安全としても「万が一」は有り得る
–それも不特定多数としても???
神戸大学大学院 森井昌克 55
セキュリティは総合技術
• セキュリティは簡単ではない!
–物理的に例えれば…
• ドアに鍵をかける事で十分か?– 統合セキュリティソフトは鍵をかける事!
• せめて金庫を!
• せめて監視カメラを!
• せめて防犯装置を!
神戸大学大学院 森井昌克 56
早期発見・早期対策
• 予防はもちろんのこと、サイバー攻撃に対する早期発見、そして適切な早期対策が必要!
神戸大学大学院 森井昌克 57
高度化したサイバー攻撃に対しては、専門的技能を有する技術者集団でなければ対応出来ない
特に、「定型」なセキュリティは存在しない。組織に見合った最適なセキュリティを施す必要がある。
セキュリティは総合技術
• セキュリティは簡単ではない!
–攻撃するものは誰か?
• すべてを想定することの困難さ
–守るべきものは何か?
• 意外と出来ていない自己分析
神戸大学大学院 森井昌克 58
言うは易し、行うは難し
最後に復習
• 情報セキュリティマネジメント試験
– 2016年4月11日実施
–情報セキュリティマネジメント試験は、平成28年
の春期より実施開始が予定されている情報処理に関する新しい国家試験です。
主にユーザ企業における情報管理担当者やセキュリティ業務担当者を対象としていて、ITの安
全な利活用を推進するための基本的知識・技能を有することを認定する内容となっています。
神戸大学大学院 森井昌克 59
問題• 午後の部(問1)その一部
• 標的型攻撃メールの脅威と対策に関する次の記述を読んで,設問1,2
に答えよ。– Y社は,事務用機器を主力商品とする販売代理店である。従業員数は1,200名であり,本社には営業部,情報システム部,総務部などがある。〔PCのマルウェア感染〕ある日,情報システム部は,Y社内の1台のPCが大量の不審なパケットを発信していることをネットワーク監視作業中に発見し,直ちに外部との接続を遮断した。情報システム部による調査の結果,営業部に所属する若手従業員G君が,受信した電子メール(以下,電子メールをメールという)の添付ファイルを開封したことが原因で,G君のPCがマルウェアに感染し,大量のパケットを発信していたことが判明した。幸いにも,情報システム部の迅速な対処によって,顧客情報の漏えいなどの最悪の事態は防ぐことができた。(以下略)
– E課長: 今回のような標的型攻撃メールなどへの対策に当たっては,従業員一人一人
の情報セキュリティ意識を向上させる地道な活動が必要だと思う。まずは,実際に攻撃を受けた場合にも一人一人が適切に対応できるかを定量的に測定し評価できるようにしていきたい。そのための全社的な取組みも情報システム部で実施してもらえないだろうか。
– S主任: 承知いたしました。検討し実施したいと思います。
神戸大学大学院 森井昌克 60
問題(続き)
• 本文中の下線について,E課長の提案に応える取組みはどれか。解答群のうち,最も適切なものを選べ。– (A)標的型攻撃メールについて,従業員のPCがマルウェア感染しないために注意すべき事項を標語として作成して掲示する。
– (B)標的型攻撃メールへの対策を題材とするDVD上映会を年に2回開催し,従業員の出席率を確認する。
– (C)標的型攻撃メールを起因とするインシデントについて,他社で発生した事例を月に1回,イントラネット上の掲示板で紹介する。
– (D)模擬の標的型攻撃メールを従業員に期間を空けて何回か送付し,添付ファイル開封後の報告完了率,報告完了までに要した時間などの変化を調査する。
神戸大学大学院 森井昌克 61
問題(続き)
• 本文中の下線について,E課長の提案に応える取組みはどれか。解答群のうち,最も適切なものを選べ。– (A)標的型攻撃メールについて,従業員のPCがマルウェア感染しないために注意すべき事項を標語として作成して掲示する。
– (B)標的型攻撃メールへの対策を題材とするDVD上映会を年に2回開催し,従業員の出席率を確認する。
– (C)標的型攻撃メールを起因とするインシデントについて,他社で発生した事例を月に1回,イントラネット上の掲示板で紹介する。
– (D)模擬の標的型攻撃メールを従業員に期間を空けて何回か送付し,添付ファイル開封後の報告完了率,報告完了までに要した時間などの変化を調査する。
神戸大学大学院 森井昌克 62
演習は無駄ではない、ただし、その後が大事
改めて、セキュリティの本質
• フラットな世界(高い塀で守られた世界ではない)
–今までは「守られた」世界• いくつもの障壁… それは財力であったり、技術であったり、はたまた地形であったり、言葉であったり…
–攻撃側の障壁はない• 普通の小中学生でも攻撃可能
– 小中学生だからこそ?
–対策の大前提• 「知る」こと。
• そして戦場である事を認識する事!
• 戦場では防衛しますか?逃げ回りますか? それとも裸で立ち向かいますか?
神戸大学大学院 森井昌克 63
そして最後の最後に!
• あなたの組織(自治体、病院、銀行)も被害!
– 確実に狙われているあなたの会社
• 知らない事ほど恐ろしい事はない!!
• 理解されないセキュリティ!
– 本当は難しいセキュリティ技術
• 総合技術
• 付け刃的対策では絶対無理!
– しかし「保険」と同じ性質もある
• 適切なセキュリティを
– 1億円のものに1円のセキュリティは論外だが、1円に1億円も同等
神戸大学大学院 森井昌克 64
そして最後の最後に!
• あなたの組織(自治体、病院、銀行)も被害!
– 確実に狙われているあなたの会社
• 知らない事ほど恐ろしい事はない!!
• 理解されないセキュリティ!
– 本当は難しいセキュリティ技術
• 総合技術
• 付け刃的対策では絶対無理!
– しかし「保険」と同じ性質もある
• 適切なセキュリティを
– 1億円のものに1円のセキュリティは論外だが、1円に1億円も同等
神戸大学大学院 森井昌克 65
まず、知ること!自分(組織)の状況…安全でないことを!対策を…最良の方法があるはず(コストを含めて)
危機管理とは「被害を予測、想定すること!」