hpセキュリティリサーチ発表、 2014年に悪用された 10大脆弱性が明らかに!
TRANSCRIPT
1
© Copyright 2015 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HPセキュリティリサーチ発表、 2014年に悪用された 10大脆弱性が明らかに!
手遅れの事態を防ぎ、 負荷も軽減する脆弱性対策とは?
エンタープライズ・セキュリティ・プロダクツ統括本部
浅野貴志, CISSP / 22 July 2015
#HPWorldTour
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
アジェンダ
•HP サイバーリスクレポート2015 サマリ
•手遅れの事態を防ぎ、負荷も軽減する 脆弱性対策とは?
2
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
サイバー リスクレポート HP Security Researchチー
ムが毎年発行している1年を通したセキュリティの最新脅威や動向をまとめたレポート。 年間のセキュリティ動向を振り返ることは、企業のセキュリティ対応・戦略に従事する方々にとって、重要な役割を果たすと我々は考えます。
http://www8.hp.com/jp/ja/software-solutions/cyber-risk-report-security-vulnerability/
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
レポート内の主なテーマ
1.既知の攻撃はいまなお日常的
2.設定ミスはいまなお問題
3.より新しいテクノロジーが新たな攻撃の道を開く
4.限定される敵対者による攻撃の増加
5.サイバーセキュリティ法案の兆し
6.安全なコーディングへの挑戦
7.補完的な保護技術
3
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
脆弱性とエクスプロイト
既知の攻撃手法は現在も
主流です!!
7事例 2014 年のエクスプロイトTOP10 のうち、2年以上前から
存在する脆弱性をターゲットとした事例の数
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
2014年に悪用された脆弱性TOP10
4
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
WEB及びメールでのエクスプロイト配布
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
設定ミスはいまなお問題
不適切な構成は
現在も大きな問題
【サンプル】 • 6504個のWEBアプリケーション • 378個のモバイルアプリケーション など
5
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
WEBアプリ脆弱性TOP5
• 分析された全アプリケーションの中で最も一般的な脆弱性は、サーバーの構成不良。
• 「セキュリティ機能」に1つ以上の欠陥を
示したウェブアプリケーションの割合の前年度比
72% 86%
2013 2014 ~
68% 60% 58%
53% 48%
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
モバイルアプリ脆弱性TOP5
74% 71% 66% 62%
47%
電話帳、位置情報、写真データなどの過度な個人情報の補足が最大の問題
6
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
注目すべき攻撃手法 ①ランサムウェア
2014 Android
11
0
50
100
150
200
250
300
350
Q1 Q2 Q3 Q4
0 52 69
324以上
引用元: http://www.ipa.go.jp/files/000046075.pdf
【例】ファイルを暗号化した後に表示されるメッセージ
「Crypt Wall」は2014年4月~2015年6月までで被害総額が約20億円規模と言われています。
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
注目すべき攻撃手法 ②Linuxマルウェア
WEBサイト全体の60%が Apacheサーバー (そのほとんどがLinux上)
不正侵入される Linuxサーバーが増加
感染WEBサイトを訪問するユーザーが増加するため、成功率が高くなる
7
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
注目すべき攻撃手法 ③標的型メール
特定組織の特定個人が信頼してしまう内容のメールを外部から送信する手法。 日本語で業務に関係するような件名 公的機関などを送信元として偽装 不自然な点の無い日本語の本文 業務に利用されるofficeやpdfなどの 添付ファイル
公的機関を装った署名
引用元: http://www.ipa.go.jp/security/antivirus/documents/10_apt.pdf
【例】2008年4月にIPAをかたって 政府関係組織に送られた標的型メール
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
2015年6月に日本で発覚した標的型攻撃
Internet
ファイルサーバー
Proxy等
FW
FW
職員用PC及び 職員用端末
メールサーバー
社会保険オンライン システム 職員用PC及び
職員用端末
某国内企業やアメリカ, シンガポールなど
㊙ ㊙ ㊙
※引用元: http://www.nikkei.com/article/DGXLASDG01HCD_R00C15A6000000/?dg=1
⑤C&Cへ情報流出
㊙ ㊙ ㊙ ・・・
②C&Cから遠隔操作
流出した125万件のうち 55万件がパスワード未設定※
④個人情報収集
③感染拡大
感染
PDF Word
Excel
①なりすましメール
セミナ案内状のメールを学術機関の職員になりすまして送付。※ドキュメントに脆弱性を悪用したファイルが添付
(圧縮ファイル付き)
8
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
推奨事項
日々変化する脅威の実態を理解すること
パッチ戦略を策定し、実行すること
侵入テストや構成の検証を実施すること
補完的な保護テ クノロジーを採 用すること
コミュニティで脅威情報を共有すること
© Copyright 2013 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
手遅れの事態を防ぎ、負荷も軽減する 脆弱性対策とは?
9
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
最近の重大なセキュリティ事故
不正侵入 •企業・団体のサーバーやPCなどの
脆弱性を狙った外部からの攻撃
•内部犯行による侵入
潜伏・ 諜報活動
•侵入口(バックドア)の設置
•リモートにまたはローカルによる 内部情報の収集
攻撃実行・ 情報窃取
•データ破壊
•機密情報の漏えい
OSやソフトウェアの 設計・開発における不備
原因
セキュリティ パッチの未適用
原因
複数のログをただ取っているだけで タイムリーな分析と
通知の欠如
原因
入口対策
出口対策
内部活動対策
1. 入口対策、2. 内部活動対策、3. 出口対策を包括的に実装する必要があります!!
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
HPの脆弱性に対する対応
• 通常の脆弱性に対するアプローチ ⇒ 既知の脆弱性をIPSの仮想パッチで保護
• ゼロデイアタックにより発覚した脆弱性に対するアプローチ ⇒ 未知の脆弱性をATAのサンドボックス(仮想環境)を利用して保護
ベンダーが把握 脆弱性の公開 注意喚起
パッチ作成 パッチリリース 脆弱性の公開
脆弱性を悪用した攻撃が発生
パッチ作成 パッチリリース
脆弱性を ベンダーが把握
・・・
仮想 環境
既知と未知両方に TippingPointで対応します
時間
時間
仮想パッチ
仮想パッチ
仮想パッチ
仮想パッチ
仮想パッチ
10
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
2014年サイバー犯罪コストの調査(日本)
(単位=百万円)
Source: http://www8.hp.com/jp/ja/software-solutions/ponemon-cyber-security-report/
7億800万円 (この1年で5.74%増加)
21%
1億3千万円の節約
ベンチマーク対象企業(31社) の平均年間コスト
「高度な境界管理」の導入によるROI
(平均ROIは17%)
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
2014年サイバー犯罪コストの調査(日本)
Source: http://www8.hp.com/jp/ja/software-solutions/ponemon-cyber-security-report/
※TP: TippingPoint
TP
TP
TP
TP
TP
TP
TP
TP
11
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
TippingPoint NGIPSによる脆弱性対策
仮想パッチ機能
脅威情報
データベース
低遅延・ハイ
パフォーマンス
パッチ未適用 機器の保護
未知の攻撃による 不正アクセスの防御
高スループット と低遅延の実現
機能・特長
Networkの境界に導入し、様々な外部からの攻撃、
または内部から外部への攻撃を双方向で守ります!!
効果
各種 サーバー
古いOS含む 各種PC
仮想および クラウド環境
モバイル 端末
TippingPoint NGIPS
悪意のある トラフィック
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
仮想パッチ機能(脆弱性フィルター)
仮想パッチ適用済み空間
各種 サーバー
古いOS含む 各種PC
仮想および クラウド環境
モバイル 端末
ネットワーク上にパッチを 適用した状態と同等の環境
を作り出し、脆弱性を狙った攻撃からシステムを保護!
幅広いOS/ミドルウェア/アプリの脆弱性に対する仮想パッ
チを提供! (Microsoft, Adobe, Cisco, SAP, Apache, EMC, CA, Sun, Novell,
Oracle, Apple, Citrix, IBM, Symantec, Trend Micro,
各種UNIX/Linux, etc…..)
仮想パッチ機能 パッチ未適用
機器の保護
機能・特長 効果
• 実パッチ適用よりも早く 仮想パッチを適用、早い攻撃に対する防御を実現
• パッチ適用による システム不安定、再起動 などのリスクを回避
外部からの脆弱性を 利用した攻撃
ゼロデイ攻撃など 不正なアクセスから 重要なシステムを防御
その他の 効果
HP TippingPoint
(ティッピングポイント)
12
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
TippingPoint ATAによる未知の脆弱性対策
サンドボックス
内部活動対策
セッション情報の
多角的検知機能
添付ファイル型の 未知の攻撃を検知
侵入後の不正通信 を検知
複数のエンジン による多層検知
機能・特長
Networkのミラーポートに接続し
標的型メール攻撃を含む未知の攻撃を検知します!!
効果
各種 サーバー
古いOS含む 各種PC
仮想および クラウド環境
モバイル 端末
通信のコピー TippingPoint ATA
悪意のあるトラフィック (主に未知の脆弱性を悪用したもの)
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
NGIPSとATAアプライアンス連携による防御
ATAで検知した不正ソースの通信をIPSで即座にブロックします!!
• サンドボックス等で検知した不正通信に対しNGIPSを利用してアドレスベースでブロック。
お客様の価値
• IPS/ATAのお互いの弱点を長所で補完
• 全ての脆弱性にタイムリーな保護 (入口・出口の多層防御)
• 内部活動対策もフォロー
• 暗号化された通信も保護可能 (with Blue Coat)
internet
LAN
Core
Perimeter
NGIPS
NGIPS
NGIPS
SMS (TippingPoint管理アプライアンス)
1
3 3
3
2
ATA
13
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
NGIPSとATAのポジショニング
不正侵入 •企業・団体のWebサーバーの脆弱
性を狙った外部からの攻撃
潜伏・ 諜報活動
•侵入口(バックドア)の設置
•リモートによる内部情報の収集
攻撃実行・ 情報窃取
•データ破壊
•機密情報の漏えい
外部からの 不正侵入を ブロック!
外部からの 不正接続を ブロック!
★TippingPoint NGIPS 既知の脆弱性を悪用した通信を含む広範囲な攻撃を検知・即時防御 ⇒入口・出口対応
内部の 不審な挙動を
検知!
★TippingPoint ATA 正規通信に隠された脅威をあぶり出すセンサー ⇒入口・出口対応 ⇒内部ネットワークの可視化⇒サーバ・クライアントへの 対策まで一貫して対応
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
もしTippingPointを導入していたら・・・
Internet
ファイルサーバー
Proxy等
FW
FW
職員用PC及び 職員用端末
社会保険オンライン システム 職員用PC及び
職員用端末
㊙ ㊙ ㊙
複数のポイントで検知・防御を実現!!
メールに添付された不正ファイル を検知・防御(パスワード付も可)
TippingPoint ATA
TippingPoint ATA
TippingPoint NGIPS
メールサーバー
TippingPoint ATA ADへのアタック、ファイルサーバーへの アクセスなど検知
TippingPoint NGIPS/ATA C&Cサーバーとの通信を脅威データベースで検知・防御
某国内企業やアメリカ, シンガポールなど
14
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
まとめ
• 脆弱性に対する対策はキチンと実施しましょう。
• 検知だけでは既に遅い、悪い通信はブロックしましょう。
• 担当者の負荷も軽減するソリューションを選択しましょう。
が解決します!!
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
HPエンタープライズセキュリティ
•詳しくは担当営業までお問い合わせください。
•日本ヒューレット・パッカード株式会社
•カスタマー・インフォメーションセンター
• TEL: 0120-436-555
• Email: [email protected]
• URL: www.hp.com/jp/tippingpoint
15
© Copyright 2015 Hewlett-Packard Development Company, L.P.本書の内容は、将来予告なく変更されることがあります。
ありがとうございました