View
36
Download
2
Category
Preview:
DESCRIPTION
本当に怖いのは何??. Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策. 住商エレクトロニクス株式会社 エスシー・コムテクス・カンパニー セキュリティ技術部 二木真明. IPAへのウイルス、ワーム届出状況. http://www.ipa.go.jp/security/txt/2003/11.html より引用. IPAへの不正アクセス届出状況. http://www.ipa.go.jp/security/crack_report/20031105/0310.html より引用. - PowerPoint PPT Presentation
Citation preview
Sumisho Electronics Co., Ltd. All right reserved.
Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策
住商エレクトロニクス株式会社エスシー・コムテクス・カンパニーセキュリティ技術部
二木真明
本当に怖いのは何??
Sumisho Electronics Co., Ltd. All right reserved.
IPAへのウイルス、ワーム届出状況
http://www.ipa.go.jp/security/txt/2003/11.html より引用
Sumisho Electronics Co., Ltd. All right reserved.
IPAへの不正アクセス届出状況
http://www.ipa.go.jp/security/crack_report/20031105/0310.html より引用
Sumisho Electronics Co., Ltd. All right reserved.
あいつぐ「脆弱性」の発覚 マイクロソフト関連(月間数個のオー
ダー) http://www.microsoft.com/japan/technet/security/
オープンソース系 Apache ( Web サーバ) Bind ( DNS サーバ・リゾルバ) Sendmail (メールサーバ) OpenSSL ( SSL 関連ライブラリ・ツール)
Sumisho Electronics Co., Ltd. All right reserved.
あなどれない「脆弱性」 バッファオーバフロー(オーバラン)の脅威 最も深刻な脆弱性のひとつ 攻撃者が外部から任意のプログラムを送り込める可能性が生じる
結果として、システム乗っ取り、侵入へ発展 攻撃コード( Exploit)の作成は高度な技術 しかし、公開された Exploitは誰でも簡単に利用可能=ワームに流用も可能
Sumisho Electronics Co., Ltd. All right reserved.
バッファオーバフローの原因・危険性 プログラマの不注意によって生じるセキュリティ問題
C言語などのプログラミングの「手抜き」が原因 外部から与えられるデータを格納するバッファサイズが小さい
不正に大きなデータをチェックせず、バッファがあふれてしまう
プログラムの実行制御領域を故意に操作可能 プログラムの制御を乗っ取れる可能性
Sumisho Electronics Co., Ltd. All right reserved.
バッファオーバフロー可能性の一例
void function1(int abc){ char bfr[128];
gets(bfr);
if (bfr[0] != ‘\n’) { ……. …….
実行制御領域
bfr[128]
引数領域
スタックメモリ領域
Sumisho Electronics Co., Ltd. All right reserved.
バッファオーバフロー攻撃の特性 プラットホーム(H/W, OS)への依存性が強い 同種のソフトウエアでも、MPUが異なったりOSが異なると、同じ攻撃コードは基本的には使えない
攻撃コードを作成するには以下の条件が必要 機械語命令(バイナリ)仕様が公開されているMPUを使用したシステムであること
OSや該当ソフトウエアのバイナリが広く入手可能(ソースコードの有無は攻撃コードの開発にはあまり重要ではない)
Sumisho Electronics Co., Ltd. All right reserved.
ネットワークワーム インターネットなどのネットワークを介して感染
を広げる悪性プログラム 最初は1988年のインターネットワーム( Morris) 事
件 一夜にして6000台以上のコンピュータに感染 黎明期のインターネットに衝撃を与えた CERT/CC 設立のきっかけに
2000年以降、頻繁に出現 その多くがバッファオーバフロー脆弱性を足がかりに CodeRed, Nimda, Slammer …… そして
Sumisho Electronics Co., Ltd. All right reserved.
Blaster, Welchia……… 大騒ぎになる理由
派手な感染劇と報道 感染した理由
パッチの当て忘れ、怠慢、その他の「事情」・・・・・
被害 大騒ぎによる業務停止 駆除の労力 面目まる潰れ・・・・ (極秘に処理)
Sumisho Electronics Co., Ltd. All right reserved.
不幸中の幸い・・・・・ PCの中身は破壊されたか?
ファイル破壊などはなし 重要情報は漏洩したか?
ファイル持ち出しなどはなかった キーロギングなどその他の漏洩もなかった
バックドア? あるにはあったが・・・・・
Sumisho Electronics Co., Ltd. All right reserved.
大騒ぎの顛末 MS03-026対策パッチはみんなあてた・・・・ それだけ??????
魔女狩り いったい誰が持ち込んだんだ!!!!
責任者は誰だ 今度やったらクビだ!!!!!
Sumisho Electronics Co., Ltd. All right reserved.
問題の本質は・・・・ MS03-026 DCOM/RPC Buffer Overflow
情報公開は 7/17 当初からワームに利用される可能性が議論され、 7月下旬には Exploit 確認・・・・・ 8月上旬、各所から対策に関する注意喚起・・・ 8/12 Blaster 発生確認 お盆休み明け感染の可能性を警告(新聞、 TV 等)
これだけの情報は、どこへ消えたのか・・・・・・
Sumisho Electronics Co., Ltd. All right reserved.
意識改革が必要!!! その後の脆弱性は大丈夫?
MS03-043 メッセンジャーサービスの脆弱性 MS03-049 ワークステーションサービスの脆弱性
それでも入ったら・・・・ どうやって発見するか どうやって拡大を阻止するか どうやって駆除するか いかにきちんと「反省」するか いかに、「反省」を次に生かすか
Sumisho Electronics Co., Ltd. All right reserved.
本当に怖いのは・・・・・ 特定の組織を狙い撃ちするスパイワーム
ゆっくりと感染(表面化しにくい感染方法) 特定の情報を収集して外部に送信(Webアクセスなどを偽装)
痕跡を消して自己消滅(後から発見はきわめて困難) 特定の組織を狙ったサイバーテロ
ゆっくりと多数のPC、サーバに感染 特定の日時または外部からの指示まで潜伏 重要ファイルを消去してから自己消滅
Blaster を作る技術があれば、簡単に作ることが可能な点が重要!!!
Sumisho Electronics Co., Ltd. All right reserved.
ネットワークワームの教訓 内部ネットワークはもはや安全ではない
Internet 境界のファイアウォールや IDSは万能にあらず
従来型の「ウイルス対策」の限界 本質的に後手の技術 「拡散したウイルス・ワーム」が対象
総合的セキュリティ対策の必要性 ハッカー対策とウイルス・ワーム対策は不可分である 予防対策 侵害の検知 インシデント対応 リカバリー
Sumisho Electronics Co., Ltd. All right reserved.
予防対策 侵入経路の封鎖
ファイアウォール・IDPSの利用 アンチウイルスシステム 機器の物理的保護 パスワード管理など、認証、ユーザ管理の徹底
脆弱性の排除 セキュリティパッチの適用確認
セキュリティポリシーの徹底 ユーザ教育
Sumisho Electronics Co., Ltd. All right reserved.
ウイルス・ワームへの対策 既知ワームには予防的(確定的)な対策が可能
アンチウイルスソフト、システムの導入 IDS による既知ワームシグネチャ検知 ファイアウォールによる特定サービスのブロック
未知のワームへの予防的対応は困難 アンチウイルスソフトの未知ウイルス・ワーム発見機
構は不確実 IDSによる検知は IDSのタイプによる 公開が必要なサービスを経由した攻撃にはファイアウ
ォールは無力 既知脆弱性には必ずパッチを!!
でも未公開の脆弱性は存在する・・・・
Sumisho Electronics Co., Ltd. All right reserved.
不正行為、セキュリティ侵害の検知 検知なくして対応なし 比較的簡単な検知
既知の攻撃の検出 (IDS) 不正なトラフィックの検出 ( F/W 拒否ログなど) 不正なアカウントアクセスの検出(認証ログなど)
難しい検知 異常なトラフィックの検知 ポリシー違反もしくは特異な行動の検知 正規ユーザの不正行為・正規の通信にみせかけた不正な通信
Sumisho Electronics Co., Ltd. All right reserved.
主なワームの挙動名称 発症行動 感染行動
感染先の特定 感染の実行
CodeRed Webサーバに対して感染、 Web ページを改ざんされたようにみせかけるホワイトハウスへの DDoS 攻撃バックドア作成(亜種)
ランダムな IP アドレスを生成、TCP/80 に対してのアクセスを行う
MS Index service に対するバッファオーバフロー脆弱性を利用した侵入
Nimda システムファイルの改ざん大量メール送信ドライブ不正共有など
ランダムな IP アドレスのTCP/80 へのアクセスメールアドレス帳検索共有フォルダ検索Web サーバページの検索
unicode bug などの脆弱性に対する攻撃と侵入codered II のバックドアからの侵入メールによる大量配布共有フォルダへのコピーWebサーバへの感染スクリプト混入により IEのスクリプト実行時の脆弱性を利用した侵入など
Slammer 特になし。(副作用としてのトラフィック激増による DDoS 的障害)
ランダムな IP アドレスのUDP/1434 に対してアクセスを行う
MS SQL サーバ解決サービスの脆弱性を利用した侵入
Blaster windows update サイトへのDDoS 攻撃バックドアの作成
40%の確率で、自分のローカルアドレスに近いネットワークアドレス、60%の確率で完全にランダムなアドレスを生成。TCP/135 ポートに対してアクセスを行う。
DCOM/RPC サービスのバッファオーバフロー脆弱性を利用して侵入
Sumisho Electronics Co., Ltd. All right reserved.
未知ワームを検知するには・・・ IDS は「ある程度」有効
攻撃コード( Exploit)ベースのシグネチャか、脆弱性( Vulnerability) ベースのシグネチャか・・・による
前者は既知の exploitコードを使ったものしか検知できない
後者は未知の攻撃コードでも検知可能な場合あり
100%あてにはできない
Sumisho Electronics Co., Ltd. All right reserved.
IDSの補完 アノマリー(異常)検出
通常ありえない高い(低い)トラフィック 通常使わないサービス、プロトコル 通常ありえない時間帯の利用 通常あり得ない宛先または発信元 ・・・・など
ポリシー違反 使ってはいけないサービス・プロトコル アクセスしてはいけない相手方 使ってはいけないアカウントやホスト(アドレス) ・・・など
Sumisho Electronics Co., Ltd. All right reserved.
ワームによって生じうるアノマリー 高トラフィックの発生 ホスト・ポートスキャンの発生 特定サービストラフィックの増加 クライアントPCへ向けたサービスアクセスの発生(連鎖的発生)
全般的なアクセス傾向の変化(これまでほとんどアクセスがなかったサイトなどへのアクセス増加)
・・・・・・など
Sumisho Electronics Co., Ltd. All right reserved.
アノマリー・ポリシー違反検出の方法 アノマリー検出型やポリシー違反検出型
IDSの利用 各種アクセスログ、トラフィックログに対するルールチェックもしくは統計処理
上記について複数のログ、アラームの複合条件によるチェック(関連性分析/相関分析)
Sumisho Electronics Co., Ltd. All right reserved.
そして監視・・・・・されど・・・ アノマリー発見は「職人芸」と「カン」の世
界? 複数の機器の並行監視
オペレータが複数では機器間の関連性分析は困難 「いやな雰囲気」の尺度は経験値
トラフィック異常などの統計的アノマリーは熟練者でないと判断が難しい(確率的)
人間にミスはつきもの!? オペレータ用マニュアルどおりに運用できているか?
Sumisho Electronics Co., Ltd. All right reserved.
総合的な監視の必要性 適切な検知機構
IDS, F/W, 各種ログを適切に配置 アラーム、ログを一元的に収集・管理
アノマリー検出機能 アノマリーセンサ ログ、アラームのアノマリー監視
関連性分析機能 時系列かつ複数監視点におけるイベント相関分析 オペレータマニュアルに書かれたチェック手順の自動
化
Sumisho Electronics Co., Ltd. All right reserved.
統合監視システムの条件 マルチベンダ機器対応
単にログ、イベントを収集するだけではなく、きちんと正規化して統一的に管理。
関連性分析機能 任意の条件による分析をプログラム可能。 機種依存のないプログラミング方法の提供。
傾向分析・追跡調査機能 攻撃などの傾向分析と直感的表示 発生した攻撃に関する各種の追跡調査機能
スケーラビリティ(中~大規模サイトへの対応)
Sumisho Electronics Co., Ltd. All right reserved.
統合監視システムの基本デザイン
デバイス
デバイス
デバイス
デバイス
デバイス
エージェント
エージェント
エージェント
マネージャCorrelationEngine
EventDatabase
Oracle/DB2
監視コンソール
監視コンソール
イベント情報の収集と標準化
リアルタイム分析+
イベントデータ蓄積 監視+調査機能
Webコンソール
Webコンソール
Sumisho Electronics Co., Ltd. All right reserved.
異常を見つけたら・・・・・・ 誤報の排除
関連性分析で誤報の可能性は少なくできる 一般のワームのような多発性の事象は、検知されれば
誤報の可能性は低い 単発の事象は、まずそのターゲット、ソースの調査を
インシデントレスポンス 侵入・感染対象の切り離し、隔離、確保 暫定的再発防止措置 (サービスのブロック、利用停
止、ネットワークの切り離し・・・・・・) 侵入経路、攻撃種類、影響の調査・解明
Sumisho Electronics Co., Ltd. All right reserved.
インシデントレスポンス インシデント=事件、事故 への事後対応
インシデントの種類を想定したシナリオが必要 侵入の成功(が疑われるケース) ワーム・ウイルス感染(が疑われるケース) 正規ユーザの不正行為(が疑われるケース) サービス妨害(が疑われるケース) ・・・・など
対応マニュアルの整備 防災(防犯)訓練の実施
Sumisho Electronics Co., Ltd. All right reserved.
たとえば、ワーム感染の対応例 感染機器またはネットワークの隔離
基幹ネットワークのケーブルを抜く ワームが使用するサービスをフィルタする
感染した機器の確認と駆除 駆除ツールの入手(可能ならば) セグメント単位で、駆除もしくは再インストールを含むリカバリの実施
リカバリ終了したセグメントから基幹に再接続
Sumisho Electronics Co., Ltd. All right reserved.
内部ネットワークのセキュリティ設計 インシデント発生時に隔離が可能な構成
各セグメントを(できれば一カ所で)分離可能な設計に(カスケード接続を減らす)
適切な防火ドア(ファイアウォール)の設置 インシデントの位置を特定できるような設計
IDS 等のセンサを要所に配置 ファイアウォール、サーバなどのログの集中管理 発信元アドレスから使用者を特定できるとベター 関連性分析が可能な機器配置
監視・インシデント対応の観点から見た
Sumisho Electronics Co., Ltd. All right reserved.
セキュリティシステムの導入・運用 目的に応じた機器導入・配置
何をしたいかによって構成は変化する 防御目的の機器、監視機器、そして配置
目的に応じた監視 防御機器の動作状況 監視機器のアラーム 関連性分析
インシデントレスポンス 「対応」できなければ「監視」の意味は半減
Sumisho Electronics Co., Ltd. All right reserved.
セキュリティマネジメントのサイクル
リスクアセスメント
ポリシー・対策の策定
ポリシー・対策の実施・運用見直し
セキュリティ機器導入
運用監視
インシデントレスポンス
Sumisho Electronics Co., Ltd. All right reserved.
まとめ 内部ネットワークは安全ではない(教訓) ウイルス・ワーム対策と侵入、攻撃対策は不可分
未知の攻撃を発見するには総合的な監視が必要
インシデントレスポンスを行えなければ監視の意味は半減
ネットワーク設計はセキュリティを考慮して
Sumisho Electronics Co., Ltd. All right reserved.
ご静聴ありがとうございました
Recommended