Embed Size (px)
Citation preview
平成 21 年度各専門分野情報共有スキームの連携性
及び情報交換モデルの構築支援業務
リスク要件リファレンスモデル作業部会
報告書
2010 年 3月
i
目 次
Ⅰ-1.リスク要件リファレンスモデルドキュメント集
1. リスク要件リファレンスモデルとは ........................................................................... 1
1.1. モデルの背景と目的 ............................................................................................ 1
1.1.1. セキュリティ対策の現状 ............................................................................... 1
1.1.2.リスク要件リファレンスモデルの必要性............................................................ 4
1.2. モデルの検討スキーム ......................................................................................... 7
1.3. モデルの構成 ....................................................................................................... 8
1.4. 重要脅威カタログ .............................................................................................. 12
2. システムトポロジモデル .......................................................................................... 13
2.1. システムトポロジモデル選定の考え方 ............................................................... 13
2.2. イントラネットモデル ....................................................................................... 14
2.3. 閉域型モデル ..................................................................................................... 15
2.4. iDC モデル ........................................................................................................ 15
2.5. SaaS モデル ...................................................................................................... 15
3. 振る舞いモデル ........................................................................................................ 25
3.1. 振る舞いパターン分類の視点 ............................................................................. 25
3.2. 振る舞いパターンの概要.................................................................................... 28
3.2.1. 正規 Web 閲覧によるマルウェア感染(情報搾取) ......................................... 29
3.2.2. 標的型メール攻撃(情報搾取) ...................................................................... 30
3.2.3. 正規 Web 改竄による誘導 .............................................................................. 31
3.2.4. 媒体介在マルウェア感染(情報搾取) ........................................................... 32
3.2.5. 複合 DDos 攻撃(攻撃基盤) ......................................................................... 33
3.2.6. 通常 DDos 攻撃 .............................................................................................. 34
3.3. 振る舞いパターン別攻撃事例 ............................................................................. 35
3.4. 代表的な振る舞いモデルの詳細 ......................................................................... 39
3.4.1. 正規 Web 閲覧によるマルウェア感染(情報搾取)<バリエーション1>...... 39
3.4.2. 正規 Web 閲覧によるマルウェア感染(情報搾取)<バリエーション2>...... 45
3.4.3. 標的型メール攻撃(情報搾取) .......................................................................... 51
3.4.4. 媒体介在マルウェア感染(情報搾取) ........................................................... 55
4. 影響と問題点の分析 ................................................................................................. 57
4.1. 脅威トレースの方法とトレース実施対象の選択 ................................................. 57
4.1.1. 脅威トレースの目的と方法............................................................................. 57
4.1.2. 脅威トレース実施対象 ................................................................................... 60
4.2. イントラネットモデル上での脅威トレース ........................................................ 63
ii
4.2.1. 「振る舞いパターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)」<バ
リエーション1>の脅威トレース ................................................................................ 63
4.2.2. 「振る舞いパターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)」<バ
リエーション2>の脅威トレース ................................................................................ 75
4.2.3. 「振る舞いパターン2:標的型メール攻撃(情報搾取)」の脅威トレース...... 78
4.2.4. 「振る舞いパターン4:媒体介在マルウェア感染(情報搾取)」の脅威トレース
88
4.2.5. 振る舞いパターン 1 の挙動 ............................................................................ 97
5. 組織上の問題点 ...................................................................................................... 101
5.1 組織特性による業務システムに対する脅威 ...................................................... 101
5.2 組織に与える被害と影響.................................................................................. 105
6. 設計対策セット ...................................................................................................... 113
6.1. 設計対策セットとシステムトポロジ・振る舞いパターンの関係 ....................... 113
6.2. システムデザイン設計対策 .............................................................................. 123
6.2.1. 【A010】2要素認証・OTP の導入.............................................................. 123
6.2.2. 【A020】認証情報のチェック ...................................................................... 123
6.2.3. 【A030】HTTP 通信のヘッダーチェック .................................................... 123
6.2.4. 【A040】侵入検知(IDS)機能の活用......................................................... 123
6.2.5. 【A050】メール件名フィルター等の導入 .................................................... 123
6.2.6. 【A060】未知のウィルス検出ソフトウェアの導入....................................... 124
6.2.7. 【A070】マルウエアダウンロードの GET コマンド遮断 ................................ 124
6.2.8. 【A080】PC(認証)一括管理設計時の考慮事項 ......................................... 124
6.2.9. 【A090】システム Bot 化対策 ..................................................................... 124
6.3. アプリケーション開発設計対策 ....................................................................... 124
6.3.1. 【B010】Web アプリケーションへのセキュア設計・開発の導入 ................. 124
6.3.2. 【B020】業務アプリケーションへのセキュア設計・開発の導入 .................. 125
6.4. ネットワークトポロジ設計対策 ....................................................................... 125
6.4.1. 【C010】「管理用 LAN」の設定 .................................................................. 125
6.4.2. 【C020】通信のプロキシ経由の有無をチェック .......................................... 126
6.4.3. 【C030】Web サーバ管理端末のアクセス先制限 ......................................... 126
6.4.4. 【C040】Web サーバ管理端末の限定........................................................... 126
6.4.5. 【C050】帯域制限・帯域保証 ...................................................................... 126
6.4.6. 【C060】アノマリ検知による対応 ............................................................... 126
6.4.7. 【C070】ISP 事業者による DDos 対策サービスの活用 ................................ 126
6.4.8. 【C080】システム外への拡散感染阻止 ........................................................ 126
iii
6.4.9. 【C090】ルータ等でのルーティング設定 .................................................... 127
6.4.10. 【C100】システムプロキシ経由通信コントロール ................................... 127
6.5. テスト評価のための設計対策 ........................................................................... 127
6.5.1. 【D010】Web サイトの脆弱性評価のためのテスト設計 ............................... 127
6.5.2. 【D020】Web アプリケーション診断サービスの利用 .................................. 127
6.6. 運用管理対策 ................................................................................................... 127
6.6.1. 【E010】Web サイト改竄の早期発見対策 .................................................... 127
6.6.2. 【E020】Web サイト復旧対策 ..................................................................... 128
6.6.3. 【E030】OS、ブラウザ、およびアプリケーション・ソフトウェアへの 新セキ
ュリティパッチの実施 ............................................................................................... 128
6.6.4. 【E040】不要なアプリケーションやサービスの停止 ................................... 128
6.6.5. 【E050】自動実行機能の停止 ...................................................................... 129
6.6.6. 【E060】ウィルス検知パターンの更新 ........................................................ 129
6.6.7. 【E070】外部ホストへの接続試行通信(グローバル IP)遮断 .................... 129
6.6.8. 【E080】容量監視による感染動作の検出 .................................................... 129
6.6.9. 【E090】感染通信ポートの遮断等「初動対処オペレーション手順等の準備」129
6.6.10. 【E100】マルウエアダウンロード検知 .................................................... 129
6.6.11. 【E110】AV パターンの更新(一括更新機能含む) ................................. 129
6.6.12. 【E120】脆弱性パッチの適応(適応集中管理機能を含む) ..................... 130
6.6.13. 【E130】USB の inf 検出 ......................................................................... 130
6.7. 要求・試験仕様 ............................................................................................... 130
図目次
図 1-1 攻撃構造と手法と影響の変化 ........................................................................ 1
図 1-2 開発プロジェクトにおける発注者・受注者の関係 ......................................... 3
図 1-3 CND と IA の関係 ....................................................................................... 4
図 1-4 「効率的に守るべきものを守る」概念図....................................................... 5
図 1-5 SBD 検討会と本事業の関係 .......................................................................... 5
図 1-6 リスク要件リファレンスモデルの運用効果 ................................................... 6
図 1-7 リスク要件リファレンスモデルの背景と目的 ................................................ 6
図 1-8 リス要件リファレンスモデルの検討スキーム ................................................ 7
図 1-9 リスク要件リファレンスモデルと組織連携・動的判断モデル検討の関係 ...... 8
図 1-10 リスク要件リファレンスモデルの構造概念 ................................................. 9
図 1-11 リスク要件リファレンスモデルの脅威対象分野 ........................................ 10
iv
図 1-12 リスク要件リファレンスモデルの基本概念 ............................................... 11
図 1-13 重要脅威カタログの構成イメージ ............................................................. 12
図 2-1 イントラネットモデルの模式図 ..................................................................... 17
図 2-2 閉域型モデルの模式図 ................................................................................... 18
図 2-3 iDC モデルの模式図 .................................................................................. 19
図 2-4 Saas モデルの模式図 ................................................................................ 20
図 3-1 振る舞いパターン分類のアプローチ手順..................................................... 26
図 3-2 振る舞いパターンの整理結果 ...................................................................... 27
図 3-3 振る舞いパターン概要図の凡例 .................................................................. 28
図 3-4 正規 Web 閲覧によるマルウェア感染(情報搾取) ....................................... 29
図 3-5 標的型メール攻撃(情報搾取) .................................................................. 30
図 3-6 正規 Web 改竄による誘導 ............................................................................. 31
図 3-7 媒体介在 マルウェア感染(情報搾取) ...................................................... 32
図 3-8 複合 DDos 攻撃(攻撃基盤) .......................................................................... 34
図 3-9 通常 DDos 攻撃........................................................................................... 35
図 3-10 パターン 1・バリエーション1の振る舞い ................................................ 39
図 3-11 パターン 1・バリエーション2の振る舞い ................................................ 45
図 3-12 パターン2・バリエーション1a の振る舞い ............................................ 51
図 3-13 パターン2・バリエーション1b の振る舞い ............................................ 53
図 3-14 パターン4・バリエーション1の振る舞い ............................................... 55
図 4-1 脅威振る舞いパターン~システムトポロジトレースによる危険性の抽出 .... 57
図 4-2 イントラネット上での振る舞いパターン1(バリエーション1)の脅威トレー
ス事例 ............................................................................................................... 58
図 4-3 通信ネットワークの階層とサイバー攻撃の関係 .......................................... 59
図 4-4 脅威トレースの概念図 ................................................................................ 59
図 4-5 振る舞いパターン1・バリエーション1の振る舞い概要図(再掲) ........... 63
図 4-6 イントラネット×振る舞いパターン1の脅威トレース結果概要 .................. 65
図 4-7 振る舞いパターン 1 バリエーション2の振る舞い概要図(再掲) .............. 75
図 4-8 パターン 1・バリエーション2のトレース結果 ........................................... 77
図 4-9 振る舞いパターン2の振る舞い概要図(再掲) .......................................... 78
図 4-10 イントラネット×振る舞いパターン2の脅威トレース結果概要 ................ 80
図 4-11 振る舞いパターン4の振る舞い概要図(再掲) ........................................ 88
図 4-12 イントラネット×振る舞いパターン4の脅威トレース結果概要 ................ 90
図 4-13 閉域型モデルにおける振る舞いパターン 1 の挙動..................................... 98
図 4-14 iDC モデルにおける振る舞いパターン1の挙動 ........................................ 99
図 4-15 SaaS モデルにおける振る舞いパターン 1 の挙動 .................................... 100
v
図 5-1 システムのリスクレベルの考え方 ............................................................. 101
図 5-2 サイバー攻撃事象 ..................................................................................... 103
図 5-3 サイバー攻撃の背景とシステム化 ............................................................. 106
表目次
表 2-1 システムトポロジモデルの種類 .................................................................. 13
表 2-2 システムトポロジモデルにおける構成要素の機能(攻撃対象となる構成要素)
.......................................................................................................................... 21
表 2-3 イントラネットモデルにおける構成要素の機能(防御機能を持つ構成要素)
.......................................................................................................................... 23
表 3-1 振る舞いパターン 1・バリエーション1の詳細 ........................................... 40
表 3-2 振る舞いパターン 1・バリエーション2の詳細 ........................................... 46
表 3-3 振る舞いパターン 2・バリエーション 1 の詳細........................................... 52
表 3-4 振る舞いパターン2・バリエーション2の詳細 .......................................... 54
表 3-5 振る舞いパターン4・バリエーション1の詳細 .......................................... 54
表 4-1 脅威トレース実施星取表 ............................................................................. 60
表 4-2「イントラネットモデル」に対する「振る舞いパターン1:Web 閲覧によるマ
ルウェア感染(情報搾取)」の脅威トレース結果 ............................................... 66
表 4-3 「イントラネットモデル」に対する「振る舞いパターン2:標的型メール攻撃
(情報搾取)」の脅威トレース ........................................................................... 81
表 4-4 「イントラネットモデル」に対する「振る舞いパターン4:媒体介在マルウェ
ア感染(情報搾取)」の脅威トレース ................................................................ 91
表 5-1 振る舞いパターンと被害形態 .................................................................... 104
表 5-2 情報搾取による影響と問題点 .................................................................... 107
表 5-3 システム・通信障害による影響と問題点................................................... 109
表 5-4 管理・運用問題での影響 ........................................................................... 111
表 6-1 設計対策セットとシステムトポロジ・振る舞いパターンの関係 ................ 113
1
Ⅰ-1.リスク要件リファレンスモデルドキュメント集
1. リスク要件リファレンスモデルとは
1.1. モデルの背景と目的
1.1.1. セキュリティ対策の現状
情報システムや通信ネットワークに対する攻撃はインターネットの黎明期から存在する
が、ここ数年で攻撃の様相が大きく変化してきている。すなわち、かつてのサイバー攻撃
は、政府系や大手企業の Web サイトの改竄による自己の技術レベル誇示や政治的プロパガ
ンダ、単なる愉快犯的な動機による組織の内部ネットワークへの侵入などが中心であり、
攻撃の構造が比較的シンプルなものが多かった。近年になると、攻撃の目的が情報の搾取
と搾取した情報を利用した金銭の奪取に変化し、攻撃が組織化するとともに、多段化、高
度化してきている。従来からある攻撃手法を、攻撃目的の応じて自在に組み合わせること
によって攻撃成功の確率を高める方法がとられている。また、ウィルス亜種の大量出現も
特徴の一つであり、これはアンチウィルスソフトによるパターンマッチングを用いたウィ
ルス検出の精度を低下させることにつながっている。
攻撃者ひとり
体系化(Botenet)不正侵入・改竄
攻撃組織基盤化
2000 2004~
多段化 正規サービスの攻撃基盤利用
2009~2006~
(Botnet技術基盤利用)
PCとホームページ改竄がターゲット
?
正規サイト・サービス利用
e-マーケットビジネス、決済等への影響決済関連情報搾取等、サプライチェーン危機管理
PCの破壊・HP改竄影響(業務インパクト)の変化
対象:PC、サーバ
対象:情報システム(組織・ビジネス)
情報搾取等
設計思想を変化させないと...
セキュリティ製品でカバー(製品の出現)
製品を置く設計思想
脅威全貌とポイントが見えにくい時代一定の情報運用で守る時代(情報連携)皮を切られても肉まで切られない発想設計システム・ネットワークトポロジ設計で防御
1脆弱性=1攻撃の時代
攻撃組織間連携多様な意図性(情報搾取攻撃)
ウイルス亜種の大量出現
シーケンシャルマルウエア(多段型攻撃)
0-Day脆弱性利用
toolによるウイルス生産
情報システムがターゲット
図 1-1 攻撃構造と手法と影響の変化
2
一方、情報システム開発の現場では、発注者、受注者として様々なプレイヤーが協同し
て作業を進めており、かつそれらのプレイヤーはスケジュールとコストの制約の下にある
ため、プレイヤー間で働く各種の力学により、あるべきセキュリティ機能が十分に検討さ
れないままシステムの設計が進められる場合が多発しているというのが現実である。以下
に、事例を示す。
・ 情報システムの開発を受託する SIer においては、セキュリティ部門は開発請負部門の
下にいる構図であることと、請負主管部門は意外と脅威に関しての専門知識が乏しいた
め、セキュリティ部門の主張が通りにくい。
・ SIer のなかで、事業部が請け負ったシステム開発契約のセキュリティ部分を社内発注で
受ける部署としてセキュリティ部門がある場合も、あるべきセキュリティではなく、事
業部との妥協の結果としてのセキュリティ組み込みが行なわれる場合がある。
・ 発注者側では、「責任回避で問題発生時にベンダに投げられる事を優先して製品選定す
る」場合や、「サービス機能とのコストバランス」に力点をおいて設計が進んでいくの
が実態であり、その場合は、脅威の実態に即したセキュリティの組み込みという視点か
らの検討はされにくい。
・ 実際に、予算と時間に余裕があるプロジェクトでは設計段階でセキュリティについても
十分検討が加えられるが、そうでないプロジェクトではセキュリティの検討が後回しに
されがちである。
・ また、SIer としてはシステムが動くことを優先。要件や設計時に検討してもスケジュー
ルやコスト等の事情で、設計どおり実装されない例もある。
・ 現場での実態は、未だに「とりあえずファイアウォールを置いとけ」に近い場合も多い。
このようなケースでは、運用時の事故対応といったところまではほとんどまじめに議論
されない。事故対応のコスト負担は SIer 側となる。
・ 顧客によっては、ウイルス混入等の脅威の説明に対して、特に経済危機以降は「何が問
題?」と問われる事も多々遭遇。発注者側のリスク対応の認識が低いケースが見られる。
3
「現状脅威に基づく設計要件の必要要否判断を可能とし、必要な対策設計を可能とする仕組み」
→脅威・危険性分析を基に、セキュリティ設計管理対策の「理由」を定量定性的に明示。→種々相互関係ポイントでの正確な検討調整に資する。→必要性と効果を認識した上で、システム開発を行える手法の開発
発注部門
契約部門
請負プライム事業部
セキュリティ部門
主契約企業発注側
下請関連企業
下請関連企業
アプリ開発
ネットワーク部分 セキュリティ部分
下請関連企業
セキュリティ製品ベンダ
プロジェクト開発体制
各所に様々な相互関係問題が発生(仕様、予算、製品選定理由、契約責任、問題対処責任)
各種ガイドラインの存在
他分野でも同種類似問題が多数存在
RMはこれら関係問題のバランスを取るためのウエポンツール…を提供!
(ガイドラインではない)
関連各分野各所
コンサル(契約)
システム整備に係わる世の中の実態力学は複雑....
対処が必要なサイバ脅威を組織の影響問題視点で判断し有効な対抗策を考える仕組みを考えたい。
図 1-2 開発プロジェクトにおける発注者・受注者の関係
情報システムのセキュリティを、CND(Computer Network Defense)1と IA(Information
Assurance,情報保証)2に分けると、IA 分野では、2006 年施行の新会社法による内部統制シ
ステム導入の義務化などによって体系的な整備が図られてきている。また、導入後の内部
統制システムの運用においても、PDCA サイクルの実施が必要となっており、一定レベル
以上での情報管理が求められている。一方、CND 分野は、ファイアウォールの導入、セキ
ュアな通信プロトコルの導入、ウィルスチェックの導入などこれまでは個別対応に終始し
て来ている。これは、CND が対応するサイバー攻撃が多様であり、また攻撃手法の「進歩」
のスピードが速いため、情報システムのセキュリティ担当部署では、変化し、進化するサ
イバー攻撃への個別対応に追われていることが理由のひとつである。
情報セキュリティの概念は、ISMS(Information Security Management System)によれ
ば、情報システムの正当なアクセス権限所有者に対して、情報の機密性(Confidentiality)、
完全性(Integrity)、可用性(Availability)を確保することである。これを実現するために
は、CND 分野においては、より一層体系的なアプローチが求められる。このためには、情
報システムの設計時にセキュリティ対策を組み込む作業が設計プロセスにきちんと組み込
1 CND(Computer Network Defense)とは、不正行為に対する防護、監視、分析、検知、
そして対応(レスポンス)のために取るべきアクションのこと。本書においては、外部
からのサイバー攻撃に対して通信ネットワークおよび情報システムを防御してシステム
の稼動を維持するとともに、情報の搾取を防止するための対応活動のこと。 2 IA(Information Assurance)とは、情報やデータの使用、処理、蓄積、伝送にかかるリ
スク及びそれらを目的として使用されるシステムやプロセスにかかるリスクを管理する
ための遵守行為のこと。本書においては、既存の指針(ガイドライン)や標準に従って
情報管理を行うことにより情報の漏洩や改竄を防止する施策のこと。
4
まれていることが有効である。
このため、リスク要件リファレンスモデルでは CND を対象に検討した。
守るべきもの
情報管理分野
④管理等ファクタ
サイバ攻撃分野
(人的、設備的、規則的等)
脅威とリスクは組織の外から 脅威とリスクは組織の内から
組織機能ビジネス信頼 等
パターン分野②「情報搾取課題」パターン分野②「情報搾取課題」
パターン分野①「攻撃課題」パターン分野①「攻撃課題」
最新脅威対応
IA(情報管理)CND(サイバー攻撃防御)手つかず?
ほぼ体制整備
CND(サイバー攻撃防御)とIA(情報管理)は別分野:業態も別
③情報管理システム機能
図 1-3 CND と IA の関係
1.1.2.リスク要件リファレンスモデルの必要性
情報システムの設計・開発において、セキュリティ対策が必ずしも重要なファクターと
して扱われず後回しにされがちなのは、セキュリティ分野の専門性が高くセキュリティの
専門家以外には内容がわかりにくいことやサイバー攻撃の脅威が具体的かつ体系的に示さ
れず、どこまでの対策を講じれば、どのような攻撃に対処できるかのがわかりにくいとい
うことがある。反面、このような状況であるがゆえに、SIer に丸投げにして十分な検証な
しに、とりあえずセキュリティ対策を入れておくという選択につながりやすい。これを解
消するためには、情報システム構築に係る全てのプレイヤーが、共通の場でリスクを評価
する仕組みをつくり、導入すべきセキュリティ対策に関する納得性のある判断結果理由を
明示できるようにすることが必要である。セキュリティ対策の導入に関する 終決定は発
注者が行なうが、その場合に、「〇〇の理由でこれ以上は出来ない」という事を理解し合意
し共有する仕組みが発注者・受注者間、発注者の社内に対して必要である。
本プロジェクトで開発したリスク要件リファレンスモデルは、セキュリティ・バイ・デ
ザイン(SBD)検討会においてもその重要性が指摘されている、「現状脅威に基づく設計要
件の要否判断を行ったうえで、対策設計を可能とする仕組みをどう作るか」という課題解
決にも資するものである。SBD は、本来は官庁システムの調達における設計段階からのセ
キュリティ確保を検討する場であるが、リスク要件リファレンスモデルの概念は、官公庁
システム調達にとどまらず、民間における情報システム調達における類似の問題において
5
敵(問題)の予想侵攻経路
こっちからはこない
波の高さを想定し、堤防の高さを決める。高波が来て足りなければ高くする。想定するリスク、予算内で高さを設定し、改善していくことが重要 。
努力の集中指向
無駄のない効率的な防御へ
前提コンセプト:「無駄なく効率的に守るべきものをまもる」
配備強化位置
脅威=意図×能力(技術)×周辺環境
図 1-4 「効率的に守るべきものを守る」概念図
も適用可能である。このため、本モデルの開発にあたっては、民間における情報システム
開発への応用も想定しつつ検討を行なった。
省庁適用等検討
利用スキーム
省庁スキーム
民間システム開発エリア
その他同種課題内包エリア同種課題を有している各分野への応用を想定しつつ作成
RM作成
図 1-5 SBD 検討会と本事業の関係
本モデルは、情報システムの発注者と受注者がそれぞれの立場で、具体的な脅威に基づ
いてシステムに組み込むべきセキュリティ対策を検討可能とするものとして開発を行なっ
た。本モデルによって、官公庁および民間の情報システム構築の発注者と受注者は共通の
理解の下に情報システムに必要なセキュリティ対策設計が行われることを目的としたもの
である。これにより、情報システム構築においてセキュリティ対策の後付けでの作りこみ
(しばしば、脆弱性が残される)や過剰なセキュリティ対策の組み込みが減少することが
期待される。また、その結果として存在脅威に対して適切なコスト範囲で効果的に対応可
能なセキュリティ対策をとられることが期待される。
6
管理策
脅威危険度問題
対処理由?
システム設計・管理対策
?
RM
脅威危険度問題
対処理由?システム設計・管理対策
(問題認識に応じた必要部分を重点対処→効率UP)
(一意に示された問題認識対して全面対処)
(管理策全面実施で現状脅威をカバー可能か?)
(基本はポリシ、実装基準では無いのに....一部実装的)
必要コスト
必要コスト
問題と対策の明確化
管理策へのフィードバック可能(特にCND部分)
○RMの運用効果
問題内容と必要性に関して、各力学ポイントでの定量的な議論と正確な判断に資する。
存在脅威に対して適切コスト範囲で効果的に対応可能
対処理由メリハリの効いた実装(コスト効率アップ)
実装のリファレンス
ガイドライン
(ポリシレベル)
図 1-6 リスク要件リファレンスモデルの運用効果
「リスク要件リファレンスモデル」の背景と目的を要約すると以下に整理できる。
リスク要件リファレンスモデル(RM)を一言で言うと...
現状の高度化した脅威と組織への影響問題に対する共通認識に基づき、コスト対効果を勘案した対策の要否を判断し、実効性の有るシステム設計対策を可能とする仕組み。
(参照ドキュメント体系とその分析スキーム構築)
■何のためのセキュリティか?(目的思考)■対策の理由は何か? 何から何を守りたいのか? その効果は?■組織ビジネス(業務)への影響はなんなのか?■その上でやるべき事(コストに見合う対策はどれか)を決める為の方法論?
■昔は「1脆弱性=1攻撃」の個別攻撃モデルであり対処判断は単純。現在は多様な意図に基づく「複合多段型攻撃の組織攻撃モデル」のため、対処判断が困難。
■脅威の全体像が判らないため、組織業務への影響、危険性が理解出来ない。このため、迅速な組織の対応判断と影響を極限化する有効な対策立案が行われない。
■従来のサイバー攻撃解説は「攻撃手法に主眼」が置かれているため攻撃全容が判らない。現攻撃は各手法の組み合わせであり「攻撃戦術」と「防御対策戦術」の解説が必要。
■サイバー攻撃の全体像が見えにくくなっており、意味を伝えられないのが有効な対策立案と適正コストを判断出来ない原因。
■一方、脅威の全体像は単一組織や単一分析分野では整理出来ないため、他分野連携が必須。■脅威全容と危険性影響の分析に基づく、情報システムの設計管理対策に関する整理や対策
分析の連携スキームが存在しない。
脅威の全容を把握した上で脅威の意味を正確に理解し、組織への影響問題に軸足を置いて考えるための方法論と対策分析連携スキームが必要。
高度化したサイバー攻撃に対処する新たな防御モデルを開発
サイバー攻撃対処情報を共有
図 1-7 リスク要件リファレンスモデルの背景と目的
7
1.2. モデルの検討スキーム
リスク要件リファレンスモデルは、情報セキュリティ分野のうち、サイバー攻撃防御
(CND)分野(図 1-4 参照)を対象とし、実際に発生したサイバー攻撃の分析をもとにし
た設計対策セットをとりまとめる。モデルは、サイバー攻撃におけるマルウェアの挙動解
析から、攻撃に対処するための情報システムの設計対策までをカバーする対策方法論(メ
ソドロジ)であるため、モデルの開発にはそれぞれの分野の専門家の連携と共同作業が不
可欠である。これまでは、サイバー攻撃のインシデント分析分野、解析技術分野、情報シ
ステムの設計対策分野、サイバー攻撃に対するソリューション公開分野はそれぞれ独立に
活動することが多かった。本モデルの開発においては、これら各分野の専門家、有識者が
一堂に会して、マルウェア解析に基づく脅威モデルの整理と攻撃仕様分析、情報システム
における対策設計の検討を行った。これによって、モデル開発作業が、各専門分野の相互
連携の一種のモデル事例となった。
さらに、モデル開発の副次効果として、以下のことがあげられる。
① 各専門分野間の用語の違い、用語が表す概念の違い、サイバー攻撃に対処するうえで
のそれぞれの立ち位置の違い、等に関する相互理解の促進
② 相互連携により個別検討を超えた効果的な対策の発見と Win-Win の関係構築
③ モデルの検討を通じたセキュリティエンジニアの頭脳訓練効果、人材育成の場の提供
監視解析Lab、ベンダ等 SIer IPAisec、OSC他
TRM、CIO WG4、SIer、DC格付け他国外等調査
SDL、SCAP、 Attack Pattern ,CAG,C&A等
脅威モデル整理と攻撃仕様分析 対策設計検討 IPA既存スキームの関連付
国外等類似概念からヒント取得実用意見リサーチ
各分野相互連携によるRM作成作業
解析技術分野解析技術分野インシデント分析分野インシデント分析分野 設計技術分野設計技術分野
業務分野業務分野
ソリューション公開分野
リサーチ分野
図 1-8 リス要件リファレンスモデルの検討スキーム
1.1 節で述べたように、情報セキュリティをとりまく環境は、ICT 環境の変化や脅威の変
質に伴い、構造変化が生じつつある。官民を問わずビジネスプロセスの様々な局面で ICT
の活用が深化しており、情報セキュリティがビジネス(業務)の遂行に持つ意味合いが従
来とは比較にならないほど重くなっている。このため、リスク要件リファレンスモデルも、
その検討のプロセスにおいてインシデントの分析と情報システムの設計対策にとどまるの
ではなく、インシデント発生時における組織の動的判断の分析(DM)、情報セキュリティが
8
及ぼす多様な事業分野間での連携スキームの検討(連携 MAP)と並行して行うことで、セキ
ュリティ技術対策を超えた組織への影響までを検討した。
リスク要件リファレンスモデルの作成
組織リスク動的判断モデル各種構図の時系列整理
関係者拡大と目的の変化理由 組織判断の課題認識・エスカレーション判断
必要性の判断
組織のエスカレーションプロセスの整理と技術部門の役割構図変化(川の流れと幅)の分析と連携連立成立要件
現状脅威に基づく設計要件の必要要否判断を可能とし、対策設計を可能とする仕組み
RM
DMMAPセットで運用
(理由・背景の説明)
組織内の判断と対応プロセス(サービス視点)
①脅威の把握~②危険度影響度の分析
③対処判断~④暫定対策実施~④対策計画実施
⑦爾後分析と計画修正
⑤経過監視~⑥収束判断
0 体制準備
意味合い構図の変遷を俯瞰
連携要件の成立セオリー連携要件の成立セオリー 技術専門部署の役割と提供情報の再検討技術専門部署の役割と提供情報の再検討
組織対応のプロセスセオリー
脅威の実態の明確化と対策の明示
重要脅威カタログ(脅威振る舞いモデル) システムトポロジ脅威トレースと設計管理対策
脅威と危険性を踏まえた対処必要性の判断理由の明示
図 1-9 リスク要件リファレンスモデルと組織連携・動的判断モデル検討の関係
1.3. モデルの構成
「現状脅威に基づく設計要件の要否判断を行い、対策設計を可能とする仕組み」を実現
するために、リスク要件リファレンスモデルでは、サイバー攻撃の事例分析に基づく脅威
の振る舞いをパターン化するとともに、情報システム上での対策を検討するための「シス
テムトポロジモデル」を整理した。システムトポロジモデルは、情報システム設計の専門
家の知見をベースに、現実の複雑な情報システムからシステムを構成する要素を抽出し、
情報システムの特徴を考慮して 4 つのタイプに整理しなおしたものである。システムトポ
ロジモデルは、現実の情報システムそのものではないが、情報システムがサイバー攻撃を
受けた場合のマルウェアの挙動をシミュレートする上で必要十分な構成要素を含むもので
ある3。すなわち、システムトポロジモデルは、「情報システムの基本型を提示し、それぞれ
の運用環境に応じてカスタマイズして参照する」という運用形態を前提にしている。
「対策設計を可能とする仕組み」を実現する上で も重要な作業が、振る舞いパターン
とシステムトポロジモデルを組み合わせて行う「脅威トレース」である。脅威トレースは、
ある振る舞いパターンに対応した攻撃が、システムトポロジモデルのひとつに対してなさ
れた場合、システム内での攻撃の挙動を机上でシミュレートし、攻撃防御(遮断)の可能
性を検討する作業である。脅威トレースを行うためには、インシデント分析分野、解析技
3 今回整理したシステムトポロジモデルには、SaaS を除いて、クラウドサービスを提供す
る情報システムの形態は含まない。
9
術分野、設計技術分野の専門家が共同作業を行うことが不可欠であり、この作業を通じて
始めて攻撃防御のための対策(対策セット)が明らかになる。脅威トレースにおいては、
通信ネットワークのレイヤー4を意識して行う必要がある。
以上により、リスク要件リファレンスモデルは、以下の 3 つから構成される。
①情報システムの代表的な機能構成を整理した「システムトポロジモデル」
②実際のサイバー攻撃の分析からその挙動を整理した「脅威振る舞いパターン」
③振る舞いパターンの動きをシステムトポロジモデル上で机上シミュレーション(脅威
トレース)した結果明らかとなったセキュリティ対策をまとめた「設計対策セット5」
脅威セットモデル実事案例 影響・危険性
リスク分析
設計対策セット
運用管理対策
Counter Major
○○(振る舞い)モデル
運用管理対策(監視、再設定、脆弱性対処)
実事案例
組織上の問題
①.......②.......
システム設計対策(設計セットモデル)[システムデザイン設計]:[開発アプリ設計] [ネットワーク設計] [テスト要領]
運用管理対策(監視、再設定、脆弱性対処)
[COTs] :[開発アプリ]:[ネットワーク]:[監視]:
組織問題有無(必要性・理由)(振る舞いモデル)
①.......②.......
ネットワークシステムトポロジ上の振る舞い検証
影響・危険性①.......②.......
パターン分野①「攻撃課題」パターン分野①「攻撃課題」
パターン分野②「情報搾取課題」パターン分野②「情報搾取課題」
パターン分野③「情報管理(漏洩)課題」
背景構図情報①.......②.......
攻撃の成功条件①.......②.......
①各脅威セットモデル毎の振る舞いシーケンスを基に、ネットワークシステムトポロジ上で脅威をトレース②トレース結果から「影響・危険性」を抽出③「影響・危険性」を基に組織業務実施上の「組織上の問題点(問題レベルを分類) 」を整理④上記脅威モデルセット毎の設計対策セット及び運用管理対策を分析整理⑤設計対策セットをトポロジに反映後、脅威をトレースし有効性を机上検証
対応要否判断
対応要否判断情報 システム対策情報セットコスト見積
*別アプローチで整理
[システムデザイン
[テスト][ネット設計]
[アプリ設計]
脅威モデルに応じて、PP、ネットワーク、開発アプリへ仕分け整理
図 1-10 リスク要件リファレンスモデルの構造概念
リスク要件リファレンスモデルの構成について、以下で概要を説明する。
(1)システムトポロジモデル
システムトポロジモデルは、情報システムがサイバー攻撃を受けたときに、情報システ
ム内での攻撃(マルウェア等)の振る舞いを明らかにするために、情報システムの機能構
成を代表的な 4 種類に整理した。 近注目されているクラウドコンピューティングについ
ては、その機能構成が必ずしも明確ではないことから、今回のシステムトポロジモデルで
は取り上げなかった。また、家電、自動車等機器への組み込みシステムも対象外とした。
4 物理層、データリンク層、ネットワーク層、トランスポート層、プロトコルヘッダ層(プ
ロトコル違反、バッファオーバーフロー等攻撃)、データ層(アプリケーション攻撃) 5 設計対策セットには、運用管理対策を含む。
10
今回整理したシステムトポロジモデルは、以下の 4 種類である。
①イントラネットモデル ②閉域型モデル
③iDC モデル ④Saas モデル
システムトポロジモデルについては、第 2 章で詳述する。
(2)脅威振る舞いパターン
振る舞いパターンは、これまでに明らかになったサイバー攻撃の実例や IPA6の 10 大脅威
の整理をもとに、それぞれの攻撃の特徴から振る舞いを 6 パターンに集約したものである。
振る舞いパターンによって、これまでに明らかになっている攻撃パターンはほぼ網羅され
ている。
振る舞いパターンは、以下のとおり整理した。
①パターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)
②パターン2:標的型メール攻撃(情報搾取)
③パターン3:正規Web改竄による誘導
④パターン4:媒体介在 マルウェア感染(情報搾取)
⑤パターン5:複合 DDoS 攻撃(攻撃基盤)
⑥パターン6:通常 DDos 攻撃
また、振る舞いパターンの抽出整理にあたっては、以下の考え方に基づき脅威対象を設
定した。
CND分野を対象に脅威パターンを分類(IA分野や災害分野は対象外→既存のソリューションでカバー)
実際に起きた攻撃事案
(特に組織への影響の大きいモノを抽出対象)
技術的に可能性がある手法(研究)使われる可能性が低く、実際に事案も発生してないもの
使われる可能性が高いもの
IPA十大脅威+サイバー攻撃インシデント発生状況+米政府関連ソリューション等
CND分野
脅威パターン化(重要脅威カタログ)
各攻撃事案の全体動作振る舞いを分析し、共通動作部分をパターン抽出
設計管理対策セットとしては、個別事案をほぼカバー
吸収個別のサイバー攻撃事案(インシデント)
新たな脅威パターンの事案が出現した場合はパターン追加
(現実には数年に1度)
対象
図 1-11 リスク要件リファレンスモデルの脅威対象分野
なお、振る舞いパターンについては第 3 章で詳述する。
6 IPA:Information-technology Promotion Agency, 情報処理推進機構
11
(3)設計対策セット
設計対策セットは以下の手順を経て作成した。
・ 振る舞いモデルの振舞いパターン毎にシステムトポロジモデル上での挙動を机上シミ
ュレートすることにより、システムトポロジ上でのサイバー攻撃の経路と攻撃によって
発生する事象、可能な防御策を検討する(脅威トレース)。
・ 脅威トレースによって、サイバー攻撃が情報システム内のネットワークのどの経路を経
由して 終目的達成(個人情報の盗み出しなど)に至るかをたどり、各経路で経由する
ノード(ルータ等情報システムを構成する機能)にどのような対策を施せば攻撃の防御
が可能になるかを明らかにする。
・ 脅威トレースによって明らかになったリスクに対して、組織上の問題点を洗い出す。
・ 脅威トレースによる分析は、対策の必要性と効果を定量・定性的に説明するためのもの
である。
・ 脅威トレースによって明らかになった対策を整理して対策セットとする。対策のうち運
用管理によって対応するものは運用対策としてまとめる。
脅威トレースについては第 4 章、対策セットについては第 5 章に詳述する。
業務分野
設計技術分野設計技術分野インシデント分析分野インシデント分析分野解析技術分野解析技術分野 ②防護対象分析①脅威分析
攻撃パターン分類と攻撃仕様 システムトポロジモデル整理
③影響・危険性分析
業務インパクト例
④対策手段分析
事案事例
机上模擬攻撃トレース
模擬攻撃結果とシステム設計管理対策の整理
・新たなサイバー攻撃スタイルが出現してから、従来のセキュリティ製品を置くシステム設計思想のみでは、対策効果が低下。これに対応するためには、攻撃の実像と業務への影響を正確に把握した上で、必要性と効果を確認するための新しいシステムデザイン設計思想を取り入れる必要がある。
・脅威に対する影響と対応必要性を判断し、対策効果と必要コストを事前に机上確認した上で契約発注及びシステム設計開発に盛り込むための新たな手法方法論としてRMを作成。
・RMドキュメントは、手法方法論の参照基本モデルとして作成しており、各分野特性を踏まえて同種方法論が各分野組織毎に展開される事を前提とした。
・重要脅威カタログはサイバー脅威の実像を影響を具体的に定義できるため、混乱している問題整理を解きほぐす効果は高く、関連業界分野における情報連携スキームへと発展することを期待。
重要脅威パターン種別の分類(攻撃仕様) システム基本設計モデルa~d
重要脅威をパターン種別に定義し、各パターン毎に攻撃手順仕様を整理
「攻撃実態の全容把握」の為に単独参照可
防護対象のシステムを4種別の基本設計モデルに定義。
a. イントラネットモデルb. 閉域型モデル
c. iDC型モデルd. Saasモデル
各パターンの攻撃仕様(手順)を用いて、各システム基本設計モデル上をを攻撃トレース
攻撃トレース結果を基に、防御可能となる設計項目を整理
当該脅威に対する設計対策要否の判断の参考となる情報例を整理
要求仕様ひな形試験要求ひな形
設計管理対策の分析結果から要求項目ひな形を整理
パターン毎の攻撃仕様(手順)は、攻撃解析情報の中から情報システムの設計管理に係わる部分を抽出して整理
図 1-12 リスク要件リファレンスモデルの基本概念
12
1.4. 重要脅威カタログ
一連の分析結果は、リスク要件リファレンスモデルの運用を考慮して「重要脅威カタロ
グ」という形にまとめる。重要脅威カタログでは、振る舞いパターン毎に、「パターン概要
図」、パターンに対応する「攻撃事例」、攻撃の影響分析をまとめた「組織の問題点整理」、
振る舞いパターンのバリエーション毎に、振る舞い図、攻撃仕様、システムトポロジ基本
図上の設計対策概要、設計対策を反映した要求仕様ひな形及び試験要求ひな形、をセット
としてとりまとめる(図 1-11)。振る舞いパターン別の整理とは別に、パターン別の設計対
策をマージしたセキュリティ要求仕様・テスト要求仕様をとりまとめる。
重要脅威カタログでは、基本的には、振る舞いパターンをキーとして攻撃仕様から対策
セットまでが整理されている。リスク要件リファレンスモデルの運用にあたっては、まず
想定している情報システムのトポロジモデルと想定すべき脅威の振る舞いモデルを特定し、
重要脅威カタログからトレース結果と対策セットを参照して、想定している情報システム
に関するセキュリティ対策を設計に組み込むことになる。
情報システムの設計時に、セキュリティの専門家の関与が困難で、システムトポロジモ
デルの特定や考慮すべき振る舞いパターンが明確でない場合は、重要脅威カタログで別途
まとめてある振る舞いパターン全体分をマージしたセキュリティ要求仕様・テスト要求仕
様を設計に組み込むことができる。
パターン1:「正規Web 閲覧によるマルウェア感染(情報搾取)」
バリエーション1:"gumblar.xウイルス系感染サイト閲覧"
振る舞い図
攻撃仕様
パターン概要図
バリエーション2:"**.ru:8080ウイルス系感染サイト閲覧"
トポロジ基本図上の設計対策概要
組織の問題点整理攻撃事例
カタログリスト 各パターンマージ設計対策
仕様項目集(TRMと整合)
設計対策セット
各パターンをマージした設計対策・品質要求項目リスト「仕様項目集(TRMと整合)」
脅威の実態の明確化と対策の明示
トポロジ基本図
重要脅威カタログの構造
第2章
3.3節 3.2節 第5章
3.4節
4.2節
第6章
3.4節
(トレース結果)
要求仕様ひな形試験要求ひな形
要求仕様ひな形試験要求ひな形
振る舞い図
攻撃仕様
トポロジ基本図上の設計対策概要
設計対策セット
(トレース結果)
(6.1節)
(6.2節)
図 1-13 重要脅威カタログの構成イメージ
13
2. システムトポロジモデル
2.1. システムトポロジモデル選定の考え方
システムトポロジモデルは、振る舞いモデルの各パターンに代表されるサイバー攻撃を
情報システムが受けた場合、情報システムの内部でどのような経路通じて攻撃の目的が達
成されるか、攻撃を防御するためにどのような対策が可能であるかをシミュレーション(脅
威トレースと呼ぶ)を通じて明らかにするために作成するものである。現実の情報システム
の構成は、個々のシステム毎にサーバ 1 台の小規模なものから、グローバルネットワーク
まで千差万別である。システムトポロジモデルの作成にあたってはシステムの機能構成に
着目し、情報システムが持つ標準的な機能から構成されるシステムを想定した。システム
の機能が本質的に異なる場合に別モデルとし、表 2-1 に示す 4 種類のシステムトポロジモ
デルを作成した。この 4 種類のモデルによって、一定規模以上(サーバ台数が複数台)の
情報システムの機能構成は代表できるものと思われる。システムトポロジモデル図に配置
されているファイアウォール等の構成要素は具体的な装置ではなく、それぞれの機能を表
している。例えば、イントラネットモデルの L4 ファイアウォールと負荷分散は同一の装置
で実現される機能でありうる。各々の構成要素が持つ機能は、表 2-2、表 2-3 に示す。シス
テムトポロジモデルでは、標準的なセキュリティ対策を導入している情報システムを想定
して機能を割り付けた。
なお、 近注目されているクラウドコンピューティングのモデルは、その機能構成が明
確ではないためSaasモデルとして一部取り上げる以外は今回の検討では取り上げなかった。
表 2-1 システムトポロジモデルの種類
No モデル名 システムトポロジモデルの概要と特徴
1 イントラネットモ
デル
・ 官公庁、民間の情報システムで も多い情報システムの構成
である。
・ イントラネット内を外部向けウェブサーバなどを設置する
DMZ(DeMilitarized Zone)と外部からの直接アクセスを許さ
ない構内システムエリアに分けて運用する。
・ 外部公開 Web サーバ等 DMZ エリア部分のみを iDC に設置し
て運用するシステム形態もイントラネットモデルに含む
・ 支所、支社、出張所などの小規模拠点では DMZ を経由せず、
各所の構内システムから直接インターネットアクセスを行う
構成をとっているケースがあるが、そのような構成もイント
ラネットモデルに含む。
2 閉域型モデル ・ 医療情報システム、製造業の FA システムに比較的多く見ら
れる構成であり、情報システムが構内で完結しており、外部
のインターネットとの接続を持たないシステムを指す。
14
No モデル名 システムトポロジモデルの概要と特徴
・ インターネット接続を持たないため、ネット経由のサイバー
攻撃を受けることはないが、アンチウィルスソフトのパター
ン更新がなされない・更新タイミングが遅れる等のため、ウ
ィルス汚染された USB、CD などが持ち込まれた場合に被害
が広がりやすい。
3 iDC モデル ・ iDC の利用形態は様々であるが、ここでいう iDC モデルは、
業務システムまでを含めて iDC 上で運営しているケースを
想定している。
・ 外部向け Web サーバなど DMZ 部分のみを iDC に置くケー
スはイントラネットモデルで扱うことができる。一部の業務
システムを iDC で運用し、その他を自社イントラネットで運
用している場合は、イントラネットモデルと iDC モデルの組
み合わせによって扱うことが可能である。
・ スイッチやサーバを他の iDC ユーザーと共有することの影
響や iDC 側の管理端末が複数の iDC ユーザーのシステムに
アクセスすることの影響があることがイントラネットモデル
と異なるところである。
4 SaaS モデル ・ SaaS では、ユーザーは契約したサービスをインターネット
経由で利用するのみであり、サーバや DB 等のシステムリソ
ース管理は一切行わない。
・ ユーザー側が SaaS 利用に関して行えるセキュリティ対策は
アクセス管理のみであり、他のセキュリティ対策は全てSaaS
提供事業者に委ねることになる。この点が、iDC を利用した
システム運用とも異なるものである。
2.2. イントラネットモデル
イントラネットモデルは、官公庁においても、民間においても も頻繁に使われる情報
システムの形態である。イントラネットモデルの機能構成は図 3-1 に示すとおりである。
その特徴を以下に示す。
・ インターネットとの境界は、ルーター(L3 スイッチ)と L4 ファイアウォールで仕切ら
れており、TCP(OSI ネットワーク層)でのパケットフィルタリングとルーティングを
行っている。
・ イントラネット内は、外部向けウェブサーバやメールサーバを置く DMZ と業務システ
ム等を運用する構内システムに分けてある。
・ セキュリティ対策としては、ファイアウォールのほか、ゲートウェイ型ウィルスチェッ
ク、VPN(Virtual Private Network)、侵入検知システム(IDS)を設置、サーバおよ
びクライアント PC にはのアンチウィルスソフトの導入を行っていることを想定。
15
・ 外部へのアクセスはプロキシを経由することを想定しており、プロキシによってアクセ
スのための名前解決を行う。
2.3. 閉域型モデル
閉域型モデルは、イントラネットモデルの特殊な形態と見ることができるが、イントラ
ネットの場合とは異なる対策が求められるため区別してモデル化した。閉域型モデルの特
徴を以下に示す。
・ 外部ネットワークとの接続を持たない情報システムであり、その意味でネット経由での
サイバー攻撃を受けることはない。
・ 一方、情報システム内で使用されている OS、Web ブラウザ、アプリケーションソフト
ウェア、アンチウィルスソフトウェアのアップデートがタイムリーになされないため、
ウィルス汚染された USB 等でシステム内にウィルスが持ち込まれた場合被害が拡大し
やすい。
・ 医療情報システムや製造業における FA システムが閉域型のシステム構成となってる場
合が多い。
2.4. iDC モデル
ここに示す iDC モデルは、利用者が外向け Web サーバのほか、業務システムの運用もす
べて iDC 上で行うモデルである。一部の業務のみを iDC で運用するケースはイントラネッ
トモデルとの組み合わせによって取り扱う。
iDC モデルの特徴を以下に示す。
・ サーバ類のセキュリティ対策は iDC 側で提供するサービスに依存することになるが、
そのセキュリティ対策サービスのレベルは事業者ごとに様々であり、不足する部分は利
用者が独自に対策を追加する必要がある。iDC の利用においては、設計時に iDC が提
供するセキュリティ対策サービスの内容を確認し、独自対策を組み合わせることにより
設計で想定している情報システムのセキュリティレベルを下回らないよう注意する必
用がある。
・ iDC の場合、通信の状態やサーバの稼働状況を監視する監視システムやウィルスチェッ
クや IDS などのセキュリティ機能を他の利用者と共有することになるため、監視端末
のマルウェア感染や他の顧客に対するサイバー攻撃の影響により正常なシステム運用
が阻害される恐れがある。これに備えて、設計時に iDC 側と利用者側で障害時の責任
分解点、復旧作業におけるそれぞれの役割分担を明確にしておくことが望ましい。
・ 利用者の構内システムと iDC 間の接続は VPN を使用することを想定している。
2.5. SaaS モデル
SaaS は、Software as a Service の言葉通り、利用者が業務システムを含む情報システム
の機能をサービスとして受けるものであり、サーバの運用、ソフトウェアの保守などのリ
ソース管理はすべて SaaS 提供事業者側で行うものである。セキュリティ対策も同様に事業
16
者側で行い、利用者側が行うのは利用者 ID とパスワード管理程度である。SaaS の利用形
態は、営業支援等の一部業務やメール、スケジュール管理など現状では限定的な利用が多
い。その他の業務をイントラネットで運用している場合は、その他業務部分についてはイ
ントラネットモデルが適用される。
以下に SaaS の特徴を示す。
・ サーバやソフトウェアなどリソース管理はすべて SaaS 事業者に委ねられている。この
ため、利用者側でセキュリティ対策を行うのは構内システム部分(クライアント PC 関
係)である。
・ サーバに対する攻撃は SaaS 事業者側の対応となるため、利用者側では SaaS 側のセキ
ュリティ機能を確認し、設計で想定しているセキュリティレベルを確保できることを確
認する必要がある。
17
図 2-1 イントラネットモデルの模式図
18
図 2-2 閉域型モデルの模式図
19
図 2-3 iDC モデルの模式図
20
図 2-4 Saas モデルの模式図
21
表 2-2 システムトポロジモデルにおける構成要素の機能(攻撃対象となる構成要素)
① イントラネット ②:閉域型 ③:iDC ④:SaaS
構成要素
システムトポロ
ジモデル 機 能 説 明
① ② ③ ④
Web アプリケ
ーションサー
バ(WWW サ
ーバ)
○ - ○ - ・ 3 階層モデル(プレゼンテーション層、アプリケーショ
ン層、データ層)におけるアプリケーション層に位置
し、ユーザー(Web ブラウザ)からの要求によって、
HTTP 通信によるコンテンツ配信、サービス配信を行
う。
・ プログラム実行環境やデータベースへのアクセス機
能、トランザクションの一貫性管理機能などを持つ。
負荷分散 ○ - ○ - ・ クライアントからの要求を複数のサーバに振り分ける
ことにより、特定のサーバが過負荷になることを防ぐ。
これによって、トラフィック量の増大に応じてサーバ
を順次増設することを可能にして経済性とスケーラビ
リティを実現する。
・ さらに、24 時間 365 日運用が前提となっている Web
サービスにおいて、障害が発生したサーバの切り離し、
代替サーバへの処理の振り分けを行って耐障害性を実
現する機能を持っている。
・ アプリケーション情報を利用することにより同一セッ
ションのトランザクションは同一サーバに振り分ける
パーシステンス(接続維持)機能を持つ。
DNS サーバ
( Domain
Name
System
server)
○ - ○ - ・ クライアントまたはサーバからホスト名をもとに IPア
ドレスの問い合わせ要求がなされた時に、ドメインサ
ーバの階層をたどって IP アドレスを通知する「名前解
決」機能を持つ。IP アドレスからホスト名を問合せる
場合も同じ。
・ 一度解決したホスト名と IPアドレスの組み合わせはキ
ャッシュすることにより、同じ問合せ要求に対しては
即座に回答を戻す「DNS キャッシュサーバ」の機能を
持つ。
DHCP サ ー ハ ゙
( Dynamic
Host
○ ○ ○ ― ・ インターネット等の外部ネットワークに接続する際
に、接続要求してきたコンピュータに自動的に IP アド
レス等の接続に必用な情報を割り当てる。
22
① イントラネット ②:閉域型 ③:iDC ④:SaaS
構成要素
システムトポロ
ジモデル 機 能 説 明
① ② ③ ④
Configuratio
n Protocol)
メールサーバ ○ ○ ○ - ・ 登録ユーザがメールを送信する場合に利用する SMTP
サーバとユーザに届いたメールをユーザの要求に応じ
てユーザの端末にメールを送付する POP3や IMAP4
サーバがある。
・ インターネット経由のメール送受信のみでなく、イン
トラネット内のメール送受信でもメールサーバを使用
する。
・ 本システムトポロジモデルでは、SMTP サーバと POP
サーバを使用し、サーバ毎にハードウェアを分けると
仮定する。
ファイルサー
バ
○ ○ ○ ― ・ ネットワークで接続された複数のコンピュータ間での
ファイル共有を可能する。これによって、個々のコン
ピュータで管理された場合に生じるコンピュータ間の
ファイル転送や同一ファイルの内容の不整合を防ぐこ
とができる。
データベース
サーバ
○ ○ ○ ― ・ データベースを管理し、クライアント PC やアプリケ
ーションサーバからの検索・更新リクエストに対して
処理を行い、結果をクライアントに返す。
プリンタ ○ ○ ○ ○ ・ クライアント PC からの印刷要求に対応して印刷処理
を行う。
・ 本システムトポロジではネットワークプリンタを対象
とする。
クライアント
PC
○ ○ ○ ○ ・ ネットワークに接続して、サーバからのサービスを受
ける PC。システムの利用者が業務処理や情報検索処理
に利用する。
パトランプ ・ サーバ等への負荷レベルを監視し、負荷が設定値を超
えた場合、警告灯でアラームを出す。
特殊装置 - ○ - - ・ FA システムにおける工作機械、医療情報システムにお
ける医療機器等。
23
表 2-3 イントラネットモデルにおける構成要素の機能(防御機能を持つ構成要素)
①:イントラネット ②:閉域型 ③:iDC ④:SaaS
構成要素
システムトポロ
ジモデル 機 能
① ② ③ ④
L3 スイッチ ○ ○ ○ ○ ・ ネットワーク中継機器のひとつであり、OSI 参照モ
デルの第 3 層の情報(IP)を利用してパケットの中
継、ルーティング(経路制御)を行う。
・ L3スイッチによって VLAN を構築することが可
能である。L2 スイッチの場合と異なり、VLAN 間
通信も可能である。
ファイアウォ
ール
(Firewall)
○ ○ ○ ○ ・ 外部のネットワークと内部のネットワークを区分
して、外部ネットワークからの不正アクセスなどか
ら内部ネットワークを保護する。
・ ファイアウォールは一種の概念であり、実装される
機能はさまざまであるが、本モデルでは以下の機能
を実装するものとする。
-経路制御
―ポート制限
―アドレス変換
―ログ取得
PROXY サー
バ
○ - ○ - ・ イントラ内部からインターネット上の Web サーバ
にアクセスする場合に、クライアント PC に代わっ
て PROXY サーバが Web サーバにアクセスする。
Web サーバへの送信元は PROXY サーバとなり、
イントラ内部の PC の IP アドレスを外部から隠蔽
することができる、
・ Web サーバからの応答も PROXY が一旦受け取っ
た後にクライアント PC に送信する。(クライアント
PC に対しては Web サーバの代理として、Web サ
ーバに対してはクライアントPCの代理として機能
する。)
・ 本モデルの PROXY サーバは以下の機能を実装す
るものとする。
-プロクシキャッシュ
―URLフィルタリング
24
①:イントラネット ②:閉域型 ③:iDC ④:SaaS
構成要素
システムトポロ
ジモデル 機 能
① ② ③ ④
―ログ取得
・ PROXY サーバを利用する場合は、クライアント
PC 側で明示的に PTOXY の利用を設定することが
必要である。
ゲートウェイ
型ウィルスチ
ェック
○ - - - ・ メールの送受信(SMTP、POP)、Web ブラウジン
グ(HTTP)、およびファイル転送(FTP)時の通
信において、ウイルス侵入をリアルタイムに検出、
駆除する。
・ 外部からのウイルス感染を防止するとともに、内部
から流出するウイルスもブロックして、社外へのウ
イルス被害の拡散を防ぐ。
侵入検知シス
テム(IDS)
○ ○ ○ ○ ・ ネットワーク監視型の NIDS とホストコンピュー
タの運用状況を監視するHIDSの2タイプに分かれ
る。本システムトポロジでは、NIDS を指す。
・ ネットワーク上を流れるパケットをリアルタイム
で監視して、不正通信、アクセス禁止サイトへの通
信、組織のセキュリティポリシーに反する通信を検
知し、管理者に通知する。
・ 検知の方法はパケットのペイロードに含まれる文
字列のパターンマッチングが中心である。このほ
か、通信量や接続数の異常などによるアノマリ検
知、バックドア検知などを行う。
VPN サーバ
( Virtual
Private
Network)
○ - ○ - ・ 通信拠点間に暗号化などの技術によってセキュリ
ティを確保した仮想的な専用線のような通信路を
設ける。本システムトポロジでは、インターネット
上に VPN を構築するインターネット VPN を想定
する。
アンチウィル
スソフト
○ ○ ○ ○ ・ ウィルスソフトの侵入を検知し、駆除するソフトウ
ェア。
・ クライアントを対象とするものとサーバを対象に
するものに分かれる。
25
3. 振る舞いモデル
3.1. 振る舞いパターン分類の視点
現実のサイバー攻撃で使用される手法、マルウェア等の動きは日々変化していくもので
あるが、それぞれの動きを解析し、整理することで脅威の振る舞いパターンとしてまとめ
ることが可能である。振る舞いパターンをさらに抽象化したものとして振る舞いモデルが
あるが、今回はパターンの整理までを行い、それぞれのパターンに対する攻撃防御の対策
を検討した。振る舞いパターンを分類整理するために次のアプローチを取った。
① 整理作業に参加した専門家が実務の中で対応、あるいは解析した具体的事例(CND事
案)をもとに、攻撃の振る舞いを図式化した。
② CND 事案一つ一つについて分析し、各振る舞いに共通化しているものを特定した。
③ 整理作業に参加した専門家の議論により、システム設計管理の検討に必要な要素の
視点で、振る舞いパターンを抽出及び整理した。
「システム設計管理の検討に必要な要素の視点」で整理する理由は、システム設計管理
の対象となるシステムトポロジモデル上での振る舞いパターンの動きと影響の分析を適正
かつ確実に行うためである。なお、攻撃手法や亜種による振る舞いの違いは、各振る舞い
パターンのバリエーションとして整理することとした。
振る舞いパターンは、マルウェア解析の専門家等が、実業務の中で対応或いは解析した
具体的事例を元にしている。現実に発生しているすべての脅威を必ずしも網羅しているわ
けではないが、USB メモリを媒体として感染するコンフィッカーウィルス、Gumblar 系攻
撃による Web]サイト改竄、米国、韓国等への大規模 DDos 攻撃、IPA や防衛省に対する標
的型メール攻撃など、ここ数年の間に、組織及び団体に対して大きな影響を発生させた脅
威を取り上げつつ、企画及び設計開発段階において考慮すべき脅威を特定した。
(注)振る舞いパターンの分類整理にあたっては、マルウェア対策専門事業者から
マルウェア解析の専門家、SIer からシステム設計の専門家のほか、iDC 事業
者、通信事業者、ソフトウェアベンダー、および大学から通信及びセキュリ
ティ専門家の参加・協力を得た。
26
A:振る舞いパターン図
*トポロジ側のトレース、設計対策に必要な情報
・攻撃仕様
・パス&アクション
D:トポロジ基本図(トレース図)
①インタネット接続イントラ型
②閉域イントラ型
③iDCアウトソース型
④SaaS型B:攻撃成功要件(パターン毎)
*トレース分析結果から必要情報部分を整理
トレース分析結果
・設計対策
・攻撃正否
*トレース分析から浮かびあがる
E:危険性整理結果(攻撃成功・阻止結果)
*トレース分析結果を基に整理
F:設計対策整理結果
(防御設計、監視設計)
*トレース分析結果を基に整理
G:組織の問題点整理
パッチ、AVパターン有無のケースでトレース
有
時間軸→
↑危険度
(0-day、AVパターンリリースタイミング
等実態を反映)
C:事例情報整理
無
パッチ、AVパターン未提供時点
の脅威を想定してトレース
振る舞いパターン毎に整理振る舞いパターン図(パターン1)
振る舞いパターン図(パターン2)
振る舞いパターン図(パターンn)
トレース分析から同時に浮かびあがる
個々のドロッパやマルウェアの亜種で若干異なる振る舞いが見られるが、当初、システム要件定義、システム設計段階を想定場面と設定。振る舞いは「おしなべてこんな感じ!」の視点で整理。
攻撃側 防御側
H:運用管理対策
*運用時の防御対処に役立つソリューションの使用法等
*各パターン共通的事項を整理
重要脅威カタログ
A.~F.を内包
トポロジ基本図セット
基本図4種 ①②③④
DMコンテンツから
DMコンテンツを背景理由に関連付け
振る舞いパターンの整理アプローチイメージ
図 3-1 振る舞いパターン分類のアプローチ手順
特定された脅威の振る舞いを分類整理し、次の 6 種類にパターン化した。
・パターン 1:「正規 Web 閲覧によるマルウェア感染(情報搾取)」
イントラネットにおける端末 PC のブラウザの視点による分類。
通常の Web サイト閲覧等により、マルウェアに感染し、端末内の認証情
報や機微な情報が意図せずして外部に漏えいする事象。特に、通常の Web
サイト閲覧からの感染の仕組みにより、幾つかのバリエーションが存在
する。
・パターン 2:「標的型メール攻撃(情報搾取)」
イントラネットにおける端末 PC のメーラーの視点による分類。
一見して、標的型攻撃と見分けがつかないメールを受信し、安易に、添
付ファイル或いは本文中の URL をクリックしてしまうことにより、結果
として端末 PC 内でのマルウェアの実行を許してしまう事象。
・パターン 3:「正規Web改竄による誘導」
サーバの視点による分類。
近の Web サイトの改竄手法として、代表的なものとして、Gumblar に
見られるような FTP 認証情報搾取による Web サイト改竄、SQL インジ
ェクションによる改竄などの事象。
・パターン 4:「媒体介在マルウェア感染(情報搾取)」
電子記録媒体の視点による分類。
27
特に、USB メモリで感染するマルウェアの事象。
・パターン 5:「複合 DDoS 攻撃(攻撃基盤)」
端末 PC に潜在化するマルウェアの視点による分類。
特に、韓国 DDoS 攻撃に見られる、今後発生する恐れがある、複数の事
象(情報搾取、ファイル破壊、大量スパムメール送信等)を同時多発的な
発生させる仕組みをもった事象。
・パターン 6:「通常 DDoS 攻撃」
一般的な Botnet の視点による分類。特定のサーバソフトの脆弱性を狙っ
てプロセスを飽和状態にするように手法や、不特定かつ広範囲な IP アド
レスからの DDoS 攻撃の事象。
バリエーション2:Spamメール不正url誘導系
パターン1:「正規Web 閲覧によるマルウェア感染(情報搾取)」
バリエーション2:"**.ru:8080ウイルス系感染サイト閲覧"
バリエーション1:"gumblar.xウイルス系感染サイト閲覧"
パターン2:「標的型メール攻撃(情報搾取)」
バリエーション1:メール添付ファイル系ab
パターン4:「媒体介在マルウェア感染(情報搾取)」
バリエーション3:"SQLインジェクション系感染サイト閲覧"
パターン3:「正規Web改竄による誘導」
バリエーション2: "SQLインジェクション改竄系"
バリエーション1: "gumblar.xウイルス改竄系"
パターン5:「複合DDoS攻撃(攻撃基盤)」
バリエーション4:"検索サイト結果からのリダイレクト系"
参考:従来脅威(現在も攻撃が観測されるもの)
バリエーション1: "USB感染拡散(Conficker)系"
パターン6:「通常DDoS攻撃」
バリエーション1: "SSL接続DDoS系"
韓国DDoSに見られる「スマートグリッド的DDoSの攻撃基盤特性」を反映
既存iDC等サービスを利用した攻撃用bot作成
Gumblar感染サイトをイントラから閲覧するケース
当該イントラのサイト管理端末の感染による自動改竄のケース
イントラサイトがGumblarに感染するケース
FTP基盤を使って感染拡大するソリューション
組織的影響の大きい個々のインシデントは、何れかのパターンに類し、かつ同一設計対策でカバー出来るインシデントを同一分類とする形にパターンを整理
google攻撃手法(Operation “Aurora”)と言われているモデル
BotnetによるSSL接続DDoS攻撃
ネットビジネス決済への影響
図 3-2 振る舞いパターンの整理結果
28
3.2. 振る舞いパターンの概要
各振る舞いパターンの振る舞いの特徴を抽出して模式図としたものが振舞いパターン概
要図である。マルウェアの実際の動きは、PC 感染後攻撃者が管理するサーバから更に多種
類のマルウェアをダウンロードして、それらが役割分担して攻撃を行うなど多段階化、複
雑化している。振舞いパターン概要図は、マルウェアの動きの特徴を単純化して模式化す
ることにより攻撃の全体像をわかりやすく示すものである。
マルウェアに感染しないことは重要であるが、Gumblar の例に見られるように感染を避
けることが非常に困難な攻撃もある。その場合、感染しても実質の被害に至らないための
ポイントはどこかをハサミの絵で示している。凡例では、Web サーバの認証情報を搾取さ
れても、Web サイト改竄のためのアクセスを遮断することでサイト改竄を防ぐことを示し
ている。従来はセキュリティ製品の導入によってセキュリティ上の脆弱性をカバーしてい
たが、これからは「皮を切られても肉まで切られない」ためにはどう防御すればよいかと
いう発想でセキュリティ対策設計を行うことが求められる時代になっている。
パターン1:「正規Web 閲覧によるマルウェア感染(情報搾取)」
マルウエア配布サーバ正規改竄サーバ
搾取情報格納サーバ 攻撃者
正規改竄サーバ
数千サイト規模
攻撃基盤
攻撃利用基盤(正規サーバを利用)
基幹システム
搾取情報の各種犯罪等利用
一般PC
認証等情報
搾取サイト管理情報を利用した改竄とバックドア設置等
改竄された正規Webサイトの閲覧により、マルウエア配布サイトに誘導。認証情報等の搾取とバックドアの設置が行われる。搾取された認証情報の利用により、攻撃利用基盤の拡大が図られる。
攻撃利用基盤(正規サーバを利用)拡大各種登録アカウント情報
認証等情報
脆弱性利用
Webサーバ
最悪、この通信を遮断出来ればシステムは防御
搾取認証等情報
振る舞いパターン概要図 凡例
インターネット
ファイアウオール(内側がイントラ部分)
ハサミ:被害防止の最終ポイントを示すハサミ:被害防止の最終ポイントを示す
図 3-3 振る舞いパターン概要図の凡例
29
3.2.1. 正規 Web 閲覧によるマルウェア感染(情報搾取)
改竄された正規のWeb サイトを閲覧することによってマルウェアに感染するため、感染が
拡大しやすいパターンである。不審な Web サイトに対するアクセスは、様々な啓発活動や
検索サイト等のフィルタリングにより減少傾向にあると思われるが、正規 Web サイトへの
アクセスについては、予防する仕組みを構築することが大変難しい状況である。この攻撃
は、このような状況につけ込んだ攻撃手法と言える。
また、正規 Web サイトの改竄の状況(Gumblar ウィルスによるもの、或いは、SQL イン
ジェクションによるもの等)や、マルウェア配布サーバによるマルウェアの配布形態(直
接配布、或いはリダイレクトによる配布等)により、幾つかのバリエーションがある。さ
らに、認証情報の搾取にあわせてバックドアの設置も行われる。
基本的な振る舞いの流れは、次の通り。
①認証等情報を保持している一般 PCが、改竄されている正規 Webサイトを閲覧し、一般
PC 内のソフトウェアの脆弱性を悪用して、マルウェア配布サイトにリダイレクトし、
マルウェアをダウンロードさせる。
②ダウンロードされたマルウェアが、認証等情報を不正に搾取し、外部のサーバに送信
する。
③攻撃者が、外部のサーバに格納された搾取情報を取得し、認証情報が使用できるサー
バに対して、Web サイト改竄をする。
パターン1:「正規Web 閲覧によるマルウェア感染(情報搾取)」
マルウエア配布サーバ正規改竄サーバ
搾取情報格納サーバ 攻撃者
正規改竄サーバ
数千サイト規模
攻撃基盤
攻撃利用基盤(正規サーバを利用)
基幹システム
搾取情報の各種犯罪等利用
一般PC
認証等情報
搾取サイト管理情報を利用した改竄とバックドア設置等
改竄された正規Webサイトの閲覧により、マルウエア配布サイトに誘導。認証情報等の搾取とバックドアの設置が行われる。搾取された認証情報の利用により、攻撃利用基盤の拡大が図られる。
攻撃利用基盤(正規サーバを利用)拡大各種登録アカウント情報
認証等情報
脆弱性利用
Webサーバ
最悪、この通信を遮断出来ればシステムは防御
搾取認証等情報
図 3-4 正規 Web 閲覧によるマルウェア感染(情報搾取)
30
3.2.2. 標的型メール攻撃(情報搾取)
電子メールの添付ファイルやメール本文中に埋め込んだURLをクリックさせることによ
ってマルウェア感染を引き起こす攻撃である。この攻撃は、通常業務で も頻度よく使用
される電子メールに対して、タイムリーな話題で受信者の関心を引く、或いは、受信者の
関係者になりすまして送信元アドレスを偽装するものが多いため、一般 PC の使用者が、添
付ファイルを開いてしまう、或いは、本文中の URL をクリックしてしまう事が多い。この
ような状況と(ゼロデイを含む)脆弱性の利用により、一般 PC にマルウェアを感染させ、
操作等情報を搾取することを狙った攻撃手法である。
また、感染に成功したマルウェアの一部には、外部のサーバ(コマンド&マルウェア配
布サーバ)と通信する機能を持ったボットとして活動する(ボット化)ものもある。
基本的な振る舞いの流れは、次の通り。
①攻撃者が、イントラ内の一般 PC に対して悪意のあるメールを送付
②一般 PC において、マルウェアが実行し、外部のサーバ(コマンド&マルウェア配布サ
ーバ)に対して通信行い、さらに別のマルウェアの感染がされる。
③マルウェアが、一般 PC 内の操作情報などを、外部サーバ(搾取情報格納サーバ)に対
して、送信する。
コマンド&マルウエア配布サーバ 搾取情報格納サーバ
攻撃基盤
基幹システム
搾取情報の各種犯罪等利用
操作等情報
マルウエア付き騙しメールを送り、開封によりコマンド&マルウエア接続サーバの指令下に入る(ボット化)。これにより、PC操作情報等を搾取される。特定目標限定でメールが送付されるので「標的型攻撃」と呼ばれる。
パターン2:「標的型メール攻撃(情報搾取)」
攻撃者
脆弱性利用
イントラ内ボット化
リモートコントロール配下
最悪、この通信を遮断出来ればシステムは防御
操作等情報
図 3-5 標的型メール攻撃(情報搾取)
31
3.2.3. 正規 Web 改竄による誘導
攻撃対象とするサーバが存在する基幹システムの領域外にあって、管理が比較的緩いと
思われる管理委託先を狙った攻撃手法である。また、管理委託先を狙わずとも、攻撃対象
となるサーバに対して、直接、攻撃を仕掛ける SQL インジェクション手法も同じようなも
のとしてみなす。
本攻撃によって、直接的に被害を受けるのは、改竄された Web サイトの閲覧者或いはマ
ルウェアによって強制的にアクセスされる一般 PC の使用者であるが、改竄された Web サ
イトに中で認識される事業者にとっては、事実上、「マルウェア感染をさせる Web サイトを
所有する事業者」として認識されることになり、Web サイトの管理運営の責任を問われた
り、企業ブランドが傷つくなどの間接的な被害を受ける事になる。
基本的な振る舞いの流れは、次の通り。
①Web サイトコンテンツにかかる管理委託事業者などから、Gumblar ウィルス等による
ドライブバイダウンロード攻撃によって、Web サイトコンテンツの管理用認証情報
(FTP の User と Password)を不正入手する。
②別目的の攻撃のために、当該 Web サイトのコンテンツを改竄する。
基幹システム
パターン3:「正規Web改竄による誘導」
サイト閲覧者をマルウエアダウンロードサイトに誘導するため正規Webサイトを改竄する。
搾取情報格納サーバ 攻撃者
攻撃基盤
搾取認証等情報
誘導の為の改竄
次回侵入のためのバックドアの設置
Webサーバ管理委託先管理委託先
正規改竄サーバ
搾取認証等情報
最悪、この通信を遮断出来ればシステムは防御
図 3-6 正規 Web 改竄による誘導
32
3.2.4. 媒体介在マルウェア感染(情報搾取)
汚染されたUSBメモリによるマルウェア感染が、感染全体に占める割合は依然として高く、
USB を含む電子記憶媒体(USB メモリ、SD カード、CD-ROM 等)を狙った攻撃は活発
に行われている。これは、電子記憶媒体が電子メール、Web ブラウザに継ぐ、主要な情報
共有ツールとなっていることから感染が広がりやすく、攻撃者にとって有力な感染ルート
として認知されているためと考えられる。
また、この攻撃は、ファイル共有ネットワーク、電子メール、他の媒体という手段を使
って感染拡大を図る特性が強く、適切な対策を講じることが難しいが、認証等情報を搾取
する通信経路を遮断することにより、 低限のシステム防護を図ることができる。
基本的な振る舞いの流れは、次の通り。
①製造開発ライン或いは他社の PC から USB メモリ等の電子記憶媒体に混入したマルウ
ェアが、その媒体を介して一般 PC に混入する。
②一般 PC に混入したマルウェアが実行されることにより、外部のサーバ(マルウェア配
布サーバ)と通信し、感染マルウェアの更新や別のマルウェアのダウンロードをする。
③一般 PC で実行されたマルウェアが、内部の認証等情報を搾取し、外部サーバに対して
送信する。また、他の脆弱性を利用して別の一般 PC に対してマルウェア感染を拡大さ
せる。さらに、当該マルウェアに感染した一般 PC に接続された媒体を通じて、別の組
織(関連会社等)内の一般 PC に感染をさせる。
マルウエア配布サーバ
攻撃利用基盤(正規サーバを利用)
パターン4:「媒体介在マルウェア感染(情報搾取)」
基幹システム
一般PC製品開発ライン等
搾取情報格納サーバ 攻撃者
攻撃基盤
関連会社等関連会社等
搾取認証等情報搾取情報の各種犯罪等利用
脆弱性利用脆弱性利用
システム負荷等、感染通信監視による初動対処
製品開発ライン等種々の場面で媒体等に混入したウイルスが、媒体を介してシステムに混入。混入後、攻撃利用基盤上のマルウエアにアップデート。同時に、基幹システム内への感染拡大及び媒体を介して感染拡大を図る。ネットワーク障害、サーバ障害双方に跨る影響現象が発生するため、両管理組織間とセキュリティ部門との連携と切り分け手順等の準備が効果的。アップデートするマルウエアがBotだった場合、システムbot化し、情報を搾取の可能性有り。
感染連鎖拡大
Botがダウンロードされた場合は情報搾取
最悪、この通信を遮断出来ればウイルスのアップデートは無い。
対応度はネットワーク障害、サーバ障害に跨る「初動対処手順」の準備如何に依存(混乱回避)
図 3-7 媒体介在 マルウェア感染(情報搾取)
33
3.2.5. 複合 DDos 攻撃(攻撃基盤)
複合型 DDoS 攻撃は、従来安全性を担保する前提で構築された既存サービス網(VPN 網)
の使用や機能分散されたそれぞれのマルウエアが連動して攻撃機能を発揮するなど、攻撃
利用基盤構築に関して新しいタイプの攻撃である。代表的な事例としては、2009 年 7 月に
発生した韓国の政府機関および大手民間企業の Web サイトへの攻撃がある。防御情報の分
析が困難なため、今後多用な攻撃に利用され始めると対応の難しい脅威となる。
この攻撃の特徴は、次の通りである。
・既存ビジネスサービスネット(VPN サービス)を用いた DDoS 攻撃基盤
・全体設計に基づく攻撃用のマルウエアが単機能で複数存在し有機的に攻撃動作し時間
的に仕様が変化
・分析と追跡が非常に困難なので、防御情報の把握が難しい。
・正規サーバ改竄の攻撃指示サーバが、国外に大量に設置され、ブラックリストによる
対策を困難にさせた
基本的な振る舞いの流れは、次の通り。
①攻撃者が、正規 Web サイトを改竄し、コマンドおよびマルウェア配布サーバを構築する。
②マルウェアに感染した PC が、Web サーバに対して DDoS 攻撃を実施する。
③マルウェアに感染した PC が、悪意のあるサーバと通信し、攻撃指示情報や他のマルウ
ェアをダウンロードする。この際、マルウェア感染 PC と悪意のあるサーバ間の通信の
一部は、既存のビジネスサービスネット(VPN サービス)が用いられる。
④感染に成功したマルウェアは、DDoS 攻撃以外に大量スパムメール送信や、感染した
PC 内部のファイル破壊を実施する。
34
攻撃利用基盤
パターン5:「複合DDoS攻撃(攻撃基盤)」
基幹システム
マルウェア感染
Webサーバ等
正規改竄サーバ
マルウェア感染マルウェア感染マルウェア感染マルウェア感染
攻撃利用基盤(正規サーバと正規サービスを利用)
大量スパムメール送信
攻撃者攻撃基盤
攻撃基盤
攻撃指示情報 等
ファイル破壊
この通信を遮断又は緩和出来ればシステムは防御
マルウェアに感染したPCが、 Web サーバに対して DDoS 攻撃を実施しつつ、悪意のあるサーバから攻撃指示情報や他のマルウェアをダウンロードし、マルウェアに感染したPCにおいて大量スパムメール送信やファイル破壊を行う。複合型のDDoSは、従来安全性を担保する前提で構築された既存サービス網(VPN網)の使用や機能分散されたそれぞれのマルウエアが連動して攻撃機能を発揮するなど、攻撃利用基盤構築に関して新しいタイプの攻撃。防御情報の分析が困難なため、今後多用な攻撃に利用され始めると対応の難しい脅威となる。
複合DDoSの特徴:
既存ビジネスサービスネットを用いたDDoS攻撃利用基盤
1.既存ビジネスサービスネット(VPNサービス)を用いたDDoS攻撃基盤の設置(攻撃スタイルとして定着化)
2.全体設計に基づく攻撃用のマルウエアが単機能で複数存在し有機的に攻撃動作し時間的に仕様が変化(攻撃仕様の全体分析がとても困難)3.分析と追跡が非常に困難なので、防御情報の把握が難しい。4.正規サーバ改竄の攻撃指示サーバが、国外に大量に設置され、ブラックリストでの対策を困難にさせた理由となっている。
重要サービスシステムの場合、サービスダウン時の影響インパクト性を検討し、ダメージコントロールを検討しておく必要がある。
マルウエア配布サーバ
ISP(通信事業者)
迅速なマルウェアの攻撃仕様等の情報が入手出来、システムのDDoS緩和機能設定とISPサービスに反映できれば一定の防御は可能(連携対処)
図 3-8 複合 DDos 攻撃(攻撃基盤)
3.2.6. 通常 DDos 攻撃
特定の Web サーバに対してあらかじめ準備した多数の PC からいっせいに大量のパケッ
トを送信すること等によって攻撃対象となったサーバが提供していたサービスを利用でき
なくする攻撃である。これまでに攻撃の手法として種々の手法が知られている。
この攻撃により、Web サイトによるサービスが停止される事態に陥るため、特に、Web
サイトでビジネスが成り立っている事業者に取っては、ビジネスインパクトと対策コスト
との総合的な判断が必要になる。
回線負荷を起こす DDoS(回線帯域系 DoS)の場合は、サイト側対応での防御が出来な
いため、契約内容含めた回線側との対応調整が必要である。この場合もコスト対効果を勘
案しつつの検討になる。
処理負荷系 DoS の場合は、サイト側の DoS 緩和機能の設定による回避を行うが、この場
合設定に必要な攻撃分析情報を入手する必要があり。この為の組織ラインを確保しておく
必要がある。
基本的な振る舞いの流れは、次の通り。
①攻撃者が、マルウェアに感染している(ボット化した)PC に対して、攻撃指示を与え
る。
②ボット化した PC が、一斉に Web サーバに対して DDoS 攻撃を実施。
35
基幹システムWebサーバ等
攻撃利用基盤
マルウェア感染マルウェア感染マルウェア感染マルウェア感染マルウェア感染
パターン6:「通常DDoS攻撃」
重要サービスシステムの場合、サービスダウン時の影響インパクト性を検討し、ダメージコントロールを検討しておく必要がある。
Botnetを利用した攻撃利用基盤
攻撃者攻撃基盤
攻撃指示
この通信を遮断又は緩和出来ればシステムは防御
ISP(通信事業者)
迅速なマルウェアの攻撃仕様等の情報が入手出来、システムのDDoS緩和機能設定とISPサービ
スに反映できれば一定の防御は可能(連携対処)
ネット決済サイトビジネスへのDDoSにより、販売決済が不能。ビジネスへの影響が発生するが、対応策検討にはビジネスインパクトと対策コストとの総合判断が必要。
回線負荷を起こすDDoS(回線帯域系DoS)の場合は、サイト側対応での防御が出来ないため、契約内容含めた回線側との対応調整が必要。この場合もコスト対効果を勘案しつつの検討になる。
処理負荷加系DoSの場合は、サイト側のDoS緩和機能の設定による回避を行うが、この場合設定に必要な攻撃分析情報を入手する必要があり。この為の組織ラインを確保しておく必要がある。
SSL接続DoS攻撃の場合、SSLサイトにアクセスできない。
DDoS種別:(種別により対策箇所が異なる)
・回線帯域系・サーバ処理付加系(Web、DNS、SSL等)
SSLサービス未提供サイトへのSSL接続DoS攻撃はファイアウォールでブロック可
Webサイトと他のサービス(主にメール)を別回線として設計する事により、システム全体に対する影響を極限可
図 3-9 通常 DDos 攻撃
3.3. 振る舞いパターン別攻撃事例
振る舞いパターン別の攻撃事例を以下に示す。
(1) パターン 1:正規 Web 閲覧によるマルウェア感染(情報搾取)
事例名称 Gumbla.X への大量 Web サイト感染
発生時期 2009 年春以降断続的に発生
攻撃内容・
経緯
正規の Web サイトを改竄して悪性サイトへリダイレクトする JavaScript
を埋め込み、その正規 Web サイトにアクセスしてきた利用者の PC を悪性サ
イトに誘導してマルウェアに感染させる。マルウェアによって利用者が管理
する Web サイトの FTP ログイン ID、パスワードを盗み出して Web サイト
を改竄することにより、感染サイトが広がっていく。このように、被害者の
管理サイトが感染拡大に利用されることが特徴である。正規 Web サイトへ
のアクセスによって利用者の PC がマルウェア感染するため防御が非常に難
しい。
Kaspersky Labs Japan の 2009 年 11 月 16 日付けニュースリリースによ
れば、10 月 14 日から 11 月 16 日までの 1 ヶ月強で国内の 1250 以上の
感染サイトを確認したとのことである。
36
(2) パターン 2:標的型メール攻撃(情報搾取)
事例名称 Google へのサイバー攻撃
発生時期 2009 年 12 月
攻撃内容・
経緯
Google 社内の特定個人へ標的型メールを送付し、添付ファイルまたは URL
をクリックさせることによって悪性サイトからマルウェをダウンロード。マ
ルウェアは、IE の未知の脆弱性を利用して PC にバックドア型トロイの木馬
をインストールして当該 PC を遠隔操作した。これによって、中国の人権問
題の活動家の Gmail をハッキングした。
同様の攻撃が同時に、Google を含めて 34 社に対して行われたとされてい
る。今回の攻撃は、「過去数年の中で、特定の企業をターゲットとしたサイ
バー攻撃の中で、 大かつ も高度なもの」(McAfee 幹部)との見方がある。
事例名称 IPA を騙った標的型メール攻撃
発生時期 2008 年 3 月
攻撃内容・
経緯
IPA からのセキュリティ調査報告書の送付を装った PDF 添付メールが出回
った。メールの送信元は、現職の IPA 職員に偽装されていた。また、メール
本文は、IPA が Web 上で公開したメールタイトルに関係した文章であり、
添付 PDF ファイルは IPA のプレスリリース全文の PDF にマルウェアを仕
掛けたものであった。メール受信者が添付の PDF ファイルを開くと、Adobe
Reader の脆弱性を利用して PC にマルウェア感染を引き起こす(脆弱性の
対策パッチをかけている場合は感染しない)。
マルウェアは、感染した PC の OS バージョン、言語 ID、コンピュータ名、
IP アドレス、HTTP Proxy サーバの設定情報を攻撃者の悪性サーバに送信す
る。その後、悪性サーバからの指令を受け、以下の活動を行う。
・ 悪性サーバから指定された任意のプログラムの実行
・ ファイル一覧情報の搾取と悪性サーバへの送信
・ 悪性サーバから指定された任意のファイルの送信
・ 悪性サーバから指定された任意のファイルの削除
(注)詳細は、(独)情報処理推進機構「ソーシャル・エンジニアリングを巧みに使った攻撃の
分析と対策」(2009.2.6)を参照。
(3) パターン 3:正規Web改竄による誘導
事例名称 運輸関係会社 A 社の 2 度にわたるホームページ改竄
発生時期 2009 年 12 月、2,010 年 2 月
攻撃内容・
経緯
1 回目:
A 社の Web サイトにある検索結果表示のページが改竄され、悪性コードを
37
埋め込まれた。Web の改竄が判明するまでの 12 月 8 日から 21 日までの約 2
週間の間は改竄されたページがそのまま使用されていた。
2 回目:
A 社の Web サイトのキーワード検索ページが 2 月 18 日から 22 日まで改竄
されていた。この間、キーワード検索ページの URL を直接入力して表示さ
せたユーザーはマルウェアに感染した可能性がある。
(4) パターン 4:媒体介在マルウェア感染(情報搾取)
事例名称 USB 感染による米韓共同軍事戦略の漏洩
発生時期 2009 年 11 月
攻撃内容・
経緯
韓国軍の将校がマルウェアに感染している USB を PC に接続したため PC
がマルウェアに感染。その後 PC がハッキングされてダウンロードした米韓
共同軍事戦略(OPLAN5027)のファイルを搾取された。ハッカーは中国国内
の IP アドレスを使用したとのこと。
38
(5) パターン 5:複合 DDoS 攻撃(攻撃基盤)
事例名称 韓国政府機関・大手民間サイトへの DDos 攻撃
発生時期 2009 年 7 月
攻撃内容・
経緯
韓国の大統領府、国会、外交通商部、在韓米軍、国防部などの韓国政府主
要機関、国内の主要サイトへのDDos攻撃によってアクセス障害が発生した。
攻撃は 4 日間続いた(この攻撃の攻撃対象には米国の政府機関も含まれてい
た)。
攻撃には、マルウェアに感染した多数の一般の PC(韓国内 約 12,000 台
韓国外 約 8,000 台)が攻撃基盤として利用された。攻撃開始のトリガーは、
指令サイトからのコマンド受け取りによるものではなく、マルウェア感染時
に生成された攻撃ファイルの設定に従い、設定時刻に一斉攻撃開始したもの
である。マルウェアは、10 個以上のファイルが有機的に連携して機能してお
り、攻撃の全容解明を困難にした。
攻撃基盤となった PC では、DDos 攻撃の後にマルウェアが更新され、Spam
メールの送信、情報搾取(ファイルリストを 59 カ国、416 台のサーバに転
送)、データ破壊が行われた。
(6) パターン 6:通常 DDoS 攻撃
事例名称 DNS サービスプロバイダ Neustar への DDos 攻撃
発生時期 2009 年 12 月
攻撃内容・
経緯
クリスマス商戦中に DNS サービスプロバイダの Neustar 社のサイトが
DDos 攻撃を受けた。これにより、同社の顧客であるアマゾン、ウォルマー
ト、Gap、Expedia(旅行サイト)のショッピングサイトが約 1 時間利用で
きない状態になった。また、セールスフォース(SaaS)、リンデン・ラボ(セ
カンドライフ)のサイトも影響を受けた。これらの企業の Web サイトを利用
できなくなったのは主に北カリフォルニアの利用者である。
Neustar 社は 2009 年 4 月にも DDos 攻撃を受け、一部の顧客の Web サイト
が数時間停止した。
39
3.4. 代表的な振る舞いモデルの詳細
3.4.1. 正規 Web 閲覧によるマルウェア感染(情報搾取)<バリエーション1>
改竄された正規 Web サイトを閲覧することによってマルウェアに感染するケースである。
マルウェアによって、自社の Web サイト管理者の FTP アカウント、パスワードが盗まれた
場合、自社のサイトが改竄されて新たな感染源となる。
図 3-10 パターン 1・バリエーション1の振る舞い
振る舞いの詳細と攻撃成功要件は、表 3-1 の通りである。
40
表 3-1 振る舞いパターン 1・バリエーション1の詳細
41
42
43
44
45
3.4.2. 正規 Web 閲覧によるマルウェア感染(情報搾取)<バリエーション2>
.ru:8080 系と呼ばれる攻撃では、バリエーション1とは異なる脆弱性が利用され、クラ
イアント PC にダウンロードされるマルウェアの振る舞いも異なっている。このため、バリ
エーション 1 の対策だけでは不十分である。
図 3-11 パターン 1・バリエーション2の振る舞い
振る舞いの詳細と攻撃成功要件は、表 3-2 の通りである。
46
表 3-2 振る舞いパターン 1・バリエーション2の詳細
47
48
49
50
51
3.4.3. 標的型メール攻撃(情報搾取)
メールに添付したマルウェアを含むファイルやメール本文中に埋め込んだ悪性サイトの
URL をクリックさせることでマルウェア感染を引き起こす攻撃である。ファイルや URL
をクリックさせるために、攻撃対象の関係者や各種お知らせを装うなどのソーシャルエン
ジニアリング手法を用いた攻撃が特徴的である。
以下に、バリエーション1a とバリエーション1bの振る舞いの詳細を示す。
(1)バリエーション1a
図 3-12 パターン2・バリエーション1a の振る舞い
振る舞いの詳細と攻撃成功要件は、表 3-3 の通りである。
52
表 3-3 振る舞いパターン 2・バリエーション 1 の詳細
53
(2)バリエーション1b
図 3-13 パターン2・バリエーション1b の振る舞い
振る舞いの詳細と攻撃成功要件は、表 3-4 の通りである
54
表 3-4 振る舞いパターン2・バリエーション2の詳細
55
3.4.4. 媒体介在マルウェア感染(情報搾取)
媒体等に混入したウイルスが媒体を介してシステムに混入し、混入後に攻撃利用基盤上からマルウエアをダウン
ロードし、システムにネットワーク障害やサーバ障害を引き起こす攻撃である。通常、複数の亜種がダウンロー
ドされ状況の把握と対応に多大の工数を要する。
アップデートするマルウエアが Bot だった場合にはシステム bot 化し、情報を搾取される可能性が有る。
(1)バリエーション1
図 3-14 パターン4・バリエーション1の振る舞い
振る舞いの詳細と攻撃成功要件は、表 3-5 の通りである
56
表 3-5 振る舞いパターン4・バリエーション1の詳細
57
4. 影響と問題点の分析
4.1. 脅威トレースの方法とトレース実施対象の選択
4.1.1. 脅威トレースの目的と方法
脅威トレースは、振る舞いパターンで代表されるサイバー攻撃が情報システムに加えら
れたとき、攻撃はシステムトポロジモデル上でどのような経路をたどり、どのような被害
をもたらすか、また攻撃を途中で阻止する(攻撃の一連の経路のいずれかを断ち切る)た
めには何が必要かを机上シミュレートするものである。脅威トレースを行なうことによっ
て、実際の攻撃パターンに即したセキュリティ対策が明確になり、現状脅威に対抗可能な
対策設計が可能となる。
振る舞いパターン
攻撃成功要件(攻撃仕様)
システムトポロジ
事案例から被害推移等情報を特記
事例:脅威トレース
トレース時の時系列条件に使用
・パッチ、AVパターンリリースタイミング等
時系列的な条件情報を吸収
・パッチ、AVパターン、接続SVurl、改竄サイトurlの有無等
攻撃要件テーブル(辞書)
登録再利用
振る舞いの場
解析技術分野
インシデント分析分野
設計技術分野
各技術分野の相関で設計対策までを整理。→RMは各分野相関でないと造れない。
各分野をつなぎ合わせて実施...通常、分野間の関係性は薄い。
分析結果
・危険性
・要設計項目
発注要件レベルで整理
組織上の影響問題点
業務分野
☆ 全ての分析は設計対処の必要性と効果を定量定性的に説明するためのもの。そして対策効果の有用性を提示する事に帰着する。
組織情報システムを中心に振る舞い動作の共通性から分類した重要脅威種別(重要脅威カタログ)」を分析。従来脅威やコンシューマPC脅威ではなく、最新脅威分析から組織情報システムを対象に組織業務への影響度の高いモノを選定。
ドライブバイダウンロード攻撃モデルが出現してから、今までのセキュリティ製品を置く設計思想のみでは、対策効果が低下。このような攻撃モデルに対する為には、正確な脅威分析を基にしたシステムデザイン設計思想を取り入れる必要がある。
図 4-1 脅威振る舞いパターン~システムトポロジトレースによる危険性の抽出
脅威トレースでは、OSI 参照モデルに準じた通信の階層構造を踏まえて攻撃のパス、防
御の有効性を検証する。
また、脅威トレースを行なうにあたっては、ウィルス解析・対策、情報システム構築、
通信、iDC 運用それぞれの分野の専門家が一同に会し、振る舞いモデルのシステムトポロ
ジモデル上での動きを机上検討した。従来のセキュリティ対策はそれぞれの立場からの対
策であったが、脅威トレースでは各分野からの知見を基に問題整理を行った。
58
図 4-2 イントラネット上での振る舞いパターン1(バリエーション1)の脅威トレース事例
59
物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ
物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ
物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ
始点
終点
中継点
OS
サーバプログラム
アプリケーション
ハードウェア
ハブ スイッチ ルータ ゲートウェイ ゲートウェイ ゲートウェイ
パケットフィルタ パケットフィルタ サーキットGW アプリケーションGW アプリケーションGWスイッチでフィルタ ルータでフィルタ ルータでフィルタ
ファイアウォール
アプリケーションGW
型ファイアウォール
WAFとかウィルスGWとか
ARP Spoofとか
DoS(smarfとかLandとか)その他IPのスタック
を狙ったもの
DoS(Flood系)その他TCPスタック
を狙ったもの
プロトコル違反バッファオーバーフローその他サーバを狙ったもの
不正URL
ウィルス付きメールその他アプリを狙ったもの
攻撃例攻撃例
やられる人
処理・速度・費用重い・遅い・高い
装置
名称対策実装例
対策実装例 線を抜く ホストでフィルタ ホストでフィルタ ホストでフィルタサービス停止
ウィルス対策 ウィルス対策SPAM対策
軽い・早い・安い
物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ物理層(Ethernet)
データリンク層(MAC)
ネットワーク層(IP)
トランスポート層(TCP)
プロトコルヘッダ(HTTP,SMTP等)
データ
図 4-3 通信ネットワークの階層とサイバー攻撃の関係
物理層(Ethernet)
データリンク層(MAC src/dst)
ネットワーク層(IP src/dst)
トランスポート層(TCP port src/dst)
プロトコルヘッダ(HTTP,SMTP等)
データ攻撃攻撃始点始点
終点終点ホストホスト
境界防御境界防御
OSサーバプログラム
アプリケーション
ハードウェア
ハブ スイッチ ルータ ファイアウォール Appゲートウェイ Appゲートウェイ
スイッチでフィルタ ルータでフィルタ ルータでフィルタファイアウォール
アプリケーションGW
型ファイアウォール
WAF, ウィルスGW
ARP Spoof・・・ DoS(smarf,Land・・・) DoS(Flood系)プロトコル違反バッファオーバーフロー
不正URL
ウィルス付きメール
経路トレースの概念図経路トレースの概念図
終点の終点の被害部分被害部分
処理速度費用
重い・遅い・高い
装置
対策実装例
対策実装例 線を抜く ホストでフィルタ ホストでフィルタ ホストでフィルタ不要サービス停止
ウィルス対策 ウィルス対策SPAM対策
軽い・早い・安い
物理層(Ethernet)
データリンク層(MAC src/dst)
ネットワーク層(IP src/dst)
トランスポート層(TCP port src/dst)
プロトコルヘッダ(HTTP,SMTP等)
データ
物理層(Ethernet)
データリンク層(MAC src/dst)
物理層(Ethernet)
データリンク層(MAC src/dst)
ネットワーク層(IP src/dst)
トランスポート層(TCP port src/dst)
プロトコルヘッダ(HTTP,SMTP等)
データ
物理層(Ethernet)
データリンク層(MAC src/dst)
ネットワーク層(IP src/dst)
内部内部NWNW
対策実装の対策実装の
ルータ
スイッチ
req
res
req
res
req
res
req
res
req
res
req
res
図 4-4 脅威トレースの概念図
60
4.1.2. 脅威トレース実施対象
振る舞いパターンは、例えば閉域型においてはインターネット経由の攻撃は考慮する必
要がないなど、システムトポロジモデルによっては脅威トレースを行なう必要が無い場合
がある。また、異なる振る舞いパターンでも、特定の攻撃段階は他のパターンと同様の振
る舞いになる場合がある。これら振る舞いパターンとシステムトポロジモデルの関係をつ
き合わせ、実施するべき脅威トレースを表 4-1 にシステムトポロジ別に整理した。
本事業では、表 4-2 のうち以下の 3 パターンについて脅威トレースを行った。
・パターン 1(バリエーション1)×イントラネットモデル
・パターン1(バリエーション2)×イントラネットモデル
・パターン2(バリエーション1)×イントラネットモデル
また、図 4-10~4-12 に示すようにイントラネット以外の 3 種類のシステムトポロジモデル
全てについて、それぞれのモデル上での振る舞いパターン1の挙動の整理を行った(以下、
挙動整理図という)。設計対策は、振る舞いパターンのシステムトポロジ内での動きの経路
をいかにして遮断するかという観点から行うものであり、挙動整理図から得られる振る舞
いパターンの経路と脅威トレースから得られた対策の知見を組み合わせることにより、脅
威トレースが未実施のシステムトポロジモデルに対して必用な対策セットを導出・整理し
た。整理した対策セットは、次年度以降においてフィールドでの実証確認を行う予定であ
る。なお、通常の DDos 攻撃はシステムトポロジの入り口に対する攻撃であり、これまで
の事例から得られている対策をベースにとりまとめた。
表 4-1 脅威トレース実施星取表
○:全てのパスをトレース(●は今回トレース) △:一部のパスをトレース ×:脅威トレース不要
振る舞いパターン
システム
トポロジ
モデル
脅威トレ
ースの必
要性有無
トレース実施有無の理由
パターン1:
正規Web 閲覧によるマ
ルウェア感染(情報搾
取)
イントラネ
ット ●
・他の振る舞いパターン(媒体介在マルウ
ェア感染)との共通部分を含めて全
プロセスをトレースする。
閉域型 × ・インターネット経由の攻撃を受けな
いため。
iDC ○
・イントラネットの場合と同じく、他
の振る舞いパターンとの共通部分を含
めて全プロセスをトレースする。
Saas △ ・イントラネットの構内システム部分
の動きとほぼ同じ。
パターン2:
標的型メール攻撃(情報
イントラネ
ット ●
・メール添付の悪性コードの読み込み
マルウェアダウンロード、情報の盗
61
○:全てのパスをトレース(●は今回トレース) △:一部のパスをトレース ×:脅威トレース不要
振る舞いパターン
システム
トポロジ
モデル
脅威トレ
ースの必
要性有無
トレース実施有無の理由
搾取) み出し、ボット化の全プロセスをト
レースする。
閉域型 × ・インターネット経由の攻撃を受けな
いため。
iDC ○ ・イントラの場合と同じく全プロセス
をトレースする。
Saas △ ・イントラネットの構内システム部分
の動きとほぼ同じ。
パターン3:
正規Web改竄による
誘導
イントラネ
ット ○
・Web 改竄に至る全プロセスをトレー
スする。
閉域型 × ・インターネット経由の攻撃を受けな
いため。
iDC ○
・iDC 内のサーバ上で公開しているWeb
の改竄に至る全プロセスをトレー
スする。
Saas ○ ・Saas 上で公開している Web の改竄
のプロセスをトレースする。
パターン4:
媒体介在 マルウェア感
染(情報搾取)
イントラネ
ット △
・悪性コードに感染した媒体介在持
込、悪性コードによる感染拡大行動
をトレースする。
・2 次攻撃(悪性サイトに接続させてマ
ルウェアダウンロード、情報の盗み
出し)の振る舞いは「正規 Web 閲覧
によるマルウェア感染(情報搾取)」
に同じ。
閉域型 ○
・構成はイントラネットモデルの構内
システム部分と似ているが、セキュ
リティ環境が異なることにより対
策も異なるため全プロセスをトレ
ースする。
iDC △
・悪性コードに感染した媒体介在持
込、悪性コードによる感染拡大行動
をトレースする。
62
○:全てのパスをトレース(●は今回トレース) △:一部のパスをトレース ×:脅威トレース不要
振る舞いパターン
システム
トポロジ
モデル
脅威トレ
ースの必
要性有無
トレース実施有無の理由
・マルウェア間戦後の攻撃は「正規
Web 閲覧によるマルウェア感染(情
報搾取)」に同じ。
Saas △ ・イントラネットの構内システム部分
の動きとほぼ同じ。
パターン5:
複合 DDoS 攻撃(攻撃基
盤) イントラネ
ット △
・攻撃利用基盤として利用するための
PC マルウェ感染については振る舞
いパターン1や2と同様のトレー
スとなる。
・DDos 攻撃を受けるサーバについて
は通常 DDos 攻撃と同様のトレー
スとなる。
閉域型 × ・インターネット経由の攻撃を受けな
いため。
iDC △
・攻撃利用基盤として利用するための
PC マルウェ感染については振る舞
いパターン1や2と同様のトレー
スとなる。
・DDos 攻撃を受けるサーバについて
はパターン 6 と同様のトレースとなる。
Saas △
・攻撃利用基盤として利用するための
PC マルウェ感染については振る舞
いパターン1や2と同様のトレース。
・DDos 攻撃は SaaS 事業者が対応す
る攻撃であるためトレース不要。
パターン6:
通常 DDoS 攻撃
イントラネ
ット ○
・攻撃の種類別に対応をトレースする。
閉域型 × ・インターネット経由の攻撃を受けな
いためとレース不要。
iDC ○ ・攻撃の種類別に対応をトレーすする。
Saas × ・SaaS 事業者が対応する攻撃である
ためトレース不要。
63
4.2. イントラネットモデル上での脅威トレース
4.2.1. 「振る舞いパターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)」<バリ
エーション1>の脅威トレース
(1)脅威の概要
「振る舞いパターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)」による脅威は、
イントラネット内のクライアント PC から、改竄された正規サイトを閲覧することによって
悪意あるサイトに強制的に誘導(「リダイレクト」)され悪性コードのダウンロード、実行
により FTP の ID、パスワードや各種個人情報が外部に持ち出されて悪用される被害を受け
るというものである。この振る舞いパターンの特徴は、マルウェア感染のきっかけが改竄
された正規の Web サイトであるという点であり、このため、感染防止が非常に困難である。
さらに、感染によって自社 Web サイトの FTP 認証情報が搾取された場合、自社 Web サイ
トが改竄されて新たな感染源となってしまうことも特徴的な点である。
ここでは脅威の前提となる改竄された正規 Web サイトはすでに存在するものとしてトレ
ースを行なう。
振る舞いの概要は図 4-5 に示すとおりである。
図 4-5 振る舞いパターン1・バリエーション1の振る舞い概要図(再掲)
64
(2)脅威トレース結果のまとめ
クライアント PC のマルウェア感染のきっかけが正規の Web サイトをアクセスするこ
とによるものであるため、このきっかけとなるアクセスを阻止することはできない。そ
のため、ウィルスソフトのアンチウィルスパターンの更新や脆弱性パッチが爾後展開の
場合、認証情報(各種登録アカウント情報)の搾取シーケンスまで到達してしまう。し
かし、マルウェアに感染しても、脅威トレースの結果概要図 4-6 に示すポイントで以下の
とおり攻撃を遮断できる可能性がある。
・ Web 管理端末の FTP の ID、パスワードが搾取され、Web 管理が公開している通信経
路(表 LAN )で行う設計だった場合は、マルウェアによる改竄とバックドア設置が成
功する。この場合、搾取されるのはブラウザ等のアカウント保存機能で保存された認証
情報全てである。
・ しかし、Web 管理を非公開の通信経路(裏 LAN)で行う設計であれば、搾取情報を用
いた Web サイト誘導改竄は防止可能である。
・ さらに、管理端末からのアクセスに 2 要素認証を導入することによって Web サイトの
改竄は防止できる可能性が高まる。
・ IDS(IPS)でのマルウェア検知による防御の可能性はあるが、その効果は SOC7の運用に
依存する。
情報の搾取と持ち出しは、一種類のセキュリティ対策で防御するのではなく、対策の
組み合わせによって実被害に至る確率を低下させることが重要である。
トレース結果の詳細は表 4-2 に示す。
7 SOC:Security Operation Center;セキュリティ・サービスおよびセキュリティ監視機
能を持つ。
65
図 4-6 イントラネット×振る舞いパターン1の脅威トレース結果概要
66
表 4-2「イントラネットモデル」に対する「振る舞いパターン1:Web 閲覧によるマルウ
ェア感染(情報搾取)」の脅威トレース結果
67
68
69
70
71
72
73
74
75
4.2.2. 「振る舞いパターン1:正規 Web 閲覧によるマルウェア感染(情報搾取)」<バリ
エーション2>の脅威トレース
(1)脅威の概要
正規 Web サイト閲覧によるマルウェア感染という意味ではバリエーション1と変わらな
いが、攻撃に利用される脆弱性の違いやダウンロードされるマルウェアの振る舞いが異な
るため、対策も異なる。
振る舞いの概要は図 4-7 に示すとおりである。
図 4-7 振る舞いパターン 1 バリエーション2の振る舞い概要図(再掲)
(2)脅威トレース結果のまとめ
バリエーション1の場合同様に、 初の感染を防止することが難しいが、脅威トレース
の結果概要図 4-8 に示すポイントで攻撃を遮断できる可能性がある。
・ 感染したマルウェアはプロキシを経由しない通信によって搾取情報を持ち出す場合が
多く、ファイアウォールに「特定ポートについてプロキシを経由しない通信を遮断する」
というルールを追加することでマルウェアの活動を停止できる。
76
・ Web 管理端末の FTP の ID、パスワードが搾取され、Web 管理が公開している通信経
路(表 LAN )で行う設計だった場合は、マルウェアによる改竄とバックドア設置が成
功する。この場合、搾取されるのはブラウザ等のアカウント保存機能で保存された認証
情報全てである。
・ しかし、Web 管理を非公開の通信経路(裏 LAN)で行う設計であれば、搾取情報を用
いた Web サイト誘導改竄は防止可能である。
・ さらに、管理端末からのアクセスに 2 要素認証を導入することによって Web サイトの
改竄は防止できる可能性が高まる。
・ IDS(IPS)でのマルウェア検知による防御の可能性はあるが、その効果は SOC の運用に
依存する。
情報の搾取と持ち出しは、一種類のセキュリティ対策で防御するのではなく、対策の
組み合わせによって実被害に至る確率を低下させることが重要である。
77
図 4-8 パターン 1・バリエーション2のトレース結果
78
4.2.3. 「振る舞いパターン2:標的型メール攻撃(情報搾取)」の脅威トレース
(1)脅威の概要
標的型メール攻撃(情報搾取)は、スパムメールに添付したファイルをメール受信者に開
かせることによって受信者の PC をマルウェアに感染させ、悪性サイトからマルウェア本
体をダウンロード、受信者のキーロギングやメールアドレス等の窃取を行い窃取情報を
悪性サイトに送信することにより受信者の個人情報を含む重要情報を外部に漏洩させる。
また、受信者の PC を Bot 化し、DDos 攻撃など攻撃者の目的に応じて受信者の PC を不
法に利用する脅威である。
スパムメールは、標的となった利用者の関係先からのメールを装うなど、いわゆるソ
ーシャルエンジニアリングの手法を用いて利用者に添付ファイルを開かせようとする場
合が多い。
振る舞いの概要は図 4-9 に示すとおりである。
図 4-9 振る舞いパターン2の振る舞い概要図(再掲)
79
(2)脅威トレース結果のまとめ
標的型メール攻撃では、メールに添付されたファイルを開くことや本文中に埋め込ま
れた URL をクリックすることがマルウェア感染のきっかけになる。メールサーバでのチ
ェックやユーザー教育によって添付ファイルを開かせない、URL をクリックさせないこ
とが第一の防御策であるが、100%防御することは難しい。マルウェアにに感染した場合、
ウィルスソフトのアンチウィルスパターンの更新や脆弱性パッチが爾後展開の場合、操
作等情報の搾取シーケンスまで到達する(通常、アンチウィルス未検知、パッチ未対応
脆弱性を使用される事が多い)。しかし、脅威トレースの結果、マルウェアが活動開始し
た後でも概要図 4-10 に示すポイントで攻撃を遮断できる可能性がある。
・ HTTP 通信で、独自プロトコルを使ったコマンドや悪性コード等を受信するため、これ
ら通信を遮断する設計を行うことにより、マルウェアによる搾取情報の持ち出しを阻止
できる可能性がある。
・ 多くの標的型マルウェアは通信時にプロキシ情報や認証情報を利用しないため、プロキ
シサーバを経由しない通信の遮断や認証プロキシでの中継遮断設定で一定の効果が期
待できる。
パターン 1 と同じく、一種類のセキュリティ対策で防御するのではなく、対策の組み
合わせによって実被害に至る確率を低下させることが重要である。
80
図 4-10 イントラネット×振る舞いパターン2の脅威トレース結果概要
81
表 4-3 「イントラネットモデル」に対する「振る舞いパターン2:標的型メール攻撃(情
報搾取)」の脅威トレース
82
83
84
85
86
87
88
4.2.4. 「振る舞いパターン4:媒体介在マルウェア感染(情報搾取)」の脅威トレース
(1)脅威の概要
媒体介在マルウェア感染(情報搾取)は、製品開発ライン等種々の場面で媒体等に混
入したウイルスが、媒体を介してシステムに混入。混入後、攻撃利用基盤上のマルウエ
アにアップデート。同時に、基幹システム内への感染拡大及び媒体を介して感染拡大を
図る脅威である。
これに伴い、システム過負荷による影響が発生し様々な亜種が同時に存在するため状
況の把握が困難となり対応側の混乱がおきる。
現象としてネットワーク障害、サーバ障害双方に跨る影響現象が発生するため、両管
理組織間とセキュリティ部門との連携不良により対応の遅れが発生する事が多い。
また、アップデートするマルウエアが Bot だった場合、システム bot 化し、情報を搾取
される可能性が有る。
振る舞いの概要は図 4-11 に示すとおりである。
図 4-11 振る舞いパターン4の振る舞い概要図(再掲)
89
(2)脅威トレース結果のまとめ
システム過負荷による影響が発生し、様々な亜種が同時に存在し対応側が混乱するた
め、対応度はネットワーク障害、サーバ障害に跨る「初動対処手順」の準備如何に依存
(混乱回避)する。監視装置とシステム負荷等管理の相関による状況把握が不可欠であ
る。
FW ルール等により外部ホストへの接続試行通信(グローバル IP)を遮断出来れば、
ウイルスのバージョンアップは防止できるため、対応の混乱性は低くなる。
拠点ルータでの感染通信ポートの遮断や一時切り離し等による封じ込めによりシステ
ム内での感染拡大を押さえ込め、対処速度に差が出る。このための以下の「初動対処オ
ペレーション手順等の準備」が重要である。
・ルータ、SW におけるネット感染 port の閉鎖手順
・ネットワーク障害、サーバ障害を総合的に把握し切り離し部分の事前検討等
・ファイル SV、SW の負荷及びログ等容量監視での検知手順
90
図 4-12 イントラネット×振る舞いパターン4の脅威トレース結果概要
91
表 4-4 「イントラネットモデル」に対する「振る舞いパターン4:媒体介在マルウェア
感染(情報搾取)」の脅威トレース
92
93
94
95
96
97
4.2.5. 振る舞いパターン 1 の挙動
イントラネットモデル以外のトポロジーモデルにおける対策の検討材料とするため、イ
ントラネットを除く各トポロジー上での振る舞いパターン 1 の挙動を整理した。この挙動
整理図と 4.2.3~4.2.4 の脅威トレースの結果から、イントラネット以外のトポロジーモデル
における対策セットを整理する。
98
図 4-13 閉域型モデルにおける振る舞いパターン 1 の挙動
99
図 4-14 iDC モデルにおける振る舞いパターン1の挙動
100
図 4-15 SaaS モデルにおける振る舞いパターン 1 の挙動
101
5. 組織上の問題点
5.1 組織特性による業務システムに対する脅威
各企業および行政組織では、様々な情報システムを利用して企業活動および組織運営や
業務遂行を行っている。これらのシステムは、組織内での役割や位置づけおよび取り扱っ
ているデータや情報コンテンツの内容によって、組織から見たシステムの重要性はそれぞ
れ異なっている。したがって、各システムにトラブルが生じた場合の影響範囲についても
組織毎に異なっている。特に、セキュリティ上の問題を検討する際には、システムの機能
的な障害だけではなく、「機密性」、「完全性」、「可用性」のセキュリティの 3 要素に照らし
て不全な事象が生じない事を確認して、システムが与える組織の影響範囲について考える
必要がある。
もし、これらの視点を踏まえて、組織上の重要性と必要性のみに軸足を置いて、セキュ
リティ対策を実施していくとシステムに想定できる脅威の全てに対して対策を講じていか
なくてはいけない事となる。すなわち、今までのセキュリティ対策では脅威の可能性に対
する全方位的な対処を要求される。リスク要件リファレンスモデルでは、脅威トレースを
実施する事で、システムトポロジ上の具体的な障害や被害が生じる箇所を確認できるので、
システムの具体的な動きに連動したリスクの評価が可能となる。
一方、リスク要件リファレンスモデルが対象とするようなシステムを構築している組織
の多くは、既に組織として BCM 等を構築しており、リスク要因に対するインパクト分析の
実施がされている場合が多いものと想定できる。したがって、そのインパクト分析の結果
をベースにしながら、脅威トレースで得られた結果を重ね合わせる事で組織に与える影響
を検討する事が望ましい。
システムに対するセキュリティ対策の緊急度について、(トレースによる危険性)と(イ
ンパクト分析による影響)の2つの視点で整理すると下図のようになる。
脅威動向をモニタ
して検討
対策を講ずる必要性
が高い
対応する必要性は
少ない
費用対効果を考慮
して検討
図 5-1 システムのリスクレベルの考え方
トレースによる
危険性大
インパクト分析による影響小
インパクト分析による影響大
トレースによる
危険性小
102
脅威トレースの結果、システム上の障害や被害が組織全体にどのような影響を与える
かは、個別の組織特有の問題があるので、一般論で組織上の問題点を整理する事は難し
い。その点では、システムを要求した発注者側の組織における判断を待つしかないが、
先に述べた BCM 等が整備されていない組織においてはその判断は必ずしも自明な事項で
はない。ここでは、業務システムのうちでセキュリティ上の脅威が比較的高いものにつ
いて組織上の留意事項として整理する。
昨今のサイバー攻撃の傾向として、攻撃をする側がビジネス目的や対象を明確に持って
攻撃を行う事例が多くなってきている。個別組織における業務システムは多岐にわたるが、
その中でマルウェア等の攻撃の標的になった場合にその被害の影響範囲が比較的広いと考
えられる重要な情報を扱っているシステムを類型化して、以下の4つの業務タイプに関す
るシステムに焦点を当てて組織への影響の検討対象とする。
(1) 金融に関わるシステム
金銭上の取引・移動に関わるシステムで、多くは金融機関のアカウント等が関わるシ
ステムとなる。個人や企業の預貯金に直接影響するシステムが含まれる。
-カード決済システム
-口座振替・振込
-ファームバンキング
-証券取引システム
(2) 情報蓄積に関わるシステム
情報の登録・検索をサービスの中心にしたシステムで個人情報や企業の重要な情報に
関わるものやパスワード、アカウント等の重要な情報を管理しているシステムが含ま
れる。
-顧客情報管理
-設計情報・技術情報管理システム
(3) 取引・契約に関わるシステム
取引の受発注に関わるシステムで、取引契約に関わる調達・決済の情報および商品カ
タログのデータベースの管理等の取引に直接影響するシステムが含まれる。
-受発注システム
-SCM
(4) 機器制御・生産ラインに関わるシステム
通常の業務システムとは異なり、工場の生産ラインや機器の制御システムおよび監視
システムのような生産の基盤となるネットワークで稼働するシステムが含まれる。
-プラントコントロールシステム
-FA コントロールシステム
103
これらの業務システムが 2 章で整理した振る舞いパターンのサイバー攻撃の脅威にさら
される事になる。システムが稼働しているシステムトポロジに振る舞いパターンを当ては
める事で具体的な危険性が現れる箇所を整理する必要がある。これによって、システムに
どのような被害や影響が生じるのかを把握することができる。ここでは、一般的にサイバ
ー攻撃によって生じる被害・障害を以下のように分類して整理する。
振る舞いパターンによって生じる主な被害事象はその被害形態として、「情報搾取」、「シ
ステム・通信障害」、「管理・運用問題」に分けて考える事ができる。
脅威とリスクは組織の外から
「情報搾取課題」
「システム・通信障害」
サイバー攻撃事象
組織機能ビジネス信頼 等
「管理運用問題」「管理運用問題」
守るべきシステム
障害
搾取搾取
影響
損害損害
図 5-2 サイバー攻撃事象
「情報搾取」の場合には、システムの稼働そのものには影響を与えないが、システム
が管理している重要な情報やコンテンツを外部に持ち出す行為となる。情報搾取の対象
としては、データアクセス権やシステムのコントロール権を自由にできるアカウント情
報やパスワード類が狙われることが多い。情報搾取の場合には、その場で事態が発覚す
るのではなく、後日、別のトラブルや情報流出によって確認される事が多い。
「システム・通信障害」は、ウィルスに感染する事でシステムの稼働そのものに障害
を生じさせる場合とデータの破損・改竄が生じる場合がありえる。また、DDOS のよう
に攻撃者がシステムの内部に侵攻するわけではないが、通信帯域を占有する事で通常の
他のアクセスを排除する行為も含んでいる。
104
また、「管理・運用問題」では、組織内の責任分解の問題として、システム関連部署、管理
部署、監査部署、事業部署等で問題が生じた際に、システムの運用責任やインシデントの
対応部署の境界領域および事業継続上の問題まで派生することもある。またその一部をア
ウトソーシングしている場合には、その企業との契約の問題が発生する。さらに自組織へ
直接的な被害がなくともBOT化して他のユーザーに対して加害者として振る舞う危険性が
ある。
これらの被害形態は、振る舞いパターンとの関係で見ると主要な被害形態との間には、
以下のような関係がある。
表 5-1 振る舞いパターンと被害形態
情報搾取 システム・通信障害 管理・運用
正規 WEB 閲覧によ
るマルウェア感染 ◎ △ ○
標的型メール攻撃
◎ △ ○
正規 WEB 改竄の誘
導 △ △ ◎
媒体介在マルウェア
感染 ◎ △ ○
複合 DDoS 攻撃
△ ◎ ○
通常 DDoS攻撃
- ◎ ○
105
5.2 組織に与える被害と影響
マルウェアの侵入やサイバー攻撃により組織にリスクが顕在化した場合の被害と影響範
囲および問題点について整理する。ただし、ここで例示する脅威事象は、システムの障害
や被害として常に現れるものではないし、直接組織上の影響として現れるというものでも
ない。組織のどの部分に影響を与えるかは、脅威トレースで障害や被害が発生する箇所と
重要な情報の所在やこれらの情報や機能の組織上の重要性と影響範囲で検討されるもので
ある。
ここでは、システムの障害や被害が実際に生じると影響が大きいと考えられる事象を取
り上げることで、組織に与える被害とその影響について例示的に整理する。
(1) 組織へのサイバー攻撃に対する視点の整理
組織に対するサイバー攻撃という視点から整理すると、マルウェア等によるシステム被
害の現象面に対する影響分析と対処だけでは、近視眼的な影響範囲と場当たり的な問題認
識に陥ってしまうということである。かつてのセキュリティ上で問題となっていた愉快犯
的なハッカーのスキルの誇示であれば、組織に対する影響や組織がとる対応も一時的なも
のであっても大きな問題にはならなかった。しかし、前述したように、 近のサイバー攻
撃は、かつての愉快犯的な行為から確実にビジネスとしてのサイバー攻撃という形に変異
してきている。この事は、攻撃する側が明確な意図を持っているという事を意味しており、
また攻撃自体がある種の基盤の上でなされる傾向がある。このため、組織に対する攻撃の
意図と目的を的確に予測・把握して事象の影響波及の範囲を見定める必要があり、問題の
対処も一過性ではなく継続的な対応もしくは脅威からの明確な回避策の検討が必要になっ
てきている。
セキュリティ上のインシデントを検知した際に、組織として、影響拡大を阻止して事業
を継続するための方策を策定するための考え方のひとつとして BCM がある。BCM では、
被害を受けた事業を早急に復旧させるために、影響のインパクト分析を行いステークホル
ダーに与える被害を 小限にするリカバリー対策を講ずることになる。ただし、復旧にか
かる時間の長短や機能の停止が与えるインパクトの社会的責任を勘案した適切な対策が求
められる。BCM では、インパクト分析を通じて、社会的責任および組織ブランドに対する
信頼性確保の視点から、事後的な対処では損失レベルが大きいと判断される場合には、イ
ンシデントの発生を極力おさえる予防的処置を重要視する。
106
Botnet
C&C
BOT
BOT
攻撃兵器商店(特注可)
攻撃請負サービス
取得情報売買業者資金洗浄業者
①依頼主?
D.Webサーバinject改竄
A.騙しメール、B.フィッシュメール
新たな未検知ウイルスのダウンロード
自由に侵入出来る状態を維持(バックドア)
DDos恐喝、エストニアDDoS攻撃等
A国 B国
C国 E国D国
世界中の乗っ取りPCで構成
・全体構図解明と監視継続
・各専門分野の情報相関と連携
・専門組織機能の組織運用
対策を導き出す要素は?
攻撃可能企業等リスト
④攻撃基盤
⑥追跡回避技術
②攻撃組織基盤
⑨攻撃基盤
③地球規模
C&C
⑤騙し技術
様々な目的
カード犯罪業者
スパムメール業者
標的型攻撃俯瞰図
ダウンロードSV
E国
リストSV
攻撃元の隠蔽手段を多用
⑦脅威の連続落し込み⑦脅威の連続落し込み
Botnet
・・・・
コンテンツアップ端末(ftp)
・・・・ftp ID PW搾取(GENO)
SQLinject
C.urlリンクスパムメール
fast flux DNS(匿名性の確保)←Botnet C&C技術
複数の1次攻撃手法と共通の2次攻撃構図
脅威の意味大きさは、搾取情報の意味価値と影響によって各組織・分野毎に異なる。
仲介組織(胴元)仲介組織(胴元)情報確認等→
ランダムurl手法
⑧情報搾取
・・・・
・・・・
・・・・・・・・
・・・・
・・・・
図 5-3 サイバー攻撃の背景とシステム化
(2) 各業務タイプに対する組織脅威の整理
先に示したセキュリティ上の被害が発生すると重要な影響を与えやすい業務システ
ムの4つのタイプに対して、主な被害形態として、システムが管理しているコンテンツ
やデータに対する「情報搾取」の被害とシステムの稼働環境に直接影響を与える「シス
テム・通信障害」による被害に分けて、想定できる組織に与える影響を例示的に以下の
表で示す。
○情報搾取に関する影響と問題点
マルウェア等による情報搾取は、アカウント、ID、パスワード等が現状では主流である。
これらの搾取された情報は、そのまま闇マーケットでの売買の対象になる。さらに、アク
セス権に関する情報が搾取され、そのアクセス先の情報を攻撃者が事前に持っていれば、
組織が所有するシステムに対して、通常のログインで広範囲なデータにアクセスする事が
可能になり、2 次的な情報搾取・漏洩の被害が拡大する可能性もある。
107
表 5-2 情報搾取による組織上の影響例示
業務タイプ 情報搾取 組織に与える影響
金融に関わる
システム
アカウント番号の搾取
カード ID の搾取
認証情報の搾取
お金に関する悪意ある取引が可能になるた
め、被害を受けたユーザーに対する損害賠償の
問題が生じる可能性がある。銀行の場合は一般
に、利用者自身の責任によらない場合は、銀行
側が被害額を補償することになっている(全銀協
申合せ)。
・不正送金被害の賠償
金融システムのユーザーがキーロガーの機能
を持つマルウェアへの感染やフィッシングサイ
トへの誘導によってカード ID、パスワードを搾
取されて不正送金被害等が発生した場合、金融
システム側は、被害額の賠償義務を負うことと
なる。
企業側は、被害発生の原因調査、被害範囲の
調査、顧客への説明、再発防止策の作成と実施
等多大のエネルギーを費やすこととなる。
・組織への信頼性低下
情報搾取が発生することにより、金融機関とし
ての社会的信頼性が揺らいで顧客離れにつなが
る恐れがある。
情報蓄積に関わる
システム
個人情報の搾取
設計・技術情報の搾取
企業で個人情報を扱っている場合に情報搾取
が生じると管理責任を問われ、ブランド力の低
下につながる可能性がある。また、個人情報の
漏洩等について賠償金を支払う必要性も出てく
る可能性がある。
設計等の技術情報が搾取される事で、新規開
発への影響や協力会社等の信頼を傷つける可能
性、競争力の低下の可能性がある。
・顧客の個人情報漏洩への賠償
顧客の個人情報(住所、氏名、電話番号、生年
月日、購入商品履歴、等)が Web 上に公開され、
転売され DM 等に利用されるなどの情報漏洩が
発生した場合、企業は 1 人当たり相当額の損害
賠償義務を負う。
108
業務タイプ 情報搾取 組織に与える影響
・技術情報の漏洩の影響
設計等の技術情報が搾取される事で、新規開
発への影響や協力会社等の信頼関係を傷つける
可能性がある。
・漏洩ルートの特定
企業側は、漏洩の原因調査、漏洩データの特
定、顧客への説明、再発防止策の作成と実施等
多大のエネルギーを費やすこととなる。
・組織への信頼性低下
顧客情報が漏洩することで、企業の社会的イ
メージの低下は避けられず、顧客離れが起きる
可能性がある。
取引・契約に関わる
システム
取引 ID の搾取
パスワードの搾取
認証情報の搾取
取引システムにログインする事で、悪意ある
発注をされると相手企業にビジネス上の損害を
与え、賠償責任を問われる可能性がある。
・顧客への不正請求等への補償
取引 ID、パスワードが搾取され、成りすまし
による商品やサービスが注文された結果、顧客
に不正請求があれば、企業側で調査のうえ不正
請求分を補償する可能性がある。
企業側は、漏洩の原因調査、漏洩データの特
定、顧客への説明、再発防止策の作成と実施等
多大のエネルギーを費やすこととなる。
・組織への信頼性低下
取引 ID 等が漏洩することで、企業の社会的イ
メージの低下は避けられず、顧客離れが起きる
可能性がある。
機器制御・生産ライ
ンに関わるシステ
ム
特になし
生産ラインへのウイルス脅威等混入及び脆弱
性の存在等による脅威混入状態での製品出荷。
これにより、商品販売先で発生した損害によ
る訴訟リスクの可能性がある。
109
○システム・通信の障害による被害影響と問題点
システム・通信障害としては、マルウェア等の侵入によるシステムのサービス機能のレ
ベル低下もしくはシステムがダウンする事によるサービス停止が発生することもあり得
る。これらのサービス提供でビジネスをおこなっている組織にとっては、ビジネス上の大
きな打撃とブランドの信用にも影響を与える。さらに、DDoS やワーム型のマルウェアの
場合には、通信帯域の占有によるサービスの妨害や低下も想定される。
表 5-3 システム・通信障害による組織上の影響の例示
業務タイプ システム・通信障害 組織に与える影響
金融に関わる
システム
・課金・支払の停滞
・決済機能の停止
・フィッシングサイト
への誘導
支払や決済の期日にシステム障害が生じる事
で、取引企業等へ大きな影響を与え、企業のブ
ランドを傷つける可能性がある。
・サービス停止による損害
DDos 攻撃をうけて、Web サーバーがダウン
してサービス停止に追い込まれる事で、売上(手
数料等)減、支払、決済機能の停止による顧客の
他社サービスへの乗り換えが発生する恐れがあ
る。
情報蓄積に関わる
システム ・サービス提供の停止
サービスの提供停止が対外的には顧客離れ、
組織内では業務の停滞につながる恐れある。
・検索、登録サービスの停止
利用者の検索・登録ニーズに対応できない事
で、他の類似サービス提供業者に顧客を奪われ
る可能性がある。
・業務遂行の停滞
DB サーバのダウン等により情報検索サービ
スなどが停止することで同サービスを利用して
いる組織全体の業務遂行に支障をきたす恐れが
ある。
取引・契約に関わる
システム
・取引の遅延
(取引機会損失)
・受発注の停止
・サービス提供の停止
・取引サービス停止による売上減・調達の遅れ
DDos 攻撃等による数日間にわたる取引サー
ビス停止により売上減等の被害が発生する。ま
た、部品調達等に支障をきたす恐れがある。企
業側ではサービス停止の原因究明と復旧、顧客
への告知などに多大の時間とコストを費やすこ
とになる。
110
業務タイプ システム・通信障害 組織に与える影響
機器制御・生産ライ
ンに関わるシステ
ム
・機能・性能の劣化
・誤作動の発生
・機器の稼働停止
工場等の生産ラインの停止による出荷の遅れ
や品質の低下が生じ、ビジネス上の損失をもた
らす可能性がある。
・生産ラインの毀損
機器制御系のシステムは閉域型が多く、タイ
ムリーにセキュリティパッチが当てられていな
い場合が多い。このため、USB 等でウィルスが
持ち込まれた場合、サーバー停止などによる生
産ラインの停止などにつながりやすい。このた
め、生産の遅延、製品出荷の遅延などに至る恐
れがある。
生産ラインへのウイルス脅威等混入及び脆弱
性の存在等による脅威混入状態での製品出荷。
これにより、商品販売先で発生した損害による
訴訟リスクの可能性がある。
従来の製品を置くだけの設計思想では対策効果
が低下するため、防御には正確な脅威分析を基
にしたシステムデザイン設計思想及び分析手法
を取り入れる必要がある。
(3) 管理・運用問題への対応と影響
システムの管理・運営面からセキュリティの課題が組織に与える問題は、業務システ
ムが持っている機能面よりは、システム構成(ネットワーク構成、機器構成等)や組織
内の管理部署の運用方法、内部監査組織およびシステム開発・保守維持を担当した外部
企業との契約関係という視点からの整理が重要である。
ここでは、「システムの業務委託」、「情報基盤の利用」、「遠隔操作による BOT 化」の
3つの問題に焦点を当てて整理する。
-システムの業務委託の問題
規模が比較的大きなシステムは、開発・保守維持関係の企業が多く関わっている実
態があり、システム構成も単純ではなく、IDC を始め複数のサービスを利用してい
る場合が多い。
-情報基盤の利用の問題
業務システムの高度化に伴いネットワーク環境やサーバー環境も複雑な構成にな
111
ってきている。その中で各システムは共通の情報基盤を一定の約束に従って利用す
る事が多い。
-遠隔操作による BOT 化の問題
遠隔操作の機能を持つマルウェアの攻撃(BOT 化)がある。
表 5-4 管理・運用問題での影響
管理・
運用問題 個別の問題 生じている事象
システムの業務委託の問題
業務委託先の
管理問題
(パターン1、
パターン2)
ガンブラー等の情報搾取のウィルス攻撃は、管理業務を
委託又は再委託した先で感染するケースで起きている事
が多い。
また、サイトやシステムの管理責任が多岐に跨り、その
責任の所在が不明確な事で早急な対処の困難性を生んで
いる。管理責任の分散拡大が盲点となっている。
維持メンテナンスで汚染された USB が使用されていた
り、汚染された管理用 PC を利用した事による感染範囲の
拡大が指摘されている。
契約責任問題
(パターン1)
サイト管理の委託構造が多層分散されている事により、
事故発生時の賠償責任の所在が契約内容との関係で組織
課題となる可能性がある。
自社構築のシステムの範囲と IDC 等のサービス購入に
よるシステムの構築範囲の責任境界と問題が生じた場合
の契約条件等が曖昧の場合にトラブルが生じやすい。
外部委託サービ
スの問題
(パターン6)
決済、受発注、物流、人事給与等の自組織にとっての重
要業務システムがインターネット環境である場合、停止リ
スクとインパクト分析並びに対策必要コストが対処判断
要素。
情報基盤の
利用の問題
信頼基盤を利用
した攻撃拡散
(パターン1、
パターン2)
安全な通信プロトコルである事を前提として設計され
運用されているシステムのサービス網を逆に攻撃基盤と
して脅威を拡散している。これは設計管理の前提条件を崩
す形になる。
112
管理・
運用問題 個別の問題 生じている事象
共通基盤を用い
たリスク伝搬
(パターン2)
IDC 等でサーバーの仮想化でクラウド化が進むと共通
管理セグメント経由で本来は他社の脅威であったものが
自社の脅威として拡散する事も考えられる。
攻撃基盤の利用
(パターン5)
今後の攻撃基盤手法の一つとして、「既存のサービスを
利用した攻撃基盤」が主流手法となる可能性を考慮した対
応を検討しておく事も必要。
攻撃基盤の特定
(パターン5)
複合 DDoS 攻撃では、VPN 等を用いた既存のサービス
を利用した攻撃基盤を構築し、攻撃用マルウエアが複合的
に動作するため、攻撃基盤の全容が掴みにくい。
Bot
化によるシステムの遠隔制御
の問題
標的型メールの
受信
(パターン2)
近の標的型メールは高度な偽装が施されていており、
大半はシステムの防御機能を抜けて届く。偽証技術が高い
メールは注意の限界で開封するケースが多い。
システムの遠隔
制御
(パターン2)
開封した添付ファイルに含まれるマルウェアにより Bot
化され、システムは遠隔制御可能な状態となる。これによ
り操作記録等の情報が搾取され、2次犯罪等利用される。
設計コンセプト
の盲点
(パターン2)
Bot 化による遠隔制御や情報搾取は、暗号通信用として
設計された通信基盤を利用する。本来、安全確保の為の設
計仕様であるため、攻撃利用を想定していない。
このため、攻撃通信を発見排除する機能が設計されてい
ないセキュリティ製品が大半を占めている。
113
6. 設計対策セット
設計対策セットは、情報システムの設計フェーズにおいてセキュリティ対策として組み
込むべき対策を示すものである。システムトポロジモデルの機能構成で示した基本的なセ
キュリティ対策は実施されていることが前提となっており、設計対策セットでは、脅威ト
レースに基づき明らかとなった対策を中心に取りまとめた。情報システムの設計対策とし
ては、第 2 章で示したシステムトポロジモデルが備えている基本的なセキュリティ対策に
加えて、本章で示す設計対策セットから必要な対策を抽出して設計に組むことが必要であ
る(設計対策セットの利用方法については、「Ⅰ-2 リスク要件リファレンスモデル運用解
説」を参照)。
対策は、システムデザイン設計対策(A)、アプリケーション開発設計対策(B)、ネット
ワークトポロジ設計対策(C)、テスト評価のための設計対策(D)に分けて記載する。
また、システム運用によって実施すべき対策は、運用管理対策(E)としてまとめる。運
用対策は事後対策ではなく、想定するシステム運用が可能となるよう設計時に組み込む必
要がある対策である。
6.1. 設計対策セットとシステムトポロジ・振る舞いパターンの関係
設計対策セットとシステムトポロジ、および振る舞いパターンとの関係は以下のとおり
である。
表 6-1 設計対策セットとシステムトポロジ・振る舞いパターンの関係
以下の対策セットのうち、対策番号が黄色網掛けで塗られている対策が、脅威トレ
ースの結果明らかにされた対策である。
色付けされていない対策番号項目は一般対策として参考記載した項目である。
114
115
116
117
118
119
120
121
122
123
6.2. システムデザイン設計対策
設計対策セットで各振る舞いパターン毎に抽出した対策内容と効果各項目を各脅威共
通設計対策として整理した。
6.2.1. 【A010】2要素認証・OTP の導入
【関連する振る舞いパターン】振る舞いパターン1,2,3,4
6.2.2. 【A020】認証情報のチェック
124
6.3. アプリケーション開発設計対策
6.3.1. 【B010】Web アプリケーションへのセキュア設計・開発の導入
125
6.4. ネットワークトポロジ設計対策
6.4.1. 【C010】「管理用 LAN」の設定
126
127
6.5. テスト評価のための設計対策
6.5.1. 【D010】Web サイトの脆弱性評価のためのテスト設計
6.6. 運用管理対策
6.6.1. 【E010】Web サイト改竄の早期発見対策
128
129
130
6.7. 要求・試験仕様
構築を予定している情報システムに関して、現状脅威に基づく設計要件の要否判断を行
い、設計対策を行うとの観点から、以下の手順でセキュリティ対策の要求仕様書、及び試
験仕様書を作成する。
・ 構築対象となる情報システムのシステム特性に近いシステムトポロジモデルを特定す
る。複数のトポロジモデルの組み合わせもありうる。
・ システム特性、守るべき情報資産の分析から考慮すべき脅威振る舞いパターンを特定す
る。
・ 特定した振る舞いパターンによるトポロジモデル上での脅威トレース結果を確認する。
・ 脅威トレース結果がもたらす組織上の問題点を整理する。
・ 組織上の問題点から明らかになる対策の重要度を考慮して、設計対策を設計対策セット
から抽出する。
・ 抽出した設計対策を要求仕様に取りまとめる。
・ 設計対策に対応した、構築対象となる情報システム上で必要な試験仕様を取りまとめる。
●参考文献
(1) 独立行政法人 情報処理推進機構セキュリティセンター「情報セキュリティ白書 第
Ⅱ部 10 大脅威」
(2) CAG プロジェクト「Consensus Audit Guidelines version2.3」(2009.11.13)
(3)独立行政法人 情報処理推進機構セキュリティセンター「安全なウェブサイトの作り方
改定第 4 版」
(4) 独立行政法人 情報処理推進機構セキュリティセンター「ソーシャル・エンジニアリ
ングを巧みに使った攻撃の分析と対策」(2009.2.6)
