Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策

Sumisho Electronics Co., Ltd. All right reserved.

Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策

住商エレクトロニクス株式会社エスシー・コムテクス・カンパニーセキュリティ技術部

　　　　　　　　　　　　　二木真明

本当に怖いのは何？？


ＩＰＡへのウイルス、ワーム届出状況

http://www.ipa.go.jp/security/txt/2003/11.html より引用


ＩＰＡへの不正アクセス届出状況

http://www.ipa.go.jp/security/crack_report/20031105/0310.html　　　　　　　　　　　　　　　　　　　　　より引用


あいつぐ「脆弱性」の発覚マイクロソフト関連（月間数個のオー

ダー） http://www.microsoft.com/japan/technet/security/

オープンソース系 Apache （ Web サーバ） Bind （ DNS サーバ・リゾルバ） Sendmail （メールサーバ） OpenSSL （ SSL 関連ライブラリ・ツール）


あなどれない「脆弱性」バッファオーバフロー（オーバラン）の脅威最も深刻な脆弱性のひとつ攻撃者が外部から任意のプログラムを送り込める可能性が生じる

結果として、システム乗っ取り、侵入へ発展攻撃コード（ Exploit）の作成は高度な技術しかし、公開された Exploitは誰でも簡単に利用可能＝ワームに流用も可能


バッファオーバフローの原因・危険性プログラマの不注意によって生じるセキュリティ問題

Ｃ言語などのプログラミングの「手抜き」が原因外部から与えられるデータを格納するバッファサイズが小さい

不正に大きなデータをチェックせず、バッファがあふれてしまう

プログラムの実行制御領域を故意に操作可能プログラムの制御を乗っ取れる可能性


バッファオーバフロー可能性の一例

void function1(int abc){ char bfr[128];

gets(bfr);

if (bfr[0] != ‘\n’) { ……. …….

実行制御領域

bfr[128]

引数領域

スタックメモリ領域


バッファオーバフロー攻撃の特性プラットホーム（H/W, OS）への依存性が強い同種のソフトウエアでも、MPUが異なったりOSが異なると、同じ攻撃コードは基本的には使えない

攻撃コードを作成するには以下の条件が必要機械語命令（バイナリ）仕様が公開されているＭＰＵを使用したシステムであること

ＯＳや該当ソフトウエアのバイナリが広く入手可能（ソースコードの有無は攻撃コードの開発にはあまり重要ではない）


ネットワークワームインターネットなどのネットワークを介して感染

を広げる悪性プログラム最初は１９８８年のインターネットワーム（ Morris) 事

件一夜にして６０００台以上のコンピュータに感染黎明期のインターネットに衝撃を与えた CERT/CC 設立のきっかけに

２０００年以降、頻繁に出現その多くがバッファオーバフロー脆弱性を足がかりに CodeRed, Nimda, Slammer …… そして


Blaster, Welchia……… 大騒ぎになる理由

派手な感染劇と報道感染した理由

パッチの当て忘れ、怠慢、その他の「事情」・・・・・

被害大騒ぎによる業務停止駆除の労力面目まる潰れ・・・・　（極秘に処理）


不幸中の幸い・・・・・ＰＣの中身は破壊されたか？

ファイル破壊などはなし重要情報は漏洩したか？

ファイル持ち出しなどはなかったキーロギングなどその他の漏洩もなかった

バックドア？あるにはあったが・・・・・


大騒ぎの顛末 MS03-026対策パッチはみんなあてた・・・・それだけ？？？？？？

魔女狩りいったい誰が持ち込んだんだ！！！！

責任者は誰だ今度やったらクビだ！！！！！


問題の本質は・・・・ MS03-026　 DCOM/RPC Buffer Overflow

情報公開は 7/17 当初からワームに利用される可能性が議論され、７月下旬には Exploit 確認・・・・・８月上旬、各所から対策に関する注意喚起・・・ 8/12 Blaster 発生確認お盆休み明け感染の可能性を警告（新聞、 TV 等）

これだけの情報は、どこへ消えたのか・・・・・・


意識改革が必要！！！その後の脆弱性は大丈夫？

MS03-043 メッセンジャーサービスの脆弱性 MS03-049 ワークステーションサービスの脆弱性

それでも入ったら・・・・どうやって発見するかどうやって拡大を阻止するかどうやって駆除するかいかにきちんと「反省」するかいかに、「反省」を次に生かすか


本当に怖いのは・・・・・特定の組織を狙い撃ちするスパイワーム

ゆっくりと感染（表面化しにくい感染方法）特定の情報を収集して外部に送信（Webアクセスなどを偽装）

痕跡を消して自己消滅（後から発見はきわめて困難）特定の組織を狙ったサイバーテロ

ゆっくりと多数のＰＣ、サーバに感染特定の日時または外部からの指示まで潜伏重要ファイルを消去してから自己消滅

Blaster を作る技術があれば、簡単に作ることが可能な点が重要！！！


ネットワークワームの教訓内部ネットワークはもはや安全ではない

Internet 境界のファイアウォールや IDSは万能にあらず

従来型の「ウイルス対策」の限界本質的に後手の技術「拡散したウイルス・ワーム」が対象

総合的セキュリティ対策の必要性ハッカー対策とウイルス・ワーム対策は不可分である予防対策侵害の検知インシデント対応リカバリー


予防対策侵入経路の封鎖

ファイアウォール・ＩＤＰＳの利用アンチウイルスシステム機器の物理的保護パスワード管理など、認証、ユーザ管理の徹底

脆弱性の排除セキュリティパッチの適用確認

セキュリティポリシーの徹底ユーザ教育


ウイルス・ワームへの対策既知ワームには予防的（確定的）な対策が可能

アンチウイルスソフト、システムの導入 IDS による既知ワームシグネチャ検知ファイアウォールによる特定サービスのブロック

未知のワームへの予防的対応は困難アンチウイルスソフトの未知ウイルス・ワーム発見機

構は不確実 IDSによる検知は IDSのタイプによる公開が必要なサービスを経由した攻撃にはファイアウ

ォールは無力既知脆弱性には必ずパッチを！！

　でも未公開の脆弱性は存在する・・・・


不正行為、セキュリティ侵害の検知検知なくして対応なし比較的簡単な検知

既知の攻撃の検出　（ＩＤＳ）不正なトラフィックの検出　（ F/W 拒否ログなど）不正なアカウントアクセスの検出（認証ログなど）

難しい検知異常なトラフィックの検知ポリシー違反もしくは特異な行動の検知正規ユーザの不正行為・正規の通信にみせかけた不正な通信


主なワームの挙動名称発症行動感染行動

感染先の特定感染の実行

CodeRed Ｗｅｂサーバに対して感染、 Web ページを改ざんされたようにみせかけるホワイトハウスへの DDoS 攻撃バックドア作成（亜種）

ランダムな IP アドレスを生成、TCP/80 に対してのアクセスを行う

MS Index service に対するバッファオーバフロー脆弱性を利用した侵入

Nimda システムファイルの改ざん大量メール送信ドライブ不正共有など

ランダムな IP アドレスのTCP/80 へのアクセスメールアドレス帳検索共有フォルダ検索Web サーバページの検索

unicode bug などの脆弱性に対する攻撃と侵入codered II のバックドアからの侵入メールによる大量配布共有フォルダへのコピーWebサーバへの感染スクリプト混入により IEのスクリプト実行時の脆弱性を利用した侵入など

Slammer 特になし。（副作用としてのトラフィック激増による DDoS 的障害）

ランダムな IP アドレスのUDP/1434 に対してアクセスを行う

MS SQL サーバ解決サービスの脆弱性を利用した侵入

Blaster windows update サイトへのDDoS 攻撃バックドアの作成

４０％の確率で、自分のローカルアドレスに近いネットワークアドレス、６０％の確率で完全にランダムなアドレスを生成。TCP/135 ポートに対してアクセスを行う。

DCOM/RPC サービスのバッファオーバフロー脆弱性を利用して侵入


未知ワームを検知するには・・・ IDS は「ある程度」有効

攻撃コード（ Exploit）ベースのシグネチャか、脆弱性（ Vulnerability）ベースのシグネチャか・・・による

前者は既知の exploitコードを使ったものしか検知できない

後者は未知の攻撃コードでも検知可能な場合あり

１００％あてにはできない


ＩＤＳの補完アノマリー（異常）検出

通常ありえない高い（低い）トラフィック通常使わないサービス、プロトコル通常ありえない時間帯の利用通常あり得ない宛先または発信元　　・・・・など

ポリシー違反使ってはいけないサービス・プロトコルアクセスしてはいけない相手方使ってはいけないアカウントやホスト（アドレス）　　　・・・など


ワームによって生じうるアノマリー高トラフィックの発生ホスト・ポートスキャンの発生特定サービストラフィックの増加クライアントＰＣへ向けたサービスアクセスの発生（連鎖的発生）

全般的なアクセス傾向の変化（これまでほとんどアクセスがなかったサイトなどへのアクセス増加）

　　　　　　・・・・・・など


アノマリー・ポリシー違反検出の方法アノマリー検出型やポリシー違反検出型

IDSの利用各種アクセスログ、トラフィックログに対するルールチェックもしくは統計処理

上記について複数のログ、アラームの複合条件によるチェック（関連性分析／相関分析）


そして監視・・・・・されど・・・アノマリー発見は「職人芸」と「カン」の世

界？複数の機器の並行監視

オペレータが複数では機器間の関連性分析は困難「いやな雰囲気」の尺度は経験値

トラフィック異常などの統計的アノマリーは熟練者でないと判断が難しい（確率的）

人間にミスはつきもの！？オペレータ用マニュアルどおりに運用できているか？


総合的な監視の必要性適切な検知機構

IDS, F/W, 各種ログを適切に配置アラーム、ログを一元的に収集・管理

アノマリー検出機能アノマリーセンサログ、アラームのアノマリー監視

関連性分析機能時系列かつ複数監視点におけるイベント相関分析オペレータマニュアルに書かれたチェック手順の自動

化


統合監視システムの条件マルチベンダ機器対応

単にログ、イベントを収集するだけではなく、きちんと正規化して統一的に管理。

関連性分析機能任意の条件による分析をプログラム可能。機種依存のないプログラミング方法の提供。

傾向分析・追跡調査機能攻撃などの傾向分析と直感的表示発生した攻撃に関する各種の追跡調査機能

スケーラビリティ（中～大規模サイトへの対応）


統合監視システムの基本デザイン

デバイス

デバイス

デバイス

デバイス

デバイス

エージェント

エージェント

エージェント

マネージャCorrelationEngine

EventDatabase

Oracle/DB2

監視コンソール

監視コンソール

イベント情報の収集と標準化

リアルタイム分析＋

イベントデータ蓄積監視＋調査機能

Ｗｅｂコンソール

Ｗｅｂコンソール


異常を見つけたら・・・・・・誤報の排除

関連性分析で誤報の可能性は少なくできる一般のワームのような多発性の事象は、検知されれば

誤報の可能性は低い単発の事象は、まずそのターゲット、ソースの調査を

インシデントレスポンス侵入・感染対象の切り離し、隔離、確保暫定的再発防止措置　（サービスのブロック、利用停

止、ネットワークの切り離し・・・・・・）侵入経路、攻撃種類、影響の調査・解明


インシデントレスポンスインシデント＝事件、事故　への事後対応

インシデントの種類を想定したシナリオが必要侵入の成功（が疑われるケース）ワーム・ウイルス感染（が疑われるケース）正規ユーザの不正行為（が疑われるケース）サービス妨害（が疑われるケース）　・・・・など

対応マニュアルの整備防災（防犯）訓練の実施


たとえば、ワーム感染の対応例感染機器またはネットワークの隔離

基幹ネットワークのケーブルを抜くワームが使用するサービスをフィルタする

感染した機器の確認と駆除駆除ツールの入手（可能ならば）セグメント単位で、駆除もしくは再インストールを含むリカバリの実施

リカバリ終了したセグメントから基幹に再接続


内部ネットワークのセキュリティ設計インシデント発生時に隔離が可能な構成

各セグメントを（できれば一カ所で）分離可能な設計に（カスケード接続を減らす）

適切な防火ドア（ファイアウォール）の設置インシデントの位置を特定できるような設計

IDS 等のセンサを要所に配置ファイアウォール、サーバなどのログの集中管理発信元アドレスから使用者を特定できるとベター関連性分析が可能な機器配置

監視・インシデント対応の観点から見た


セキュリティシステムの導入・運用目的に応じた機器導入・配置

何をしたいかによって構成は変化する防御目的の機器、監視機器、そして配置

目的に応じた監視防御機器の動作状況監視機器のアラーム関連性分析

インシデントレスポンス「対応」できなければ「監視」の意味は半減


セキュリティマネジメントのサイクル

リスクアセスメント

ポリシー・対策の策定

ポリシー・対策の実施・運用見直し

セキュリティ機器導入

運用監視

インシデントレスポンス


まとめ内部ネットワークは安全ではない（教訓）ウイルス・ワーム対策と侵入、攻撃対策は不可分

未知の攻撃を発見するには総合的な監視が必要

インシデントレスポンスを行えなければ監視の意味は半減

ネットワーク設計はセキュリティを考慮して


ご静聴ありがとうございました

Documents

Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策

Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策