サイバー脅威(≠サイバー攻撃)の正しい怖がり方と考え方 · テクニカルウォッチの公開（’14.3.28） 77 「攻撃者に狙われる設計・運用上の弱点についてのレポート」

サイバー脅威(≠サイバー攻撃)の正しい怖がり方と考え方～イノベーションのためのセキュリティとは～

2017年5月

情報処理推進機構

セキュリティセンター

研究員佳山こうせつ

IPAブース@情報セキュリティEXPO

【本⽇のポイント】①ICTへのサイバー攻撃だけじゃ説明できない時代②脅威を正しく理解し正しく怖がり、全体最適の中で対策を設計する考え⽅が必要な時代

③攻撃者が歩ける経路を狭める全体設計と運⽤設計が最適化に繋がる

④ワークスタイル変⾰とセキュリティを統合デザイン

Copyright 2017 @ Kousetsu Kayama 1

講演概要セキュリティは必要だけどどこか他⼈事、他⼈任せということはありません？

セキュリティは専⾨家の仕事で、できれば避けて通りたいものがセキュリティなのかも知れません。⼀⽅でイノベーション現場の⼈たちにこそ実践できるセキュリティ対策があります。それは、それぞれのワークスタイル変⾰の活動にちょっとずつセキュリティを応⽤し、セキュリティを統合デザインしていただくことです。

サイバー脅威の正しい怖がり⽅を理解するところから始めることが有効です。


自己紹介

主な業務◦ ①インシデントレスポンス業務◦ ②人材育成◦ ③対策手法の情報発信(出口対策・内部対策)◦ ④先進的な取り組みへの参画

所属◦ ①サイバーディフェンスセンターマネージャ◦ ②独立行政法人情報処理推進機構研究員◦ ③東京電機大学サイバーセキュリティ研究所研究員

中央大学外部講師、名古屋工業大学外部講師◦ ④SECCON実行委員


自己紹介

主な業務◦ ①インシデントレスポンス業務◦ ②人材育成◦ ③対策手法の情報発信(出口対策・内部対策)◦ ④先進的な取り組みへの参画

所属◦ ①サイバーディフェンスセンターマネージャ◦ ②独立行政法人情報処理推進機構研究員◦ ③東京電機大学サイバーセキュリティ研究所研究員

中央大学外部講師、名古屋工業大学外部講師◦ ④SECCON実行委員


目次

情報システムを取巻く状況

全体最適設計の考え方

攻撃者が歩ける経路を狭める全体設計

活動とセキュリティを統合デザイン

5Copyright 2017 @ Kousetsu Kayama

6

作成：IPA『脅威と対策研究会』

「高度標的型攻撃」対策に向けたシステム設計ガイド（第４版）の公開（’14.9.30）

https://www.ipa.go.jp/security/vuln/newattack.html

Copyright 2017 @ Kousetsu Kayama出典：https://www.ipa.go.jp/files/000052614.pdf

テクニカルウォッチの公開（’14.3.28）

77

「攻撃者に狙われる設計・運用上の弱点についてのレポート」

～標的型攻撃におけるシステム運用・設計10の落とし穴～

10の落とし⽳メールチェックとサーバ運⽤管理端末が同⼀分離できていないネットワーク⽌められないファイル共有サービス初期キッティングで配布さえれるローカルAdmin 使いこなせないWindowsセキュリティログパッチ配布のためのDomain Admin ファイアウォールのフィルタリングルール形骸化不⾜している認証プロキシログの活⽤とログ分析なんでも通すCONNECTメソッド放置される⻑期間のhttpセッション

攻撃に対して意外な弱点となっているシステム設計例を10点挙げ、運⽤（背景）と対策の考え⽅を解説

内容を補完

テクニカルウォッチ

ʼ13.8.29公開


8

・新たな分析結果を追加・標的型メール攻撃対策を対象

・内部（攻撃段階）対策に特化・新脅威への対策を追加

2011年11月 2013年8月 2014年9月2011年8月

対策に向けたシステム設計ガイドの歴史


内部侵入後の挙動

プロキシサーバを介した情報の外部への送出

他セグメントのファイルサーバ/データベースへのサイバー攻撃（大手航空会社の事案）

侵入を前提とした対策の課題～内部システムの防御は業務システムの運用・設計を中心に～

9

主に、設計上、運⽤上の弱点が狙われる

デモ主に、脆弱性が狙われる


サイバー脅威の変遷～やるべき対策が多く積みあがり複雑化した時代へ～

主な対策の軸足

10

コンピュータウイルス（マルウェア）対策

不正アクセス対策

情報漏えい対策

内部統制対応

出口対策

緊急対応体制

内部対策

ウイルス蔓延事案省庁サイト改ざん

個⼈情報保護法施⾏粉飾決算事案

サイバー空間をめぐる攻防防衛産業を狙ったサイバー攻撃

⽌まないサイバー攻撃と被害報道人材育成

経営

箱ものセキュリティ製品だけでは限界某機構を狙った事案により、意思決定の重要性が改めて認識


？

2009 2010 2011 2012 2013 2014 2015 2016

妨⼤統領府など

(7.7⼤乱,韓国)

情⽯油，エネルギー産業(Night Doragon)

情Google(Operation Aurola, ⽶)

妨

核施設(Stuxnet )

情RSA(⽶)

妨

農協銀⾏(韓国)

情化学, 防衛産業

(Nitro, ⽶)

妨

銀⾏, 放送局(韓国)

情

三菱重⼯

海外

⽇本情

衆議院. 参議院会館

情JAXA

情特許庁

情財務省

情農林⽔産省

情

外務省情

JAXA

情JAEA

⾼速増殖炉「もんじゅ」

情⽇本年⾦機構

情JTB

妨San Francisco Metro System Hacked(⽶)

妨

Twetterなどのアクセス妨害(世界)

妨

Miraibot

情

NSA(スノーデンリーク, ⽶)

情Hacking teamHacked(伊)

11

サイバー脅威の変遷～時系列に並べてみる～

情妨⽶⼤統

領選(⽶)

Copyright 2017 @ Kousetsu Kayama

ワークスタイル変革の時代

通信農業

官庁⾃治体

位置情報放送

家庭(家電)

電気・ガス⽔道

交通交通

物流

医療

製造

航空管制システム

列⾞運⾏システム物流配送システム

医療介護システム

⽣産管理システム

GPS緊急速報システム

スマートメーター

スマートメーター上⽔道システム⽣育管理システムタブレット・スマホ

住⺠情報システム電⼦申請システム

リアル空間出典：富士通セキュリティフォーラム

サイバー空間


最近のサイバー脅威事案例～どんなことが起きてるの？～


時期対象組織事案概要被害や特徴2016/11 フィンランド不動

産管理会社Valtia

DoS攻撃を受けてマンション(２棟)の暖房が⼀時的に停⽌

遠隔管理のためインターネットに空けてたメンテナンス運⽤が狙われ暖房停⽌







2016/8-12

韓国サイバー司令部

マルウェアによる⼤規模な攻撃マルウェア対策製品のワクチン中継サーバからマルウェア流布3,200台が感染







2016/8-12



2016/3-2017/1

⼤陽⽇酸マルウェアにより同社およびグループ会社および退職者11,105件の個⼈情報漏洩

ログがとれていないので追跡できない説明責任の責務果たせず







2016/8-12



2016/3-2017/1



2017/2-3

Struts2利⽤組織

CMSであるStruts2に深刻な脆弱性が公開され、エクスプロイトコードも公開

サーバの乗っ取りから情報の漏えいにもつながり、深刻な社会問題に。






2016/8-12



2016/3-2017/1



2017/2-3

Struts2利⽤組織



2017/4 ドイツ家電メーカー Miele

⾷器洗い機に致命的な脆弱性！第三者に⽫洗われる危険性

ネタ。








2016/8-12



2016/3-2017/1



2017/2-3

Struts2利⽤組織





ネタ。

2017/4 メルカリ取引される商品が詐欺疑惑・⼀万円札、などなど

当座資⾦の確保に。即削除。（メルカリさんの迅速な⾏動）

闇








2016/8-12



2016/3-2017/1



2017/2-3

Struts2利⽤組織





ネタ。

2017/4 メルカリ取引される商品が詐欺疑惑・⼀万円札、などなど

当座資⾦の確保に。即削除。（メルカリさんの迅速な⾏動）

セキュリティにおける領域の整理～一言にサイバー脅威と言っても、視点や対象は様々～


※1）ハクティビズム：ハッカーとアクティビズム（積極行動主義）をあわせた造語で、社会的・攻撃的な主張のもとに、ハッキング活動を行うこと※2）サイバーインテリジェンス：サイバー空間で行われる諜報活動（intelligence）のこと

国家

組織

集団

個人

自己満足・信念経済的利益信仰・国防

サイバーインテリジェンスサイバーインテリジェンス

サイバーテロサイバーテロ

サイバー諜報サイバー諜報

ネット詐欺ネット詐欺

興味本位興味本位

ハクティビズム（抗議活動）ハクティビズム（抗議活動）

営利ハッカー営利ハッカー

目的

主体

2ちゃんねらー

Anonymous

各国諜報機関

紅客連盟

プロハッカー

目次






ウイルス感染？～イノベーションの弊害であり、新しいことにチャレンジできなくなる～

問題の本質を押さえておこう

23

ウイルス感染ICTが止まる

新しいイノベーションを起こすためには、リコールの起こらないセキュアな土台が不可欠

イノベーションの弊害


サイバー攻撃の仕組み全貌整理～攻撃者によるウイルスを使ったリモートハッキング～

24

計画 ①計画⽴案:攻撃⽬標選定、偵察

③初期潜⼊:標的型メールの送付

④攻撃基盤構築:・コネクトバック開設・端末情報⼊⼿・ネットワーク構成把握

⑤内部調査侵⼊:・サーバ不正ログイン・管理サーバ乗っ取り・他端末へ攻撃範囲拡⼤

⑥⽬的遂⾏:・情報窃取・情報破壊

対策できないウイルス感染

⼈が⾏う不正アクセス

②攻撃準備:攻撃⽤サーバ準備

P26


目次






設計対策の考え方とは？

1)入口対策、エンドポイント対策、出口対策、内部対策でバランスのとれた全体設計を検討する

２）攻撃者が歩く経路を狭めることが、監視すべきポイントの最適化に繋がる

26

ポイント


ポイント1)システム全体でバランスの取れた全体設計を考える

攻撃シナリオと対応機器の概要

27

スパ

ムフ

ィルタ

SPF

次世

代サ

ンドボ

ックス

型フ

ァイア

ウォ

ール

メール

サー

バ

イン

ターネ

ットフ

ァイア

ウォ

ール

IPS/

IDS

次世

代ウ

ェブア

プリケ

ーシ

ョンフ

ァイア

ウォ

ール

ウェブ

サー

バ

ウェブ

改ざ

ん検

知

ウイ

ルス

対策

ソフ

ト

ゼロ

デイ

対策

ソフ

ト

ウェブ

プロ

キシ

サー

バ

ウェブ

フィル

タリン

グ

次世

代型

ネット

ワー

ク振

る舞

い検

知型

　FW/

IDS/

IPS

業務

端末

運用

管理

端末

内部

セン

サー

認証

サー

バ

ファイ

ルサ

ーバ

DBサ

ーバ

監視

サー

バ

ネット

ワー

ク機

器

1計画

立案

2 ○ ○ ○

3

4

5 △ △ ○ □ △ ○

6 ○ △ ○

7 ○ ○ ○ △ △ □ □

8

9端末内のシステム情報を収集

△ ○ □ □

10攻撃ツールのダウンロード

○ △ ○ ○ ○ □ □

11 周辺端末調査 △ □ □ ○

12 ○ □ □ ○

13 ○ □ □ ○ ○ ○

14 ○ □ □

15 ○ ○ □ □

16 □ □ ○

【凡例】　○：攻撃検知（主観測）　△：攻撃検知(補助）　□：ログ取得機器セキュリティ製品業務機器

リモートコマンド実行

端末情報の収集

C&Cサーバ準備

標的型メール作成

エンドポイント対策

他端末への不正アクセス

入口対策内部対策

ターゲット周辺の調査

ウェブサイト改ざん、水飲み場サイト構築

No.　　　　　　対応機器

攻撃手口

バックドア開設・リモートコントロールの確立後

攻撃準備

標的型メール受信

水飲み場サイトアクセス

初期潜入

基盤構築段階

内部侵入・調査

バックドア開設

目的遂行

情報窃取

情報破壊

出口対策

セキュリティ製品中心の対策

システムの運用と設計中心の対策

P40


ポイント2) 攻撃者が歩く経路を狭め監視ポイントを最適化

28

①防御・遮断策 ②監視強化策

攻撃回避を主眼とした設計策

攻撃シナリオをベースに対策

不正アクセス・PW窃取等を防止

早期発見を主眼とした設計策

攻撃者の足跡を発見

トラップを仕掛け、ログ監視強化

攻撃者が歩く経路を少なくする事で、監視強化にも繋がる

システムとセキュリティ機能が連携して、攻撃者の足跡を残す

P47

Copyright 2017 @ Kousetsu Kayama 28出典：https://www.ipa.go.jp/files/000052614.pdf

ケース①：不信な通信出てますよ

29

攻撃者

C&Cサーバ

⼆次感染端末

認証サーバ（AD）

ファイルサーバ

⽔飲み場Webサーバ

データベース

ファイアウォール

システム管理者

Internet

サーバセグメント他部⾨セグメント

プロキシサーバ

[プロキシサーバ][DNSサーバ]①不審な通信のIPアドレス、

日時から該当通信を把握②他に外部と通信して

いるプライベートIPを把握

[ユーザ端末]②悪用されたユーザIDからのファイル共有アクセスを把握

ユーザ端末（感染源）

[感染端末]①使用するユーザIDを把握


ケース②：おたくの情報流出してますよ

30

攻撃者

C&Cサーバ

⼆次感染端末

認証サーバ（AD）


⽔飲み場Webサーバ

データベース

ファイアウォール

システム管理者

Internet

サーバセグメント他部⾨セグメント

プロキシサーバ

ユーザ端末（感染源）

[ファイルサーバ]①該当する情報が保管されて

いるサーバのログを把握②アクセスしたIDを把握

[認証サーバ]①アクセスしたIDのログを把握②他に不審なIDの登録ログを把握


31

ご参考対策セットA～C（基盤構築段階）

攻撃者が狙うシステム上の弱点統制目標の概要

対策セットAネットワーク通信経路設計によるコネクトバック通信の遮断と監視

システム構成とファイアウォールのフィルタリング形骸化。

透過型プロキシ。

ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネ

クトバック通信を遮断およびプロキシで検知する。

対策セットB認証機能を活用したコネクトバック通信の遮断とログ監視

プロキシの認証機能を活用できてないプロキシ。

ブラウザに認証情報を保存する設定（オートコンプリート機能）。

認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネ

クトバック通信を遮断および検知する。

対策セットCプロキシのアクセス制御によるコネクトバック通信の遮断と監視

プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。（なんでも通すCONNECTメソッドと放置される長期間のセッション）

CONNECTメソッドを利用して

セッションを維持するコネクトバック通信を遮断および検知する。

P49


32

ご参考対策セットD～F(内部侵入・調査段階)

攻撃者が狙うシステム上の弱点統制目標の概要

対策セットD運用管理専用の端末設置とネットワーク分離と監視

サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用している運用設計。

適切に分離、アクセス制御されていないネットワーク設計。

ユーザ端末に保存されている重要情報（運用管理業務で使われている管理者情報や機微情報など）の窃取を防止して検知する。

対策セットEファイル共有の制限とトラップアカウントによる監視

WindowsOSにおいてデフォルト

で有効になっているファイル共有。止められないファイル共有。

初期キッティングで配布される共通のローカルAdministrator。運用管理ツール（タスクスケジューラ、PsExec）と使いこなせないWindowsログ。

攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有機能を限定する。また、ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する。

対策セットF管理者権限アカウントのキャッシュ禁止とログオンの監視

ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限のアカウント（DomainAdmin）。

攻撃者に管理者権限のアカウント情報を窃取させない。および、万が一窃取されたときも管理者権限のアカウントの不正使用を検知する。

P50


目次






まとめ１：バランスのとれた全体設計

34

攻撃者C&Cサーバ⽔飲み場サイト（改ざんWeb）

プロキシ Web AP

第2ファイルサーバ

セキュリティ製品

サポートデスクパソコン

⼀般職員OAパソコン

メンテナンスパソコン

データベース

ActiveDirectory



まとめ１：バランスのとれた全体設計

35

攻撃者C&Cサーバ⽔飲み場サイト（改ざんWeb）

プロキシ Web AP

第2ファイルサーバ

ログ管理・正規化、検索サーバ

セキュリティ製品

サポートデスクパソコン

⼀般職員OAパソコン

メンテナンスパソコン

【設計ポイント2】アクセス制御された

セグメント分離

【設計ポイント：おまけ】Windowsを使⽤しない

認証基盤の分離

【設計ポイント３】ログ設計による発⾒と分析運⽤

【設計ポイント1】セキュリティ機能による

⼊⼝・出⼝対策

データベース

ActiveDirectory


第2認証基盤


まとめ２：攻撃者が歩く経路を狭め監視ポイントを最適化

防御

監視

分析エスカレーション

復旧


イノベーションとセキュリティを統合デザイン～イノベーションとセキュリティ最適設計を統合～

全体業務デザインと運用

ウイルス対策IoT

セキュリティ

37 Copyright 2016 Kousetsu Kayama

全体業務デザインと運用

全体業務デザインと運用＋セキュリティデザインと組織マネジメント

価値

アーキテクチャ

38 Copyright 2016 Kousetsu Kayama

イノベーションとセキュリティを統合デザイン～イノベーションとセキュリティ最適設計を統合～

思考の再開

Innovation Centric Security

守るセキュリティから繋げるセキュリティへ

セキュリティへの投資はイノベーションの土台と競争力

39 Copyright 2017 @ Kousetsu Kayama

Documents

サイバー脅威(≠サイバー攻撃)の 正しい怖がり方と考え方 · テクニカルウォッチの公開 （’14.3.28） 77 「攻撃者に狙われる設計・運用上の弱点についてのレポート」

サイバー脅威(≠サイバー攻撃)の正しい怖がり方と考え方 · テクニカルウォッチの公開（’14.3.28） 77 「攻撃者に狙われる設計・運用上の弱点についてのレポート」