2016年3月18日
2016年3月18日
2016年3月18日(金)
無防備な社内ネットワーク
NRIセキュアテクノロジーズ株式会社 テクニカルコンサルティング部
主任セキュリティコンサルタント 朝倉 麻衣
2015年6月に発表された日本年金機構による個人情報が流出した問題は、多数のメディアに取り上げられ、サイバー攻撃の怖さを目の当たりにしたことと思われます。明日は我が身と思った企業は少なくないでしょう。
同様の被害に遭わないために、企業はさまざまな対策を実施しています。その一つとして、標的型メール攻撃訓練があります。NRIセキュアテクノロジーズが行った調査(*1)では、有効回答数5割近くの企業がこの訓練を実施済み、もしくは実施を検討中との結果が得られています。実際に当社が企業に向けて訓練を実施した結果から、開封率を減少させる効果が得られています。ところが、どうしても数パーセントのユーザが開封してしまう事実も明らかになっています。攻撃者は技巧を凝らし、執拗に攻撃を試みるため、人的対策強化は依然として重要ですが、残る数パーセントのリスクに対応するためには、多層防御の高度化が必要です。
多層防御には、エンドポイントセキュリティの導入や、社内サーバやネットワークの適切なアクセス制限などさまざまな方法があり、これらによって情報漏えいを防げるケースはあります。しかしながら、企業の社内ネットワークの実態を調査してみると、無防備な状態が散見されます。このような状況の背景には、標的型メール攻撃の目的と手法が変化したことにあります。従来の攻撃の多くは、いたずらや技術力の誇示などが目的で、攻撃手法は社内にマルウェアやウイルスを送りこむ程度でした。しかし、昨今その目的は、企業の機密情報を窃取することへと変化し、また攻撃手法も社内ネットワークの奥深くへ侵入する方法に変化しました。無防備な状態に陥っているのは、こうした状況の変化に企業の対策が追い付いていないことが原因です。
このように変化を遂げた昨今の標的型メール攻撃は、受信者がメールの添付ファイルを実行もしくはURLにアクセスした後、①感染、②掌握、③情報窃取、④持出のフェーズで実行されます。これらのフェーズはどのように実行されるのか、また、実際に疑似マルウェアを利用し、攻撃者と同様の挙動が引き起こせないかを評価した際に検出された問題の代表例をご紹介します。
① 感染では、攻撃者がOSやソフトウェアの脆弱性を悪用し、マルウェアを端末に感染させます。ある企業では、業務で利用するアプリケーションへの稼働影響を懸念し、OSやソフトウェアのパッチが適応されていませんでした。そのため、評価時に既知の脆弱性を悪用して端末を感染させることができる事例がありました。
② 掌握は、攻撃者がインターネットを経由して社内ネットワークにある端末を自在にコントロールできる状態にするフェーズです。端末に標準導入されたアプリケーションで、システム起動時に自動実行されるファイルの権限設定に不備があり、端末の管理者権限の奪取し、インターネットから自由に操作できる事例がありました。
③ 情報窃取では、攻撃者は社内ネットワークの別の端末やサーバから情報を取得し、それをもとに侵入を拡大します。最終的にはActive Directoryを攻略して組織内の端末を支配し、あらゆる端末やサーバに潜入を繰り返すことで、機密情報を取得します。このフェーズでは、Active Directoryに対するOSのパッチ適応が行われていなかったため、特権のないドメインユーザアカウントが、ドメイン管理者へ権限昇格できる問題がありました。また、社内ネットワークのセグメンテーションやアクセス制限が十分にコントロールできていなかったため、本来アクセスできない権限のユーザであるにもかかわらず、重要情報の参照や更新できる事例がありました。
④ 持出では、攻撃者は機密情報を外部に持ち出すために、オンラインストレージへアップロードする手法などが用いられます。ある企業では、URLフィルタリング機能を導入し、対策を行っていました。ところが、その機能は閲覧させたくないサイトを指定してリスト化し、適合したものしか制限出来ません。攻撃者は、そのような機能の限界を利用し、リストにないWebサイトを用意し、簡単にデータを持ち出すことができた事例がありました。
このような一連の攻撃フェーズは、軍事行動になぞらえて“サイバーキルチェーン”と呼ばれています。標的型メール攻撃の対策には、このサイバーキルチェーンに基づいたセキュリティ対策が功を奏すると考えられます。ひとつのチェーンを打ち切れば情報漏えいを喰いとめることができるため、随所に対策を盛り込むことが重要です。具体的に何をしたらよいかわからないという企業は、サイバー攻撃に対して企業がとるべき対策などがまとめられているセキュリティフレームワークであるCSC(*2)などを活用し、基礎となるセキュリティ対策を何より愚直に、諦めずに実施することが、セキュリティレベルを高める近道となりえるでしょう。
*1 NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2015」
http://www.nri-secure.co.jp/security/report/2015/analysis.html
*2 CSC(Critical Security Controls)
https://www.cisecurity.org/critical-controls.cfm
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年3月18日(金)
セキュリティインシデントが起きるその前に
株式会社ディアイティ セキュリティサービス事業部
デジタルフォレンジック技術者 赤松 孝彬
2015年は、日本年金機構へのサイバー攻撃等、ここ数年と同様に多くのセキュリティインシデント関連のニュースが見受けられたかと思います。
そんな中、大手企業を代表としてCSIRT(Computer Security Incident Response Team)やSOC(Security Operation Center)を自社で持つという傾向も強くなってきています。しかしながら、こういった体制を整えるためには予算、人材等多くの問題をクリアしなければなりません。無論こういった体制を持つことが理想とはなりますが、インシデントは体制が整うのを待ってはくれません。
そこで、インシデント調査を依頼される立場としてセキュリティインシデントが自社で起こる前に、最低限準備していただきたい点や注意点をいくつか紹介したいと思います。
【ログ取得状況の把握と見直し】
各種ログを取得し、一定期間保管するということは一般的となっておりますが、取得しているログは適切な内容なのか、十分な保管期間が設定されているかについては、おろそかになっている企業も見受けられます。
実際に、ログの容量を減らすために重要な痕跡が残存する箇所を設定で削ってしまっている場合やログの保管期間を把握しておらず調査対象期間のログが消失してしまうということもあります。
最低限、各種サーバ、ファイアーウォール、プロキシサーバのログについては、一度確認し見直すことを推奨します。
【初期対応手順の確立】
インシデント検知時に専門家がすぐに対応できるパターンは、かなり限られた状況を除きほとんどありません。しかしながら、初期対応を誤れば被害の拡大や重要な痕跡を消失させてしまう恐れもあります。
サーバ改ざん、マルウェア感染、内部不正等のパターン毎に対応手順を確立しましょう。また、手順毎に作業を行う人物が誰なのか明確にしておく事も重要です。
【依頼先の事前選定】
インシデント発生時に依頼先を選定していては、迅速な対応はできません。実際、弊社に連絡が来たときには、インシデント発生から一ヶ月以上経過していることもしばしばあります。このような場合、既に重要な痕跡が消失していたり、更に重大なインシデントが発生している場合もあります。
110番や119番のように緊急連絡できる依頼先を事前に決めておく事は、その後の調査をスムーズに進める上で非常に重要です。
【情報提供体制】
インシデントが起きた際に外部に調査を委託する場合は、調査対象端末、各種ログ等を提供しなければなりません。通常の業務では、データの入った端末をそのまま他社へ提供することはまずありません。そのため、社内での調整や秘密保持契約に時間がかかり、結果として調査着手が遅くなってしまう場合があります。依頼先の事前選定にもつながりますが、事前に可能であるならばこういった体制を整えておく必要があります。
災害への備えと同じく幾ら準備しても十分とは言えませんが、「セキュリティインシデントは、いつ起きてもおかしくない」ということを念頭に置いて、準備していただくきっかけになればと思います。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。