自由民主党 IT戦略特命委員会 様向け サイバークライムセンターの概要 と サイバー犯罪の現状と課題 について 平成27年3月25日(水) 日本マイクロソフト株式会社 - Privileged and Confidential / All Rights Reserved - アジェンダ ご挨拶 織田 浩義 サイバークライムセンター概要:マイクロソフトのサイバー犯罪対策の取り組み 澤円 サイバー犯罪の現状と課題:サイバー犯罪基盤~Takedownの取り組み 高橋 正和 15分 15分 セキュリティ問題に対応する組織について デジタルクライムユニット サイバークライムセンター ボットネットテイクダウンとマルウエアの駆除 CTIP:Cyber Tread Intelligence Program概要 / CTIPデモ / CTIP-Liveデモ Photo-DNA概要 / デモ サイバークライムセンター 日本サテライト概要 日本サテライトの機能と支援サービス 脅威の現状 ボットネットの構造とテイクダウン 安全・安心なICTの為に必要とされる2つのアプローチ 政府機関やセキュリティ企業でもサイバー攻撃にあう状況において必要とされるセキュリティ対策 むすび 参考資料 攻撃はどのように行われるのか:「標的型攻撃体験ワークショップ」 Microsoft Technology Forum:「安心・安全なサイバー空間を目指して:サイバー クライム センターのご紹介」:ご案内資料は入口席にあります 質疑応答 全員 - Privileged and Confidential / All Rights Reserved - 30分 マイクロソフトのサイバー犯罪対策の取り組み 日本マイクロソフト株式会社 マイクロソフトテクノロジーセンター センター長 澤 円 3 3 セキュリティ問題 - サーバールームから役員室へ “ネットセキュリティはCEOレベルで 対処すべき事項” McKinsey & Co. 高度ネットワーク社会で出来ることとそのリスク: 企業への示唆 2014年1月 内部監査担当者の65% 「ここ1~2年のネットセキュリティーリスクについて、役員の見方は どう変わりましたか?」との問いに対し65%以上の内部監査担当は リスクに対する認識が高い、あるいは高まっていると回答した 内部監査担当者 2014年 動向調査より CEOの61% ネット攻撃が増加することを心配 PwC グローバル CEO 調査 2015年1月 APAC CIO 調査: 新しいテクノロジ採用に際しての最大の障壁 1 予算 81% 新しいテクノロジに対する 投資の不足 2 信頼 79% 新しいテクノロジに対する セキュリティ、プライバシーや コンプライアンスの懸念 3 採用に伴う影響 72% ITに関する決定をする際に、 多くの利害関係者が生まれ、意思決定が遅延 マイクロソフト サイバークライムセンター DCU ボットネットのテイクダウンとマルウェアの駆除 OPERATION ZeroAccess Game over Zeus OPERATION 2013年6月 2013年12月 2014年6月 2014年6月 2014年7月 オンラインバン ク詐欺で5億ド ル以上の損失発 生 検索結果を 乗っ取り、 被害者を危険 サイトに誘導 ネットバンキ ングのトロイ の木馬 ダイナミック DNS を用いた マルウェア オンラインバ ンク詐欺で2億 500万ドル以上 の損失発生 法執行機関と 協力 パスワード、 個人情報の窃 盗、および WEBカメラの 乗っ取り OPERATION OPERATION OPERATION OPERATION OPERATION OPERATION OPERATION Citadel 2010年2月 2010年2月 2011年3月 2012年3月 2012年9月 2013年2月 マイクロソフト 主導モデル 業界主導での 取組モデルの 証明 業界全体の利害 関係者による サポート 検索結果を 乗っ取り、 被害者を危険 サイトに誘導 70,00090,000の感染 デバイスを ボットネット から断絶 米国とオランダ の法執行機関と CN-CERT参加 金融サービスと 中国で信頼され の業界間協力 るサプライ チェーンで広 複雑な技術のた まったNitol め根絶に注力 問題発生の 個人情報盗難/ ドメイン管理者 金融詐欺 と話し合い解決 Conficker 業界広域での 取組 ボットネット ワーム 65% Waledac スパム 30% Rustock スパム 99% Zeus 95% Nitol ボットネットを 広めている マルウェア、 分散型サービス 拒否攻撃 Bamital Symantec社と 協力し、プロ アクティブな 通知とクリー ンアッププロ セスを実施 広告ワンク リック詐欺 93% OPERATION OPERATION ネット犯罪を防 止する官民プロ グラムとの協力 で解決 毎月270万ドル 以上の費用が オンライン広 告主に発生 個人情報盗難 /金融詐欺 広告ワンク リック詐欺 76% 78% 個人情報盗難/ 金融詐欺 98% Bladabindi & Jenxcus 200以上の異な る種類のマル ウェアが影響 を及ぼしまし た 個人情報盗難/ 金融詐欺 /プライバシー 侵害 47% Caphaw 官民協力によ る解決 個人情報盗難 /金融詐欺 84% Microsoft Cyber Threat Intelligence Program (CTIP) 1日に5億件以上のトランザクション / さらに拡大中 パートナー / 契約者 CERTs Microsoft Azure ISPs Cloud 数10億のデバイスからの インターネットアクセス Sinkhole SQL Server Parallel Data Warehouse その他の データソース Microsoft Cybercrime Center BI is powered by: Excel Power BI Power Query SharePoint 2013 視覚化 & インサイト 人身取引 Microsoft PhotoDNA マルウェア との戦いと デジタルリ スクの減少 被害者と なりやすい 人々の保護 マイクロソフト サイバークライムセンター 日本サテライト サイバー犯罪の脅威について の情報発信基地 最新データから日本の マルウェアの情報/状況を解析 サイバー攻撃の傾向等の情報 をセキュリティ関連団体など を通じて公表 お客様・パートナー企業へ、 「信頼できるクラウド」と セキュリティの ベストプラクティスを周知 クラウド上で提供される PhotoDNA等のツールにより オンライン上の児童ポルノ などの犯罪を防止 デジタルクライムユニットと の連携でサイバー犯罪抑止に 貢献 日本サテライトの機能と支援サービス サイバークライムセンター 日本サテライト サイバー脅威の最新情報から日本の情報/状況を解析し、 情報発信 オンラインサービス事業者や捜査機関に「PhotoDNA」等 サイバー犯罪対策の最新技術情報を提供 さ 政府機関へのソースコードの開示などの技術支援・ 情報提供 標的型攻撃体験ワークショップの開催 本社デジタルクライムユニットと連携 サイバー犯罪基盤 テイクダウンの取り組み 日本マイクロソフト株式会社 チーフセキュリティアドバイザー 高橋 正和 脅威の状況 19 * サイバー攻撃の現状(被害想定額 100兆円) サイバー攻撃 マルウェア 標的型攻撃 • 洗練された高度な、 • フィッシング詐欺 組織的な攻撃が増加 届出件数 17倍 • 偽セキュリティソフト • 日本の政府機関への 相談件数 2倍 不正アクセス 5倍 (2013年度) • ランサムウェア 検出数 2倍 • モバイルマルウェア 30倍以上* 被害 データ盗難・ 漏えい • 漏洩したデータ * 9億400万件 (2014年1~9月) • 100万件以上の * データ流出 20件 (2014年1~9月) 不正送金 • 被害額 2倍 (2013年 14億円 → 2014年 29憶円) • 平均被害額 155万円 /件 (2014年) • 世界では * 550億円以上の被害 *世界の数字 脅威の類型 サイバー ウォーフェア Stuxnet, Flame サイバー エスピオナージ (諜報活動) Operation Aurora, 官公庁、防衛産業 サイバー テロ Anonymous, 韓国事例 サイバー クライム(犯罪) Zeus, ZeroAccess, Bamital 愉快犯 CodeRed, Blaster, Slammer ボットネット:サイバー犯罪基盤 ボットネットとは、感染した数百~数百万台の PCを操作する手法で、様々なサイバー犯罪の 基盤として悪用されている • スパムメール等の送信 • メールアカウントの詐取 • フィッシングメールの送信 • スパムメールの送信 • 認証情報の詐取 • オンラインバンキングから現金を盗む • 電子商取引を通じて、損害を与える • DDoS • DDoS攻撃への利用 • 他のコンピューターへの感染 23 ボットネットの構造と テイクダウン 24 ボットネットの推移 テイクダウンの対象:サーバー 初期のボットネット IRCボットネット サーバーを停止する(ホスティングの場合) IPをブロックする(ISP等の場合) 約款等に基づいたオペレーション 初期のボットネット HTTPボットネット IRCの機能を利用して、大量の 感染ノードを制御し、攻撃など の命令や、自身のアップデート などを行う C&C ハーダー ボットネット・マスター IRC インターネット・リレー・チャット C&Cの特定が容易で、これを停 止することで、ボットネットは 活動を停止する 通信の検出と ブロックが比較的容易 C&C ハーダー ボットネット・マスター HTTP 通常のWebアクセスと 同じプロトコル C&Cとして稼働するWeb サーバーを止めれば、ボッ トネットは活動を停止する C&Cは、ボットの通信を調 べることで、比較的容易に 判定できる 一般的な通信との区別がつ きにくく、通信の検出とブ ロックが困難 大量のデータ転送も可能 25 ボットネットの推移:FastFlux DNS・P2Pの利用 Waledac ボットネット (テイクダウン不可能と考えられていたボットネット) RPT(Repeter)ノードと、SPAMノード間で、P2Pネットワーク を構築。 ノードリストは、RPTノードが管理し配布をする。 隣接ノードが見つからない場合は、FastFluxDNSを使って、RPT ノードを見つけるリカバリー処理が行われる。 C&C ハーダー ボットネット・マスター テイクダウンの対象:ドメイン名 命令 ノード リスト IP RPT RPT FastFlux DNS SPAMノード ドメイン名=個人・法人の所有物 約款による対応も考えられるが、多数のドメ イン名を同時にテイクダウンするためには、 実効性のある手法が必要 Waledacを停止させるためには、 P2Pのノードリストに偽の情報を入れ込むことに加えて、 リカバリー用に用意されているホスト名についても、 偽の情報を入れ込む必要がある 26 ドメイン名を差し押さえるための手法 ICANNの紛争解決方針 犯人逮捕 紛争当事者に通知するた め、ハーダーに動きを知 られ、対応時間を与える 犯人不明のため、法的 対策が取れない 連邦裁判所 Flux 一方的な仮処分 (ex parte TRO) 停止依頼 (非公式なレター) DNS サーバーの テイクダウン 48時間以内のドメイン 名の停止を、当事者に 知らせることなく強制 できる 強制力がないため、必 ずしも実施されず、ま た、複数のドメインを 同時に対処することが 難しい DNSサーバーは、ハー ダーのものではない 27 一方的な仮処分:ex parte TROの適用 連邦裁判所に対する一方的なTRO発行の必要性の訴求 連邦裁判所は、通知を行った場合、訴訟を避け、不法行為を続ける機会 があると判断し“一方的なTRO”を発行した。 (30年以上前に偽ブランド品に対して実施) ドメイン名が乗っ取られているケースの対処 ドメイン登録者を被告とせず、27のドメイン登録者に対して被告人不詳 として訴訟(John Does訴訟)。 中国のレジストラを通じて登録されたドメインの対処 起訴手続きの連邦原則、米国憲法、中国の法律を満たすことを確認し、 ハーグ条約に基づいて、中国法務省に依頼 連邦裁判所 一方的な仮処分 (ex parte TRO) 紛争相手への事前通知なしに、一時的(14-28日間)な対処を行う ための特別な救済策、証拠隠滅や回避策の実施を阻止するために適 用される。 一般に”一方的なTRO“の発行は困難で、連邦原則ルール 65に基づ き、「これを行わない場合に即座に解決できない危害が継続するこ と」、「相手方への通知を行い、それができない場合にはその理由 を明確にすること」を求めている。 ドメイン登録者に通知 適法手続権利の維持を保証するため、ドメイン登録者に、訴状を送ると 共に、電子メール、FAX、書簡による通知を行い、加えて、サイトを作 成し、訴訟に関する書面をすべて掲載の上、これをメディアなどを通じ て周知 www.noticeofpleadings.com (Notice of Pleadings:訴答書面の告知) 停止命令が実施されない場合の対処 停止命令が実行され場合に、ドメインの所有権がマイクロソフトに移行 するように申請し、認められる。 28 http://www.noticeofpleadings.com/ DCU:Digital Crimes Unit が係った ボットネットのテイクダウン事例 日時 ボット名 推定台数 概要 2010/2/22 Waledac 数十万台 Operation b49 1日当たり15億通以上のスパム・メール送信に悪用 2010/10/25 Bredolab 3千万台 オランダ当局ハイテク犯罪チーム主導。ボットネットの停止の他、追加コマンドを送信し、コンピュー タが感染していることを表示するプログラムをダウンロードさせてユーザーに通知 2011/4/11 Coreflood 2百万台 FBI 主導。感染したPCに対してマルウェアの停止コマンドを送信 2011/3/17 Rustock 2百万台 Operation b107 1日当たり300億通以上のスパム・メール送信に悪用。全スパム流通量の47.5%はRustock経由で送信 2011/9/27 Kelihos 4万台 Operation b79 スパムの大量送信、個人情報の窃盗、DDoS 攻撃など。Waledac との類似性から Waledac 2.0 とも 呼ばれている。 2012/3/19 Zeus 800ドメイン 1300万 Operation B71 5億ドルに上る被害をもたらしている Zeus, SpyEye, Ice-IXをテイクダウン 2012/9/13 Nitol 7万ドメイン 500種 市場で販売されているコンピューターから検出されたNitolボットネットをテイクダウン 2013/2/6 Bamital 2013/6/5 Citadel 500万台 1,462ドメイン Operation b52 キーロガーを使い5億ドル以上を詐取 2013/12/5 ZeroAccess 200万台 $2.7M/月のオンライン広告のクリック詐欺 2014/6/2 Gameover Zeus 50 万~100 万台 FBIは1億ドル以上の損害と推定。 FBIを中心とした各国の法執行機関と、セキュリティベンダーなどが協力 2014/6/30 Bladabindi (NJrat) Jenxcus (NJw0rm) ファミリー 数百万台 数百万台に感染しているBladabindi (NJrat) とJenxcus (NJw0rm) の活動基盤となっている、No-IP の該当ドメインを停止し、二人の容疑者に対する訴訟を行った サーチハイジャック、$1M/年以上のクリック詐欺 30 日本でテイクダウンを行うためには 日本管理下のドメイン(.jp等)のテイクダウンを実施するめには (DCUの事例は、.com等USのドメインであるため、米国法が適用できている) • DCUと同様にテイクダウンを実施する場合に検討すべきこと • • • • 感染コンピュータにおけるWindowsに対するハーダーによる侵害の主張の可否 “ex parte TRO”に相当する手段が存在すること ドメイン名が差押えの対象となること ボットに対する操作を合法的に実施できること • ドメインが示すIPアドレスを書き換えて原告が所有するIPに接続をさせること • ボットに意図的な情報を送信すること(ポイゾニング) • ボットネットからの通信をモニターできること • 収集した情報を利用・公表できること • 法執行機関のサイバー犯罪対策の強化 • 警察、検察、裁判所等がサイバー犯罪に対して知見を蓄える必要がある (米国のNational Computer Forensic Instituteなど) 32 安全・安心なICTのために 必要とされる二つのアプローチ 33 セキュリティの課題とマイクロソフトの取り組み 製品・サービスのセキュリティを 高め被害を防ぐ サイバー犯罪と闘い、 犯罪による被害を防ぐ APT サイバー 犯罪 サイバー犯罪基盤の テイクダウン ワーム ウィルス ツール+プロセスでは 対策が困難 ツール+プロセスで 対策可能 ツールで 対策可能 セキュリティ強化サービス マイクロソフト社の 製品・サービス ISP, CERT等 Azure EMS Active Directory Premium MSRA セキュリティ情報 Products GSP MAPP コンサルティング サービス 脅威情報 Search Engine 観測 収集 Cloud Services 政府機関 公共機関 セキュリティ ベンダー 脆弱性情報 集約 MTID Microsoft Thread Information Database サイバー犯罪 等の情報 顧客 活用 Cyber Security Service Windows Live Info and Relation 協力 業界や法執行機関と の連携 ボットネット テイクダウン CCC サイバー クライム センター 政府機関やセキュリティ企業でも サイバー攻撃の被害にあう状況において 必要とされるセキュリティ対策 36 必要とされる対策のレベルとフェーズ 秘 攻撃者 • FileShare 2 ファイル サーバー 1 Internet 標的PC 対策レベル IT管理者 PC • Domain Adminで FileShare 民 間 イ重 ン要 フ ラ 未 対 策 未 対 策 政 府 機 関 3 ZeroDay対策 DC ファイア ウォール ①標的PCへの攻撃 -Administratorでlogon • メールで侵入 • FSにFileShareされている ことを確認 4 APT 秘 統制の仕組み メール サーバー 対策のフェーズ・要素 Assessment 評価・検証 (MSRA) Protect 対策 (ESAE) Detect 検出 (MTDS) 特権保護 Exercise 演習・訓練 (Workshop) Response 対応 (PADS) Management and Monitor 管理・運用とモニター (MOF) Recover 復旧 特権保護 具体的な設定 PC・サーバ の統制 ツールの追加 (コンテンツ フィルタ等) 古典的な防御 (境界領域対策+AV) 未 対 策 USCGB等 http://usgcb.nist. gov/ 調達基準 セキュリティ ツールの導入 対 策 済 対 策 済 対 策 済 日本の実情を示唆する注意喚起 http://www.jpcert.or.jp/at/2014/at140054.html 38 むすび 39 むすび • 安心・安全なICTに向けた二つのサイバー攻撃対策 • • 製品やサービスの安全性を高める(ベンダーと利用者) 攻撃を割の合わないものにする(テイクダウンなどの実施) • 日本でテイクダウンを実施するためには • • 日本の管理下にあるドメインの対応をするためには、法的・制度的な 側面を整理する必要がある 米国のテイクダウン事例や欧州との国際連携を調査研究し、日本にお ける制度設計についての提言を行うための有識者による研究会の設置 が必要 • 現状のセキュリティ対策では現在の脅威に対応できない • • • 報道されている以上に、深刻な侵入が発生していると考えられる 現在の脅威に則したセキュリティ対策を実施することが急務である 特に政府機関については、制度面の検討が望まれる 40 Digital Crimes Unit Taking the fight directly to cybercriminals マルウエア ウィルスなどの悪意を持ったプログラムの総称 ランサムウエア ウィルスの一種で、感染するとPC中のデータを 暗号化し、暗号解除するために対価を求めるも の。FGB DDoS Distributed Denial of Service 多数のPCなどを使って大量の通信を送ることで、 サーバーやネットワークが機能しないようにす る攻撃 ICANN The Internet Corporation for Assigned Names and Numbers ドメイン名やアドレスを管理する国際組織 モバイルマルウ エア スマートフォンやタブレットに感染するマルウ エア 不正送金 ウィルスによってオンラインバンクの口座が操 作され、ロンダリング用の口座などに不正に送 金されること TRO Temporary Restraining Order:仮処分 ドメイン Microsoft.comなどのインターネット上の名称 ボットネット ボットと呼ばれるウィルスを中央制御したシス テム。サイバー犯罪の基盤に悪用される。数万 台に及ぶこともある。 レジストラ 登録者からドメイン名の登録申請を受け付け、 その登録データをレジストリのデータベースに 登録する機関 IRC Internet Relay Chat System 古典的なチャット用のシステム レジストリ 登録ドメイン名のデータベースを維持管理する 機関 HTP Webブラウザなどで利用される、標準的な通信 APT C&C Command & Control Serverの略称 指揮命令を行うためのサーバー Advanced Persistent Threat 高度で執拗な攻撃。標的型攻撃など 特権 ハーダー もともとは羊飼いの意味 ボットネットを操作する人物のこと 管理者権限など、コンピューターですべての操 作を行える権限。Windows XPでは一般的に特 権レベルで利用されていた。 P2P Peer to Peer のこと。Winnyなどの通信形態 © 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
© Copyright 2024 ExpyDoc
