F5の不正送金ソリューションご紹介資料 ~ WebSafe ~ 2016年2月 F5ネットワークスジャパン合同会社 内容 1. 不正送金マルウェアとは? そのインジェクションメカニズムのご紹介 2. F5 WebSafeを使ったインジェクション対策のご紹介 © F5 Networks, Inc 2 不正送金マルウェアの活動概要 不正送金の概況 インターネットバンキングに係る不正送金事犯の被害が拡大 27年上半期の被害額は約15億4,400万円で、前年下半期を上回り、引き続き大きな脅威。 信用金庫、信用組合、農業協同組合及び労働金庫に被害が拡大。 出展: 警察庁 『平成27年上半期のサイバー空間をめぐる脅威の情勢について 』 (百万円) 不正送金被害状況 (件数) 450 400 350 300 250 200 150 100 50 0 350 300 250 200 150 100 50 0 個人顧客 金額 IPA 重大脅威 2015年の資料より 法人顧客 金額 個人顧客 件数 法人顧客 件数 全国銀行協会の調査資料より http://www.zenginkyo.or.jp/topic/corresponde 不正送金マルウェアの一般的手口 ①スパムメールなどからマルウェアに感染 利用者のPC <HTML> <Injected HTML> <Original HTML> ABC Bank Login </HTML> ②C&Cサーバと接続してリモートコントロール (コンフィグ情報などをインストール) ③特定のインターネットバンクサイトへ のアクセスを検知してスクリプトイン ジェクション https://ib.ABC-bank.co.jp/login.jsp ABC銀行 C&Cサーバ <HTML> <Original HTML> ABC Bank Login </HTML> ブラウザ ④スクリプトインジェクション(外部から不正なJavaScript を ダウンロード) ⑤ログインページからのアカウント情報の情報漏えい 被害 次にデモでご紹介 ⑥RAT(遠隔操作)による本人になりすまし不正な送金操作 © F5 Networks, Inc. 5 通常のログイン © F5 Networks, Inc. 6 Citadel Command & Control Center Dashboard 感染PCの IPアドレス ログイン名 パスワード © F5 Networks, Inc. ラボで実験用に 再現したものです 7 攻撃者のPC VNCで先程のユーザのPCにリモートログイン © F5 Networks, Inc. 8 インジェクションの仕組み マルウェアがどうやってログイン情報を盗むのか? https://demobank.f5demo.com HTTPS REQUEST BIG-IP HTTPS RESPONSE マルウェアに感 染したPC © F5 Networks, Inc. Web App 9 インジェクションの仕組み マルウェアがどうやってログイン情報を盗むのか? https://demobank.f5demo.c om demouser ******** demouser ******** マルウェアに感 染したPC マルウェアによってドロップゾーンに転送 demouser pa55w0rd © F5 Networks, Inc. 10 狙われているのはインターネットバンキングだけでは ない ー 英国歳入関税庁の付加価値払戻しサイト ターゲットURL コード挿入位置 インジェクション されるコード (不正なメニューが 現れて情報が盗み 取られる) © F5 Networks, Inc. 11 しかもツールは誰でも入手可能 これは実験で行ったものです ソフトトークンからの入力も取得 例:パスワード情報を外部に転送する Chromeの拡張機能のソース © F5 Networks, Inc. 12 ここまでのまとめ • インターネットバンキングサイトを狙ったTrojanは難読化を施し、発見困 難な進化を繰り返している • ターゲットになっているWebサイトは、銀行だけではなく、SNS、クラウ ドサービス、その他情報や金目のものを扱うサイトに拡大 • Trojanとスクリプトは部品化され、広く悪用できる状況となっている © F5 Networks, Inc 13 F5 WebSafe概要 WebSafe – 100% 透過型の不正送金対策 リアルタイム検知 • マルウェアやフィッ シングサイトへのア クセス ID情報の不正な取得 • 不正送金実行 • 完全に透過 • • PC側に一切 インストール不 要 アプリケーショ ン変更不要 全てのデバイス 対応 ユーザID情報保護 不正送金対策 Windows/MacOS iOS/Android リアルタイムの暗号化に よりログインパスワード 等の情報の漏洩対策 マルウェアにより実行 された不正送金の振る 舞い&改変検知 オンラインバンキングの不正送金による被害を撲滅するための唯一の透過型ソリューション © F5 Networks, Inc. 15 F5 WebSafe – 4つの機能で不正送金対策 マルウェア検知 • Man-in-the-Browser型マルウェア のInjectionと振舞いを検知 アプリケーションレイヤ 暗号化 • パスワードやOTPのフォーム内容をリア ルタイムに暗号化。MITM攻撃対策 © F5 Networks, Inc. リアルタイム フィッシング検知 • フィッシングサイトへのアクセスを検 知。SOCがISP等と調整してサイトを封鎖 スクリプト トランザクション検知 • フォーム入力の動きを数値でスコアリン グ。マルウェアによる不正入力を検出 • フォーム入力の改変検知 16 Web Anti-Fraud Protection動作環境 A Online Customers MITB 攻撃 サイトページのコ ピーとフィッシン グ マルウェア検知 B 4つの機能は全て JavaScriptで実現 エージェント不要 アプリ改修不要 WEBSAFE Online Customers リアルタイム フィッシング 検知 BIG-IP Platform アプリケー ション C アプリケー ションレイヤ 暗号化 D スクリプト トランザクション 検知 © F5 Networks, Inc. F5 SOC Account Amount Transfer Funds プログラムによる 自動トランザクショ ン Online Customers F5のSOC or 顧客環境の F5のSOCで検知 アラートサーバで通知 (オンプレミスも可) オンプレミス の アラートサー バ 顧客環境の アラートサーバ (お客様の監 視) SIEM 3 rd party 製 リスク分析等 17 BIG-IPに統合されたモジュール(version 11.6以降) 設定対象URL 4つの機能は全てBIG-IPのGUIで設 定 © F5 Networks, Inc. 18 F5 WebSafeによってパスワードが暗号化された場合 https://demobank.f5demo.com HTTPS REQUEST WebSafeの JavaScriptモジュール がページに挿入され、 保護機能が働く BIG-IP FPS HTTPS RESPONSE マルウェアに感 染したPC © F5 Networks, Inc. Web App 19 F5 WebSafeによってパスワードが暗号化された場合 https://demobank.f5demo.com demouser ******** demouser ******** マルウェアに感 染したPC マルウェアによってドロップゾーンに転送 demouser a<iycQF”e[f|yU!18#fc$yia 暗号化されているために成りすま しのログインは不可能! © F5 Networks, Inc. 21 パスワード難読化のデモ © F5 Networks, Inc. 22 実際の流れているパラメータの比較 オリジナルのPOST Username/passwordのパラメータと入力内容は 平文で送信 WebSafeパスワード暗号化使用時のPOST Username/passwordのパラメータと入力内容は 暗号化された文字列で送信 © F5 Networks, Inc. 23 WebSafeによる不正送金対策4つのポイント ① リアルタイムにインジェクション検知 マルウェア検知機能により、前述-手口図④の『スクリプトインジェクション』を検知します。検知されたア ラートはWebSafe Alertシステム(クラウドもしくはオンプレミス)に通知されます。 ② ログインパスワードなど秘匿情報の保護 アプリケーションレイヤ暗号化機能により、前述-手口図⑤(認証ページ)、もしくは⑥の送金リクエストにお けるHTTPパラメータ情報をセッション単位のキーペアを使ってend-to-endの暗号化を行います。これにより 経路上で認証情報がタッピングされた場合でもユーザ入力情報が再利用される危険を回避します。 ③ マルウェアによる不正送金トランザクションの検知 トランザクションリクエスト時の不自然な挙動検知を行い、通常のユーザ操作とは異なるスクリプトやマル ウェアによるトランザクションの検知を行います。 ④ フィッシングサイト検知 リアルタイムフィッシング検知機能により、インターネットバンキングのサイトが不正にコピーされて、 Phishingサイトが構築されたことを検知し、さらにF5 SOCから通信事業者等へのテークダウンリクエストを行 います。 © F5 Networks, Inc 24 F5 WebSafe各モジュールの紹介 WebSafe components vHTML • マルウェア検知 vCrypt • アプリケーションレイヤ暗号化 vToken • 不正トランザクション検知 vTrack • リアルタイムフィッシングサイト検知 全てのコンポーネントはJavaScriptで実現されている JavaScriptはBIG-IPによって自動的に必要なページ(URL)に挿入され ます アプリケーションの改修や、PC側でのエージェントやプラグインのインス トールは不要です WebSafeのJavaScriptは、解析や削除による無効化対策が施されていま す 26 © F5 Networks, Inc. 1.マルウェア検知 REAL-TIME ALERT “Infected User Detected” 攻撃者 マルウェア クライアント 1 3 5 インジェクション Webサイトをクライアントがリクエストする 2 vHTMLを埋め込んだWebページを返答する 3 マルウェアがWebページに悪意のあるコードを埋め 込む 4 vHTMLがWebページのHash値を確認し、悪意のあ るコードが埋め込まれたとWebページの改ざんを確 認し、アラートを送付する 5 マルウェアに感染しているクライアントの認証情報 を情報収集サーバに送付する 情報漏えい 情報収取サーバ 4 vHTML 1 2 インターネットバンキングサイト © F5 Networks, Inc. 27 マルウェア改ざん例 マルウェアによって追加された フィールド(改ざん)を検知 © F5 Networks, Inc. 28 マルウェア検知 マルウェアによって表示された画面 を改ざん検知機能が検出 マルウェア感染検知およびアラート 悪意のあるコードのスキャンとレポート 攻撃者のIPアドレスをレポート クライアントサイドにインストール不必要 © F5 Networks, Inc. REAL-TIME ALERT “WebSafe Malware Detection: Malicious Script: https://www.hacker.com/autotransfer.js 29 マルウェア検知(RAT検知) 12.0の新機能 Version 12.0ではRAT検知が実装されています • RAT(Remote Administration Tool)検知とは、不正な遠隔操作によるイン ターネットバンキングサイトへのアクセスを検知する機能 • GameOver Zeus、Citadel、Dyre (Dyreza)などは遠隔操作により不正な送 金操作が確認されています 不正送金 マルウェ ア感染PC *同一ブラウザからの不正 セッション *同一PCからの異なるブラ ウザからの不正セッション ○○銀行 インターネット バンキング 情報漏えい ID情報搾取 C&C サーバ © F5 Networks, Inc. ハッカー 30 2.アプリケーションレイヤ暗号化 マルウェア 攻撃者 1 ログインページをクライアントがリクエスト する 2 vCrypt サーバコンポーネントがPublic & Private Keysを生成する 3 vCrypt クライアントコンポーネントと Public Keyを付与したログインHTMLコード を返答する 4 クライアントが入力した認証情報をvCrypt クライアントコンポーネントがPublic Key を使用して暗号化する 5 クライアントがWebサイトへ暗号化された 認証情報を送付する 6 vCrypt サーバコンポーネントが暗号化され た認証情報を復号化する 7 マルウェアがvCryptによって暗号化された 無意味な認証情報を情報収集サーバに送付す る 7 クライアント 1 情報収取サーバ 4 5 vCrypt 2 インターネットバンキングサイト © F5 Networks, Inc. 3 6 31 アプリケーションレイヤ暗号化 MITB攻撃対策として秘匿情報を 入力時に暗号化 © F5 Networks, Inc. 32 アプリケーションレイヤ暗号化(オリジナルのPOST) 入力されたパスワード(平文) 中間者攻撃で盗まれる可能性がある © F5 Networks, Inc. 33 アプリケーションレイヤ暗号化 (WebSafeによる暗号化後) パスワードをクライアントソフトウェアなしに暗号化 MITB および MITM 対策 攻撃者が取得する認証情報を変換。悪用検知。 WebSafeによる暗号化したデータ © F5 Networks, Inc. 34 POSTパラメータ難読化 12.0の新機能 Version 12.0ではパラメータ難読化機能が実装されています パラメータ名をランダムに難読化することによって、マルウェアがパラメー タ解読を行うことを阻止します Before <input name=“username” /> After <input name=“fdasjkl34j5kl38fjds8a943jifl” /> ブラウザ上でパラメータ名、入力したデータがリアルタイムに暗号化+難読化される © F5 Networks, Inc. 35 3.不正トランザクション検知 REAL-TIME ALERT “WebSafe Transaction Protection: user John_Smith, Transaction ID: 21394; 100% automated” 攻撃者 マルウェア 1 Webページをクライアントがリクエストする 2 vTokenを埋め込んだWebページを返答する 3 マルウェアがWebページに悪意のあるコードを埋め 込む 4 マルウェアがユーザが承認した正式取引のように不 正取引を実行する 5 不正トランザクションを検知し、アラートを送付す る 6 運び屋アカウントへの不正送金を銀行が防止する クライアント 1 3 4 運び屋アカウント 5 2 6 vToken インターネットバンキングサイト © F5 Networks, Inc. 36 不正トランザクション検知 挙動監視ポイント デバイスID クリック操作 ブラウザ上のイベント ストリーム タイミング 入力位置 マウス操作 キーボード入力 ブラウザ情報 トランザクションプロセス © F5 Networks, Inc. 1.) マウス位置が入力フォームにない 2.) “Amount”フィールドでの自動ストリー ム検知 819379 3.) “Make Transaction” をクリック せずに送金リクエストが発生 [0,0] $32,459 REAL-TIME ALERT “WebSafe Transaction Protection: user John_Smith, Transaction ID: 21394; 100% automated” 37 不正トランザクション検知 マウス操作やENTER KEY操作が 無かったイベントの例 © F5 Networks, Inc. 38 4.フィッシングサイト検知 5 REAL-TIME ALERT “Phishing Site Detected” 4 偽サイト 2 攻撃者 1 vTrack 3 クライアント フィッシングサイト 実サイト ① 攻撃者がインバン・ウェブサイト をvTrackも含めてダウンロードす る ② 攻撃者が偽ウェブサイトを違う サーバにアップロードする ③ 利用者は迷惑メールなどでフィッ シングサイトに誘導される ④ フィッシングサイトにアクセスす るとアラートが飛ぶ ⑤ SOCから通信事業者やホスティン グ事業者に対して通報する vTrack インターネットバンキングサイト © F5 Networks, Inc. 39 フィッシングサイト検知 マルウェア感染検知およびアラート 攻撃されたユーザ名をレポート フィッシングサイトを4-8時間以内テーク ダウン(SOCのオプションサービス) フォレンジック情報の収集 © F5 Networks, Inc. 40 WebSafe機能実装の一般的な例 利用者の操作性を変えることがない インターネットバンキングのアプリケーションを改修する必要がない 各ページに検知・保護機能を実装し、不正送金を行うマルウェア活動 を可視化 対象ページ 有効化を推奨するWebSafe機能 ログインページ マルウェア検知 アプリケーションデータ暗号化 フィッシング検知 ログイン後のページ マルウェア検知 フィッシング検知 送金処理ページ マルウェア検知 アプリケーションデータ暗号化 不正トランザクション検知 • 上記はあくまで参考例です。実際のアプリケーションの内容と運用要件によっ てコンフィグレーション可能です。 © F5 Networks, Inc. 41 共通機能:アラート処理の自動化 WebSafeによって検知したイベントの処理 ① iRule(トラフィック処理のスクリプト)を使ってBIG-IP上でアラート処理。警告画面等 をブラウザに表示 ② WebSafeアラートサーバのREST APIを用いてAlert処理。送金処理を制御 BIG-IP Platform iRule ! 警告ページの表示 別ページへの誘導 © F5 Networks, Inc. Alert インターネッ ト バンキング システム REST API F5 WebSafe Alertサーバ お客様 バックエンド 処理システム 42 iRuleを使ったアラート処理例 WebSafe Alertの内容をログ WebSafe Alertイベント発生時のリダイレクトするiRuleの例 Alert_score = 100% の場合 ユーザブラウザ上にて 別ページ(alert.html)へ誘導 *:重要度の高いアラートやユーザ名(ログインID)に絞った 処理を行う等、柔軟な処理が可能 *:外部アプリケーションにアラート情報を送ることも可能 セキュリティ上の 理由で一時お取引 を中断しました お問い合わせ先: ○○銀行お客様 コールセンター © F5 Networks, Inc. 43 共通機能:WebSafeモジュールの耐タンパー性 WebSafeのJavaScriptをリバースエンジニアリング(解読)したり削除すること よる無効化対策 解読対策 難読化、暗号化、ランダムロケーションによるリバースエンジニアリング対策 難読化ロジックは24時間毎に変更 コード削除による無効化 削除など無効化されたことを検知する保護機能とセッション管理ロジックにより実現 BIG-IP Platform インターネッ ト バンキング システム WebSafeコードを 削除するなど無効化すると検知 © F5 Networks, Inc. 44 共通機能:WebSafeモジュールのアップデート WebSafeが利用するマルウェアシグネ チャと検知ロジックのアップデート 常に最新の保護機能を利用可能 BIG-IP管理コンソールからアップ デート可能 自動アップデート設定も可能 © F5 Networks, Inc. 45 F5 セキュリティオペレーションセンター F5 セキュリティオペレーションセンター(SOC) 常時監視して対応 • 24x7x365 F5 SOC解析チームがお客 様のセキュリティチームに代わって監 視します • WebSafeコンポーネントを常に監視 • リアルタイムのアラート送信 • 詳細なインシデントレポートの作成 • グローバルで発生する新たな脅威を調 査・分析 • Neverquest, Dyre, Tinbaなど主要な Fraud Transactionマルウェア • フィッシングサイトのTake-down (サイト封鎖)を実行(オプション) © F5 Networks, Inc 47 F5 SOC: フィッシングサイト・テークダウン・サービス 金融機関のブランドと個人情報を侵害するフィッシングサイトを特定 F5 SOCチームによる監視と対応により 提供(別サービスとしてオプション) • 攻撃の調査と分析レポートの提供 • 数々のISP、フィッシング対策団体、 国際的な機構との連携を活かして、 不正なサイトを迅速に封じ込め (テークダウン)、対応策の推奨を 提供 © F5 Networks, Inc 48 SOCサービスの価値と優位性 24X7 エキスパートによる 不正送金活動の監視 迅速なフィッシングサイトの 封鎖 SIEMやリスク管理 システムとの連携 最新の脅威情報を提供 サービスインまでの 時間を短縮 不正送金による 被害を削減 ワールドワイドをカバーするサポートチームとプロフェッショナルサービスによる支援 © F5 Networks, Inc. 49 F5 SOC Report – Neverquest Injection設定例 マルウェアによりキャ プチャされたパスワー ド WebSafeで対応 • インジェクション検知 • リアルタイム暗号化 © F5 Networks, Inc. https://devcentral.f5.com/articles/f5-soc-malware-summary-reportneverquest 50 F5 SOC Report – Dyre(Dyreza) 2014年頃から広まっているウイル ス インターネットバンクだけではな く、 SaaSサイトなども標的にする 攻撃者が不正はプロキシ経由で通信 されることによって、ID情報を盗 みとる F5 WebSafeで対応 リアルタイム暗号化 マルウェア検知 (カスタムシグネチャ作成) https://devcentral.f5.com/articles/dyre-malware-ana © F5 Networks, Inc. 51 BIG-IP上での設定方法概略 設定手順概要 WebSafe ライセンス有効化 Anti-Fraudプロファイル作成 URLリストの作成 WebSafe機能の設定 保護したいURL毎に設定 • マルウェア検知 • リアルタイム暗号化 • 不正トランザクション検知 • フィッシングサイト検知 パラメータ設定 Anti-Fraudプロ不アイルを Virtual Serverに設定 © F5 Networks, Inc. iRule 作成 (必要に応じて) 53 1) WebSafeを有効化するURLリストの作成 © F5 Networks, Inc. 54 2) 各URL毎にWebSafe有効化するオプションを指定 © F5 Networks, Inc. 55 3) パラメータ毎にオプションを設定 © F5 Networks, Inc. 56 4) バーチャルサーバにWebSafeのプロファイルを適応 © F5 Networks, Inc. 57 設定後のログインリクエストのPOSTキャプチャ WebSafe設定前 WebSafe設定後 アプリケーションになんら変更無しにPOSTデータの漏洩対策が可能 パラメータ名の難読化 パスワードの暗号化 © F5 Networks, Inc. 58
© Copyright 2024 ExpyDoc
