レポート上位5つのネットワーク攻撃の分析: 犯罪者の視点 McAfee is now part of Intel Security. 犯罪者と攻撃の内容をよく理解するデータ侵害は頻繁に発生し、収まる気配はありません。巧妙な犯罪者は高度な技術を駆使し、盲点を突いてネットワークへの侵入を試みています。このような深刻な事態を解決するには、ネットワークを変更し、敵を良く知る必要があります。敵をよく知り、セキュリティを強化このレポートでは、犯罪者が好んで使用する5つのネットワーク攻撃に対して行ったフォレンジック分析の結果を紹介します。犯罪者の視点、セキュリティプロファイルを動的に維持する方法、侵害の可能性と被害を最小限に抑える方法についても説明します。驚くべき数字 76% Black Hat 2014で高度なマルウェアが大きな問題だと考えている参加者1 脅威対策に週に10時間以上を費やしている参加者1 37% 2 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. ネットワーク攻撃でよく使われる方法 2015年第1四半期だけで5,400万件を超えるネットワーク攻撃が発生2 1 ブラウザー 20,065,148 2 回避技術 3 3,759,247 7% ステルス型 4 4,852,620 9% SSL 3,150,999 6% 54,627,468 36% 2015年第1四半期に発生したネットワーク攻撃 2 5 42% ネットワークの悪用 22,799,454 上位5つのネットワーク攻撃の分析: 犯罪者の視点| 3 1 ブラウザーが入口にブラウザー攻撃ユーザーがWebを使用する場合、セキュリティに関する意思決定はITの手から離れます。犯罪者はこのことをよく理解し、フィッシング詐欺メール、ソーシャルエンジニアリング、ドライブバイダウンロードなどでユーザーをし、データを盗み出そうとします。これは数当てゲームと同じで、遅かれ早かれ、犯罪者の術中にはまることになります。 U RL この脅威を阻止するには、固定されたセキュリティソリューションではなく、動的なセキュリティソリューションを使用する必要があります。セキュリティ要件の変化に合わせて拡張可能で、保護対象に応じて強化できるソリューションを使用するべきです。 87%増加 2013年から2014年にかけて不審なURLが急増3 URL 8,200万件 2014年に新たに見つかった不審なURL3 犯罪者の視点「攻撃を阻止する新しい製品がでてきても、それを打ち破る自身がある。問題は技術ではなく、ユーザーにある。ユーザーをすのは簡単なことだ。」ハッカーの特徴: 窃盗得意分野: JavaScript、Flash、ソーシャルエンジニアリング 4 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. 攻撃手段: ブラウザー目的: ボットネットの構築無知なユーザーほどしやすいハッカーは、不正なコンテンツを見るユーザーが必ずしもセキュリティの専門家ではないことを知っています。マルウェアが潜んでいるユーザーの操作性を向上させるため、ブラウザーはファイルなどのコンテンツをキャッシュに格納します。知識のないユーザーではマルウェアに気づくことはできません。不注意なユーザーが攻撃を受ける攻撃者は、不正なペイロードを密かに転送し、マルウェアのスクリプトを実行します。特徴と対策ブラウザー攻撃の特徴対策不用意な操作を防ぐ WebコンテンツとURLフィルタリングを使用しましょう。Webの脅威からユーザーを保護するだけでなく、ポリシーの設定も簡単になります。詳細な分析を行う最新の脅威を防ぐには、JavaScriptやAdobe Flashなどの多機能なブラウザーコンテンツに潜むマルウェアを検出する必要があります。意図を突き止める万全な保護対策を実施するには、エミュレーションでブラウザー環境をシミュレートする必要があります。これにより、受信ファイルの意図を迅速に把握できます。全体的な視点から判断するポイントソリューションは止めましょう。要件に合わせて拡張できる次世代のソリューションを使用しましょう。上位5つのネットワーク攻撃の分析: 犯罪者の視点| 5 2 欠陥があれば狙われる検出回避攻撃セキュリティソリューションは以前よりも洗練され、高度なものになっています。しかし、攻撃者の技術も同様に向上しています。巧妙な犯罪者が現在利用している回避技術も以前にはなかった問題です。インフラのあらゆるレベルの脆弱性が狙われています。犯罪者は回避技術を駆使してネットワークデバイスに侵入し、侵入の痕跡を隠しています。データを狙う攻撃者は、回避技術の向上に躍起になっています。防御を破るには、セキュリティ対策と戦わないことが最適な方法であることを犯罪者は知っています。 22% 過去12か月以内にネットワークが侵入されたと回答したCIOとセキュリティマネージャー 40% 63% しかし AETで侵害が発生したと考えている回答者 4 AETの存在と被害について経営幹部の理解を得るのが難しいと答えた回答者 39% AETを検出/追跡する手段がないと答えた回答者犯罪者の視点「ほとんどの標的は回避技術を重視していない。見えないものは忘れられる。これを利用するのが私の攻撃スタイルだ。」ハッカーの特徴: イノベーター得意分野: ネットワーキング、マルウェアの作成 6 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. 攻撃手段: 回避技術目的: エンドポイントの乗っ取り、ボットネットの構築配信時に存在を隠す巧妙な攻撃者は、高度な回避技術（AET）を使用して検出を回避します。ファイル（マルウェア）のパケットを分割し、パターンを調査できないようにします。休眠状態にして分析を回避するクローズした環境で不審なファイルの挙動を詳しく分析するサンドボックスを回避するため、不正なファイルでサンドボックスを認識し、その中ではサイレント状態を維持します。特徴と対策検出回避の特徴コールバックで存在を隠すセキュリティデバイスを回避するため、高度なマルウェアはエンドポイントに侵入後、異常な動作を実行せず、コールバック接続をランダム化して不正な活動を継続します。対策隠れた配信パターンを検出する開始から終了までネットワークセッション全体を追跡し、検査することで、回避技術を利用した複雑なパターンを検出し、ブロックできます。分析能力を高めるファイルに潜むマルウェアのコードを検査し、サンドボックスを強化することで、隠れている不正な動作を検出し、検出率を高めることができます。コールバックを追跡するインテリジェントな接続追跡を行い、隠れているコールバックパターンを学習し、ブロックします。ネットワークトラフィックを元のエンドポイントプロセスを接続することで、通常のアプローチでは検出されない不正な接続をピンポイントで特定できます。実績を重視する防御を計画するときに、回避技術の阻止に実績のある技術とソリューションを実装してください。経験に勝るものはありません。上位5つのネットワーク攻撃の分析: 犯罪者の視点| 7 3 すべてが知られているステルス型攻撃昨年、オンライン犯罪でハッカーが取得した金額は25億ドルといわれています5。このため、ネットワークに侵入する試みは以前にも増して高まっています。独立したソリューションを組み合わせても複雑で高度な脅威は阻止できません。攻撃者は標的の弱点を調べ上げ、セキュリティ状況を把握し、自身の存在を巧妙に隠します。このような攻撃を阻止するには、セキュリティネットワーク全体で組織的な取り組みを行う必要があります。 1,367件 2013年に確認されたセキュリティ侵害6 4社 /日知的財産の流出 1日4社の割合で知的財産の流出が発生6 犯罪者の視点「企業が多額の費用をかけて整備したインフラを使えなくするのは楽しいことだ。攻撃の痕跡が残っても簡単に検出されない。管理者が攻撃に気づいた頃はすでに手遅れだ。」ハッカーの特徴: 利益追求得意分野: 侵入計画の立案 8 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. 攻撃手段: ステルス型攻撃目的: 知的財産偽装するステルス型攻撃は、標的のエンドポイントに到達するまで攻撃の意図を隠します。調査を行う攻撃者は、標的に対する調査を数か月間行い、ネットワークやインフラの情報を収集します。個人所有のデバイスを狙う攻撃者は、保護レベルの低いBYODを狙い、保護されたネットワークへの侵入を試みます。特徴と対策ステルス型攻撃の特徴継ぎ接ぎ環境の弱点を狙う作業負担の多いITスタッフは、標的型攻撃のかすかな兆候を見逃しがちです。対策未知の攻撃を検出するサンドボックス技術で受信ファイルの意図を確認することで、未知のステルス型マルウェアを検出できます。相関分析を行う境界にあるすべてのネットワークセキュリティデバイスをサンドボックス技術に接続し、間をなくす必要があります。統合された保護システムを構築するすべてのセキュリティデバイスで情報をリアルタイムで共有し、データの孤立を防ぐ必要があります。既存の枠組みにとらわれない個々の技術で攻撃を識別できる場合でも、高度な脅威や侵害を防ぐには統合アプローチでコンテキスト情報を共有する必要があります。上位5つのネットワーク攻撃の分析: 犯罪者の視点| 9 4 いたる所に危険が潜む SSL攻撃攻撃の阻止では可視性が重要になります。安全な通信の基礎となっているのが SSLと暗号化ですが、この基盤を悪用する攻撃が発生しています。検出を回避するために、ネットワークですでに利用されている暗号化チャネルを悪用する手口は防御手段を逆手にとった巧妙な攻撃といえます。このような攻撃を阻止することもできますが、検査機能とネットワークパフォーマンスのバランスをとる必要があります。これは簡単なことではありません。 2,400万件 2014年にマカフィーが検出したSSL攻撃 SSL攻撃はHeartbleedの大量発生で2014年第3四半期から第4 四半期にかけて急増7 犯罪者の視点「暗号化されたトラフィックに隠れるのも良い方法だ。このようなトラフィックを検査できる機器をえている企業は少ない。検出できないので簡単に攻撃できる。」ハッカーの特徴: 効率追求得意分野: 暗号化、アプリケーションの脆弱性 10 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. 攻撃手段: SSL/暗号化目的: 利益追求問題は拡大している暗号化は多くのビジネスアプリケーション（クラウド、ソーシャルメディア）で使用されています。隠に利用できる場所は様々なところに存在します。オンプレミスの検査を回避する不正なファイルやペイロードが暗号化されて配信されるため、オンプレミスの検査で検出されません。無防備な状態脅威が検出されないSSL接続を利用することで、初歩的な手法でも攻撃に成功します。特徴と対策 SSL攻撃の特徴対策可視性暗号化トラフィックの可視性を強化する必要があります。バランス暗号化されたトラフィックを検査することで、ネットワークのパフォーマンスを低下させることはできません。重要なネットワークセグメントのスループットは維持する必要があります。統合による機能強化他のセキュリティ技術と統合して、隠れた攻撃を検出できる高度な機能を実装する必要があります。上位5つのネットワーク攻撃の分析: 犯罪者の視点| 11 5 急所を突いてくるネットワークの悪用どの企業も日々の業務でインターネットが不可欠な存在になっています。自社の Webサイトが突然消えたら、どうなるでしょうか。大きな影響があることは間違いありません。犯罪者もこの点を見逃しません。ネットワーク攻撃の中でもネットワークとリソースの悪用は多発しています。このような攻撃を正確に検出することは容易ではありません。攻撃には標準のトラフィックが使用されるため、トラフィック自体に異常な点は見られません。注意深く監視する必要があります。 DDoS 1億900万件 2014年に検出されたDDoS攻撃8 6,200万件 2014年に検出された総当り攻撃9 犯罪者の視点「ビットコインで$6あれば、DDoSツールをレンタルして大半のサイトを停止させることができる。 Webサーバーに送信するパケットのタイプを間違えなければ、サイトをクラッシュさせるのは簡単だ。」ハッカーの特徴: ウィンドウ破り得意分野: ネットワーキング、Webサーバー 12 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. 攻撃手段: ネットワークの悪用目的: ハクティビズム、妨害活動大量の要求や不正な要求を受信 DDoS攻撃が発生すると、サーバーは大量の接続要求や細工された接続要求を受信します。大量のリソースを消費サーバーのリソースが大量に消費され、正常なトラフィックの処理ができなくなります。真の目的を隠すバックドアを作成するときに、IT管理者の注意をそらすためにDDoS攻撃を実行する場合も少なくありません。特徴と対策悪用の特徴人質をとる DDoS攻撃で身代金が要求される場合があります。対策トラフィックを分析するオンプレミスで詳細なパケット検査を行い、Webサーバーを攻撃するトラフィックを特定する必要があります。トラフィックの量に注意するトラフィックパターンのかな変化も見逃さないように、トラフィックの量を監視する必要があります。可視性を強化する暗号化されたトラフィックを悪用する攻撃もあります。SSLの可視性を強化してください。より効果的でスマートなセキュリティを実装するトラフィックフィルタリングと最高の検査機能を統合し、最高の保護対策を実現してください。上位5つのネットワーク攻撃の分析: 犯罪者の視点| 13 セキュリティ対策の見直し侵害事件が頻繁に発生し、多くの企業でセキュリティの強化が課題となっています。このような問題を解決するには、考え方を変え、ネットワークセキュリティを見直す必要があります。新しいものが最適だとは限らないまず、議論を始めましょう。直面している問題を把握し、この5つの攻撃を阻止する方法を検討することが重要です。新しい技術を導入しても問題が解決するとは限りません。ギアを追加しても、脅威のベクトルは減りません。既存のセキュリティソリューションを見直し、統合を検討するべきです。攻撃を防ぐには脅威は常に変化しています。要件に合わせて拡張できるプラットフォームが必要です。このようなプラットフォームを検討する場合には、技術に投資し、実績のあるベンダーを選ぶべきです。詳細 www.mcafee.com/jp/products/network-security/index.aspxでIntel Securityが提供するイノベーションの詳細をぜひご覧ください。また、このレポートの情報を使用して、セキュリティの見直しを行ってください。#犯罪者の視点でディスカッションに参加できます。ネットワークセキュリティのリンク 14 | 上位5つのネットワーク攻撃の分析: 犯罪者の視点. Intel Securityについて McAfee is now part of Intel Security. Intel Securityは、Security Connected戦略、セキュリティにハードウェアを活用した革新的なアプロ―チ、また独自のGlobal Threat Intelligenceにより、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評あるセキュリティソリューションやサービスを提供しています。Intel Securityは、マカフィーの優れたセキュリティ技術とインテルの革新性と信頼性の融合により、すべてのアーキテクチャとコンピューティングプラットフォームにセキュリティを統合します。Intel Securityは、すべてのユーザーが日々の生活でも職場でも、デジタル世界を安心して利用できるようにすることを目指しています。 www.intelsecurity.com 上位5つのネットワーク攻撃の分析: 犯罪者の視点| 15 McAfee. Part of Intel Security. 東京本社〒 150-0043 東京都渋谷区道玄坂 1- 12- 1 渋谷マークシティウェスト 20F TEL 03-5428-1100（代）FAX 03-5428-1480 西日本支店〒 530- 0003 大阪府大阪市北区堂島 2-2-2 近鉄堂島ビル 18F TEL 06-6344-1511（代）FAX 06-6344-1517 名古屋営業所〒 450-0002 愛知県名古屋市中村区名駅 4-6-17 名古屋ビルディング 13F TEL 052-551-6233（代）FAX 052-551-6236 福岡営業所〒 810- 0801 福岡県福岡市博多区中洲 5-3-8 アクア博多 5F TEL 092-287-9674（代） www.intelsecurity.com 1. 2. 3. 4. 5. 6. 7. 8. 9. Black Hat 2014カンファレンスの参加者にIntel® Securityが実施した調査結果 McAfee Labs脅威レポート 2015年第1四半期 McAfee Labs脅威レポート 2014年第4四半期 http://www.mcafee.com/jp/resources/reports/rp-security-industry-dirty-little-secret.pdf http://www.darkreading.com/russian-hackers-made-$25b-over-the-last-12-months-/d/d-id/1316631 Verizon, 2014 Data Breach Investigations Report（Verizon 2014年度データ漏洩/侵害調査報告書） McAfee Labs脅威レポート 2014年第4四半期同上 McAfee Labsの攻撃データ（2014年第1四半期から第4四半期） IntelおよびIntelのロゴは、米国法人Intel Corporationまたは米国またはその他の国の関係会社における登録商標です。McAfeeおよびMcAfeeのロゴは米国法人McAfee, Inc.または米国またはその他の国の関係会社における登録商標または商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。本資料は情報提供を目的としています。ここに記載されている製品計画、仕様、説明は予告なしに変更される場合があります。本資料の内容について弊社はいかなる保証も行いません。Copyright © 2015 McAfee, Inc. 61702rpt_anatomy-network-attack_0715_wh