IoT 時代と 高度サイバー攻撃 2015年12月2日 JPCERT コーディネーションセンター 洞田慎一 目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1 Copyright©2015JPCERT/CC All rights reserved. はじめに 2 Copyright©2015JPCERT/CC All rights reserved. 「JPCERT/CCをご存知ですか?」 JPCERT/CCとは 一般社団法人 JPCERTコーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネーションセンター 日本国内のインターネット利用者やセキュリティ管理担当者、ソフ トウエア製品開発者等(主に、情報セキュリティ担当者)がサービ ス対象 コンピュータセキュリティインシデントへの対応、国内外にセンサ をおいたインターネット定点観測、ソフトウエアや情報システム・ 制御システム機器等の脆弱性への対応などを通じ、セキュリティ向 上を推進 インシデント対応をはじめとする、国際連携が必要なオペレーショ ンや情報連携に関する、我が国の窓口となるCSIRT(窓口CSIRT) CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT、韓国のKrCERT/CCなど) 経済産業省からの委託事業として、サイバー攻撃等国際連携対応調 整事業を実施 3 Copyright©2015JPCERT/CC All rights reserved. 「JPCERT/CCをご存知ですか?」 JPCERT/CCの活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 情報収集・分析・発信 インシデントハンドリング 未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼 関係機関と連携し、国際的に情報公開日を 調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適 切な流通 ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供 マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確 認、拡散抑止 再発防止に向けた関係各関の情報交換及び 情報共有 定点観測(TSUBAME) 早期警戒情報 CSIRT構築支援 制御システムセキュリティ 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 制御システムに関するインシデントハンドリング、情報収集・分析発信 アーティファクト分析 マルウエア(不正プログラム)等の攻撃手法の分析、解析 国内外関係者との連携 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国際連携 4 (インシデント対応調整支援) Copyright©2015JPCERT/CC All rights reserved. 各種業務を円滑に行うための海外関係機関との連携 JPCERT/CC に報告されるインシデント インシデントの概要 制御システム 標的型攻撃 DoS 1% 0% 1% その他 9% JPCERT/CC 対応 インシデントの内訳 (2015年4-9月) JPCERT/CC インシデント報告対応レポートより https://www.jpcert.or.jp/ir/report.html マルウエア 4% フィッシング 13% Web サイト改ざん スキャン 56% 16% 様々なインシデントが報告されています 高度サイバー攻撃 (標的型攻撃) など、複雑なインシデントも継続して 観測しています 5 Copyright©2015JPCERT/CC All rights reserved. インシデントに対策していくには? 攻撃:コストとベネフィット —攻撃にもコストが必要 (攻撃インフラ、ツール等) —環境を改善しない限り攻撃は終わりません costs costs benefits benefits 攻撃にかかるコストを上げて行くには —組織だけの対策だけではなく、 情報の公開や、共有も重要 JPCERT/CC からの情報発信 —注意喚起や早期警戒情報 —脅威に関する情報を分析し 情報共有することで、 攻撃を防ぐように努めています 6 Copyright©2015JPCERT/CC All rights reserved. 攻撃情報の共有 ・攻撃手法、 特徴 攻撃を検知! 組織ではどう対応したらよいのか? インシデントが発生する主な背景 —利用者の注意や確認の不足 —脆弱性に対する攻撃者と利用者の知識の差 多くは、修正済みの脆弱性が悪用されています 攻撃者も被害者も「人」 —マルウエアは道具、脆弱性は知識 運用を改善することや、体制を見直すことは有効策 攻撃を受けにくくするには —基本的な対応は必須 (ウイルス対策ソフト等による対策) —ソフトウエア・ハードウエアの管理・更新 —運用を改善 —情報収集・共有 7 Copyright©2015JPCERT/CC All rights reserved. 脆弱性情報やアップデート情報の提供 JPCERT/CC では、脆弱性の情報や、アップデートに関する情報を提供して います 注意喚起 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) 注意喚起 — 組織で利用されている主要なソフトウ エアについての更新情報等を注意喚起 として配信しています Microsoft Windows Adobe Acrobat / Reader / Flash Player Oracle Java ISC BIND など その他の公開情報 — Weekly Report — 分析レポート — 詳しくは、https://www.jpcert.or.jp/ まで 8 Copyright©2015JPCERT/CC All rights reserved. 脆弱性情報や対策情報の提供 脆弱性対策情報ポータルサイト Japan Vulnerability Notes (JVN) https://jvn.jp/ 情報を定期的に確認し、アップデートなど必要な対策をとることが重要です 9 Copyright©2015JPCERT/CC All rights reserved. 脆弱性ハンドリング ハンドリングの全体像 海外の 情報源 ネット上 の情報 海外 発見者 脆弱性の検証 対策の作成 通知 CERT/CC 国外 メーカ 収集 通知 通知 CPNI CERT-FI 等 海外の 情報源 脆弱性情報 の報告 脆弱性の 発見者 IPA 通知 JPCERT/CC 通知 対策情報の とりまとめ 該当する メーカを抽出し 情報配信 受付 分析 CVE# 採番 CERT/CC : CERT Coodination Center http://www.cert.org/ CPNI : Centre for the Protection of National Infrastructure http://www.cpni.gov.uk/ CERT-FI : http://www.cert.fi/ MITRE : http://cve.mitre.org/ Copyright©2015JPCERT/CC All rights reserved. 対策情報 の提供 企業 ユーザ メーカ 2 メーカ 3 SIer メーカ 4 ISP メーカ 5 JVN (脆弱性情報ポータル) MITRE 10 脆弱性情報 の開示、 公表日程 の調整 エンド ユーザ メーカ 1 日程を 日程を 合わせて 合わせて 公表 公表 小売 マスコ ミ 情報の収集・分析・発信 脆弱性への対応 対策済みの脆弱性として公開 (通常のケース) 脆弱性 報告者 開発者 調整 機関 利用者 修正プログラム 対応未然の脆弱性として公開されてしまうケース 脆弱性 報告者 攻撃者 公開や 売買 Exploit / マルウエア 利用者 いつ、どこに情報が公開されるか解らない 情報の収集・分析・発信が極めて重要 必要としている人に、必要な情報を届ける 注意喚起 早期警戒情報 11 Copyright©2015JPCERT/CC All rights reserved. 例:Adobe Flash Player の未修正の 脆弱性に関する注意喚起 (7/13) 情報収集・分析・発信例 Hacking Team のデータ流出と悪用 事象 Day 7/5 Sun データ流出発生 7/6 Mon 7/7 Tue Adobe Flash Player の exploit が発見され公開される 7/8 Wed マルウエアによる被害 7/9 Thu Adobe Flash Player のアップデートを公開 注意喚起 7/10 Fri 7/11 Sat 新しい exploit が発見され公開される 7/12 Sun 7/13 Mon マルウエアによる被害 7/14 Tue 7/15 Wed 12 Adobe Flash Player のアップデートを公開 Copyright©2015JPCERT/CC All rights reserved. 注意喚起 脆弱性を放置しない運用を心掛けましょう 脆弱性をそのままにしておくと —マルウエアの感染等のインシデントに繋がります サイバー攻撃の被害に遭うリスクが高まります 「これくらいは、大丈夫だろう」から、「被害に遭うか もしれない」という運用へ —ハードウエアやソフトウエアの管理 —管理方法及び体制の整備 —セキュリティに関する教育 特に様々な開発者・利用者が想定される IoT においてセキュリティに対する Human Factor の影響は極めて大きいと考え られます 13 Copyright©2015JPCERT/CC All rights reserved. IOT セキュリティへの熱い視線 14 Copyright©2015JPCERT/CC All rights reserved. IoT セキュリティへの熱い視線 BlackHat / DEF CON / USENIX 等におけるセキュリティ 研究者の熱い視線 —Internet of Things (IoT) 、制御システムに関する話題 —スマートフォン (Android, iOS) に関する話題 PC やネットワークを超え、 社会インフラに影響を与える攻撃を示唆 —自動車、衛星位置情報、携帯、照準器、 産業用制御システム など —脆弱性への対応姿勢に対する警鐘 セキュリティを考慮した設計の検討 脆弱性に対処するまでの時間 IoT などの非 PC 環境のフロンティアにセキュリティの関心 15 Copyright©2015JPCERT/CC All rights reserved. ネットワークの接続ポイントが主な攻撃対象 ネットワークは便利であると同時に攻撃者も接続 —端末が持つ脆弱性の悪用 —中間者攻撃によるサービスの悪用 テレマティクス端末 例:OnStar 例:Uconnect ネットワーク 攻撃者 クラウドサービス 遠隔の第三者からの攻撃に脆弱 問題:利用者、デバイス以外の第三者の存在が想定されていない 16 Copyright©2015JPCERT/CC All rights reserved. 産業用スイッチの対応事例 産業用スイッチベンダーに見る対応の違い C. Cassidy et.al, “Switches Get Stitches”, BlackHat USA 2015 / DEFCON 23. 指摘された脆弱性は、 Web インタフェースにおける XSS や、 秘密鍵 (パスワード) ハードコードなどの問題 OpenGeer 1 週間足らずで修正 Seimens 3ヶ月 General Electronic 8ヶ月 早さだけが問題ではありません Seimens SCALANCE X200 —設計の段階から、セキュリティへの考慮が十分でない? —高度サイバー攻撃で、もし利用されたら? ソフトウエアの品質と、改修スピードが問われています 17 Copyright©2015JPCERT/CC All rights reserved. TSUBAME がとらえた制御システムへの攻撃 産業制御システムで使用される PLC の脆弱性を標的と したアクセス — インターネット定点観測システム (TSUBAME) インターネット上の攻撃動向を観測するためのシステム https://www.jpcert.or.jp/tsubame/ — 機器・産業機器がネットワークに繋がりつつあります — 産業制御システムがダメージを受けた場合、影響は大 インターネット 18 Copyright©2015JPCERT/CC All rights reserved. 産業用制システム プラント SHODANの ICS探索能力が向上 SHODANはインターネットに接続されたノード (IPアドレスを持つ機器)を検索するサービス 様々なプロトコルのリクエストを送信し、レスポンスについて IPアドレスをキーとしてDB化している 検索結果の地図上表示を追加 制御システム関連プロトコルの 処理コードや製品固有の シグニチャ等の提供を 受けて、制御システム関連の 探索能力が向上 Modbus、DNP3、Ethernet/IPなど 大手ベンダのSCADAやPLCが 利用するプロトコル 19 Copyright©2015JPCERT/CC All rights reserved. https://www.shodan.io/ IOT とサイバー攻撃 20 Copyright©2015JPCERT/CC All rights reserved. 制御システムにおけるインシデント 特定の産業を狙ったサイバー攻撃は、世界的にも複数観 測されています S. H. Houmb, “Protecting industrial control systems”, Control Engineering (2015). ICS-CERTインシデント統計 米ICS-CERT インシデント統計(米会計年度) 2010年 39 2011年 インシデント報告件数 140 2012年 197 2013年 2014年 245 0 50 100 150 200 250 ICS-CERT Year in Review 2014のデータを元にJPCERT/CCにて作成 https://ics-cert.uscert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2014_Final.p df 21 産業別内訳(カレンダー年) 257 Copyright©2015JPCERT/CC All rights reserved. 2014 300 年 79 0 65 50 Energy 100 14 12 6 5 15 13 150 200 Critical Manufacturing 36 250 制御システム環境でのスパイ活動 米国では2012年頃からエネルギー関連企業に対する サイバー攻撃が増加 情報窃取型の攻撃、業務妨害型の攻撃が混在 石油やガスパイプライン用の制御システムにアクセス された事例もある 現状では偵察目的で、甚大な被害を引き起こす攻撃の 準備段階であると推測されている 米国の電力供給事業者では、ほぼ毎日攻撃を受けている 事業者が十数社に上る状況 長期に渡って攻撃を仕掛けていることが特徴 22 Copyright©2015JPCERT/CC All rights reserved. 二つのマルウエア : Havex と BlackEnergy Havex 【概要】Dragonfly (Energetic Bear) が、欧米のエネルギー関連企 業を対象に攻撃 第二の Stuxnet とも 【目的】将来に向けたスパイ活動・ 妨害・破壊活動と推測される 【特徴】メールや水飲み場型攻撃、 Webサイト上の制御機器向け ソフトウエアの置き換えなど 様々な方法を利用する 【マルウエア】Havex RAT 制御機器 (ICS / SCADA) の情 報を調査する機能を有する遠 隔操作型のマルウエア 23 Copyright©2015JPCERT/CC All rights reserved. BlackEnergy 【概要】Sandwormが、制御システム を利用する組織を狙って攻撃 【目的】将来に向けたスパイ活動・ 妨害・破壊活動と推測 【特徴】SCADAソフトウエアの脆弱 性を突いて侵入を試みる ICS-CERTによると複数の企業 のHMIで感染が確認されている • ICS-CERT Alert (ICSALERT-14-281-01B) 【マルウエア】BlackEnergyの亜種 マルウエアがモジュール化 されている Dragonfly / Sandworm の攻撃者像 Dragonfly / Sandworm ともに高度サイバー攻撃 (標的型攻 撃) を行う攻撃グループとされています 【先進的(A)】 攻撃者は目的達成のため に必要な最小限のツール しか使用しません。その ため、一連のイベント自 体が「先進的」と見なさ れます。 【執拗な(P)】 攻撃者は ネットワーク上 に長期にわたって居座り続 けます。例えば、繰り返し アクセスを図り、複数年に わたってアクセスを維持す ることもあります。 【脅威(T)】 長期的な活動を実施するた めには技術だけではなくリ ソースが必要です。そのた め、国家等が活動を支援し ていることが疑われる場合 があります 高度サイバー攻撃の流れ - サイバーキルチェインモデル 準備 潜入 観察 マルウエア感染 横断的侵害 社内侵入 活動 被害発生 目的は必ずしも情報窃取だけとは限りません 24 Copyright©2015JPCERT/CC All rights reserved. Android 端末を使った高度サイバー攻撃 チベット、ウイグルの活動家に対する攻撃 (2013年3月) —標的型メールにより感染 —情報を窃取 Contacts (SIMと電話両方) Call logs SMS messages Geo-location Phone data (phone number, OS version, phone model, SDK version) K. Baumgartner, C. Raiu, D. Maslennikov (Kaspersky), Android Trojan Found in Targeted Attack https://securelist.com/blog/incidents/35552/android-trojanfound-in-targeted-attack-58/ 高度サイバー攻撃は、既に非 PC 領域に進出 25 Copyright©2015JPCERT/CC All rights reserved. おわりに 26 Copyright©2015JPCERT/CC All rights reserved. IoT は既にサイバー攻撃の前線に 組織のネットワークに接続する機器は、PC / 非 PC によ らずサイバー攻撃の対象となっている現実 —IoT はフロンティアであると同時に、セキュリティについ ても考慮をすることが既に求められています IoT に対する高度サイバー攻撃は、まだ進展する可能性 があります 準備 潜入 横断的侵害 自動車や制御システムの脆弱性 (BlackHat 等での発表) Havex / BE2 などの 武器化 マルウエア 展開 27 Copyright©2015JPCERT/CC All rights reserved. 活動 まだ観測されていない活動 サイバー破壊? すでにいろいろなモノが接続しています もはや、繋がっていない機器はない? — IPアドレス が付与された機器や、専用の制御網、あるいは USB などの人が介在する機器 Cyber3 Conference Okinawa 2015 における E. Kaspersky の発言 —IoT は、Internet of Things を超え、Internet of Threats へ —世界最大級の IoT として、 「CERN 加速器」に言及 IoT セキュリティの問題 モノのスケールが大きくなると Cyber-Physical Threat へと発展 28 Copyright©2015JPCERT/CC All rights reserved. CERN, http://home.cern/ 管理者・開発者のセキュリティ対策 IoT の脅威を現実のものとしないためには ① NW 管理者による対策 ② 開発者による対策 侵入をうけて当たり前というところから見つめる ① 「攻撃が来るはずがない。被害を受けても被害者であり、 攻撃者が悪い」 ② 「攻撃は来て当たり前。組織、顧客の情報を守るために は適切な対策が必要」 報告を受けてから考えるのではなく、事前からセキュリ ティ対策を施すことは、NW 管理者も開発者も同じく重要 開発に脆弱性はつきもの、完璧などあり得ない 実装の段階から、セキュリティを考えてみませんか? https://www.jpcert.or.jp/securecoding/ 29 Copyright©2015JPCERT/CC All rights reserved. 開発とセキュリティ 利便性と安全性、バランスはとれていますか? 利便性 手元で情報を入手できる いつでも好きな番組や音楽が視聴できる ICT により、「時間」と「距離」が縮まる 遠隔地にいても、看護ができる 安全性 個人情報の管理 不正なコンテンツの混入 遠隔の第三者からの攻撃 昼夜関係なく、世界中から攻撃に狙われる 子供からお年寄りまで、何らかのインターネットに繋がるデバイスを 所持・使用して生活 怖いから使わないでおくことは不可能 → 誰もがサイバー攻撃に巻き込まれる可能性 使用者だけでなく、開発者やサービス提供者の役割は大きい ・脆弱性への対処、安全対策、セキュアコーディング... 30 Copyright©2015JPCERT/CC All rights reserved. (参考)自己評価ツールの提供 制御システムセキュリティに関する各種調査、ツールの提供 — 制御システムやその管理体制等、制御システムのセキュリティへ の対策状況を「可視化」し、セキュリティへ取組むきっかけとし て活用いただくことを目的としたセキュリティ自己評価ツールを 工業会と連携して作成・提供 日本版SSAT(SCADA Self Assessment Tool) https://www.jpcert.or.jp/ics/ssat.html —約100問の短い設問で施策の達成状況や問題点を診断 —技術的施策から管理施策までの幅広くカテゴリをカバー J-CLICS https://www.jpcert.or.jp/ics/jclics.html —SSATをもとにした、制御システム向けセキュリティ自己評価ツール —チェックリストと補足ガイド —制御システム部門全体で取組むSTEP1と各担当者で取組むSTEP2 —SICE/JEITA/JEMIMAと一部のアセットオーナに協力いただき作成 31 Copyright©2015JPCERT/CC All rights reserved. 最後に 攻撃はセキュリティの甘いところが狙われています — 対応未然のセキュリティや、パッチ適用が遅れがちな システムは、攻撃者には魅力 — BlackHat, DEFCON 等、セキュリティ研究者が注目している IoT セキュリティの”先”を見つめてみる 新しいソリューションやサービスの開始と並行してセキュリ ティへの配慮が必要です — 開発者と利用者の他、攻撃者の存在を意識 — セキュアコーディングや、システム監査の活用 JPCERT/CC の活用 — 脆弱性ハンドリング、早期警戒情報、インシデント対応、 アーティファクト分析、制御システムセキュリティ — インシデントが起きる前からぜひご活用を! 32 Copyright©2015JPCERT/CC All rights reserved. お問い合わせ、インシデント対応のご依頼は JPCERTコーディネーションセンター ‒ Email:[email protected] ‒ Tel:03-3518-4600 ‒ Web: https://www.jpcert.or.jp/ インシデント報告 ‒ Email:[email protected] ‒ Web: https://www.jpcert.or.jp/form/ ご清聴ありがとうございました。 33 Copyright©2015JPCERT/CC All rights reserved.
© Copyright 2024 ExpyDoc
