インシデント対応の現場から見た、 サイバー攻撃に素早く対応できる組織とは? 2015年10月2日 NTTデータ先端技術株式会社 セキュリティ事業部 植草祐則 CISSP Copyright © 2015 NTT DATA Intellilink Corporation 標的型攻撃ブーム? Emdivi(エンディビ)と呼ばれる遠隔操作ウイルス被害が急増 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 2 公表された標的型攻撃と思われる事例(6/25時点) 公表日 被害を受けた団体 発覚 台数 攻撃手法 外部 指摘 情報流出(※1) 警察に相談 27 標的型メール ○ ○ ○ アンチ ウイルス 6/1 日本年金機構 6/9 石油連盟 数台 標的型メール ○ ○ 不明 6/10 東京商工会議所 不明 標的型メール ○ ○ 不明 6/13 国立精神・神経医療研究センター 不明 不明 ○ 可能性 不明 6/13 国立医薬品食品衛生研究所 1 不明 ○ ○ 可能性 ○ 6/15 健康保険組合連合会 10 不明 ○ ○ 可能性 ○ 6/16 JICA 18 標的型メール ○ 可能性 不明 6/16 上田市庁内ネットワーク 不明 不明 ○ (調査中) 不明 6/16 ひろしま国際センター 5 標的型メール ○ 可能性 指摘 6/17 協会けんぽ(全国健康保険協会) 4 不明 可能性 不明 6/17 海外産業人材育成協会 不明 標的型メール ○ 不明 6/17 JESCO 1 不明 ○ (調査中) 不明 6/19 香川大医学部付属病院 1 標的型メール ○ 可能性 指摘 6/22 早稲田大学 複数 標的型メール ○ ○ 不明 6/23 九州歯科大付属病院 1 標的型メール ○ 可能性 指摘 6/25 法務省 不明 不明 可能性 ○ (※1) 「漏えいは確認されていない」という報道は、「可能性は否定できない」と解する。 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 3 サイバー攻撃公表状況の特徴と得られる教訓 1. 初動対応し、情報漏えい等の詳細調査を開始したタイミングでの公表が 多い (16件中16件) • 調査完了、あるいは漏えいの事実が確認されるまで黙っているという選択肢は無くな りつつあり、迅速な初動対応と発表が求められている 2. アンチウイルスソフトが最初の攻撃を検知できていない(16件中13件) • 標的型攻撃では被害を受ける「前提」で、「被害に遭わない」から「被害を大きく しない」システム設計、組織構成にする必要がある 3. 外部からの「不審な通信が行われている」という指摘でウイルス感染に 初めて気づいたケースが多い (16件中12件) • • • NISCやJPCERT/CC、警察、通信事業者などからの通知 指摘を受け取る窓口を決め、迅速な行動を開始できる体制が必要 指摘を受けた後、速やかにログなどから事実確認できる仕組みも Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 4 サイバー攻撃 ~標的型攻撃メール~ 標的型攻撃メールの感染は、以下の2つのパターンがある A) マルウェアを添付して感染させるパターン B) メール本文中のURLでユーザを攻撃 用サーバへ誘導して、マルウェアを ダウンロード&感染させるパターン 攻撃用 サーバ 攻撃者 C&C サーバ 攻撃者 インターネット ① 攻撃メール送付 マルウェア 添付 ② 端末の脆弱性を 攻撃されて マルウェアへ感染 被害者 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation ③ 命令 RAT ④ 情報窃取 スパムメール送信 DDoS攻撃など 攻撃者 攻撃者 C&C サーバ ③ 攻撃コード 実行& マルウェアDL ② ⑤ 命令 インターネット ① 攻撃メール送付 RAT ⑥ 情報窃取 スパムメール送信 DDoS攻撃など URL Firewall Firewall ② URLへアクセス 被害者 ④ 端末の脆弱性を 攻撃されて マルウェアへ感染 5 標的型攻撃に対する「入口/出口対策」の限界 • 標的型攻撃では、パターン型のアンチウイルスソフトだけでは対応しき れない事が多い • 最近の標的型攻撃では毎回コンパイルしてアンチウイルスソフトが対応出来ない ウイルスを送りつけてくる 従来の「入口対策」だけでは防ぎきれない • RAT(リモートアクセス型トロイの木馬)に感染した場合、内部イントラ→外 部C&Cサーバーへの通信は通常のhttp/httpsアクセスになる事が多く、簡単に Webプロキシで通信を止められない • 例えば年金機構では国内の海運会社のサーバーが侵害された上で、C&Cサーバー の一つとして使用されていた • 標的型の最新のトレンドではC&Cサーバーに未知の国内アドレス/URLのものを 使用することが多い 従来の「出口対策」だけでは防ぎきれない Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 6 「不審な添付を開かない」ではもはや防御できない • 以前の不審なメールは「明らかに不審であることが判る」ものだった 以前の不審なメールの例 親愛なる電子メールユーザ、 あなたは、更新サービスの中心部から1新しいセキュリティメッセージを持っている。 読むには、ここをクリックして下さい。 よろしく • 最近、標的型のメールは流暢な日本語を使い、事前に攻撃対象を調査した上 でターゲットが不自然に感じないメールを送ってくるものが増えている 年金機構に届いた標的型メールの例 差出人:(実在する機構職員の名前) あて先:(非公開のメールアドレス) 件名:給付研究委員会オープンセミナーのご案内 添付:給付研究員会オープンセミナーのご案内.lzh ** ** 様 平成27年5月に**大学と企年協が共同で実施いたしました企業年金アンケート結果の報告会と意見交換会を下 記の通り実施いたします。 アンケートの集計結果に基づく報告会は、今後の企業年金の方向性を考えるうえでも、基金関係者にとって大い に参考になると思います。 会員の皆様の積極的なご参加をお願い申し上げます。 お申し込みは添付資料をクリックしてください。 もはや「不審とは思えないメール」が届く Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 7 標的型攻撃メールは「開いてしまう」という前提で • 標的型攻撃メールを「開けてしまった人」を責める傾向があるが、 100人いれば少なくとも1~2人は開けてしまうので、攻撃者の意図 は成就する • 標的型攻撃メールへの対策の全体の強度は、その標的型メールを開 けてしまう1~2人=全体の強度になる 標的型攻撃メールは開いてしまうものと考えて 「開いた後のアクション」が最も重要!! Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 8 報道などから見る日本年金機構の経緯 主なイベント • 4/22:厚労省年金局等に標的型メールが送られ感染する – C&Cサーバと通信するも厚労省統合ネットワークを監視するNISCが検知、遮断する。 – 厚労省統合ネットワーク運営業者が、C&Cサーバのサブドメインをブロック設定。 • 5/8:沖縄事務所でPC1台が標的型メールの被害に遭う – – – – メール中のURLをクリックするタイプ、アドレスは、外部に公開されていたもの URLをアクセスすることでDrive by Downloadでマルウェアに感染 NISCが監視するサイトに感染PCが通信し、NISCより厚労省経由で情報提供 PCからアドレス帳その他を窃取される、周辺2台に感染が広がる • 5/19-5/22:機構本部人事管理部で2台が標的型メールの被害に遭う – – – – 標的型メールは、添付ファイルのLZHに含まれる実行ファイル(.EXE)タイプなど 受信アドレスは外部非公開の職員個人アドレス(5/8の件に関連?) 周辺22台に感染が広がり、うち19台が大量の情報を外部サーバーに送信 5/28に949個のファイルに分割された125万件の年金情報漏えいを確認 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 9 初動対応で情報漏えいを止められたかもしれないポイント 1. 5/8のNISCからの不正通信の通知 不正通信が発覚した時点で、速やかな調査と対処を行ってい れば情報漏えいを防げる可能性があった 2. 5/18-22機構職員に約100通の標的型メール(4種類)が 届く 同一のメールが大量に、しかも実行ファイルを含む添付ファ イルが来た時点で対応していれば情報漏えいの拡大を防げる 可能性があった インシデント情報を集め、横断的に判断・対処する体制が 必要だったと考えられる Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 10 なぜCSIRTが必要なのか Copyright © 2015 NTT DATA Intellilink Corporation 11 教訓から • 外部からの連絡を確実に受け取る • 迅速な初動調査の指揮、実施 • 判断や外部への公表の支援をする • 外部からの信頼できる「窓口」 • セキュリティインシデント対応のコントロール • 適切な状況把握とレポーティング つまり、CSIRTと呼ばれる組織 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 12 NISCの指針から ちょっと古いですが・・・ NISCでは政府機関や重要インフラ分野につい てCSIRT組織率の向上を目指すとしている (P23) [重要インフラ分野とは?] 情報通信、金融、航空、鉄道、電力、ガス、 政府・行政サービス (地方公共団体を含む) 、医療、水道及び物流の10分野に属する「 重要インフラ事業者等」に対し、情報セキュ リティ確保において政府機関等における対策 に準じた取組を求めている。 これら事業者等においては、今後も更に取組 強化を行っていくことが必要である。(P20) サイバーセキュリティ戦略 (旧戦略:情報セキュリティ政策会議決定) http://www.nisc.go.jp/active/kihon/pdf/cyber-security-senryaku-set.pdf Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 平成27年版では企業全体に広げて取り組みの 推進を明記している(P12) その他、オリンピックに向けたCSIRTの整備 加速も記述されている(P39) 13 CSIRTの目的 • 「Computer Security Incident Response Team」 • セキュリティインシデントに関して、以下を目的として活動 する – ダメージを最小化し、対応をコントロールする – 効果的なレスポンスと回復の援助を提供する – 将来のインシデントの予防、ノウハウの蓄積を支援する • CSIRTをつくることは、組織がより迅速に、適切な対応を提 供することができるようになるための前向きな一歩となる CSIRTと宣言することによって、外部を含む他 組織との連携を推進する Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 14 CSIRTとは CSIRTは主に「インシデントマネジメント」を行う組織である CSIRT業務 様々な脅威 被害の未然防止 被害の極小化 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 目指す成果 15 CSIRTとは 昨今のセキュリティインシデントは単一組織での対応が困難な事案が増えており、 CSIRTは内外の様々な組織と連携して対応を進める役割も担う 社内 海外のCSIRT 日本のCSIRT 信頼の輪 日本のCSIRT 海外のCSIRT APCERT NCA •アジア/太平洋地域 •日本95チーム •National CSIRT 他CSIRTとの協力、 情報連携 組織内 CSIRT 経営層 CIO CISO システム運 用者 開発者 対策実施 TF-CSIRT •ヨーロッパ FIRST •EU •世界275チー ム以上 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 16 日本シーサート協議会 設立 • 2007年3月 • 95チーム(2015/09/01現在) 名称 • 正式名称: 日本コンピュータセキュリティ インシデント対応チーム協議会 • 略称:日本シーサート協議会 • 英語名:NIPPON CSIRT ASSOCIATION • Web: http://www.nca.gr.jp/ http://www.nca.gr.jp/ 使命 • 本協議会の全会員による緊密な連携体制等の実現を追及することにより、会員間に共通 する課題の解決を目指す • 社会全体のセキュリティ向上に必要な仕組みづくりの促進を図る Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 17 日本のCSIRTの状況 • 1992年 ボランタリーな活動 • 1996年 JPCERT/CC設立 • 2007年 NCA設立 7チーム • 2015年100チーム目前 日本シーサート協議会の会員数推移 ? 100 1.7倍に増加 80 95 1.5倍に増加 60 83 40 20 0 6 2007 13 2008 15 17 2009 2010 27 2011 31 2012 48 2013 2014 2015 日本シーサート協議会Facebookページより引用、追記 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 18 CSIRTが持つべき機能 Copyright © 2015 NTT DATA Intellilink Corporation 19 CSIRTが持つべき機能(情報共有) セキュリティ機器で行われつつある「脅威情報の共有」 →セキュリティ対応組織同士で行うと・・・・ セキュリティ 組織A 機器A 検知/ アクション 攻撃/ 侵入 情報共有 コミュニ Threat 情報共有 Database ティ セキュリティ 組織B 機器B 遮断 セキュリティ 組織C 機器C 隔離 セキュリティ 組織D 機器D 監視 ■個別に調査や対応するよりも、迅速に対処ができる ■個々の機器では検知する機能がない情報を相互に補完できる ■その脅威がやってくる前に「身構える」ことができる ■共有先の機器では、自身が検出する前に対処ができる Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 20 CSIRTが持つべき機能(サービス) 各施策を束ね、PDCAを回す施策が「継続」のために必要 基準適合 対処 (手段) 各業者 (設計へのFB) ISMS IR/CSIRT コンサル 体制構築 改善 脆弱性 各業者 (運用) Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation インシデント 診断 (確認) 平常時のサイクル 各業者 (設計へのFB) 各業者 (システム構築) /セキュリティ (仕組み) 情報セキュリティ インシデント演習 初動対応 各業者 (運用) インシデント 対応時のサイクル 21 CSIRTが持つべき機能一覧 平常時 外部委託可能なタスク ・情報収集 脆弱性 攻撃情報・事件事故 ・体制や手順のメンテナンス ・セキュリティ監査/アセスメント ・セキュリティ診断 ・アラート監視(SOC) ・ログ分析/監査(SOC) ・インシデント対応演習 インシデント発生時 CSIRT チームコア 【インシデント発生時】 意思決定(権限による) 経営層への報告 【平常時】 外部との交流 外部からのコンタクト窓口 (Point Of Contact) 周知・啓発 【共通】 組織のマネジメント タスクのコントロール Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 外部委託可能なタスク ・初動対応 ハンドリング トリアージュ ・本格対応 フォレンジックなどの分析 ・復旧作業 対策の検討と確認 (構築ベンダとの協調) ・再発防止 事案の整理、アドバイス 恒久対策の導出 22 CSIRTがあれば 対応能力 – チーム、機能が有ることによって、対応に注力できる – 迅速に、適切に、より協調性の高い対応ができる – インシデントハンドリング熟練者がいる、安定した組織 – 他チームやコミュニティーと連携して対応できる 事前対策 – 組織の事業目標への貢献 – 産業スパイ活動に備える – 製品開発部署あるいはネットワークオペレーション部署への情報提供 – 脆弱性評価、セキュリティポリシの開発 – セキュリティ意識向上トレーニングの支援 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 23 CSIRTがあれば 現在の攻撃は – 侵入から持ち出しまでの時間が短くなっており「時間との戦い」 – 持出を失敗させることで「防御」とするのが最終防衛ライン できうる対策 – NWやセグメント、ACLなど分離による多層防御の障壁を作り • 時間を稼ぐ • 失敗する(and/or発見される)可能性を高くする – 外部連携によって得た情報を使って侵入されたことを把握し • POCの明確化、各セキュリティ機関との連携窓口 • 「横の」情報連携による攻撃手法や状況の共有 – 自組織の状況を理解して情報セキュリティの観点から判断、対処 • CSIRTのような専門チーム、CISOなどの権限との連携で 継続的な活動による知見と経験の確保、信頼の獲得 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 24 CSIRTの構築 Copyright © 2015 NTT DATA Intellilink Corporation 25 体制の構築 体制の定義・構築 • 対象インシデント、提供サービスのスコープ定義 • 体制案の作成、合意形成、人材確保 • 役割の定義作成、明確化 • Forensicなど必要な知識の補強 インシデント対応手順整備 • トリアージュ手順書 • エスカレーション手順 必要システム等の洗い出し、構築 • 案件管理システム、情報配信システム • 検証環境等 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 26 メンバーに必要なスキル 組織内CSIRT 要員のヒューマンスキルについては、以下の能力及び 意欲を持っていることが求められる 【注意:組織内CSIRT及びIT部門では重視する能力・スキルにそれぞれ偏りがある】 • 組織内CSIRT : 他組織との連絡調整能力とセキュリティ関連スキル • IT部門: 主に担当しているネットワークやシステムに関する設計・設定の知識 分担や外注を上手に利用するべき 出典: JPCERT/CC「組織内CSIRTの要員」 https://www.jpcert.or.jp/csirt_material/files/04_staff_of_csirt.pdf Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 27 CSIRTの実装形態の例 大きく分けて以下の3種類がある 専任のメンバー 兼務のメンバー (バーチャルチーム) 特定の個人 出典:JPCERT/CC「CSIRTガイド」 https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0.pdf Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 28 実装の例 • 各組織の特性の違いから一歩距離をおいた判断をするために、独立組織であるべき • コアメンバを少数に絞り各部署からの仮想メンバでサポートすると立ち上げはスムーズ • CSIRTの位置付けや業務を社内に理解してもらう役割としての仮想メンバの存在 経営層 最小限の権限移譲 (スモールスタート) レポーティング ・判断の確認 部署横断仮想メンバ + 常勤コアメンバ(少数) CSIRT ・ネットワークの切り離し ・サーバ停止 など 対応指示 ○○事業部 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 商用システム 部門 情報システム 部門 29 形態や役割は様々 例えばNTTグループ 組織 役割 ① NTT-CERT (NTT持株) 「主にグループ企業(事業会社) の対応支援、技術支援」 ② NTT EAST-CIRT(NTT東日本) NTT WEST-CIRT(NTT西日本) DOCOMO-CSIRT(NTTドコモ) 「主に社内/通信サービス提供に おけるインシデント対応」 ③ NTTDATA-CERT (NTTデータ) 「主に社内/グループ内および自 社提供サービスの技術対応」 ④ IL-CSIRT (NTTデータ先端技術) 「社内およびお客様サイトのイン シデント対応」 Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 30 Intelli-CSIRTのご紹介 ■名称 Intelli-CSIRT (略称:IL-CSIRT) ■設立の経緯・背景 2011/07:設立 当初はお客様 (エンドユーザ) 向けのインシデント対応サービスを提供するチームとして 活動していました。 2013/04:NCA加盟 CSIRT の構築・運用ノウハウもサービスとして提供するという方針から、自らをCSIRT として組織し、外部組織との連携によるタイムリーな対応を実施することになりました。 ■CSIRTの種別 組織内CSIRT + インシデントレスポンスプロバイダ ■主なタスク 【お客様向け】 ・インシデント対応サービス(初動/本格対応)の提供 ・フォレンジックサービス、各種調査業務の実施 ・CSIRT構築支援、CSIRT運用支援、セキュリティコンサルティング、セキュリティ設計支援の実施 【社内向け】 情報セキュリティ組織、情報システム部門、NTT-CERT、NTTDATA-CERTと連携して下記を提供します。 ・インシデント対応サービス(初動/本格対応)の提供 ・セキュリティ情報の提供 ・各種セキュリティ対策の検討・導入サポート Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 31 参考URL • 本年金機構の情報漏えいについてまとめてみた http://d.hatena.ne.jp/Kango/20150601#20150601f41 • 標的型攻撃に耐えられる組織になるために http://www.intellilink.co.jp/article/column/security-apt01.html • 標的型攻撃メール<危険回避>対策のしおり(第1版)(PDF) http://www.ipa.go.jp/security/antivirus/shiori.html#apt • 今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない (1/2) http://www.itmedia.co.jp/enterprise/articles/1506/09/news038.html • 標的型メールの脅威 本番さながらのサイバー攻撃 抜き打ちで社員を試す http://www.sankei.com/west/news/150625/wst1506250005-n1.html • JPCERT/CC https://www.jpcert.or.jp/ • 日本シーサート協議会 http://www.nca.gr.jp/ Copyright © 2015©NTT DATA Intellilink Copyright 2013 NTT DATA Corporation WAVE Corporation 32 Copyright © 2015 NTT DATA Intellilink Corporation
© Copyright 2024 ExpyDoc
