印刷用PDF - フォーティネット

セキュリティ十番勝負
感染端末特定のTips
フォーティネット ジャパン セキュリティソリューション活用事例
フォーティネットジャパン 株式会社
技術本部 内藤正規
精神論になってしまった
という通達
精神論になってしまった「怪しいメールは開かないこと!」
「怪しいメールは開かないこと!」
という通達
昨今、標的型攻撃が実際に行われていて、実際に流出や侵入の痕跡
が発見されていることが報道され始めました。報道にはやはり旬と
いう物があるらしく、年金機構からの情報流出を機に増えたように
見えなくもありません。また、実はよく見てみると英文の Phishing
メールというのは珍しくもないのです。あなたに FAX が届きました。
あなたの給与明細です、荷物の伝票です……。大抵はマルウェアが
く っ つ い て お り、UTM の Anti Virus 機 能 で 検 知 し た り、亜 種 で
FortiSandbox で検知したり、と観察はそう難しくありません。大体
はメールの画面イメージと差出人を見れば関係ないことは解るので
読みもせずに捨ててますよね。また、英語でそんなメールを受け取
るはずがない、というのは日本で生活する上でひとつ楽なことかも
知れません。しかし実際には日本語のコンテンツを用いた Phishing
※三菱東京 UFJ 銀行注意喚起ページより引用
メールというのも流れるようになっていて、例えばオンラインゲームの偽のサポートポータルへの操作を要求する物などが注意
喚起されています。また、
年金機構からの情報流出事件も発端は日本語でしっかりと書かれた組織内文書を装ったお知らせでした。
もちろん組織の運用として「怪しいメールは開かないこと」という教育を施すことは必須なのですが、標的型攻撃というのは狭
義には一般的に広く興味を引きそうな物を用いるだけではなく、対象を調べた上でソーシャルエンジニアリングを含めて未知の
攻撃を仕掛けてくる物です。この詳細は本題ではないので今回は割愛しますが、既知の脅威の検出、怪しいメールを開くな、と
言う教育だけでは十分な効果を得られない時代がやってきたという結論になります。そこで、今回はそのメールの添付ファイル
なり URL なりを踏んでしまって内部に入られてしまった前提で本コンテンツを作成しました。初期の対応に必要とされる作業の
一つが感染端末の特定です。
ログとレポート、活用していますか?
本コンテンツでは目的を絞って解説しますが、ログはセキュリ
ティには必須です。日本のお客様はログを重視する傾向にあるの
で少なくとも保存は大抵のお客様でされているのですが、UTM
側から見た場合、インシデント対応にはログは不可欠です。そも
そもログがなければ後から何があったか確認するのは不可能です
し、平常状態を確認しておくことでインシデントに気付くことが
出来ると言えます。そしてこれを実行するには統計情報が不可欠
となります。膨大なトラフィックログの中からこのポート宛の通
※ Web カテゴリーレポート
信がいくつ、と数えるのは余り現実的ではありません。慣れた人なら grep だけでもいけますし、集計スクリプトを作るのは技
術的には容易いことですが管理リソースは有限ですので、管理者が数値を見るだけで済ませられるようにすることが省力化、運
用コスト低下に繋がります。Fortinet では FortiAnalyzer というログ管理に特化した製品をご用意していて、ログの保存と上記
のような統計レポートを自動的に作成する機能を持っています。
普段はどんな感じでしょうか?
レポートを確認すると、さらなる情報が浮かび上がってくると思います。普段のポリシーはどれぐらい効果を発揮しているのか、
外からのトラフィックは Web サービスなどを提供していなければあくまでも外界の傾向として抑えておけば十分という程度で
しょう。もしかしたら DMZ ではなく VDOM(FortiGate の仮想化機能)の方が適切ではないか、とか環境改善のヒントが浮か
んでくることもあります。内から外への通信が今回のテーマとしては重要な位置づけです。管理者として止めたい、止めている
通信にどれぐらい違反がでているのか。昨今の OS や周辺のソフトウェアは自らのアップデート確認やら勝手に通信するのが一
般的とさえ言えます。また Web メールや SNS も含めたコミュニケーションツールや、ライセンスの確認。ほっといても最近の
PC は通信を行います。結果、FortiGate でドロップされているログも多数見つかることでしょう。蛇足ながら全部通している場合、
止めているログは特定の物以外でませんが、内から外への通信ポリシーを見直してみるタイミングを SE としては提案したいと
ころです。重要なのは、普段どのような端末群がどのような通信を行っているのか、です。これを把握することでモバイルデバ
イスの活用や BYOD 統制などへの道筋も立てやすくなりますし、平時がどのような状況かを理解できます。ここから次の一手
を模索するのも良いでしょう。それでは本題の感染端末の特定についてお話ししたいと思います。
感染が発覚した場合
FortiGate は Malware そのものを検知する Anti Virus や想定外の経路から組み込まれる際の Exploit 検出、その Malware が置
かれた水飲み場攻撃に使われる URL だけでなく、感染してしまったあとでも Botnet IP アドレスだけでなく Botnet 通信方式
の検出機能等を持つ UTM ですので、どこかに既知の物があればそれを止められる可能性を常に管理者に提供しますが、テー
マに合わせて「全てが未知の攻撃で感染してしまった」状況を
想 定 し て 本 題 に 入 り ま す。サ ン ド ボ ッ ク ス 製 品 で あ る
FortiSandbox では未知の脅威を検知できますが、攻撃者がこれ
らの製品を回避する方法を生み出す可能性もあり、それを検知
すべく Fortinet も含めて業界全体が製品の強化を続けているも
のの、話が進みませんので、ここは「何をしても止まらなかった」
という想定で行きましょう。
気付くきっかけは色々なところにあるものです。PC が普段に
増して重い、(セキュリティ対策の結果)ネットワークに繋が
らなくなった、わかりやすいところでは、FortiGate のログに
感染を示すログがあった、攻撃の痕跡が FortiAnalyzer からレ
図:脅威スコア
ポートされた、アンチウィルスソフトが反応した、等々。ただ、少なくとも気付くのは感染が発生した後となります。それ
ぞれ既知のデータも常に更新され続けますが、間に合わない可能性にも備えておかねばなりません。何かおかしいな、と言っ
ている内にデータが持ち去られている可能性もあります。その場合に大きな情報源となるのが「見慣れないログ」です。あれ、
こんなプロトコルの通信してたかな?こんなに一杯通信してたかな?この端末って普段こんなに外部と通信してたかな? 75
セント多くない?等々、平常時とは違うアクティビティをレポートやログが知らせてくれます。特に見ておくと便利なレポー
トの一つに「Client Reputation」という物があります。日本語で書くと「クライアント(の)評判」、ですね。これは管理者
からみて望ましくない、してほしくないけど一律禁止にはしづらい、(技術的に難しい)といった行動にスコアを付け、クラ
イアントごとに積み重ねていく物です。このスコアは重大度に従って 1 ∼ 100 まで傾斜配分し、積算していくことで一つの
クライアントに付き一つのスコア、と可視性をとても重視した方式になっています。各種イベントの数を数えるより、もう
一段階おおざっぱな情報とも言えます。もちろんそのスコアが大きければ大きいほど怪しいとも言えるのですが正しい使い
方は、平常時のスコアと比べてみることです。こうして一次元化
した指標というのは色々丸まっておりそう大きく変動しやすい物
でもありません。逆にこれが大きく変動することがあれば、「何
かが変わった」可能性に気付くことができます。
個人的にはもう少し傾斜配分をきつくして使うことをお奨めして
いますが、これをレポート化すると以下のようになります。
レポートの見方
FortiAnalyzer ではいくつものテンプレートがデフォルトで用意
していますが、その中でも Client Reputation を例に出してみま
す。以下は一週間分のとあるネットワークの Client Reputation
レポートの一部です。(このレポートでは外部からの攻撃もカウ
ントしているため外部の攻撃者、スキャナーも表示されていま
す)例えばこのように、スコアの増減を図ると新参者や内部で大
きく動きの異なった端末 / アドレスを発見しやすくなります。)
このグラフで見ると、172.16.11.1 というアドレスが最もスコア
図:期間ごとのスコアの変化
が大きくなっています。(この IP アドレスは FortiSandbox の確
認用外部ポートなので、Botnet への通信など悪さをすることも多く、結果としては正しい傾向が見て取れます)
次に IPS レポートを見てみましょう。IPS レポートを見ることで内外で起きている事を手っ取り早く把握することができます。
ただ、注意が必要なのは「外の動向を気にしすぎてはならない」と言うことです。セキュリティ一般として、自組織がどんな攻
撃を受けているか知ることは有効なことです。普通は攻撃のコネクションが成立しない=IPS ログに出るまでのことにはならな
い、ということで公開サービスがなければ見える物も少ないでしょう。Firewall/UTM の外側の動向はあくまでも世間一般として、
それ以上の労力を限られたリソースから割くのは得策ではありません。必要なのは内から内への通信、そして内から外への通信
です。内から外の通信については IPS の脅威レポートや Security Analytics レポートを活用するとわかりやすく、普段はこんな
感じになります。今週も何もなくてよかったよかった、と。
Malware Detected についてはこのレポートでは感染したかまでは確定されず、通信に Malware を検知したという記録ですので、
メールを受け取っただけでちゃんと破棄したという事もありますが、Botnet の方は誤検知を除けば現行犯のようなものです。
ここにログが上がってきた場合、該当する通信元の IP アドレス / クライアントに対しては一通りの調査はすべきでしょう。蛇
足ながら、誤検知をこれまでに二回経験しています。二度とも宛先の IP アドレスが攻撃に使われて Reputation が悪い物になっ
ている(けども回復している)というケースです。移動しつつヒットエンドランを狙うのが典型的な Malicious Site なのでサー
ドパーティ広告(ユーザーが意図していないサイトからコンテンツを取得する)を出しているサーバーで、クラウドサービス上
に構築されているもの(攻撃側の移動がしやすい)だとそういったこともありうるでしょう。確率的に当たり前と言えば当たり
前ですが。これ以外にも、例えば日本語でも英語でもない、業務に関係ないような URL へのアクセスが急に発生している、ダ
イナミック DNS サービスにアクセスをしている(通常の業務では余り発生することがないアクセスです)そういった情報はレ
ポートで概ね得ることができます。
感染端末の特定
と、ここまで読まれた方は大体お気づきなのではないかと
思いますが、大体材料は
っています。典型例で言えば、
UTM を全て抜けてしまったものの FortiSandbox で発見で
きた。メールではなく Web コンテンツだったのでクライ
アントは感染してしまっている。最終的に発見できたので
あれば FortiSandbox のレポートから、トラフィックログ
を見ればどのデバイスが取得してしまったのかわかりやす
いものとなります。最終的に発見できなくて活動が始まっ
てしまった、という場合でも上記のように何かしら「異常
な」特徴を表す例です。実際にはそれとトラフィックログ
を付き合わせて確認する作業なので、これ自体そんなにす
ごく大変と言うことではありません。ただし、そのために
は平常時を把握しておくことがとでも重要です。
一つ残った課題に、内→内の通信をどうすれば良いのか?
図:Malware/Botnet アクティビティレポート
という点があります。出口対策、入り口対策をしていても内部の動きが解らないと。これについては適切に境界を設けて内 A→
内 B とすれば後の要領は内→外と同じ、しかも管理もしやすく外の情報がノイズとなって見づらいと言うことも起こりづらく
なります。この議論は実は Firewall や UTM のコストが下がり、パフォーマンスが上がる度に繰り返されてきたことで、エクス
トラネットでの Firewall は VPN 装置と一体化することで責任分界点、境界シンボルとしてもほぼ普及した感があります。しか
しながら、内部に関しては VLAN で別れている程度のケースが多く、トラフィックログの取得、更に UTM なんてコストのバラ
ンスが合わないかもと。しかしここから先の事情を考えると、内部に仕切りがあれば、感染端末による被害や特定の範囲も狭め
ることができ、最も高コストなカテゴリであるセキュリティ担当者のパワーを倍増することが可能となります。Fortinet では
Internal Segmentation(内部ネットワークを区分けする)FireWall = ISFW と呼んでソリューション化しています。また、これ
について紹介する機会もあるかも知れませんが、今回のテーマ、感染端末の特定 Tips としては以上となります。
〒106-0032
東京都港区六本木 7-18-18 住友不動産六本木通ビル 8 階
www.fortinet.co.jp/contact
Copyright© 2016 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、
いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なし
に変更されることがあります。
この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、
FortiGate®、FortiCare®、およびFortiGuard® はFortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
Blog-Jyubanshobu-1-201603-R1