『標的型攻撃のトレンド及び、有効な対策とは』 〜標的型攻撃のプロセスから考える、重要データを守るには?〜 2016年12月7日 開催 キヤノンITソリューションズ株式会社 基盤・セキュリティソリューション事業本部 © Canon IT Solutions Inc. 2016 セキュリティ動向 ◆情報セキュリティ動向 ・悪意のある攻撃者はより巧妙、狡猾かつ組織的に かたや、防御する側はIT環境変化の複雑化 それに伴うセキュリティ対策コスト増、経営層の意識希薄 ・世界情勢の不透明化に伴う、サイバー犯罪・ブラックマーケットの拡大 ◆国内情勢 ・マイナンバー法令化 イナンバ 法令化 ・東京オリンピック開催 ◆企業として求められるセキュリティの考え方 ・業務、業態、規模感に合ったセキュリティ対策・導入が必要 何もしなければ、企業の事業継続性の阻害要因となる 2 © Canon IT Solutions Inc. 2016 2 情報セキュリティ10大脅威2016 2015年に発⽣した情報セキュリティに関する事件・事故(組織別)から社会的 影響の大きかった脅威を踏まえて選出。 年⾦情報の情報漏洩事件 1位 「標的型攻撃による情報流出」 2位 「内部不正による情報漏えい」 サイバー攻撃 3位 「ウェブサービスからの個人情報の窃取」 サイバー攻撃 4位 「サービス妨害攻撃によるサービス停止」 サイバー攻撃 5位 「ウェブサイトの改ざん」 ブ サイバー攻撃 6位 「対策情報の公開に伴い公知となる脆弱性の悪用増加」 サイバー攻撃 7位 「ランサムウェアを使った詐欺・恐喝」 サイバー攻撃 8位 「インターネットバンキングやクレジットカード情報の不正利⽤」 サイバー攻撃 9位 「ウェブサービスへの不正ログイン」 サイバー攻撃 10位 弊社にも多数届きました! 「過失による情報漏えい」 引用: IPA(独⽴⾏政法⼈ 情報処理推進機構) © Canon IT Solutions Inc. 2016 3 脅威に対し、多層防御・早期発見による対応 【課題】 多様・多彩な不正行動に対し、防御・早期検知/対応することが困難 社内ネットワーク インターネット C2サーバ ・直接攻撃(サーバ) 間接攻撃(クライアント経由) ・間接攻撃(クライアント経由) 重要 データ FW VPN IPS WAF AntiVirus AntiSPAM ・標的型攻撃メール(*1) ・ランサムウェア ・内部不正、過失 (*1):挙動例 (潜伏→拡散→情報取得→特権ID取得→重要データ搾取) 外部攻撃や内部不正による被害を最小限にするため ネットワーク系(入口・出口・内部)、エンドポイントによる多層防御が必要 4 © Canon IT Solutions Inc. 2016 4 外部からの攻撃→外部対策 ・標的型メール ・ランサムウェア (内部不正、過失→内部対策) © Canon IT Solutions Inc. 2016 5 外部からの攻撃 ・標的型メール 標的型メ ル ・ランサムウェア © Canon IT Solutions Inc. 2016 6 きっかけ 悪意のあるメールから 悪意のあるメ ルから (標的型メール) © Canon IT Solutions Inc. 2016 7 標的型攻撃事例-JTB 個人情報漏洩事件 (1) 1.経緯 取引先を装ったメールの添付ファイルを開いたことにより、 (1)3月15日(火)、 i.JTBのパソコンがウイルスに感染しました 。この時点ではウイルスに感染したことに気がつきませんでした。 (2)3月19日(土)~24日(木)、i.JTB内の本来個人情報を保有していないサーバーにおいて、内部から外部への不審な通信が複数確認されました。 (3)不審な通信を特定し遮断すると共に、ネットワーク内の全てのサーバー、パソコンの調査を行いました。 その結果、サーバー内に「外部からの不正侵入者が3月21日(月・祝)に作成して削除したデータファイル」の存在を、4月1日(金)に確認しました。 (4)外部のセキュリティ専門会社と共同で、ウイルスを駆除するとともに、データファイルの復元と不正なアクセスの調査・分析・対応を 継続して行いました。 (5)5月13日(金)、復元したデータファイルに個人情報が含まれることが確認され個人情報流出の可能性があることが判明いたしました。 それを受け、ジェイティービー(グループ本社)内に「事故対策本部」を設置いたしました。 復元したデータファイルに約793万人分の個人 (6)直ちに デ タの正規化に着手し 今般 (6)直ちに、データの正規化に着手し、今般、 情報が含まれていたことが判明いたしました。 (7)本件については警察に相談をしております。 2.個人情報の項目 復元したデータファイルに含まれていた個人情報の項目は、以下の個人識別情報の一部または全部です。 なお、クレジットカード番号、銀行口座情報、旅行の予約内容は含まれておりません。 【含まれていた個人情報】 ①氏名(漢字、カタカナ、ローマ字) ②性別 ③生年月日 ④メールアドレス ⑤住所 ⑥郵便番号 ⑦電話番号 ⑧パスポート番号 ⑨パスポート取得日 ※なお、⑧パスポート番号、⑨パスポート取得日のうち、現在も有効なものは約4,300件になります。 2016年6月14日 引用:株式会社ジェイティービー http://www.jtbcorp.jp/jp/160614.html © Canon IT Solutions Inc. 2016 8 標的型攻撃事例-JTB 個人情報漏洩事件 (2) 5.対策 本案件については継続的に情報収集を行い、新たな事実が明らかになった場合はお客様にご連絡申 し上げ、責任を持って対応させていただきます。 なお、今回の不正アクセスを受け、以下の対策を行い完了しております。 ・特定された外部への不審な通信の遮断 ・感染範囲の特定とウイルスの駆除 ・個人情報へのアクセス制御の強化 今後、同様の事態により再びお客様にご迷惑をおかけすることのないよう、下記取り組みを実施し、グ ループ全体のITセキュリティを更に強化してまいります。 ・ジェイティービー(グループ本社)内にITセキュリティ専任統括部門を設置いたします。 当該部門はITセキュリティ専門会社と連携をはかります。 ・現在実施しているグループ社員へのITセキュリティ教育については、実践的な演習で サイバー攻撃の察知力を高めてまいります。 2016年6月14日 引用:株式会社ジェイティービー http://www.jtbcorp.jp/jp/160614.html © Canon IT Solutions Inc. 2016 9 標的型攻撃事例-JTB 個人情報漏洩事件 (3) 日にち 3/15 経緯 メールの添付ファイル開封。 パソコンがマルウェアに感染。 (感染に気付かず。また、メール返信後宛先不通の エラーに気付かず。) 宛先:某旅⾏会社のアドレス 送信元:取引のある航空会社系列の販売会社のアドレス 件名:航空券控え 添付のご連絡 3/19-24 内部から外部へ不審な通信を複数確認。 該当通信を遮断。ブラックリストへ登録。 添付ファイル: 航空券のeチケット 4/1 3/21に作成・削除されたデータファイルを確認。ウ イルスを駆除。データファイルの復元と不正アクセ スの調査・分析。 XXXXXXXXXXXXXXXXXXX 5/13 復 復元したデータファイルに個⼈情報が含まれ、個人 報 含 情報流出の可能性があることが判明。本社に「事故 対策本部」を設置。 6/10頃 復元したデータファイルに約793万件の情報が含ま れていたことを把握 6/14 メディアへ公表 6/19 流出の可能性のあるお客様へメール送付 6/24 再発防止策を観光庁に提出。 ウイルス感染サーバーは公表台数以上。 情報流出件数を679万件に下方修正。 お世話になっております eチケットを送付しますのでご確認ください… 【漏洩対象と思われる個⼈情報】 ①氏名(漢字、カタカナ、ローマ字) ②性別 ③⽣年⽉⽇ ④メールアドレス ⑤住所 ⑥郵便番号 ⑦電話番号 ⑧パスポート番号 ⑨パスポート取得日 ※クレジットカード番号、銀⾏⼝座情報、旅⾏の予約内容は含まれない。 [標的型メールの特⻑] 通常業務で利⽤する社内アドレス 海外のメールサーバーから送信されたドメイン 偽装アドレス 業務に関係するよくある件名 EXEをPDF形式に⾒せかけたマルウェア付き 添付ファイル 日常の業務に支障のない本文 © Canon IT Solutions Inc. 2016 10 標的型攻撃による情報漏洩パターン例 取引先を装って メールを送信(海外から) C&Cサーバー (海外サーバー) [対策例] ・Webサーバー切り離し ・宛先をブラックリストに登録 ・ログ調査… 1 添付ファイル付 メールを送信 (例:PDF形式を 装ったEXE形式) 4 6 C&Cサーバーと交信開始 5 社内PC 2 添付ファイル開封にて感染 3 サーバーから 重要情報を集め、 データ送信後、削除 他の機器へ拡散 © Canon IT Solutions Inc. 2016 11 標的型攻撃による情報漏洩パターン及び対策 取引先を装って メールを送信 Point1 C&Cサーバー Point3 1 不正な送信元をどう⾒抜く? 添付ファイル付 偽装添付ファイルをどう⾒抜く? メールを送信 (例:PDF形式を 典型的な標的型攻撃のパターン? 装ったEXE形式) 4 不審な通信の 自動検知・遮断は? P 5 [対策例] ・Webサーバー切り離し oint ・宛先をブラックリストに登録 ・ログ調査… 追跡ログは保存さ れて る? れている? 6 C&Cサーバーと交信開始 Point4 サーバーから 重要情報を集め、 Point2 アンチウイルスソフトの導入は?最新のシグネチャ? 社内PC 既知・未知のウイルス対策?(「PlugX」「ELIRKS」) 拡散はどうやって防ぐ? 従業員への注意喚起は? 2 添付ファイル開封にて感染 3 他の機器へ拡散 5 データ送信後、削除 データベースやファイルの 暗号化・アクセス権は? 万が一、データ搾取された 場合の対策は? © Canon IT Solutions Inc. 2016 12 標的型攻撃による情報漏洩パターン及び対策 取引先を装って メールを送信 Point1 C&Cサーバー Point3 1 不正な送信元をどう⾒抜く? 添付ファイル付 偽装添付ファイルをどう⾒抜く? メールを送信 (例:PDF形式を 典型的な標的型攻撃のパターン? 装ったEXE形式) 4 不審な通信の 自動検知・遮断は? P 5 [対策例] ・Webサーバー切り離し oint ・宛先をブラックリストに登録 ・ログ調査… 追跡ログは保存さ れて る? れている? 6 C&Cサーバーと交信開始 Point4 サーバーから 重要情報を集め、 Point2 アンチウイルスソフトの導入は?最新のシグネチャ? 社内PC 既知・未知のウイルス対策?(「PlugX」「ELIRKS」) 拡散はどうやって防ぐ? 従業員への注意喚起は? 2 添付ファイル開封にて感染 3 他の機器へ拡散 5 データ送信後、削除 データベースやファイルの 暗号化・アクセス権は? 万が一、データ搾取された 場合の対策は? © Canon IT Solutions Inc. 2016 13 標的型攻撃メールの傾向について ①主な標的型攻撃メール送信先の割合 25% ②標的型攻撃メール送信者がかたる主体の割合 27% ⺠間企業 35% 15% 25% ⺠間企業 独⽴⾏政法⼈ 13% 独⽴⾏政法⼈ 個人 その他 官公庁 発信元不明 31% 35% 3% 5% 5% 韓国 日本 3% 8% 5% 9% 中 国 13% 8% 台湾 独⽴⾏政法⼈ PDF 米国 コロンビア 不明 官公庁 ⺠間企業 その他 ④添付ファイルの種別 ③標的型攻撃メール発信IP アドレスの国別内訳 中国 49% 11% ZIP(EXE) LZH(EXE) PDF その他 4% 5% 38% ZIP 28% MS WORD 不明 EXCEL ウェブ感染型 引用: IPA(独⽴⾏政法⼈ 情報処理推進機構)「標的型攻撃メールの分析に関するレポート」より © Canon IT Solutions Inc. 2016 14 不審メールがQ1からQ2にかけて8倍に 情報処理推進機構(IPA)が7月に発表した調査結果によると、ウイルスや不正プログラムが添付された メールの検出数が、第1四半期(1~3月)から第2四半期(4~6月)にかけて約8倍まで増加 ダウンロード ファイル メールは8倍に! メ ルは8倍に! ※ IPA 「コンピュータウイルス・不 正アクセスの届出状況および相談 状況」の「ウイルスおよび不正プログ ラム検出数の推移(検出経路別)」 より引用 © Canon IT Solutions Inc. 2016 15 標的型攻撃メールとは 攻撃者の目的 重要な情報を対象の組織から盗むことなど 特徴 正当な業務や依頼に⾒せかける「件名」 「本文」 「添付ファイル」でメールを送り 受信者をだます手口 © Canon IT Solutions Inc. 2016 16 標的型攻撃メールとは? 添付ファイルの偽装① 「⼆重拡張⼦」を利⽤した添付ファイルの偽装 © Canon IT Solutions Inc. 2016 17 標的型攻撃メールとは? 添付ファイルの偽装② 「ファイル名に空⽩⽂字」を利⽤した添付ファイルの偽装 © Canon IT Solutions Inc. 2016 18 標的型攻撃メールとは? 差出人アドレスの詐称 「標的型攻撃メールのうち、77%が差出人アドレス詐称」 ※平成28年3月17⽇警察庁発⾏の「平成27年におけるサイバー空間をめぐる脅威の情勢について」より SCANNER<[email protected]> 電子メールのメーラーソフトの差出人アドレスは簡単に偽装が可能 From:Hyoteki@XXX From:scanner@canon-mj.co.jp 実際のメールシステム間の差出人アドレス メールソフトで表示されるアドレス (郵便局が⾒る封筒の差出⼈) (便箋に書かれている差出⼈) © Canon IT Solutions Inc. 2016 19 標的型攻撃メールとは? 基本的な対策 ○不審と思われるメールは開かない 各⼈のセキュリティ意識による対策 ・件名などの日本語に違和感を感じる、日本漢字でない ⾒極めるために業務時間が要されてしまう⾮効率な対策 漢字が一部混ざっている 各人に対する負荷がかかる対策 ○不審と思われるメールを開かせない ・社員に対し教育を実施する。 ○不審と思われるメールの添付ファイルを絶対に開かない ○メールの本文内のURLはクリックしない ○迷惑メール対策を実施する 標的型攻撃メールを検知できる機能を有する ・標的型攻撃についても効果が得られるケースもある システムの利⽤が有効! © Canon IT Solutions Inc. 2016 20 きっかけ 悪意のあるメールから (ランサムウェア) © Canon IT Solutions Inc. 2016 21 ランサムウェアの実害(例) 米ハリウッドにある** *****医療センター が、ランサムウェア被害の ため院内のコンピューター ため院内のコンピュ タ ネットワークが使えなくなり 、緊急を要する患者を別 の病院へ移送する事態と なっています。ハッカー側 は医療センターに対し 9000btc(ビットコイン 9000枚:約360万ドル: 約4億円)を要求している とのこと。 出展:Engadget Japanese http://japanese.engadget.com/2016/02/16/4/ © Canon IT Solutions Inc. 2016 22 ランサムウェアの動向 出展:ランサムウェア「Locky」の攻撃が世界中で発生中 http://canon-its.jp/eset/malware_info/news/160422/ © Canon IT Solutions Inc. 2016 23 ランサムウェアの動向 標的型攻撃とランサムウェア ランサムウェア 標的型攻撃 長期 必要 高額 目的達成までの時間 攻撃の隠蔽 攻撃の対価 短期 必要でない 少額 (件数が多い) © Canon IT Solutions Inc. 2016 24 ランサムウェアの動向 Locky感染ディテールフロー メール攻撃からランサムウェア感染までの各ステップとふるまい ダウンロードサーバー 鍵発行C&Cサーバー メールによるばらまき行為 5 マクロが組み込まれた WORDファイルが添付されたメール が送られる 1 このメールは複数の 種類があります。 2 3 ランサムウェア本体が 本体 暗号鍵の取得を行う ランサムウェア本体のダウン ロードが行われ完了すると、 自動的に実行する 添付のJSファイルを開くと、ラン この段階では、 サムウェア本体のダウンロードを ファイルは難読化されてい 試みる る。 4 危険度 低 6 鍵を入手すると 暗号化が開始される ランサムウェア本体のプロ セスがメモリで活動する 危険度 中 危険度 高 © Canon IT Solutions Inc. 2016 25 ランサムウェアの動向 Locky感染ディテールフロー メール攻撃からランサムウェア感染までの各ステップとふるまい ダウンロードサーバー 鍵発行C&Cサーバー メールによるばらまき行為 ランサムウェア感染までの処理 ランサムウ ア感染までの処理 5 ランサムウェア本体が 本体 暗号鍵の取得を行う マクロが組み込まれた WORDファイルが添付された メールが送られる 1 このメールは複数の 種類があります。 3 ランサムウェア本体のダウン ロードが行われ完了すると、 自動的に実行する たった数秒の出来事 2 6 添付のJSファイルを開くと、ラ この段階では、ファイルは難 ンサムウェア本体のダウンロー 読化されている。 ドを試みる 4 危険度 低 ランサムウェア本体のプ ロセスがメモリで活動す る 危険度 中 危険度 高 © Canon IT Solutions Inc. 2016 26 ランサムウェアの動向 暗号化型ランサムウェア「JIGSAW(ジグソウ)」 © Canon IT Solutions Inc. 2016 27 ランサムウェアの動向 暗号化型ランサムウェア「JIGSAW(ジグソウ)」 © Canon IT Solutions Inc. 2016 28 ランサムウェアの動向 ESET製品で検出したマルウェア TOP5 (2016年3-4月 国内) 順 位 検出名 1位 JS/TrojanDownloader.Nemucod 割合 70% 2位 Win32/Spy.Bebloh 3% 3位 VBA/TrojanDownloader.Agent.AXA 2% 4位 Win32/TrojanDownloader.Wauchos 5位 VBA/TrojanDownloader.AgentAWV ※1 1% ※2 国内で検出した マルウェアの 70 % がNemucod 1% ※1 2016年3月11日~4月11日までの集計結果『ESET Virus Rader』 ※2 JS/Danger.ScriptAttachmentも含む © Canon IT Solutions Inc. 2016 29 ランサムウェアの動向 電子メールによる攻撃で検出されたマルウェア(国内) 国内で検出した 電子メールによる攻撃 の JS/TrojanDownloader.Nemucod 82% 82 % に Nemucodが添付 2016年3月1日~3月31日までに『ESET Live Grid』で検出された件数を集計 © Canon IT Solutions Inc. 2016 30 ランサムウェアの動向 JS/TrojanDownloader.Nemucod © Canon IT Solutions Inc. 2016 31 ランサムウェアの動向 「JS/TrojanDownloader.Nemucod」は、亜種も含める 世界の中でも日本での検出が最も高い数値になって おり、日本で検出されたウイルス全体の約36.6% (2015年12月9日までの一週間)を占めています。 © Canon IT Solutions Inc. 2016 32 ランサムウェアの動向 3-4月 マルウェアの国内動向 1 ランサムウェアの感染を狙った攻撃が多発 2 標的は日本、今後も継続して注意が必要 © Canon IT Solutions Inc. 2016 33 ランサムウェアが流行している要因 攻撃しやすい クラウドの普及(安く・簡単・早く) RaaS(Ransomware as a Service) 追跡が困難 仮想通貨の発達(ビットコインなど) 匿名ネットワークを活用(Torなど) 儲かる 標的型攻撃に比べ短時間で目的を達成 投資対効果が高い © Canon IT Solutions Inc. 2016 34 ランサムウェアが流行している要因 (Ransomware as a Service) サービスとしてランサムウェアが 売り買いされる市場が成立 © Canon IT Solutions Inc. 2016 35 ランサムウェアが流行している要因 © Canon IT Solutions Inc. 2016 36 ランサムウェアが流行している要因 サービスの 稼働状況 料金 暗号化 方式 サポート 窓口 © Canon IT Solutions Inc. 2016 37 ランサムウェアが流行している要因 攻撃者の投資対効果(ROI) 1,425% , 投資 10万円の投資 回収 ランサムウェア エクスプロイトキット 140万円の利益 Trustwave 国際的なセキュリティ調査レポート(2015 Trustwave Global Security Report)より © Canon IT Solutions Inc. 2016 38 ランサムウェアの今後の予測 ターゲットの 拡大 さらなるプラットホームの拡大 より重要なデータへ(データベースなど) 手口の 巧妙化 日本語が より洗練 脅迫内容の凶悪化(情報の流出) 支払方法の多様化 (国情に応じた支払方法) 技術の 高度化 メカニズムの複雑化 (リバースエンジニアリング対策) 特定業種を狙った攻撃 © Canon IT Solutions Inc. 2016 39 ランサムウェアの今後の予測 1989年 2005年 2012年 Gpcoder 2014年 2013年 Reveton PC Cyborg 2016年 2015年 Urausy Nymaim Linkup Onion TeslaCrypt Encyptor RaaS Locky Kovter Cryptowall Slocker CTB-Locker BandarChor CryptoApp Ransom32 TorrentLocker Crypto locker LockDroid Umbrecrypt Zerolocker Simplocker Hidden Tear Hydracrypt VirLock Pacman ORX-Locker Vipasana Coinvault Pclock XRTN Android/Locker.B Cryptvault PowerWorm Job Crypter Tox DMA-Locker PayCrypt Troldesh Gomasom KeRanger Threat Finder Chimera-Locker Crypto Joker Radamant SamSam LockerPin Magic Etc… AndroidOS_Locker Browlock 急速に 新種や亜種が増加 Etc …. © Canon IT Solutions Inc. 2016 40 標的型攻撃パターンの パターン及び、対策例 © Canon IT Solutions Inc. 2016 41 標的型攻撃による情報漏洩パターン及び対策 取引先を装って メールを送信 Point1 C&Cサーバー Point3 1 不正な送信元をどう⾒抜く? 添付ファイル付 偽装添付ファイルをどう⾒抜く? メールを送信 (例:PDF形式を 典型的な標的型攻撃のパターン? 装ったEXE形式) 4 不審な通信の 自動検知・遮断は? P 5 [対策例] ・Webサーバー切り離し oint ・宛先をブラックリストに登録 ・ログ調査… 追跡ログは保存さ れて る? れている? 6 C&Cサーバーと交信開始 Point4 サーバーから 重要情報を集め、 Point2 アンチウイルスソフトの導入は?最新のシグネチャ? 社内PC 既知・未知のウイルス対策?(「PlugX」「ELIRKS」) 拡散はどうやって防ぐ? 従業員への注意喚起は? 2 添付ファイル開封にて感染 3 他の機器へ拡散 5 データ送信後、削除 データベースやファイルの 暗号化・アクセス権は? 万が一、データ搾取された 場合の対策は? © Canon IT Solutions Inc. 2016 42 標的型攻撃による情報漏洩パターン及び対策 取引先を装って メールを送信 Point1 1 C&Cサーバー Point3 P 5 [対策するも間に合わず・・] Webサーバー切り離し oint +宛先をブラックリストに登録 +ログ調査… 追跡ログは保存さ ログ保存・分析 PDF形式を装った 不正な接続元を検知・遮断 不正な送信元をどう⾒抜く? ネットワークを通過する不正通信を遮断 ネットワ クを通過する不正通信を遮断 PDF形式を装った 不審な通信の EXE形式の ・ネットワークレベルの検査 れて れている? る? 偽装添付ファイルをどう⾒抜く? ・横断検索、多⾓的分析 EXE形式のメール 自動検知・遮断は? 添付ファイル付 ・4IDS/IPS(侵入検知・遮断) 標的型メールパターン検査・注意喚起 6 を送信 典型的な標的型攻撃のパターン? メールを送信 ・メールヘッダー検査 等 有害メールの無害化 C&Cサーバーと交信開始 CSVデータを送信 ・URLテキスト化 等 Point2 Point4 サーバーから 顧客情報を集め、 5 CSV作成。 データベースの ウイルス感染端末及び、C2サーバ通信端末を即座に アンチウイルスソフトの導入は?最新のシグネチャ? 感染 暗号化・アクセス制御、重要データの無価化 ※送信後、削除。 サーバーから 暗号化・アクセス権は? 社内PC 論理的に切り離し、拡散防⽌ 既知・未知のウイルス?(「PlugX」「ELIRKS」) ・トークナイゼ—ション 顧客情報を集め、 ・ヒューリスティックエンジン 拡散はどうやって防ぐ? ・キー管理 CSV作成。 ・ARP ポイズニング 送信後、削除。 3 拡散 ・マルウェア解析 ※パソコン6台とWebサーバー含むサーバー2台が感染 3 2 添付ファイル開封。感染。 従業員のリテラシ向上 ・疑似攻撃メールによる訓練 © Canon IT Solutions Inc. 2016 43 標的型攻撃による情報漏洩パターン及び対策 取引先を装って メールを送信(海外から) Point1 1 Point3 PDF形式を装った 不正な接続元を検知・遮断 不正な送信元をどう⾒抜く? PDF形式を装った EXE形式の 偽装添付ファイルをどう⾒抜く? EXE形式のメール 添付ファイル付 標的型メールパターン検査・注意喚起 を送信 典型的な標的型攻撃のパターン? メールを送信 有害メールの無害化 Point2 C&Cサーバー (海外サーバー) P ネットワークを通過する不正通信を遮断 4 不審な通信の 自動検知・遮断は? C&Cサーバーと交信開始 5 [対策するも間に合わず・・] Webサーバー切り離し oint +宛先をブラックリストに登録 +ログ調査… 追跡ログは保存さ ログ保存・分析 6 れて る? れている? CSVデータを送信 Point4 サーバーから 顧客情報を集め、 5 CSV作成。 データベースの ウイルス感染端末及び、C2サーバ通信端末を即座に アンチウイルスソフトの導入は?最新のシグネチャ? 社内PC 感染 暗号化・アクセス制御、重要データの無価化 ※送信後、削除。 暗号化・アクセス権は? サーバーから 論理的に切り離し、拡散防⽌ 既知・未知のウイルス?(「PlugX」「ELIRKS」) 顧客情報を集め、 拡散はどうやって防ぐ? CSV作成。 送信後、削除。 3 3 拡散 2 添付ファイル開封。感染。 従業員のリテラシ向上 ※パソコン6台とWebサーバー含むサーバー2台が感染 © Canon IT Solutions Inc. 2016 44 44 標的型攻撃による情報漏洩パターン及び対策 ①外部からの脅威対策 Point3 Point1 Point5 ②内部へ入ってしまった場合の脅威対策 ③重要データ搾取された場合の対策 Point2 Point4 © Canon IT Solutions Inc. 2016 45 ①外部からの脅威対策 ①外部からの脅威対策 Point1 Point2 Point3 Point5 Point4 © Canon IT Solutions Inc. 2016 46 ①外部からの脅威対策 ネットワークレベルの検査 不正な接続元を検知・遮断 •検知率の高さと誤検知発生率の低さ (デフォルト設定で96%の検知率と、0%に近い誤検知率) © Canon IT Solutions Inc. 2016 47 ①外部からの脅威対策 標的型メール検知サービス 標的型メールパターン検査・注意喚起 標的型攻撃の疑いがあるメールを検知し、件名に警告メッセージを挿入します。こ れによりメール受信者の不⽤意な開封を抑制できます。 ※以下のような、標的型攻撃の疑いがあるメールを検出します。 ・ヘッダーfromと、エンベロープfromのドメインが異なるメール ・ファイル名に空白文字が5個以上連続する実行形式ファイルが添付されたメール ・ファイル名にRLO制御文字が使用されている実行形式ファイルが添付されたメール 等 【標的型攻撃メールの恐れあり】 © Canon IT Solutions Inc. 2016 48 ①外部からの脅威対策 メール無害化サービス 有害メールの無害化 無害化機能(添付ファイルの削除/HTMLメールテキスト化/URLリンクの除去) ホワイトリスト機能(無害化除外設定) ウイルスチェック 元本メール管理(閲覧/ダウンロード/配送/転送) <メール無害化 サービスのイメージ> © Canon IT Solutions Inc. 2016 49 ②内部へ入ってしまった場合の脅威対策 Point3 Point1 Point5 ②内部へ入ってしまった場合の脅威対策 Point2 Point4 © Canon IT Solutions Inc. 2016 50 ②内部へ入ってしまった場合の脅威対策 ウイルスソフト連携による遮断 ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ ESETがウィルスを検出した際にNetSkateKoban Nanoへ 通知し、感染PCをネットワークから即時遮断します。 © Canon IT Solutions Inc. 2016 51 ②内部へ入ってしまった場合の脅威対策 ウイルスソフト連携による遮断/ヒューリスティックエンジン ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ 高い検出力 ■軽快な動作 ・ヒューリスティックエンジンにより未知のウイルスの 検出に⼒を発揮 ・既知ウイルスに対しては定義ファイルにて対応 軽快な動作 ・ウイルス定義ファイルのサイズが小さいのでPCの 動作への影響が少ない 高い市場評価 ・各種メディアの顧客満⾜度調査等で 数多くの賞を受賞 お求めやすい価格 ■高い市場評価 ・廉価な価格設定で、200Lic以上は乗換時に 新規の半額で購入可能 ・更に、他社更新残り期間分を延⻑保証 (残期間保証サービス) © Canon IT Solutions Inc. 2016 52 ②内部へ入ってしまった場合の脅威対策 ウイルスソフト連携による遮断/ヒューリスティックエンジン ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ © Canon IT Solutions Inc. 2016 53 ②内部へ入ってしまった場合の脅威対策 検体からの動作解析および、応急処理の提示 ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ その問題を © Canon IT Solutions Inc. 2016 54 ②内部へ入ってしまった場合の脅威対策 検体からの動作解析および、応急処理の提示 ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ © Canon IT Solutions Inc. 2016 55 ②内部へ入ってしまった場合の脅威対策 検体からの動作解析および、応急処理の提示 ウイルス感染端末及び、C2サーバ通信端末を即座に・論理的に切り離し、拡散防⽌ 『マルウェア解析報告書』サンプル © Canon IT Solutions Inc. 2016 56 ②内部へ入ってしまった場合の脅威対策 標的型攻撃メール訓練サービス 標的型メールパターンを検査・注意喚起 □ 標的型攻撃のメール訓練サービスを提供します □ セキュリティ機器群で防ぐことのできない人的ウイークポイントの強化を行います □ メール訓練の効果 ・直接的効果:従業員のリテラシ向上(リスク理解及び、意識維持)、報告フローの確立 ・間接的効果:情報漏洩防止(情報資産保護及び、社会的信頼損失の防止) © Canon IT Solutions Inc. 2016 57 ②内部へ入ってしまった場合の脅威対策 IDS/IPS(侵入検知・遮断) ネットワークを通過する不正通信を遮断 1.C&Cサーバ(感染PCへの司令塔サーバ)への不正通信の検知・防御 ※マルウェア感染PCからC2サーバへ情報との通信を検知・遮断 2.バックドアツールの検知・防御 ※マルウェア感染したPCからプロキシ-経由でC2サーバへの通信を検知・遮断 3.リモートコマンド等の検知・防御 ※IEやWindows、ベンダーOSの脆弱性を利用したリモートコマンドの実行を検知・遮断 攻撃者 入口対策 公開ネットワーク インターネット 内部ネットワーク C&Cサーバー 出口対策 © Canon IT Solutions Inc. 2016 58 ③重要データを搾取された場合の対応 Point1 Point3 Point5 ③重要データ搾取された場合の対応 Point2 Point4 © Canon IT Solutions Inc. 2016 59 ③重要データを搾取された場合の対応 これまでの多層防御にてある程度の 対策可能だが、100%ではない であれば、重要データを搾取される ことを前提とした対策も必要 © Canon IT Solutions Inc. 2016 60 ③重要データを搾取された場合の対応 トークナイゼーション、キー管理 暗号化・アクセス制御 重要データの無価値化 キー(鍵)管理機能により 1.権限を乗っ取られせない 2.使わせない(実行ファイル暗号化) 3.盗ませない(データ暗号化) 4.盗まれたとしても見せない (トークナイゼ—ション、暗号化) アクセス制御 防御 暗号化 トークナイゼーション 鍵 監査ログの取得 検知 無価値化 鍵の作成 / 管理 © Canon IT Solutions Inc. 2016 61 ③重要データを搾取された場合の対応 ■トークナイゼーション トークナイゼーション とは 原本データをトークン化(無価値化)されたデータ に置き換えます ト トークナイゼーションのメリット クナイゼ ションのメリット • PCI DSSやマイナンバー制度の監査対象を削減できます • トークン化は暗号化よりも処理負荷が低いので、高パフォーマンスです • データベースにはトークン化(無価値化)されたデータが保管されるため、より強固なセキュリテ ィを確保できます • 使用するデータベースの種類は問いません • アプリケーションサーバにREST-APIを⽤いて容易に組み込めます 判読不能にする⽅法は暗号化だけではありません PCI DSS や マイナンバー などの情報漏えい対策にも活⽤できます © Canon IT Solutions Inc. 2016 62 ③重要データを搾取された場合の対応 横断検索、多⾓的分析 ログ保存・分析 情報漏えいの原因となるウイルスなどの侵⼊経路などをサーバ上のログから分析し、 不正アクセスの検知の⽀援を実現するソリューションです。 ファイルアクセスなど複雑なイベントログを分かり易い内容に変換。 ログ検知や検索・集計が可能でレポート機能の活⽤により複雑なログを視覚化できます。 ログ収集、保管による追跡 <Logstorage システム構成> 出⼒されるログを全て収集・管理 圧縮保存/⾼速検索、改ざん検出、暗号化保存 ログ検知 異常な兆候をリアルタイムに検知・通知 検索・集計・レポート 横断検索、多⾓的分析、定期レポート作成 © Canon IT Solutions Inc. 2016 63 標的型攻撃による情報漏洩パターン及び対策 ①外部からの脅威対策 不正な接続元を検知・遮断 標的型メールパターン検査・注意喚起 有害メールの無害化 Point 1 Point3 ②内部へ入ってしまった場合の脅威対策 Point5 ③重要データを 搾取された場合の対応 ネットワークを通過する不正通信を遮断 ログ保存・分析 ウイルス感染端末及び、C2サーバ通信端末を 即座に・論理的に切り離し、拡散防⽌ 暗号化・アクセス制御、重要データの無価化 Point 2 従業員のリテラシ向上 Point4 © Canon IT Solutions Inc. 2016 64 標的型攻撃対策 まとめとして © Canon IT Solutions Inc. 2016 65 最新の脅威の課題・対策 【課題】 ◆マルウェアの送り込み方、挙動が巧妙化 ・暗号化、モジュール分割にて検知されにくい ・C2サーバが国内設置、また通信がHTTP通信(80ポート)など判別しずらい ・足跡を残さない(稼働ログを消去など) ◆攻撃の高度化、多様化 ・注意していても踏みかねないトラップ 例)訃報を知らせるメールを企業に送り付け、正規な運絡事項のフアイルに見せかけた 不正な添付ファイルを開かせる手口でマルウェアに感染させる。 ・駆除しても設定が残って悪さをし続ける系のマルウェア ・メモリダンプして目視確認しないと分からない類のモノも増加傾向 ダ プ 視確 類 増加傾向 ・潜伏期間の長期化(直接対象または踏み台としても、潜伏期間1年以上はざら) 事故再発防止の場当たり対策や、特定技術強化だけで防げる状況ではない 1.これまで通り、多重防御等で検知漏れを防ぐ「高い壁」は、もちろん必要 2.相手の狙いを封じ込める策(C2通信寸断、マルウェア拡散防止、等)は欠かせない 3.未知の脅威(マルウェア、ゼロディ)への対策が重要 技術的には入口・出口対策、内部対策及び、クラウドのトータルな対策が必要 © Canon IT Solutions Inc. 2016 66 情報セキュリティ問題及び、対策の整理 問題を整理すると © Canon IT Solutions Inc. 2016 67 情報セキュリティ問題及び、対策の整理 情報セキュリティ問題 対策 連鎖 連鎖 脅威に対する防御 内部犯行 攻撃 (うっかりミス含む) (標的型含む) 早期発見による対応 漏洩,紛失 脆弱性 全体管理体制の整備 連鎖 連鎖 © Canon IT Solutions Inc. 2016 68 脅威に対する防御(課題・対策ポイント) 外部からの犯行 内部対策 インターネット 入口対策 社内ネットワーク 【課題】 ・Web/APにおけるソースコード脆弱性の 定期検査 ・OS、パッケージへのセキュリティパッチ適用 ・サポート切れOS (XP/2003等) /アプリのリスク 出口対策 標的型攻撃 組織を標的とした マルウエアが悪用する ウ アが悪用する 脆弱性攻撃を防御 ランサムウェア マルウエアにより重要ファイ ルがロックされ閲覧不可と なる攻撃を防御 内部犯行 モバイル ネットワーク 【課題】 ・モバイル、BYOD等の エンドポイント統制 拠点ネットワーク (国内、海外) 【課題】 ・拠点の脆弱性管理 クラウド (AWS、O365等) 【課題】 ・データ、通信秘匿性 ・ネットワーク及び、エンドポイントの対策が必要 ・未知攻撃の被害を最小限にするための対策が必要 © Canon IT Solutions Inc. 2016 69 早期発見による対応(課題・対策ポイント) 外部からの犯行 社内ネットワーク 【課題】 多様・多彩な不正行動シナリオを、 早期に検知/対応することが困難 インターネット FW VPN IPS WAF AntiVirus AntiSPAM 内部犯行 標的型 攻撃メール ・直接攻撃(サーバ) ・間接攻撃(クライアント経由) ・ウイルス潜伏、発症 ・情報収集、破壊活動 ・システム状況を常時監視する仕組み及び ・各ログ情報をベースとした総合的な分析による早期発見・対応が重要 © Canon IT Solutions Inc. 2016 70 トータルセキュリティモデル System& Information 出口・入口対策 外部からの脅威 ツール・技術 (レポート・ アラート) 【課題】 ・環境マッチし、バランス のとれた対策適用 Rule e& Proc cess ポリシー People 組織(教育) 内部対策 内部犯行 ・直接攻撃 ・間接攻撃 【課題】 ・環境変化による ポリシー見直し ・効果測定 【課題】 ・組織変更による煩雑さ ・スキル、リソース不足 ・人間系の脆弱性 (リテラシ) ユーザ システムプロセス・ルール ヒューマンプロセス・ルール CSIRT、SOC、 NOC 運用 統括 (CEO、CISO) ヘルプデスク 他 組織・ポリシー・技術の密連携によるトータルセキュリティモデルが必要 © Canon IT Solutions Inc. 2016 71 取り組むべき施策の考え方 ステップアップモデル 現状の セキュリティ管理・運用 (判断基準) レベル3:社内体制整備を行い、予兆含めた リスクマネジメントを行った 現状分析の詳細 セキュリティ最適投 資の制約事項・課 題を抽出・分析し ます。 お客様がとるべき 基本施策と優先順位の検討 あるべき姿(理想像) 現状環境における実現性を思料し た上で、基本施策を「取り組みや すさ」と「効果」で検討し、施策取り 組みの優先順位を把握します。 取り組むべき施策 情報(集約・蓄積・解析)収集、 リスク回避可能なシステムの導入 4.Measurement 適用効果の定量化 及び計測・評価 同期・連携 2.Rule&Process 定着化、有用性を維持・運用を 実現するためのポリシー 3.People ポリシーに従ったリスク回避可能 なリテラシレベル保持及び、その 運営に必要な人・組織 レベル1:ポリシー・ルールに基づいた 施策適用を行った 各施策単位で「取り組みやすさ」と「効果」という視点から 優先順位を評価します 易 優先取組施策 取り組みやすさ 1.Sytem&information レベル2:対策が有効かの確認のため “見える化“を行い、是正措置を行った セキュリティ投資を最 適化する管理・運用 の姿を想定します。 難 プロットエリア ① プロットエリア ② プロットエリア ③ プロットエリア ④ 低 高 施策の効果 © Canon IT Solutions Inc. 2016 72 ステップアップモデル 例 <凡例> 対策 脅威・脆弱性 ステップアップモデル 入口対策 (ネットワーク) (セキュリティ強度 ) 外部からの攻撃 ・データ改竄、搾取、破壊 System& & Information 入口・出口対策 マルウェアによる不正行為 ・WEB、外部通信(C&C) (ネットワーク) 出口対策 (ネットワーク) 外部への情報漏洩(悪意・ミス) マルウェアによる不正行為 ・侵攻、拡散、搾取 ・外部媒体からの侵入 内部対策 (サーバ、 クライアント、 ネットワーク、 ストレージ) S-X:サービス E-X:その他 ステップ 1 ステップ 2 ステップ 3 ポリシー・ルールに基づいた施策 対策が有効かの確認のため 社内体制整備を行い、 適用を行った “見える化“を行い、是正措置を行った 予兆含めたリスクマネジメントを行った O-① UTM(アンチスパム) O-⑤ DDoS攻撃対策ツール(IPS/IDS) S-⑥ ファイアウォール運用管理サービス S-① DDoS攻撃対策サービス S-⑩ 統合セキュリティ監視サービス S-⑧ 不正アクセス監視サービス O-⑤ S-① O-⑥ S-② S-⑦ S-⑨ DDoS攻撃対策ツール(専用ツール) DDoS攻撃対策サービス WAF(専用ツール) WAF運用管理サービス Webアプリケーション脆弱性検査サービス セキュリティ検査・監査サービス O-① UTM(マルウェア対策、URL・コンテ ンツフィルタリング) O-② メールセキュリティ(アーカイブ) O-⑦ 標的型攻撃対策ツール S-⑥ ファイアウォール運用管理サービス S-④ メールセュリティサービス(無害化、標的型 O-⑧ 統合ログ管理ツール(SIM/SIEM) S-③ ウイルス監視サービス メール検知) S-⑤ 統合ログ管理サービス O-⑱ WEBフィルタリング S-⑩ 統合セキュリティ監視サービス O ② メールセキュリティ(暗号化) O-② S-④ メールセュリティ運用管理サービス (誤送信防止 フィルタリング) O ② メールセキュリティ(誤送信防止、フィルタリング) O-② S-④ メールセュリティ運用管理サービス O-③ マルウェア対策導入 E-① OS・パッケージへのパッチ適用 O-④ 端末管理(操作ログ収集) 社員による不正行為(悪意・ミス) 管理者による不正行為(悪意・ミス) O-④ 端末管理(暗号化、IT資産) ・不正端末接続 E-② AD・LDAP導入 ・外部媒体へ不正コピー ・持ち出し端末の紛失 ・不正オペレーション People Rule&Process 全体対策 セキュリティ状況・課題把握 (人間系含む) 社内体制・従業員の脆弱性 O-X:オンプレミス E-③ セキュリティポリシー・ルール策定 E-⑦ 標的型攻撃訓練 O-⑨ DLP O-⑧ 統合ログ管理ツール(SIM/SIEM) O-⑩ 検疫ツール S-⑨ セキュリティ検査・監査サービス O-X 脅威無効化 O-⑪ O-⑫ O-⑬ O-④ 端末管理(操作ログ収集、持ち出し制御) S-⑪ O-⑯ シングルサインオン O-⑭ O-⑰ デバイス認証(デバイス) O-⑮ E-⑩ マルウェア解析サービス O-⑧ S-⑤ S-⑨ E-④ S-⑫ E-⑧ E-⑨ ISMS・Pマーク・PCIDSS認証取得 セキュリティ教育・トレーニングサービス 脆弱性検査 リスクアセスメント 統合ID管理 特権ID管理 PKI関連製品 電子認証サービス DRM データベースセキュリティ 統合ログ管理ツール(SIM/SIEM) 統合ログ管理サービス セキュリティ検査・監査サービス E-⑤ CSIRT E-⑥ SOC・NOC S-⑬ セキュリティ情報提供サービス *赤字は弊社主体でご提供可能ソリューション © Canon IT Solutions Inc. 2016 73 ご清聴ありがとうございました
© Copyright 2026 Paperzz
