避けられないインシデント切り札としてのエンドポイントセキュリティ株式会社ソリトンシステムズマーケティング部エバンジェリスト荒木粧子公認情報セキュリティマネージャー（CISM） Agenda サイバー攻撃の現状  サイバー攻撃への対策   切り札としてのエンドポイントセキュリティ  まとめ 2 犯罪ビジネス（サイバークライム）の台頭 1. サイバー攻撃の現状 3 ハッカーからスパイへ、兵器へ国家のスパイ活動サイバー兵器リスク個人の利益嫌がらせ気晴らし腕試し・実験～1990年代犯罪組織によるサイバークライムビジネス金銭目的 2000年 2005年 2010年単純な攻撃高度な攻撃産業スパイ（クラッカー）（ハッカー）（インサイダー） 2015年国家による攻撃サイバークライム ●BrainBoot／Morrisワーム ●Concept Macro Virus ●Anna Kournikova ●SQL Slammer ●MyDoom ●Storm botnet ●Aurora ●WikiLeaks ●SpyEye／Zeus ●Crimeware as a Service ●ポリモルフィックウィルス ●Melissa ●Sircam ●Blaster ●Netsky ●Koobface ●Mariposa ●Anonimous ●Duqu ●Ransomware as a Service ●Michelangelo ●I love you ●Code Red and Nimda ●ISobig ●Sasser ●Conflicker ●Stuxnet ●LutsSec ●Flame (Locky, Cryptesra, Cerver…) 【参考】 ISACA「Responding to Targeted Cyberattacks」2013年 4 を元に、ソリトンにて追記攻撃の種類ごとの件数推移ハッキング（DoS、SQL-I）マルウェア（ウイルス、RAT等）ソーシャル（フィッシング等）誤操作（設定ミス、紛失）誤用（内部者の権限悪用、違反）物理（盗難、物理的侵入）環境（災害、停電、浸水等）ハッキング、マルウェア、ソーシャルエンジニアリングの増加 ↓ 戦場・ビジネス基盤としての成熟 Verizon' s 2016 Data Breach Investigations Report http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ 5 第5の戦場・犯罪ビジネス基盤 • 国家間のサイバー戦争（第5の戦場） • コストかけずに致命的なダメージを与えることが可能（重要インフラへの攻撃、機密情報窃取など） • 物理攻撃 x サイバー攻撃の組み合わせ • • • • サイバークライム匿名性の高い電子取引基盤の整備（Bitcoin等）ローリスク・ハイリターン無差別～ターゲット（病院等） 6 Crimeware as a Service（例）  分業制で効率アップ・儲かるビジネスとして成立犯罪組織等マネーロンダリングチーム攻撃代行サービス（フォーラム）マルウェア・スパム配信業者マーケティングチームオペレーターチームマルウェア添付フィッシング改竄された悪用された Webサイト Web広告メールメール Exploit Kit チーム使い捨てられる出し子（主婦パート・アルバイト）ランサムウェアチーム BOT端末暗号鍵のやりとり支払 7 ランサムウェアにより人質となったファイル高度な攻撃・より収益アップを目指す Exploit Kit チームランサムウェアチーム最新のゼロデイ攻撃複合化が困難な暗号方式検知されにくいC2通信阻止するのが困難な感染手法高度化ランサムウェア感染 BOT端末一石四鳥 (DDoS兵) 認証情報窃取情報漏えい 8 参考：攻撃表層の拡大（例）攻撃者 Attack Surface 関連企業取引先事業拡大によるシステム追加 DMZ Internet 接続環境内部クラウドサービス従業員の SNSなど開発環境モバイルワークテレワーク Lateral Movement（攻撃の横展開）によりCritical Assetsが狙われる 9 参考：ビジネスに即したリスク特定昨今の攻撃シナリオを理解する  自組織に当てはめてシミュレーションしてみる   重要資産（Critical Assets）は何か？  どのように検知・把握するか？  どこまで縮退できるか？関連企業取引先事業拡大によるシステム追加 DMZ Internet 接続環境内部 10 クラウドサービス従業員の SNSなど開発環境モバイルワークテレワーク切り札としてのエンドポイントセキュリティ 2. サイバー攻撃への対策 11 サイバー攻撃の流れ（Cyber Kill Chain）企業・組織のホームページソーシャルエンジニアリングでの標的型メール調査・攻撃準備 CKC：Reconnaissance ファイル投下 Weaponization 脆弱性攻撃、スクリプト、実行ファイル等で侵入環境整備侵入（感染） Delivery C&Cから RATドロップ Exploitation 12 Installation サーバーを攻略し機密情報を搾取するアカウント情報を窃盗し長期にわたり諜報活動などを行う内部活動目的達成（情報持出等） Command & Control Actions on Objectives サイバー攻撃対策 Sandbox 防御してほしい対応能力高めたい企業・組織のホームページ証拠能力が欲しいソーシャルパターンファイルエンジニアリングでの標的型メール検知能力高めたい調査・攻撃準備 CKC：Reconnaissance ファイル投下 Weaponization 脆弱性攻撃、スクリプト、実行ファイル等で侵入環境整備侵入（感染） Delivery C&Cから RATドロップ Exploitation 13 Installation サーバーを攻略し機密情報を搾取するアカウント情報を窃盗し長期にわたり諜報活動などを行う内部活動目的達成（情報持出等） Command & Control Actions on Objectives エンドポイントでの検知・対応検知・Sandbox製品等での境界防衛は、未知の攻撃を検知するが防御はエンドポイントで実施しないと間に合わない・従来型エンドポイント製品では未知の脅威に対抗できない対応・Sandbox製品等での境界防衛で、脅威検知した後は、エンドポイントでの対応が必須・大規模・多拠点にわたる環境では対応が困難記録分析・ステークホルダーへの説明責任の必要性増加・フォレンジック困難な環境の増加（ SSD、仮想環境など）に伴う、フォレンジックを見据えた環境整備が急務エンドポイントでの脅威検知・インシデント対応をするツール EDR（Endpoint Detection and Response） 14 サイバー攻撃対策 EDR（Endpoint Detection and Reponse）企業・組織のホームページ ①検知 ②対応 ③記録分析 15 ①検知  事後：感染を前提  IOC（Indicator    of Compromise）ファイルハッシュ、レジストリ、プロセス、Mutex、C2等感染状況の把握事前：出来るだけ事前対処  IOA（Indicator  of Attack）侵害されているかもしれない挙動を検知 ※IOAの構成要素として、TTP（Tactics, Techniques and Procedures）と表現されることもある 16 ①検知の手法タイムラグは？収集したログから管理サーバーやクラウドで分析して検知どのようにIOC/IOAを受信するのか？ False Positive（過検知）対策は？ IOCを受信して検知あらかじめ実装されたエンジンで検知 ※ IOAを受信して検知 ※NGAV（Next Generation AntiVirus）ではこの設計思想の製品が多い。 NGAV機能を持つ製品がEDRに入るかどうかは、その他の対応・記録機能の有無による。 17 ②対応  端末隔離（通信制御）  管理用通信のみ残してブロック  ユーザー側にはメッセージ  プロセスやアプリの禁止・終了  稼働しているプロセスは終了、未稼働であれば実行禁止  どこまで自動化するか？ 18 ③記録分析  想定される状況  ステークホルダーへの説明責任を果たす    外部から指摘を受けた場合こちらが多い既に業務停止・制限してしまっている状況内部不正の対応もこちらに近いが、より長期間の通常オペレーションのログ解析も必要となる場合もある  リアルタイムのインシデント調査に活用  業務継続が優先される場合、証拠保全を諦めざるをえないケースもある 19 ③記録の種類と取扱いどれぐらい保存可能か？オンプレミス・クラウドのどのタイプを選択するか？（センシティブな情報を含むログが含まれる可能性あり）誰が分析するのか？ダンプファイルの保存先・送付は？ PCへの影響・負荷は？メモリ・ディスク・パケット等の各種ダンプ PCセキュリティログ（ユーザーレベル、カーネルレベル） ※上記では表現できていませんが、サイバー攻撃対策だけではなく、内部不正にも対応する製品では、より継続的・長期のPCセキュリティログ取得・分析に重点を置き、オンプレミス構成となる傾向にあります。内部不正も視野に入れて対策を検討する際には、この点の考慮も必要です。 20 ③記録 - 証拠保全  証拠保全  事故や不正行為、犯罪といったインシデントに関わるデジタル機器に残されたデータの中から、電磁的証拠となり得るものを、確実に、そのまま（As-is）で、収集（Collection）・取得（Acquisition）し、保全（Preservation）しておくことフォレンジックでは、原則、コピーである保全データを調査する直接調査しないディスク、メモリ状態などを完全にコピー（署名付き） ※訴訟に利用する証拠保全は、専門家に依頼なさることをお勧めします 21 様々なEDR 内容検知対応記録分析感染を前提とした事後対策初期EDR 予防重視タイプ ○ ○ 出来る限りの事前対策 ○ 端末隔離 ○ ○ プロセス・アプリ制御 ○ ○ 全容解明 ○ リアルタイムの調査 ○ ※上記はあくまで典型例であり、特定の製品を示しているものではありません。 22 考慮すべきポイントは？ 3. まとめ 23 EDRで実現できるようになること検知感染を前提に、端末を特定 Sandboxをすり抜ける未知脅威を検知対応感染端末の隔離マルウェアの起動禁止・ブロック記録分析ステークホルダーへの説明リアルタイムなインシデント調査しかし、100%検知は無い。過検知（False Positive）もある。どのような運用が発生するのかを踏まえておくべき 24 事前・事後の対応の違い企業・組織のホームページ調査・攻撃準備 CKC：Reconnaissance 攻撃前ファイル投下 Weaponization 環境整備侵入（感染） Delivery Exploitation Installation 内部活動目的達成（情報持出等） Command & Control Actions on Objectives 侵入前侵入後過検知対応インシデント対応（False Positive） 25 EDR選択時に考慮すべきこと内容検知対応記録分析検知時の対応感染を前提とした事後対策予防重視タイプ ○ ○ 出来る限りの事前対策 ○ 端末隔離 ○ ○ プロセス・アプリ制御 ○ ○ 全容解明 ○ リアルタイムの調査検知イベントの正誤を判断する情報上記を支援するサービスインシデント調査次の一手初期EDR （専門家によるフォレンジック） eDiscovery ○ ？？？？？？？？ ※上記はあくまで典型例であり、特定の製品を示しているものではありません。 26 まとめ  サイバー攻撃の現状  犯罪組織が背景のケースが増加  インシデントを避けられない時代となった  サイバー攻撃対策  エンドポイントセキュリティ対策（EDR)でこれまでの課題を解決する機能は提供可能  運用面、EDRで何を実現するのか？が鍵となる 27 参考：ソリトンシステムズのご提案 for Cyber 内容検知検知対応記録分析運用支援サービスヘルプデスク記録分析脅威判定支援フォレンジック関連サービスインシデント調査検知時の対応 eDiscovery トレーニング製品関連対応次の一手フォレンジック 28 Mark II 感染を前提とした事後対策 ○ 出来る限りの事前対策 ○ 端末隔離 ○ プロセス・アプリ制御 ○ 全容解明 ○ リアルタイムの調査 ○ 検知イベントの正誤を判断する情報 ○ 上記を支援するサービス ○ インシデント調査（専門家によるフォレンジック） ○ eDiscovery ○ 参考：フォレンジック事業の強化電子証拠開示保守サービス法律事務所・法務・知財部デジタル鑑識運用サービス法執行機関・警察・検察・海保サイバーセキュリティ ITセキュリティ製品開発官庁・大企業調査サービス（旧Ji2）フォレンジック関連トレーニング教育サービス【グローバル専門職の技術者集団】（旧Ji2）不正検査鑑識/調査分析/解析フォレンジック現場の知見を製品開発に生かすセキュリティフォレンジック専門企業であるJi2をシステム監査 2014年6月に子会社化、 2016年10月に吸収合併し、事業強化  サイバー攻撃のインシデント調査から内部不正事案のeDiscoveryまで、サービス・トレーニング提供  29 株式会社ソリトンシステムズ http://www.soliton.co.jp/ 〒160-0022 東京都新宿区新宿2-4-3 TEL 03-5360-3811 [email protected] 大阪営業所06-6821-6777 福岡営業所092-263-0400 名古屋営業所052-217-9091 東北営業所022-716-0766 札幌営業所011-242-6111 ※本資料に記載の商品・サービス名は、各社の商標または登録商標です。 30