toto_1212

技術のログをツラツラ書きます。自分用ですが参考にしていただけたら嬉しいです。間違ってたらドンドン突っ込んでください。

【勉強会】サイバー攻撃の脅威とその対策

ちょっと鮮度は落ちてしまいましたが、5/26にeLV勉強会で「サイバー攻撃の脅威と
その対策」に参加したのでメモを書きます。
情シス部門やこれからセキュリティを始めようとする方にはぴったりな内容でした。
スライドや講師に関しましては許可を得ていませんので記載は控えます。learningvesper.doorkeeper.jp

情報セキュリティとは

3つの大きな要素(CIA)
 ・機密性
 ・可用性
 ・完全性

3つの要素がそろっていないと情報セキュリティが守れているとは言えない

機密性:失われると秘密にしておきたい事が秘密ではなくなる。
完全性:仕舞っていたものが、おかしくなってしまう。
        (サーバの情報が改ざんされる)
可用性:使いたい時に使えない

セキュリティ対策の前提
ガバナンス系(内部脅威)
 情報漏えい等
サイバーセキュリティ(外部脅威)
 サイバー攻撃

サイバーセキュリティのお話
 脅威の特徴
  ・目に見えない(攻撃に気がつかない場合がある)
  ・攻撃側優位(攻撃側は自由(スキル高)だが、守る側はサラリーマン(
   知識が無い)ケースが多い)
  ・腕次第(若くても一人で国家機関を落とすことも可能)

サイバー脅威は「国家」によるもの「犯罪者」よるものの2種類ある
国家:スパイ、通信傍受(政治的動向調査)、知的財産(軍事機密)、破壊工作等

知的財産の例
最近は薬産業が狙われやすい、1種類作るのに1,000億ほどかかるので、それらの
情報を盗んで自国の財産にする。

2009年にはアメリカ国防総省でF35戦闘機の情報が盗まれた。2014年、2015年
にも盗まれている。その結果かどうかは不明だが中国の戦闘機が似ていた。

破壊工作の例
破壊工作は不要なものを壊す行為
 ・北朝鮮が行ったといわれているSonyPictures社内PCの破壊
 ・アメリカが行ったといわれているウラン生成施設に向けての
  ウイルス混入(スタックスネット)
スタックスネット - Wikipedia


このような破壊工作は各国の政府間で行われていることから「第五の戦場」と
呼ばれている。
 ・人民解放軍 ▶ 数万人単位でサイバー攻撃を行う部隊がいる(61398部隊︎)
         アメリカ政府が指名手配している。
中国サイバー軍 - Wikipedia
  ・北朝鮮 ▶︎ サイバー攻撃は足がつきにくい。核ミサイル同様にサイバー攻撃
        重要視している。
  ・アメリカ ▶︎ 陸・海・空・宇宙に続く第五の戦場としてサイバー攻撃を定義
         している。サイバー軍も創設している。
  ・イスラエル ▶︎ 近隣国が敵国にかこまれており、サイバー軍事に力を入れている

犯罪としてのサイバー脅威

 麻薬取引は中南米で汚職まみれで政府を巻き込んで麻薬組織が牛耳っている最中、
 それを上回る額のサイバー犯罪がある。

 企業がサイバー攻撃により被った平均コスト(謝罪料金も含む)
   ※ヒューレットパッカード調べ

  → 7億800万円

狙われるのは大きい会社ではなく、小さい会社も同様に標的にされている。
小さい企業は守りが浅いので狙われやすい傾向も。

東京オリンピックに向けて攻撃増加の懸念がある。
 → サイバー犯罪者にとっても祭典。
  2013年度の全体の攻撃で508万件を記録。(1年間)
  2012年のロンドンオリンピックでは期間中だけで2億件(2週間程度)
  日本のオリンピックでも相当な攻撃がくると予想される。
  (ここ数年で市場が伸びる ※4%程度)

攻撃の数の割には市場の伸びが少ない。何故?
 → サイバーセキュリティ技術者が足りていない。
   日本国内で26.5万人(推定)居るといわれている。
   現時点で8万人足りていないといわれている。しかも26.5万人居る中で
   16万人は技術スキル足りていない
  (本来の業務にスキルレベルが足りていない)という調査結果が出ている。

セキュリティ対策を国策として推進
 → サイバー新戦略(セキュリティはコストではなく投資へ) 

サイバー脅威の種類を知る

 2015年版 情報セキュリティ10大脅威の中から一部を解説。

1位  インターネットバンキングやクレジットカードの不正利用
2位  内部不正による情報漏えい
3位  標的型攻撃による諜報活動
4位  ウェブサービスへの不正ログイン
5位  ウェブサービスからの顧客情報の搾取
6位  ハッカー集団によるサイバーテロ
7位  ウェブサイトの改ざん
8位  インターネット基盤技術を悪用した攻撃
9位  脆弱性公表に伴う攻撃
10位  悪意あるスマートフォンアプリ


1位  インターネットバンキングやクレジットカードの不正利用
インターネットの口座からいつの間にかお金がなくなっているという被害が最近多い

あまりに犯行が多く銀行サイトのトップページが警告だらけに。
昨年の被害額は29億1000万円に達している。
法人が多かったせいか被害額が大きかった。

フィッシングサイトと呼ばれる手法。
 → 偽の案内メールでIDやパスワード入力してしまい、その情報が盗まれお金を抜き出される。

ファーミング
 → マルウェアを利用してhostsファイルを書き換えて悪意あるサイトへの誘導

DNSキャッシュポイズニング
 → DNSレコードを書き換えられてしまい、悪意あるサイトへ誘導されてしまう。
  ここまでいくとユーザー側で対処は難しい。

MITB
 → クライアントPCにマルウェアを仕込まれ、正常な銀行サイトへアクセスし、
   振込するなどの行為の時に、マルウェアが発動し情報を書き換えられてしまい
   別の口座に送金されてしまう。
   銀行側、ユーザー側は見た目上、正常なやり取りなため気づかない。

3位  標的型攻撃による諜報活動
特定のターゲットを狙った攻撃。高度な手法が使われている事が多いため気づきにくい。

事例としてはアメリカの「TARGET社」があり、POSレジがマルウェアに感染
 → 4,000万のクレジット情報、7,000万件の個人情報漏えい
  出入りの空調業者がメンテナンスのために持っていたIDが盗まれた

日本では「三菱重工」が被害にあっている。
 → 軍事関連情報が多く、加盟していた航空宇宙関連の協会を踏み台に侵入

各社とも自社のセキュリティレベルは高いもの、脆弱な部分が突かれてしまった。

メール添付でのファイルを送りつけてくる。
 ・偽装して社長からのメールとしてPDFを添付
 ・採用関連と称して添付付きで送付
悪意あるユーザは興味のある内容(開かざる得ない)情報を付加して送りつけてくる。

7位  ウェブサイトの改ざん
8割程度の方がパスワードの使い回しをしていると一般的にいわれている。

不正ログインが頻発
昨年の2月〜5月にかけて、JALANAといった大手を筆頭にたくさんの企業が
被害があっている。

方法は、ブルートフォース(総当たり)、辞書攻撃(辞書DB利用)といった方法が多かったが
ログイン試行回数制限などで利用が出来なくなっている。
攻撃者が逆の発想で仕掛けてくる
 → リバースブルートフォースアタック
   パスワードは固定してIDを変更していく。
   サービス側は単にユーザーが間違えているようにしか見えない。
   実際はIPが同じだったりするので、制限されると思われる

【参考】ブルートフォースに攻撃に要する時間
アルファベット4桁(大文字/小文字区別無し) 3秒
アルファベット4桁(大文字/小文字区別)   2分
アルファベット6桁(大文字/小文字区別無し) 37分
※アルファベット6桁でも大文字/小文字区別無しだと簡単に解かれてしまう。
 しかもこの統計自体が古くCore2 DuoのCPUでの話なので現代のCPUだと比べ物に
 ならないくらい早く解かれてしまう。

なので8桁以上のパスワードが推奨されている。

パスワードの使い回しの危険性(パスワードリスト攻撃)
 あるサイトでパスワードが盗まれた場合、別のサイト(堅牢であっても)で
 同じIDパスワードで試されてしまう。
 どんなに堅牢なサーバでも正規なユーザーでアクセスされるので通過してしまう。

7位  ウェブサイトの改ざん
webサイトが書き換えを行われてしまう。昨年は7000件を超える。

悪意あるユーザーから見て企業規模は関係ない。やれるところをやる。

最近は見た目の変化が無いような書き換えがされている。
密かに裏側でマルウェアをインストールされてしまう事もある。

webサイトに書き込まれる手段
 ・webサイトの管理者PCをウイルス等で乗っ取る(認証情報搾取)
 ・webサイトを動かしているサーバの脆弱性を突く

10位  悪意あるスマートフォンアプリ
スマホを狙った不正なサイト、不正なアプリが多くなっている

何故多いのか?
 スマホの普及率が高く出荷台数が多い
 ITリテラシの低さ(google playとかに置いておくと勝手にインストールして
 くれる)
  ※appleは登録が厳しいため、androidの方が多い

サイバー脅威に備える

ウイルス対策ソフト
 → 基本中の基本
  
1日に出現するマルウェアの数は?
 → 数十万以上

毎日315,000の新種が出てくる @2013年 カスペルスキー
7割は1回限りで姿を消す @2014年 ファイア・アイ

virus total
 → googleが提供しているウイルススキャンサービス
  (約50種類程度のエンジンでスキャン)
  怪しいものがあるとgoogleがベンダに情報を提供するwww.virustotal.com


逆に有料で怪しいものが見つかっても提供しないというサービスもある。
(スキャンフォーユー)
 → ウイルス作者がアンチウイルスソフトに検知されないかを確認するため。    scan4you.net


ウイルス対策は「指名手配の悪人を防ぐ」もの。壁に穴(脆弱性)があいている
ようでは泥棒から守る事は出来ない。
ウイルス対策ソフトですべての侵入は防げない。

パッチ
 → 開発者の予想しなかった見落としを埋めるもの

JAVAアプリケーションが狙われやすい(JRE
Oracleがあまり更新(脆弱性対処)してくれない。
利用しないのであれば消してしまう。
 
IPAで主要アプリケーションが最新になっているかを確認するツール
配布している。
 → MyJVNバージョンチェッカ
MyJVN - MyJVN バージョンチェッカ


Micorsoftからは脆弱性緩和ツールが提供されている。
(不具合修正でなく、プロセスの強制終了)
 → EnhancedMitigationExperienceToolkit(EMET)
Microsoft Privacy Statement

パスワード
 パスワードは使い回さない、単純なパスワードは使わない
  → ではどうする?
   → 文章や自分なりの法則を使う

パスワード管理ツールを利用することも効果ある

二段階認証が利用できるのであれば利用する。
 → メールやコード送信といった追加認証が要求される。

バックアップ
 セキュリティの観点からもバックアップした方がよい

勝手に暗号化してしまうウイルス
 → 解いて欲しかったら金銭を要求。
  しかしながら強力な暗号化してしまうため、例えウイルス駆除が出来ても
  データが戻らないケースが多い

そういう意味でもバックアップが重要