Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策

あいつぐ「脆弱性」の発覚 • マイクロソフト関連（月間数個のオーダー） • http://www.microsoft.com/japan/technet/security/ • オープンソース系 • Apache（Webサーバ） • Bind（DNSサーバ・リゾルバ） • Sendmail （メールサーバ） • OpenSSL（SSL 関連ライブラリ・ツール） Sumisho Electronics Co., Ltd. All right reserved.

あなどれない「脆弱性」 • バッファオーバフロー（オーバラン）の脅威 • 最も深刻な脆弱性のひとつ • 攻撃者が外部から任意のプログラムを送り込める可能性が生じる • 結果として、システム乗っ取り、侵入へ発展 • 攻撃コード（Exploit）の作成は高度な技術 • しかし、公開されたExploitは誰でも簡単に利用可能＝ワームに流用も可能 Sumisho Electronics Co., Ltd. All right reserved.

バッファオーバフローの原因・危険性 • プログラマの不注意によって生じるセキュリティ問題 • Ｃ言語などのプログラミングの「手抜き」が原因 • 外部から与えられるデータを格納するバッファサイズが小さい • 不正に大きなデータをチェックせず、バッファがあふれてしまう • プログラムの実行制御領域を故意に操作可能 • プログラムの制御を乗っ取れる可能性 Sumisho Electronics Co., Ltd. All right reserved.

バッファオーバフロー攻撃の特性 • プラットホーム（H/W, OS）への依存性が強い • 同種のソフトウエアでも、MPUが異なったりOSが異なると、同じ攻撃コードは基本的には使えない • 攻撃コードを作成するには以下の条件が必要 • 機械語命令（バイナリ）仕様が公開されているＭＰＵを使用したシステムであること • ＯＳや該当ソフトウエアのバイナリが広く入手可能（ソースコードの有無は攻撃コードの開発にはあまり重要ではない） Sumisho Electronics Co., Ltd. All right reserved.

ネットワークワーム • インターネットなどのネットワークを介して感染を広げる悪性プログラム • 最初は１９８８年のインターネットワーム（Morris)事件 • 一夜にして６０００台以上のコンピュータに感染 • 黎明期のインターネットに衝撃を与えた • CERT/CC 設立のきっかけに • ２０００年以降、頻繁に出現 • その多くがバッファオーバフロー脆弱性を足がかりに • CodeRed, Nimda, Slammer ……そして Sumisho Electronics Co., Ltd. All right reserved.

問題の本質は・・・・ • MS03-026DCOM/RPC Buffer Overflow • 情報公開は 7/17 • 当初からワームに利用される可能性が議論され、 • ７月下旬には Exploit 確認・・・・・ • ８月上旬、各所から対策に関する注意喚起・・・ • 8/12 Blaster 発生確認 • お盆休み明け感染の可能性を警告（新聞、TV等）これだけの情報は、どこへ消えたのか・・・・・・ Sumisho Electronics Co., Ltd. All right reserved.

意識改革が必要！！！ • その後の脆弱性は大丈夫？ • MS03-043 メッセンジャーサービスの脆弱性 • MS03-049 ワークステーションサービスの脆弱性 • それでも入ったら・・・・ • どうやって発見するか • どうやって拡大を阻止するか • どうやって駆除するか • いかにきちんと「反省」するか • いかに、「反省」を次に生かすか Sumisho Electronics Co., Ltd. All right reserved.

本当に怖いのは・・・・・ • 特定の組織を狙い撃ちするスパイワーム • ゆっくりと感染（表面化しにくい感染方法） • 特定の情報を収集して外部に送信（Webアクセスなどを偽装） • 痕跡を消して自己消滅（後から発見はきわめて困難） • 特定の組織を狙ったサイバーテロ • ゆっくりと多数のＰＣ、サーバに感染 • 特定の日時または外部からの指示まで潜伏 • 重要ファイルを消去してから自己消滅 Blaster を作る技術があれば、簡単に作ることが可能な点が重要！！！ Sumisho Electronics Co., Ltd. All right reserved.

ネットワークワームの教訓 • 内部ネットワークはもはや安全ではない • Internet 境界のファイアウォールやIDSは万能にあらず • 従来型の「ウイルス対策」の限界 • 本質的に後手の技術 • 「拡散したウイルス・ワーム」が対象 • 総合的セキュリティ対策の必要性 • ハッカー対策とウイルス・ワーム対策は不可分である • 予防対策 • 侵害の検知 • インシデント対応 • リカバリー Sumisho Electronics Co., Ltd. All right reserved.

ウイルス・ワームへの対策 • 既知ワームには予防的（確定的）な対策が可能 • アンチウイルスソフト、システムの導入 • IDS による既知ワームシグネチャ検知 • ファイアウォールによる特定サービスのブロック • 未知のワームへの予防的対応は困難 • アンチウイルスソフトの未知ウイルス・ワーム発見機構は不確実 • IDSによる検知はIDSのタイプによる • 公開が必要なサービスを経由した攻撃にはファイアウォールは無力 • 既知脆弱性には必ずパッチを！！ • 　でも未公開の脆弱性は存在する・・・・ Sumisho Electronics Co., Ltd. All right reserved.

不正行為、セキュリティ侵害の検知 • 検知なくして対応なし • 比較的簡単な検知 • 既知の攻撃の検出　（ＩＤＳ） • 不正なトラフィックの検出　（F/W 拒否ログなど） • 不正なアカウントアクセスの検出（認証ログなど） • 難しい検知 • 異常なトラフィックの検知 • ポリシー違反もしくは特異な行動の検知 • 正規ユーザの不正行為・正規の通信にみせかけた不正な通信 Sumisho Electronics Co., Ltd. All right reserved.

未知ワームを検知するには・・・ • IDS は「ある程度」有効 • 攻撃コード（Exploit）ベースのシグネチャか、脆弱性（Vulnerability）ベースのシグネチャか・・・による • 前者は既知のexploitコードを使ったものしか検知できない • 後者は未知の攻撃コードでも検知可能な場合あり • １００％あてにはできない Sumisho Electronics Co., Ltd. All right reserved.

ＩＤＳの補完 • アノマリー（異常）検出 • 通常ありえない高い（低い）トラフィック • 通常使わないサービス、プロトコル • 通常ありえない時間帯の利用 • 通常あり得ない宛先または発信元　　・・・・など • ポリシー違反 • 使ってはいけないサービス・プロトコル • アクセスしてはいけない相手方 • 使ってはいけないアカウントやホスト（アドレス）　　　・・・など Sumisho Electronics Co., Ltd. All right reserved.

ワームによって生じうるアノマリー • 高トラフィックの発生 • ホスト・ポートスキャンの発生 • 特定サービストラフィックの増加 • クライアントＰＣへ向けたサービスアクセスの発生（連鎖的発生） • 全般的なアクセス傾向の変化（これまでほとんどアクセスがなかったサイトなどへのアクセス増加）　　　　　　・・・・・・など Sumisho Electronics Co., Ltd. All right reserved.

そして監視・・・・・されど・・・ • アノマリー発見は「職人芸」と「カン」の世界？ • 複数の機器の並行監視 • オペレータが複数では機器間の関連性分析は困難 • 「いやな雰囲気」の尺度は経験値 • トラフィック異常などの統計的アノマリーは熟練者でないと判断が難しい（確率的） • 人間にミスはつきもの！？ • オペレータ用マニュアルどおりに運用できているか？ Sumisho Electronics Co., Ltd. All right reserved.

総合的な監視の必要性 • 適切な検知機構 • IDS, F/W, 各種ログを適切に配置 • アラーム、ログを一元的に収集・管理 • アノマリー検出機能 • アノマリーセンサ • ログ、アラームのアノマリー監視 • 関連性分析機能 • 時系列かつ複数監視点におけるイベント相関分析 • オペレータマニュアルに書かれたチェック手順の自動化 Sumisho Electronics Co., Ltd. All right reserved.

統合監視システムの条件 • マルチベンダ機器対応 • 単にログ、イベントを収集するだけではなく、きちんと正規化して統一的に管理。 • 関連性分析機能 • 任意の条件による分析をプログラム可能。 • 機種依存のないプログラミング方法の提供。 • 傾向分析・追跡調査機能 • 攻撃などの傾向分析と直感的表示 • 発生した攻撃に関する各種の追跡調査機能 • スケーラビリティ（中～大規模サイトへの対応） Sumisho Electronics Co., Ltd. All right reserved.

統合監視システムの基本デザイン リアルタイム分析＋イベントデータ蓄積イベント情報の収集と標準化監視＋調査機能デバイスマネージャ Correlation Engine 監視コンソールエージェントデバイス監視コンソールデバイスエージェントＷｅｂコンソールデバイス Event Database Oracle/DB2 エージェントＷｅｂコンソールデバイス Sumisho Electronics Co., Ltd. All right reserved.

異常を見つけたら・・・・・・ • 誤報の排除 • 関連性分析で誤報の可能性は少なくできる • 一般のワームのような多発性の事象は、検知されれば誤報の可能性は低い • 単発の事象は、まずそのターゲット、ソースの調査を • インシデントレスポンス • 侵入・感染対象の切り離し、隔離、確保 • 暫定的再発防止措置　（サービスのブロック、利用停止、ネットワークの切り離し・・・・・・） • 侵入経路、攻撃種類、影響の調査・解明 Sumisho Electronics Co., Ltd. All right reserved.

インシデントレスポンス • インシデント＝事件、事故　への事後対応 • インシデントの種類を想定したシナリオが必要 • 侵入の成功（が疑われるケース） • ワーム・ウイルス感染（が疑われるケース） • 正規ユーザの不正行為（が疑われるケース） • サービス妨害（が疑われるケース）　・・・・など • 対応マニュアルの整備 • 防災（防犯）訓練の実施 Sumisho Electronics Co., Ltd. All right reserved.

たとえば、ワーム感染の対応例 • 感染機器またはネットワークの隔離 • 基幹ネットワークのケーブルを抜く • ワームが使用するサービスをフィルタする • 感染した機器の確認と駆除 • 駆除ツールの入手（可能ならば） • セグメント単位で、駆除もしくは再インストールを含むリカバリの実施 • リカバリ終了したセグメントから基幹に再接続 Sumisho Electronics Co., Ltd. All right reserved.

内部ネットワークのセキュリティ設計 監視・インシデント対応の観点から見た • インシデント発生時に隔離が可能な構成 • 各セグメントを（できれば一カ所で）分離可能な設計に（カスケード接続を減らす） • 適切な防火ドア（ファイアウォール）の設置 • インシデントの位置を特定できるような設計 • IDS 等のセンサを要所に配置 • ファイアウォール、サーバなどのログの集中管理 • 発信元アドレスから使用者を特定できるとベター • 関連性分析が可能な機器配置 Sumisho Electronics Co., Ltd. All right reserved.

セキュリティシステムの導入・運用 • 目的に応じた機器導入・配置 • 何をしたいかによって構成は変化する • 防御目的の機器、監視機器、そして配置 • 目的に応じた監視 • 防御機器の動作状況 • 監視機器のアラーム • 関連性分析 • インシデントレスポンス • 「対応」できなければ「監視」の意味は半減 Sumisho Electronics Co., Ltd. All right reserved.

Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策