blaster n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策 PowerPoint Presentation
Download Presentation
Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策

Loading in 2 Seconds...

play fullscreen
1 / 36

Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策 - PowerPoint PPT Presentation


  • 107 Views
  • Uploaded on

本当に怖いのは何??. Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策. 住商エレクトロニクス株式会社 エスシー・コムテクス・カンパニー セキュリティ技術部              二木真明. IPAへのウイルス、ワーム届出状況. http://www.ipa.go.jp/security/txt/2003/11.html より引用. IPAへの不正アクセス届出状況. http://www.ipa.go.jp/security/crack_report/20031105/0310.html                      より引用.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Blaster ワームの教訓と 企業内部ネットワークのセキュリティ対策' - kasie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
blaster

本当に怖いのは何??

Blaster ワームの教訓と企業内部ネットワークのセキュリティ対策

住商エレクトロニクス株式会社

エスシー・コムテクス・カンパニー

セキュリティ技術部

             二木真明

Sumisho Electronics Co., Ltd. All right reserved.

slide2
IPAへのウイルス、ワーム届出状況

http://www.ipa.go.jp/security/txt/2003/11.htmlより引用

Sumisho Electronics Co., Ltd. All right reserved.

slide3
IPAへの不正アクセス届出状況

http://www.ipa.go.jp/security/crack_report/20031105/0310.html

                     より引用

Sumisho Electronics Co., Ltd. All right reserved.

slide4
あいつぐ「脆弱性」の発覚
  • マイクロソフト関連(月間数個のオーダー)
    • http://www.microsoft.com/japan/technet/security/
  • オープンソース系
    • Apache(Webサーバ)
    • Bind(DNSサーバ・リゾルバ)
    • Sendmail (メールサーバ)
    • OpenSSL(SSL 関連ライブラリ・ツール)

Sumisho Electronics Co., Ltd. All right reserved.

slide5
あなどれない「脆弱性」
  • バッファオーバフロー(オーバラン)の脅威
    • 最も深刻な脆弱性のひとつ
    • 攻撃者が外部から任意のプログラムを送り込める可能性が生じる
    • 結果として、システム乗っ取り、侵入へ発展
    • 攻撃コード(Exploit)の作成は高度な技術
    • しかし、公開されたExploitは誰でも簡単に利用可能=ワームに流用も可能

Sumisho Electronics Co., Ltd. All right reserved.

slide6
バッファオーバフローの原因・危険性
  • プログラマの不注意によって生じるセキュリティ問題
  • C言語などのプログラミングの「手抜き」が原因
    • 外部から与えられるデータを格納するバッファサイズが小さい
    • 不正に大きなデータをチェックせず、バッファがあふれてしまう
  • プログラムの実行制御領域を故意に操作可能
    • プログラムの制御を乗っ取れる可能性

Sumisho Electronics Co., Ltd. All right reserved.

slide7

引数領域

実行制御領域

bfr[128]

スタックメモリ領域

バッファオーバフロー可能性の一例

void function1(int abc)

{

char bfr[128];

gets(bfr);

if (bfr[0] != ‘\n’)

{

…….

…….

Sumisho Electronics Co., Ltd. All right reserved.

slide8
バッファオーバフロー攻撃の特性
  • プラットホーム(H/W, OS)への依存性が強い
    • 同種のソフトウエアでも、MPUが異なったりOSが異なると、同じ攻撃コードは基本的には使えない
  • 攻撃コードを作成するには以下の条件が必要
    • 機械語命令(バイナリ)仕様が公開されているMPUを使用したシステムであること
    • OSや該当ソフトウエアのバイナリが広く入手可能(ソースコードの有無は攻撃コードの開発にはあまり重要ではない)

Sumisho Electronics Co., Ltd. All right reserved.

slide9
ネットワークワーム
  • インターネットなどのネットワークを介して感染を広げる悪性プログラム
    • 最初は1988年のインターネットワーム(Morris)事件
      • 一夜にして6000台以上のコンピュータに感染
      • 黎明期のインターネットに衝撃を与えた
      • CERT/CC 設立のきっかけに
  • 2000年以降、頻繁に出現
    • その多くがバッファオーバフロー脆弱性を足がかりに
    • CodeRed, Nimda, Slammer ……そして

Sumisho Electronics Co., Ltd. All right reserved.

blaster welchia
Blaster, Welchia………
  • 大騒ぎになる理由
    • 派手な感染劇と報道
  • 感染した理由
    • パッチの当て忘れ、怠慢、その他の「事情」・・・・・
  • 被害
    • 大騒ぎによる業務停止
    • 駆除の労力
    • 面目まる潰れ・・・・ (極秘に処理)

Sumisho Electronics Co., Ltd. All right reserved.

slide11
不幸中の幸い・・・・・
  • PCの中身は破壊されたか?
    • ファイル破壊などはなし
  • 重要情報は漏洩したか?
    • ファイル持ち出しなどはなかった
    • キーロギングなどその他の漏洩もなかった
  • バックドア?
    • あるにはあったが・・・・・

Sumisho Electronics Co., Ltd. All right reserved.

slide12
大騒ぎの顛末
  • MS03-026対策パッチはみんなあてた・・・・
    • それだけ??????
  • 魔女狩り
    • いったい誰が持ち込んだんだ!!!!
      • 責任者は誰だ
      • 今度やったらクビだ!!!!!

Sumisho Electronics Co., Ltd. All right reserved.

slide13
問題の本質は・・・・
  • MS03-026DCOM/RPC Buffer Overflow
    • 情報公開は 7/17
    • 当初からワームに利用される可能性が議論され、
    • 7月下旬には Exploit 確認・・・・・
    • 8月上旬、各所から対策に関する注意喚起・・・
    • 8/12 Blaster 発生確認
    • お盆休み明け感染の可能性を警告(新聞、TV等)

これだけの情報は、どこへ消えたのか・・・・・・

Sumisho Electronics Co., Ltd. All right reserved.

slide14
意識改革が必要!!!
  • その後の脆弱性は大丈夫?
    • MS03-043 メッセンジャーサービスの脆弱性
    • MS03-049 ワークステーションサービスの脆弱性
  • それでも入ったら・・・・
    • どうやって発見するか
    • どうやって拡大を阻止するか
    • どうやって駆除するか
    • いかにきちんと「反省」するか
    • いかに、「反省」を次に生かすか

Sumisho Electronics Co., Ltd. All right reserved.

slide15
本当に怖いのは・・・・・
  • 特定の組織を狙い撃ちするスパイワーム
    • ゆっくりと感染(表面化しにくい感染方法)
    • 特定の情報を収集して外部に送信(Webアクセスなどを偽装)
    • 痕跡を消して自己消滅(後から発見はきわめて困難)
  • 特定の組織を狙ったサイバーテロ
    • ゆっくりと多数のPC、サーバに感染
    • 特定の日時または外部からの指示まで潜伏
    • 重要ファイルを消去してから自己消滅

Blaster を作る技術があれば、簡単に作ることが可能な点が重要!!!

Sumisho Electronics Co., Ltd. All right reserved.

slide16
ネットワークワームの教訓
  • 内部ネットワークはもはや安全ではない
    • Internet 境界のファイアウォールやIDSは万能にあらず
  • 従来型の「ウイルス対策」の限界
    • 本質的に後手の技術
    • 「拡散したウイルス・ワーム」が対象
  • 総合的セキュリティ対策の必要性
    • ハッカー対策とウイルス・ワーム対策は不可分である
    • 予防対策
    • 侵害の検知
    • インシデント対応
    • リカバリー

Sumisho Electronics Co., Ltd. All right reserved.

slide17
予防対策
  • 侵入経路の封鎖
    • ファイアウォール・IDPSの利用
    • アンチウイルスシステム
    • 機器の物理的保護
    • パスワード管理など、認証、ユーザ管理の徹底
  • 脆弱性の排除
    • セキュリティパッチの適用確認
  • セキュリティポリシーの徹底
    • ユーザ教育

Sumisho Electronics Co., Ltd. All right reserved.

slide18
ウイルス・ワームへの対策
  • 既知ワームには予防的(確定的)な対策が可能
    • アンチウイルスソフト、システムの導入
    • IDS による既知ワームシグネチャ検知
    • ファイアウォールによる特定サービスのブロック
  • 未知のワームへの予防的対応は困難
    • アンチウイルスソフトの未知ウイルス・ワーム発見機構は不確実
    • IDSによる検知はIDSのタイプによる
    • 公開が必要なサービスを経由した攻撃にはファイアウォールは無力
    • 既知脆弱性には必ずパッチを!!
      •  でも未公開の脆弱性は存在する・・・・

Sumisho Electronics Co., Ltd. All right reserved.

slide19
不正行為、セキュリティ侵害の検知
  • 検知なくして対応なし
  • 比較的簡単な検知
    • 既知の攻撃の検出 (IDS)
    • 不正なトラフィックの検出 (F/W 拒否ログなど)
    • 不正なアカウントアクセスの検出(認証ログなど)
  • 難しい検知
    • 異常なトラフィックの検知
    • ポリシー違反もしくは特異な行動の検知
    • 正規ユーザの不正行為・正規の通信にみせかけた不正な通信

Sumisho Electronics Co., Ltd. All right reserved.

slide20
主なワームの挙動

Sumisho Electronics Co., Ltd. All right reserved.

slide21
未知ワームを検知するには・・・
  • IDS は「ある程度」有効
    • 攻撃コード(Exploit)ベースのシグネチャか、脆弱性(Vulnerability) ベースのシグネチャか・・・による
    • 前者は既知のexploitコードを使ったものしか検知できない
    • 後者は未知の攻撃コードでも検知可能な場合あり
    • 100%あてにはできない

Sumisho Electronics Co., Ltd. All right reserved.

slide22
IDSの補完
  • アノマリー(異常)検出
    • 通常ありえない高い(低い)トラフィック
    • 通常使わないサービス、プロトコル
    • 通常ありえない時間帯の利用
    • 通常あり得ない宛先または発信元

  ・・・・など

  • ポリシー違反
    • 使ってはいけないサービス・プロトコル
    • アクセスしてはいけない相手方
    • 使ってはいけないアカウントやホスト(アドレス)

   ・・・など

Sumisho Electronics Co., Ltd. All right reserved.

slide23
ワームによって生じうるアノマリー
  • 高トラフィックの発生
  • ホスト・ポートスキャンの発生
  • 特定サービストラフィックの増加
  • クライアントPCへ向けたサービスアクセスの発生(連鎖的発生)
  • 全般的なアクセス傾向の変化(これまでほとんどアクセスがなかったサイトなどへのアクセス増加)

      ・・・・・・など

Sumisho Electronics Co., Ltd. All right reserved.

slide24
アノマリー・ポリシー違反検出の方法
  • アノマリー検出型やポリシー違反検出型IDSの利用
  • 各種アクセスログ、トラフィックログに対するルールチェックもしくは統計処理
  • 上記について複数のログ、アラームの複合条件によるチェック(関連性分析/相関分析)

Sumisho Electronics Co., Ltd. All right reserved.

slide25
そして監視・・・・・されど・・・
  • アノマリー発見は「職人芸」と「カン」の世界?
    • 複数の機器の並行監視
      • オペレータが複数では機器間の関連性分析は困難
    • 「いやな雰囲気」の尺度は経験値
      • トラフィック異常などの統計的アノマリーは熟練者でないと判断が難しい(確率的)
  • 人間にミスはつきもの!?
    • オペレータ用マニュアルどおりに運用できているか?

Sumisho Electronics Co., Ltd. All right reserved.

slide26
総合的な監視の必要性
  • 適切な検知機構
    • IDS, F/W, 各種ログを適切に配置
    • アラーム、ログを一元的に収集・管理
  • アノマリー検出機能
    • アノマリーセンサ
    • ログ、アラームのアノマリー監視
  • 関連性分析機能
    • 時系列かつ複数監視点におけるイベント相関分析
    • オペレータマニュアルに書かれたチェック手順の自動化

Sumisho Electronics Co., Ltd. All right reserved.

slide27
統合監視システムの条件
  • マルチベンダ機器対応
    • 単にログ、イベントを収集するだけではなく、きちんと正規化して統一的に管理。
  • 関連性分析機能
    • 任意の条件による分析をプログラム可能。
    • 機種依存のないプログラミング方法の提供。
  • 傾向分析・追跡調査機能
    • 攻撃などの傾向分析と直感的表示
    • 発生した攻撃に関する各種の追跡調査機能
  • スケーラビリティ(中~大規模サイトへの対応)

Sumisho Electronics Co., Ltd. All right reserved.

slide28
統合監視システムの基本デザイン

リアルタイム分析

イベントデータ蓄積

イベント情報の

収集と標準化

監視+調査機能

デバイス

マネージャ

Correlation

Engine

監視コンソール

エージェント

デバイス

監視コンソール

デバイス

エージェント

Webコンソール

デバイス

Event

Database

Oracle/DB2

エージェント

Webコンソール

デバイス

Sumisho Electronics Co., Ltd. All right reserved.

slide29
異常を見つけたら・・・・・・
  • 誤報の排除
    • 関連性分析で誤報の可能性は少なくできる
    • 一般のワームのような多発性の事象は、検知されれば誤報の可能性は低い
    • 単発の事象は、まずそのターゲット、ソースの調査を
  • インシデントレスポンス
    • 侵入・感染対象の切り離し、隔離、確保
    • 暫定的再発防止措置 (サービスのブロック、利用停止、ネットワークの切り離し・・・・・・)
    • 侵入経路、攻撃種類、影響の調査・解明

Sumisho Electronics Co., Ltd. All right reserved.

slide30
インシデントレスポンス
  • インシデント=事件、事故 への事後対応
    • インシデントの種類を想定したシナリオが必要
      • 侵入の成功(が疑われるケース)
      • ワーム・ウイルス感染(が疑われるケース)
      • 正規ユーザの不正行為(が疑われるケース)
      • サービス妨害(が疑われるケース)

 ・・・・など

    • 対応マニュアルの整備
    • 防災(防犯)訓練の実施

Sumisho Electronics Co., Ltd. All right reserved.

slide31
たとえば、ワーム感染の対応例
  • 感染機器またはネットワークの隔離
    • 基幹ネットワークのケーブルを抜く
    • ワームが使用するサービスをフィルタする
  • 感染した機器の確認と駆除
    • 駆除ツールの入手(可能ならば)
    • セグメント単位で、駆除もしくは再インストールを含むリカバリの実施
    • リカバリ終了したセグメントから基幹に再接続

Sumisho Electronics Co., Ltd. All right reserved.

slide32
内部ネットワークのセキュリティ設計

監視・インシデント対応の観点から見た

  • インシデント発生時に隔離が可能な構成
    • 各セグメントを(できれば一カ所で)分離可能な設計に(カスケード接続を減らす)
    • 適切な防火ドア(ファイアウォール)の設置
  • インシデントの位置を特定できるような設計
    • IDS 等のセンサを要所に配置
    • ファイアウォール、サーバなどのログの集中管理
    • 発信元アドレスから使用者を特定できるとベター
    • 関連性分析が可能な機器配置

Sumisho Electronics Co., Ltd. All right reserved.

slide33
セキュリティシステムの導入・運用
  • 目的に応じた機器導入・配置
    • 何をしたいかによって構成は変化する
    • 防御目的の機器、監視機器、そして配置
  • 目的に応じた監視
    • 防御機器の動作状況
    • 監視機器のアラーム
    • 関連性分析
  • インシデントレスポンス
    • 「対応」できなければ「監視」の意味は半減

Sumisho Electronics Co., Ltd. All right reserved.

slide34
セキュリティマネジメントのサイクル

リスクアセスメント

ポリシー・対策の策定

見直し

ポリシー・対策の実施・運用

セキュリティ機器導入

運用監視

インシデントレスポンス

Sumisho Electronics Co., Ltd. All right reserved.

slide35
まとめ
  • 内部ネットワークは安全ではない(教訓)
  • ウイルス・ワーム対策と侵入、攻撃対策は不可分
  • 未知の攻撃を発見するには総合的な監視が必要
  • インシデントレスポンスを行えなければ監視の意味は半減
  • ネットワーク設計はセキュリティを考慮して

Sumisho Electronics Co., Ltd. All right reserved.

slide36
ご静聴ありがとうございました

Sumisho Electronics Co., Ltd. All right reserved.