Targeted Cyber (Espionage) Attacks and Social Engineering

標的型(サイバースパイ)攻撃とソーシャルエンジニアリング

http://www.slideshare.net/gohsuket

Gohsuke Takama / 高間 剛典, Meta Associates, 2012年2月

about…

✴ Gohsuke Takama / 高間剛典, Meta Associates http://www.meta-associates.com/✴代表, ITセキュリティ・データプライバシー・ディレクションコンサルタント, プランナー

✴コンサルティング, 国際プロジェクトコーディネート, 国際調査研究✴ セキュリティ国際会議・セミナーの日本側制作運営: Black Hat Japan, PacSec

✴ 海外専門家によるセキュリティ監査 (ネット企業, エネルギーインフラ企業, 等)

✴ 異常事態シミュレーション・テーブルトップ演習の企画・実施運営 (電機メーカー等)

✴ 国際調査訪問: DHS, NIST, NERC, EPRI, Stanford Research, Sandia研, Bell研, ISAC Council, John Arquilla(NPS米海軍大学院), Richard Clarke, John Tritak, Paul Kurtz (Good Harbor Consulting)

✴ 調査報告書: 総務省「電子政府・電子自治体のプライバシーに関する調査研究報告書」「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会報告書」, エネルギーインフラ企業, テレコム企業

✴ 海外セキュリティ企業の日本窓口: Patch Advisor(セキュリティ監査), SecWest (PacSec主催)

✴ ITセキュリティ, データプライバシーに関する戦略分析・ディレクション(電機メーカー等)

✴ レクチャー: CodeGate2008 (韓国), 日本弁護士連合会人権シンポジウム (2002, 2010), 他✴ セキュリティメディアでの執筆: http://blog.f-secure.jp/ http://scan.netsecurity.ne.jp/

✴ Privacy International, London, UK アドバイザリー役員 http://www.privacyinternational.org/

✴ テクノロジー起業家支援イベントの開催, 援助Gohsuke Takama

標的型サイバー攻撃

"どのように対処したらよいのか?"マネジメントにできることは:

製品を買う?サービスを買う?

教育する?運営ルールを変える?

体制を変える?Gohsuke Takama

標的型サイバー攻撃

http://www.ipa.go.jp/security/fy23/reports/measures/documents/report20120120.pdfGohsuke Takama

標的型サイバー攻撃

http://www.ipa.go.jp/security/vuln/newattack.htmlGohsuke Takama

標的型サイバー攻撃リスクベースのアプローチ?

11

10

9

8

7

6

5

4

3

2

1

A B C D E F G H I J K脆弱性

脅威

R

リスク要素 x 資産価値= リスク

ただしこれは被害を受ける立場からの資産価値の視点なので、攻撃者がどこに価値を見いだしているかは解らない。

踏み台にされている場合ならば最終ターゲットの被害規模は解らない

Gohsuke Takama

AAttacks

Gohsuke Takama

標的型サイバー攻撃とは何か?

"Spear Phishing"

"Advanced Persistent Threat" APT

"Targeted Cyber Espionage"

"Adaptive Persistent Attack" APA

"Top APT Research of 2011 (That You Probably Haven’t Heard About)"

http://blog.trendmicro.com/top-apt-research-of-2011-that-you-probably-havent-heard-about/Gohsuke Takama

標的型サイバー攻撃とは何か?

http://paulsparrows.wordpress.com/2012-cyber-attacks-timeline-master-index/http://paulsparrows.wordpress.com/2011-cyber-attacks-timeline-master-index/

Gohsuke Takama

標的型サイバー攻撃とは何か?

• 三菱重工, IHI... (2011)

• 衆議院, 参議院... (2011, 議員のID, パスワード?)

• JAXA　(2011, NASAのパスワード盗難?)

• ShadyRAT (2011, 14ヶ国70社の知的財産), OperationAurora (2010, Googleなど米34社), Night Dragon (2010, 世界のエネルギー企業の取引内部文書), GhostNet (2009, 103ヶ国でダライ・ラマ等をスパイ)

• RSA / Lockheed Martin (2011, SecurIDトークン生成種データ生成, それを利用しLockheed侵入)

• DigiNotar (2011, GoogleのSSL証明書等が盗難)

• Stuxnet (2010, イランの核燃料精錬施設を妨害)Gohsuke Takama

標的型サイバー攻撃とは何か?

RSAはすべての顧客のSecurIDを交換

Gohsuke Takama

標的型サイバー攻撃とは何か?

Diginotarは2011年9月19日に自己破産申請、20日に裁判所が破産宣告

Gohsuke Takama

標的型サイバー攻撃とは何か?

標的型サイバー攻撃はスパイ活動

= サイバースパイ活動 (Cyber Espionage)

標的型サイバースパイ活動

"Targeted Cyber Espionage"

"Advanced Persistent Threat" APT

"Adaptive Persistent Attack" APA

Gohsuke Takama

標的型サイバー攻撃とは何か?標的型サイバースパイ活動とサイバー犯罪

1次ターゲット 高次ターゲット改変/偽装されたウェブサイト

サイバースパイ組織, サイバー犯罪組織基幹企業

金融機関

政府・軍事機関

攻撃

Gohsuke Takama

標的型サイバー攻撃とは何か?標的型サイバースパイ活動とサイバー犯罪

✴ APT, 標的型サイバースパイ活動

• 個人に成り済まし = アイデンティティ窃盗

• 個人の属性情報の窃盗• プロファイリング: 行動パターン, 習慣, 表現

• 侵入→監視→成り済まし→情報窃盗✴ サイバー犯罪(クレジットカード・銀行など)

• 個人に成り済まし = アイデンティティ窃盗

• 個人の属性情報の窃盗• 個人属性情報入手→カード偽造・口座侵入Gohsuke Takama

標的型サイバー攻撃とは何か?標的型サイバースパイ活動とサイバー犯罪

https://www.europol.europa.eu/sites/default/files/publications/iocta.pdf http://www.net-security.org/secworld.php?id=12273

EUでのサイバー犯罪による被害額は$1 Trillion/年 規模 = 約80兆円(McAfee試算 2009年)

EU全体でのサイバー犯罪被害額は、ギリシャとポルトガル等の救済費用よりも大きい

アメリカでのオンライン被害額は$3.4 Billion = 約2720億円 (2011, VISA傘下のCyberSourceによる)

日本のクレジットカードのみの被害額は不正使用¥57.4億、偽造¥19億 (2011)

Gohsuke Takama

標的型サイバー攻撃とは何か?セキュリティレイヤーモデルでの検討

•例: OSI モデル

Gohsuke Takama

4 Content

3 OS/Application

2 Hardware

1 Physical

5 Operation

6 Custom (Habit)

7 Psychological

Tangibles

Intangibles

Human Factor

認知, 心理行動, 習慣運用規則データソフトウェア

標的型サイバー攻撃とは何か?セキュリティレイヤーモデルでの検討

ハードウェア物理環境

Gohsuke Takama

標的型サイバー攻撃とは何か?セキュリティレイヤーモデルでの検討

Psychologicalソーシャルエンジニアリング, APT, サイバースパイ活動, Phishing ?

Customスパイウェア, ID偽装/窃盗, XSS, XSRF, 偽装サイト誘導

ベストプラクティス習慣化, 脅威の自覚, CSIRT, PKI,デジタル署名ID, SSL証明書

OperationDoS, Spam, 妨害マルウェア,

身代金要求マルウェアCSIRT対策チーム, ルーティング, 手動フィルタリング, ポリシー, 監査

Contentスニッフィング, スパイウェア,

Spam, データ改変暗号化, 自動フィルタリング, コンテンツスキャン, ホストIDS

OS/ Application

DoS, 脆弱性エクスプロイット, 0day, rootkit, ボットネット

ファイアウォール, ネットワークIDS, IPS, ウィルス対策, OS/アプリパッチ

Hardware 直接アクセス, 不正加工, 改造 境界線ガード, 接触警報器, 不正加工防止処置, 封かん

Physical錠ピッキング, 家宅侵入,

破壊行為監視カメラ, 特殊施錠,

境界線警報器, 武装ガードマン

攻撃 対抗策 (技術, 運用)

Gohsuke Takama

標的型サイバー攻撃とは何か?現状のセキュリティ手法とのすれ違い

✴ 境界線型セキュリティの終焉 (Firewall)

• (ターゲットが個人になった + モバイル環境)

✴ チェックリスト セキュリティポリシーの終焉

• = 柔軟性が無い (攻撃者はクリエイティブ)

✴ 侵入を100%防ぐのは不可能 > 出口対策も不足

• (現在のメールの仕組みに限界?)

✴ PKIの信頼性は微妙に = DigiNotar事件✴ 今迄のセキュリティモデル = 時間を買うこと

• (対応が来るまで持ちこたえるのが前提)Gohsuke Takama

SSocial Engineering

Gohsuke Takama

ソーシャルエンジニアリング

件名:　お願い事

送信元メールアドレス:　syoutenn_aguri@aol.jp

送信者名:　週刊焦点 安栗弘子 (あぐり・ひろこ)

添付ファイル名:　Photo.zip

本文:　最新号の週刊誌にあなたの顔写真を掲載することになりますがよろしいですか。

送信先: 衆議院議員 3人, 参議院議員 7人(内1人は北沢防衛相(当時), 省庁にも10月に送付の模様

Gohsuke Takama

ソーシャルエンジニアリング

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

錯覚Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

この薬を使った場合、生存率は90%になります

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

この薬を使った場合、死亡率は10%になります

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

「生存率90%」or「死亡率10%」

言っている意味は同じ

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

件名: 患者A28投薬記録

投薬は決定に基づき実施しました。この薬を使った場合、生存率は90%になります。 患者は昨夜午前3:20ころ死亡しました。 資料を添付します。

添付書類: 投薬記録.xls

Gohsuke Takama

ソーシャルエンジニアリング人間のコミュニケーションにおける錯覚

件名: 患者A28投薬記録

投薬は決定に基づき実施しました。この薬を使った場合、死亡率は10%になります。 患者は昨夜午前3:20ころ死亡しました。 資料を添付します。

添付書類: 投薬記録.xls

Gohsuke Takama

ソーシャルエンジニアリングVisual Cognition Lab の実験 1999年

http://www.youtube.com/watch?v=vJG698U2MvoGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/アラン・チューリングGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/チューリング・テストGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/チューリング・テストGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/チューリング・テストGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/チューリング・テストGohsuke Takama

ソーシャルエンジニアリングチューリングテスト

http://ja.wikipedia.org/wiki/チューリング・テスト

チューリングテスト (英: Turing test) とは、アラン・チューリングによって考案された、ある機械が知的かどうか（人工知能であるかどうか）を判定するためのテスト。

アラン・チューリングの1950年の論文、『Computing Machinery and Intelligence』の中で書かれたもので、以下のように行われる。人間の判定者が、一人の（別の）人間と一機の機械に対して通常の言語での会話を行う。このとき人間も機械も人間らしく見えるように対応するのである。これらの参加者はそれぞれ隔離されている。判定者は、機械の言葉を音声に変換する能力に左右されることなく、その知性を判定するために、会話はたとえばキーボードとディスプレイのみといった、文字のみでの交信に制限しておく[1]。判定者が、機械と人間との確実な区別ができなかった場合、この機械はテストに合格したことになる。

Gohsuke Takama

WWho, Why, What

Gohsuke Takama

敵は誰なのか? 動機は何なのか?法、市場、規範、アーキテクチャー

Law, Market, Norms, Architecture

Gohsuke Takama

敵は誰なのか? 動機は何なのか?法、市場、規範、アーキテクチャー

Gohsuke Takama

敵は誰なのか? 動機は何なのか?法、市場、規範、アーキテクチャー

Gohsuke Takama

敵は誰なのか? 動機は何なのか?法、市場、規範、アーキテクチャー

- 設計された動作- 設計外の動作- 正当な利用- 不正な利用

Money

Political Power

Technical Control

Ideology

Gohsuke Takama

敵は誰なのか? 動機は何なのか?

Money

Political Power

Technical Control

Ideology

テクノロジー: - 設計された動作- 設計外の動作- 正当な利用- 不正な利用

独裁的企業組織犯罪

ハッカークラッカー

独裁的政府

極端論者過激派宗教カルト

ハクティヴィスト

Gohsuke Takama

敵は誰なのか? 動機は何なのか?

テクノロジー: - 設計された動作- 設計外の動作- 正当な利用- 不正な利用

APT

ハクティヴィズム暴露活動

窃盗詐欺

インフラ妨害対立者の活動妨害破壊活動

Lulz

Money

Political Power

Technical Control

Ideology独裁的企業組織犯罪

ハッカークラッカー

独裁的政府

極端論者過激派宗教カルト

ハクティヴィスト

Gohsuke Takama

スパイ活動のプロセスHUMINT, COMINT→CYBINT?

Gohsuke Takama

スパイ活動のプロセスHUMINT, COMINT→CYBINT?

HUMINT: Human IntelligenceCOMINT: Communications Intelligence (Signals Intelligence)

CYBINT*: Cyber Intelligence (Network Intelligence)

http://en.wikipedia.org/wiki/Network_intelligenceGohsuke Takama

スパイ活動のプロセスHUMINT, COMINT→CYBINT?

内部サーベイランス監視, 分析, 窃盗

内部インタラクション成り済まし活動

外部サーベイランス偵察, 関係性分析

内部サボタージュ撹乱, 妨害, 破壊

外部インタラクション

潜入

•組織概要•人員構成•ロケーション•インフラ•警備状況•通信インフラ•取引関係•他者との関係性•他者の依存関係•他者との通信•廃棄書類収集

•建物正面•建物裏口•他の出入り口•鍵の入手•出入業者偽装•従業員成済まし•郵便・荷物•電話•通信•偽装求職•関係者へ接触•内部者へ接触•親密な関係構築

•音声盗聴•盗撮•内部通信盗聴•組織構成の把握•役職関係の把握•顧客の把握•内部者の関係性•内部者の依存関係•内部の用語, 隠語•書類管理状況•データ管理状況•書類コピー•書類窃盗

•構成員に成済まし•信頼関係の構築•組織内役職の獲得•組織内政治へ関与•重要通信アクセス•重要エリアの侵入•重要書類アクセス•重要人物への接近•親密な関係構築•ハニートラップ

•内部情報の暴露•書類改竄•データ改竄•システム運用妨害•妨害データ注入•内部者関係性妨害•信頼失墜行為•脅迫•意図的な書類破壊•データ破壊•インフラ破壊•重要人物へ危害•重要人物の抹殺

Gohsuke Takama

スパイ活動のプロセスHUMINT, COMINT→CYBINT?

内部サーベイランス監視, 分析, 窃盗

内部インタラクション成り済まし活動

外部サーベイランス偵察, 関係性分析

内部サボタージュ撹乱, 妨害, 破壊

外部インタラクション

潜入•外部NWスキャン•ウォーダイアル•IPアドレス構成•メールアドレス•プロキシ, F/W等•Fax, モデムの存在•プロファイリング•検索エンジンから•組織概要•人員構成•ロケーション•取引関係•ソーシャルメディアから•アカウント情報•名前・顔写真•私生活・趣味•習慣・表現•他者との関係性•他者の依存関係

•Spam送信(試験)•標的型感染メール•感染サイト誘導•感染USBメモリー•感染CD-ROM•セキュリティ偵察•ウェブサイト侵入•ネットワーク侵入•無線LAN侵入•Fax複合機侵入•偽装電話連絡•偽装求職•ソーシャルメディア上で接近•内部人員へ接触 •関係者へ接触•親密な関係構築

•内部NWスキャン•システム構成把握•スニッファー設置•キーロガー設置•バックドア設置•内外メール監視•リモート音声盗聴•リモート盗撮•データ管理状況•アドミン権限奪取•データ窃盗•組織構成の把握•役職関係の把握•顧客の把握•知的財産の把握•予定把握•組織内慣習の把握•内部者の依存関係•内部の用語, 隠語•習慣・表現

•アドミン権限でアカウント作成•構成員に成済まし•信頼関係の構築•組織内重要職へ成り済まし•重要通信アクセス•重要セグメントへ侵入•重要データへアクセス•重要人物への接近•親密な関係構築•ハニートラップ

•内部情報の暴露•組織の信頼失墜情報捏造・流布•重要人物の信頼失墜捏造・流布•データ改竄•妨害データ注入•データ暗号ロック•システム運用妨害•取引妨害•内部者関係性妨害•身代金要求•脅迫•データ破壊•システム破壊•インフラ破壊

Gohsuke Takama

スパイ活動のプロセス"Stuxnet"

HUMINT, CYBINT ハイブリッド

"Nuclear scientist killed in Tehran was Iran's top Stuxnet expert"http://www.debka.com/article/20406/

Gohsuke Takama

スパイ活動のプロセス"Stuxnet"

HUMINT, CYBINT ハイブリッド

Gohsuke Takama

A x S x W= what to do?

Gohsuke Takama

対スパイ活動のプロセス何が出来るのか?

内部サーベイランス監視, 分析, 窃盗

内部インタラクション成り済まし活動

外部サーベイランス偵察, 関係性分析

内部サボタージュ妨害, 撹乱, 破壊

外部インタラクション

潜入

•組織内ソーシャルインテリジェンス•サンドボックス型外部-内部通信•セグメント化•出口フィルター

•フォレンジック•イントラVPN, コンテンツ暗号化•リアルタイム通信•マルチパス通信•囮通信•MACアドレス監視

•スパイ対策担当の設置 •フォレンジック•敵対者の分析•インテリジェンスサービスの利用

•他組織と情報収集/共有•インテリジェンスサービスの利用•オープンソース インテリジェンス•外部/内部/イントラ監査•シミュレーション演習の活用•通常時/緊急時での別体制構築

•緊急対応の稼働•フォレンジック•リスクコミュニケーション•防衛戦略的PR活動•ソフトパワー戦略

Gohsuke Takama

対スパイ活動のプロセスインシデントに備える

✴セキュリティ技術と事件発生の情報, 知識共有✴情報収集へのインテリジェンス サービスやオープンソース インテリジェンスの利用

✴通常時/緊急時の別体制化と指揮者の設定

✴セキュリティ監査の実施• 外部• 内部-DMZ

• 内部-イントラネット

Gohsuke Takama

対スパイ活動のプロセスインシデントに備える

• オープンソース インテリジェンスの利用

• ニュースやソーシャルメディアのモニター• 最近のハクティヴィズム行動はソーシャルメディア上で行動計画が立てられている

• ソーシャルメディア上でのハクティヴィストの動きを見張ることで、行動動機や使われる戦術を事前にある程度把握できる

• Twitter, Facebook, IRC, Weibo, RenRenなど

• 分析ツール: https://www.recordedfuture.com/

"RQ-170" Jul 30 2006--Mar 14 2012 https://www.recordedfuture.com/rf/s/2z0Cm4Gohsuke Takama

対スパイ活動のプロセスインシデントに備える

✴ 状況シミュレーション演習の活用

• テーブルトップ演習 = モデレーター形式

• コア・マネジメントが参加• ファンクショナル演習 = ロールプレイ演習

• マネジメントクラスが参加• 通常の組織運営の配置で実施

• フルスケール演習 = 実際的シミュレーション

• 組織の全員が参加• 通常の組織運営の配置で実施Gohsuke Takama

対スパイ活動のプロセス潜入に備える

✴ソーシャルメディア使用の奨励 (ガイドラインの設定)

✴ 組織内ソーシャルネットワークの展開

• 組織内ソーシャルインテリジェンスに利用

• 人間の認知ネットワークにより攻撃を発見。組織構成員の日常的な行動の変化を認知し異常な兆候を見いだす

• 組織内専用コミュニケーションに使用し、内部と外部との通信を分離

• メールを外部とのコミュニケーション専用にして外部/内部間にサンドボックスを作る

Gohsuke Takama

対スパイ活動のプロセス内部サーベイランスに備える

✴イントラネット内通信の暗号化• 組織内メールサーバーとの通信のSSL / TLS化

✴コンテンツ暗号化アプリ(PGPなど)の使用✴リアルタイム通信手段(Chat, IM, SMS, 音声)の重要なコミュニケーションへの利用

✴マルチパス通信手段の重要なコミュニケーションへの利用

• Chat, IM, SMSや携帯電話, VoIPなどを多用しメールだけに頼らない

• 暗号パスワード伝達はメールを使用しないGohsuke Takama

対スパイ活動のプロセス内部サーベイランスに備えるパスワードを口頭で伝える

Gohsuke Takama

対スパイ活動のプロセス内部サーベイランスに備える

MACアドレス監視

Gohsuke Takama

対スパイ活動のプロセス内部サーベイランスに備える

スマートフォン対策 / MACアドレス監視✴スマートフォン用に内部ネットワークと切り離した無線LANを設置する

• スマートフォン用に無線LANを敢えて設置しトラフィックを監視する

• スマートフォンでは基本的に無線LANが優先されるため、データ通信から流出している可能性のトラフィックが捕獲できる

• ルーターから分け、F/Wも別

Gohsuke Takama

対スパイ活動のプロセス妨害インシデント発生後に備える

✴ 防衛戦略的PRとソフトパワー戦略

• 攻撃者もマスメディア、ソーシャルメディアから情報を得ている

• マスメディア、ソーシャルメディアを有効に利用し好意的反応を引き出す/敵意を逸らす

• 「Soft Power」= 1990年にJoseph Nyeにより提唱される(軍事力「Hard Power」の反語)

• http://ja.wikipedia.org/wiki/ソフトパワー

• 主に文化的影響や芸術などにより、相手から好意的反応を引き出し優位に立つ能力

Gohsuke Takama

Gohsuke Takama