⾼高度度標的型攻撃の対応事例例と現状課題近年年の脅威から考えるサイバー攻撃対応策

デロイト  トーマツ  リスクサービス株式会社マネジャーデロイト  トーマツ  サイバーセキュリティ先端研究所主任研究員岩井  博樹

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

本資料料の意⾒見見に関する部分は私⾒見見であり、所属する法⼈人の公式⾒見見解ではありません。  

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

サイバー攻撃⼿手法の変化

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

テクノロジーの変化と共の脅威も変化

3

データはインターネット上で管理理することが⼀一般的になった

INTERNET

インターネット上に様々なデータが移管されている。→様々なサービスを利利⽤用してのサイバー攻撃の増⼤大が懸念念されている。

CLOUD

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

今年年の標的型攻撃の特徴

4

攻撃規模の絞り込みにより標的企業単体での検知は困難化

侵⼊入端末台数をより制限1 2 特定のセキュリティツールを回避

3 攻撃期間は２、３⽇日間と限定的

最近のサイバー攻撃を検知するためには初期段階での報告が重要度度⾼高

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

事例例（Update  Hijacking）

5

“⾃自動アップデート”はクラウド環境を回避するには最適な機能

アプリケーションメールストレージ

アップデート

セキュリティ製品?

ソフトウェア開発会社もクラウド上で運⽤用

殆どがSSLによる通信

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

事例例（Update  Hijacking）

6

攻撃者は標的に対して能動的な⾏行行動はとっていないことが特徴

被害端末 Linux  Server Web  Server

改竄サイト②改竄サイト① 改竄サイト③

SSH

rootの場合は侵⼊入、改ざん

SSHによる不不正ログオン

他の侵⼊入経路路の構築

リダイレクトの設定やマルウェア等は攻撃対象期間、標的数、標的環境に依存する。

⾃自動更更新/同期処理理

標的組織

ログイン認証情報の窃取

転送

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

Update  Hijackingの攻撃キャンペーン

7

時系列列にみるキャンペーンの全容

※サンプルイメージです。

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

攻撃準備期間の⼿手⼝口の特徴

8

RATの開発とテスト期間

RAT! ダウンローダー! RAT  1  （標的組織に特化した作りになっている）! RAT  2  （多少、汎⽤用的な作りになっている）

リスクウェア

! WinRar（改造版）! dsコマンド群

ワークフォルダ

! C:\Windows\Temp! C:\PCメーカー固有のフォルダ

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.9

投影のみ

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

攻撃本番の⼿手⼝口の特徴

10

標的の複数組織への本攻撃は⾮非常にシンプル

RAT! ダウンローダー! RAT  2  のみ（多少、汎⽤用的な作りになっている）

リスクウェア ! 利利⽤用した証跡は無し

ワークフォルダ

! C:\Users\ユーザ名\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\  （証明書のキャッシュフォルダ）

! C:\Windows\inf\

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

＜参考＞攻撃者の狙いは特定情報の窃取

11

攻撃準備期間は探索索⾏行行為を含んだ操作内容で繊細さ、注意深さが無い

・reg.exe  ,  find.exe  を多⽤用        -‐‑‒  ジャーナルより連続で特定のプロセスが動作している 　 　ことを確認・レジストリへの登録がサービス情報に追記のみで雑・Rar.exeをリネームせずに利利⽤用（レジストリより）

不不正プログラム駆除後のプロセスの状況⇒   　駆除に失敗している

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

＜参考＞攻撃者の操作の差分

12

攻撃本番時の操作は効率率率的、且つ巧妙であり証跡が少ないことが特徴・インストール作業をスケジュール管理理・バッチファイルの利利⽤用・暗号処理理

不不正プログラム（DLL）の読込み

投影のみ

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

攻撃者の侵⼊入後の操作の分析

13

攻撃本番時は計画性が⾼高くインシデントの検出が難しい！？

攻撃準備期間中に利利⽤用された不不正プログラムリストの⼀一部

・CMCKLMD.DAT・CMCKLMD.dll・DLLVersion.dll・GSECNSJKCN.EXE・R86.EXE・ahnjksdn.dat・azdiojas.dat・msddd.dat・winsrv.exe・winxx.exe・zjndk.dll・zsklzsjd.dat・zsklzsjd.dll

・crptsrv.dll

・shell64.dll

攻撃本番時に利利⽤用された不不正プログラム

投影のみ

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

＜参考＞最終的に利利⽤用されたマルウェアの検出状況の推移

14

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.15

フォレンジック解析

マルウェア解析

インシデントハンドラー

被害組織C

被害組織B

被害組織A

他社CSIRT②

他社CSIRT①

インテリジェンス・コミュニティ内から関連情報の収集

NDA

NDA

NDA

各被害箇所でのインテリジェンスが分断されていることが課題

脅威の初期情報の共有が被害拡⼤大防⽌止に役⽴立立つのだが・・・

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

今どきの対策の考え⽅方

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

現状のセキュリティ対策の実装確認

17

NIST  Cybersecurity  Framework  による質問例例

【特定】資産の洗い出しは、「アクティブスキャン」「パッシブスキャン」を利利⽤用して実施している。

【防御】業務端末上の情報保護のため、「ソフトウェア」「ファームウェア」「情報」の不不正な変更更を検知するためのツールを導⼊入している。

【検知】社内からの監視は、「IDS/IPS」「アプリケーションファイアウォール」「マルウェア対策製品」によりアプリケーションやマルウェアによる通信を監視している。

【対応】インシデント対応⼿手順は、フォレンジックを前提に、メモリダンプやストレージの保全についても記載がある。

【回復復】組織内において定期的に、インシデント対応からシステム復復旧までの訓練および演習を実施している。

※Cybersecurity  Frameworkを参考に筆者が作成Cybersecurity  Framework  :  http://www.nist.gov/cyberframework/

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

仮想敵の設定をする

18

業種毎に仮想敵とインパクトは異異なる

18

⾦金金銭窃取  /  詐欺

IPや戦略略計画等の窃取

事業継続の不不可

インフラ基盤破壊 ⾵風評被害

⼈人命に関わる脅威

取締（当局）

組織犯罪

ハクティビスト

特定国家

内部者

ライバル企業

ハッカー（個⼈人）

Very HighHigh

ModerateLow

インパクト

攻撃者

不不正送⾦金金等を含む

DoS攻撃等

9.18のDoS等

韓国事案のようなケースを想定

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

対策優先度度の⾼高いリスクを把握していますか？

19

企業毎に優先度度の⾼高いリスクは異異なる

影響度度

中 ⾼高脆弱性

低

最優先のリスクシナリオ

標的型サイバー攻撃

公開システムの改竄

SCADAへのマルウェア感染

内部不不正、⽂文書の持ち出し

社外での不不正、クラウド事業者のミス

物理理的な不不正、オペレーション・ミス

不不正アクセス

施設への不不正侵⼊入

アカウント推測攻撃

値 割合

5点 13%

4点 40%

3点 24%

2点 20%

1点 2%

優先度度

⾼高

低

⾼高

中

低

損失額

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

近年年の攻撃内容の変化は主に３つ

20

“勝⼿手に”動作する仕組みが悪⽤用傾向にある

間接的な攻撃が増加傾向Update  HijackingやCloud  Strage等の周辺環境から攻撃

1

同期処理理

モバイルコードの多⽤用JavaやActive  Script等の⾃自動的にダウンロードされる種のコードを悪⽤用

2

検知困難

モバイル端末への攻撃の本格化スマートフォン、PCのマルチOSに対応した攻撃が徐々に増加

3

携帯端末

サーバとの⾃自動同期

ウェブ閲覧時にウェブブラウザ等⾃自動処理理

クラウドとの⾃自動同期

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

対策ツールの有効性は50/50

21

多層防御実装の有効性と運⽤用における費⽤用対効果のバランスを考える

対策項⽬目 対応システム 課題キーワード

不不正通信の検出 IDS  ,  IPS  ,  NGF   シグネチャ運⽤用,  暗号通信

情報流流出の検出 DLP シグネチャ運⽤用,  暗号通信

レイヤー7の監視 NGF 独⾃自プロトコル

SSLの監視 NGF ハードウェアのスペック

マルウェアの監視 NGF  ,  MPS  ,  AV サンドボックス

ホストの監視 HIPS  ,  AV プロセス監視

モバイルコード IDS  ,  IPS  ,  AV  ,  NGF JAVA,  SWF,  VBS

IDS：侵⼊入検知システムIPS：侵⼊入防⽌止システムDLP:  データ流流出緩和システムMPS：マルウェア防御システムAV：アンチウイルスゲートウェイもしくはアンチウイルスソフトNGF  :  アプリケーション層（レイヤー7）の監視が可能なセキュリティ製品

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

＜参考＞選ぶならどっち？

22

公判を⾒見見据えた製品を選択した⽅方が良良い

資産管理理ツールのユーザ操作ログ出⼒力力

①ファイルサーバ等からの機微データを複製

②データをUSBメモリ等による持出し

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

サイバー攻撃を前提に考えた場合の防御優先度度

23

攻撃者⽬目線と防御者⽬目線は似て⾮非なるもの

仮想敵は海外ライバル企業と仮定して考えた場合：

内部情報⾵風評被害

システム破壊   知的財産

影響度度

High

Low 発⽣生確率率率Low

High

Q:  何を守るのが効率率率が良良いか？

1)  ファイルサーバ上のデータ2)  従業員PC内のデータ3)  メールサーバ上のデータ4)  従業員の頭の中5)  役員PC内のデータ

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

普段、意識識していない可能性のある通信

今後気にしておきたいサービス

利利⽤用せざるを得ないサービスが攻撃の標的になる可能性が⾼高い

24

02

03

04

05

01 ⾃自動アップデート・OS、アプリケーション

データ同期・アプリケーションの設定ファイル等

インスタント・メッセンジャー

ウェブメール

⽂文書作成ツール・Office  365  /  Google  Apps

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

実施しておきたいセキュリティ対策例例

25

重要なのは被害検出と初動対応によるダメージコントロール

クライアントPCのモニタリング強化

アプリケーション・ファイアウォールの運⽤用

外部への不不正通信の監視補強

インシデント対応⼿手順の⾒見見直し

確認しておきたい項⽬目

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

インシデント対応⼿手順の⾒見見直し例例

26

従来型のインシデント対応⽅方法では対応が困難であるため⾒見見直しが必要

Step1.  初動対応（メモリダンプ,  HDD物理理コピー）データがクラウド上に設置されている可能性があるため、全てが端末上で完結することは無い。

Step2.  初期調査（特にメモリダンプ未取得時は重要）端末が起動中の場合は接続先のサーバが調べられる場合は調べておく。

Step3.  モバイル端末への初動対応モバイル端末とデータを同期している可能性がある

Step4.  ネットワークログの収集プロキシやセキュリティ機器等のログを収集1

2 3

4

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

まとめ

27

企業毎に優先度度の⾼高いリスクは異異なってくる

• 同期処理理やクラウドはその代表格

“⾃自動処理理”されているものは注意する

• まずは最悪のケースを想定しての対策が重要

セキュリティ対策には優先順位がある

• セキュリティ・ベースラインを⾒見見直すことで全体のセキュリティ対策のバランスを調整

インシデント対応⼿手順は⾒見見直し時期である

Member of Deloitte Touche Tohmatsu Limited

トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド（英国の法令に基づく保証有限責任会社）のメンバー

ファームおよびそれらの関係会社（有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマ

ツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む）の総称です。トーマツグループは日本で最大

級のビジネスプロフェッショナルグループのひとつであり、各社がそれぞれの適用法令に従い、監査、税務、コンサルティング、

ファイナンシャルアドバイザリー等を提供しています。また、国内約40都市に約7,600名の専門家（公認会計士、税理士、コンサルタントなど）を擁し、多国籍企業や主要な日本企業をクライアントとしています。詳細はトーマツグループWebサイト（www.tohmatsu.com）をご覧ください。

Deloitte（デロイト）は監査、税務、コンサルティングおよびファイナンシャル アドバイザリーサービスをさまざまな業種にわたる上場・非上場クライアントに提供しています。全世界150を超える国・地域のメンバーファームのネットワークを通じ、デロイトは、高度に複合化されたビジネスに取り組むクライアントに向けて、深い洞察に基づき、世界最高水準の陣容をもって高品質な

サービスを提供しています。デロイトの約200,000名を超える人材は、“standard of excellence”となることを目指しています。

Deloitte（デロイト）とは、英国の法令に基づく保証有限責任会社であるデロイト トウシュ トーマツ リミテッド（“DTTL”）ならびにそのネットワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します。DTTLおよび各メンバーファームはそれぞれ法的に独立した別個の組織体です。DTTL（または“Deloitte Global”）はクライアントへのサービス提供を行いません。DTTLおよびそのメンバーファームについての詳細は www.tohmatsu.com/deloitte/ をご覧ください。 本資料は皆様への情報提供として一般的な情報を掲載するのみであり、その性質上、特定の個人や事業体に具体的に適用

される個別の事情に対応するものではありません。また、本資料の作成または発行後に、関連する制度その他の適用の前提

となる状況について、変動を生じる可能性もあります。個別の事案に適用するためには、当該時点で有効とされる内容により

結論等を異にする可能性があることをご留意いただき、本資料の記載のみに依拠して意思決定・行動をされることなく、適用

に関する具体的事案をもとに適切な専門家にご相談ください。

© 2014. For information, contact Deloitte Tohmatsu Risk Services Co., Ltd.

IS 501214 / ISO (JIS Q) 27001 BCMS 568132 / ISO 22301

有限責任監査法人トーマツ 東京事務所 エンタープライズ リスク サービスは、 2006年2月8日、監査法人として初めて 情報セキュリティマネジメントの国際 規格であるISO/IEC27001の認証を 取得しました。 2009年4月1日には、デロイト トーマツ リスク サービス株式会社をこの認証 範囲に含めております。

有限責任監査法人トーマツ 東京 事務所におけるBCP/BCMサービス 提供部門およびデロイト トーマツ リスクサービス株式会社は、 2011年3月11日に事業継続 マネジメントシステムの規格である BS25999-2:2007の認証を取得 し、2013年2月19日に国際規格 であるISO22301:2012の認証を 取得しました。