富士フイルムビジネスイノベーション
  • 文字サイズ変更
  • S
  • M
  • L
  • ID : 8246
  • 公開日時 : 2017/06/09 00:00
  • 印刷

≪beat★ナビ≫ 矛と盾|2017年06月09日(金)

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.06.09配信

   矛と盾

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。

前回の配信は、5月12日(金)のお昼頃でした。
 
まさにその日の夜から、ランサムウェア「WannaCry」が、
世界各地で急速に感染拡大し、国内でも被害が確認されました。

攻撃者の"武器"として悪用されたのは、Windowsの「既知の脆弱性」でした。

今回は、攻撃者が標的を攻撃するプロセスのうち、
武器を用意する段階、"武器化"についてお話したいと思います。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆サイバーキルチェーン◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

前回、ご紹介した「サイバーキルチェーン」という考え方に沿って、
今回もお話させていただきます。

「サイバーキルチェーン」について、再確認です。

「サイバーキルチェーン」は、航空機メーカー、ロッキードマーチン社の
マイク・クロッパー氏により提唱された考え方です。
攻撃者の行動パターンを、"7つ"の階層に分解したものです。

┏┓ サイバーキルチェーンの7階層
┗□…
     1.偵察
     2.武器化
     3.配布(デリバリー)
     4.攻撃(エクスプロイト)
     5.インストール
     6.遠隔操作(C&C)
     7.目的の実行


サイバー攻撃への「対抗策」についてお話するにあたって、
いずれかの階層で脅威を断ち切るという「多層防御」の考え方を
理解するのに役立ちます。

前回は、"偵察"について詳細をご紹介し、対抗するbeatの機能について、
お話しました。

今回は、"武器化"について、詳細をお話ししたいと思います。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆武器化◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

攻撃の第二段階は、武器化です。

攻撃者は、"偵察"によって収集した標的の情報をもとに、
攻撃用の"武器"である「エクスプロイト・コード」を作成します。

┏┓ エクスプロイト・コードとは
┗□…
     システムの脆弱性を利用した悪意のあるプログラムを指す。
     エクスプロイトは、英語で偉業・手柄・功績を意味する。
     元々は、クラッカー(攻撃者)たちの隠語。

また、政府機関や重要インフラなど、特殊な標的を狙うような、
技術レベルの高い攻撃者は、「ゼロデイ・エクスプロイト」を使用する
可能性が高くなります。

┏┓ ゼロデイ・エクスプロイトとは
┗□…
     OSやソフトウェアの開発元が気づいていない、または修正前の
     脆弱性を悪用するエクスプロイト・コードのこと。
     また「ゼロデイ・エクスプロイト」を使い、未知の脆弱性を悪用した、
     まだ対策が存在しないサイバー攻撃を「ゼロデイ攻撃」という。

攻撃者たちにとっては、そういった高度な"武器"を自作し、仕掛ける
「ゼロデイ攻撃」は理想なのかもしれません。

しかし、一般企業などを攻撃する大半の攻撃者は、武器を自作していません。
"既製品"の武器を、ブラックマーケットで入手しています。
 
ほとんどのサイバー攻撃は、対策パッチも存在している、一般に公開済みの
「既知の脆弱性」が利用されています。

先月、日本でも感染被害が発生したと報道された、
ランサムウェア「WannaCry」も既知の脆弱性を利用していました。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆武器化への「対策」◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「サイバーキルチェーン」は、攻撃者側のプロセスを分類したものです。
"武器化"の段階は、攻撃者の手元で行うプロセスについての分類です。

攻撃側が、自身の武器の"飛距離"や"精度"を上げることに関して、
防御側が直接「対策」できることは、特にありません。

しかし、感染を拡大する二次的な攻撃者になってしまわないよう、
既知の脆弱性への対策を行うことは、必要不可欠といえます。

┏┓ 既知の脆弱性への対策
┗□…
     OSの更新プログラムのインストール
     各種ソフトウェアのアップデート
     周辺機器(NAS・ルーターなど)のファームウェア更新


カスペルスキー社によると、
ランサムウェア「WannaCry」に感染したPCのOSは、
98%が「Windows 7」だったそうです。

「Windows 7」は、マイクロソフト社のサポート対象OSです。
今回の「WannaCry」に利用された脆弱性に対しては、まん延する2カ月前から
Windowsアップデートで「更新プログラム」を公開済みでした。
 
アップデートに関する設定や運用を再確認する必要がありそうです。

┏┓ 定期的なアップデート(自動更新)
┗□…
     OSのアップデート更新は自動更新設定にする
     各種ソフトウェアのアップデートも自動更新を利用する
     周辺機器(NAS・ルーターなど)のファームウェア更新情報も確認する

 ▽ OSのアップデート
  Windows 7の初期状態では、アップデートの「自動更新」は有効です。
  更新プログラムを自動でダウンロードしてインストールします。
  しかし、利用者が設定を変更してしまう可能性があります。

  利用者任せにせず、全PCの更新状況を定期的に確認することも必要です。
  「WannaCry」の事例からも、現実的な運用としても、
  確認頻度の目安は、"毎月"をお薦めします。

 ▽ 各種ソフトウェアのアップデート
  Adobe Readerなど、世界的に使用されているアプリケーションの脆弱性は、
  悪用されるリスクが高く、適切な更新が必要です。
  バージョンを固定する必要がなければ、
  「自動更新」の設定を有効にすることをお薦めします。

   <参考情報>
    脆弱性対策情報データベース「JVN iPedia」
    http://jvndb.jvn.jp/

    上記のサイトでは、さまざまなアプリケーションの脆弱性が、
    毎日のように報告されています。

 ▽ 周辺機器(NAS・ルーターなど)のアップデート
  ご利用機器のメーカーサイトにアクセスして、新たなファームウェアが
  公開されていないかどうかをチェックするようにしてください。
  「自動更新」設定が可能なものもあります。


情報セキュリティーにおいて、「脆弱性」は明らかなリスクです。
アップデートによる対策は、運用として据え付けていく必要があります。

しかし、月一回の確認としても、台数によっては非常に手間がかかります。
また、事業所数が多い場合は、責任者の方が移動する時間も必要になります。

IT資産管理ツールなどを導入し、運用管理の効率化を図ることも、
検討する必要があるかもしれません。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆盾となるbeatのファイアウォール◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

攻撃は激しさを増しています。

サイバー攻撃をリアルタイムに可視化しているサイトをご紹介します。

  <参考情報>
   Norse社(アメリカのセキュリティー会社)提供
   http://map.norsecorp.com/
    ※対象ブラウザ:Google Chrome

   カスペルスキー社提供
   https://cybermap.kaspersky.com/ja/

   情報通信研究機構(NICT)提供
   http://www.nicter.jp/atlas


情報通信研究機構(NICT)のサイトでは、「ダークネット・トラフィック」を
リアルタイムに視覚化しています。

┏┓ ダークネット
┗□…
     インターネット上で到達可能かつ未使用のIPアドレス空間のこと
     サーバーやコンピューターが接続されていない"空き家"の集まり

ダークネットに届く通信を観測することで、インターネット上で発生している
サイバー攻撃の傾向が把握できます。

人が住んでいない"空き家"を訪ねる用事は、通常、無いはずですが、
日々大量の通信が届いています。

これらの通信の正体は、主にマルウェアが次の攻撃先を探すための通信です。

マルウェアは、順番にまたはランダムに、宛先を選択して通信を送り、
その応答を確認してスキャンを行っています。

こうした、pingやポートスキャンと呼ばれる通信は、
実在するサーバーやコンピューター等にも届きます。

beat-boxにも届きますが、beatはpingに応答を返しません。

家のポストの口が開いているかどうかを覗くような通信である、
ポートスキャンに対しても、ポートを全て閉じているため、無意味です。

前回の≪beat★ナビ≫でご紹介した"偵察"への対策がなされています。

毎週メールでお届けしている「稼働状況レポート」では、
pingとポートスキャンの回数を記載していますが、
特に対処の必要はなく、参考に確認してみてください。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆盾を鍛える◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

情報通信研究機構(NICT)発行の「NICTER 観測レポート 2016」によると、
観測しているダークネットのIPアドレス1つに対して届く「パケット数」は、
倍増し続けているそうです。

 2013年 : 約  60,000
 2014年 : 約 110,000
 2015年 : 約 210,000
 2016年 : 約 470,000


「費用の限界もある。どこまでやれば安心できるのか?」
と思われるかもしれません。

日々新しい脅威が生まれている現在の状況では、
脅威を100%防御する方法は無いと考えるしかありません。

攻撃者から見た場合に、標的にされにくいネットワークを構築しておき、
万一攻撃されても被害を極小化、無害化することが重要です。

盾となるbeatのファイアウォールは、インターネット上で、
ステルス性を保ち「攻撃の標的になりづらい」ようになっています。
 
盾を支える内側においても、LAN内のPC、NASやルーターなどの各種機器を、
適切にアップデートできる体制を敷くことが重要です。

まずは、明らかなリスクである「脆弱性」を潰していきましょう。


▼資産管理などの運用を支援するサービスもご用意しております。

IT環境運用支援サービス
 

次回も、サイバーキルチェーンの階層に沿って、お話したいと思います。


 最後までお読みいただき、ありがとうございました。
次回は2017年7月14日(金)に配信予定です。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ■□ 編集後記 □■

映画『トランセンデンス』は、シンギュラリティを目指して、
人工知能を研究する科学者を主人公にしたお話でした。

今から28年後の西暦2045年、人工知能(AI)が人知を超える
「シンギュラリティ(特異点)」を迎えると言われています。

皆さんはお幾つになられていますか?
私は、70代の後半を迎えているはずです。

是非その特異点を体験したいと思いますが、
果たして生きていられるだろうか?と思ったりもします。

書籍『LIFE SHIFT(ライフ・シフト)―100年時代の人生戦略』では、
平均年齢100歳の長寿化時代を予測しています。

2007年生まれ、現在10歳の子供たちの平均寿命は、107歳。
そこから逆算すると、現在20歳以下の子供たちは、104歳を越え、
50歳の人たちでも95~99歳となるそうです。

シンギュラリティを迎えられる希望はありそうです。
その頃には、間違いなく「オキシガム」も完成しているはず...


(カガ)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

FAQは役に立ちましたか?

このFAQに改善点があれば、お聞かせください。 ご意見はFAQの改善に役立てさせていただきます。