━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.05.12配信
ランサムウェアなどの「犯罪マルウェア」を用いた、
サイバー攻撃の脅威に対抗する、beatの機能や仕組み!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。
前回は、2017年のランサムウェア最新情報と、
beatでおこなっている「多層防御」についてお話しました。
今回は、サイバー攻撃に対抗する、beatについて、
もう少し掘り下げてお話したいと思います。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆サイバーキルチェーン◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
サイバー攻撃への対抗策についてお話するにあたって、
「サイバーキルチェーン」という考え方を、ご紹介します。
攻撃者の行動パターンを、"7つ"の階層に分解したものです。
「サイバーキルチェーン」は、航空機メーカー、ロッキードマーチン社の
マイク・クロッパー氏により提唱された考え方です。
攻撃の手順をプロセスごとに階層化したもので、
いずれかの階層で脅威を断ち切るという「多層防御」の考え方を
理解するのに役立ちます。
┏┓ サイバーキルチェーンの7階層
┗□…
1.偵察
2.武器化
3.配布(デリバリー)
4.攻撃(エクスプロイト)
5.インストール
6.遠隔操作(C&C)
7.目的の実行
企業が自社のセキュリティ体制を見直す上でも、
欠かせないフレームワークです。
次からは上記の階層に沿って、お話します。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆偵察◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
攻撃の第一段階は、偵察です。
攻撃者は、標的となる組織とネットワークについて、
できるだけ多くの情報を入手しようとします。
┏┓ インターネット上のオープン情報
┗□…
業務内容、組織名、
メールアドレス、広報窓口、
取引先など。
┏┓ ソーシャルメディアからの情報
┗□…
よく見るであろうwebサイト、
つながりのあるビジネスパートナー、
従業員に関する情報、使用アプリケーション、
バージョンなど。
これらの情報を収集し、ネットワークへの侵入経路を探します。
頻繁にアクセスするサイトの脆弱性を利用したり、
パートナー企業の方のセキュリティ体制が脆弱であれば、
そこも侵入経路として利用したりします。
さらには、アンダーグラウンドで不正に入手した、
名簿なども利用してきます。
当然、標的が持つネットワークや外部向け機器に関しても、
更新されていないOSや、パッチが適用されていない機器が無いかなど、
ネットワークをくまなく探します。
┏┓ ネットワークコマンドからの情報
┗□…
pingやポートスキャン、
nslookupなどのコマンドを実行、
機器の設定状態、脆弱性を確認します。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆偵察への対策◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
基本的なことになりますが、一度インターネット上に、
公開してしまった情報を完全に削除することは不可能です。
確認不足やオペレーションミスから、誤った情報や非公開情報などを
公開しないよう、運用管理の徹底が必要です。
┏┓ インターネット上のオープン情報への対策
┗□…
コンテンツ承認フローの確立、
サーバー上の不要データを定期チェック、
利用しているCMSの脆弱性チェックなど。
さまざまな攻撃手法がありますが、例えば「水飲み場型攻撃」では、
頻繁にアクセスするサイトを改ざんし、標的となる利用者を誘い込み、
マルウェアに感染させようとします。
SNSやメールのリンク、添付ファイルなどを直接送り付けることもあります。
┏┓ ソーシャルメディアへの対策
┗□…
SNS・掲示板などに関する利用者教育、
投稿されている情報の監視など。
ファイアウォールだけで、全ての攻撃を完全に防ぐことはできません。
複数のセキュリティ対策を組み合わせた、多層防御が必要です。
しかし、ファイアウォールは、外部のネットワークに対する最初の砦です。
非公開かつ重要な情報資産がある「社内ネットワーク」を守るためには、
適切な運用管理が必須です。
また、攻撃の兆候や、被害にあったときの侵入経路、
影響度合いを把握するため、通信ログを残すようにします。
┏┓ ネットワークコマンドからの情報への対策
┗□…
外部からのpingをモニタリング、
不審なものへの応答を、マスキング・ブロック、
セキュリティポリシー(ルール)を基にしたパケット監視
各種通信ログの取得など。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆偵察に対抗するbeatのファイアウォール◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
beatのファイアウォールは「完全遮蔽方式(※)」という独自技術のものです。
自身のIPアドレスを隠し、インターネット上での存在を明らかにしません。
外部からのアクセスに対して、ポートを全て閉じています。
pingとは、インターネットなどのネットワーク上で、
通信相手との疎通確認のために、利用される通信です。
攻撃者は、対象の存在を確認するために、まず「ping」を打って来ます。
これに対しbeatは、全てのpingへ応答を返しません。
ポートスキャンは、通常、pingで存在を確認後、行われます。
攻撃対象の「投函口」を確認する通信です。
しかしbeatは、ポートを全て閉じているため、無意味です。
毎週メールでお届けしている「稼働状況レポート」では、
pingとポートスキャンの回数を記載しています。
特に対処の必要はなく、参考に確認していただくだけで、
上記のように、通信はすべて破棄されており、実害はありません。
※ entryサービスではブリッジモードで動作するため、
同一セグメント内でアドレス解決を行うための
通信は遮断しません。
・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
◆セキュリティーレポートで現状確認◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
上述したように、特定ポイントでのセキュリティー対策だけで、
全ての攻撃を完全に防げるわけではありません。
万が一、問題が発生した場合、原因追及と影響範囲の特定には、
各種のログが必要不可欠です。
beatは常時、さまざまなログを取得しています。
取得したログは、beat設定ページの「セキュリティーレポート」で、
一覧できます。
まずは、現状を確認してみることをお薦めします!
次回はまた、サイバーキルチェーンの階層に沿って、お話したいと思います。
最後までお読みいただき、ありがとうございました。
次回は2017年6月9日(金)に配信予定です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□ 編集後記 □■
映画『ゴースト・イン・ザ・シェル』が公開され話題になっています。
私もぜひ映画館へ観に行きたいと思っています。
ネットに直接アクセスする電脳技術が発達すると共に、
人々が自らの身体をサイボーグ化(義体化)するようになった
近未来を描いたフィクションです。
現実世界でも、先日、Facebook研究開発組織が明らかにしたところによると、
人が声に出さずに思考している内容を、脳を毎秒100回スキャンすることで
光学画像を生成し、読み取ってテキスト化するインターフェイスを
開発しているとのことです。
最終的には脳への埋め込みなしに脳と直結するインターフェイスの実現を
目標としているようです。
「ブレイン・マシン・インターフェイス(BMI)」というテクノロジーの
先駆的研究では、脊髄損傷や神経の難病によって首から下が麻痺状態の
患者さんを対象に、了解を得て外科手術を施し、電極を埋め込むことで、
ロボットの義手を使ってコップを握ったり、握手することに成功したそうです。
映画『潜水服は蝶の夢を見る』では、脳梗塞を起こした主人公が、
左目の瞳と瞼の筋肉のみを使った意志表示、20万回のまばたきで自伝を
完成させました。
BMIは、そういった患者さんに希望の光を与えるものだと思います。
個人的には、老眼が進む目を労るために、目を使わずに本が読めるように
ならないモノかと思う今日この頃です。
(カガ)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━