• ID : 8248
  • 公開日時 : 2017/08/18 00:00
  • 印刷

≪内部からの「不正な通信」を遮断できていますか。≫|2017年08月18日(金) 

≪beat★ナビ≫は、セキュリティーに関するニュースやトレンド情報、
beatの機能紹介など、有益な情報を提供するメールマガジンです。
※本メールは、beat-box責任者様宛に配信しております。
カテゴリー : 

回答

━ ≪beat★ナビ≫ ━━━━━━━━━━━━━━━━━━━2017.08.18配信

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

こんにちは。富士ゼロックス≪beat★ナビ≫担当の加賀です。

インターネットの世界と、現実は連動しています。
偵察行為やサイバー攻撃などが、現実世界のイベントと連動して、
実施される傾向にあります。

サイバー攻撃の対象になりやすいイベントには、
オリンピックなどのスポーツイベントや、
サミットなどの国際政治イベントなどがあります。

イベントだけでなく、国際情勢とも連動しています。
中国のサイバースパイ集団「APT10」が攻撃対象を
日本に変更したとの話しもあるようです。

毎回毎回、長文になってしまい心苦しいのですが、
最後までお付き合いいただれば幸いです。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆目次◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

    [1] こじ開ける
    [2] 最近の主な機能強化
    [3] 機能を有効に
    [4] 侵入前提でリスクを考える
    [5] サミット
    [6] 機能を活用
    [7] サイバーキルチェーン


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆1.こじ開ける
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

5月から「サイバーキルチェーン」※という考え方に沿って、
毎月お話させていただいています。

今回は、攻撃(エクスプロイト)についてです。

┏┓ エクスプロイト(exploit)
┗□…
     偉業、手柄、功績、
     人や状況を私欲のために利用する、
     ~につけ込む、~を搾取するなど。


攻撃者の目的は、自身との通信経路を「こじ開ける」ことです。

前段階の「配布(デリバリー)」では、
ソーシャルエンジニアリングの手法を用いて、
悪意のあるファイルを標的に受け取らせました。

今段階の「攻撃(エクスプロイト)」では、
渡したファイルを標的に開かせることで、
OSやソフトウェアの脆弱性につけ込んできます。


※サイバーキルチェーンの詳細については、
「目次 7」に記載しましたので、必要に応じてご参照ください。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆2.最近の主な機能強化
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

beatサービスでは、攻撃者のエクスプロイトに対応するべく、
定期的に基本機能の強化を図っています。
 
最近の主な強化の例としては、以下のものがあります。

┏┓ 不正な通信対策機能(IPS)機能強化
┗□…
     2017年6月および7月
     禁止アプリケーション追加、
     ランサムウェア対応(WannaCry)、など。

┏┓ メールに関するセキュリティー機能強化
┗□…
     2017年4月
     主にスマートフォンのメールクライアントソフトで
     採用されることが多くなってきた受信動作への最適化対応。
     添付ファイル付きなどサイズの大きな迷惑メールへの対応。

┏┓ beat-boxのアンチウイルスエンジン機能強化
┗□…
     2016年8月および2017年2月
      ランサムウェア対応(Locky)、
      URLベースのアンチウイルス機能を追加。
      URLブラックリストに外部指令サーバー(C&Cサーバー)を追加。


日常的な各種シグネチャの更新に加え、
こうした不定期の機能強化についても、
責任者のお手を煩わすことなく、自動で更新しています。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆3.機能を有効に
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

シグネチャや機能は、自動で最新の状態に更新されますが、
機能自体を「有効」にしていないと意味がありません。

標準機能であっても、初期設定は「無効」状態の機能があります。
 
たとえば「迷惑メール判定機能」です。

ご利用のIDC上で、迷惑メール対策をしている場合であっても、
「有効」にすることをお薦めします。

前回ご紹介しましたが、
特定の条件が揃った迷惑メールを、
「マクロウイルス」と判定し削除する機能は、
beat独自のものです。

「不正な通信対策機能」については、初期設定で「有効」状態です。

ただし、お客様の環境に合わせて、チューニングが必要です。
不正な通信対策は、以下の2つに大別されます。

 ・ 禁止アプリケーション設定
 ・ その他の通信設定

6月の機能強化では、「禁止アプリケーション」の対象が追加されました。

しかし、「禁止アプリケーション設定」の初期値は、
[許可]になっています。

そのままでは、追加されたアプリケーションの通信は遮断されません。

社内での利用可否を判断いただき、必要に応じて、
[遮断]または[記録]に変更してください。

「beat-boxのアンチウイルス機能」は、一律で「有効」な状態です。
一時的であっても「無効」にすることは、非常に危険なため、
設定を変更する機能自体を提供していません。

アンチウイルス機能は、無効にできません。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆4.侵入前提でリスクを考える
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

攻撃者は、事前に攻撃対象を徹底的に調べ上げています。
また、使われるマルウェアも日々進化を続けています。

「配布(デリバリー)」までの入口対策だけで、
100%侵入を防ぐことはできない状況です。

侵入を前提として、
その後に発生するリスクを如何にして低減させるかを
考える必要があります。

「攻撃(エクスプロイト)」では、
脆弱性を利用した攻撃コード(エクスプロイト・コード)を、
配布した添付ファイルを開かせ実行させます。

攻撃コードは、FlashやJavaなどの脆弱性を利用したものです。

標的に気づかれないように、不正プログラムを実行するため、
複数の脆弱性を組み合わせることもあります。

また、「マクロウイルス」や悪意のあるスクリプトを、
PDFやOffice文書に隠し、そのファイルを開かせることで、
マルウェア本体をダウンロード、実行させることもあります。

いずれにしても、自身との通信経路を「こじ開ける」ために、
OSや各種ソフトウェアの脆弱性を利用してきます。


公開された「更新プログラム」を適用しない状態は、
勝手口のドアに鍵をかけていない状態と同じです。

侵入前提でリスクを考えると、
脆弱性を潰すためのソフトウェアアップデートは、
早急に解決すべき課題です。

自動更新を利用し、定期的に確認するようにしてください。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆5.サミット
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

サイバー攻撃の対象になりやすいビッグイベントに、
beatが関わった実績としては以下のものがあります。

 ・ 2008年7月の洞爺湖サミット
 ・ 2016年4月の広島外相会合
 ・ 2016年5月の伊勢志摩サミット

洞爺湖サミットで、報道陣の写真転送用ネットワークとして利用され、
世界中から攻撃をうける中、情報を守りきりました。
 
その実績を評価され、広島外相会合、伊勢志摩サミットでも、
採用されることとなり、無事に役目を果たしました。

日本では、2019年にラグビーワールドカップ、2020年に東京オリンピックと、
ビッグイベントも控えています。

ファイア・アイ社によると、
中国のサイバースパイ集団「APT10」は、2015年後半に活動量が低下したが、
2016年6月に再び活動が活発化したとのことです。

攻撃対象をアメリカから日本に変更していると警告しています。

  <参考情報>
  「中国サイバー攻撃の標的は米国から日本に変更--ファイア・アイが警告」
  https://japan.zdnet.com/article/35104686/


その攻撃は、イベントに関わる周辺企業にも及びます。
イベントに関連するホテルの従業員や、イベントのサポートスタッフなどを
攻撃の入り口にすることもあります。

オリンピックともなれば、その影響は広範囲に及びます。
自分は無関係だと、簡単には言い切れないかもしれません。


・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆6.機能を活用
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「攻撃(エクスプロイト)」に対して、
「beat-boxのアンチウイルス機能」は、
マルウェアのダウンロード先や外部指令サーバー(C&Cサーバー)への
アクセスをブロックしています。

「迷惑メール判定機能」は、
メールに添付された、マクロウイルスや悪意のあるスクリプトを
フィルターしています。

「不正な通信対策機能」は、
FlashやJava、Windowsなどの脆弱性を悪用するファイルへの
アクセスを検出しています。
また、危険なサイトやC&Cサーバーへのアクセスも検出しています。

ぜひ、各機能を有効にして、活用いただきたいと思います。


特に、今段階の「攻撃(エクスプロイト)」に対しては、
「不正な通信対策機能」がポイントになります。

LAN内を流れる通信について、
普段の状態をチェックしておくことをお薦めします。

・‥…━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◇◆
  ◆7.サイバーキルチェーン
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「サイバーキルチェーン」という考え方を、ご紹介します。

攻撃者の行動パターンを、"7つ"の階層に分解したものです。
「サイバーキルチェーン」は、航空機メーカー、ロッキードマーチン社の

マイク・クロッパー氏により提唱された考え方です。
攻撃の手順をプロセスごとに階層化したもので、
いずれかの階層で脅威を断ち切るという「多層防御」の考え方を
理解するのに役立ちます。

┏┓ サイバーキルチェーンの7階層
┗□…
     1.偵察
     2.武器化
     3.配布(デリバリー)
     4.攻撃(エクスプロイト)
     5.インストール
     6.遠隔操作(C&C)
     7.目的の実行

企業が自社のセキュリティ体制を見直す上でも、
欠かせないフレームワークです。


今回は、"攻撃(エクスプロイト)"について、詳細をお話ししました。

次回はまた、サイバーキルチェーンの階層に沿って、お話したいと思います。

最後までお読みいただき、ありがとうございました。
次回は2017年9月8日(金)に配信予定です。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  ■□ 編集後記 □■

先日、子供にこんなことを言われました。
「パパ、パパ、クレヨンしんちゃんって、
大人になったら、ボールペンしんちゃんとかになるのかな?」

かなりツボに嵌まって笑ってしまいました。

「多分クレヨンは、ポケモンとかみたいに
進化したりはしないと思うけど・・・」と答えつつ、
頭の中では「鰤みたいに出世したりもしないと思うよ。」と思っていました。

その後も、とりとめなく色々考えてしまいました。

「たしか、鰤は最終進化形だから、鰤のクレヨンはなんて言うんだっけ?」
「途中には、色鉛筆とかシャープペンとか。やっぱり万年筆かな。」
「はっぱふみふみ・・・シャーボ、欲しかったなぁ。」


誰でも使えるという点で、キーボードやスマホ画面のタップ操作は、
紙とペンを超えられていません。

でも、子供たちが大人になる頃には、
全く別のものになっているかもしれません。

アマゾン社は、アメリカのサンディエゴにある高齢者専用住宅地で、
AI音声アシスタントのアレクサを使った生活を実験中だそうです。

アレクサは、iPhoneなどに搭載されるSiriのような人工知能です。

声で話しかけるだけでさまざまな操作が可能になるので、
何かをメモするために、ボールペンは必要はないようです。

実験プログラムに参加する人の半分以上は80代後半です。

手にふるえがあるような方にとっては、検索ワードをスマホで入力するより、
アレクサで検索をする方がはるかに簡単で早いそうです。

孫と話したい時は、通話サービスも利用できるし、
「時間がある時に電話して欲しい。」という、
テキストメッセージに変換して送信することもできるようです。

しかし、それ以上の、プレゼントおねだりメッセージが、
返信されてくるような気がします。


(カガ)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━