ネットワークセキュリティとその背景お...
TRANSCRIPT
ネットワークセキュリティとその背景および関連話題
名古屋大学 情報基盤センター
情報基盤ネットワーク研究部門
嶋田 創
サイバーセキュリティとネットワークセキュリティ
サイバーセキュリティのカバーするもの(サイバーセキュリティ基本法第2条より) 「電磁的方式により記録され、又は発信され、伝送され、若し
くは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置」
「情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置」
「電磁的記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む」
逆に言えば、不正な活動以外への「安全性及び信頼性の確保」も大事(機能安全、システムの頑強さ)→情報セキュリティ特論(秋1,2期)
ネットワークセキュリティ話は両方に関わる
1
ネットワークセキュリティの話の流れ
ネットワークセキュリティ(サイバー攻撃対策)とその背景引き続き増加傾向にあるサイバー攻撃の現状
ネットワークセキュリティ関連話題ソーシャルエンジニアリング
情報倫理
ネットワークを介した様々なサイバー攻撃サイバー攻撃耐性の強いネットワーク/サーバ運用
(ネットワークを介さないサイバー攻撃) マルウェア
マルウェアの種類と活動
マルウェア発見/解析方法の初歩
2
サイバー犯罪/サイバー攻撃: サイバーセキュリティの敵
多くは(ネットワーク越しなどの遠隔の)サイバー攻撃を伴う攻撃者にとっては足がつきにくい利点
犯罪者は随時新たな攻撃を開発している
疑問: その攻撃手段への発想力を活かせば高収入で社会的地位の高い職業につけるのでは?
3
A: 金になるからサイバー犯罪を行う普通の職業では一生かかっても稼げない金が手にはいるなら?
所属する国によっては犯罪で得た金の価値が相対的に大きくなる
(サイバー)犯罪に対する追跡が緩い国ではなおさら
金になる情報の代表: クレジットカード情報、オンラインバンキング決済情報、企業秘密、DDoS攻撃(脅迫用)、乗っ取ったコンピュータ(踏み台、仮想通貨発掘)、など
目的から考えるサイバー攻撃の分類
以下の4パターンで分類すると事後対応を考えやすいもちろん、例外や攻撃成功後の目的の移行なども考える
4
• バラマキ型ウィルスの利用 PCなどを乗っ取って悪用する
(時間貸し) 最近だとランサムウェアも
• 最近では、ネット接続端末が増えていて防衛が大変
• 技術力の誇示や愉快犯 コンピュータウィルスやワーム
コンピュータ制御されている機器を誤動作させる
とりあえず他人の認証破ってみた
• 企業や組織を狙った標的型攻撃 機密/個人情報などの窃取
業務妨害と脅迫の組み合わせ(ランサムウェアも)
• ハクティビスト(政治的主張などを目的とした攻撃) ウェブサイトへのサービス不能
攻撃 ウェブサイト書き換え(主張を
入れ込む)
金銭目的でない金銭目的
無差別な攻撃
標的を絞った攻撃
攻撃の例
無差別なもの Remote Administration Trojanでボットネットを作って利用権を売る
キーロガーでクレジットカードや銀行決裁情報などの金銭決済情報を得る
ランサムウェアに感染させて脅迫
標的を絞ったもの (Distributed) Denial of Service攻撃で業務妨害しつつ脅迫
業務妨害自体が目的のこともある
マルウェアを送り込んで機密情報の窃取
特定の産業システムの破壊を目的とした攻撃
特に電力などのインフラ系
金銭取扱システム(POS, ATM)への感染を目的とした攻撃
利用者のクレジットカード情報の窃取
5
サイバーセキュリティにおける「情報」
物に限定されない(例: 運用中の情報サービス)情報を持っている人(管理する人)はその情報を取られたり破壊され
ないように守らなくてはならない対象
流出させると法律による罰則があるものも多い
悪人にとっては、盗み出す対象
直接悪用したり、ブラックマーケットで売ったり
人によって価値の受け取り方が異なる点がやっかい
→この点が、セキュリティホールになったりする情報の価値を理解できていない人が管理をおろそかにする
攻撃者が情報の価値を理解していない人に流出を促す
情報: 価値のあるもの→守らなくていけないもの
6
情報をどう守る?どう盗む?
情報を持っている人(管理する人)誰にでも読めなくする: 暗号化
読める人を制限する: (パスワード)認証
ネットワーク上でも同じ
情報を盗もうとする人認証/暗号化を破る
認証/暗号化情報を聞き出す
パスワードを聞き出す
暗号鍵を盗み出す
こちらもネットワーク上でも同じ
亜種: 情報(技術)の利用をじゃましようとする人 じゃました上で脅迫してお金を巻き上げる
7
お金になる情報
クレジットカード情報悪用の他に、ブラックマーケットで売るという手も
フルセット揃うと1つにつき数十$程度
銀行(オンラインバンキング)決済情報最近これを狙ったマルウェア(バンキングマルウェア)も多い
企業秘密他にも、どうしても手に入らない技術を手に入れるためとか
某国は軍事技術に利用できる技術を一生懸命盗もうとしています
脅迫ネタ機密情報を手に入れた
ランサムウェアで暗号化されたデータを元に戻したければ
サービス不能(DoS)攻撃をかけるぞ
8
情報や攻撃の価格 @2017あたり
クレジットカード: $4-$20どこで発行されたかによって価値が違う
Remote Administration Trojan(RAT): $20-$50 ウェブサーバ乗っ取り: $100-$200 DDoS攻撃: $60-$90 / day 感染して乗っ取ったコンピュータ: $120-$200 / 1000台
9
現状のサイバー犯罪
10
0
2
4
6
8
10
12
リスク 労力 利得
現在のサイバー犯罪はリスクに対して利得が大きすぎ
リスクを上げて利得を減らす必要がある
ただし、サイバー犯罪は世界規模なので、リスクを上げれない国家があることを考えておく必要があるそのような国を前提に考える必要がある
最近ではさらにたちが悪いことに…
この図はいつか変えたい(変わって欲しい)のだが、未だに変える状況に達していないのが残念
現情報攻撃側と防御側の勢力バランス
まあ、今までが悲観的なので想像できますが… 情報セキュリティ技術者の方が分が悪い
そもそも後手後手に回ることになる犯罪者側は未発見の攻撃手段を1つ見つければ良い
犯罪者は市販の情報セキュリティ技術を試せる
さらに、法律などが足をひっぱることがある脆弱性解析などにおいて
というか、最近は行政側の方がアレなことが… また、守りたい物を持っている企業が敵に回ることもある
脆弱性を指摘すると、指摘された方から脅迫されたりとか
最近だと、白黒どちらにも利用できる技術のウェブサイトに警察/検察の圧力があったりもする →セキュリティ勉強会自粛の動き
11
2019年の話で個人的にきついと思っているもの(1/2)IPAも毎年セキュリティ脅威top 10[1]を出していますが、個人的に印象が残っているものを
ランサムウェアを他と組み合わせて効率的に武器化ランサムウェア: データを暗号化して読めなくして身代金を請求
攻撃者間でランサムウェアを良い金儲け手段と認識が広がった感じ
脆弱性と組み合わせて送り込んだり、感染後に人手で操作したり
個人や企業のつながりを狙った攻撃の増加(復権?)ビジネスメール詐欺[2]
攻撃者は内部の業務フローを把握して詐欺請求を送りつける
受信メールボックスにあるメールに対して返信をするマルウェアEmotetの流行
12
[1] https://www.ipa.go.jp/security/vuln/10threats2019.html[2] https://forbesjapan.com/articles/detail/29551
2019年の話で個人的にきついと思っているもの(2/2) 多要素認証の突破を狙った攻撃
2019年のネットバンキング不正送金(全1852件)の56%はワンタイムパスワード(OTP)を突破しているらしい[1]
中間者攻撃をやりやすいプロキシ型フィッシング(詐欺)サイトが増加
OTP生成用シードを狙うマルウェアも観測されている
OTP窃取目的に携帯電話会社側のSMSサーバを狙ったマルウェアも[2]
携帯電話のSIM(回線情報の入ったカード)を狙った攻撃携帯電話会社のSIM再発行を騙して標的のSIMを再発行させる
この先のeSIMの普及でもっと容易になりそう
SIM自体のセキュリティ破りを狙うSimjacker攻撃
→「携帯電話番号(SMS含む)」に依存したセキュリティはダメに
13
[1] https://www.nikkei.com/article/DGXMZO56407040V00C20A3MM0000/[2] https://blog.kaspersky.co.jp/simjacker-sim-espionage/24282/
情報セキュリティ人材問題(1/2)
じゃあ? セキュリティ技術者が増えれば問題は解決する?→一朝一夕には増えません
そもそもNHKが2014年にニュースにするぐらい不足[1]今の時点でもまだ不足の話題はよく出てくる
というか、攻撃対象が増える傾向にあるのでますます不足するような
14
[1] http://www.nhk.or.jp/kaisetsu-blog/100/202598.html
情報セキュリティ人材問題(2/2)
Chief Information Security Officerに月給100万クラスを準備しても、でも要求レベルの人が来ないことも法律家や警察などの論理にも精通しているのが望ましいような人
大学のセキュリティ関連教員の公募も苦労しているようです
「情報セキュリティ技術者を育てるぜ」とコースは作ったは良いが、良い先生があつまらないという所が多々ある
→教育できる人がいないから人材が増えないという悪循環
そもそも、情報セキュリティは情報技術の中でも若い分野当然、それに比例して人材が少ない
ただ、最近では、特に民間で「セキュリティ教育」の市場が広がっている様子はあるお金がからむと動きは速くなるのはどの世界も同じ
15
セキュリティへのコスト意識の問題
そもそも、セキュリティ対策は、警察や消防と同じで必要無ければ嬉しい組織仕事が無いのが一番な組織
でも、警察や消防を不要と言う人はあまりいないが
企業としても、直接利益を産まない所には投資しにくい
セキュリティ人材へのコスト意識
人材は不足しているけど突っ込むお金はもっと不足していて、経営者のコスト感覚は致命的に不足している
かつて、薬剤師のパートタイムより安い値段のパートタイム労働で、年収4桁万円級の人材募集があったことも
最近は段々改善されているように見える
16
攻撃対象や悪用対象の増加(1/5)
Internet of the Thing(IoT)利用状況の遠隔閲覧などに有用だが、
攻撃対象や悪用対象(空のうちに…)にヘルスケアにも有用だが、機微な個人情
報でもある
ブロードバンドルータはすでに散々攻撃されている
クラウドサーバ経由で制御するIoT家電がクラウドサーバ側のトラブルで動かなくなる事例も[1]
17
↑ヘルスケアとIoT
心拍
[1] https://ascii.jp/elem/000/004/010/4010426/
↑利用状況閲覧型IoT
スキンケア
攻撃対象や悪用対象の増加(2/5)
車載ネットワーク/車車間ネットワークコスト削減や交通事故削減に有望だが…外部接続経路から車の制御システムを妨害したり
他の車や信号に偽の情報を送ったり
すでに脆弱性問題は出ている[1]
18
↓車両制御システムへの攻撃
その情報は本当?
↓車車間通信への攻撃
[1] https://response.jp/article/2020/04/01/333175.html
攻撃対象や悪用対象の増加(3/5)
スマートグリッドの制御ネットワーク HEMS (Home Energy
Management Systemと連動)基本的に、家庭内LAN、
HEMS LANとは分離されているはずだが…
日本の住宅事情で複数サブネットのネットワーク線を通す構成できるの?
現在では電力は人の生命に関わる重要インフラで、攻撃事例はすでにある
例: ウクライナの電力系を狙ったサイバー攻撃
19
スマートグリッド普及者側が想定するネットワーク
攻撃対象や悪用対象の増加(4/5)
電子社会システム(電子政府)の推進すでに行政手続きを使って詐取する犯罪はありますが…
印鑑証明とか住民票とか金銭や契約にからむ物を
行政手続きの迅速化/低コスト化のために
エストニア国の事例が有名
結婚関係、不動産関係以外の行政手続きは個人の端末から手続きOK日本でも通称デジタルファースト法(*1)が2019/5成立、2020/1施行
→攻撃者にとっても犯罪の(TATを)迅速化される可能性? もちろん、セキュリティの担保も平行して進められるはずだが
電子政府の推進に伴って、ネット接続が基本的人権で補償される範囲に入ってくる可能性
→情報リテラシの低い人が攻撃対象となる機会も増える?
20
(*1) 正式名称: 情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律
攻撃対象や悪用対象の増加(5/5)
機械学習/深層学習系システムは安全?システムへの入出力から等価な識別器を
作ってしまう(次項以降の攻撃につながる) (人が認識できない)ノイズを混ぜることで誤
判定させる
学習データに学習を偏らせるデータを混ぜ込ませる
セキュリティ側にも機械学習/深層学習系検知はあるけど大丈夫?
21
通信量増大の問題(1/2)
2017年のネットワーク接続デバイス予測 190億台
2017年の年間IPトラフィック量予測 1.4ZB IPトラフィック全体の年平均成長率 23%
22
EB / Month
引用 : Cisco VNI, 2019
検査対象デバイスの数や種類の増加
検査対象トラフィックの増加 DDoSトラフィックの上限増加
2TB越えた@2020/6
→対策機器側の要性能向上
122156
201254
319
396
0
100
200
300
400
500
2017 2018 2019 2020 2021 2022
通信量増大の問題(2/2)
近年では、対外接続部のみの不正通信は不十分標的型攻撃でセキュリティ意識の弱い部署を狙って組織内へ侵入
侵入した部署から標的となる部署に攻撃をしかける
内部ネットワークの監視の必要性重要なマシン(e.g. サーバ)を保護するため
重要な部局の仕事に影響を出さないため
23
対外接続IDS
サーバ クライアント
内部IDS(追加!)
Detect!
インターネット
対外接続部での監視に比べて最低10倍のトラフィックをさばく必要
サイバー攻撃/犯罪対策をじゃまするもの(1/3)内部側から(悪意がないのも含む) セキュリティ対策への無理解
セキュリティ対策やEnd of Life機器の更新予算をかけてくれない
皆さん、Windows 7(2020/1/)やOffice 2010(2020/10)は更新済みです?
勝手なサイバー攻撃の後始末勝手にリカバリディスクを使ってノートPCを初期状態に戻すとか
ヘタすると、警察から「主犯が証拠隠滅を行った」と見られます
踏み台に使われた端末とか
移動する無線LAN接続のクライアント外部で接続した時にマルウェアを拾ってきて内部でばらまいたりとか
「BYODで個人端末活用」な話が出る時に頭が痛い問題
24
サイバー攻撃/犯罪対策をじゃまするもの(2/3)犯罪者側から
そもそもマルウェア側に対策が行われるのを検知する機能があったりするマルウェア内に偽ドメインを埋め込む →偽ドメインの名前解決があっ
たら解析されている
標的以外のIPアドレスの範囲からの通信があったら検知と判断
そもそも、起動時にGoogleなどのメジャーなサービスへの接続性を確認したりする
対策されたら別のマルウェアを起動できるよう潜伏させる
見つかった物とは別のマルウェアだったり、見つかった時の知見を反映したり →できれば一網打尽にしたいが、時間かけるのもリスク
(対策しようとするとDDoSをかけてきてじゃましようとしたりする)
25
サイバー攻撃/犯罪対策をじゃまするもの(3/3)ソフトウェア/サービス開発側から
新追加&デフォルト有効によるセキュリティホール追加 OpenSSLのheartbleed @2014/4 bashのshellshock @2014/9WordpressのREST API @2017/2
ただし、REST API自体の活用は順調に進んでいる
右肩上がりの目標はいい加減な所でやめて欲しいのだが…新たな機能を追加すれば新たな人が無限呼び込めるとか考えてい
るの?どこかで一旦、安定に入ってもいいと思う
もちろん、必要性が出てきたら開発再開でいいけど
最近はFirefoxがその領域に入っているので嫌な感じ
26
サイバー攻撃/犯罪対策をじゃまするもの(4/4)脆弱性発見者側から
脆弱性を見つけることを売名や別の儲けの手段としていない?
例: AMDプロセッサにおけるCTS Labsからの脆弱性指摘 2018/1あたりからSpectreなど投機実行関係のプロセッサの脆弱性
の問題話が活発
投機的実行における、投機状態のデータの廃棄がうまくいっていないことにより、見えてはいけないデータが見える
→見えたデータが暗号関係の鍵だったら? 2018/3にCTS LabsからAMDプロセッサに対する脆弱性指摘が出た
が…具体的な話が少ない上に、対策準備前に情報の開示(好ましくない)が
ソフトウェア側でも実効性無視の脆弱性発見の話はある
27
セキュリティ側から見えている希望(1/3)
クラウドコンピューティングを利用した集中防御 1組織で攻撃に対する知見を貯めるより、多くの知見を貯めれる
SINETもクラウドを作成して大学の情報セキュリティを担う方向
ただ、クラウド運営者を信頼できるかという問題はつきまとう
28
SINETオープンフォーラム資料より
セキュリティ側から見えている希望(2/3)
SDN(Software Defined Network)による柔軟なネットワーク
SDNの特徴ソフトウェアのような柔軟な経路選択ルール作成
送信先ポート、送信元IPアドレス/ポート、など
同一IPアドレスに対してTCP/UDPのポートに応じて経路選択可能
→マルウェアの通信のみ捻じ曲げることが可能(対策、隔離) SDNコントローラでオリジナル認証ルーチン入れたりするのも不可能
ではない
29
192.168.0.1 TCP80
192.168.0.1 TCP22/TCP80SDNスイッチ
192.168.0.1 TCP22
SDNでできることの例:接続先ポートによる経路変更
セキュリティ側から見えている希望(3/3)
ビッグデータ処理の応用通信解析、マルウェア分類、などへの応用
異常な通信ではなく、通常の通信の定義からの情報セキュリティ適用
ビッグデータに向けた計算機の能力向上研究の進歩
SNS等で流れる脆弱性に関する議論を自動発掘/分類
人が足りないなら自動化すれば良いという目標の研究熟練情報セキュリティ技術者の知識適用の自動化
別に100%を目指す必要はない
自動化で80%を除外できるならば、人の負荷は1/5になる
エージェントシミュレーションの応用で攻撃/防御役を競わせて、防御手法を進化させる研究もあり
30
基本的な事前対策
OSやアプリケーションはちゃんとアップデートする
アンチウィルスソフトウェアは利用する(検知パターンはちゃんと更新)
機密情報のアクセスできる人/PC/ネットワークの適切な制限
データの定期的なバックアップランサムウェアの脅威の増大で昔以上に重要
怪しいURLへのアクセスやファイルの実行を避ける
と言いたい所だが、攻撃者の文面の工夫は日々向上しているので、完全に0にすることは難しい
継続的な訓練メールでアクセス/実行の確率の低下は可能
31
基本的な事後対策
被害拡大の防止組織内部および組織外部の双方に対して
証拠保全時間やシャットダウンで記録が消える装置からは早期に証拠を保全
変種: シャットダウン手続きを検知して証拠隠滅が図られそうな場合は電源ケーブルを抜く
ただし、ランサムウェアの暗号鍵のように、シャットダウンを含む電源断で消えてしまうものもある
証拠をベースとした追跡盗み出された物の同定
実施された処理の同定
組織内部などの拡散状況の同定
侵入経路の同定(同一の経路を利用した他のPCなどは無いか?)
32