情報セキュリティ戦略セミナー2019 Review
開催日:2019年9月27日 会場:ホテル雅叙園東京
サイバー攻撃対策最新技術
伊藤忠テクノソリューションズ
クラウド・セキュリティサービス本部
セキュリティビジネス部
MSS運用企画課
課長
宮﨑 孝之 氏
伊藤忠テクノソリューションズ(CTC)は、インターネット黎明期よりセキュリティに取り組み、2014年にはセキュリティ・オペレーション・センター(CTC-SOC)を設立。サイバー攻撃演習、CSIRT支援、脅威・脆弱性マネジメントサービスなどを提供してきた。宮﨑氏は、そのセキュリティ監視の責任者を務める。
まず宮﨑氏は、重大なセキュリティ被害経験の調査結果※を紹介。約3分の1の企業が「攻撃を受け調査した」と回答した一方で、半数以上が「攻撃を受けたかわからない」、「攻撃を受けたことがない」と回答した。「実は潜在的に驚異の只中にいるのに気づいていないだけかもしれない、と我々は危惧しています」と語る。
CTC-SOCでの観測でも、攻撃元を国別に分析した結果、日本からの攻撃は19%で、31%の中国に次ぐ多さだった。もはや日本のネット環境も安全とはいえなくなっている。さらにCTC-SOCで検知した攻撃を分析した結果、最も多かったのがWebサイトを狙った攻撃で78%にも及ぶ。最近特に増加傾向にあるのが、メンテナンスされていないIoT機器を狙った攻撃だ。このことはすなわち、被害を受けると同時に、踏み台となって加害者になる可能性も高まっていることを示している。WAFが検知した攻撃の内容を分析すると最も多かったのが、Webアプリケーションの脆弱性を突く攻撃で71%、次が製品の脆弱性を突く攻撃で17%、残りがツールによるスキャンで12%。実に9割近くが脆弱性を悪用した攻撃であった。
※アイティメディア株式会社「Techno Graphics 2018 セキュリティ編」より引用
Webサイトが狙われるポイントとして宮﨑氏は、人、Webアプリケーション、管理ソフト、ミドルウエア、ネットワークの5つを挙げる。
人は、うっかりミスをする。よくあるのが権限設定のミス。他に、設定ファイルの入ったデータを公開ディレクトリに放置するケースも少なくない。「CMSファイルのアカウント情報が平文のテキストファイルのまま公開ディレクトリに置かれているケースもありました。その結果、攻撃者によってフィッシングサイトが設置されてしまいました」(宮﨑氏)
Webアプリケーションの脆弱性として最も悪名高いSQLインジェクションで攻撃されると、データベースプログラムができることはなんでもできてしまう。宮﨑氏は、「正しい処理をするかどうかのテストはしても、異常値が入った場合に正しく異常処理を行うかは見落とされがちです」と指摘する。Webアプリケーションの脆弱性は他にも多数あり、サイトの改ざんや情報漏えいなどにつながる重大なものも少なくない。
CMS・サイト/DB管理アプリケーションなどの管理ソフトは、ソフト本体よりもプラグインソフトが狙われることが多い。管理コンソールにアクセスできれば、そのサイトを支配下に置いたことと同様になり、サイトは容易に改ざんされてしまう。「実際にCMSのプラグインの脆弱性を利用してバックドアプログラムが仕込まれたケースがあります。その結果フィッシングサイトが設置され、ログインアカウントとパスワードを収集されてしまいました」(宮﨑氏)
ミドルウエアの脆弱性で多いのは、PHPに対する攻撃。改ざんや侵入、情報窃盗を引き起こす重大なケースも多い。最近では、脆弱性を利用して、仮想通貨のマイニングツールが設置されたという事例も観測されている。
最後のネットワークでは、権限設定ミスが多い。また、アカウントのメンテナンスが不十分で不要なアカウントが残っていたり、アクセス制御の不備、パスワードが脆弱といったケースも少なくない。
では、Webサイトを保護するためにはどうすればいいのだろうか。
宮﨑氏がまず挙げるのは、Webアプリケーションの改修である。改修すれば恒久対策となるが、開発したベンダーがすでになく改修が困難だったり、高額なコストがかかるケースもある。2つ目の手段として、パッケージソフトを利用している場合は、アップグレード、パッチの適用が有効だ。ただし、Webアプリケーションが正常に動作しなくなることもあるため、事前検証が必要となる。そして、3つ目の方法として挙げるのが、WAFの活用である。WAFを利用すれば、Webアプリケーションに手を加えず暫定対応が可能となる。ただし、WAFは過剰検知が多いという課題がある。これにうまく対応できなければ、正常な通信を止めることにもつながってしまう。
実際WAFの運用についてCTCがユーザーにアンケートを取った結果、実に68%が「運用できない」と回答した。最も大きな課題として挙げられたのがイベント対応だ。「ログの内容がわかりにくい」、「ログが多すぎて対処しきれない」などの声が上げられ、大量のログに苦慮し、イベントを評価し判断する知見不足に悩む様子が浮かぶ。その他、「機器の設定が細かすぎてわからない」、「何を、いつ更新すればいいのかわからない」、「情報を収集する手段がない」といった声があり、その運用の難しさがわかる。WAFが検知した内容を評価し的確に判断するには、高度な専門的知識とノウハウが欠かせない。しかも、イベントの量自体が非常に多いため、他の仕事を行いながら片手間に運用できるものではないのだ。
そこで宮﨑氏が勧めるのが、WAFとセキュリティ監視を組み合わせたソリューションである。専門家による常時監視により、WAFが検知した内容に迅速かつ確実に対処できるようになる。
CTCは、F5 Networksの認定SOCパートナーであり、豊富な運用・監視実績を持つ。宮﨑氏は、「監視を継続することで見えてくるものがあります。それが次の対策につながり、セキュリティレベルを向上できます」と語った。
情報セキュリティ戦略セミナー
2019 Review
- INDEX -
クラウドシフトが進む中、考慮すべきセキュリティリスクと対策
日立ソリューションズ
原 紫野美 氏
サイバー攻撃の事例から考える!効果的なWebサイトのセキュリティ対策とは
伊藤忠テクノソリューションズ
宮﨑 孝之 氏
パスワード付きファイルも検知可能!サンドボックスを使った最新の標的型メール攻撃対策
クオリティア
辻村 安徳 氏
The Enterprise Immune System:世界をリードするサイバーAI
ダークトレース・ジャパン
寺坂 健太郎 氏
「ポストデジタル時代」のサイバーレジリエンス
アクセンチュア
藤井 大翼 氏
最新サイバー攻撃からみた脅威動向と、『フレームワーク』で考える、いま必要なセキュリティ対策の選び方
キヤノンマーケティングジャパン
西浦 真一 氏
セキュリティ専門家が語る!実効性を担保していく「特権ID管理」術
NRIセキュアテクノロジーズ
橋本 淳 氏
日本中の250を超える公的団体が採用!USBメモリの管理負荷を激減させる、安全で簡単なファイル授受方法とは
プロット
坂田 英彦 氏
情報資産に絶えずつきまとう漏えいリスクにどう対応するか?
デジタルアーツ
足立 真彦 氏
安心、安全、便利にクラウド・モバイルを使うには
丸紅情報システムズ
飯干 尚矢 氏
ジェムアルト
前田 俊一 氏
特別講演
網羅的かつ継続的なIoT機器情報収集活動に対抗するプロアクティブなセキュリティ対策
横浜国立大学大学院
吉岡 克成 氏
サイバー攻撃の動向と対策
東京大学
満永 拓邦 氏
AI共働時代のレジリエンス強化術
~AI創発特性の対処と活用~
国立情報学研究所
安藤 類央 氏
サイバー攻撃による情報漏えい・不正アクセス
~組織の対応と対策で気を付けたいポイント~
JPCERTコーディネーションセンター
洞田 慎一 氏
事業継続を踏まえたCSIRT
日本シーサート協議会
萩原 健太 氏
AI x Cybersecurity
~データドリブンなサイバーセキュリティ研究の最前線~
情報通信研究機構
井上 大介 氏