イベントレポート

Internet Week 2016

サイバー攻撃の正しい見抜き方と対策は? ゼロデイ/ワンデイ時代のウェブサイトの守り方や企業のマルウェアメール対策、セキュリティ対策機器自身のセキュリティなど解説

 「見抜く力を!」をテーマに開催されている「Internet Week 2016」で11月29日、セキュリティや法規制に関する「法規制とサイバー攻撃対策の動向を見抜く!」のプログラムが開催された。ここでは、その第2部「サイバー攻撃2016 ~正しく見抜いて対策へ~」の各セッションをレポートする。

ユーザー企業のマルウェアメールへの対策

 最初のセッションは、ユーザー企業における標的型攻撃などのマルウェアへの現場の対策について。伊藤忠商事株式会社の佐藤元彦氏(ITCCERT上級サイバーセキュリティ分析官)が、「危機に即応する日常運用」と題して解説した。

 “日常”とはいうものの、「SOCより早く正確に」という言葉も出たように、ユーザー企業としては高度な取り組みが語られた。

 佐藤氏はまず、マルウェアのサンドボックスでの防御について、サンドボックスが万能ではないことを知って管理することが大事だとして、「ウイルス対策ソフトもサンドボックスも万能ということはない。割り切って使えばいい製品だと思う」と語った。

 ポイントの1つめは「ウイルス対策製品を使い込もう」。効果が疑問視されることもあるが、「ウイルス対策ソフトをもう1回見直してほしい。『サンドボックスをすり抜けたんだ』というように」と佐藤氏は言う。

 このとき、検知数ではなく検知場所と検知名が重要だと佐藤氏は説明した。また、定期スキャンで検知されたマルウェアについては、過去には入ってきていたものであるため、追跡が必要だと指摘した。

 2つめは「スパムフィルターを使い込もう」。「スパムフィルターのルールのチューニングが標的型攻撃メールに効く最高の管理策」と佐藤氏は言う。設定ポイントとしては、「.exe」などの特定の拡張子のファイルが添付されたメールは件名に警告を加えることや、ビジネス上必要のない拡張子のファイルが添付されたメールは受信拒否することなどが挙げられた。

 また、「.doc.exe」などの二重拡張子の添付ファイルのフィルターは効果が高いことや、サンドボックスを越えたものはベンダーに連絡するとともにルールに追加していること、グローバルIP確認サイトへのアクセスで警告を出す設定などを紹介。「不審メールを減らせばより少数のポイントに力を絞れる。そういった割り切った使い方で運用がしやすくなる」と語った。

 さらに、3つめに「プロキシログを分析しまくろう」、4つめに「AD(ActiveDirectory)を見張ろう」を説明。Splunkなどによるプロキシログの分析や、ログイン失敗の監視、AD自身の要塞化などを語った。

 最後の5つめは「インテリジェンスを磨こう」だ。例えば、共有されている不審通信先の情報を制限設定に追加するだけでなく、同じ登録者や、同じIPアドレス、関連性のあるドメイン名などを調べることで関連情報が浮かび上がるという。「入手した情報を自分なりに解釈して再分析するのがポイント。有事の際の調査スキルも磨ける」と語った。

伊藤忠商事株式会社の佐藤元彦氏(ITCCERT上級サイバーセキュリティ分析官)
「ウイルス対策製品を使い込もう」
「スパムフィルターを使い込もう」
「プロキシログを分析しまくろう」
「AD(ActiveDirectory)を見張ろう」
「インテリジェンスを磨こう」

セキュリティ対策機器自身のセキュリティに注意

 続くセッションは、セキュリティ対策機器自身のセキュリティについて。株式会社ラックの賀川亮氏が「入れて安心していたセキュリティ対策機器が攻撃されたあの日」と題して、この1年間に発見されたセキュリティ製品の脆弱性を、デモ動画を交えて解説した。

 1つめは、Juniper NetScreenのScreenOSの脆弱性(CVE-2015-7755)が取り上げられた。ユーザーIDにかかわりなく、特定のパスワードを入れるだけでsystemユーザーとしてログイン可能というものだ。systemユーザーなので、ユーザー一覧にも表示されない。

 2つめは、Palo AltoのPAN-OSで発見された複数の脆弱性のうちの1つ(CVE-2016-3655)が取り上げられた。Web APIにおいて、特定のHTTPヘッダーに長い文字列を入れて送ることでOSコマンドが実行になるというものだ。

 3つめは、Cisco ASAに不正なSNMPパケットが送りつけられることによる脆弱性「EXTRABACON」(CVE-2016-6366)だ。クラッシュして再起動するケースと、管理者としてログイン可能になるケースがあるということで、それぞれの例が動画でデモされた。

株式会社ラックの賀川亮氏
ScreenOSの脆弱性
ScreenOSの脆弱性のデモ。systemユーザーとしてログイン可能
PAN-OSの脆弱性
Cisco ASAの脆弱性
Cisco ASAの脆弱性のデモ。管理者としてログイン可能

 このようにネットワークを守るはずのセキュリティ機器が狙われることについて、賀川氏は「入れてるだけでは守れていない」と表現した。そして、大事なのは適切なアクセス制御と情報収集、維持管理であるとし、安全運転で言われる「だろう運転」(たぶん大丈夫だろうと都合よく考える運転)を避けて、「かもしれない運転」が大事だと語った。

 また、脆弱性を狙った攻撃だけではなく、デフォルトのIDとパスワードで運用していたり、DNSやNTPの設定が不適切で踏み台にされたり、SSHサーバーに脆弱なパスワードが設定していたりといった、甘い設定が原因によるインシデントも一定数発生していると賀川氏は注意を呼び掛けた。

 「例えば、外部の業者に設定を任せていても、適切な設定がなされていないこともある。また、緊急対応がオプションで用意されていることは少ないので、事前に運用の体制を相談しておく必要がある。お願いしていたからOK、ということはもうない。」(賀川氏)

「~だろう」から「~かもしれない」に
設定不備によるインシデントも一定数発生

ゼロデイ攻撃やワンデイ攻撃からウェブサイトを守るには

 HASHコンサルティング株式会社の徳丸浩氏のセッション「Webサイトを守るためにわたしたちができること」では、ウェブサイトへの攻撃について、ゼロデイまたはそれに近い状態で攻撃を受けた事例とその対策が語られた。

 1つめの事例は、日本テレビのウェブサイトの事件だ。Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があり、遠隔操作プログラムが設置されて個人情報が流出した可能性があるという。

 徳丸氏は実際に壇上でデモ。対策前のプログラムに対して脆弱性を突いてサーバー上でコマンドを実行できるところを示し、WordPressの設定ファイルからデータベースのユーザー名とパスワードを調べ、さらにサーバー上でダウンロードコマンドを実行してウェブベースのDB管理ツールを設置し、WordPressと同じ権限でデータベースの情報にアクセスできるところを見せた。

 2つめの事例は、DrupalのSQLインジェクション脆弱性「Drupageddon」だ。これはゼロデイ攻撃ではないが、脆弱性発表と同じ日から攻撃が始まったということで、徳丸氏は「ワンデイ攻撃」と名付けた。

 この例のデモでは、対策前のDrupalで一般ユーザーを作ったあと、ログインのリクエスト内容に手を加えて特殊なユーザー名を指定すると、当然ログインに失敗するが、一般ユーザーに管理者権限が付加されるところを見せた。

 3つめの事例は、Joomla!のコード実行脆弱性(CVE-2015-8562)を突かれて「えのしま・ふじさわポータルサイト」がスパム送信の踏み台にされてしまった事件だ。マルチバイト文字を扱うときのPHP、Joomla!、MySQLの地味に“イケてない”仕様を巧妙に組み合せたものだという。徳丸氏は、「User-Agent:」に特殊な文字列を設定し、2回リロードするだけでサーバー上でコマンドを実行できるようになり、簡単にウェブを改変できるところをデモした。

 4つめの事例は、Joomla!の権限昇格脆弱性(CVE-2016-8869、CVE-2016-8870)だ。これは、ユーザー登録メソッドとして通常使われているメソッドのほかに使れていない古いメソッドが残っており、古いメソッドでは内容確認がなされていなかったというものだ。これもワンデイ攻撃となったという。徳丸氏は、古いメソッドを呼び出すウェブフォームを用意して勝手に管理者ユーザーを追加するところをデモした。

HASHコンサルティング株式会社の徳丸浩氏
日本テレビのWebサイトの事例。「ケータイキット for Movable Type」のOSコマンドインジェクションの脆弱性
「ケータイキット for Movable Type」の脆弱性のデモ。サーバーのコマンドを実行でき、WebベースのDB管理ツールが設置された
DrupalのSQLインジェクション脆弱性「Drupageddon」
Drupageddonのデモ。一般ユーザー「alice」に「administrator」権限が付加された
「えのしま・ふじさわポータルサイト」の事件。Joomla!のコード実行脆弱性
Joomla!のコード実行脆弱性のデモ。2回リロードするだけでサーバーのコマンドを実行でき、ウェブを改変された
Joomla!の権限昇格脆弱性
Joomla!の権限昇格脆弱性のデモ。勝手に管理者ユーザーを追加された

 後半ではこの4つの事例をもとに「今時のウェブサイトの守り方」が語られた。いずれもゼロデイまたはワンデイで攻撃が行なわれており、全体的に脆弱性公表から攻撃までがますます短時間になってきているという。「パッチを適用しようと思っても、適用の検証をしている間に攻撃が来てしまう」と徳丸氏はその難しさを説明した。

 重大な脆弱性に対応するアップデートは、一般に機能追加なしにセキュリティ修正だけをして、更新の検証の手間を減らすことも多い。「ただし、セキュリティ修正が含まれないからということで最新版に更新していないと、火急の脆弱性が公表されたときにバージョンアップを躊躇する要因となる」と徳丸氏は指摘した。

 また、徳丸氏は日本テレビの事件の調査報告書が曖昧にせずに書かれていることを賞賛し、報告書内の「脆弱性をおいてもその他のセキュリティ施策が機能していれば避けられた事故」という指摘をもとに、防げた可能性のある手法を考察した。徳丸氏はこの事例への現実的な対策として、IDSでなく高度なWAFならば検出できた可能性があること、改ざん検知で被害を最小限にできた可能性があること、ファイルのアクセス制限である程度は攻撃の行動を制限できた可能性があることを指摘した。

ゼロデイやワンデイで攻撃が行われる
セキュリティアップデート適用が難しくなる場合
日本テレビの事件で脆弱性を防げた可能性のある対策案
Webサイトを守るためにできること

セッション登壇者によるパネルディスカッション

 続いて、ここまで登壇した3人によるパネルディスカッションが開かれた。モデレーターは、SecureWorks Japan株式会社の中津留勇氏。

 まず、3人の取り上げた以外のテーマを中津留氏が列挙し、ラックの賀川氏に最近の監視活動でよく見るものを尋ねた。それに対し賀川氏は、「広告経由のDrive-by-download」を挙げた。その性質上、ダウンロードされたマルウェアが活動して初めて気付くことが多く、どこから入られたか調査しないと分からないケースが大半だという。

 そこからウェブブラウザー関連の話になった。使っているウェブブラウザを尋ねるとさまざまだったが、プラグインやアドオンはそれ自体が脅威になりうるので最小限にしているのは共通していた。また、FlashやJavaプラグイン、JavaScriptについては、必要なときだけ有効にするといった声も出た。佐藤氏からは、会社としては統合管理性からInternet Explorerに統一し、資産管理ソフトでアップデートをどんどんかけているという話も聞かれた。

 ばらまき型スパムによるマルウェア感染の感染経験としては、凝ったものより写真などの気軽なものがクリックされるという話や、二重拡張子をブロック設定しても製品によっては検疫がブロックより優先されてユーザーが解除できてしまうという問題が語られた。また、ランサムウェアの感染経験としては、「派遣さんに教育が追いつかず、メールをぜんぶ開いてしまう」といった悩みも出た。

 中津留氏は「いつも聞いている話」と前置きして、「本当に重要なデータならランサムウェアにお金を払うか」と3人に尋ねた。「仮定の質問には答えにくいが、場合によっては」「私の端末にはなくなって困るデータはない」「当社としては絶対に払わないが、医療機関のようにどうしてもということはある。そこは、その組織の経営判断」といった答があったほか、ランサムウェアの被害を補償する保険などが必要なのではという意見も出た。

 最後に、イベントのテーマである「見抜く」に関連して3人が一言ずつコメントした。

 徳丸氏はセッションの内容に関連して、「ウェブで、お金をかけない前提だと、ファイルオーナーとファイルパーミッションを変更するというありきたりの対策に効果があります。もう1ついうと、改ざん検知」と語った。

 賀川氏は「アクセス制御を言われてしまったので」と笑いながら「PDF経由の攻撃があるので、Adobe Readerなどでもスクリプトの設定をオフにしておくといい」と答えた。

 佐藤氏は「とりあえずやってみる」ことを挙げた。「スキルのある人がいないと言われるが、自分で調べてみれば無限の世界がある。例えば、Sprunkの無料枠でログを分析してみるなど。当社も繰り返しでパターン化してきた」と提案した。

3人のセッション登壇者と、モデレーターを務めたSecureWorks Japan株式会社の中津留勇氏
3人の取り上げた以外のテーマを中津留氏が列挙