Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
Similar a FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス) (20)
FUJITSUファミリ会 2020 秋季大会用プレゼン #2 「伊藤忠商事のサイバーセキュリティ」(プロアクティブディフェンス)
- 2. 自己紹介 ▪ 佐藤元彦 ▪ 伊藤忠商事株式会社 IT企画部 ITCCERT 上級サイバーセキュリティ分析官 ▪ 国立大学法人 千葉大学 運営基盤機構 情報環境部門 准教授 ▪ 文部科学省 サイバーセキュリティアドバイザー ▪ JPCERT/CC専門委員 ▪ JASA特任研究員 2
- 3. Background ▪ それなりに長い間、この業界で色々と働いています ▪ 脆弱性検査(NW・Webアプリ) ▪ 情報セキュリティ監査・システム監査 ▪ インシデントレスポンス(複数の政府機関・民間事案をクローズ) ▪ セキュリティコンサルティング(方針策定・規程作り・体制整備・リスク分析) ▪ 政府の基準作り(情報セキュリティ管理基準・クラウドセキュリティ管理基準等) ▪ ISO SC27国内委員 ▪ その他、情報セキュリティに関わる仕事(もちろん営業活動も) 3
- 4. 現在は ▪ 伊藤忠商事のIT企画部内のITCCERTにて、CSIRTの業務に専 門職として携わっています • インテリジェンスリサーチ(プロアク ティブ対応) • インシデントハンドリング / インシ デントレスポンス • セキュリティ機器のアラート・ログ のモニタリング • 脆弱性検査(簡易なもの) • 教育・ワークショップ • グループ会社向け講演 • 内部不正対応(フォレンジクス 含む) • マルウェア分析(簡易なもの) • セキュリティ監査・システム監査 • マネジメント層向け報告作成 • その他ビジネスも含めセキュリティ に関わる相談にも対応 4
- 6. 伊藤忠商事の仕事 ▪ 商社 ->海外と国内でモノを売ったり買ったりして儲けているんでしょ? ▪ その通りです。ただし、単純な売買だけではありません。本当に様々な仕 事をしています。 ▪ 自社の説明を英語でする時、Global Trading Companyというよりも、 Conglomerate Companyと説明したほうが的確なように感じていま す ▪ たとえば、コンビニでサンドイッチを買ったとき。。。 6
- 7. 生活のすべてに関わる商社 ▪ [ファミリーマート]でサンドイッチを買う ▪ 決済システムは[伊藤忠テクノソリュー ションズ]が構築している ▪ サンドイッチを店舗まで運んできたのは [日本アクセス] ->その物流システムの構築は。。。の ループ ▪ サンドイッチの包材は[伊藤忠リーテイル リンク] ->その原料は。。。のループ ▪ サンドイッチの具材のタマゴは[伊藤忠飼 料] ->そのヒヨコは[iヒヨコ] ->その飼料は[日本ニュートリション] ->さらに。。。のループ ▪ 店員さんの制服は[ユニコ] ->その生地は。。。のループ ▪ ゴミ出しする時のゴミ袋は[日本サニパッ ク] 7 川上・川中から川下まで (それどころか支流まで) 一気通貫のビジネスモデル
- 8. しょせんそんな会社ってさ。。。 ▪ そんな商社 / ユーザ企業のサイバーセキュリティ部隊のイメージ像? ▪ ISMSを下敷きにしたマネジメント ▪ 役割が回ってきたよくわかっていない担当者 ▪ あれするなこれするなを決めるだけ ▪ 現場が言うことを聞かないといつも愚痴ってる ▪ とりあえず(高い)製品ばっかり買っている ▪ でも運用は子会社か委託先に丸投げ ▪ 飲んでばかり? <- 商社のイメージ 8
- 10. ITCCERTの守備範囲 ▪ 本社のサイバーセキュリティの確保を行っています。海外やグループ 会社とはネットワークを共有しておらず、それぞれ独自にセキュリティ 対策を行っています。(平日 09:00~17:00対応です) ▪ ただし、ITCCERTは横断組織として、海外拠点やグループ会社か らの要請に応じてサイバーセキュリティ確保のための対応を行ったり、 情報提供やグループ会社向けセキュリティ支援プログラムなどを提 供したりしています。 10
- 11. 伊藤忠を狙うサイバー攻撃 ▪ 標的型攻撃 PCの乗っ取り&情報窃取 ▪ 日本語マルウェアメール 汎用マルウェア (情報窃取マルウェア) ランサムウエア (身代金要求型マルウェア) ▪ BEC ビジネスメール詐欺 (メールを介した金銭詐欺) 11
- 13. 標的型攻撃 ▪ 標的型攻撃メールの例 13 ◼ 2007年2月の伊藤忠に向けた標的型攻撃メール(Tick+と推定) ◼ 10年以上前からサイバー攻撃犯に狙われている!!
- 15. 汎用マルウェア ▪ Emotetに代表されるような最 終的な目的が明確ではないマ ルウェアが届きます ▪ AgentTesla、Remcos、 AveMaria RATなどのマル ウェアで日本語文面のものも 接到したりしています 15
- 16. 毎日大量の攻撃メールが届く 16 ■itochu.co.jpで観測している攻撃メールの件名例 ○件名:FUGATO ITALIA | Sales Management Envio del Comprobante factura Digital ○件名:Request for quotation - URGENT ○件名:REQUESTS FOR QUTATION (2 REQUESTS) ○件名:ATTACH PO ○件名:RE:PDAQuery - 180397-10-23-18 PortAgency Appointment ○件名:RFQ - OCEAN SAPPHIRE @ Port of INCHEON ○件名:Urgent Swift Confirmation ○件名:MATCONPO-4131/04/19 ○件名:URGENT P.O. # 40 ○件名:Proof of Payment ○件名:FW: Fwd: MT103-SINGLE CUSTOMER CREDITTRANSFER PAYMENT : ○件名:FW: PO No. 9700152041Buyer: Prathik Macha ○件名:(STS) Bunker Notification.. ○件名:[DAEWOO E&C_SUBIC CFPP PJ_Philippin] Request for Quotation_Control Valve & PRV
- 18. ランサムウェア攻撃 ▪ 事務所のサーバのRDP(リモートデスクトップ)機能がインターネットからアクセス 可能だった ▪ 攻撃者は管理者アカウントに対し、パスワードブルートフォース攻撃を実施 ▪ その結果、不正ログインされ、すべてのユーザのアカウント情報が盗まれ、さらに サーバにランサムウェアが仕掛けられ、身代金を要求された 18
- 19. BEC ▪ BECとは、「Business Email Compromise」の頭字語で、日 本では「ビジネスメール詐欺」と訳されている。 ▪ 通常のビジネスメールのやり取りに割り込んできて、巧妙に細工した メールのやりとりにより、企業の担当者を騙し、攻撃者の用意した 口座へ送金させる詐欺。 ▪ また、社長などを騙って、緊急の振込要請が届くこともあり。 19
- 20. BECは早期から観測 ▪ 2014年から観測しており、様々 な場で警告をあげていた 20 そのメールは詐欺だ! 手口が「進化」、対策は3つ 2018/1/16 日本経済新聞 https://www.nikkei.com/article/DGXMZO25037790V21C17 A2000000/
- 21. このような環境で意識していること ▪ リアクティブではなくプロアクティブの対応を ▪ 被害を発生させないよう、先回りして対処する ▪ なぜか? ▪ 攻撃を検知したらすぐに対処しないと手遅れの時代になってしまったから です。 ▪ これから、伊藤忠商事で行っている多層防御とリアルタイム検知の仕組 みを紹介します 21
- 22. マルウェア対応
- 23. <スパムフィルタ> ▪ まず最初のゲートは「スパムフィルタ」です ▪ 通常のスパムフィルタの機能のまま使わず、多くの自主ルールを導 入しています。 ▪ まずは、マルウェアに特化させたスパムフィルタの設定の幾つかを紹 介します。 23
- 24. スパムフィルタのチューニング(1) ▪ 危険な拡張子の添付ファイルをスパ ムフィルタで隔離 ▪ 明らかにビジネス上使われないマル ウェアに使われやすいファイルを指定 24 拡張子 等しい "wsf" または 拡張子 等しい "com" または 拡張子 等しい "pif" または 拡張子 等しい "scr" または 拡張子 等しい "chm" または 拡張子 等しい "cmd" または 拡張子 等しい "vbs" または 拡張子 等しい "js" または 拡張子 等しい "jse" または 拡張子 等しい "swf" または 拡張子 等しい "iso" または 拡張子 等しい "img"
- 25. スパムフィルタのチューニング(2) ▪ 危険な拡張子の添付ファイルには件名に”Virus Suspected”とい う警告を付けて注意を促す 25 拡張子 等しい "386" または 拡張子 等しい "3gr" または 拡張子 等しい "add" または 拡張子 等しい "ade" または 拡張子 等しい "asp" または 拡張子 等しい "bas" または 拡張子 等しい "bat" または 拡張子 等しい "chm" または 拡張子 等しい "cmd" または 拡張子 等しい "com" または 拡張子 等しい "cpl" または 拡張子 等しい "crt" または 拡張子 等しい "dbx" または 拡張子 等しい "dll" または 拡張子 等しい "exe" または 拡張子 等しい "fon" または 拡張子 等しい "hlp" または 拡張子 等しい "hta" または 拡張子 等しい "inf" または 拡張子 等しい "ins" または 拡張子 等しい "isp" または 拡張子 等しい "js" または 拡張子 等しい "jse" または 拡張子 等しい "lnk" または 拡張子 等しい "mdb" または 拡張子 等しい "mde" または 拡張子 等しい "msc" または 拡張子 等しい "msi" または 拡張子 等しい "msp" または 拡張子 等しい "mst" または 拡張子 等しい "ocx" または 拡張子 等しい "pcd" または 拡張子 等しい "pif" または 拡張子 等しい "reg" または 拡張子 等しい "scr" または 拡張子 等しい "sct" または 拡張子 等しい "shs" または 拡張子 等しい "shb" または 拡張子 等しい "url" または 拡張子 等しい "vb" または 拡張子 等しい "vbe" または 拡張子 等しい "vbs" または 拡張子 等しい "vxd" または 拡張子 等しい "wsc" または 拡張子 等しい "wsf" または 拡張子 等しい "wsh" または 拡張子 等しい "jar" または 拡張子 等しい "cab" または 拡張子 等しい "svg" または 拡張子 等しい "pps" または 拡張子 等しい "ppsx" または 拡張子 等しい "slk" または 拡張子 等しい "iqy" または 拡張子 等しい "xlam" または 元の拡張子 等しい "pps" または 元の拡張子 等しい "ppsx" または 拡張子 等しい "iso" または 拡張子 等しい "img" または 拡張子 等しい "swf"
- 26. スパムフィルタのチューニング(3) ▪ フリーメールリスト 795件 に当てはま るドメインからのメールには、件名 に”Sent from Freemail”という警告 を付けて注意を促す 26
- 30. <メールサーバ> ▪ メールサーバ(O365)ではウイルススキャンを行い、パターンにマッチ した場合は.txtに置き換える措置を行う ▪ この結果は定期的に分析しており、サンドボックスでは検知されず サーバで置き換えられたマルウェアは調査をして、サンドボックスベン ダーにフィードバックを行う ▪ 危険ファイルの置き換え 30
- 32. <プロキシ> ▪ プロキシには複数の仕掛けをして、異常通信を防止したり、プロキ シのログを分析して異常を見張っています ▪ マルウェアに特有のUserAgent ▪ マルウェアに特有のファイルパス ▪ マルウェアに特有の動作 などを分析の結果や、各社のホワイトペーパーから分析し設定して います 32
- 33. プロキシ 異常検知例 ▪ プロキシで異常を検知する例の一つとして、グローバルIPを照会す るサイトへのアクセス検知があります ▪ 一部のマルウェアが、このようなサイトへのアクセスを試みることから 検知対象として、発生原因を特定しています。 33
- 34. プロキシ Emotet対策 ▪ Emotetに関してはペイロードの取得先が変更しやすく、通信の制 御が困難です。 ▪ そのため、毎日、EmotetのC2を確認し、新規に追加された通信 先があれば、制限を行う作業を行っています。 34 https://paste.cryptolaemus.com/
- 35. プロキシ ウイルススキャン ▪ プロキシにウイルス対策ソフトを導入して、ダウンロードされるファイル のスキャンを実施しています ▪ また、その結果はリアルタイムで通知され、原因確認をオペレータが 行います 35
- 37. <ファイアウォール> ▪ ファイアウォールのログも分析していますが、特にマルウェアに特化した通 信としては、port 587 への通信をリアルタイムで監視しています ▪ これは、日本語による攻撃メールもたまに攻撃者が使うメール経由で情 報を盗み出すAgentTeslaがプロキシを経由せず直接外のメールサーバ に繋ぎに行くことから作られた検知ルールです ▪ このように流行っているマルウェアの特性にあわせて開封時に検知があが る仕組みが作られています 37
- 39. 端末の設定変更 .iso .img ▪ 最近増加しつつある.iso, .imgのファイルはマウントできないように レジストリ変更を実施 39
- 41. 確認ポイント : AVの結果の精査 ▪ 以下のような検出名のマルウェアには注意 ▪ Downloader -> 他のマルウェアを呼び込む ▪ Backdoor -> 外部から通信可能にする ▪ PlugX, PoisonIvy, emdivi, **RAT -> 有名なマルウェア名のもの・遠隔操作 ▪ Infostealer -> 認証情報などを外部送信する ▪ Keylogger -> タイプした内容を外部送信する ▪ pwdump -> パスワードを解析する ▪ ELIRKS と asurex … 41
- 42. 確認ポイント : AVの結果の精査 ▪ 以下のパスからの検出にも注意 ▪ C:¥Windows の中 (動いているかも) ▪ C:¥Program Files の中 (動いているかも) ▪ D:¥の中 外部記憶媒体? 持ち込まれた元が感染しているかも? ▪ また、ソフトウェアによってレジストリやプロセスで検出することも。これらは特に 注意!! 42
- 43. 確認ポイント : AVの結果の精査 ▪ ウイルス対策ソフトで消されたから安心、といえるのは「リアルタイム 検索の結果だけ」です。 ▪ 定期スキャンで検知されたマルウェアは、過去には未知だった、侵 入した、動いていた危険なマルウェアかもしれません。 ▪ 追跡が必要です!! 43
- 44. 端末システムログ ▪ 当社の端末にはソリトン社のInfotrace MarkIIが導入されており、 端末のシステムイベントをリアルタイムで収集し、splunkがそれを分 析しています。 ▪ マルウェアが使う特定のコマンドや、デコイに含まれるpowershellの 動作をキャッチし、その動作があった場合はすぐに確認を行います 44
- 49. <プロキシ> ▪ 侵入した攻撃者は最近は、通常のリモートデスクトップソフトウェア を遠隔操作用に使うことが多いため、リモートデスクットップの通信 先をそもそもカテゴリで制限しています ▪ TeamViewer, Splashtop, Softetherなどのツールは通信を許 さないようにプロキシで制限をかけて、監視しています 49
- 50. <プロキシ> ▪ 大容量送信の監視 ▪ Mazeの攻撃者は盗んだ情報をMegaというアップローダに投入す ることが多いようですが、そのようなクラウドストレージに対する情報 のアップロードを監視しています。 ▪ 取引先からのデータ受信のためにサイト自体のアクセスを停止させ ることはできませんが、送信に関しては一定量のサイズのアップロー ドを監視して、確認しています。 50
- 52. <端末システムログ> ▪ 攻撃者が環境調査に使う ようなコマンドでかつ、通常 の利用では使わないコマンド を列挙し、キャッチしています。 ▪ Tasklist /v ▪ Netstat –na ▪ などを見つけ出します 52
- 55. <端末システムログ> ▪ キーボードのロケール変換のキャッチ ▪ 海外の攻撃者の場合、日本のキーボードと記号配列が異なるため、 侵入した端末のキーボードレイアウトを自国のものに変更することが あります。 ▪ このような「異常」も監視しています。 55
- 59. 管理者権限のはく奪と管理OUの監視 ▪ 管理者のAdministratorは存在していますが、ドメインアドミンとし ての権限を絞っています。 ▪ そのため、通常の感覚でAdministratorを乗っ取ったとしても、た だの一般ユーザの権限しか持っておらず、かつ、 Administrator の動作自体が監視されています。 ▪ また、管理者OUに所属するアカウントはログインの失敗によりメー ルが運用チームとITCCERTに届き、ログイン失敗を誰がしたのかす ぐに報告する運用ができています。 59
- 61. サーバシステムログ ▪ ADに限らず異常なシステムイベントを監視しています ▪ イベントログの消去 ▪ スタートアップへの登録 ▪ タスクの登録 など、サーバで行われた場合はそれらの動きをキャッチして、アラートを あげています 61
- 64. BEC対応
- 66. スパムフィルタのチューニング(1) ▪ 返信型BECをキャッチする一つの 方法 ▪ フリーメールであるmail.comから のメールを監視する ▪ 二年間監視して正しいメールは 一通のみ、スパムやマルウェア付き メールがほとんどで、そして2通の BEC企図メールのキャッチに成功 しました 66
- 67. スパムフィルタのチューニング(2) ▪ もう一つの特徴として、フリーメールを 悪用する際に、.jp@hotmailのよ うに、騙る会社のメールアドレスをアカ ウント名として付属させるケースが何 件か確認されました。 ▪ そのため、幾つかの国のトップレベルド メインとフリーメールの組み合わせの メールはアラートがあがりCERTで確 認する仕組みができあがっています。 67 ((メッセージ属性"from"正規表現に一致 "^.*¥.jp¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.cn¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.us¥@.*$" または メッセージ属性"from"正規表現に一致"0." または メッセージ属性"from"正規表現に一致"^.*¥.uk¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.au¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.ca¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.sg¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.my¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.th¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.id¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.in¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.hk¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.ph¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.tw¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.com¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.net¥@.*$" または メッセージ属性"from"正規表現に一致"^.*¥.kr¥@.*$")
- 68. O365 ログイン監視 ▪ メールはO365を使用していますが、ログイン に関してはシングルサインオンの仕組みを使っ ています。そのため、シングルサインオンのログ を確認し、一日のうちログインの成功・失敗 に関わらず二か国以上からのアクセスがあっ たアカウントを監視しています。 ▪ 回数・地理的条件・IP・UserAgentなどか ら、不正ログインの可能性が高いものは本 人に確認を行います。 68
- 69. O365 設定監視 ▪ BECの攻撃者がメールアカウントに不正ログインした際に、メール内容を 外部に転送させる設定をすることが多くあります。 ▪ そのような設定をされてもメールが外部送信されないように、通常のフォ ワード設定は停止させ、メールのフィルタルールの設定でもメールの外部 送信を許さないよう設定しています。 ▪ さらに、四半期に一回powershellを使って全社員の転送設定を確認 し、(転送効果はなくても)本人が意図しないメールルールが設定されて いないか確認をしています。 69
- 70. 異常警告ツール(1) ▪ 全社にCERTがBECの特徴に 反応するように開発を依頼し たツールを導入 ▪ BECでは差出人アドレスを騙っ て、Reply-toを設定している ことが多いことに着目 ▪ 「返信先が差出人アドレスと異 なる」際に警告があがる 70
- 73. 設計と実装と運用と改善
- 74. このような設計と運用を常に行っています ▪ 代表的な部分をお伝えしましたが、数百のルールが整備されており、 該当するイベントがあるとメールによりアラートが飛び、その結果を CERTのメンバーが確認する、という運用をしています。 ▪ コアのログ分析の仕組みはSplunkで行い、端末・サーバからのログ はInfotrace Mark II で取得しています。また、プロキシ・ファイア ウォール・サンドボックスのログや、BOXやO365などのクラウドログも 取り込み、自分たちの手でアラートを作り、運用し、見直しています。
- 77. グループ会社支援
- 83. おわりに
- 85. 今のセキュリティに必要な三要素 ▪速度対応 : 攻撃速度に対応した防衛速度 ▪全方位対応 : 複数のエントリポイント ▪物量対応 : 複数の観測点・大量の攻撃 ▪->リアルタイムのログ収集と処理で実現 85
- 86. 今すべての組織に必要なもの ▪ 基礎の見直し(弱いところがないように) ▪ 詳細なログを集めるための仕組み ▪ そのログを分析するモニタリングの仕組み ▪ モニタリングをするためには、そもそもの設計で正常と異常が定義されていなけ れば、モニタリングはできない。 ▪ まずは基礎の部分を固め、次にモニタリングの仕組みを検討してみてください。 ▪ 外部SOCは? 残念ながら外部SOCの分析結果を待っている間に被害拡 大するようなスピード感です。。。 86
- 87. まとめ ▪ 当社は自ら学び・自ら作り・自ら発信し、そして、周りから学び、周 りから助けられて一歩ずつ進んできました。 ▪ ほぼ何も仕組みがないところから、五年のまだまだこれからのCERT です。 ▪ 五年でこれくらいできるのか、五年もかかったのか、捉え方は色々と あるかもしれませんが、当社でいろいろ検討してきた内容が、今、 何かセキュリティで困っている担当者の方の助けに少しでもなれば 幸いです。