JNSAメールマガジン 第70号 2015.9.18☆★☆

こんにちは
JNSAメールマガジン 第70号 をお届けします。


5連休だったシルバーウィークも終わりました。次に大型のシルバーウィークが来るのは11年後とか6年後とか言われておりますが、皆様楽しまれましたでしょうか?
さて、リレーコラムは「すぐできる標的型攻撃対策」をテーマに、3人の方の寄稿を連載します。
1回目は、株式会社ディアイティ ネットワークセキュリティ事業部 中林聖裕様の寄稿です。

【連載リレーコラム(1)】
「すぐできる標的型攻撃対策 〜特権IDの話〜」

(株式会社ディアイティ ネットワークセキュリティ事業部 中林 聖裕)

標的型攻撃による被害は、依然として多発しています。標的型攻撃を受けると、漏洩した情報の面、コストの面において、多大な影響を被ります。標的型攻撃を受けた場合、すぐに発見できればいいのですが、なかなか発見することができないのが実状です。セキュリティ調査会社のMandiant社の調査によると、標的型攻撃を受けた組織の「94%」が第三者の報告によって、初めて標的型攻撃を受けたいたことがわかったそうです。標的型攻撃が発見されにくい理由としては、攻撃が巧妙化している、最新のウイルス対策ソフトで検知されないことを確認してから、ウイルスを送りつけるなど、セキュリティ対策をかいくぐる手法を利用しているからです。最新のウイルス対策ソフトを持っている攻撃者の割合は、「100%」との報告もあります。このような状況の中では、標的型攻撃の対策は、「標的型攻撃から防御する」という考えから、「標的型攻撃を受けても情報を漏らさない」という考えに転換することが重要です。

標的型攻撃で狙われる情報は何でしょうか? もちろん、最終的な目標は、個人情報、機密情報など、組織にとって重要な情報です。それでは、最終目標を達成するために、攻撃者が入手したい情報は何でしょうか? その一つは、「特権ID」情報です。特権ID情報さえ入手できれば、攻撃者は、ネットワークやサーバを自由に調査でき、しかも、正当なユーザになりすますことができるため、発見を遅らせることもできます。標的型攻撃を受けた場合、「100%」、認証情報が盗まれていると、同Mandiant社は報告しています。

このように、「標的型攻撃を受けても情報を漏らさない」ための重要な対策の一つとして、「特権ID管理」があります。「特権ID管理」の重要な点について、お話しします。

  • 特権ID管理の実態
  • 特権IDとは、様々な定義があると思いますが、ここでは、以下のように定義します。

    「Windowsの”Administrator”や、UNIXの”root”等のシステムの環境設定、システムの起動・停止、アプリケーションのインストール等のシステム管理権限を有するIDのこと」

    それでは、この特権IDが「どこに」、「どれだけ存在するか」、把握できていますか? 特権IDは、すべてのサーバ、ネットワーク デバイス、アプリケーション、制御装置(SCADA)などに存在し、一般的には従業員の3倍の特権IDが存在するという報告もあります。このように、組織には多くの特権IDが存在し、特権IDの悪用が組織に多大な影響を及ぼすにもかかわらず、適切に管理されていないケースが見受けられます。

    特権IDのありがちな利用状況をいくつか挙げます。

    • 複数の管理者で共有利用
    • ローカル特権IDの管理状況は不明
    • 長期間、同じパスワードを利用
    • 複数のデバイスで同じパスワードを利用
    • 特権IDの利用状況が不明 などなど

    特権ID管理が適切におこなわれていない場合、攻撃を受けやすく、また、利用状況が不明であるため、インシデント発生時の追跡が困難になります。

  • 特権IDの管理
  • 以前から重要とされる項目もありますが、以下に、特権IDのセキュリティ リスクを軽減する上で必要と思われる項目を挙げました。

      (1)アクセス管理

      先にも述べましたが、標的型攻撃ではほとんどの場合、認証情報が盗まれています。特権IDで、直接、サーバにログインしているケースでは認証情報の盗難は、致命的なインシデントになります。そのため、サーバにログインする際は、少ない権限の一般ユーザIDでログインし、必要に応じて、特権を利用することがリスクを軽減する方法になります。Linux/Unixでは、一般ユーザでログイン後、’su’コマンドや’sudo’コマンドで、また、Windowsでは、runasコマンドで一時的に特権を利用します。ユーザごとに、アクセスできるサーバを制限することも重要です。

      (2)利用者識別(本人確認と認証の強化)

      脆弱なパスワードや長期間同一パスワードを利用している場合は、パスワードが推測され、なりすましの危険性があります。また、複数のユーザでパスワードを共有している場合は、誰が特権IDを利用しているか不明になる恐れがあります。いずれの場合も、標的型攻撃など、セキュリティ事故が発生した時に、特権IDの利用者を識別できないため、調査や原因の特定が遅れ、被害を拡大させる危険性があります。以下に、利用者を識別するための対策例を記述します。

      • ユーザごとに一意のIDを割り当て、複雑なパスワードを利用する
      • パスワードは定期的に変更する
      • ワンタイムパスワードなどの二要素認証を利用する

      すでに、共有の特権IDを利用しており、ユーザごとに一意のIDを割り当てることが難しい場合は、特権ID管理ソリューションなど、共有の特権IDを利用している環境においても利用者識別ができるシステムを利用することをお勧めします。

      (3)トレーサビリティ
      セキュリティ事故が発生した場合、調査や原因の特定をおこなうためには、証跡が必要です。特権ID利用に関して、以下の項目が証跡の内容に必要です。
      • 特権ID利用者
      • 特権ID利用日時
      • 特権IDを利用したサーバ
      • 利用した特権ID

      さらに、詳細な調査や迅速な調査をおこなうために、「特権IDを利用した際の操作(コマンド)記録」を取得することを推奨します。操作記録の取得には、専用のソリューションや特権ID管理ソリューションでおこなえ、取得方法は画面を動画で取得する方法やキーストロークを取得するものなどがあります。

    以上が、特権IDに対する必要最低限の管理項目になります。これ以外にも考慮すべき項目を挙げておきます。

    • パスワード ポリシーの強制
      • パスワード ポリシーが遵守されていない状況を解消するために、パスワードポリシーを自動的に適用する
    • サーバ、データベース、アプリケーション、ネットワーク機器などにデフォルトで設定されているIDやパスワードを変更
      • 既知のIDは、ブルートフォース攻撃など、攻撃者のターゲットとなりやすいので、可能な限り、デフォルトで設定されているIDの変更や無効化する
    • スクリプト ファイル、設定ファイルなどにコーディングされているIDやパスワードの削除
      • スクリプト アフィルや設定ファイルに平文で記述されているIDやパスワードも攻撃者のターゲットとなるため、適切に保護する
    • ローカル管理者アカウントの定期的な調査
      • 不要なアカウントは、攻撃者のターゲットになりやすく、セキュリティ事故の発見が遅れる可能性があるため、また、標的型攻撃によるバックドアとして、ローカル アカウントが作成されるケースがあるため、定期的にローカルアカウントを調査する
    • 重要なサーバと利用者の環境を論理的に分離
      • 万が一、標的型攻撃で利用者PCがマルウェアに感染した場合、直接、重要なサーバへのアクセスやマルウェアの拡散を防ぐために、論理的にネットワークを分離する

    ここに挙げた管理項目を今までに聞いたことがある方もおられると思いますが、特権IDに関して、対策が適切におこなわれていないケースが多々見受けられます。特権IDの認証情報は、その権限の大きさから、標的型攻撃の攻撃者が最も入手したい情報であり、高セキュリティで保護されたサーバや情報へアクセスするために必要な情報です。特権IDを適切に管理し、保護することは、万が一、標的型攻撃を受け、ネットワークに侵入された場合でも情報を守ることができます。

    特権IDの管理について、もう一度、見直してみられてはいかがでしょうか?



    #連載リレーコラム、ここまで

    <お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


    【部会・WG便り】
    ★マイナンバー対応情報セキュリティ検討WGでは、マイナンバー制度に対応した情報セキュリティ対策の導入や運用に役立つ情報を提供するためのポータルサイトを作成、公開しました。
     「マイナンバー対応のための情報ポータル」サイト
      http://www.jnsa.org/mynumber/ このポータルサイトの活用方法の説明と、マイナンバーに関する理解を深めるために、10月5日にWG主催セミナーを開催します。
     ただいま申込み受付中です。

    【緊急セミナー】待ったなし!マイナンバーの取扱と安全管理〜監督省庁の実務担当者に聞く〜

     日時:2015年10月5日(月)13時00分〜17時00分
     場所:秋葉原UDX ギャラリーNEXT1

     プログラム・お申込みは↓こちら↓から
     http://www.jnsa.org/seminar/2015/1005/index.html

    【事務局からの連絡、お知らせ】
    ★JNSA設立15周年記念イベント開催のご案内
    「Network Security Special Forum」
     http://www.jnsa.org/seminar/2015/nssf15/
      日時:2015年10月15日(木)13時〜17時(12時30分開場予定)
      場所:ベルサール飯田橋駅前 ホールA
     近日申込受付開始予定です。
     ※JNSA会員の方を対象に18時より飯田橋カナルカフェにて15周年記念パーティ(参加費無料)も行います。ぜひあわせてご参加ください。

    ★「JNSAセキュリティセミナー」開催中!
     JNSA設立15周年記念イベントの一環として、全国各地でセキュリティセミナーを開催します。
     <申込受付中>
      9月28日(月)岡山
      http://www.jnsa.org/seminar/2015/0928/index.html
     <順次申込み受付開始予定>
      11月17日(火)札幌
      11月26日(木)大阪
      12月17日(木)沖縄

    ★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


    ☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

    *************************************
    JNSAメールマガジン 第70号 
    発信日:2015年9月18日
    発行: JNSA事務局 jnsa-mail
    *************************************
    Copyright (C)  Japan Network Security Association. All rights reserved.