インターネットと運用技術シンポジウム2013　招待講演資料

1. インシデントに対応するための
システム運用技術
立命館大学情報理工学部
情報システム学科
サイバーセキュリティ研究室
NPOデジタル・フォレンジック研究会
上原哲太郎

2. 2011年頃から我が国において
重要機関における事故が続く
 2011年9月 三菱重工へのサイバー攻撃
 防衛関連機密が狙われたとみられる
 2011年10～11月 衆参両院へのサイバー攻撃
 標的型メール攻撃を用いてサーバに侵入
議員のメールが盗み見されるなどの被害
 2011年11月
総務省に標的型メール攻撃
 詳細不明
 2012年1月 JAXAでウィルス感染発覚
 NASA関連技術を含む重要機密が漏洩
 2012年7月 財務省でウィルス感染発覚
 過去2年にわたって継続的に情報漏えい？
 2013年1月 農水省へのサイバー攻撃
 内部文書124点（うち機密性2が85点）流出
TPP交渉に関わる記録など漏洩
標的型攻撃
APT

3. JNSA セキュリティ10大脅威の変遷
※日立ソリューションズ 武田一城氏まとめ
認識自体は2006年にはあり 大きく顕在化したのが2011年

4. 高度化した攻撃の脅威
Advanced Persisten
t
Threat
独自に侵入ツールやマ
ルウェアを開発する能
力を持ち、ゼロデイ攻
撃の活用など高い技術
力を持っている
目的を達成するまで継
続的に対象を調査しつ
つ活動の手を緩めない
強い動機と意思を感じ
させる
組織化された継続した
攻撃を続け、技術開発
も怠らない
対象に対するソーシャ
ルエンジニアリング等
の情報収集能力もある
特に攻撃の端緒となる
マルウェアや
不正アクセスは
従来技術では防げない
多重防御は必須
攻撃の端緒をつかんで
防いだとしても
まだ安心できない
継続して警戒する必要
広範な脅威に対応する
組織力が必要
情報の非対称性という
不利を覚悟して
対応する必要

5. 今年は最高レベルの企業もやられる
 2月
巨大ネット企業が相次いで被害
 facebookにゼロデイ攻撃
 Apple, Javaの脆弱性を突かれマルウェア感染
 Microsoft Mac製品開発部門が被害
 5月 Yahoo!Japanの認証サーバに攻撃
 最大2200万件のID＋PWハッシュが流出
 146万人分の「秘密の質問」流出
 韓国では2波に渡る攻撃が
 3月 銀行やテレビ局に対する業務妨害
 6~7月 政府機関やメディアに対する妨害
 4年前から続く一連の攻撃の一部？

6. 一方でNon-Advancedな攻撃も
 「パスワードリスト攻撃」
 3月のTサイトに始まりJR東、goo、eBookJapan、
NTT東、三越、阪急百貨店、じゃらん、ニッセン、
任天堂、楽天、Nifty、Gree、Amebaなど
20社以上
 特にeBookJapanの報告は詳細で必読
 相変わらずのWeb脆弱性
 3月 JINS カード情報流出（Struts2の脆弱性）
 5月 XCOM Global カード情報流出
 8月 ロリポップレンタルサーバ改ざん
共用サーバ内のWordPress設定不備

7. そして今年大きな問題
5万台のPCがマルウェア感染して
諜報ネットワークを構成

8. 氷山の一角と思うべき
 報道されている事故がすべてではない
 企業はやられていても公表しない例が多い
 政府機関も企業も「狙われている！」
 洗練された攻撃は副作用はほとんどなく、
気が付かない
ちゃんと対策していないと
目に見えた被害がないので
ずっと情報窃取の被害に遭い続ける

9. サイバー攻撃の主体は？
 愉快犯→かつての主流
 技術の誇示が主な目的 攻撃の痕跡を残し成果を誇る
 最近は減少傾向 ハクティビストや犯罪者に移行？
 ハクティビスト＝Hack + Activist
 政治的・思想的目的など示威行動の手段として攻撃
 密かにデータ窃取をしてWikileaks等に提供する者も
 犯罪者
 私的利益を目的としてサイバー犯罪を働く者
 個人企業政府問わずマネタイズできる手法を確立
 その中に、国家に協力する者も？？
 国家
 諜報活動としてサイバー攻撃

10. 限界が来た「境界線防衛モデル」
安全な世界?
LAN
内部サーバ
外部サーバ
File,DB,Apps… Web,Mail,DNS…
DMZ
汚れた世界
Internet
境界線を設定し、境界を越えるデー
タを
制限/検疫して「安全な世界」を脅威
から

11. Many, too many
データセンター
＆クラウド
関係組織 /
委託業者 /
サプライチェーン
組織内
従業員自宅
テレワーク
契約
社員
ノマドワーク
持ち出し
データ

12. もはや
「入れないようにする」のは困難
 多層防御 多段階防御はもう常識
 入口対策＋出口対策＋「真ん中対策」
 攻撃の各段階で可能な限り
攻撃者の手を縛る「イジワルセキュリティ」
初期侵入から目的達成までは
時間がかかっているはず
時間を稼げる対策をして
その間に発見することを期待

13. IPA「新しいタイプの攻撃」対策ガイド
IPA「標的型メール」対策ガイド

14. 侵入→基盤構築→目的達成
内部サーバ
外部サーバ
File,DB,Apps… Web,Mail,DNS…
LAN
基盤
構築
DMZ
Internet
踏み台

15. 攻撃の各段階
計画立案：目標を定め，目標に関する情報を得る段階
攻撃準備：踏み台取得・侵入ツール作成の段階
入口対策で対応
初期侵入：標的型メールなどで侵入に成功した段階
基盤構築：バックドア開設・システム構成取得の段階
内部侵入調査：他端末侵入・サーバ侵入・管理者権限取得・調査
真ん中対策と
出口対策で対
応
目的遂行：窃取する情報や破壊するシステムを特定実行
再侵入：バックドアを通じ再侵入してさらに目的を達する
入口対策で対応

16. IPA「標的型メール」対策ガイドに
おけるシステム対策リスト（一部）
 設定変更で
可能な対策
を中心に具
体的に列挙

17. IPAガイドだけでは漏れること
 ネットワーク機器とアカウント管理の範囲
で書かれているので守るべきデータの
保護策が十分ではない
 暗号化はどうあるべきか
 パスワード等のハッシュ化はどうか
 クラウド移行時代への対応も不十分
 適用可能性やコストvs効果の評価が不明
 侵入が発覚した際の対応のありかたは？

18. インシデントレスポンスは
どうあるべきか
 組織内体制の整備（CSIRT）が必要
 シーサート（CSIRT: Computer Security Incident
Response Team）とは、コンピュータセキュリ
ティにかかるインシデントに対処するための組織
の総称です。インシデント関連情報、脆弱性情報、
攻撃予兆情報を常に収集、分析し、対応方針や手
順の策定などの活動をします。（日本シーサート
協議会HPより）
 IRは技術だけでは不十分
 営利企業では対処は経営判断に直結
 法的対応には法務部門等とのリンクが不可欠

19. システム設計における
「フォレンジック的思考のススメ」
 デジタル・フォレンジックとは？
 Forensic:Websterによると・・・
the application of scientific knowledge to legal problems; especially :
scientific analysis of physical evidence (as from a crime scene)
 例：Forensic Medicine : 「法医学」
 事故や不正発生時に、関連した情報システムから、
事故・不正の『証拠』を集めて分析し、
法的問題の解決に役立てるための一連の技術や手法
 世間ではしばしば「法的問題に役立てる」が無視される
 システムを「フォレンジック対応」で設計運用
＝ユーザの操作履歴を記録して事故発生に備える
結局ログとれ、ってことじゃないの！
法的対応を求められたら真正性の確保が大変だ！

20. 鑑識
裁判官
警察
検察
被害現場
情報解析
警察
検察
被疑者
？？
犯罪・不正
01011101
10101101
111101・・・
Forensically
sounds?

21. システム管理者にとっての
デジタルフォレンジック
従来のインシデント
レスポンス
平時の対応
緊急時の対応
事件・事故の
発生
インシデントや訴訟係争
の発生／情報漏えい・
内部不正の発覚など
情報システム
管理者
信頼できる認証基盤の確立
通信や操作記録の収集・保
管
記録やログの消去改竄抑止
ログや記録の定常的検査に
よるインシデント発見 な
ど…
分析・
整理
された
証拠
システム管理者
又は外部の専門家
電磁的証拠の保全と収集・解析
収集過程と解析結果の文書化
証拠改竄・毀損の有無の確認・立証
証拠保全後のシステムの速やかな回
復
など…
管理者や
専門家へ：
原因究明と
再発防止
被害拡大抑止
弁護士等へ：
法的交渉や
民事訴訟
捜査機関へ：
刑事訴訟
法的対応

22. デジタル・フォレンジックは
「電磁的証跡」の取扱いに関する技術
 電磁的記録（電磁的証跡，電子証拠）
(digital evidence / e-evidence)は：




削除がとても簡単
捏造が比較的簡単
データが大量→部分的に切り取れば恣意的解釈が可能
技術的に高度なので法曹関係者には評価しにくい
民事だと原告被告間のコンセンサスも必要
 必要なのは「信頼できる収集・分析技術」と
「標準的運用プロセス＋客観的確認手段」の確立
 単なる技術だけでなく「法曹から受け入れ可能」に
（Forensically-sound)

23. 真正性は「信じるに足る理由」が
あればよい（技術的厳密さは要しない）
 もちろん電子署名やタイムスタンプを用いたり
WORMを導入するのがベスト しかし・・・
 あらゆる関連システムでログを冗長に取れば、
整合性を取りつつ全て改ざんするのは困難
→状況に応じて「信じるに足る理由」ができる
 理系的発想ではなかなか出てこないやり方
 要は改ざん可能性をゼロにする必要はなく、
適切なアクセス制御の下、冗長に取れば十分
フォレンジック対応システムとは「何が起きたか」を
客観的に評価できる程度に記録を残すシステム
ただその「程度」の相場観醸成はこれから

24. いざ事故が起こったら…
 まずは証拠保全が大切
特に犯罪性が強く疑われるときは重要
 しかし証拠は時間とともに急速に失われる
よって「現場対応」が求められる
 そこで「証拠保全ガイドライン」を策定
 デジタル・フォレンジック研究会技術分科会編
 http://www.digitalforensic.jp から入手可
 「ファーストレスポンダ」が対応すべき証拠保全
（＝対象となる機器のデータの複製保管）の
ベストプラクティスを示す

25. デジタル・フォレンジックの研究
しませんか？！
 Web of Scienceで
“Digital forensics”
or “Computer ～”
を検索すると…
 総数36.8万件
2000年以降は
毎年1.5～1.8万件
 CiNiiで
“フォレンジック”を検索
 文献は138件！
 J-Globalで
“デジタル・フォレン
ジック”“コンピュータ
フォレンジック”および
類語を全て検索
 日本語の文献は7！
どうみたってBlue Oceanですよ？

26. 他のForensics的な分野は？
 CiNiiで検索
 J-Globalで検索
 「法医学」 6423
 「法科学」 2620
 「鑑識」
1077
 「科学捜査」801
 「法化学」 299
 「法医学」 20882
 「法科学」 5238
 「鑑識」
1426
 「科学捜査」2940
 「法化学」 57
 「インシデント
レスポンス」6
 「インシデント
レスポンス」3

27. 海外のデジタルフォレンジック
研究の歴史
 1995～7年あたりにかけて“Computer
Forensics” “Network Forensics”という
言葉が使われ始める
 “Computer Forensics: An Approach to Evidence in
Cyberspace,” Mark Pollitt, 1995
 “Network forensics and traffic monitoring,” Ranum,
M J, 1997
 今でもWikipediaはComputer Forensics
 こちらはシステム屋に好まれる用語
 2000年前後にはDigital Forensicsという
概念が生まれる
 Information Forensicsとも言う
 メディア処理研究者が多く参入

28. 研究コミュニティの形成
 2001年 Digital Forensics Research Workshop (DFRWS)開始
http://www.dfrws.org/





最古で今も一番活発
「実学的」 “Forensic Challenge”などのコンテストも主催
HDDイメージの規格CDESFの提案WGなども
論文誌Digital Investigationとタイアップ
来年から米欧で各年1回に
 2004年 IFIP（情報処理連合）のTC11（技術委員会）に
WG11.9としてDigital Forensicsが発足
 毎年1月頃学会を主催（米国、米国外交互） 60～100名規模
 DFRWSに比べると学術的
 SpringerからAdvances in Digital Forensicsを毎年発行

29. その他の学会
 2006年 Association on Digital Forensics,
Security and Law (ADFSL)
 米国でConference on ～（CDFSL）を開催
50人規模
 論文誌を年4回発行Journal on ～（JDFSL）
 2006年 IEEE Int’l Workshop on Information
Forensics and Security （WIFS）
 IEEE Trans. on ～と連携
 2002年 International Workshop on Digitalforensics and Watermarking （IWDW)
 LNCSに毎回収録
 2006年 IEEE Systematic Approaches to
Digital Forensic Engineering (IEEE/SADFE)

30. 現在の状況
 ForensicsWiki (www.forensicswiki.org)に
よると2014年に開かれるイベントは22！
 アジア地区でも毎年開かれる学会が
 Int’l Symposium on Digital Forensics and
Information Security (DFIS)
 International Conference on Digital
Forensics and Investigation （ICDFI)
 Asian International Conference on
Availability, Reliability and Security
(AsiaARES)

31. 今の流行は？
 主な学会の最近の論文を調べてみると…
 DFRWS
 「モバイル対応」「メモリフォレンジック」「多言語対応」
 IFIP WG11.9
 「モバイル対応」「プロファイリング・著者推定」
「データマイニング」
 CDFSL
 「法的フレームワークとの関係」「事例紹介」「クラウド対
応・ネットワーク分析」
 WIFS
 「マルチメディアデータの解析」「バイオメトリクス」「プラ
イバシー保護」
 意外と現場で聞かれる「クラウド対応」
「新デバイス対応」「匿名性技術対抗」が少ない

32. システム寄りの
主な研究（１）
 データ収集・保全技術関連
 伝統的外部記憶デバイスからの
データ取りだし
 主記憶からのデータ取り出し
 高度化・大容量化するRAIDへの対応
 SSDなどフラッシュメモリへの対応
 スマートフォン・タブレットのデータ取り出し
 クラウドの取り扱い
 データ中の証跡の取り出し・検索関連




ファイルシステム・システムファイルの解析
消去データ復元・破損データ修復・Carving
パスワード解析・暗号の解読・データハイディング対抗
証跡の検索・マイニング関連（特に機械学習の応用）

33. 米国で大流行の
Predictive Coding
 E-Discoveryのコストを劇的に削減
 機械学習技術を使って、事件に関連する
文書を効率よく高精度で絞り込む
 企業内の大量の文書から、当該事案に関係する
文書をいくつかピックアップして学習
 その学習結果を基に、残りの文書中から
類似度の高い文書を検索
 弁護士費用の節約に絶大な効果
http://www.digitalforensic.jp/expanel/diar
ypro/diary.cgi?no=510&continue=on

34. システム寄りの主な研究（２）
 ネットワークフォレンジック関連






Web・メール・VoIP・P2Pの検出・監視・分析
IDS／IPS関連技術
インターネットトレースバック
Botの検出・C&Cサーバ等の検出
匿名性強化技術への対抗（P2P、Torなど）
SNS、クラウドストレージなど
サービスに特化した分析
 マルウェアの解析関連技術
 解析の効率化

35. メディア処理関係技術
 画像の分析，音声の分析
 大量データからの人の顔・音声の同定と抽出
 さらに個人の同定
 デジカメ画像からのカメラ機種推定・個体同定
（Toolmarking)
 改竄の検知
 電子メールや文書の分析
 筆者の推定（Authorship Attribution）
 文書作成に使ったソフトウェア・ツールの同定

36. 終わりに
 今後システム運用技術において
セキュリティマネジメント
インシデントレスポンス
の重要性はますます大きくなりそう
 求められるセキュリティレベルの向上
変わらず強いコスト圧力
 事故は起きることを前提にするなら
事後対応技術に研究の目を向けませんか？