O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

1

Compartilhar

続・標的型攻撃について

前回「いまさら聞けない標的型攻撃について」の続編です。標的型攻撃の現状とこれから、特に気をつけたい標的型攻撃、攻撃者と攻撃手段について書いています。

続・標的型攻撃について

  1. 1. 続・標的型攻撃について 2019年3月11日 株式会社テリロジー コンサルティング&ソリューション技術統括部
  2. 2. 目次 1. 標的型攻撃の現状とこれから ・2018年の攻撃傾向 ・ハードウェアの脆弱性の例 ・仮想通貨の被害 ・金融機関の被害 ・これからの攻撃 2. 特に気をつけたい標的型攻撃 ・代表的な攻撃 ・水飲み場攻撃の仕組み ・その他の代表的な攻撃 ・サイトの閲覧 3. 攻撃者と攻撃手段 ・サイバー犯罪集団 ・標的型攻撃に使用するマルウェア ・まとめ 2
  3. 3. 1. 標的型攻撃の現状とこれから 3
  4. 4. 2018年の攻撃傾向 1/3 OSSのペネトレーションテストツールを使用し、 攻撃するケースが増加!! なぜ増加しているのか ・ ペネトレーションテストツールである、Metasploit やCobalt Strikeなど、多くの 攻撃用モジュールは公開されている ・ 比較的容易に攻撃でき、攻撃者が特定されにくい ?ペネトレーションテストとは? 実際のハッカーによる攻撃手法を用いて、サイバー攻撃をおこない、システムや ネットワークの脆弱性を発見するためのセキュリティチェックのこと 4
  5. 5. 2018年の攻撃傾向 2/3 ・ハードウェアの脆弱性を狙った例 • Meltdown、Spectre( CPUの高速化手法の機能に存在する脆弱性) ・・・CPUが予測して行った動作のキャッシュから情報を搾取 • TLBleed ・・・TLB( CPUが仮想アドレスと論理アドレスとを対応させた情報を 一時的に保管しておくバッファメモリ)から、情報を搾取 →成功確率は9割 CPUの脆弱性 • Glitch ・・・CPUとGPUが同じメモリを共有するプラットフォームに対して、 メモリの値を無理やり書き換え、セキュリティ機能を回避 スマホやPS4 (CPUとGPUが同じメモリを共有するプラットフォーム)の脆弱性 5
  6. 6. 2018年の攻撃傾向 3/3 ・サプライチェーンでの攻撃 例)最終ターゲットとなる会社や省庁から注文を受けたサーバ等の ハードウェアの卸売り業者を初期のターゲットとし、 サーバファームウェアを改造しマルウェアを仕込む 攻撃が大胆になってきている!! ・ハードウェア単体を狙った例 6
  7. 7. 仮想通貨の被害 攻撃例 価格を吊り上げる 仮想通貨のネットワーク上のIDやパスワードを盗 み、APIキーを取得後、自動取引を操作し、価格 を吊り上げて逃げる →マイナーな仮想通貨がターゲットになりやすい 51%攻撃 ネットワーク全体の50%以上の計算能力を占める ことで、ブロックチェーンを更新し続け、改ざん をおこなう攻撃 →2017年0件だったが、2018年は5件発生! 約877億円 • 2016年から2017年にかけて、被害規模は ほぼ5倍に増えた →仮想通貨の価値は減少している為、被害 が少なくなる可能性はある • 半数以上はCoincheckから盗まれたもので あり、破産した取引所もある 2017年 被害額 2016年 被害額 約168億円 7
  8. 8. 金融機関の被害 1/2 昨年の主な被害例 • SWIFT(国際銀行間通信協会)へのサイバー攻撃 あるサイバー犯罪集団により攻撃が行われた Apache Struts2の古いバージョンの脆弱性を突く攻撃により、取引に使用されるサーバ にマルウェアを仕込み、他行の口座に現金を不正送金していた 被害総額は約2600万円 • ATMのハッキング被害 アジアやアフリカのATMから数千万ドルが盗まれた この攻撃もSWIFTを攻撃したサイバー犯罪集団により攻撃が行われた 8
  9. 9. 金融機関の被害 2/2 • 多くはPOSデータからの漏洩であり、Textデータ、Dumpデータが収集されている • 特にTextデータから多くの漏洩があり、盗まれたカード番号からカードが偽造されている • 偽造されたカードは闇マーケットで売買されている Textデータ Dumpデータ 漏洩データをもとに カードが偽造 多くのデータが漏洩!  カード情報の漏洩 生のデータから文字列の パターンを検索し、データを収集 9
  10. 10. 金融機関の被害 2/2 • 多くはPOSデータからの漏洩であり、Textデータ、Dumpデータが収集されている • 特にTextデータから多くの漏洩があり、盗まれたカード番号からカードが偽造されている • 偽造されたカードは闇マーケットで売買されている Textデータ Dumpデータ 漏洩データをもとに カードが偽造 多くのデータが漏洩!  カード情報の漏洩 生のデータから文字列の パターンを検索し、データを収集 【POSデータから漏洩が多い理由】 昔はPOS端末専用のレジで解析されにくかったが、近年は値段の安さから Windows等の汎用PCのレジが増えた →汎用PCは脆弱性が多く知れわたっているため、攻撃しやすい 10
  11. 11. これからの攻撃 Bad • 引き続き、ハードウェアを改造しマルウェアを仕込む攻撃も増えてくる • ホームルータや在宅ワーク者のVPNが狙われるケースも増えてきている • 金融系の攻撃はATMをハッキングし、内部ネットワークに侵入するケースが多い • POS端末を狙った攻撃も増えてきている Good • ボットネットの作者が逮捕されてから、マルウェアの数は減少している。 ?ボットネットとは? ネットワーク経由でコマンドを実行できるプログラムに感染した端末(ボット)同士の ネットワークのこと 11
  12. 12. 2. 特に気をつけたい標的型攻撃 12
  13. 13. 代表的な攻撃 水飲み場攻撃 ・・・攻撃対象となる組織のユーザーが普段アクセスするウェブサイトを特定、 改ざんし、ドライブバイダウンロード攻撃などを利用してマルウェアに感染させる ?ドライブバイダウンロード攻撃とは? 悪意あるウェブサイトにアクセスしただけで、スパイウェアなどの不正なプログラムを ダウンロードさせ、感染させる攻撃 この攻撃はホワイトリストでIPアドレスを指定してもWebページ自体が改ざん されているため回避できない C&Cサーバと接続していても目に見える変化はほぼない 13
  14. 14. 改ざんされた Webサイト ドライブバイダウンロード 攻撃 (エクスプロイトの読み込み) ペイロードが入っている サーバ C&Cサーバ攻撃されるPC 水飲み場攻撃の仕組み 攻撃の具体的な方法 1. 普段アクセスするサイトが改ざんされており、特定のアドレスに対し、エクスプロイト を読み込むようプログラムされている 2. エクスプロイトをされたPCは攻撃者によって、操作され、ペイロードを送り込まれる 3. ペイロードはC&Cサーバとセッションを張るようにプログラムされている 1 2 3 14
  15. 15. サイトの閲覧 • サイトを開くと様々なものがダウンロードされていることが分かる →サイト内の広告やそれぞれのページへのリンク先が埋め込まれている • 怪しいページでなくても、これだけダウンロードされているものがあるので、 →「怪しいサイトは開かない」ことに意味はない 自社のホームページを開い たときにダウンロードされ ていたスクリプトや画像 ※F12キー(開発者用ツー ル)で確認可能 →https://www.google…で 始まる外部参照用URLは5 件ありました 15
  16. 16. その他の代表的な攻撃 • スピアフィッシング ・・・偽のメールを送信し、カード情報等を収集する 例)Googleの当選メール 質問に答えると、iPadなどがプレゼントされるという旨の当選通知メールが 送られる 商品の受け取りのため、住所や カード番号等、個人情報の入力 が求められる 「Googleギフトが当選しまし た!」という偽メールが届く 3つの質問に答え、欲しい商品を 選択するよう促される 16
  17. 17. 3. 攻撃者と攻撃手段 17
  18. 18. サイバー犯罪集団 • 世界各国にはAPT(Advanced Persistent Threat、持続的標的型攻撃)と 呼ばれる、プロのサイバー犯罪集団がいる APTは一連の攻撃を、個々の団体の中で下記の4つのフェーズで分業している ターゲットの探査、 特定、選定 脆弱性を見つけ、 侵入(PCのアクセ ス権を手に入れる) マルウェアを 読み込ませる 乗っ取る 目には見えないので 気づかない! 攻撃手法は似通っているが、地域に特化した犯罪集団が増加傾向!! →複数のプロキシサーバを隔て、複数人が攻撃に携わっているため、犯罪者の特定が難しい 18
  19. 19. 標的型攻撃に使用するマルウェア • セキュリティ製品の管理コンソールが狙われている! セキュリティ製品の中に、管理コンソールに攻撃にされた際に使用されたマル ウェアを保存している製品もあり、管理コンソールからマルウェアを盗み、 ばらまくこともある • Configuration Managerのような、管理製品を悪用することも! 有料でマルウェアを配布するサービスもある →C&Cサーバと接続できている端末(ボット端末)のIPアドレスを持って おり、お金を払いマルウェアを仕込んでもらうサービス 19
  20. 20. まとめ • 攻撃キットは公開されており、攻撃されやすくなってきている • マルウェアに感染することを前提で考え、感染後のPCの隔離手順等の対応を明確 にしておく • 攻撃のほとんどが脆弱性を狙ったものであるため脆弱性対策は必須! →アップデートでパッチを充てることにより、脆弱性攻撃は阻止できるため、 こまめにアップデートを実施することが必要 複数のセキュリティ製品を組み合わせ、ネットワークや端末の脆弱性対策が効果的 20
  21. 21. どのような対策が考えられるか? 21
  22. 22. サイバー犯罪はビジネスになっており、 複数のセキュリティ製品でマルウェアの網羅的な対策が必須! 環境に合わせ、効果的な対策を! • ネットワークの脆弱性管理 • 端末、サーバーの脆弱性管理 • アプリケーションの脆弱性管理 • 内部犯行対策 予防 • IDS/IPS/WAF製品の導入 • 標的型攻撃メール対策 • EDR製品の導入 検知/防御 22
  23. 23. テリロジー「半公式」エンジニアブログ(仮) https://terilogy-tech.hatenablog.com/ 23
  • Terilogy-CnSTech

    Mar. 13, 2019

前回「いまさら聞けない標的型攻撃について」の続編です。標的型攻撃の現状とこれから、特に気をつけたい標的型攻撃、攻撃者と攻撃手段について書いています。

Vistos

Vistos totais

614

No Slideshare

0

De incorporações

0

Número de incorporações

162

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

1

×