2013年度enPiT特設講義-iisec-2013-11-09-セキュアシステムのインターネットとSNS上での構築とその課題

2013 年度　特設講義（情報セキュリティ運用リテラシーⅠ・Ⅱ）

「「セキュアシステムのインターネットと

SNS 上での構築とその課題」　」　

WEB 公開版のため内容は修正・一部削除してあります。

講師自己紹介

2

情報通信研究機構　ネットワークセキュリティ研究所　セキュリティアーキテクチャ研究室　主任研究員

政策・メディア博士（慶應義塾大学政策・メディア研究科）研究テーマ：ネットワークセキュリティ、オペレーティングシステム

■２０００年３月慶應義塾大学総合政策学部卒業 ( 国際政策コース） ■２００２年９月慶應義塾大学政策メディア研究科前期博士課程卒業（修士政策・メディア）■２００６年３月慶應義塾大学政策メディア研究科後期博士課程卒業（博士政策・メディア）

■２００６年 - 現在独立行政法人情報通信研究機構主任研究員 ■２００６年 - 現在総務省一種技官

講師自己紹介 (publication)

3

相見眞，安藤類央，水谷正慶，武田圭史「 WindowsOS 上での不正なファイルアクセスの検知・無効化処理における負荷低減手法」 , 情報処理学会コンピュータセキュリティシンポジウム２０ 10 ２０ 10 年１０月

Ruo Ando, Youki Kadobayashi, Youichi Shinoda, "Asynchronous Pseudo Physical Memory Snapshot and Forensics on Paravirtualized VMM Using Split Kernel Module", ICISC 2007, The 10th International Conference on Information Security and Cryptology, November 29-30, Seoul, Korea

Ruo Ando, Kazushi Takahashi, Kuniyasu Suzaki,"Inter-domain Communication Protocol for Real-time File Access Monitor ofVirtual Machine",Journal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications, March 2012

安藤類央 , 橋本正樹 , 山内利宏 : 仮想化技術による安全なファイルアクセスログ外部保存機構 , 情報処理学会論文誌 , Vol.54, No.2, pp.585-595, Feb. 2013.

「 A Measurement Study of Open Resolvers and DNS Server Version 」 , Yuuki Takano, Ruo Ando, Takeshi Takahashi, Satoshi Uda, Tomoya Inoue, インターネットコンファレンス 2013, 2013 年 10 月

講師自己紹介 (presentation)

4

■PacSec Tokyo Novmber 2011, "Rapid and Massive monitoring of DHT: crawling 10 millions of nodes in 24hours" - Ruo Ando, Takayuki Sugiura

■DeepSec 2009, eKimono: detecting rootkits inside Virtual Machine , Nguyen Anh Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Nov/10. Vienna, Austria.

■AV-Tokyo 2009, Unified memory forensic toolset for Virtual Machine, Nguyen Anh Quynh, Kuniyasu Suzaki,Ruo Ando, 2009/Oct/31.

■FrHack 2009, Memory forensic and incident response for live virtual machine (VM), Nguyen Anh Quynh,Kuniyasu Suzaki, Ruo Ando, 2009/Sec/7 Besan Mon, France

■SysCan Singapole 2009, “Outspect: Live Memory Forensic and Incident Response for Virtual Machine”,Nguyen Anh Quynh, Kuniyasu Suzaki, Ruo Ando,2009/07/03

第１回：概要

サイバーセキュリティの長期トレンドと短期トレンドハッカーと攻撃技術の分類スマートグリッドと SCADA 攻撃のインセンティブと地下経済最新の攻撃手法リスク評価と防御手法

• 攻撃技術 Return Oriented Programming DNS Attack 制御系システムへの攻撃

観測・検出技術 Packet Monitor と NetFilter メモリ観測

アクセス制御技術 Linux Kernel Module Trusted Computing

第２回：概要

長期トレンド新しい攻撃形態検出技術とアルゴリズ

ム大規模データのフィル

タリング大規模観測技術

• 第二回攻撃技術

Socware と SocialBot 標的型攻撃ソーシャルエンジニアリング

観測技術大規模データ収集技術機械学習を使った検出技術

短期トレンドGoogle vs FacebookMarket Share: 2010 May

http://outoftheoverflow.com/tag/weekly-market-share-of-visits-to-facebook-com-and-google-com/

Google はすべてを

WEB 上に置いて検索できるよう

にした。

知っている人に訊けばいいやというのがFacebook の発想

インターネットとソーシャルネットワークの違いトポロジー

メッシュ

リングライン

バス

スター

フルメッシュ

ツリー

C/S （クライアントサーバ）モデル　トポロジー：スター型

P2P モデルトポロジー：メッシュ型

インターネットライン、スター、バス

ソーシャルネットワークメッシュ、リング、スモールワールド

旧来の攻撃（ DDOS 、マルウェア、パスワードクラッキング、ソーシャルエンジニアリング、脆弱性悪用）

主要サイトの改ざん（脆弱性悪用）サイト改ざん（マルウェア、サプライチェーン悪用）

情報漏えい（ Winny, Share, USB メモリ紛失盗用、メール誤送信）

巧妙な手口（フィッシング・ソーシャルエンジニアリング＋サイ改ざん）

特殊なマルウェア（ Conficker, Gumbler)

特殊な攻撃方法（ SQL インジェクション、 DNS キャッシュ）

大規模化 DDOS 　

特殊なマルウェア（ STUXNET) 　

２０００２００５２０１０

ブログ・掲示板

SNS

SNS2IP電話

短期トレンド１

ネットワーク上のコミュニケーションの性質変化

Volume

Velocity

Variety

２種類の攻撃方法（データと制御）

悪意のある入力

悪意のある出力

出力（通信データ）から入力（秘匿データ）を推測

暗号解読データ漏洩

サイバーテロハッキング

外部から機密データに不正アクセスする

制御を奪う

データを奪う

従来の攻撃と新しい攻撃

従来の攻撃マルウェアフィッシングスパムクロスサイトスクリプティング

新しい攻撃•クリックジャッキング (LaaS)

•De-anonymization (非匿名化）•SocialBot

•Sockware

•標的型攻撃ブラックリスト・境界防御で

ある程度防げるブラックリスト・境界防御は

無効化される

典型的な不正アクセスの手順

情報収集

侵入

占拠

撤収

アドレス・ポートスキャン盗聴、ソーシャルエンジニアリング

脆弱性攻撃パスワードクラック・トロイの木馬

情報の盗難・改ざんスパムメールの送信踏み台・ツールの設置

ログ消去　バックドアの設置設定の変更など

アドレススキャン

ポートスキャン

バナー情報収集

WHOIS DBWEB DNS調査

ソーシャルエンジニアリング盗聴

パスワードクラック

トロイの木馬

脆弱性セキュリティホールを利用した攻撃

情報を盗む情報の改ざんスパムメールの発信

踏み台の作成 DDOSツールの設置

ログ消去

バックドア設置と偽装

情報収集

侵入

占拠

撤収

情報セキュリティ技術の分類 ( ツール）予防

検出

解析

観測受動

能動

異常

不正

動的

診断

制御

静的

情報セキュリティ技術の分類（論文）予防

検出

解析

観測受動

能動

異常

不正

動的

診断

制御

静的

②MAC, DAC より新しいアクセス制御

⑧Android の静的解析とデコンパイラ

③Honeypot, Darknet

④Crawler, active monitoring

⑥Scalability のため関数型言語系を採用

⑤大量のデータから悪意を検出

①ソースコード、バイナリに加えて設定の不備を検出

⑦Android の動的解析

①ソースコード、バイナリに加えて設定の不備を検出Detecting BGP Configuration Faults with Static Analysis

in this paper they propose static analysis for detecting two class of faults of BGP routers; validity faults and path visibility faults. path visibility and route validity - are two high level aspects of correctness. path visibiity says that BGP will correctly propagate routes for existingm usable IP layer paths. route validity says that if routers attempt to send data packets via these routes, then packets will ultimately reach their intended destinations.Detecing BGP configuration faults poses several phases of challenges. first, defining a correctness specification for BGP is difficult. second, this high-level correctness specification should be used to derive a set of constraints which can be tested against the actual configuration.they analyze network wide configurations from 17 different ASes to detect nore than 1000 BGP configurations faults which had previously gone undetected by operators.

②MAC, DAC より新しいアクセス制御

Capsicum: practical capabilities for UNIXcapsicum is different from both MAC and DAC. Neither MAC and DAC was designed to enforce system of a single application processing many types of information on behalf of the user. Web browser could be good example. Current web browser must parse HTML, scripting languages, image and video from many untrusted sources, however, it acts with full privilege of the user, has access to all his resources. In this case, capability of web browser should be decomposed into several OS processes. unfortunately, these system vary by platform, but all require a significant amount of programmer's effort. -- Usenix Security 2010

Privman: A library to make privilege separation easyPrivman (ATC 2003) is early work of privilege separation. One of the motivation of privman could be that general developers with little security awareness at least at that time. The contribution of privman is to facilitate a specific technique for writing secure software: partitioning applications between trusted and untrusted. In general, Linux is monolithic kernel and has coarse grained without any strict compartment. As well as capability based method, Privman provides privilege separation which is a technique that isolates trusted code, hence reducing the amount of code that needs to be carefully audited. -- Usenix Annual Tech 2003http://code.google.com/p/privman/

③Honeypot, Darknet

DarkNOC: Dashboard for Honeypot Managemen

we present DarkNOC, a management and monitoring tool for complex honeynets consisting of different types of honeypots as well as other

data collection devices. DarkNOC has been actively used to manage a honeynet consisting of multiple subnets and hundreds of IP addresses. This paper describes the architecture and a number of case studies demonstrating the use of DarkNOC.

Usenix LISA 2011

④Crawler, active monitoring

A Practical Attack to De-anonymize Social Network Userssocial networking sites such as facebook, linkedIn have been reporting expotential growth rates. in this paper it is shown that information about group memberships of a user in a single OSN is oft en sufficient to uniquely identify this user, or at least, to significantly reduce the set of possible candidates. this is called as de-anonymization attack. they leverage well-known web history stealling attack for determining the group membership of a user.browser history stealing. history stealing is a known attack in which a malicious website can extract the browsing history of a visitor. in experiment, they cope with Xing which is middle scale social netwworking with more than eight million members. their analysis suggest that 42% of the users that use groups can be uniquely identified, while for 90%, they can redice the candidate set to less than 2912 persons.SSP 2010

⑤大量のデータから悪意を検出DNS lookup patterns: Monitoring the initial DNS behavior of malicious domains We explore the behavioral properties of these domains from two perspectives: (1) the DNS infrastructure associated with the domain, as is observable from the resource records; and (2) the DNS lookup patterns from networks who are looking up the domains initially. Our analysis yields many findings that may ultimately be useful for early detection of malicious domains. By monitoring the infrastructure for these malicious domains, we find that about 55% of scam domains occur in attacks at least one day after registration, suggesting the potential for early discovery of malicious domains, solely based on properties of the DNS infrastructure that resolves those domain.Internet measurement conference 2010

BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detectionthis paper, we present a general detection framework that is independent of botnet C&C protocol and structure, and requires no a priori knowledge of botnets (such as captured bot binaries and hence the botnet signatures,and C&C server names/addresses). Usenix security 2008

⑥Scalability のため関数型言語系を採用

Chimera: NSA's SQL support for stateful IDS[1] sidehijacking is a term used to describe the attack where a hacker steals a session token from an unencrypted HTTP cooie and them impersonates the legitimate user. [2] about malicious domains, they focus on a subnet of the DNS answer and TTL based features such as number of distinct IP addresses per domain and number of domains which share the sme IP address. [3] DNS tunnels: DNS protocol is designed to resolve information about domain names. however, it can also be used for covert communication by storing ata in the requsted domain name. Usenix Security 2012

⑦Android の動的解析

TaintDroid: an information-flow tracking system for realtime privacy monitoring on smartphones

TaintDroid provides realtime analysis by leveraging Android’s virtualized execution environment. TaintDroid incurs only 14% performance overhead on a CPU-bound micro-benchmark and imposes negligible overhead on interactive third-party applications. Using TaintDroid to monitor the behavior of 30 popular third-party Android applications, we found 68 instances of potential misuse of users’ private information across 20 applications.

OSDI 2010

http://appanalysis.org/

⑧Android の静的解析とデコンパイラ

A study of android application securityAndroid phone identifiers. they analyzed 21 million lines of 1100 which is recovered of their decompiler from popular android applications. they have design and implement a Dalik decompiler ded which has recovered 21 millions LOC retrieved from the top 1100 free aplications. the choice to decompile the Java source rather than operate on the DEX opcodes directly was grounded in two reasons. first, they wanted to leverage exsiting tools for code analysis. second, they required access to source sode to identify false-positives resulting in from automated code analysis.

analysis specification is based on three aspects.1) control flow analysis: control flow analysis imposes constraints on the sequences of actions executed by an input program P, classifying some of them as errors.2) structual analysis: structual analysis allows for declarative pattern matching on the abstract syntax of the input source code.3) semantic ananlysis: semantic analysis allows the specifiction of a limted set of constraints on the values used by the input program.

Attacker “leverages” … テコの原理

技術進歩による①から⑤の攻撃者の能力拡大に共通しているのは、テコの原理による力の増大である。

技術が進むと一回の攻撃で可能になることが増え、攻撃者が強くなる。クラスブレークを見つけると同じ種類のシステムならどれでも攻撃できるため、攻撃者が強くなる。自動化ができれば同じ弱点を何回でも攻撃できるため、攻撃者が強くなる。遠隔作用と情報集約が進めば標的が増えるので、攻撃者が強くなる。

急激な技術進歩とセキュリティ

技術革新は大昔から攻撃者と防御者の力関係を変化させて来た。

ローマ帝国の絶頂期、ローマ軍が負け知らずだったのはその装備重曹歩兵と訓練が圧倒的に優れていたからである。あぶみが発明さ

れると、騎馬戦が発達し、中世の騎馬騎士の時代が訪れる。ところが

石弓が発明されると、騎馬騎士など簡単に倒せるようになる。米国の南北戦争では、北軍に鉄道と電信の技術があったことが大

きな不均衡だった。

→　「セキュリティはなぜ破られたか」、ブルース・シュナイアー

急激な技術進歩とセキュリティ①クラスブレーク標準化が進むと、同じ機能を持つ部分すべてを破壊するクラスブレークが可能になる。大勢が同じオペレーティングシステムを使っていることで感染が大規模化する。

②非同期化（非逐次化）処理の順番が決まってきない非逐次処理の複雑なシステムが互いに密接に影響しあう。インシデントがドミノ倒しのようにすばやく広がり、抑制が難しい。例：２００３年１月韓国を襲ったコンピュータワームがシアトルの緊急電話回線をダウンさせた。

③自動化クラスブレークを見つければ自動化して攻撃を繰り返すことで、成功する確率が非常に低い攻撃でも利益になる場合がある。例）攻撃側からすれば、スパムメールやソーシャルボットは一日数十件成功すればよい自動化により、小さな攻撃が無視できなくなった。

→　「セキュリティはなぜ破られたか」、ブルース・シュナイアー

脅威： Android マルウェアの増加

モバイルマルウェア全体の中では、被害者に気付かれずにデータを盗むバックドア型トロイの木馬や、銀行のログイン情報を取得するマルウェアが最大の割合を閉める。

マカフィーが 2013 年第 2四半期の脅威レポート、Android マルウェアが増加

APT ( 標的型攻撃）とソーシャルエンジニアリング

攻撃者

従業員

従業員

従業員

従業員

SNSService

SNSService

①事前調査

②１次攻撃

③マルウェア感染

④重要情報の調査と発見

⑤攻撃者によるデータ収集と外部への流出

①事前調査と②１次攻撃にソーシャルエンジニアリングを使うことが多い。

標的型攻撃の流れ

Gain Internet Access

Reconnaissance

Create Persistence

Theft

Goal

調査段階の特徴SNS Facebook Twitter Messenger検索エンジンなどを利用

ソーシャルエンジニアリングの利用攻撃の初期段階写真、勤務先住所などの入手Messenger やメールなどで連絡攻撃開始クライアント PCが標的悪用する脆弱性の選択

標的ネットワークへの持続的攻撃遠隔操作ソフトの利用ネットワークの掌握パスワードの把握接続元の隠蔽、匿名化破壊工作

Underground system と地下経済

ゼロデイマーケット

マルウェアマーケット

攻撃者

ボットネットマーケット

指令サーバボットネット

スキャンと侵入

悪意のあるサイト

情報摂取

スパムDDOS

サービス停止株式詐欺悪徳商法・広告

フィッシング

リダイレクト攻撃したサイトをボット化

脆弱性利用販売

レンタル

防御方法

セキュリティ対策の実行上の基本原則

プリベント（回避）

プロテクト（防御・防止）レスポンド

（対応）

リカバリー（復旧）

リスク管理

高

高低

低

低減reduction

回避avoidance

受容Acceptance

移転transference

発生頻度

被害額

振り込め詐欺

ATM強盗オークション詐欺

フィッシング詐欺

逮捕可能性低

深夜牛丼点強盗

ひったくり

ゴルフ場スキミング

コンビ二偽造クレカ

銀行強盗

百貨店偽造クレカ

コンビ二強盗

万引き

逮捕可能性高

儲け大

儲け小

リスクマップ（案）高

低

被害額

発生頻度

高低

低減reduction

移転transference

回避avoidance

受容Acceptance

SOCWARE

SOCIALBOT

De-anonymization

LaaS, SNS スパム

SNS と連動するスマホマルウェア

セーフガード：セキュリティ対策

抑止

予防

検知

回復

許容

低減

移転

回避

発生しないようにする

被害を最小にする

脅威をすばやく

発見する


被害が小さければ OK

発生頻度と損害額を小さく

する

発生要因を外部に

発生要因を取る

リスクコントロールリスク管理

情報セキュリティ対策技術予防機能　

抑止機能セキュリティポリシーと策定とポリシーによるネットワーク管理

防御機能アクセス制御、認証（パスワード等）、暗号化、デジタル署名、ファイアウォール

分析・予測機能脆弱性検査、バージョンのアップデート、パッチ適用、不要サービス削除

検知機能

検知機能ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置

回復機能　

被害軽減機能セグメント化、サーバの切り替え、ルータの冗長化

応急対応機能インシデント対応、コンティンジェンシプラン、ファイル修復

再構築機能新たにリリースされたセキュリティ技術の対応、情報セキュリティ監査

脅威、脆弱性、リスク

脅威

脆弱性

リスク

リスク

脆弱性

脅威

①リスク：なんらかの被害、損失を生じさせる事態や状況になる可能性のこと。また被害が発生した際の状況を分析した際の損失可能性（リスク因子）を示す。②プログラムや設定の不備などによるリスクを発生させる要因のこと。③脅威：脆弱性を利用してリスクを実際に発生させる手段のこと。

セキュリティ対策①リスクのコントロールあるいは回避②脆弱性を修正・消去する③発生した脅威の迅速な対処④被害にあった防御対象の回復

脆弱性が発生する要因

①開発技術者が、脆弱性に対処または解消するための知識やノウハウ（セキュアプログラミング）などを充分に持ち合わせていない。

②通信の保全、データの秘匿などに加えて、双方向通信での悪意のある入力に対して、悪意のある出口を返すというコンセプトでシステムが開発されていない。

③アプリケーションの開発の自由度より、セキュリティ面での実装の一貫性を確保することが困難であり、共通した技術を用いない場合、包括的なセキュリティ対策が難しくなる。

脆弱性が発生する要因

④システムの開発から運用にかけて、個別のアプリケーション開発者、システム構築と運用の間で適切な情報共有がされていないことから、どの段階や部分でどの程度のセキュリティ対策を実施すればよいのか不明確になる。

⑤システム開発の分業化が進んでいるため、アプリケーションのレベルでは安全でもネットワーク設定などの脆弱性を突いて最弱点公的が行われる場合が多くなる。

⑥セキュリティは非機能要件であるため、開発におけるコストを増加させる要因として認識される場合が多く、結果としてセキュリティの実装が行われないことがある。

リスクのコントロールと監理

技術面での対策

ファイアウォールの設置、 WEB アプリの脆弱性対策、

ファイルや通信の暗号化、パッチ適用、ウィルスソフトの導入

リスクコントロール抑止、予防、検知、回復

運用面での対策

サーバの設定の見直し、情報収集、入退室管理、管理記録、利用記録の徹底、定期的な研修、マニュアルの作成

リスク管理許容、低減、移転、回避

抑止

外部委託（アウトソーシング）、不要なサービスの

停止、ホスティング、監視カメラ、契約書への規則明記

予防ファイアウォール設定、アンチウィルスソフト、アクセス制御

検知アクセス・利用ログの検査、ネットワークの監視

回復バックアップ、復旧対策マニュアル作製、予備機器の確保

許容緊急時対応のコスト（予算、人員）の確保

低減データの分散配置、管理者の多層化、モニタツールの導入

移転外部委託（アウトソーシング）、損害保険、クラウド利用

回避インターネットの利用の制限、不要サービスの停止

コントロール管理

セーフガード：セキュリティ対策

抑止

予防

検知

回復

許容

低減

移転

回避


被害を最小にする

脅威をすばやく

発見する


被害が小さければ OK

発生頻度と損害額を小さく

する

発生要因を外部に

発生要因を取る

リスクコントロールリスク管理

情報セキュリティ対策技術予防機能　

抑止機能セキュリティポリシーと策定とポリシーによるネットワーク管理

防御機能アクセス制御、認証（パスワード等）、暗号化、デジタル署名、ファイアウォール

分析・予測機能脆弱性検査、バージョンのアップデート、パッチ適用、不要サービス削除

検知機能

検知機能ウィルススキャナ、ログ解析、侵入検知、監視カメラの設置

回復機能　

被害軽減機能セグメント化、サーバの切り替え、ルータの冗長化

応急対応機能インシデント対応、コンティンジェンシプラン、ファイル修復

再構築機能新たにリリースされたセキュリティ技術の対応、情報セキュリティ監査

その他のセキュリティ対策

隠蔽：資産が存在する場所を多数にする。不可視化：資産が見えないようにする反撃：相手にコストやダメージを与える陽動：相手の攻撃の焦点をずらすだまし：偽の資産を標的にさせる逃走：相手の攻撃範囲から外れる封印：攻撃の記録をする複製：情報資産が盗難されても紛失しないよ

うにする。警告表示：防御反撃策の存在を示す嫌悪感の喚起：情報資産の価値を下げる

多層防御：侵入検知

ネットワーク通信トラフィックルータやファイアウォールログの確認、

ネットワーク型モニタシステムなどの活用

サーバログオンやログオフなどのシステムログ

ログインやログオフなどのシステムログの確認、

ホスト型モニタシステムの活用

アプリケーション WEB などのアプリケーションログ

アプリケーションログの確認、 WEB 型トラフィク

モニタシステムの活用

データファイルアクセスなどのリソースへのアクセスログ

ファイルなどのリソースのアクセスログの確認、

ホスト型モニタモニタシステムの活用

WEB サーバ侵入検知

ネットワークモニタ

WEB アプリモニタ

データベース侵入検知

区画化と関門

入室入館①申請許可②持込管理③入場受付

退館退室④持ち出し管理⑤退場確認

B 　事務室 A サーバ室

C 応接室 C 受付 B 会議室

C: 公開区画

A: アクセス制限区画（特定メンバのみ入室可能）　 B: 業務区画（社員、派遣社員入室可能）　 C: 一般区画（訪問者、外来者の入室可能）

アクセス制御の種類

●アクセス制御には、任意アクセス制御（ DAC ）、強制アクセス制御（ MAC ）、ロールベースのアクセス制御（ RBAC ）の 3 種類がある。

①任意アクセス制御（ DAC ）は、オブジェクトの所有者がアクセス権限を設定する

②強制アクセス制御（ MAC ）は、あらかじめ設定されたレベル分けによって、強制的に読み取りや書き込みなどの権限が制限される

③ロールベースのアクセス制御（ RBAC ）は、ロール（役割）によって実行できる操作が制限される

多重（多層）防御①物理セキュリティ入退室管理

②ネットワークセキュリティファイアウォール、侵入検知、暗号通信③ホストセキュリティOS 設定、脆弱性対策ファイアウォール、侵入検知④アプリケーションセキュリティ脆弱性対策ファイアウォール⑤データセキュリティ

暗号・アクセス制御

多層防御：権限管理

権限管理

アクセス制御

主体認証

主体【人・装置・プログラム】

客体【情報・ファイル】

ID ・パスワードによる認証

アクセス条件の設定アクセス許可

分類

強制アクセス制御

分類脆弱性

セキュリティと直接関係のないバグ

クロスサイトスクリプティング

SQL インジェクション

バッファオーバーフロー

HTTPヘッダーインジェクション

クロスサイトスリクエストフォージェリ

　　

セキュリティ機能の不備・欠落

ディレクトリトラバーサル

アクセス制御の不備

あった方がよいもの

なくてはならないもの

あってはならないもの

アプリケーション要件

不完全だと脆弱性になる

出力の不備

処理の不備

脆弱性（バグ）とはコンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為 ( システムの乗っ取りや機密情報の漏洩など ) に利用できる可能性のあるシステム上の欠陥や仕様上の問題点。

B 　事務室 A サーバ室

C 応接室 C 受付 B 会議室

C: 公開区画

A: アクセス制限区画（特定メンバのみ入室可能）　 B: 業務区画（社員、派遣社員入室可能）　 C: 一般区画（訪問者、外来者の入室可能）

R1 Entry Node

R2 Middle Node

R3

情報サーバ

①R1 は R2 より先のことは知らない。② R2 は R1からのデータを R3 に中継したことしか分からない。③ R3 は R2からデータが来たことしか分からない。

以前の犯罪組織はお互いのことを知っている。

今犯罪組織はお互いのことで知らないことが多い。

匿名化と区画化

セキュアプログラミング安全なソフトウェア開発

設計

設計設備で品質が悪いと完成した製品の品質が悪くなる。開発段階に移行してか

らの設計ミスの修正は非常に困難で、修正そのものが不可能な場合がある。この

ような場合、設計ミスによりソフトウェアの納品に重大な遅れが生じる。利用する各要素技術が完全に利用できる技術かどうかの認識は不可欠。

実装

実装段階で、バッファオーバーラン、 SQL インジェクションなどの既知の問題点に対応する必要がある。特に最近では、 WEB アプリケーションを利用したシステムで、セッション

を適切に保持することなどが必要である。考慮しなければならない点として、利用者はミスをするという前提である。開発者が意図したとおりの操作ができるようなシステムを提供できるように

しなければならない。

テスト

設計段階、実装段階で安全に配慮したシステムを構築したとしても、利用者が安全

に仕様できなければ意味がないので、意図した通り利用できるかの視点でシス

テムをテストしなければならない。

運用ソフトウェアが実際に利用されてはじめて発見される問題点を修正する必要があるので、問題を修正するための体制を確立しておく必要がある。

脆弱性検査個別システム

脆弱性検査

個別システムの脆弱性検査ソフトウェアに（未知のものも含めた）バグがあるかどうかをチェックする。

ネットワークの脆弱性検査構成システムや設定に既知のバグがあるかをチェックする。

脆弱性の発見と検証：個別システム

攻撃ベクトルとデバッガーを用いる。セキュリティ関連の解析には多用される！

①ホワイトボックステストソースコードレビューツールと自動化

②ブラックボックステスト手動テスト自動テスト（ファジング）

③グレーボックステストバイナリ検査自動バイナリ検査

脆弱性検査ネットワーク

脆弱性の発見と検証：ネットワーク

情報収集対象システムが外部に公開している情報（設定）などを収集する。

脆弱性試験　対象システム上で稼動しているサービスのバージョンや設定情報から、脆弱性を発見する。

侵入試験　実際に発見された脆弱性を用いて対象システムに侵入できるか試験し、成功後の可能な攻撃やセッションの継続などの情報を収集する。

分類名称内容悪影響

情報収集散発的に情報を収集ない

脆弱性試験系統系に情報を収集ない

侵入試験系統的に情報を収集後、検証を行う。殆どない

本当の攻撃脆弱性を利用し、悪影響を与える。ある

脆弱性の発見と検証：ネットワーク

WEB サイトから最新の情報を

入手http://cve.mitre.org/

ネットワークの設定やソフト

ウェアのバージョンを洗い出す

当該する脆弱性により攻撃可能か、攻撃後の

セッションの振る舞いなどを解析。

脆弱性試験、侵入試験環境設定例

Nessus はプラグインのインストールが煩雑な

のでWindowsがオススメ。

カーネルモードデバッガは、

Vmware （ホスト OS ）側で動かす。

脆弱性試験

ポートスキャナー開いているポートと

フィルタリングポリシーを調査する。

稼動しているサービスが判明

脆弱性スキャナー開いているポートと稼動しているサービスのバージョンか

ら、脆弱性を列挙する。

脆弱性スキャナーNessus のオープンソース版。

侵入試験： Metasploit

インターフェースフロントエンド： msfconcole

POSTGRESQL

多機能！ペネトレーションテス

ト脆弱性データベース

アンチフォレンジクス

RUBYペイロード、スクリプト

Java ソケット、データベース

Metasploitablemetasploit 用のディスクイメージ

http://www.offensive-security.com/metasploit-unleashed/Metasploitable

Metasploit 用の

ディスクイメージ。意図的に

脆弱性と誤設定が入ってい

る。

Nessus の対象としても利用可。25216 (1) - Samba NDR MS-RPC Request Heap-Based Remote Buffer Overflow11219 (8) - Nessus SYN scanner11011 (2) - Microsoft Windows SMB Service Detection10150 (1) - Windows NetBIOS / SMB Remote Host Information Disclosure

脆弱性解析：デバッガについて

デバッガの種類ユーザーモードデバッガ

API やシンボル情報、文字列や検索処理の機能が豊富。

カーネルモードデバッガデバイスドライバやカーネルモジュールのデバッグや検索に使う。

プロセスメモリエディタ起動後のアプリケーションにアーキテクチャタッチして利用。メモリの検索に使う。

自作する方法リアルタイム解析に、上記デバッガなどを自作する。 DLL インジェクション、フィルタドライバ

ユーザーモードデバッガ：OllyDBG

ディスアセンブラ

レジスタウィンドウ

メモリダンプ

その他のデバッガに比べて文字列の表示と処理に優れている（はず）

カーネルモードデバッガ： WinDBG

ソースコードがある場合

ソースコードがない、または

マルウェアなどの解析の場合、

OS を仮想化しリモートから

接続して使う。（リモートカーネルデ

バッグ）

カーネルモードで動くため、デバイスドライバの排他制御などを

扱うことができる！

インサーキットエミュレータ

①インサーキット・エミュレータ (In-circuit emulator, ICE) はデジタル機器の開発装置の 1つである。 CPU とも呼ばれるマイクロプロセッサの機能をエミュレートするハードウェアを主体としており、実際のマイクロプロセッサと同じ機能を実装し、さらにブレーク・ポイントといったプログラムの実行途中で一時停止するといったデバッグ機能を操作するためのソフトウェアと組み合わされた装置である。ソフトウェアデバッガでは実時間での処理が行えないので、デジタル機器類での組み込みシステムや BIOS といった入出力動作を確認する必要がある開発環境で使用される。ICE （アイス）と呼ばれることが多い。

②"In-Circuit Emulator" は、米インテル社の登録商標である

-- wikipedia

IISEC Enpit 第二回

第２回：概要

長期トレンド新しい攻撃形態検出技術とアルゴリズ

ム大規模データのフィル

タリング大規模観測技術

• 第二回攻撃技術

Socware と SocialBot 標的型攻撃ソーシャルエンジニアリング

観測技術大規模データ収集技術機械学習を使った検出技術

クラウドコンピューティングとデータ主権

Challenges for cloud computing security

Cloud computing security Overview

Cloud computing is extremely fat-server and thin-client system.

Cloud computing security Overview

Cloud computing is Comprehensive system of many technologies.

Current situation of cloud computingcloud computing is becoming pervasive• Gartner predicts that by 2015, 40 percent of the security

controls used within enterprise data will be virtualized, up from less than 5 percent in 2010.

global cloud computing services revenue is expected to hit $148.8 billion come 2014 a dramatic 16.6 percent rise compared to 2009 cloud services revenue, which was $58.6 billion.

Current situation of cloud computingSecurity is top concerned issue

Five security issues

1) Security about virtual machine environment

2) Security about data center

3) Legal issues about data in foreign server

4) SLA service level agreement

5) Security about management and operation

Virtual machine attackT. Ristenpart, E. Tromer, H. Shacham, and S. Savage. “Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-Party Compute Clouds.” In S. Jha and A. Keromytis, eds.CCS 2009,

Classification of cloud computing securityguidelines, standards and alliancesThe right to retain ownership, use and control one‘s own data ユーザーが保有するデータの管理と利用に関する所有権保持の権The right to service-level agreements that address liabilities, remediation and business outcomes

負担、改善、業務上の成果の取り組みに関するサービスレベル契約の権利The right to notification and choice about changes that affect the service consumers‘ business processes

利用者のビジネスプロセスに影響がある変化について、告知を受け選択する権利The right to understand the technical limitations or requirements of the service up front

事前に技術的な制約や要件を理解する権利The right to understand the legal requirements of jurisdictions in which the provider operates

事業者が則る法的管轄を理解する権利The right to know what security processes the provider follows

事業者が行うセキュリティプロセスを知る権利The responsibility to understand and adhere to software license requirements

適切なソフトウェアライセンスの要件を理解する義務Gartner Global IT Council for Cloud Services Outlines Rights and Responsibilities for Cloud Computing Services

Outline: insider threat and data leakage

Information leakage is one of the most serious damages caused by insider threat. In this talk, I will introduce some key issues about ex-post countermeasures of information leakage

①First, "Data lives forever" problem is introduced. Once sensitive information is leaked over Internet, we have no effectivecountermeasures to nullify it. Some topics such as advanced secret sharing and right to be forgotten will be noted. ②Second, I will talk briefly about "Data sovereignty" to provide a

logical and technical basis for tracking spread information. PDP (provable

data possession) could be one of solutions.

Finally, I will present some actual cases about these problems.

Insider Threats and Information leakage

Stolen document14%

LostTape 14%

Disposal Document 14%

Data lives forever:Once sensitive data is released to network, it circulates forever.

Information leak: retroactive disclosureSensitive data could retrieved and retroactivated as offense.

2012/11 http://www.datalossdb.org

Attacks from outside by hackingis motivated for botNet, FaaS etc.

Data Leakage is one of the main purpose of insider attack. Besides, this kind of threat causes retroactive disclosure.

Incidents by Breach Type

Social Engineering And APT is sometimes So hard to be prevented Technically.

Can retroactivation as offense be mitigated ?Is ex-post countermeasure possible ?

　 2008 2010

Trojans, Virtuses, other malware

54 78

Spyware 48 74

Hackers 41 67

Employees exposing information

52 66

Equipment misconfiguration 41 61

Application Vulnerabilities 44 59

Spam 39 58

Data stolen by trusted party 38 53

Insider sabotage 34 49

Top threats to enterprise securityIDC’s survey

Is it possible to preventUploading sensitive files

?

2012/08Dropbox

Confirms User Email Leaks –

Adds Additional Protection

Is it unstoppable even if we adopt domain seizure in Amazon EC2 ? DLP can protect sensitive

data sent from SNS ?

Japan’s case: information leakage via P2P networks

2009/04/02: Tokyo Rinkai Hospital – a list of 598inpatients information

2009/01/08: National Information-Technology Promotion Agency - a database of Ministry of Internal Affiars and National Patent Office

2010/10/30 Metropolitan Police Department taking

charge of international terrorism splits a

confidential list over P2P networks

2008/03/22National Bank of

Japan leaks Confidential insider

information

2005/06Documents of nuclear power

plant of Mitsubishi was leaked.

Data Sovereignty in Cloud computing era

Data Sovereignty :- the coupling of stored data authenticity and geographical location in the cloud

However, as Cloud computing environment has become international, securing data sovereignty is harder and harder.

Technology of geolocation could be cheated. PDP (Provable Data Possession) could be one of the solutions for this problem.

A Position Paper on Data Sovereignty: The Importance of Geolocating Data in the Cloud Zachary N. J. Peterson, Mark Gondree, and Robert Beverly.

USENIX HotCloud 2011

Giuseppe Ateniese, Randal C. Burns, Reza Curtmola, Joseph Herring, Lea Kissner, Zachary

N. J. Peterson, Dawn Xiaodong Song: Provable data

possession at untrusted stores. ACM CCS 2007

"Data lives forever" problem

• Wiki Leaks

WikiLeaks is an international organization that publishes submissions of

otherwise unavailable documents from anonymous sources and leaks.

On July 25, 2010, WikiLeaks released to The Guardian, The New York

Times, and Der Spiegel over 92,000 documentsrelated to the war in

Afghanistan between 2004 and the end of 2009.

• “Right to forget and delete”

European Commission sets out strategy to strengthen EU data protection

rules Nov 2010. “Controlling your information, having access to your data,

being able to modify or delete it – these are essential rights that have to be

guaranteed in today's digital world. “

P2P security VANISH: self destructing data

Roxana Geambasu, Tadayoshi Kohno, Amit Levy, Henry M. Levy. Vanish: Increasing Data Privacy with Self-Destructing Data. In Proceedings of the USENIX Security Symposium, Montreal, Canada, August 2009.

Technology: Secret sharing protocol and DHT

In vanish system, shared file is disappeared from network in a fixed interval.

Bob sends {C,L} to Alice. VANISH is implemented for Vuse DHT.

RANDOM INDEXES (L)

Data, timeout

K1

K2

KN

C=Ek(data)

Data, timeout

RANDOM INDEXES (L)

data=Dk(C)

{C,L}

P2P security UNVANISH: reconstructing data

Defeating Vanish with Low-Cost Sybil Attacks Against Large DHTsScott Wolchok, Owen S. Hofmann, Nadia Heninger, Edward W. Felten, J. Alex Halderman, Christopher J. Rossbach, Brent Waters, and Emmett Witchel, Network and IT Security Conference: NDSS 2010

UNVANISH mounts sybil nodes into DHT to replicate Ek hash to reconstruct data.

RANDOM INDEXES (L)

Data, timeout

K1

K2

KN

C=Ek(data)

Data, timeout

RANDOM INDEXES (L)

data=Dk(C)

{C,L}

UNVANISH

新しい攻撃形態

ソーシャルネットワークオープン

ストックフロー

クローズ

API による自動化と情報収集力の増加

現在、ソーシャルネットワーク上で多様かつ高機能な WEB APIが提供されているが、これによりソーシャルボットやソックウェアが活性化するケースがある。

Socware, SocialBot の検出1 MyPageKeeper:Efficient and scalable socware detection in online social networks mypagekeeper is a facebook application desinged for detecting malicious post in facebook. once a facebook user installs mypagekeeper, it periodically crawls posts from the user's wall and news feeds. mypagekeeper is tested from the perspective of over 12K users who have installed myPageKeeper and their roughly 2.4 million friends. by this dataset, myPagekeepr turned out to be accurate (97% of posts flagged by it are indeed socware and it incorrectly flags only 0.005% of benign costs) and efficient (it requires 46 ms on averatge to classify a post).

Security'12 Proceedings of the 21st USENIX conference on Security symposium 2 An analysis of socware cascades in online social networks online social networks have become a popular new vector for distributing malware and spam, which is called as socware. unlike email spam, which is sent by spammers directly to intended victims, socware cascades through OSNs as compromised users spread it to their friends. WWW '13 Proceedings of the 22nd international conference on World Wide Web

攻撃のインセンティブと地下経済

検出技術とアルゴリズム

システムセキュリティ

On-Line: 侵入検知、アクセス制御動いているシステムへの不正アクセス、攻撃トラフィックを検出する。稼動中のシステムへのリソースごとのアクセスを制御する。

Off-Line: コード解析、脆弱性検査、ぺネトレーションテストシステムに入ってくるコードに悪意がないかチェックする。システムに攻撃される箇所がないかチェックする。

フォレンジクス（侵入、不正アクセスがあった後に）、攻撃の証拠を発見、保存する。

コンピュータセキュリティのアルゴリズムネットワーク系侵入検知のデータマイニングトラフィックの中から攻撃パケットを検出する。

システム系侵入検知のデータマイニングリソースアクセス、システムコールのシーケンスの中から悪意ある挙動、禁止されている挙動を検出する。

コード解析系のアルゴリズムマルウェアの解析：どのような攻撃がされるのか解析する。防御対象のシステムに脆弱性がないか解析する。

フォレンジクス系のアルゴリズムファイルシステム、不揮発性のメモリのスナップショットなどから、攻撃や不正アクセスの跡を発見する。

侵入検知とデータマイニング異常検知通常状態、過去の履歴（プロファイル）からの乖離

を用いて検出。

不正検知不正なシグニチャやパターンを照合して検出。

Introduction

BACKGROUND: The rapid increasing of security incidents imposes a great burden on Internet users and system administrators. In this paper we discuss a parallel analysis for lightweight network incident detection using nonlinear adaptive systems.

DEPLOYMENT: We run AID (anomaly intrusion detection) and MID (misuse intrusion detection) systems in parallel. Two detectors generate binary output misuse = {YES/NO} and $anomaly = {YES/NO}. Then, we can determine whether we need to perform network or security operation.

ALGORITHMS: We apply clustering algorithm for AID and classification algorithm for MID.The nonlinear adaptive system is trained for running MID and AID in parallel.Proposed parallel system is more lightweight and simple to operate even if the number of incident patterns is increased.

RESULT: Experimental results in the case where false positive is frequently caused show that our method is functional with a recognition rate of attacks no less than 10%, while finding the anomaly status. Also, performance evaluation show that proposed system can work with reasonable CPU utilization compared with conventional serial search based system.

NPC 07

IDS (Intrusion Detection System)IDS is an alarm and loggerIDS (Intrusion detection system) is kind of alarm deployed on computer system and network to detect activity called misuse, that is something unauthorized action

such as leaking or compromising.

Increasing the number of attacksRecent increasing of the number of attacks against computer systems is rapidenough to pare off the effectiveness of human response.

Current requirement for IDSMore effective, automated and intelligent detection method is researched in many fields to take some measures for the unseen incidents. Generally, researches are objective to construct a system treating attacks with automatic response.

NPC 07

Background: Increase of IDS signatures

It is supposed that a large number of service and system will be connected to the internet. And thenumber of exposed security holes, flaws and vulnerabilities is increasing rapidly still now.

On the other hand, the signatures of current intrusion detection system is increasing and its managing is becoming so complicated that administrators is required to spend much time to learn how to handle rules and maintain databases.

Current IDS checks all internal and external packets and logs part of them according tosignature rule set.

With the complexity of managing signatures, there is matter of concern that increase in the number of signatures unnecessary impose the great burden to the system and worse, the improper setting of signature rule set drop the packets of coming attacks.

NPC 07

Anomaly and misuse detectionprofiles and signaturesBACKGROUND Almost traditional IDS applies signature-based detection methods. Dataset of signatures is afforded manually by experts. Recently, manually black-list based cannot catch up with the rapid increase of network security incidents

and attacks. Therefore, the extension and alternatives of matching based detection has been researched.Intrusion detection techniques are generally classified into two categories: anomaly detection and misuse detection.

MISUSE DETECTIONMisuse detection is performed by looking for the behavior of a known exploit scenario, which is usually described by a specific sequence or data. Current signature based methods is classified in misuse detection but lacks the scalability to extract features from attacks observed to detect even derivatives of conventional incidents by itself. Misuse learning algorithms on labeled data generally cannot detect new intrusion as it is. In addition, processing labeled data in order to find variation is usually so expensive.

ANOMALY DETECTIONOn the other hand, anomaly detection is performed by the inspection for the state that deviates from the baseline or normal state defined before. Profiling algorithms for AID on unlabeled data is frequently causing false positive because the audit data can be very large. And the output of this method is inclined to depend much on the numbers and features of data to train.

TRUE POSITIVE FALSE POSITIVE

FALSE NEGATIVE

TRUE NEGATIVE

CHARACTERIZATION OF TWO METHODSAID takes advantage in sensitivity. MID takes advantage in singularity. Sensitivity = TP / TP + FN Singularity = TN / TN + FP

NPC 07

Data-mining and IDSClustering for AID / Classification for MID[1] Clustering for AIDOutputs the distance from normal (usual) status.Algorithms: Statistics / Clustering (Machine learning)Dataset: profile (representation of normal)

Anomaly detection uses clustering algorithms because the behavior to find is unlabeled, with no external information sources.

[2] Classification for MIDOutputs the similarity from misuse cases.Algorithms: Statistics / Classification (Machine learning)Dataset: signature (representation of attack)

Misuse detection adapts classification algorithm because the activity to analyze requires that detector know how classes are defined.

NPC 07

Clustering and classification: The tradeoff about the accuracy and range of detection

There are two major data mining techniques applied for intrusion detection, clustering or classification.

Clustering is the automated, unsupervised process that allows one to group together data into similar 　characteristics. Classification is the method to learn to assign data to predefined classes. The tradeoff about the accuracy and range of detection exists between clustering and classification.

Classification deal with predefined data, so it affords detection of weaker signal and figure out accurate recognition. But in some cases, it may be biased by incorrect data to train and it is not able to detect new type of attacks in the sense that the attack does not belong to any category defined before.

Clustering is not distorted by previous knowledge, but therefore needs stronger signal to discover. At the same time it can deal with unlabeled attacks because the training doesn't specify what the detection system is trying to find while clustering go too far to perceive the activity that is not included incident affair.

NPC 07

ExperimentDoS attack or network trouble?

In experiment, we test the caseWhere false positive is occurredFrequently.

Burst traffic of specific packet Occurred by Network trouble Is often misrecognized as DoSAttack.In this case,Output of AID = YESOutput of MID = NO

Among anomaly burst traffic,State caused by attack or Malicious behavior is included.In this case Output of AID = YESOutput of MID = YES

NPC 07

Android マルウェアの検出と解析

動的解析：実際に動作させて観測する。Taint Droid: An Information-Flow Tracking System for Realtime

Privacy Monitoring on Smartphones

William Enck, Peter Gilbert, Byung-gon Chun, Landon P. Cox, Jaeyeon Jung, Patrick McDaniel, and Anmol N. Sheth. In Proc. of the USENIX Symposium on Operating Systems Design and Implementation (OSDI), October 2010 in Vancouver

静的解析：デコンパイルやソースコードの検査をする。A study of android application security

SEC'11 Proceedings of the 20th USENIX conference on Security Pages 21-21

William Enck

Android マルウェアの検出と解析Dalvik VM interpreter

Taint Droid: An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones

動的解析

Application code

Virtual machine

Native system libraries

Virtual machine

Application code

Network Interface Secondary Storage

MSG

Message level tracking

Variable level tracking

Method level tracking

File level tracking