Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
サイバー攻撃検知通報事業詳細
2015年6月地方公共団体情報システム機構 情報化支援戦略部 セキュリティ支援担当
別紙1
はじめに
サイバー攻撃対策のための情報セキュリティ技術の多くは、侵入検知システム(IDS)や侵入防止システム(IPS)など、組織内ネットワークがインターネットと接続しているネットワーク境界において攻撃を検知・防御する「境界防御」が主流となっています。しかしながら、USBメモリやメールの添付ファイルを経由したマルウェア感染、更にはゼロデイ攻撃などによって、組織の内外から境界防御を突破される情報セキュリティインシデントが多発しており、従来の境界防御の仕組みを補完する情報セキュリティ対策の重要性が増しています。
DAEDALUS(ダイダロス) は、情報通信研究機構が構築したネットワーク観測網を活用した対サイバー攻撃アラートシステムです。従来の境界防御技術との併用で、組織内ネットワークの情報セキュリティの一層の向上が期待できます。
この度、大学や一部企業向けに実績を蓄積しつつあるダイダロスの一部機能を、地方自治情報センターの支援のもと、地方公共団体の皆さまにご提供することとなりました。ダイダロスが皆様のサイバー攻撃対策の一助になることを願っております。
国立研究開発法人情報通信研究機構(NICT)ネットワークセキュリティ研究所サイバーセキュリティ研究室
2
目次
1.本事業で利用するシステム「ダイダロス」について …4p
2.ダイダロスが検知できるサイバー攻撃について …9p
3.事業全体イメージについて …14p
4.登録いただく情報について 補足 …19p
5.FAQ …22p
3
1.本事業で利用するシステム「ダイダロス」について
サイバー攻撃観測網
対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」とは
ダイダロスの手法
組織内ネットワーク
従来手法
組織内ネットワーク
組織内からの不審な通信をサイバー攻撃観測網(ダークネット)で検知する
組織外からの不審な通信をネットワークの境界で検知する
情報通信研究機構(NICT)が有する日本最大の「サイバー攻撃観測網」を活用したアラートシステムです。
組織内部から他の組織への不審な通信の有無を観測
注意:ダイダロスにより従来の検知手法が不要になるという意味ではありません。相補的な関係です。
次ページから、組織内から外部への通信を観測(検知)するとは何か?について解説します。
5
ダイダロスが観測する対象「ダークネット」
ダイダロスが観測対象とするのは、厳密に言えば各団体のネットワークや、サーバ、PCそのものではありません。「ダークネット」と呼ばれる、各地方公共団体とは関係のない、NICT独自の観測網に届く通信を観測することによって、各団体に関係するサイバー攻撃を検知します。
インターネット(IPv4網)には、約42億ものIPアドレス空間があります。その42億のIPアドレスはブロック単位に区分けされ、国・企業・組織・個人単位に利用できるIPアドレスが割り振られています。
しかし、各組織は割り当てられたIPアドレスの全てを利用していないことがあります。インターネットにおける未使用(特定のホストコンピュータを割り当てていない)IPアドレス空間のことを「ダークネット」と呼びます。
利用しているIPアドレス空間
利用していないIPアドレス空間=ダークネット
某社ネットワーク
6
ダークネットに対して通信する意味 インターネット上で未使用のIPアドレス空間「ダークネット」は、特定のホストコンピュータに接続されていないはずのもので、通常のインターネット利用をしている際は、ダークネットに対して通信をすることはまずありません。しかし、そのような利用されていないIPアドレス空間に対して通信しようとする「何か」があります。
「何もないところに通信をする」のは、サイバー攻撃の副次作用です。「何か」の正体は、「バックスキャッター」と呼ばれるDDoS攻撃の痕跡と、「ワーム型マルウェア」の感染活動の一部の可能性があります。ダイダロスは、ダークネット観測を通じて各団体のネットワークにおけるこの副次作用の発生有無を検知します。
Alert!
Attack!
A社
B団体 C社
D団体
参加団体X市 Alert! 不審な通信があります!?
7
ダークネット観測規模 ダークネットは企業・組織が各自で保有していますが、日本国内におけるダークネットを利活用するため、これをブロック単位でNICTが借り受け、観測システムを置き、サイバー攻撃観測に役立てることとしました。それが、対サイバー攻撃アラートシステム「ダイダロス」です。
なお、NICTが観測対象とするダークネットの規模は「21万IPアドレス(※) 」です(日本最大)。
各社・各組織から集めた「21万IPアドレス」分のネットワーク
A社
B団体 C社
D団体
(※)IPアドレス空間全体に比し、ごく限られた範囲しか観測・検知できていないように思う方もいらっしゃるかと思いますが、NICTでは日本国内の多様な企業・組織のダークネットを観測対象としているため、いわばサンプリング検査のようにサイバー攻撃の情報を集めることができます。また、既に大学等における利用で検知実績を上げている方式です。
8
2.ダイダロスが検知できるサイバー攻撃について
ワーム型マルウェアの検知
組織内ネットワーク
サイバー攻撃観測網
①ワーム型マルウェアでない場合(標的型メール攻撃、ウェブ感染型マルウェア等)②「組織内ネットワーク」でのみ通信を行うワームの場合③サイバー攻撃観測網以外のネットワークにのみ通信を行った場合
観測網以外のネットワーク
「ワーム型マルウェア」とは、所謂一般的なウイルスのようにファイルに感染するのではなく、ネットワーク経由で自己増殖し、他のPCに感染を広げるタイプのマルウェアです。感染後にPCを乗っ取り、データの破壊や改ざん、他者への攻撃を行ったりします。
ワーム型マルウェアの中には、インターネット経由で感染活動をしようとするものもあり、そのようなワーム型マルウェアであればダイダロスで検知できる可能性があります。このような通信の送信元IPアドレス情報等をアラートメールでお知らせします。
参加団体X市ネットワーク
10
検知不可
検知!
ワーム型マルウェアが、サイバー攻撃観測網に対しても通信を行った場合検知可
バックスキャッターとは?~TCP/IP通信についておさらい~
利用者のPCとサーバ間の通信、例えばWebサイトのコンテンツを見ようとした場合、TCP/IPというプロトコル(ネットワークを介してコンピュータ同士が通信を行う上で、相互に決められた約束事)にのっとり、通信の開始においては最初に、「3ウェイ・ハンドシェイク」という手順を踏む必要があります。(図1)
まず、利用者が「SYN(シン)」というパケットをサーバに送ります(図1①)。
SYNパケットを受け取ったサーバは、その要求者(送信元)の接続を許可する意味を持つ、「SYN-ACK(シン・アック)パケットを送信します(図1②)。
それと同時にサーバは接続を準備するために、その送信元との接続用の情報を記憶する領域を割り当てます。SYN-ACK パケットを受けとったパソコンは、接続開始を表すACK(アック) パケットを返信し(図1③)、通信相手との通信を開始します。
この動作は、例えばWebブラウザを利用してWebコンテンツを閲覧する際に発生し、利用者(人間)自身はこれを意識することなくWebコンテンツを閲覧することができます。
11
バックスキャッターとは?~IPスプーフィングという攻撃手法~
TCP/IPの盲点を悪用した攻撃手法の一つとして「IPスプーフィング(なりすまし)」が挙げられます。
IPスプーフィングは、送信元のIPアドレスを詐称して別のIPアドレスに「なりすまし(スプーフィング)」を行う攻撃手法のことです。
IPアドレス:1.1.1.1 IPアドレス:2.2.2.2
SYN(From:1.1.1.1)
SYN/ACK(From:2.2.2.2)
正常な通信の場合
IPスプーフィングの場合
IPアドレス:1.1.1.1 IPアドレス:2.2.2.2
SYN(From:3.3.3.3) SYN/ACK(From:2.2.2.2)なりすまし
IPアドレス:3.3.3.3
?
このようなIPスプーフィング攻撃を大量に行って、DDoS攻撃行った際のSYN/ACKパケットは、「DoS攻撃の跳ね返りパケット(バックスキャッター)」と呼ばれます。12
バックスキャッターの検知について
攻撃者
様々な送信元IPに詐称してDDoS攻撃(SYNパケット)
送信元詐称先に返信(Syn/Ack)する=バックスキャッタ
バックスキャッターが発生し、その際、詐称したIPアドレスにサイバー攻撃観測網に属するIPアドレスが一部でも含まれていた場合
①詐称したIPアドレスが全てサイバー攻撃観測網に属さないアドレスだった場合②IPスプーフィングを行わないDDoS攻撃だった場合
参加団体 X市のサーバ(DDoS攻撃対象)
先述のとおり、バックスキャッターとはIPスプーフィング(なりすまし)をしたDDoS攻撃が跳ね返ったパケットです。ダイダロスでは、この際に詐称された送信元IPアドレスがダークネットに属しているアドレスだった場合、そのDDoS攻撃を検知することができ、このようなバックスキャッターの送信元IPアドレス情報等をアラートメールでお知らせします。
13
サイバー攻撃観測網
検知可
検知不可
検知!
3.事業全体イメージについて
事業全体イメージ
15
ダイダロス
参加団体X市ネットワーク(観測対象として登録)
攻撃者①DDoS攻撃発生
②X市ネットワークからの不審な通信の一部を検知
③登録担当者へアラートメール送付
④原因調査し、対処を検討(各団体で対応)
✓X市のIPアドレス:x.x.x.xに不審な動き有!
✓X市の○○サーバがDDoS攻撃を受けている可能性有!
①’ワーム型マルウェア感染
アラートメールのイメージ(1/2)
16
アラートの内容としては、次のような情報がメール経由で提供されます。添付ファイル内容は次のスライドを参照してください。
TO: アラート送付先として登録したメールアドレス1TO: アラート送付先として登録したメールアドレス2TO: アラート送付先として登録したメールアドレス3CC: J-LIS 情報化支援戦略部(Sec)<[email protected]>CC: NICT DAEDALUS Center < [email protected]>From: NICT DAEDALUS Center < [email protected]>Subject(件名): <攻撃アラート>サイバー攻撃検知通報 x月x日xx時xx分 [Mail ID:xxxx]
本文:($団体名) ($ネットワーク名称)ご担当者様
※本メールは、サイバー攻撃検知通報事業に参加申込をした団体のご担当者様へお送りしています。
サイバー攻撃検知通報事業により、次の登録ネットワークにおけるアラートが出力されました。添付ファイルの内容を確認の上、対応を検討してください。
アラート対象 : ($団体名)($ネットワーク名称)IPアドレスブロック:($IPアドレスブロック情報)
本件に関する問い合わせ先(ヘルプデスク窓口):J-LISヘルプデスク窓口連絡先
添付ファイル: ($アラート内容詳細_XML形式)
アラートメールのイメージ(2/2)
<?xml version="1.0"?><NicterEvent>
<Header><EventType>DaedalusAlert</EventType><CreateTime>2011-12-19 11:00:45</CreateTime>
</Header><DaedalusAlertHeader>
<AlertID>277761</AlertID><OrgID>2</OrgID><Trigger>Periodic</Trigger><Duration>3600</Duration>
</DaedalusAlertHeader><AlertData EventTime="2011-12-19 11:00:39" EventID="1096117" SrcIP="xxx.yyy.236.116" SrcCC="JP" TotalPacketCount="878" DisplayedPacketCount="878"
Type="Continued"><Packet PacketTime="2011-12-19 10:01:21" DstIP=“" DstCC=“" DstPort="" SrcPort="" Protocol="1" Flag="8" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:31" DstIP=“" DstCC=“" DstPort="" SrcPort="" Protocol="1" Flag="8" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:33" DstIP=“" DstCC=“" DstPort="" SrcPort="" Protocol="1" Flag="8" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:35" DstIP=“" DstCC=“" DstPort="445" SrcPort="3580" Protocol="6" Flag="2" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:38" DstIP=“" DstCC=“" DstPort="445" SrcPort="3580" Protocol="6" Flag="2" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:42" DstIP=“" DstCC=“" DstPort="" SrcPort="" Protocol="1" Flag="8" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:44" DstIP=“" DstCC=“" DstPort="" SrcPort="" Protocol="1" Flag="8" DarknetType="internal"/><Packet PacketTime=“2011-12-19 10:01:45” DstIP=“" DstCC=“" DstPort="445" SrcPort="3580" Protocol="6" Flag="2" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:47" DstIP=”" DstCC=”" DstPort="137" SrcPort="137" Protocol="17" Flag="" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:48" DstIP=“" DstCC=“" DstPort="137" SrcPort="137" Protocol="17" Flag="" DarknetType="internal"/><Packet PacketTime="2011-12-19 10:01:50" DstIP=“" DstCC=“" DstPort="137" SrcPort="137" Protocol="17" Flag="" DarknetType="internal"/>
<!– SNIP -->
</AlertData></NicterEvent>
17
添付ファイルの中身は次の通りです。アラートの読み方、サイバー攻撃判断のポイント等については、別途マニュアルを参照してください。
アラートメールのイメージ(月次報告)
18
サイバー攻撃検知時のアラートメールのほか、登録したネットワークごとに、団体代表者とアラート送付先として登録したメールアドレス宛てに月次で件数報告がされます。
TO: アラート送付先として登録したメールアドレス1TO: アラート送付先として登録したメールアドレス2TO: アラート送付先として登録したメールアドレス3TO: 団体代表者メールアドレスCC: J-LIS 情報化支援戦略部(Sec) <[email protected]>CC: NICT DAEDALUS Center < [email protected]>From: NICT DAEDALUS Center < [email protected]>Subject(件名): <YYYY年MM月($団体名)($ネットワーク名称)のアラート数>サイバー攻撃検知通報
本文:($団体名) ($ネットワーク名称)ご担当者様
※本メールは、サイバー攻撃検知通報事業に参加申込をした団体のご担当者様へお送りしています。
YYYY年MM月のアラート数は以下の通りです。
ネットワーク名称:($団体名)($ネットワーク名称)IPアドレスブロック::($IPs)アラート数::($件数)
==本件に関する問い合わせ先(ヘルプデスク窓口):J-LISヘルプデスク窓口連絡先
添付ファイル: その月に発生した全アラートXML.xml
4.登録いただく情報について補足
IPアドレスブロック情報
20
自団体が利用しているグローバルIPアドレスのIPアドレスブロック(ネットワークアドレス)を登録してください。
例: 123.123.123.0/24※アドレスの間違い(ネットワークアドレスでないアドレスの申込)が増えています。ご確認をよろしくお願いします。
※1つのサーバ、ネットワーク機器のみを対象とする場合は、CIDR標記を「/32」にして申込みしてください。
次のようなプライベートIPアドレスは対象外です。10.0.0.0~10.255.255.255 (10.0.0.0/8)172.16.0.0~172.31.255.255 (172.16.0.0/12)192.168.0.0~192.168.255.255 (192.168.0.0/16)
次のようなIPアドレスを登録する場合、各団体の責任(※)で当該ネットワーク管理者又は事業者に本事業参加の了承を必ず得てください。 自団体で利用しているレンタルサーバのIPアドレス 自団体で利用しているクラウドサービスのIPアドレス 自団体で利用しているASPサービスのIPアドレス 自団体の関係団体(三セク等)の管理するネットワークのIPアドレス(※)自団体に関係のないネットワークの登録はお断りします。なお、 NICTにて登録内容の正誤についてはwhois検索等による確認を行いますが、登録内容にお間違いのないよう、十分ご注意ください。当センター及びNICTは誤ったIPアドレスブロックを登録申請したことにより生じる不利益に対しては一切の責任を負いかねます。
本事業では、自団体が利用しているネットワークのIPアドレス情報(IPアドレスブロック情報)をご連絡いただきます。ここでは、その注意点についてお知らせします。
登録いただく「IPアドレスブロック情報」について
アラート送付先について
21
アラート送付先メールアドレスは、各登録IPアドレスブロックごとに、1件~3件登録することが可能です。1件以上登録してください。
代表者には月次報告のみで、各登録IPアドレスブロックごとのアラートメールは送付されません。代表者も各登録IPアドレスブロックのアラートメールを受信する必要がある場合は、アラート送付先に代表者のメールアドレスも登録してください。
アラート送付先メールアドレスには次のような方の登録を想定しています。 団体のICT関連部門職員(中堅以上) 団体の情報セキュリティ関連部門職員(中堅以上) 団体常駐SE担当者 運用保守担当ベンダー担当者 ISP・データセンター担当者
登録に際しては、メールアドレス情報を、J-LIS及びNICTに提供することについて了承を得てください。登録頂く情報の取扱いについては、申込書の冒頭を参照してください。
5.FAQ
Q1:IPアドレスブロック単位で申込をせよとのことだが1つのIPアドレスだけを登録したい。
23
A1:はい、1つだけの登録も可能です。その場合は該当のIPアドレスに「/32」を付けて申込をしてください。
例:123.123.123.100/32
Q2: 「ダイダロス」の"一部機能"を提供とあるが、提供されない機能は何か?
A2:本事業では次の機能が提供されません。・組織内の通信に着目したワーム型マルウェア感染の検出
・DAEDALUS-VIZ(ダイダロスで出力したアラートを可視化するシステム)
Q3:本事業に参加するに際し、必要な準備はあるか?
24
A3:準備がなくとも本事業には参加可能です。(参加は無償です)よりスムースな対応のためには次のことが挙げられます。
まず、本事業ではお申込みいただいた特定のグローバルIPアドレスから、特定の日時において不審な通信があったことがアラートメールにより届きます。
そのため、その「特定のグローバルIPアドレス」が具体的にどのホストが該当するか調査方法を確認し、整理しておいたり、該当ホストから特定日時に発信された通信の原因究明をする際に、システムログや通信のログの確認方法を整理しておく等、調査に必要な事項に関して事前にまとめておくことをお勧めします。
また、各ホスト若しくはそのインターネットへの経路上のネットワーク機器(Router、Firewall、IDS、IPS、Proxy等)において、各種ログを取得しており、それを確認できる場合は、原因究明調査がスムースに実行できることが期待できます。
良く分からない場合は、保守担当ベンダー、IPS・データセンターの担当者等にご相談ください。
Q4:既にHPレスポンス観測事業に参加している。本事業は重複するものか?
25
A4:主にカバー範囲(対象脅威、検知対象)が異なります。なお、他のセキュリティ支援事業と合わせて、異なる点は次の通りとなります。
サイバー攻撃検知通報事業 対象脅威:ワーム型マルウェア、DDoS攻撃(バックスキャッター) 検知対象:インターネットに接続する庁内LANのPC端末や、DMZ等自団体の公開サーバ
設置セグメントの機器全て
フォローアップ:検知事実の通知のみ(原則、各団体にて検知情報をもとに対応を検討)
ホームページレスポンス観測事業 対象脅威:DoS攻撃、DDoS攻撃 検知対象:Webサーバのみ
フォローアップ:観測結果の閲覧のみ(原則、各団体にて観測情報をもとに対応を検討)
ウェブ感染型マルウェア検知事業 対象脅威:ウェブ感染型マルウェア(Webサイト改ざん) 検知対象:Webサーバのみ
フォローアップ:解析レポートを提供し、検知後の対応を支援。
Q5:本事業は、TCP/IPの知識やXMLの知識を求めているが何故か。
26
A5:本事業では、様々なアラートが出力される可能性があり、サイバー攻撃かどうかの判定や、その影響有無の判断の際に、基礎的な技術知識を要します。
特に、ワーム型マルウェアの発生が疑われるアラート等においては、その感染の可能性があるホスト(PC等)の特定等に際して、NICT及び当センターは各団体のネットワーク構成を把握しておらず、フォローができません。
そのため、本事業で発信されるアラートメールの受信者がアラートメールを事後対処や対策に生かすには、一定レベルのネットワーク運用管理経験が必要ですので、予めご承知置きください。
なお、アラートはXMLで記載されていますが、その読み方や、サイバー攻撃の判定方法等に関しては、マニュアルをご提供しております。このマニュアルの読者も、基礎的な技術知識をお持ちの方を前提としています。
Q6:アラートメールを受信したが、ダークネットのIPアドレス情報が書かれていない。
27
A6:ダークネットのIPアドレス情報は原則として不開示となっています。
一方、攻撃アラートメールの情報を基に不審な通信を特定する際、ダークネットIPアドレス情報がないと特定が困難なケースがあり、平成25年度はそのようなケースに関する対応の御相談もいくつか頂戴しているところです(例:プロキシサーバ経由で庁内PCから発信された不審通信など)。
このようなケースに対応するためNICTと協議した結果、平成26年度以降は事情によっては誓約書の提出をもってダークネットIPアドレスの一部を開示する方向で考えています。
諸般の事情によりダークネットIPアドレス情報を必要とする場合、アラートメールに記載の窓口までまずはご相談ください(なお、必ず開示ができるものではないことにつき予めご了承ください)。
問い合わせ先
37
サイバー攻撃検知通報事業に関する問い合わせ先
地方公共団体情報システム機構 情報化支援戦略部 セキュリティ支援担当
(担当:永野、鈴木、楞野(かどの))
〒102-8419東京都千代田区一番町25
電子メール(インターネット) : [email protected]
電子メール(LGWAN) : [email protected]
TEL:03-5214-8040