空腹 @kufuku_001SSLの中身やFTPに注目を、次世代ファイアウォールが捉えた脅威 goo.gl/8CTHp
SSLの中身やFTPに注目を、次世代ファイアウォールが捉えた脅威 という記事を見つけました
ネットワーク上のアプリケーションの利用状況などを可視化するセキュリティ製品「次世代ファイアウォール(NGFW)」が捉えた企業ネットワークの動向について、NGFW大手ベンダーのパロアルトネットワークスが初めてレポートを発表した。アプリケーションの利用や脅威、「未知のマルウェア」の傾向が浮かび上がってきた。
まず、世界3056社のユーザー企業におけるアプリケーションの利用や脅威の動向をまとめたレポート(集計は2012年5~12月)によると、合計で1395種類のアプリケーションと12.6ペタバイトのトラフィックが確認された。
アプリケーションの利用動向をみると、ソーシャルネットワーキングは66種類(平均11種類)が見つかったものの、総帯域消費量に占める割合が1%だった。66種類の中で最も利用が多いのはFacebookの70%。地域別でみた場合、特にTwitterの利用は日本が世界平均より3倍多いことも分かった。なお、ソーシャルネットワーキング上では脅威は発見されなかったという。
12種類が見つかったファイル共有アプリケーションではP2P型の「BitTorent」が、ファイル共有アプリケーションによる帯域の53%を占め、日本だけでも25%を占めた。なお、世界平均ではBitTorentの存在が際立つが、日本ではFTP(43%)、パーフェクトダーク(7%)、シェア(4%)の帯域占有率が世界平均を上回った。
写真や動画アプリケーションは、総帯域消費量の10%を占めていた。マルウェアなどの脅威の検出は、その他のアプリケーションに比べると少なく、むしろ、業務生産性の低下といった問題を引き起こしかねないという。
NGFWで検知した脆弱性悪用攻撃は389種類、約86万回に上った。攻撃全体の56%が、Microsoft Exchangeなどの製品が利用する「MS-RPC」アプリケーションを狙っており、ファイル共有などの「SMB」も29%を占めた。標的になったアプリケーションは960種類だが、うち6種類だけでエクスプロイトログ全体の97%を占め、6種類中5種類がビジネス関連のアプリケーションだった。
また、検知されたユニークなマルウェアは89種類で、約200万回検知された。検知の多いアプリケーションの上位5種類だけで全体の99%を占める。内訳はDNSが52%、カスタム/未知のUDPが45%、Webブラウジングが1%、IRCが0.9%、HTTP audioが0.2%。DNSが際立つのは、同社のNGFWではマルウェア配布サイトへの通信を遮断しているためだという。
こうした動向の中で、同社はSSL通信に注目している。通信が暗号化されていることからその内容を確認することが難しく、脅威を隠ぺいしやすいためだ。1395種類のアプリケーションのうち156種類が何らかの形でSSLを使用していたが、48種類では標準のTCP/443ポートを使わないものだった。48種類中17種類は使用するポートを常に変更し、12種類は非標準のポートを利用していた。
レポートをもとに企業が取るべきセキュリティ対策のポイントについて、同社技術本部長の乙部幸一朗氏は、(1)業務におけるソーシャルネットワーキングの利用目的を確認する、(2)BitTorentなどのファイル共有はブロックし、FTPは集中的に監視する、(3)動画系アプリケーションは生産性の観点から適宜QoSを適用する――などを挙げる。SSLについては、マルウェアの侵入経路などに悪用される可能性があるため、必要に応じて復号化し、中身を検査することが重要だとしている。
次に「未知のマルウェア(ウイルス対策ソフトの定義ファイルに無い不正プログラム)」の傾向について、同社では仮想コンピュータ(サンドボックス)を使った解析を行うクラウドサービス「WildFire」を利用した1000社以上の企業での状況を取りまとめた(集計期間は2012年11月から2013年1月)。
それによると、集計期間中に発見されたマルウェア検体は6万8047体で、未知のマルウェアは2万6363体あった。マルウェア全体ではWebブラウジング経由で侵入するタイプが66%を占め、SMTP経由は25%だった。Webブラウジング経由で侵入するマルウェアの90%は未知のマルウェアだったが、SMTP経由はわずか2%だった。
未知のマルウェアが定義ファイルで検出できるようになるまでの平均日数は、Webブラウジング経由やWebアプリケーション経由、ファイル共有経由では約20日だが、メールは約5日と、4倍の開きが生じた。
特に前項のレポートで日本での利用が多いとされたFTPは、約30日を要していた。標準ポートを使わないアプリケーションの中でも、FTPは97%と比較的高い傾向にある。同社マーケティング部長の菅原継顕氏は、FTPの利用を注意深く監視するべきとアドバイスしている。
また、マルウェアがどのように検知システムを逃れるのかをみると、57%はコンピュータへの侵入後に長期間潜伏する(実行されない)ものであり、20%は自身を消去するもの、13%がコードを埋め込むものだった。マルウェアによる悪意のある行動は、Internet Explorerに保存されたパスワードを盗むものが24%、“攻撃者にとって魅力的”なファイルへのアクセスが23%と多数を占めた。
こうした状況から菅原氏は、未知のマルウェアの傾向について、(1)典型ではない脅威が最も危険、(2)メールでは早期に検知されやすい――とし、特に長期間にわたって定義ファイルでは検知されないことの多いアプリケーションに注意を払う必要があると解説する。
検知されないマルウエア 我々はどうすればいいのだ
ネットワーク上のアプリケーションの利用状況などを可視化するセキュリティ製品「次世代ファイアウォール(NGFW)」が捉えた企業ネットワークの動向について、NGFW大手ベンダーのパロアルトネットワークスが初めてレポートを発表した。アプリケーションの利用や脅威、「未知のマルウェア」の傾向が浮かび上がってきた。
まず、世界3056社のユーザー企業におけるアプリケーションの利用や脅威の動向をまとめたレポート(集計は2012年5~12月)によると、合計で1395種類のアプリケーションと12.6ペタバイトのトラフィックが確認された。
アプリケーションの利用動向をみると、ソーシャルネットワーキングは66種類(平均11種類)が見つかったものの、総帯域消費量に占める割合が1%だった。66種類の中で最も利用が多いのはFacebookの70%。地域別でみた場合、特にTwitterの利用は日本が世界平均より3倍多いことも分かった。なお、ソーシャルネットワーキング上では脅威は発見されなかったという。
12種類が見つかったファイル共有アプリケーションではP2P型の「BitTorent」が、ファイル共有アプリケーションによる帯域の53%を占め、日本だけでも25%を占めた。なお、世界平均ではBitTorentの存在が際立つが、日本ではFTP(43%)、パーフェクトダーク(7%)、シェア(4%)の帯域占有率が世界平均を上回った。
写真や動画アプリケーションは、総帯域消費量の10%を占めていた。マルウェアなどの脅威の検出は、その他のアプリケーションに比べると少なく、むしろ、業務生産性の低下といった問題を引き起こしかねないという。
NGFWで検知した脆弱性悪用攻撃は389種類、約86万回に上った。攻撃全体の56%が、Microsoft Exchangeなどの製品が利用する「MS-RPC」アプリケーションを狙っており、ファイル共有などの「SMB」も29%を占めた。標的になったアプリケーションは960種類だが、うち6種類だけでエクスプロイトログ全体の97%を占め、6種類中5種類がビジネス関連のアプリケーションだった。
また、検知されたユニークなマルウェアは89種類で、約200万回検知された。検知の多いアプリケーションの上位5種類だけで全体の99%を占める。内訳はDNSが52%、カスタム/未知のUDPが45%、Webブラウジングが1%、IRCが0.9%、HTTP audioが0.2%。DNSが際立つのは、同社のNGFWではマルウェア配布サイトへの通信を遮断しているためだという。
こうした動向の中で、同社はSSL通信に注目している。通信が暗号化されていることからその内容を確認することが難しく、脅威を隠ぺいしやすいためだ。1395種類のアプリケーションのうち156種類が何らかの形でSSLを使用していたが、48種類では標準のTCP/443ポートを使わないものだった。48種類中17種類は使用するポートを常に変更し、12種類は非標準のポートを利用していた。
レポートをもとに企業が取るべきセキュリティ対策のポイントについて、同社技術本部長の乙部幸一朗氏は、(1)業務におけるソーシャルネットワーキングの利用目的を確認する、(2)BitTorentなどのファイル共有はブロックし、FTPは集中的に監視する、(3)動画系アプリケーションは生産性の観点から適宜QoSを適用する――などを挙げる。SSLについては、マルウェアの侵入経路などに悪用される可能性があるため、必要に応じて復号化し、中身を検査することが重要だとしている。
次に「未知のマルウェア(ウイルス対策ソフトの定義ファイルに無い不正プログラム)」の傾向について、同社では仮想コンピュータ(サンドボックス)を使った解析を行うクラウドサービス「WildFire」を利用した1000社以上の企業での状況を取りまとめた(集計期間は2012年11月から2013年1月)。
それによると、集計期間中に発見されたマルウェア検体は6万8047体で、未知のマルウェアは2万6363体あった。マルウェア全体ではWebブラウジング経由で侵入するタイプが66%を占め、SMTP経由は25%だった。Webブラウジング経由で侵入するマルウェアの90%は未知のマルウェアだったが、SMTP経由はわずか2%だった。
未知のマルウェアが定義ファイルで検出できるようになるまでの平均日数は、Webブラウジング経由やWebアプリケーション経由、ファイル共有経由では約20日だが、メールは約5日と、4倍の開きが生じた。
特に前項のレポートで日本での利用が多いとされたFTPは、約30日を要していた。標準ポートを使わないアプリケーションの中でも、FTPは97%と比較的高い傾向にある。同社マーケティング部長の菅原継顕氏は、FTPの利用を注意深く監視するべきとアドバイスしている。
また、マルウェアがどのように検知システムを逃れるのかをみると、57%はコンピュータへの侵入後に長期間潜伏する(実行されない)ものであり、20%は自身を消去するもの、13%がコードを埋め込むものだった。マルウェアによる悪意のある行動は、Internet Explorerに保存されたパスワードを盗むものが24%、“攻撃者にとって魅力的”なファイルへのアクセスが23%と多数を占めた。
こうした状況から菅原氏は、未知のマルウェアの傾向について、(1)典型ではない脅威が最も危険、(2)メールでは早期に検知されやすい――とし、特に長期間にわたって定義ファイルでは検知されないことの多いアプリケーションに注意を払う必要があると解説する。
検知されないマルウエア 我々はどうすればいいのだ
GW中のセキュリティ問題を回避するための基礎知識 という記事を見つけました
今週末からゴールデンウィークが始まるのを前に、JPCERT コーディネーションセンター(JPCERT/CC)が企業や組織のIT管理者および社員や職員向けてセキュリティ対策での基本的なチェック事項を紹介している。昨今は企業や組織を狙うサイバー攻撃が急増しているだけに、休暇中のセキュリティ問題を回避するためにもぜひ確認しておきたい。
JPCERT/CCは、長期休暇期間中ではセキュリティのインシデント発生に気がつきにくく、発見が遅れる可能性があると注意を呼び掛ける。休暇後にはサーバのログなどを確認して、不審なアクセスや侵入の痕跡がないかを確認したり、休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡方法などを事前に調整したりしておくことが大事だとアドバイスする。
最近のサイバー攻撃で目立つのが、Webサイトのユーザーアカウントに対して不正にログインが試行されるインシデントだ。実際に攻撃されたWebサイトの一部のケースでは不正ログインやサービスの不正使用につながった。不正なログインの試行ではパスワードなどの組み合わせパターンを全て試す「ブルートフォース」や、ある程度推測可能な組み合わせを試す「辞書攻撃」などが実行される。また、最近の事件では別のWebサイトで使われているパスワードの利用(使い回し)によって、被害につながったケースもあるようだ。
JPCERT/CCでは使用しているWebサービスの重要性に応じて複雑なパスワードを設定したり、サービスごとに異なるパスワードを設定したりするなどの対応を呼びかける。
こうした準備と併せて、IT管理者と社員や職員が休暇前にチェックしておくべき内容は次の通りだ。
システム管理者
1.インシデント発生時の連絡網が整備、周知されていることを確認する
2.サーバのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webサーバ上で動作するWebアプリケーションの更新も忘れずに行う
3.重要なデータのバックアップを行う
4.ベンダーのサポートが切れているOSやソフトウェアを使用し続けていないか確認する
5.不要なサービスを無効にしているかどうか確認する
6.各種サービスへのアクセス権限を必要最低限に設定する
7.休暇中の業務遂行のために特別にシステムなどへのアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されているか確認する
8.休暇中に使用しない機器の電源を切る
9.社員、職員が業務で使用しているPCやスマートフォンのOSやソフトウェアのセキュリティ更新プログラムの適用漏れが無いか、社員、職員向けに再度周知する
社員や職員
1.インシデント発生時の連絡先を確認する。
2.業務で使用している PC やスマートフォンのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する
3.パスワードに容易に推測できる文字列(名前や生年月日、電話番号、アカウントと同一のものなど)や安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認し、他のサービスで使用していない文字列を設定する
4.業務遂行のためにデータを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う
5.業務で使用しているPCやスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない
次に、休暇明けには以下の対応を行うべきとしている。
システム管理者
1.導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムが公開されていないか確認し、セキュリティ更新プログラムが公開されていた場合は、セキュリティ更新プログラムを適用し、社員、職員向けに周知する
2.社員、職員に対して、休暇中に持ち出していたPCなどを組織内のネットワークに接続する前に、ウイルスチェックするように周知する(確認用のネットワークを別途用意するなど)
3.休暇期間中にサーバへの不審なアクセスが無いか確認する(サーバへのログイン認証エラーの多発や利用者がいない深夜時間帯などのログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
4.Webサーバで公開しているコンテンツが改ざんされていないか確認する(コンテンツが別のものに書き変わっていないか、マルウェア設置サイトに誘導する不審なscriptが埋め込まれていないかなど)
社員や職員
1.休暇中にセキュリティ更新プログラムが公開されていた場合はシステム管理者の指示に従いセキュリティ更新プログラムを適用する
2.社内ネットワーク経由でマルウェア感染が拡大する場合を考慮し、出社後すぐにウイルス対策ソフトの定義ファイルを最新の状態に更新する
3.休暇中に持ち出していたPCやUSBメモリなどは、事前にウイルスチェックを行った上で使用する
4.長期休暇中に溜った多数の未読メールが一度に受信されるため、多数のメールを処理する際には、誤って不審なメールの添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないよう注意する
なお、JPCERT/CCではセキュリティインデントの対応に必要な関係機関との調整活動を行っている。こうした対応に関する情報をWebサイトやメール(info@jpcert.or.jp)で受け付けているので、ぜひ活用してほしいとしている。
長期に電気を切ってあったパソコンは、真っ先にソフト・セキュリティの更新をしてから動かすように
今週末からゴールデンウィークが始まるのを前に、JPCERT コーディネーションセンター(JPCERT/CC)が企業や組織のIT管理者および社員や職員向けてセキュリティ対策での基本的なチェック事項を紹介している。昨今は企業や組織を狙うサイバー攻撃が急増しているだけに、休暇中のセキュリティ問題を回避するためにもぜひ確認しておきたい。
JPCERT/CCは、長期休暇期間中ではセキュリティのインシデント発生に気がつきにくく、発見が遅れる可能性があると注意を呼び掛ける。休暇後にはサーバのログなどを確認して、不審なアクセスや侵入の痕跡がないかを確認したり、休暇期間中にインシデントが発覚した場合に備えて、対応体制や関係者への連絡方法などを事前に調整したりしておくことが大事だとアドバイスする。
最近のサイバー攻撃で目立つのが、Webサイトのユーザーアカウントに対して不正にログインが試行されるインシデントだ。実際に攻撃されたWebサイトの一部のケースでは不正ログインやサービスの不正使用につながった。不正なログインの試行ではパスワードなどの組み合わせパターンを全て試す「ブルートフォース」や、ある程度推測可能な組み合わせを試す「辞書攻撃」などが実行される。また、最近の事件では別のWebサイトで使われているパスワードの利用(使い回し)によって、被害につながったケースもあるようだ。
JPCERT/CCでは使用しているWebサービスの重要性に応じて複雑なパスワードを設定したり、サービスごとに異なるパスワードを設定したりするなどの対応を呼びかける。
こうした準備と併せて、IT管理者と社員や職員が休暇前にチェックしておくべき内容は次の通りだ。
システム管理者
1.インシデント発生時の連絡網が整備、周知されていることを確認する
2.サーバのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する。Webサーバ上で動作するWebアプリケーションの更新も忘れずに行う
3.重要なデータのバックアップを行う
4.ベンダーのサポートが切れているOSやソフトウェアを使用し続けていないか確認する
5.不要なサービスを無効にしているかどうか確認する
6.各種サービスへのアクセス権限を必要最低限に設定する
7.休暇中の業務遂行のために特別にシステムなどへのアクセス制御を変更する場合、通常の状態に戻す手順やスケジュール、およびそれに合わせた監視体制が整備されているか確認する
8.休暇中に使用しない機器の電源を切る
9.社員、職員が業務で使用しているPCやスマートフォンのOSやソフトウェアのセキュリティ更新プログラムの適用漏れが無いか、社員、職員向けに再度周知する
社員や職員
1.インシデント発生時の連絡先を確認する。
2.業務で使用している PC やスマートフォンのOSやソフトウェアなどに最新のセキュリティ更新プログラムが適用されていることを確認する
3.パスワードに容易に推測できる文字列(名前や生年月日、電話番号、アカウントと同一のものなど)や安易な文字列(12345、abcde、qwert、passwordなど)を設定していないか確認し、他のサービスで使用していない文字列を設定する
4.業務遂行のためにデータを持ち出す際には、自組織のポリシーに従い、その取り扱いや情報漏えいに細心の注意を払う
5.業務で使用しているPCやスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない
次に、休暇明けには以下の対応を行うべきとしている。
システム管理者
1.導入している機器やソフトウェアについて、休暇中にセキュリティ更新プログラムが公開されていないか確認し、セキュリティ更新プログラムが公開されていた場合は、セキュリティ更新プログラムを適用し、社員、職員向けに周知する
2.社員、職員に対して、休暇中に持ち出していたPCなどを組織内のネットワークに接続する前に、ウイルスチェックするように周知する(確認用のネットワークを別途用意するなど)
3.休暇期間中にサーバへの不審なアクセスが無いか確認する(サーバへのログイン認証エラーの多発や利用者がいない深夜時間帯などのログイン、サーバやアプリケーションなどの脆弱性を狙う攻撃など)
4.Webサーバで公開しているコンテンツが改ざんされていないか確認する(コンテンツが別のものに書き変わっていないか、マルウェア設置サイトに誘導する不審なscriptが埋め込まれていないかなど)
社員や職員
1.休暇中にセキュリティ更新プログラムが公開されていた場合はシステム管理者の指示に従いセキュリティ更新プログラムを適用する
2.社内ネットワーク経由でマルウェア感染が拡大する場合を考慮し、出社後すぐにウイルス対策ソフトの定義ファイルを最新の状態に更新する
3.休暇中に持ち出していたPCやUSBメモリなどは、事前にウイルスチェックを行った上で使用する
4.長期休暇中に溜った多数の未読メールが一度に受信されるため、多数のメールを処理する際には、誤って不審なメールの添付ファイルを開いたり、メールに記載されているリンク先にアクセスしたりしないよう注意する
なお、JPCERT/CCではセキュリティインデントの対応に必要な関係機関との調整活動を行っている。こうした対応に関する情報をWebサイトやメール(info@jpcert.or.jp)で受け付けているので、ぜひ活用してほしいとしている。
長期に電気を切ってあったパソコンは、真っ先にソフト・セキュリティの更新をしてから動かすように