ニュースレターNo.29/2005年3月発行
不正侵入の実態と具体的対策
~JPNIC・JPCERT/CCセキュリティセミナー2004 開催報告~
2005年2月3日・4日に東京・大手町サンケイプラザにて行った、JPNICと有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)共催のセキュリティセミナー「不正侵入の実態と具体的対策」の模様をお伝えします。
OS別に2月3日を「UNIX DAY」、2月4日を「Windows DAY」として開催しました。両日ともまず初めに基調講演、その後に実際の「インシデント対応のケーススタディ」を述べ、次に「ログの管理方法と解析方法」を概説し、最後に「不正侵入発見のポイント」を述べるという構成でセミナーを行いました。不正侵入というネットワーク技術者にとっては身近でかつ切実な問題がテーマだったせいか、会場は熱気にあふれ、質問も多く寄せられました。
本稿では各講演内容のポイントをご紹介します。各講演の資料とビデオについては以下のWebページで公開していますので、本稿を読んでご興味を持たれた方は是非ご利用ください。
- ★JPNIC・JPCERT/CCセキュリティセミナー資料
- http://www.nic.ad.jp/ja/materials/security-seminar/
(注:基調講演の内容は、当日の話をもとに編集を行ったものです。各セミナーの内容は講師から寄稿いただいたものです。)
基調講演●依存可能なネットワーク環境構築に向けて
奈良先端科学技術大学院大学教授/山口 英
我々のいる高度情報化ネットワーク社会は、ネットワークを会社の中でも家庭の中でもいつでも使っている状態になっています。我々は情報通信基盤に依存していると言っても過言ではありません。政府もインターネットは「重要インフラ」であるという認識を持っています。従って、ネットワーク上で大規模事故が起こると相当な混乱が予想されます。インターネットは自律分散型の壊れにくい仕組みではあっても、インターネット上のアプリケーションが壊れた時には後がありません。例えばオンラインバンキングのような重要なサービスシステムが壊れた際の怖さは「ドミノ倒し」になることです。インフラは一つが止まると波及効果的(ドミノ倒し)に機能が止まると研究されています。だからこそ事故を起こさない対策、起こった際の迅速な復旧と波及効果を最小限に抑える仕組みが必須なのです。
これには、そもそも「技術者がサービスに心配りをするネットワーク構築が必要だ」と言えないでしょうか。エンジニアとして不正侵入の実態を知り具体的対策ができることも重要ですが、「悪いクラッカーから守る」ことが意味することは、「自分のサービスを止めない」ことが根源にあることを忘れないで欲しいと思います。「必要な時、必要な人に必要なサービスを提供する」という精神が設計から運用まで一貫して浸透していないと意味がありません。「サービスはいつでも使える」状態、これが依存可能(dependable)ということです。
但し、リソースが限られている中で「絶対に止めない」という思いが強すぎると身体を壊すので、事故は起こるものだという「事故前提」も重要になってきます。侵入されることだけがリスクではなく、自然災害も大きなリスクの一つです。ですからリスクを漠然と捉えるのもではなく「(リスクの)対象と対抗手段を明確化」しておくことが必須となります。
例えば、被害額及び発生頻度ともに低いリスクは、ほっておけばいいとなりますが(リスクの保有)、問題なのは発生頻度が低くても被害額が高いものをどう考えるかです。このリスクは保険等で「転嫁」していくという選択肢があるでしょう。でもこういう転嫁すればいいリスクに対して一生懸命対策をして「僕は仕事をしている」と主張する人がいます。技術者としての真髄は「どう守るか」かもしれませんが、経営者の視点は「何を守るか」です。この仕組みがわからないと的外れになり、按配を間違えて過大投資になったり、合理性を失います。
また、システム構築の際には複雑なシステムになればなるほど「完成した」という達成感に目が行きがちですが、複雑であればこそ、それが絶えず健康かをチェックする機構こそが必要であり、これを予め組み込んで設計することが本来のエンジニアの挑戦であることを理解してもらいたいと思います。これを考えるようになると、何に投資すべきか、その実行性・合理性もわかるようになり、エンジニアの選択眼とセンスの良さが効いてくるのです。
さらに、よく「堅牢性を検証しなさい」という話があります。しかし、脆弱性はソフトやハードウェアだけにあるものではなく、運用にもあるものだということをそろそろみんな気付かないといけません。システムが美しくても運用がおかしいと堅牢ではない、という当たり前の事をつい忘れてしまいがちです。また、経営者が「堅牢性を検証しなさい」と言った時には、彼らは「安全か否か」という比較的抽象度が高いレベルの回答を求めているのであって、技術者が日頃行っている運用レベルやシステムレベルでの詳細な話を要求しているわけではない事を理解して説明すべきです。これらの言葉や概念の差の理解が苦手な人が多い為に技術者は損をすることが多いのではないでしょうか。
P2Pの躍進が顕著な昨今、セキュリティ対策では、いわゆる「遮断型=ファイアウォール型」は時代遅れになりつつあります。例えば、今までは携帯電話は携帯電話のインフラを使っていたのでネットワーク屋は安心していられましたが、これから無線LANの携帯電話が広まるとファイアウォールに穴を開けざるを得なくなり、ポリシーはどんどん崩れていきます。これがP2Pの怖さです。これからのエンジニアはこういう未知の問題に上手く対峙していかなくてはなりません。
新しい技術・概念にはきりがありません。ビジネスグリッド、P2Pフレンドリーネットワーク、検疫機能付きネットワーク接続管理、Tunneling auto-configuration……。また、フィジカルの世界とサイバーの世界の融合も出てきています。イーサネットが繋がった監視カメラで物理的な防御をやるというようなことです。考えてみてください。監視カメラのルータのバージョンアップはどうやるのでしょうか。何度も言っている通り、ネットワーク環境そのものはdependableでなければいけないのです。現状の「定番技術」は多少くたびれが始まっていますが、まだまだ使える面は多くあります。これらを上手く味方につけ、胎動し始めた新しい技術を構築していく主人公が「みなさん」なのです。
基調講演●高い信頼性を誇る組織とは
-高信頼性組織の条件-
~世界で一番危険な4.5エーカーから、オペレーションの勘所を学ぶ~
明治大学経営学部助教授/中西 晶
原子力空母の甲板は常に戦闘機が離発着し、ねじ1本落とすミスですら命取りになる「世界で一番危険な4.5エーカー」と言われています。でも、大きな事故が起こったという話はほとんど聞きません。つまり、それだけ高い信頼性を有している組織、といえます。ここでは、「高信頼性組織(HRO=High Reliability Organization、以下HROと表記)」という観点から、この優れたオペレーションの秘訣を考えていきましょう。
HROは、「複雑な技術システムを動かしながら、多様な要求に対応しなければならない組織」です。まさにIT業界もこれに当てはまります。システムを動かす前線に立つ人達も、一つの挙動が全体にどういう影響を与えるかイメージしにくい中で、高い信頼性と安全性を維持しなければならず、「不測の事態」に過剰に面している組織と言えます。
「不測の事態への対処方法」には大きく二つの局面があります。一つめは不測の事態を「予測する」局面。大規模な事故(アクシデント)は天災等を除いて急に起こることは稀で、基本的には小さな兆候(インシデント)があるはずです。それを見逃さないためにHROでは確認や対話を頻繁に行います。二つめは、ひとたび事がおこったら腹をくくって「抑制と復旧に努める」という局面です。
このうち「予測」のフェーズでは、HROは3つのポイントを重視します。
(1)成功より失敗に注目します。失敗はコミュニケーション不足や訓練の不備が原因と考え、個人を責めることはしません。むしろ、失敗を見つけた人を褒める習慣を持つことで、組織として微細な兆候にも気づくことができます。
(2)解釈の単純化を嫌います。AならばBだと安易に解釈するのではなく、「本当にそうか」と念には念を入れて多面的に考えます。
(3)オペレーションに敏感です。空母の例で言えば、「全神経を研ぎ澄ます」という表現が使われます。現場は全体が見渡せないときが多いため、上官がオペレーションの全手順を観察できる位置に立って調整をすることもあります。
「抑制と復旧」の局面では、2つのポイントに気をつけます。
(4)回復に全力を注ぎます。これは「覚悟」と同義語と言ってもよいでしょう。そういう状況に陥った時に内輪揉めを始めたりするのではなく、ジャズでいう即興演奏(improvisation)のように、刻々と変わりゆく事態に手を打っていくことで、回復に全力を注ぎます。
(5)専門知識をもった現場の人を尊重します。たとえば、トラブルを起こした戦闘機の着艦の指揮を司令官ではなく現場の隊長がとることがあります。このようなとき、士官は外とのパイプ役、いわゆるゲートキーパーの役割を果たしてます。言わば情報の流通をコントロールし、全体を見渡せる目で資源投入の意思決定の調整をするのです。
またHROは、平常時・ピーク時・緊急時の各モードで組織形態を上手く使い分けられます。平常時は階層型の命令系統で動き、ピーク時は専門知識を持った現場の人に権限委譲します。そして緊急時には事前に定めたコンティンジェンシー・プラン(危機対応計画)などにのっとった形で動きます。組織構造が冗長性を確保していることと、組織メンバーがいまはどのモードなのかの共通認識を持っていることが必要です。
他の重要なキーワードに「マインドフル」と「マインドレス」というものがあります。HROは「マインドフル」な組織です。わずかな兆しにもよく気がつき、危機に繋がりそうな失敗は発見し修正する高い能力を保ちます。一方「マインドレス」な組織は、言われた通りにしかやらない、状況の変化に気づかない、等の特徴があります。一人一人はよく気づくけれど、組織全体として言い出せない、言っても無駄だという雰囲気があれば、「マインドレス」ということになります。
セキュリティの最前線に立ち、高信頼性社会を築くためには、技術的な側面のみならず、こうした人間的側面についても「マインドフルに」考えていくことを願っています。
UNIX系1●ケーススタディ(不正侵入の実態)
インタ-ネット セキュリティ システムズ株式会社/高橋正和
主にUNIXシステムがターゲットとなった不正侵入について事例を紹介しました。
「Windowsは危険で、UNIXは安全」という神話があるように思います。
しかし、改ざんされたホームページは圧倒的にUNIXが多く、また、多くのサイトが侵入を受けています。一方で、セキュリティコンサルタントとして、脆弱性検査を行った経験では、脆弱なパスワードの設定や、ネットワーク構成のミスなど、システムの脆弱性以前の問題を多数目にしてきました。また、最近の不正アクセスの傾向では、ターゲットがシステムからアプリケーション(Webサーバ、データベース、メール等)に移行しており、サイトを守るためには、単にシステムレベルのセキュリティ対策を行うだけではなく、より総合的な対策が必要とされるようになってきています。
今回のセミナーでは、まず、UNIXにかかわる不正アクセスの事例と、SANS Institute(ITセキュリティ教育を目的として1989年に設立された情報セキュリティの研究・教育機関)から公表されている脆弱性TOP20からUNIXに関わるTOP10を紹介し、次に、脆弱性検査を行った中で経験した、典型的な問題点を紹介し、その対策について解説を行いました。
UNIX系2●ログ管理・解析
株式会社ネットアーク/宮川雄一
不正侵入行為、DoSなど日常的な問題について具 体的なサーバソフトウェアについて挙動の実例を挙げ、ログの内容、管理の方法について紹介しました。
今回のセッションではオペレーターの方が日常当たり前のように取っているログについて、対応を含めた管理上の優先順位をつける方法を例示し、それを実装するツールについても例示を行いました。
UNIXの場合、サーバのログは特に意識をしなくても必要以上に取得されているのが現状です。しかし、これをインシデント対応に役立てるべく適切に管理するのは至難の業です。
今回のセッションではログ管理を筋道立てて設計できるように、まずGMITS(Guidelines for the Manage-ment for IT Security)のような評価指標をベースに現場の視点からリスクの優先順位付けを行い、その上で実際のログ取得、管理設計をする際に重要になる運用負荷とのトレードオフについて解説しました。また、オペレーションの現場とポリシーを策定する側の見方の違いを踏まえた上で全てを一覧にして整理することを提案しました。
実装方法については、ログの取得、保存、管理、解析と通知、時刻同期という分類を行い、代表的なツールを例示しました。上記の管理設計のそれぞれの場面で使えるツールを網羅する為にあえて具体例は最小限にし、各ツールの特性と情報の参照先のみを解説するようにしました。
今後の皆様の幸せな運用の実現に、少しでもこれらの知識を役立てていただければ幸いです。
UNIX系3●不正侵入の発見
株式会社アイアイジェイテクノロジー/加藤雅彦
ディスクの読み方、ディスクに特有の性質を紹介するとともに、総合的な分析の重要性、また、不正侵入の発見を行うために重要な考え方を解説しました。
皆さんはご自身で管理されているサーバが不正侵入の被害に遭われたことはありますか? うちはちゃんと対策してるからそんなこと無いよ、という方が大半かもしれませんが、不幸にも不正侵入されてしまった方は侵入後にどのように対応されているでしょうか? 不正侵入が行われたらログを調べて再インストール、という方も多いのではないでしょうか?
しかし、重要なデータが入っているサーバが不正侵入された場合はログの調査だけでは不十分です。どのようにして侵入されたのか、被害はどこまで及んでいるのか、また、どのデータがもっていかれたのかといったことを調査する必要性に迫られます。本セッション前半ではそういった場合に、現場でどのように作業を進めるかを中心に解説いたしました。
さらにセッションの中盤では、いったいどこまで調べれば「十分調べた」と言えるのかをハードディスクの仕組みから考えて解説し、さらにネットワークダンプやディスクダンプ、ログ解析を総合的に行うソフトウェアのご紹介などを行いました。
セッション後半は具体的な現場作業から少し離れて、不正を発見するためには何をどのように考えるべきかという観点で、情報を有効に活用するための手法としてのインテリジェンスサイクルのご紹介や、情報理論に基づいて情報セキュリティを考えてみるという提案を行いました。ISMS(情報セキュリティマネジメントシステム)やプライバシーマークだけが情報セキュリティではありません。情報セキュリティとはいったい何なのか? について、お考えいただくきっかけに少しでもなればと思います。
幅広く色々な話題を取り上げましたが、やはり不正侵入を発見するためには、安定して運用されている環境と、環境の変化を検出する仕組みが必要です。セキュリティ事故は起こるもの、ということを前提に様々な対応を検討することが重要です。
Windows1●侵害事例に基づくケーススタディ
株式会社ラック/倉林俊介
Windowsにおける侵害事例のケーススタディを通じて、効果的なセキュリティ対策を実践するための考え方を紹介しました
まず、Windowsにおける典型的な侵害事例として、「DoS攻撃によるサーバの停止」「外部から持ち込まれたワームの感染拡大」を紹介しました。
第一の事例では、事前に想定すべき侵害パターンの切り分けにより効果的な代替策を導き出し、リスクを最小化するための考え方を解説しました。第二の事例では、利用者が理解しやすいセキュリティポリシーを策定・運用するためのポイントを解説しました。
次に、今後のトレンドとして私が注目している「セキュリティホールのマネジメント」「個人情報保護法対応」について紹介しました。
ベンダーの努力により、セキュリティホールの情報はよりタイムリーに、より活用しやすい形で提供されるようになりました。しかし同時に、攻撃手法の公開までの時間もより短くなり、手法そのもの巧妙さ、凶悪さが増しています。今年4月に施行される個人情報保護法への対応については、特に内部犯行の抑止や、大容量リムーバブルメディアのコントロールが重要なポイントになってきます。
このような現状を踏まえ、今後の情報セキュリティマネジメントに際しては、「ナレッジの活用」「自動化」「対外アピール」「内部統制」をキーワードに、万全の「危機管理体制」の構築を目指していただきたいというメッセージをお伝えしました。
「情報セキュリティ」という言葉が持つ意味は次第に広がっています。一昔前では技術的な対策だったものが、事業計画まで含めた組織的な対応を要求するようになりました。専門的な知識やノウハウをブラッシュアップしていくことも大切ですが、それを理解してもらうための努力も大変重要になってきています。私は、技術のスペシャリストであるオペレーターの方々が持つ知識やノウハウを、上層部とのやり取りや一般社員への教育を通じて、積極的に活用していただきたいと考えています。そのためのヒントとして今回のセッションがお役に立てば幸いです。
Windows 2●ログ管理・解析
インタ-ネット セキュリティ システムズ株式会社/小倉秀敏
問題が発生している場合のログの記録内容について、具体的なサーバプログラムを例に挙げて紹介しました
「ログは分析すればいい」というものではありません。
ログ分析だけでは攻撃を予防することはできません。何が行われたのか、という事後の確認に役立つものです。「ログというものの意味」を理解して欲しいと考えています。
またログに全てが記録されているわけではないため、ある種の限界があることも事実です。多くの場合、設定が十分ではないことがその理由ですが、攻撃によってはログに痕跡を残さないものもあります。今回のセッションでは、その代表格であるクロスサイト・スクリプティングとSQLインジェクションに焦点を当ててみました。これらの攻撃はログに痕跡が残りません。これらを確実に捕捉するためには、ログ分析以外の別の技術が必要になります。これらの技術を利用しないと「記録されていないものから嗅ぎ分ける」感覚が必要になってしまい、現実的ではありません。
Windows 3●不正侵入の発見
インタ-ネット セキュリティ システムズ株式会社/守屋英一
ホストレベル、セグメントレベル、企業レベルにおける不正侵入の発見について紹介しました。
今回のセッションでは、攻撃に対する効率的な発見手法として、発見ツールの紹介、またどのようにすれば効率的に攻撃を発見する事ができるか、またホストレベル、セグメントレベル、企業レベル、グローバルレベルでの発見事例をもとに解説させていただきました。ホストレベルでは、フリーのツールを中心として発見手法を、セグメントレベルでは、集中管理プラットフォームを使用した発見手法について解説を行いました。また、セグメントレベルでは、昨年から話題になっているフィッシングサイトが構築されるまでの攻撃事例をもとにした発見手法もあわせて解説いたしました。企業レベルでは必要な要件について、グローバルレベルでは実際にあったグローバルレベルでの発見手法について解説を行いました。
聴講下さった皆様にとって、職場および実務などで効率的な発見手法として、少しでもお役に立ちましたら幸いです。
「オペレーターの方々に真に役に立つ情報の提供を」をモットーに、JPCERT/CCと共に行っているこのセキュリティセミナーですが、2005年度もセキュリティやISPオペレーションに焦点をあてたテーマでの開催を予定しています。ご要望等は、セキュリティセミナー事務局<s-seminar@nic.ad.jp>宛にご一報賜りたく、よろしくお願い致します。
(JPNIC インターネット基盤企画部 根津智子)
