カテゴリ

1. 電子メールのセキュリティ対策
2. 社内システム運用
3. セキュリティインシデント対応におけるサイバーセキュリティ情報の活用
4. 標的型攻撃への対応
5. セキュアプログラミング

Emotetとは

• 情報の窃取に加え、更に他のウイルスへの感染のために悪用されるウイルス
• 不正メールによって感染が拡大している
  • すでに摂取された情報による正規のメールへの返信を装う手口が使われている場合あり
  • 添付されたEmotetの攻撃メールへ添付されているOfficeファイルのマクロなどを通して不正なコードが実行される
    • この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはない
  • メール本文に記載された不正なURLから感染する場合も
• 2019年の流行、2020年の再流行ともに、日本語のメールを確認
• 感染した場合は、情報漏えい、スパムメール送信の踏み台化、他のマルウェアの感染、などの被害が発生
  • 組織のネットワーク内で感染拡大したり、最終的にランサムウェアなどを感染させられたりするケースも
  • 端末やブラウザに保存されたパスワードなどの認証情報を窃取される可能性も
  • 返信型の攻撃メールなどの手口により、他者に対する攻撃の踏み台、つまり自分が加害者になってしまう可能性も
  • Emotetは外部のサイバー犯罪者による遠隔操作が可能なボットであるため、侵入後の被害は多岐にわたる
  • Emotetによって呼びこまれるマルウェアは、TrickBotやRyukなど、様々確認されている
• 2019年には日本国内で非常に感染が拡大した
  • 国内向けのメールには、日本語で請求書やボーナスの支給などの件名が特徴的に見られた
  • 中には日本語に違和感のない巧妙な文面のメールも
• 2014年頃からオンラインバンキングを狙うトロイの木馬として利用されてきた
• 国内で大きく流行したのは2019年
• 感染した場合は、端末の切り離し、アカウントのクレデンシャル変更、横断感染の有無の確認、マルウェアスキャン、被害を受ける可能性のある対象者への注意喚起

参照： EMOTET 概要から対策まで | トレンドマイクロ

ゼロトラストモデルとは

• 可用性を損なわないセキュアなネットワークの構築と管理を実現するためのデザインパターンや考慮事項

  • 内外問わず、すべてのアクセスリクエストに対してチェックと権限の確認が実施される
  • すべてのホストがインターネット（安全でないネットワーク）に存在しているかのように扱われる

• 境界モデルが信頼されるリソースと信頼されないリソースを区別するのに対して、ゼロトラストはすべてのネットワークが完全に危険にさらされていることを前提とする

• ゼロトラストは、脅威モデルで言う、「信頼されたインサイダー」以下のレベルの脅威に対して有効

• ゼロトラストでは、権限は従来のネットワークと比べて動的となる

  • ネットワーク上のアクティビティの属性に基づいて、現在要求されるアクセスの危険度が評価される
    • 活動時間、アクセス場所などの地理的要因、普段と異なる行動など

• 現状、ゼロトラストネットワークの標準化は実現していない

ゼロトラストネットワークの5つの原則

1. ネットワークは常に安全ではないとみなされる
2. ネットワーク上には、外部および内部の脅威が常に存在する
3. ネットワークを信頼できると判断するには、ローカルネットワークでは不十分
4. デバイス、ユーザー、ネットワークフローは1つ残らず、認証および認可される
5. ポリシーは動的で、できるだけ多くの情報源に基づいて作成される必要がある

骨子

1. クラウドサービスの利用拡大を見据えた記載の充実

   • 政府情報システムのためのセキュリティ評価制度（ISMAP）の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加
   • 外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要

2. 情報セキュリティ対策の動向を踏まえた記載の充実

   • 政府機関等を標的としたサイバー攻撃やインシデント事例、最新のセキュリティ対策、また今後取り組むべき情報セキュリティ対策の将来像について記載
   • 従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも着目
   • 情報システムの「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要

3. 多様な働き方を前提とした情報セキュリティ対策の整理

   • 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする
   • 危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要

概要

• 政府情報システムのためのセキュリティ評価制度
• Information system Security Management and Assessment Program
• 政府調達の対象となるクラウドサービスは、第三者の監査を経て本制度が公表する「クラウドサービスリスト」に登録されたものに限定されることになる見通し

政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
引用：政府情報システムのためのセキュリティ評価制度（ISMAP）

• 「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）に基づく
• 運営は内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省

政府情報システムのためのセキュリティ評価制度（ISMAP）について

• 2020年6月3日 政府情報システムのためのセキュリティ評価制度（ISMAP）について

概要

• F5 Networksが提供するネットワーク製品「BIG-IP」シリーズに認証の有無に関係なく、同インタフェースへアクセスできる場合に任意のシステムコマンドやJavaのコードを実行することが可能となる脆弱性を確認
• 悪用されれば、サービスの無効化、ファイルの作成および削除なども可能で、システムの制御を奪われる
• CVSSv3のベーススコアは、最大値にあたる「10.0」で、重要度は「クリティカル（Critical）」
• 修正パッチは、すでにベンダーによって提供されている

マルウェア感染

2020年

• BlackTech が使用するLinux用マルウエア

  • Case：被害事例不明（JPCERT/CCより、「Linuxサーバに設置された」との記載あり)
  • Attack：ネットワークに侵入されたことで感染
  • Impact：任意のシェルコマンド実行ファイル関連操作 (一覧の表示、削除、移動) ファイルのアップロード・ダウンロード
  • Source：攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie)

• JIMAGE形式にコンパイルされたランサムウェア「Tycoon」

  • Case：Windowsで感染が確認されたランサムウェアにWindowsとLinuxの両方で動作する機能があった
  • Attack：ファイルの暗号化と身代金要求、ネットワーク内での横展開
  • Impact：重要なファイルが暗号化される
  • Source：新手のランサムウェアがWindowsとLinuxを攻撃、Javaイメージファイルを悪用

• 5年以上端末に潜伏し、遠隔操作でスパムメールを送り続けたマルウェア「Mumblehard」

  • Case：5年以上端末に潜伏し、遠隔操作でスパムメールを送り続けた
  • Attack：LinuxやFreeBSDで動作するトロイの木馬型のマルウェア
  • Impact：リモートでバックドアとして機能するとともにスパムメールを送り付ける
  • Source：サーバーに潜んでいたLinuxマルウェア「Mumblehard」が発見される | マルウェア情報局

• Linuxの構成管理ツールを用いて感染拡大するコインマイナー

  • Case：爆発的に内部感染を広げるコインマイナー
  • Attack：Ansible, Chef, SaltStack, pssh といったインフラストラクチャの構成管理ツールを用いて、多数のホストに感染させるためのスクリプトを一斉に実行
  • Impact：リソースを不正に利用される
  • Source：Linuxの構成管理ツールを用いて感染拡大するコインマイナーを確認 | トレンドマイクロ セキュリティブログ

2019年

• トロイの木馬「SpeakUp」中国にて被害
  • Case：アジアと南米での被害事例確認
  • Attack：ThinkPHPの脆弱性を狙われた、macOSへの感染可能性もあり
  • Impact：パスワードリスト攻撃で侵入、パッチ未適用のシステムをのっとる
  • Source：Linuxサーバ狙うトロイの木馬「SpeakUp」見つかる、中国などで被害–研究者報告 - ZDNet Japan
  • 【セキュリティ ニュース】「Linux」狙う新種マルウェア「SpeakUp」 - 多くの製品で検知すり抜け（1ページ目 / 全3ページ）：Security NEXT

2018年

• Arch Linux
  • Case：ソフトウェアパッケージがリビルドされ、マシンをボット化させるマルウェアが含まれた
  • Attack：ソフトウェアパッケージの改ざん
  • Impact：端末がボットネット化される
  • Source：新たな Linux コミュニティがマルウェアの被害に – Naked Security

2017年

• 「ELF_IMEIJ.A」
  • Case：脆弱性を利用した感染
  • Attack：cgi-binスクリプトの「リモートファイルインクルード（RFI）」の脆弱性を突いて拡散
  • Impact：端末がボットネット化される
  • Source：新しいLinuxマルウェア、CGIの脆弱性を利用 | トレンドマイクロ セキュリティブログ

2016年

• Linux版ランサムウェア「Rex」

  • Case：乗っ取った端末でDDoS攻撃を仕掛ける、身代金を要求する、マイニングする
  • Attack：「Drupal」「WordPress」「Magento」といった CMS で脆弱性を抱える Webサイトをボットネットによって検索して拡散
  • Impact：端末の制御を乗っ取られる、金銭を要求される、攻撃の加害者になる
  • Source：Linuxを狙う脅威の最新動向 | トレンドマイクロ セキュリティブログ

• MiraiによるLinuxサーバ、LinuxベースのIoT機器への感染

  • Case：Linux搭載のファームウェアが組み込まれたハードディスクドライブを感染させボットネット化する
  • Attack：
  • Impact：ボットネット化された端末による攻撃への加担
  • Source：Linuxを狙う脅威の最新動向 | トレンドマイクロ セキュリティブログ

• ルートキット「Unbreon」

  • Case：感染後、検出を回避しながら感染拡大
  • Attack：ARMプロセッサを組み込んだ Linux機器を攻撃
  • Impact：更なる侵入のための準備
  • Source：Linuxを狙う脅威の最新動向 | トレンドマイクロ セキュリティブログ

セキュリティエンジニアの資格である、CISSP合格に向けて、CISSP Study Guide（Conrad本）を読み進めてまとめていく。

Notice
この記事はまだ編集中です。

リンク

参考リスト

Book

• CISSP Study Guide

セキュリティエンジニアの資格である、CISSP合格に向けて、CISSP Study Guide（Conrad本）を読み進めてまとめていく。

Notice
この記事はまだ編集中です。

Chapter 1

試験勉強のポイント

• 技術的専門用語は確実に押さえておく必要がある

参考リスト

Book

• CISSP Study Guide

ポイント

• リアルケースだと、情報提供者が本当のことを言っているとは限らない
• PCの解析には最低32GB以上のメモリが要求される、16GBは無謀
• GoogleDriveは、OSのエクスプローラーに追加してあれば、ログの追跡ができる
• ごみ箱の調査はフォレンジックの基本だが、ファイルは開かないように！

使用するツール

• FTK Imager
• Autopsy
  • 検索履歴からどんな悪用をしようとしているか推察できる
  • シークレットウィンドウの履歴も抽出可能
• RegRipper
• SDelete
• LogonTracer

その他メモ

• DFIR(デジタルフォレンジック＆インシデントレスポンス)
• フォレンジックの種類
  • リーガル系
  • サイバー系

参考リスト

• フォレンジック問題