パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント

2016.3.10 Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント アイレット株式会社 後藤 和貴

☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ… ☁ バックグラウンド 執行役員 / エバンジェリスト 後藤 和貴 @kaz_goto • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター（フリーランス）

アイレット株式会社 設立 2003年10月15日 資本金 7,000万円 代表者 齋藤 将平 従業員数 117名（2016年3月現在） 事業内容 システム開発・保守 マネジドホスティング

について

AWSを活用しながらビジネスに集中できる コンシェルジュサービス

cloudpackビジネス 設計支援 コンサル MSP 運用保守 システム 開発

24時間365日 監視運用保守 企業 定額課金/ 請求書払い PCI DSS、ISMS、Pマーク取得済みの運用体制 AWS

50,000時間 連続稼働 (※) (2,100日以上) ※ 2010年5月cloudpackサービススタート

6年間AWSのみで運用保守 4社 6年間 600 1200 プロジェクト超 社超

ワンストップでシステム開発から運用保守まで

プレミアコンサルティングパートナー アジア地域5社 最上位パートナー 世界46社

企業規模別 cloudpack利用比率 36 % 中小企業 27 % 中堅企業 37 % 大企業

cloudpack セキュリティの取り組み

securitypack ☁ Deep Security導入から 運用保守までをサポート ☁ 24時間365日、 システム監視と運用・保守 ☁ 脆弱性情報の提供 ルール設定代行 ログ分析など

安全なネットワーク ☁ AWS Direct Connect ☁ 専用接続プラン with 光

安全なデータアップロード ☁ ダイレクトインポート • 完全プライベート回線経 由でAWSへ • 機密レベルの高いデータ のやりとり • マイグレーション時のダ ウンタイム最小化

認証・セキュリティの取り組み PCI DSS監査証明マーク ICMS-PCI0162/PCI DSS ＋セキュリティルーム ICMS-PCI0162/PCI DSS ※写真はイメージです PCI DS PC ICMS PC ICMS

SOC2レポート受領 • 米国公認会計士協会（AICPA）が定 める、財務報告目的以外の受託サー ビスに関する内部統制の保証報告書 • 監査法人や公認会計士が独立した第 三者の立場から、客観的に検証した 結果を記載したもの • AWS上でのSOC2受領は日本初！

セキュリティ ホワイトペーパー • 国際・国内セキュリティ基準への取 り組み • ソフトウェア脆弱性情報に関する取 り組み • 業務ネットワークのセキュリティ • 運用上のセキュリティ保持体制

ドコモ・クラウド パッケージ • NTTドコモ社のクラウド導入・構 築・運用管理ノウハウやツールを パッケージ化 • セキュリティデザインパータンやテ ンプレートを提供 • 準拠したSIをcloudpackで実施可能

昨今のセキュリティ攻撃状況

一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日～2015年12月31日] https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf

• https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf

ウェブサイト改ざんの傾向 改ざんされた Web サイトを確認したところ、埋め込ま れる不正なコードには、body タグの直後に cookie を送 信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘 導先の攻撃サイトでは、マルウエアに感染させるため に、Internet Explorer や Adobe Flash Player の脆弱性 が使用されていました。 上記のような改ざんが行われた Web サイトでは、 WordPress を使用しているという共通点が見られまし た。WordPress のような CMS を使用している Web サ イトは、CMS やそのプラグインのバージョンが古い場 合、脆弱性をつかれて改ざんされてしまう恐れがありま す。Web サイトの管理者は、CMS を常に最新のバー ジョンに維持し、不要なプラグインを削除するなどの対 策を取ることが重要です。 同 インシデント報告対応レポート より http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/ 自社サイトの改ざん被害のみならず、 不正なマルウエアを感染させることになり 被害拡大の支援をすることになる

• http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/

WordPressが攻撃されるケース 管理者ページへの不正ログイン 攻撃者 攻撃者 プラグインを中心とした 脆弱性を悪用した不正侵入

もし改ざんされると…

自社サイトが改ざんされる ↓ 自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓ 誘導されたサイトでマルウェアに感染 ↓ さらなる被害へ

一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日～2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf

• https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf

改ざん検知からサイト再開まで 1. ウェブサイトが改ざんされる 2. ウェブサイト停止（閲覧者への被害拡大停止のため） 3. 原因・影響度の調査 4. ウェブサイト復旧 （最悪のケース、OS・アプリの再構築） 5. ウェブサイト再開 サイト停止から復旧までが長いとビジネス的なインパクトが多い

DDoS攻撃に関する統計 ☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ イヤー3および4)に対する攻撃が 168.82%増加 • 平均攻撃時間が49.03%減少： 14.95時間対29.33時間 • 100Gbpsを超える攻撃数が 44.44%減少：5件対9件 出典: Akamai https://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp

• https://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp

いつ誰が標的になるかわからない

実際のサイバー攻撃事例

2015.11.13

https://ja.wikipedia.org/wiki/パリ同時多発テロ事件

• https://ja.wikipedia.org/wiki/パリ同時多発テロ事件

パリとの時差 日本 -8時間

2015/11/12 23:26:29(JST)

この時は “パリからの攻撃なんだ” ”珍しいな”と

55,247 特定のお客さまの環境での総検知数

Dynamic Protection 動的な対応

☁ 未知の攻撃のを含む可能性を考慮して、 随時NACLに登録（運用負荷高い） ☁ IPコロコロ替わってイタチごっこ（40近 く） ☁ ”195.154.0.0/16”と登録したかったが、 数が微妙だった（最終的には登録した）

別の環境にて NACLでの遮断後も検知継続

受け身ではツライので DS → WAF 連携を思いついたが…

☁ 直前の送信元IPアドレスがCloudFrontなので、 X-Forwarded-Forに記録されたIPをNACLに登録し ても遮断ができない。 ☁ 当時はAWS WAFが出たばかりで、 テスト無しでの本番投入はハードルが高かった。

IP制御を速やかに CloudFrontまで持っていく 必要があった

System Integration システム連携

n a s Mark GJ!! https://github.com/deep-security/aws-waf

• https://github.com/deep-security/aws-waf

静的情報 (IP List)を AWS WAFへ登録するもの だけど、使えるのでは？

よろしい ならば実装だ

Deep Security検知ログを作成 http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep̲Security̲9.6̲SP1̲Admin̲Guide̲JP.pdf

不正アクセスIPの集計

Deep Security Managerへプッシュ

Deep Security MangerからAWS WAFへ連携 http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe

• http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe

1度設定しておしまいではない 新たな脅威、不要となった設定などを 最適化していく必要がある

Tuning Rules 運用・ルール最適化

チューニングのポイント ☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す（検知ベー ス） ☁ 検知傾向を知る（どんな通信を検知するか） ☁ サービスで使用している通信か否か • URI, POST, XML, SQL, CSS, HTML, SSL…

システムは生き物 攻撃も生き物 チューニングは運用の一部

セキュリティ製品は 運用が命！

でも なんでDeep Securityでできることを AWS WAFにやらせるの？

異常に気づいてから 復旧まで1週間 もともとはOCN経由で自社 データセンター運用（推測） ↓ 攻撃負荷が高く調査も難航、 一旦停止せざるを得ない状態 http://d.hatena.ne.jp/Kango/20160116/1452985392

• http://d.hatena.ne.jp/Kango/20160116/1452985392

CloudFront EC2 WAF Deep Security Manager WAFでサーバー負荷をオフロード 単なるDDoS攻撃ではびくともしないサイトへ

セキュリティ対策事例

ハイレベルなセキュリティ基準 ☁ AWSで国内初のPCI-DSS Level1環境の構築の実績 • PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5 社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグロー バルセキュリティ基準。 • 世界のクレジットカード会社が求める プレスリリース（http://www.cloudpack.jp/press/20130308.html） セキュリティ実装のスタンダード

• http://www.cloudpack.jp/press/20130308.html

Coiney 既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当

実践的セキュリティ対策 アプリケーション ☁ ユーザー責任範囲 データ • 権限設定、ネットワーク設定 ランタイム • ソフトウェアのアップデート ミドルウェア OS 仮想化 サーバー ストレージ ネットワーク • セキュリティログの収集・管理 • データの暗号化 • ウイルス対策 etc… ☁ AWS責任範囲

改ざんから検知の流れ（初期アイディア） 攻撃者 2.ファイル 改ざん 1.バックドアを操作 Victim web 3.アラート送信 4. 自動復旧シナリオ実行 Real time log store

改ざんから復旧までのメカニズム 攻撃者 ファイル改ざん Firewall Deep Security Agent ・・・・・・・・・・・・・・・・・・・・・・ 改ざん検知 ログに記録 削除命令 LOG 自動リカバリー開始 リカバリー命令 Auto-Healingプログラム オリジナル ファイルで リカバリー

Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。 Deep Security Agent git（ギット） コンテンツ・アプリのソースコードなどの変更履歴 を記録・追跡・保存するための分散型バージョン管 理システム。 コンテンツのオリジナルデータ先として利用。

バッドロボットからの リクエストを自動的に対処 • • 人間ではアクセスしない リンクを仕込む API Gateway→Lambda→WAF という連携でブロック制御 http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou

• http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou

クラウド 導入事例 100+ (※) http://cloudpack.jp/casestudy ※ 2015年11月時点

• http://cloudpack.jp/casestudy

Deep Security User Group 勉強会なども 開催中

CloudFront / WAF ソリューション

業界最安値 CDN専用プラン AWSは直接契約するよりもcloudpackの方が安く利用できます https://cloudpack.jp/lp/cdn/

• https://cloudpack.jp/lp/cdn/

【初公開】CDN専用プラン WAFオプション ☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール ☁ 設定変更 1万円～ • 作業内容により応相談 ☁ ルール追加その他応相談 • Deep Security連携など AWS WAF

まとめ

まとめ • 複雑化・高度化するサイバー攻撃には、1)動的な対応、 2)システム連携、3)運用・ルール最適化 が求められる • ツール・サービスも高度な連携が可能な時代に DSとAWS WAFの連携でProactiveな対策を • 最適なルールの適用が最大の防御 ＝ツール任せではなく人による運用が大切