クラウドセキュリティ
•
3 likes•3,173 views
This is the slide by Ryouji Kanai from FFRI at SoftLayer Bluemix Community Festa 2016
Report
Share
Related slideshows
クラウドセキュリティ
- 1. FFRI,Inc. 1 SoftLayer Bluemix Community Festa 2016 クラウドセキュリティ 株式会社FFRI http://www.ffri.jp 取締役最高技術責任者 金居良治 2016-04-16
- 2. FFRI,Inc. (株) FFRI 事業概要 サイバー セキュリティ領域でのシーズ型R&D 標的型攻撃などに利用されるセキュリティ脆弱性研究、対策技術開発 100を超える日本最多のクリティカルなセキュリティ脆弱性発見の実績 標的型攻撃マルウェアに関する研究、対策技術開発 標的型攻撃など近年のマルウェア対策に関する研究成果を多数発表 組み込みセキュリティ 組込みシステムのセキュリティ脆弱性脅威分析に関する研究成果を多数発表 製品開発 • 標的型攻撃対策ソフトウェア • マルウェア自動解析システム • MITB攻撃対策ソフトウェア • 組み込み機器セキュリティ検査ツール • P2Pシステムセキュリティ • 標的型攻撃マルウェア調査分析 • Android端末セキュリティ分析サービス • セキュリティ対策コンサルティング • 受託研究開発 • Black URL提供サービス • セキュリティ技術者向けトレーニング サービス 2
- 3. FFRI,Inc. 製品・サービスラインナップ 3 ソフトウェア製品の出荷前マルウェア混入検査、マルウェア被害の初 動分析など、様々なマルウェア解析シーンで活用可能。 マルウェア自動解析ツール パターンに依存する事なく、標的型攻撃マルウェア、既知マルウェア、 未知・既知のセキュリティ脆弱性攻撃を防御。 標的型攻撃対策 標的型攻撃マルウェア検査サービス 標的型攻撃マルウェアの感染有無を調査。マルウェア解析を実施 し、実被害を分析。対策立案や外部報告など含めた事後対応を サポート。 FFR yarai analyzer Professionalは、FFR yarai analyzer の機能に加えて、より高度な情報を自動的に抽出・レポーティング することが可能。
- 4. FFRI,Inc. 製品・サービスラインナップ 4 P2P情報漏えい対策 Winny、Share、Perfect DarkといったP2Pネットワークにてファイ ル発信者特定やファイル拡散状況把握を支援。 MITB攻撃対策 インターネットバンキングをはじめとしたWebサービスの利用者を狙う MITB(Man in the Browser)攻撃などの脅威からWebブラウザ を保護。 ネットワーク機能を持つ組み込み機器のセキュリティ堅牢性を検査。 Fuzzingにより未知のセキュリティ脆弱性を発見。 組み込み機器向け出荷前セキュリティ検査
- 6. FFRI,Inc. 近年の大きな脆弱性 OpenSSL Heartbleed (CVE-2014-0160) • opensslのHeartbeatの処理における問題により中間者攻撃が可能とな る脆弱性 • その後、OpenSSLに複数の脆弱性が見付かったこともあり、多数のソフト ウェアや機器に影響が及んだ Shellshock (CVE-2014-6271) • bashにおける環境変数に関する処理による脆弱性 • CVSSスコア10.0であり、Metasploitによる攻撃コードも公開されている getaddrinfo (CVE-2015-7547) • glibcにおけるスタックベースのバッファオーバーフロー脆弱性 6
- 7. FFRI,Inc. サーバーサイドの脆弱性に関して クラウド基盤で広く使われているようなオープンソースにも致命的な 脆弱性が発見されている 場合によっては、クラウド基盤のソフトウェアにパッチ適用、リブート などの対応が行われているはずである PHP, Java, MySQL 等のミドルウェアも同様である 脆弱性管理、パッチ管理は必須 7
- 8. FFRI,Inc. 8 WordPressのケース 近年の Web 改ざんは、マルウェア感染を目的としたものが主流であったが、 ここ数年では、主義主張の顕示を目的とする改ざんも、再び目立つようになってい る。 その中でも、明確なターゲットを定めず多く普及している CMS やそのプラグインの 脆弱性を突いて、無差別に大量のサイトを改ざんする攻撃が増加している 2014年7月には WordPress から簡単にメールマガジンを配信できる人気プラグイン 「MailPoet Newsletters」の脆弱性を利用して、50,000件ものWeb サイトが改ざ んされた
- 9. FFRI,Inc. 被害状況 全体での被害統計は測定が不可能であるため、 この攻撃手法による改ざん報 告が特に多かった「Index Php」 と名乗る人物が「www.zone-h.org」に投 稿した情報の統計を以下に示す 2015年4月6日から 7日の24時間で、日本のドメインを含む少なくとも 1,200 件以上の WordPress を利用するサイトが改ざん被害を受けた この攻撃は 2015年3月末頃から発生しており、これまでで少なくとも 18,000 件以上のサイトが被害にあっている。この内の 125 件は日本のドメインである。 この攻撃では、直接ファイルを改ざんするのではなく、特定の URI にアクセスし た際に、攻撃者が注入した内容のページが表示されるタイプであった 9
- 10. FFRI,Inc. 攻撃分析 攻撃成功を示す URL は共通して以下の様なものであった 「http://target.com/wp-admin/admin- ajax.php?action=revslider_ajax_action&client_action=get_captio ns_css」 「wp-admin」が含まれていることから、WordPressを標的とした攻撃だとい うことが推測される WordPress 上での Ajax 通信をサポートする「admin-ajax.php」に対して 「action=revslider_ajax_action」という内容の引数が渡されている事か ら、国内でも多く利用されているプラグイン「Slider Revolution」へのリクエス トであることが推測される 更に「client_action=get_captions_css」が引数として指定されているこ とが分かる 10
- 11. FFRI,Inc. 攻撃の流れ 11 $post = array?> ( "action" => "revslider_ajax_action", "client_action" => "update_captions_css", "data" => “<h1>TEST</h1>" ); p#id { color: #ff3300 } p#id { font-size: 24px } 「/wp-admin/admin-ajax.php」に対して不正な POST リクエストを送ることによっ て、サーバー内の CSS ファイルを上書きする 攻撃者 サーバー CSSファイル http://target.com/wp-admin/admin-ajax.php
- 12. FFRI,Inc. 攻撃の流れ 12 「get_captions_css」を呼び出すように細工された URL にアクセスすると、攻撃者が 上書きした内容の CSS がレスポンスとして返ってくる TEST <h1>TEST</h> 利用者 サーバー CSSファイル http://target.com/wp-admin/admin-ajax.php?action=revslider_ajax_action &client_action=get_captions_css !?
- 13. FFRI,Inc. 脅威分析 我々が入手したスクリプトでは Google 検索における検索構文を悪用すること で、Google にインデックスされている脆弱な Web サイトやサーバーを大量に 探しだすことができる、Google Dork と呼ばれる手法と組み合わせることで、 世界中のサーバーに対して攻撃を行う方法が取られていた Google Hacking Database http://www.exploit-db.com/google-dorks/ 13
- 14. FFRI,Inc. Google Hacking 14 脆弱なサーバを探す キーワード 広くインターネット上から脆弱なマシンを抽出したり、パスワードファイルを検索し たりする手法 2004年ぐらいに話題になった古典的な手法 Bing Hacking などのアプローチもある
- 15. FFRI,Inc. 対策1 – 脆弱性スキャナ Softlayerの標準機能で nessus を使用可能 それ以外の脆弱性スキャナ • OpenVAS / BeyondTrust Retina (商用) / Qualys Guard (商用) 脆弱性管理/パッチ管理はセキュリティ対策の基本 まずは、最低限の対策を 15 日本語版アリ
- 16. FFRI,Inc. nessus on Softlayer - screenshot1 16
- 17. FFRI,Inc. nessus on Softlayer – screenshot2 17
- 18. FFRI,Inc. nessus on Softlayer – screenshot3 18
- 19. FFRI,Inc. 対策2 – FFR yarai Windows環境であれば弊社製品がオススメ 未知マルウェア対策に加え、ゼロデイ脆弱性も防御可能 • Adobe Flash Playerの脆弱性(CVE-2015-5122) • Adobe Flash Playerの脆弱性(CVE-2015-5119) • Adobe Flash Playerの脆弱性(CVE-2015-0311) • Word のゼロデイ脆弱性(CVE-2014-1761) • IEのゼロデイ脆弱性(CVE-2014-0322) 19
- 20. FFRI,Inc. FFR yarai の製品コンセプト 20 FFR yarai は、 パターンファイルに依存せず、マルウェアや脆弱性攻撃を防御し、 既知・未知の脅威から大切な情報資産を守ります。 標的型攻撃に特化した プログレッシブ・ヒューリスティック技術で 未知の脅威に対抗する 日本発の次世代セキュリティ プログレッシブ・ヒューリスティック技術とは ・従来型のパターンマッチングに一切依存しない ・攻撃の進化を先読みして進化し続ける先読み技術
- 21. FFRI,Inc. 対策まとめ クラウドを活用することにより簡単に様々なインターネットサービスを始めることが できるが、同時にセキュリティ対策も必要 プラットフォームベンダーから必要かつ十分なセキュリティオプションが提供されてい るとは限らない(むしろユーザが検討しないといけない場合が多い) まずは、いわゆるインターネットセキュリティの考え方をもとに対策を検討して頂くと 効果的 比較的情報が纏まっているサイト • IPA (情報処理推進機構) http://www.ipa.go.jp/ • JPCERT/CC (JPCERTコーディネーションセンター) https://www.jpcert.or.jp/ 21
- 22. FFRI,Inc. IPA – 情報セキュリティ対策実践情報 22 ■ 情報セキュリティ対策実践情報 http://www.ipa.go.jp/security/awareness/awareness.html
- 23. FFRI,Inc. FFRI – Monthly Research 23 ■ FFRI – Monthly Research http://www.ffri.jp/research/monthly_research.htm
- 24. FFRI,Inc. 攻撃者に使われるクラウドサービス 24 ■ EvernoteをC&Cサーバとして利用する手口とは http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Cybercriminals+Attempt+Command-and-Control+via+Evernote ■ Malware Alert –Malware using Dropbox to access C&C settings http://www.cyberoam.com/blog/malware-alert-malware-using-dropbox-to-access-cc-settings/ ■ Android malware uses Google Cloud Messaging Service as C&C Server http://securityaffairs.co/wordpress/17101/cyber-crime/android-malware-uses-google-cloud-messaging-service-as-cc-server.html
- 27. FFRI,Inc. IoTを取り巻く環境 国内IoT市場 国内IoT市場規模:11兆1,240億円 IoTデバイス数:4億9,500万台 2013~2018年のCAGR:13.7% 2018年には21兆1,240億円の市場規模に 27 Smart Home Smart City Smart Car Smart Grid あらゆるモノがInternetに繋がるため セキュリティは重要課題
- 29. FFRI,Inc. 社会インフラに対する脅威の増大 組み込みシステムの脅威分析技術が急速に向上、脅威が広まる スマートフォン、ネットワーク機器、複合機、セキュリティカメラ、医療機器、 車、テレビ、情報家電、ATM、スマートグリッド、産業用制御システム、etc… 2000年以降、組み込みシステムのセキュリティ脆弱性脅威分析技術が確立 29 • 影響が広範囲になりつつある。 • 古典的な脆弱性を持つ組み込み機器が数多く存在。 • 効率的なセキュリティ・テスト手法は研究途上。 • セキュリティ・テスト可能な人材は希少。 社会インフラのIP化と攻撃技術の高度化に伴い、 OA環境に対する脅威が社会インフラに対する脅威に
- 31. FFRI,Inc. 近年の情報セキュリティカンファレンスでの研究発表の傾向 プラットフォームの解析や脅威分析が多いが、その種類が多岐にわたる Windows/Linux、Android、ICS、Chipset、Smart TV、Home Security、Camera etc・・・ 比較的新しいテーマは、自動車、POSシステム、衛星通信、暗号通貨、クラウド、ビッグデータ 全体的にWindows/Linuxなど高セキュアプラットフォームに関する脅威分析は減少し、 ハードウェアのリバースエンジニアリングを含む脅威実証が増加 マルウェア解析などは個々の分析よりもスケーラブルな分析方法に移行 増え続けるマルウェアやIoTデバイスの脆弱性発見など、解析や調査を自動化しスケールアウトさせ る技術がホットトピックになりつつある 31 「セキュリティ研究者の研究対象とアンダーグラウンドの攻撃対象」がIoTに移行
- 32. FFRI,Inc. ここで紹介する研究内容が発表されたカンファレンスについて • 世界最大規模のベンダーニュートラルな情報セキュリティカンファレンス • USA、Europe、Asiaなど世界各国で開催 ⁻ USA 2014:参加者数9,000人以上、100件以上の研究発表 ⁻ 2008年には日本でも開催 • 日本発の国際情報セキュリティ会議 • USA、Europe、Asiaなど世界各国で開催 ⁻ CODE BLUE 2014:参加者数450人以上 ⁻ 2013年の第1回では、Black HatやDEFCON 創設者のジェフ・モスが基調講演
- 33. FFRI,Inc. Black Hat USA 2013年の一部の発表について概要 Exploiting Surveillance Cameras - Like a Hollywood Hacker 複数のネットワーク対応セキュリティカメラに存在する脆弱性の指摘と脅威に関する発表 THE OUTER LIMITS: HACKING THE SAMSUNG SMART TV サムソンの Smart TV の脆弱性と攻撃の脅威についての発表 HACKING, SURVEILLING, AND DECEIVING VICTIMS ON SMART TV ファームウェアの解析によって発見したSmart TV の脆弱性に関する発表 33 Black Hat USA 2013
- 34. FFRI,Inc. 34 Exploiting Surveillance Cameras - Like a Hollywood Hacker BlackHat USA 2013において発表 https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network- Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf 複数のネットワーク対応セキュリティカメラを調査、攻略 脆弱性を悪用することで外部からカメラを自由に制御可能に 撮影映像の不正閲覧、映像の差し替え、機器の停止等 1モデルで発見した攻撃が他の複数メーカー、モデル製品にも適用可能 1機種で発見した脆弱性を用いて最大40機種に同様の攻撃が可能 インターネット上に接続された脆弱なカメラをgoogle、shodan等で検索可能 「thttpd/2.25 content-length:4121」等 発見された脆弱性はいずれも古典的なものばかり(攻撃に要する技術障壁は低い) Windows、Linux等のPCプラットフォームでは既に撲滅されている Black Hat USA 2013
- 35. FFRI,Inc. 脆弱性調査手法 製品ベンダーは、アップデートファイル(ファームウェア)を自Webサイトで公開 ユーザーは、これをダウンロードしカメラのソフトウェアを最新状態に保つ 研究者は、これをダウンロード・解析し、脆弱性を発見・攻略(攻撃者も同様) 35 ユーザー 研究者 or 攻撃者 製品ベンダー ソフトウェア アップデート 分析 監査 or攻撃 Black Hat USA 2013
- 36. FFRI,Inc. 例1) Linksys WVC80N Web管理画面を制御するCGIにバッファーオーバーフロー脆弱性が存在 長い文字列を含むリクエストを送るとバッファオーバーフローが発生 「GET /img/snapshot.cgi?aaaaaaaa......aaaaa HTTP/1.0」 上記「aaa....」の部分に適切な機械語に格納することで任意コードが実行可能 発表者は、管理者用パスワードの搾取を実証 脆弱性の性質上、一度攻撃方法を確立させれば絨毯爆撃が可能 shodan等で脆弱なカメラを検索し、リスト化 各カメラに攻撃コードを含むGETリクエストを自動送信 36 出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf Black Hat USA 2013
- 37. FFRI,Inc. 例2) 3SVision N5071 Web管理画面の管理者ID、パスワードがファームウェア中にハードコードされている 基本的なリバースエンジニアリングの知識があれば誰でも特定可能 壁面据え付け型のため様々な施設で防犯用として利用されている模様 計40機種以上の製品も同様の攻撃が可能なことを確認 37 出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf Black Hat USA 2013
- 38. FFRI,Inc. 例3) Trendnet TV-IP410WN バックドアアカウントが存在、例2同様ファームウェア解析で容易に特定可能 Web経由でカメラのストリーミング映像をブラウザ上で閲覧可能 ストリーミング配信は内部のmjpg.cgiが担当 当該プログラム(デーモン)を停止すると「最後に映った画像」が表示され続ける mjpg.cgiを静止画像を表示し続けるプログラムに差し替えることも可能 38 最後に映った画像 実際の画像 #!/bin/sh echo -ne “HTTP/1.1 200 OK¥r¥n Content-Type: image/jpeg¥r¥n¥r¥n” cat /tmp/static_img.jpg 出典:https://media.blackhat.com/us-13/US-13-Heffner-Exploiting-Network-Surveillance-Cameras-Like-A-Hollywood-Hacker-Slides.pdf Black Hat USA 2013
- 39. FFRI,Inc. Black Hat USA 2014年の一部の発表について概要 SATCOM TERMINALS: HACKING BY AIR, SEA, AND LAND 衛星通信端末における複数のバックドア、プロトコル、暗号の脆弱性の存在を指摘とデモ。 ファームウェアのリバースエンジニアリング方法の解説 CELLULAR EXPLOITATION ON A GLOBAL SCALE: THE RISE AND FALL OF THE CONTROL PROTOCOL 携帯電波(GSM/CDMA/LTE)による制御プロトコルを解析して、OTAでコード実行(ロック解除、 jailbreak)の可能性と脅威について解説 BADUSB - ON ACCESSORIES THAT TURN EVIL 汎用的なUSBコントローラのファームウェアを改ざんすることによって、密かに悪意のあるコードを実行 できるという指摘とデモ 39 Black Hat USA 2014
- 40. FFRI,Inc. Black Hat Europe 2014年の一部の発表について概要 Lights off! The darkness of the smart meters 実際のスマートメータをリバースエンジニアリングし、プロトコルや機能を推定 Don’t trust your USB! How to find bugs in usb device drivers ファジングでUSBデバイスドライバのバグを見つけるツールの発表 Hack Your ATM with friend’s Rasberry.Py ATMのハッキングを、Rasberry Piを使って行う発表 Firmware.RE: Firmware unpacking, analysis and vulnerability-discovery as a service 組み込みデバイスのファームウェアの脆弱性調査に関する発表 40 Black Hat EU 2014
- 41. FFRI,Inc. 自動車のセキュリティ Remote Exploitation of an Unaltered Passenger Vehicle • Charlie Miller & Chris Valasek How To Hack a Tesla Model S (DEFCON) • Marc Rogers & Kevin Mahaffey Drive It Like You Hacked It: New Attacks and Tools to Wirelessly Steal Cars (DEFCON) • Samy Kamkar IoT のセキュリティ When IoT Attacks: Hacking a Linux-Powered Rifle • Runa A. Sandvik & Michael Auger ZigBee Exploited the Good, the Bad, and the Ugly • Tobias Zillner & Sebastian Strobl 41 Black Hat USA 2015 Black Hat USA 2015年の一部の発表について概要
- 42. FFRI,Inc. TriCoreで動作する自動車用ECUソフトの攻撃手法に関する 検討と試行(1) FFRI とETASの共同研究 ECUソフトに脆弱性があった場合、それを攻撃可能かどうかを理論的に検証 PCやスマフォとはアーキテクチャが異なる ECU マイコンでバッファオーバーフロー等のメモ リ破壊脆弱性による任意コード実行の攻撃が成立するかどうか オープンな情報をもとにマイコンの仕様(レジスタ、命令、コンテキスト管理)を調査 し、攻撃手法の仮説を立案 評価ボードを用いて、検証した結果、ECUソフトに脆弱性があった場合、リモート から任意コードを実行できる可能性があることを示唆 42 CODE BLUE 2014
- 43. FFRI,Inc. 検討した3つの攻撃手法 バッファオーバーフローによるスタック上の関数ポインタ上書き • 前提条件が厳しい バッファオーバーフロー等によるTriCore独自のコンテキスト保存領域の上書き • 実際に攻撃される可能性あり 割り込み・トラップハンドラの上書き • プロテクトされており不可 評価ボードを用いたデモ CANバス経由でデータを送りつけ、 バッファオーバーフローを発生させて 点灯しないはずのLEDを点灯させた 43 TriCoreで動作する自動車用ECUソフトの攻撃手法に関する 検討と試行(2) CODE BLUE 2014
- 44. FFRI,Inc. まとめ ECUソフトにメモリ破壊脆弱性が存在する場合、任意コードを実行できる可能性はあ る 今後、ECUソフトが複雑化し、処理する情報の種類・量が増加すると、実際のECUソ フトにも脆弱性が多数発見される可能性がある • 対策として、ECUソフトに対する脆弱性検査やセキュアプログラミング・適切なメモリ 保護の適用などが必要になると考えられる 課題 PCやスマートフォンなどと違って、脆弱性の実証と対策は環境、コスト的な理由で容易 ではない点が懸念点 • 検証のために車体が必要 • ソフトのアップデートが容易にできない 44 TriCoreで動作する自動車用ECUソフトの攻撃手法に関する 検討と試行(3) CODE BLUE 2014
- 45. FFRI,Inc. インターネット接続機器に対するスキャン 45 インターネット上の機器に対する広範囲な検索 HTTPヘッダに対する検索も可能なため、「netgear」や「Server: Android Webcam Server」などで該当する機器を検索可能 http://www.shodan.io/
- 46. FFRI,Inc. 脆弱性スキャナーとしてのShodan インターネット上から脆弱なIoT機器を容易に検索可能 Device Fingerprinting技術によりOSバージョンなども特定可能な場合があ る テロリスト等に悪用されるとの指摘あり 46 http://www.csoonline.com/article/2867407/network-security/shodan-exposes-iot-vulnerabilities.html
- 47. FFRI,Inc. pool.ntp.orgによるIPv6のPassive Scan Shodan Prjectがntpサーバをpool.ntp.orgに提供 そのntpサーバにてIPv6ノードのPassive Scanを開始 IPv6ノードの受動的スキャンによるノード検出が行われており、セキュリティコミュニティで 議論が発生 47 https://isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681/
- 48. FFRI,Inc. IoTデバイスの脆弱性 デバイスのファームウェアを自動的に分析し、脆弱性を発見するシステムを研究者が開発 その結果、多数のウェブ画面の脆弱性が発見されたとのこと IoTデバイスはパッチ配布、ファームウェア更新にシステムな難しさがある 48 http://www.itworldcanada.com/article/lots-of-vulnerabilities-in-iot-device-web-interfaces-study/378779