ネットエージェント株式会社 オフィシャルブログ

6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について

2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。

まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。

実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサービスを動かし、容易に侵入され得る環境の中で写真を隠して見つからないように守る、ということでした。
様々な制約下で堅牢なシステム環境(OSなど)を期待できない状態であったときに、たとえ侵入されたとしても守るべき資産(今回は写真ファイルです)を漏えいから守る、という点が情報漏えいの対策企業である弊社に与えられた使命です。

防御のための環境については、事前には内容がわからない状態で撮影直前に与えられ、限られた時間内での速やかな対策のための作業が要求されます。
また、写真の隠し方については、見た目でわかりやすくなおかつ実用的で、隠した本人であれば容易にデータを利用できるものとすることが求められていましたので、ステガノグラフィーのようなCTFではよく利用される方法については採用を見送りました。

1台目のパソコンは以下のような構成となっていました。

・Windows 2000 Server 日本語版(サービスパックなし)
・IIS 5.0によるサービス公開が必要

2000年2月の発売当時のままということで、13年間の間に見つけられた多数の脆弱性を抱えた状態で写真を守りきる必要があったため、以下のような対策を施しました。

・脆弱性を突く典型的な攻撃の阻止(一般的なツール利用の無効化)
・ファイアウォールによるftp、tftpなどのファイル送受信の無効化
・同名ファイルを多量に用意する
・cmd.exeをリネームしておく(ここでファイル名変更の出番です!)

ツールを使っての侵入を防ぐことで攻撃側は実際に手を動かしての作業が必要となります。また、ファイルの送受信を無効にすることで、一般的な手法で写真を攻撃者の手元に転送することを防ぐ狙いがあります。

多数の同名ファイルを用意するというのは、見た目にもわかりやすいだけでなく、限られた対策時間で脆弱性のある中で特定のファイルを守るという点では比較的効果のある方法と判断して採用しました。まず、インターネット上からタカアンドトシさんの写真をクローラと呼ばれる専用プログラムを用いて50000枚程度取得し、それらの写真ファイルのタイムスタンプを全てオリジナルのものと同一に設定後、ひとつだけ存在する本物の写真と合わせて対象のパソコンに置きました。なお、クローラ部分については、6月22日の第27回 データマイニング+WEB(TokyoWebmining) で発表予定です。

それ以外にも、日本のアンダーグラウンド界隈でかつて使われていたような形式でダミーのファイルを用意するなどしていたのですが、さすがにロシアのハッカーということだけあり、完全にスルーされてしまいました。

実際の攻防においては、攻撃側はMetasploitと呼ばれるもっとも有名な攻撃ツールを使用して侵入を試みたようですが、先に述べたようにこういった典型的な攻撃パターンを無効にする対策をとっていたことで、攻撃側は侵入に手間取ったようです。また、侵入後も、cmd.exeをリネームしていたために思うような操作ができないことや、ファイル転送をブロックしていたことからために攻撃側の手元にファイルが渡らないようになっていたことから、ファイルを取得して解析するといった方法がとれないことから、これもこちらの狙い通りファイルを容易に持っていかせないようにすることができたようです。


【参考】1台目のPCに対して弊社の実施した施策
stage2




※ちなみに、番組内で攻撃側に「30分で侵入された」という表現がありましたが、これは上図でいうと右から 2番目の OS の脆弱性が突破された時点であり、その次の「設定システム強化 Metasploit対策」が破られたのが、開始から約3時間後、弊社が施した防御対策がすべての対策がソーシャルエンジニアリングにより攻略されたタイミング(=画像が奪取されたタイミング)はさらに数時間後でした。


さて、次に2台目のパソコンについての話をさせていただきます。
2台目のパソコンは以下のような構成となっていました。

・Windows XP (サービスパックなし)
・SSH、リモートデスクトップによって外部からログイン可能
・誰でも利用できるパソコンを想定し、ログインID、パスワードが攻撃側にあらかじめ通知されている
・ウイルス対策ソフトなし(XP SPなしで動作するセキュリティ対策ソフトがないため)

こちらについても、1台目と同様に10年以上の間に発見された多数の脆弱性を抱えたまま、特定の写真を守りきるための対策を限られた時間内で施す必要があるうえ、ルール上、1台目とは異なる方法での対策が必要でしたので、対象の写真ファイルを暗号化によって隠す、という方法をとりました。
※番組内では暗号化のことが「ファイル名の変更」と言い換えられており、見ている方には混乱を招いたようです。

また併せて、以下のように細かな対策を行うこととしました。

・多数の種類の暗号化ソフトをインストールしておく
・アンチフォレンジック処理
・パスワードを間違えると2時間ロックされるよう設定

実際にどのような形式で暗号化されているのか混乱させるため、パソコン上に暗号化のためのソフトを多数インストールしておきました。また、Windowsではアプリケーションの使用履歴が記録されるため、フォレンジックと呼ばれる手法によってどのソフトウェアをいつ使用したかの解析が行えますが、今回はそれを妨害するために、アプリケーションの使用履歴を削除するアンチフォレンジックと呼ばれる対策を断片的に行っておきました(フォレンジックに強い弊社だからこその着眼点でもあります)。また、画像を開く際には、キャッシュを残さないソフトウェアを使用して、その痕跡が出来る限り残らないようにしています。

様々な暗号化ツールをインストールしましたが、実際の暗号化についてはTrueCryptと呼ばれるソフトウェアを用いて行いました。TrueCryptはWindowsだけでなくMac、Linuxでも利用可能な暗号化ツールとしては高い信頼性を持つ世界標準ともいえるソフトウェアです。
その他には、まったく関係のない偽の写真ファイルを暗号化したものをいくつか配置したり、TrueCryptによって暗号化された「秘密のディスク」という名前の思わせぶりなファイルを置いたりといった小さなトラップをいくつか仕掛けておきました。これらのトラップの中には、トラップであると確認することにより、本物のファイルを見つけ出すヒントが含まれていましたが、最終的に暗号化されたファイルには気づかれず持っていかれることはありませんでした。

正解の写真ファイルの暗号化ですが、TrueCryptという暗号化ソフトウェアとして広く普及しているソフトを使用することから、パスワードを解析するための専用ソフトも出回っており、安易なパスワードの設定はNGです。かといって、無条件に長く複雑なパスワードを設定してしまっては限られた時間内での勝負としては一方的なものになってしまいます。そこで、総当りや既存の攻撃用のパスワード辞書などでは解けないものの、番組由来のキーワードからは容易に想像できる語をもとにパスワードとして設定しました。

実際の攻防においては、攻撃側はあらかじめ知らされていたユーザID、パスワードを使用するのではなく、脆弱性をスキャンして一部のアカウントをロックされつつも入り口をこじ開けるという、いかにもハッカーらしい侵入の仕方を行っていました。その後、攻撃者側は R-STUDIO と呼ばれるフォレンジックツールを使用し、目的となる画像ファイルへの痕跡を見つけるものの、最終的には時間的な問題もあり放映されたような結果となりました。


【参考】2台目のPCに対して弊社の実施した施策
stage2





このように、今回の攻防においては様々な制約が課された上でそれでも写真を守る、という勝負になっていたのですが、残念ながら実際の放映ではその点が伝わりにくかったように思います。また、先に書きましたとおり、暗号化のことをファイル名の変更と言い換えるなど、技術を持っている方にとってはなおさら混乱を招く表現となっていた箇所もあったように思います。
一方で、「様々な制約が課されたなかで最善を尽くして資産を守る」という点では、まさに弊社としてはお客様へのサービスの提供として日常的に目指している点でもあり、今回の収録においても学ぶべき点は多数ありました。

今後ともネットエージェントの製品、サービスをよろしくお願いいたします。
最後に、皆様は最新のOSですべてのパッチが当たっている状態でパソコンをご利用ください、ハッカーに容易に侵入されることなく安全に利用できます。

※文中にて使用されたツール類は以下のとおりです。


・TrueCrypt http://www.truecrypt.org/
・Metasploit http://www.metasploit.com/
・R-STUDIO http://www.r-studio.com/

Android を狙う標的型攻撃用のマルウェアを解析してみた

昨日、ロシアのセキュリティ企業 Kaspersky Lab が、Androidを狙った標的型攻撃を確認したと、ブログ上で公開しました。
日本でも本件が、記事として取り上げられております。

■Kaspersky、Androidを狙った初の標的型攻撃発生を報告
http://www.itmedia.co.jp/enterprise/articles/1303/27/news034.html

今回、標的型攻撃メールに添付されたアンドロイドアプリ「Conference(WUC's Conference.apk)」を
弊社のアンドロイドアプリ解析サービス「secroid(セキュロイド)」で解析してみました。

icon


「Conference」のアイコン


診断結果は下記の通り。危険度が「HIGH」と診断されました。

★secroid での診断結果
http://secroid.jp/d/7/7/d/APK_b6511332331bc8bc64e8bdb1cd915592b29f4606.html

・連絡先の電話番号を利用します
・通話履歴を利用します
・SMS/MMSのメッセージを読み取ります
・GPSによる位置情報米国のサーバに送っていることになります
・SIMの連絡先を利用します

など、ニュース記事の内容と一致する結果となりました。

また、そのほかにもアプリの起動条件として、

・スクリーンがオンになったとき
・デバイスにアプリが追加されたとき
・壁紙が変わったとき

などの脈絡のない動作条件が含まれることが判明しました。
不正なプログラムが実行される機会を増やすことで、情報窃取の成功率を高める意図が
感じ取れます。

さらに、このアプリは com.google.services という、Google のアプリ名を装い、署名まで Google を偽装しており、見かけ上、一般ユーザになんとなく安心感を与える工夫がされています。

攻撃の目的は不明ですが、無差別でなく標的を絞った攻撃手法は今後も開発されていきそうです。
とりあえず、メールに添付されたアプリはインストールしないべきですね。

最後に、おまけとして「Conference」のアプリ情報と、アプリ起動時に表示される文章を掲載します。

■「Conference」アプリ情報
パッケージ名 : com.google.services
バージョン情報: 1.0
アクセスURL http://64.78.xxx.xxx [米国]
署名者情報: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com

■「Conference」起動時の表示文章

WUC。ッs Conference
in Geneva

On behalf of all at
the Word Uyghur
Congress (WUC),
the Unrepresented
Nations and Peoples
Organization (UNPO)
and the Society for
Threatened Peoples
(STP), Human
Rights in China:
Implications for
East Turkestan,
Tibet and
Southern Mongolia
In what was an
unprecedented
coming-together of
leading Uyghur,
Mongolian, Tibetan
and Chinese
activists, as well
as other leading
international
experts, we were
greatly humbled by
the great
enthusiasm,
contribution and
desire from all in
attendance to make
this occasion
something
meaningful, the
outcome of which
produced some
concrete,
action-orientated
solutions to our
shared grievances.
We are especially
delighted about the
platform and
programme of work
established in the
declaration of the
conference, upon
which we sincerely
hope will be built
a strong and
resolute working
relationship
on our shared goals
for the future.
With this in mind,
we thoroughly look
forward to working
with you on these
matters.

Dolkun lsa
Chairman of the
Executive
Committee
Word Uyghur
Congress

Tor対策が急務に 遠隔操作事件で実証されたこと

多くのセキュリティ担当者は今週からTor対策が急務に-

遠隔操作ウイルス事件の真犯人とみられる容疑者が、2月10日に逮捕され、容疑者の勤務先、派遣先のパソコンが押収されました。今回の事件で犯人は、Torという発信元を秘匿化するソフトを利用していたため、通信経路から犯人を割り出すことは実質不可能でした。

本来、Tor の正当な利用方法としてはインターネットの自由が制限されている国から、情報発信をするためにジャーナリストが利用したり、外国政府の諜報機関が機密性の高い情報を送受信する際に利用したり、内部告発を行う際などに利用する、などがあります。しかし、一方で今回の事件のように、匿名性を利用して、犯罪に利用されてしまうケースも存在します。

また、驚くべきことに、逮捕後の調べによって、容疑者は勤務先から Tor を使ってインターネットに接続し、勤務時間中に遠隔操作をしていた可能性が高いことが分かりました。社員が、企業の内部ネットワークを利用して、通信を秘匿化するということは、セキュリティ、コンプライアンス両方の観点から見て、非常に危険な行為であることが今回の事件を通して証明されたと言えます。

企業はこのような不正行為から従業員を守るためにも、また万一こうした通信が発生することによって、企業自体の社会的な価値を損ねないためにも、こうした「内部から発信される通信」に含まれる危険性を回避するための環境整備が急務となったと言えます。

Tor 通信に限らず、「内部から発信される通信」をセキュアに保つためのソリューションとしてご紹介したいのが、『One Point Wall(ワンポイントウォール)』 です。

One Point Wall は、『ネットワークの内部から外部への対する通信』のうち、『危険性のある通信だけを止める』ことに特化したファイアーウォールです。
企業から発信される通信のうち、本来の利用目的にそぐわないものだけを選択し、遮断することが簡単にできます。

本製品は、発売当初より現在に至るまで、常にアプリ、ソフトウェアの最新のトレンド調査と危険性の判断を実施し、危険性を判断された通信に対しては即時ルール提供という形で通信を遮断するためのシグネチャを提供して参りました。
Tor に関して言えば、2008年より通信の遮断を実現しております。
ご参考までに、以下の動画で、One Point Wall が入っているネットワークと、One Point Wall が入っていないネットワークでの比較をしております。



Torによる通信は今後増えていくと思われますので、今のうちに対策をしましょう。

従業員数が数十名規模の環境に最適なアプライアンス製品であれば、下記 URL からすぐにお求めいただけます。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
NTT-X Store
One Point Wall BLOCK 60デバイス OPW-NBK60

Amazon
One Point Wall BLOCK30デイバス OPW-BK30
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

それ以上の規模のお客様は、弊社もしくは販売パートナーまでお問い合わせください。
■One Point Wall 販売パートナー
http://www.onepointwall.jp/partner.html

その他お問い合わせ、ご相談もお受けいたします。
気軽にお問い合わせください。

inquiry

当ブログはあくまで各個人の視点で書かれており、
記事の内容についてはネットエージェント株式会社の公式見解とは異なる場合があります。
記事検索
月別アーカイブ
QRコード
QRコード