マルウェアに感染してみた & QRadarでセキュリティ対策を考えよう！

Transcript

1. *#.
   5FDI
   %PKP マルウェアに感染してみた & QRadarでセキュリティ対策を考えよう！ 2022/10/05 17:00-18:00開催

2. ຊ೔ͷφϏήʔλʔ ٶ࡚ لࢠ /PSJLP
   .JZB[BLJ ೔ຊ*#.
   ΧελϚʔɾαΫηεɾϚωʔδϟʔ ΞϚϥγϯϋ Ξνϟϥ "DIBMB "NBSBTJOHIF ೔ຊ*#.

   ΧελϚʔɾαΫηεɾϚωʔδϟʔ ˜
   
   *#.
   $PSQPSBUJPO

3. 途中退出される場合も アンケートへのご回答をお願いいたします。 ※ slido.comで #dojo20221005pm を検索 © 2022 IBM Corporation

   Agenda 1. セキュリティ関連の最新情報 2. マルウェアに感染するとどうなる？ 3. QRadarを使ったセキュリティ対策 4. Closing： アンケートのお願い

4. ͜ͷࢿྉʹؚ·ΕΔ৘ใ͸ՄೳͳݶΓਖ਼֬Λظ͓ͯ͠Γ·͕͢ɺ ೔ຊΞΠɾϏʔɾΤϜגࣜձࣾͷਖ਼ࣜͳϨϏϡʔΛड͚͓ͯΒͣɺ ౰ࢿྉʹهࡌ͞Εͨ಺༰ʹؔͯ͠೔ຊΞΠɾϏʔɾΤϜגࣜձࣾ ͕ԿΒอূ͢Δ΋ͷͰ͸͋Γ·ͤΜɻ ैͬͯɺ͜ͷ৘ใͷར༻͸࢖༻ऀͷ੹೚ʹ͓͍ͯҝ͞ΕΔ΋ͷͰ ͋Γɺࢿྉͷ಺༰ʹΑͬͯड͚͍͔ͨͳΔඃ֐ʹؔͯ͠΋Ұ੾ͷ ิঈΛ͢Δ΋ͷͰ͸͋Γ·ͤΜɻ ໔੹ࣄ߲ © 2022

   IBM Corporation

5. セキュリティ関連の最新情報 順位 組織向け脅威 1 ランサムウェアによる被害 2 標的型攻撃による機密情報の窃取 3 サプライチェーンの弱点を悪用した攻撃 4

   テレワーク等のニューノーマルな働き方を狙った攻撃 5 内部不正による情報漏えい 6 脆弱性対策情報の公開に伴う悪用増加 7 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 8 ビジネスメール詐欺による金銭被害 9 予期せぬIT基盤の障害に伴う業務停止 10 不注意による情報漏えい等の被害 ৘ใηΩϡϦςΟେڴҖ 出典：(独)情報処理推進機構(IPA) 最終更新2022年8月29日 ˗ ϝʔϧ͔Βײછͤ͞Δ ϝʔϧͷఴ෇ϑΝΠϧ΍ϝʔϧຊจதͷϦϯΫΛ ։͔ͤΔ͜ͱͰϥϯαϜ΢ΣΞʹײછͤ͞Δɻ ˗ ΢ΣϒαΠτ͔Βײછͤ͞Δ ੬ऑੑ౳Λѱ༻͠ϥϯαϜ΢ΣΞΛμ΢ϯϩʔυ ͤ͞ΔΑ͏վ͟Μͨ͠΢ΣϒαΠτ΍߈ܸऀ͕༻ ҙͨ͠΢ΣϒαΠτΛӾཡͤ͞Δ͜ͱͰײછͤ͞ Δɻ ˗ ੬ऑੑ͕͋ΔωοτϫʔΫܦ༝Ͱײછͤ͞Δ ιϑτ΢ΣΞͷ੬ऑੑΛະରࡦͷ··Πϯλʔ ωοτʹ઀ଓ͍ͯ͠Δػثʹରͯ͠ɺͦͷ੬ऑੑ Λѱ ༻ͯ͠Πϯλʔωοτܦ༝Ͱײછͤ͞Δɻ ˗ ެ։αʔόʔʹෆਖ਼ΞΫηεͯ͠ײછͤ͞Δ ֎෦ެ։͍ͯ͠ΔαʔόʔʹϦϞʔτσεΫτο ϓ౳Ͱෆਖ਼ϩάΠϯ͠ϥϯαϜ΢ΣΞʹײછͤ͞ Δɻ 感染の手口

6. • 特定の場所のファイル、アプリ、コンテンツなどを暗号化・漏えい • 暗号化されたファイル等を解除する為に身代金が要求される • 漏えいされたデータが一般公開されるケースもある • 身代金を払っても解除してもらえる保証はない • 被害にあったことで顧客からの信頼や今後の営業活動に影響を及ぼす

   ランサムウェアの被害について © 2022 IBM Corporation

7. αΠόʔηΩϡϦςΟ߈ܸΛ ड͚ͨ͜ͱ͸͋Γ·͔͢ʁ ࣭໰̍ Let’s Slido! © 2022 IBM Corporation

8. © 2022 IBM Corporation αΠόʔ߈ܸʹؔ͢Δओͳ౷ܭ 146% 21% 33% 9'PSDFʹΑͬͯ֬ೝ͞Εͨ߈ܸλΠϓͷτοϓ͸೥Ҏ্ʹΘͨΓ ϥϯαϜ΢ΣΞ

   ϥϯαϜ΢ΣΞ߈ܸͷׂ߹ 2020年から2021年にかけての脆弱性悪⽤によるインシデント数の増加 インシデント数の増加 *OUF[FSࣾʹΑΔͱɺಠࣗͷ ৽͍͠ ίʔυΛ࣋ͭ-JOVYϥϯαϜ΢ΣΞͷ ׂ߹͸ɺલ೥ൺ Ͱ૿Ճ͓ͯ͠Γɺ-JOVYϥϯαϜ΢ΣΞͷֵ৽ੑͷ ਫ४͕ߴ·͍ͬͯΔ͜ͱΛ͍ࣔͯ͠Δ ৽͍͠ίʔυʹΑΔ-JOVYϥϯαϜ΢ΣΞͷ૿Ճ

9. © 2022 IBM Corporation 2.0 億円 2.2 億円 2.4 億円

   2.7 億円 3.4 億円 3.9 億円 3.7 億円 4.1 億円 4.5 億円 5.1 億円 5.6 億円 0.0 億円 1.0 億円 2.0 億円 3.0 億円 4.0 億円 5.0 億円 6.0 億円 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 σʔλ৵֐࣌ʹൃੜ͢Δฏۉ૯ίετʢ೔ຊʣ ϥϯαϜ΢ΣΞ΍ഁյతͳ߈ܸ͸ɺ ଞͷλΠϓͷσʔλ৵֐ΑΓ΋ߴίετ ඃ֐ֹʹؚ·ΕΔ΋ͷ  ΤεΧϨʔγϣϯ  ௨஌  ଛࣦͨ͠Ϗδωε  ෮چʹ͔͔Δ޻਺ ͳͲ ϥϯαϜ΢ΣΞͷ ਎୅ۚίετ͸ؚ·Ε͍ͯͳ͍ ग़య *#.
   4FDVSJUZ ೥ ʮσʔλ৵֐ͷίετʹؔ͢Δௐ ࠪʯ ΤάθΫςΟϒɾαϚϦʔ೔ຊޠ൛

10. ࡢ೥ɺੈքͰ࠷΋αΠόʔηΩϡϦςΟඃ֐Λ ड͚ͨۀք͸Ͳͩ͜ͱࢥ͍·͔͢ʁ ࣭໰̎ Let’s Slido! © 2022 IBM Corporation

11. © 2022 IBM Corporation ૂΘΕΔۀք ੡଄ۀ͕ੈքͰ࠷΋߈ܸ͞Ε͍ͯΔۀք ͜ͷ೥ؒͰॳΊͯɺ੡଄ۀ ʹର͢ΔαΠόʔ߈ܸͷ݅਺ ͕ۚ༥ɾอݥۀʹର͢Δ݅਺ Λ্ճͬͨɻ

    ͜ͷ೥ͷ੡଄ۀͷ૊৫ ʹର͢Δ߈ܸͷ෼ͷۙ͘ ͕ΞδΞͰൃੜ͍ͯ͠Δɻ ্ҐҐͷ࢈ۀ΁ͷ߈ܸͷ಺༁ ೥ͱ೥ͷൺֱ ग़య *#.
    4FDVSJUZ
    9'PSDF 製造業 金融・保険業 専門・… エネルギー 小売・卸売業 医療/ヘルスケア 運輸 官公庁/自治体 教育 メディア 2021年 2020年 23.2% 17.7% 22.4% 23.0% 12.7% 8.7% 8.2% 11.1% 7.3% 10.2% 5.1% 6.6% 4.0% 5.1% 2.8% 2.8% 2.5% 7.9% 4.0% 5.7%

12. 出典：(独)情報処理推進機構(IPA) 最終更新2022年8月29日 病院へのランサムウェア攻撃 
    ೥ 
    ݄ɺࠃ಺ͷެཱපӃ͕ϥϯαϜ΢Σ ΞͷײછʹΑͬͯɺ໿
    ສ 
    ਓ෼ͷిࢠΧϧς ΍ձܭγεςϜʹΞΫηεͰ͖ͳ͘ͳΔඃ֐Λड͚ͨɻ ಉපӃ͸਎୅ۚΛࢧ෷ΘͣʹγεςϜͷ࠶ߏஙΛߦ͍ɺ෮چ·Ͱͷ໿
    ϲ݄ؒɺҰ෦ͷ਍ྍՊͰ ৽نױऀͷड͚ೖΕΛதࢭ͢Δ౳ͷӨڹ͕͕͋ͬͨɺ
    ೥݄ɺ௨ৗ਍ྍΛ࠶։ͨ͠ɻ

    ランサムウェア国内被害事例２ バックアップの暗号化による被害の長期化 
    ೥ 
    ݄ɺେख੡คձ͕ࣾαΠόʔ߈ܸΛड͚ɺେ෦෼ͷαʔόʔ΍Ұ෦୺຤͕ಉ࣌ଟൃతʹ ҉߸Խ͞ΕΔඃ֐Λड͚ͨɻ҉߸Խ͞ΕͨγεςϜʹ͸άϧʔϓձࣾ΋ར༻͍ͯ͠ΔجװγεςϜ ΋ؚ·ΕɺγεςϜͷΦϯϥΠϯόοΫΞοϓΛ؅ ཧ͢Δαʔόʔʹ͍ͭͯ΋҉߸Խ͞Εͨ͜ͱͰ ૣظ෮چ͕ࠔ೉ʹͳΓɺͦͷ݁Ռɺ࢛൒ظܾࢉใࠂॻͷఏग़ΛԆظ͢Δ͜ͱͱͳͬͨɻ ランサムウェア国内被害事例１ ランサムウェア被害の最新情報

13. 職場またはご自身の環境の セキュリティ対策はできていますか？ 質問３ Let’s Slido! © 2022 IBM Corporation

14. マルウェアに感染するとどうなる？ © 2022 IBM Corporation

15. 注意事項 これからお見せするランサムウェア攻撃は GitHubで教育目的に公開されている物を参考にしています。 実際にこのファイルにはWindowsセキュリティーで探知される ウィルスが潜んでいますので絶対にマネしないでください。 ランサムウェアの配布・悪用は犯罪になります。 © 2022 IBM Corporation

16. アチャラタイム１ © 2022 IBM Corporation

17. © 2022 IBM Corporation

18. © 2022 IBM Corporation ϑΝΠϧͷμ΢ϯϩʔυ࣌ʹ 8JOEPXTηΩϡϦςΟ͕ݕ஌ͯ͘͠ΕΔ৔߹΋͋Γ·͢ɻ

19. マルウェアに感染しないためにユーザができること • 添付ファイルを開かない • URLリンクにアクセスしない • マクロを有効にしない 送信元や本文に見覚えがある返信メールや、自然な日本語で書かれ たメール であっても、常に攻撃メールである可能性を念頭に置いて取り扱う

    © 2022 IBM Corporation

20. それでもやってくる脅威 敵は静かに、見つからないように情報を搾取していきます。 © 2022 IBM Corporation

21. QRadarを使ったセキュリティ対策 © 2022 IBM Corporation

22. アチャラタイム２ © 2022 IBM Corporation

23. IBM QRadar 集中されたPhishingメール攻撃の探知

24. IBM Security / © IBM Corporation 2021 24 • 大量のイベントログから脅威となるものを特定するのは難しい

    • リモートワークやクラウド化で脅威となる範囲が広がっており、 対策が急がれている • イベントデータのみならず、アプリケーションレイヤーまで総合的に 監視・把握することは難しい • 脅威を検知するまで１９５日＋封じ込めに７５日（2022年CODBレポー ト）という長期戦は耐えられない • 社内でサイバーセキュリティに対応する人材が不足している ैདྷͷηΩϡϦςΟʔͰ͸ରԠ͖͠Ε·ͤΜ サイバーセキュリティー対応の現場でおきていること

25. SIEM (Security Information and Event Management) リアルタイムでアプリや ネットワーク機器からの セキュリティーイベント 情報でルールに合わせた

    アラートを上げ、ワーク フローに必要なデータを 提供するシステム。 例： IBM Security QRadar XDR SIEM QRadar SIEM EDR・XDR (Endpoint Detection and Response / Extended Detection and Response) ホストやエンドポイント のネットワークデータを リアルタイムで監視して、 察知した脅威に 対応するツール。 例： IBM Security QRadar XDR EDR ReaQta DLP (Data Loss Prevention) データ侵害から守るため のブリーチ、浸透、不審 なデータの削除を 察知するシステム。 例： Guardium MDM・IAM (Mobile Device Management / Identity and Access Management ) 多要素認証やキー マネジメント機能を 使ったデバイスと社内 システムのアクセス権限 ツール 例： MaaS360 Verify © 2022 IBM Corporation 25 SOAR (Security Orchestration Automation and Response) SIEMなどからのデータ を使って社内の インシデント対応や セキュリティー ガバナンスポリシーに 合わせた自動化された インシデント対応 システム。 例： IBM Security QRadar XDR SOAR QRadar SOAR 主なサイバーセキュリティーツール

26.  ڴҖͷௐࠪ࣌ؒ࡟ݮͷվળ αΠόʔ߈ܸͷݕ஌ྗΞοϓ཰ ηΩϡϦςΟʔڴҖ΁ͷରԠ଎౓ ೝఆ͞ΕͨΠϯςάϨʔγϣϯʹ Αͬͯฏۉ୳஌࣌ؒʢ.55%ɾ .55*ʣͱϦεΫ࡟ݮ͕Մೳ ՄࢹԽ ݕ஌ ରԠ

    ௐࠪ l*#.
    23BEBS
    ʹΑͬͯڴҖΛ೺Ѳ͢Δࣄͷޮ཰ੑΛ ˋۙ͘·Ͱ্͛Δࣄ͕Ͱ͖·͢ɻz 'PSSFTUFS © 2022 IBM Corporation 23BEBS͕ఏڙ͢ΔڴҖ؅ཧιϦϡʔγϣϯͷϝϦοτ

27. Phishingメール 社内環境 メールサーバー 社員ワークステーション ファイア ウォール 社内システムやDB 機密情報 ハッカー

28. Phishing攻撃の被害者 • 会社の役人やCレベルの方（Whale Phishing） • コアビジネス周りの従業員 • パートナーや契約社員 • サイトやプラットフォームのエンドユーザー

    • 個人

29. Phishing攻撃の原因と予防対策 主な原因 l 社内でセキュリティーに対して の知識不足 l 業務活動にかかるDue Diligence やリスク分析の漏れ l

    ソーシャルエンジニアリング 一般的な予防対策 lメールサーバーモニタリング l機密情報やセンシティブな システムをアクセスするための 2段階認証（２FA） l社員への訓練

30. QRadar Phishingメール 社内環境 メールサーバー 社員ワークステーション ファイア ウォール 社内システムやDB 機密情報 ハッカー

31. 31 © 2022 IBM Corporation

32. QRadar Phishingメール 社内環境 メールサーバー 社員ワークステーション ファイア ウォール 社内システムやDB 機密情報 ハッカー

    QNI

33. 2ˍ"

34. Global Markets - Cloud Platform Sales / © 2022 IBM

    Corporation 34 本セッションのまとめ • マルウェアに感染しないよう用心深く • 感染した場合に起こることを想定し、バック アップを備えておく • ぜひ、IBM Security製品もご検討ください

35. 35 Closing 本日は当セミナーにご参加いただきありがとうございました。 アンケート回答のご協力をお願いいたします。 slido.com #dojo20221005pm © 2022 IBM Corporation

36. None

37. 一般的なランサムウェア攻撃の流れ Global Markets - Cloud Platform Sales / © 2022

    IBM Corporation ステージ１ (初期アクセス） 1.Phishingメールまたはネット側の サービスのExploit 2.アクセスの確立 3.支配とコントロール ステージ２ （エクスプロイト後） 1.Exploit後のマルウェア・ツールキット 2.インタラクティブな攻撃で システムへのアクセス ステージ３ （拡張） 1.ユーザー・グループのアクセス権限の 偵察 2.Active Directory偵察によって ドメインアドミンやコントローラー リストの収集 3.偵察を深堀してデータソースの収集や 攻撃するホストやサブネットの把握 ステージ４ （データ収集と漏洩） 1.機密データの漏洩やドメインの アドミニストレーター権限の確保 ステージ５ (Ransomewareのデプロイ） 1.ランサムウェア注入の準備 2.アドミニストレーター権限の グループポリシーやSMBなどを 使用したデプロイ

38. 38 Global Markets - Cloud Platform Sales / © 2022

    IBM Corporation 安全な仕事環境への 評価と計画作成 執行 （Enforcement） 探知と対応 インサイト 1 アドホック 所々に基礎的なセキュリ ティー対策が整えている • リモートワーク用の接続が 構造的に編成されていない • 追加措置またはP2PのRDP 接続なしのVPN 5 最適 一元化されたポリシーエ ンジンを使ったアーキテ クチャーで様々な場面や ドメインに統合された判 断によって管理されたア クセス権限 • 組織全体のネットワーク セキュリティーの基盤に Secure Access Service Edge (SASE) 機能を基に して構築されています • 双方向に連携し、自動化 されたIAM とXDRプラッ トフォーム • セキュリティーアラート によって • AIと機械学習（ML）に よってセキュリティーと UXの向上 4 マネージド 安全な判断ができるセク ションコントロールが搭載 されている。信頼度によっ て認証の制度が決められて います • ほとんどのエンター プライズアプリへの接続はゼ ロトラスト ネットワークアク セスが使われています • 適応されたアクセスシステム を通して要件が把握された際 にアクセス判断がおります • 細かく分けられているエン タープライズアプリ • セキュリティー対策の管理、 自動化、対応方法と探知仕組 み（SOAR）が反応しやすく 設定されています。 • クラウドから全体のネット ワークセキュリティーとアク セスが管理されている 3 定義済み ゾーンに応じて複数の アクセス認証が必要な 環境ができています • オンプレウェブアプリに は適応されたアクセスが ありますが、全てのエン ドユーザーアプリに整え ていません • エンドユーザーのデバイ ス情報は適応された アクセスシステムに 送られています • ゼロトラスト ネットワー クアクセスが評価されて います 2 繰り返し可能 基本的なセキュリティー 対策管理はあるが、孤立 されています • 遠隔接続にはVPNが使われ ています • パワーユーザーの間で2段 階認証の使用 • ネットトラフィックはまだ データセンターに移動され ていてから調べられている ZT Governance 基礎 ゼロトラスト