keyboard-279664_640

デジタル鑑識の重要性が増すサイバーセキュリティの現在

  • このエントリーをはてなブックマークに追加

by [2014年6月26日]

先日、東京電機大学にて「TDUにおけるサイバーセキュリティ教育と研究発表会」というフォーラムが開催され、その中で「ネットワークフォレンジック技術の研究開発」の講演が行われた。

佐々木良一氏(CyS研究所 所長)

ネットワークフォレンジックとは聞き慣れれない方も多いと思う。フォレンジック(forensic)は「法定の」「法医学の」といった意味の犯罪捜査でよく使われる言葉だ。刑事ドラマでおなじみの、事件現場で科学捜査を行なう鑑識をイメージすると分かりやすいのではないだろうか。今回ご紹介するネットワークフォレンジックとは、このフォレンジックの考え方をネットワークのセキュリティに持ち込んだもので、いわばデジタル鑑識だ。
これまでのサイバーセキュリティは、入口(外部→内部)での対策がほとんどであったが、それだけでは、増加の一途を辿る不正アクセスや情報漏洩を防ぐことが難しくなってきている。今後はネットワーク系のログを正しく取り、出口(内部→外部)での対策が必要と語る佐々木氏のお話をお届けしよう。

標的型メール攻撃の概要と対策

昨今、標的型メール攻撃の動きが日本で非常に活発になってきています。
この攻撃は、特定少数に攻撃する特徴があるためワクチンプログラムが用意されていなかったり、そもそも人によってはどうしてもメールを開封してしまうという問題があります。また、標的型メールのウィルスをチェックすることもできますが、これも完璧ではありません。

最近のメール攻撃では「初期侵入」それから「侵入の拡大」「目的の遂行」といった形で攻撃が進みます。それに対応して、例えば入口のところで不正メールを見極めるチェックがされています。

標的型メールを開封する確率

あるメールが組織の中のn人に送られ、その中の1人がメールを開けたとします。するとファイルを開けてしまう確率は、こうした式で求められます。
その前提として標的型メールを開ける確率は、政府によると1回目で約10%、2回目は3%といった結果が出ています。

しかし、誰か一人がメールをファイルを開けてしまうと感染をしてしまいます。するとそこからみるみるうちに広がっていきます。
例えば100人の組織で、開ける確率が10%だったのを3%に減らしたところで、誰か一人が開けてしまう確率で見れば、100%だったものが96%になるに過ぎません。
入口対策にだけに重きを置くことは、非常に難しいことが分かっています。
もちろん政府などが「侵入の拡大」「目的の遂行」を減らすことを検討していますが、何らかの形で外に漏れ出たとしても対策が取れるようにしていくことが必要です。

標的型メール対策には適切なログ管理を

パケット系のログ等を証拠として残す技術のことを、ネットワークフォレンジックと呼びます。パケット系のログは、早期把握と痕跡を残すことが不可欠で、現在対策が必要になってきています。サーバー系のログは今でも大部分が取られていますが、パケット系のログは限定的です。

そこでネットワークログやパケットログをどう取るかかというガイドブックを、NISC(内閣官房情報セキュリティセンター)とデジタル・フォレンジック研究会が協力し作成しました。このガイドブックには、タイムサーバーを用いて「コンピュータ間の時刻を統一する」ことや「複数のログサーバーを用いて一括取得する」こと、そして「攻撃等の事象発生が確認された場合の対処手順を整理する」など一般的な事柄も記しています。また、ファイアウォールにおけるログの取り方等についても色々な形で指示しています。

ファイアーウォールの外から内に対してのフィルタリングは、色々な形がありログの痕跡を残すことができます。しかし、内から外に流れていくものに対するフィルタリングは非常に弱いため、後に何が起きたか調べようとしてもログが残ってないことがあります。
そこで、問題を起こす人やウイルスが等によって不正が実行された場合、痕跡が残るようにすることで、後で何が起こったかを分かるようになりますし、早い段階で気づいた場合は予防に使えるわけです。さらにはウェブサーバーにアクセスする時には「必ずプロキシーを取る」などを書いています。

これらを参考にして、多くの企業、組織に向かって「ネットワーク系のログをちゃんと取りましょう」という事を提言してきました。

ネットワークフォレンジックと企業

残念ながら大部分の企業は、ネットワーク系のログは取っていません。ただ少しずつ、ネットワークログを有効に活用する動きというのは増えてきてます。
フェーズ2に入ると、ネットワーク系のログを取り、使用して色々な次のステップに生かしていく動きも出てきています。フェーズ3では、ネットワーク系のログとサーバー系のログと人間行動に関するようなログを一緒にして、タイムテーブルにすることによって、色々な矛盾のチェックを行う所もあります。また、銀行等を中心にしてフェーズ4までいっている企業もあります。

それは、色々なロボットとイベントとして上がってくるような色んなアラームをうまく組み合わせて、アラーム、従来のロボット、ログ情報をリンクすることで管理していくシステムが少しずつ導入され始めてきています。

SIEMの問題点

それらは、SIEM(Security Information and Event Management)という形でいくつかの企業から、製品化もされてきています。
これら製品は一つの方法として大変重要なものですが、いくつかの問題点があります。

1つ目は「対策の総合的判断が過剰に運用者の能力に依存」している問題です。例えば、非常に優秀な運用者が複数人いて、協議・対応していく場合はうまく機能します。しかし、多くの企業では優秀な運用者がいないため、色々な対策が必要になってきます。この部分をAI技術を用いて対応しようと考えています。かつては期待されていたAIですが、現在ではなかなかうまくいかないと考えられています。しかし、音声認識も画像認識も一種のAI技術であり、AIと呼ばれなくなっても現実的に役に経つ技術は増えています。そのため、こういった異常診断等についても、AIがもう一度活用できると考えております。
2つ目は「判断に必要な情報が不十分」ということです。そこで、パケットを流した元のアプリケーションの探索方法の活用や、不当に流されたデータの持つ情報の有効利用、あるいはゾーンニングなどの能動的行動によって得られる情報を有効活用を考えています。
3つ目は「対象に合致したシステムの構築運用支援が不可欠」ということで、計画支援システムとのリンクや実証実験システムとのリンクが今後必要になっていくと思っています。これらをベースに、現在LIFTシステムの開発を進めています。

LIFTシステムの概要

これはサイバーセキュリティ研究所の6つの共同研究プロジェクトの一つとして行っているものです。
基本的にこのシステムは、AIをベースに追加作業していろいろな情報をとり、計画支援システムとリンクできるようにしようと思っています。

徴候・事象関連テーブルは、事象が起きた場合どんな徴候になるかという情報を得ます。
そして、事象把握用の追加テーブル、事象・対策関連テーブルを用意することで、徴候が実システムから何度か掴む事によって、イベントとして得られます。
それに基づいて、徴候から事象についてサーチし、事象を検証していきます。多くの場合は、このように徴候から事象が判明することはありません。事象把握用の追加テーブルをサーチすることで、追加の情報を集めてくるといった仕組みです。これは自動と人間経由の2つがあります。

また追加作業には、検証するためにさらに調べる必要があるだけでなく、考えられる以上のものは考えられないため、仮説を否定するものも入れています。こうした形で事象が固まった場合、それに基づいて対策を指示しようと考える仕組みです。
その過程でパケットとプロセスの回路付けのプログラム等の対処システムを入れて、どのようなプロセスが立ち上がっているのか検討できるようにしています。

また、それぞれのフェーズごとに、攻撃の形成、パターンが異なっています。
攻撃フェーズごとに事象がありまして、その事象と徴候ごとに情報とソース(ログ)などの関係を明確にして、徴候と事象の関係を掴むという事にしています。


徴候・事象関連テーブルは、事象に対して徴候があるということをあらかじめ明確にし、その確率がある程度、的に当たるようにしています。それに基づいて、事象把握用の追加作業テーブルを使って検討している状況です。

例えば、不正なサーバーへの接続を徴候としてプロキシーを経由しない通信と、あるいは違ったサーバーに接続されているのではないかという疑いがあるとします。確信度を上げるために、その施行に規則性があっただとか、横にチェックして確信度を上げていくとともに、前のフェーズの事象の中、例えば、端末が、正当な期間稼働していないということを調査します。
この例でいうと、端末が不正プログラムを立ち上げていないかどうかを確認し、IPアドレスが対象となるPCを見つけます。その後、先ほどの新しいプログラムやソフトを入れて、これをプロセスにしてわかりやすいようにしています。こうして追尾することで、確信が得られるようになります。


その上で事象、対策関連テーブルを使い、必要な対策を明確にしていきます。

成果と今後の対応

主な成果としては、LIFTシステムの基本構想や概略仕様を提案し、自動運転での攻撃検知と攻撃事象推定機能、及び対策方法の算出実行機能の提案などがあります。
産学協同的成果としては、パケット・プロセス対応付けプログラムの製品への組み込みが決定し、官学連携的成果としてはLIFTシステム基本技術研究が科研費に採択されています。

今後の対応としては、実験を通じて各テーブルを充実させること、そして応急対応時に管理者へ分かりやすいガイドが行えるようにインターフェイスを開発していきます。さらには、揮発情報を保全するメモリフォレンジック機能の導入を検討し、堅実性をより高めたいと思っています。

サイバー・セキュリティ研究所
内閣官房情報セキュリティセンター(NISC)
デジタル・フォレンジック研究会

コメントは受け付けていません。

PageTopへ