4.4K Views
June 22, 20
スライド概要
ウェブサーバーにウイルス対策ソフトを導入していますか? ウェブサーバーにウイルス対策ソフトは必要なのか否か、脅威分析の手法により分析した例を示します。
脅威分析の手法によりウェブサーバーにウイルス対策ソフ トが必要かを検証する EG セキュアソリューションズ株式会社 徳丸 浩 © 2020 Hiroshi Tokumaru
• 本日お伝えしたいこと – ウェブサーバーにウイルス対策ソフトは必要か – 脅威分析の手法により、ウェブサイトとウイルス対策ソフトの関係 を分析します – ウェブサイトにウイルス対策ソフトを導入すべきケース © 2020 Hiroshi Tokumaru
ウェブサイトのウイルス対策を巡る状況 © 2020 Hiroshi Tokumaru
PCI DSSでは要件5としてウイルス対策ソフトを要求しているが 要件 5: すべてのシステムをマルウェアから保護し、ウイルス対 策ソフトウェアまたはプログラムを定期的に更新する 5.1 悪意のあるソフトウェアの影響を受けやすいすべてのシス テム(特にパーソナルコンピュータとサーバ)に、ウイルス対 策ソフトウェアを導入する。
PCI DSSの実務上はどうか? 要件5はアンチウィルスソフトウェアの使用とその運用方法について、要件6では開 発、保守フェーズにおける対策とパッチ適用についての要件となっています。アン チウィルスソフトウェアに関しては、多くの記述はありませんが、ウィルスの影響 を受けやすいシステムへのアンチウィルスソフトウェアの導入、スパイウェア、ア ドウェアなどに対する検知、除去、防護が必要、とされていて、現在普及している アンチウィルスソフトウェアを選択すれば、間違いはないでしょう。 アンチウィルスソフトウェアを導入しなければならない対象は、「ウィルスの影響 を受けやすいシステム」とありますが、これは主にWindows系サーバおよびクライ アントを指しており、UNIX系サーバやメインフレームなどは除外して問題ありませ ん。もちろん、場合によってはLinuxサーバにアンチウィルスソフトウェアを導入す ることが無意味であるというわけではありませんが、最低限必要なのはWindows系 サーバおよびクライアントであるといえます。 PCI DSSの概要 -PCI DSSの12要件を読み解く- | NTTデータ先端技術株式会社 より引用 http://www.intellilink.co.jp/article/pcidss/02.html
内閣官房情報セキュリティセンター のドキュメントより 「情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の検討に関 する解説書」より 「参考例Ⅱ インターネットサービスシステム」の脅威および技術対策の例 https://www.nisc.go.jp/active/general/pdf/dm6-07-101_manual.pdf より引用
藤沢市のセキュリティポリシー ウェブアプリケーションのセキュリティ対策に関する仕様書 1 趣旨 この仕様書は、○○○○○○○○○○契約の受託者がホームページの改ざん等をはじめとしたイン ターネット上の脅威に対処するため、開発及び運用等において、ウェブアプリケーションに対して実 施する対策について定めることを目的とする。 3 ウェブアプリケーション運用のためのセキュリティ対策 受託者は、ウェブサイトを安全に運用するために次のセキュリティ対策を施さなければならない。 【略】 (3)ウイルス対策ソフトの導入 ウェブアプリケーションが稼働するサーバにウイルス対策ソフトを導入し、保護しなければならない。 https://www.city.fujisawa.kanagawa.jp/joho006/documents/documents/webapplication.pdf より引用
セキュリティ要件とウイルス対策ソフトの微妙な関係 • PCI DSSでは要件5にて「悪意のあるソフトウェアの影響を受けやすい すべてのシステム(特にパーソナルコンピュータとサーバ)に、ウイ ルス対策ソフトウェアを導入する」と要求している – しかし、日本の実務上は、Linux等によるウェブサーバーでは必須としていない • 地方公共団体等の公開されているセキュリティ要件ではウイルス対策 ソフトの導入を義務付けているものが多い – おそらく多くの企業でも同じ状況 – Linuxだとウイルス対策ソフトの選択肢が乏しいので、ウイルス対策ソフトの選 択肢が豊富なWindowsサーバーを敢えて選択するベンダーもある • いったい、ウェブサーバーのウイルス対策ソフト必須なのか • ウェブサーバーのウイルス対策ソフトが必須なケースはどの場合か © 2020 Hiroshi Tokumaru
ウイルス感染の経路 © 2020 Hiroshi Tokumaru
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/txt/2018/q2outline.html より引用
ウェブサイトに侵入してウェブシェル設置 ターゲットサイト 秘密情報 攻撃者 ウェブシェル(マルウェアの一種) © 2016-2020 Hiroshi Tokumaru
ウェブサイトに侵入してウェブシェル設置された例 エイベックス 個人情報不正アクセスに関する調査報告書(要約版) より引用
ウェブサイトが改ざんされてウイルス感染する「仕掛け」を設置された ターゲットサイト コンテンツ 攻撃者 ウイルス感染の仕掛け © 2016-2020 Hiroshi Tokumaru 利用者 ウイルス感染
ウェブサイトに侵入されて、暗号通貨を採掘するマルウェアを設置される 攻撃者 ターゲットサイト 暗号通貨 マイニング プログラム設置 サイト利用者 マイニング プログラム © 2020 Hiroshi Tokumaru 暗号通貨の マイニング
サイト管理者のパソコンがウイルス感染してそこから… 攻撃者 ターゲットサイト 利用者(被害者) バラマキ型 メール攻撃 管理者 コンテンツ アップロード サイトアクセス ウイルス感染 ウイルス感染 © 2020 Hiroshi Tokumaru
ソフトウェア配布ソフトが攻撃されソフトウェアが汚染された 攻撃者 ソフトウェア配布サイト 秘密情報盗み取り ターゲットサイト 利用者(被害者) ダウンロード 管理者 秘密情報 サイトアクセス ソフトウェア アップロード ソフトウェア © 2020 Hiroshi Tokumaru ウイルス感染
悪意のサイト利用者がウイルスファイルをアップロードする ターゲットサイト 利用者(被害者) 悪意の利用者 コンテンツ 利用者 ウイルス © 2020 Hiroshi Tokumaru ウイルス感染
ウェブサーバーのウイルス感染脅威分析 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 悪意の管理者 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 利用者 ウェブサーバー自体 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 悪意のユーザー ファイルアップロード機能で 利用者 マルウェアをアップロード © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脆弱性をついた攻 撃・認証突破 悪意の管理者 脅威 直接影響を与える対象 対策 ウェブシェル等の設置 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 ウェブサーバー自体 利用者 ウェブサーバー自体 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 悪意のユーザー ファイルアップロード機能で 利用者 マルウェアをアップロード © 2020 Hiroshi Tokumaru 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入
US CERTから公表されたウェブシェルへの警告 Detection Due to the potential simplicity and ease of modification of web shells, they can be difficult to detect. For example, anti-virus products sometimes produce poor results in detecting web shells. 検知(私訳) ウェブシェルは潜在的に単純で変更が容易なため、検出するのは困難な場合がある。たと えば、ウイルス対策製品は、ウェブシェルの検出は貧弱な結果になることがある。 https://www.us-cert.gov/ncas/alerts/TA15-314A より引用
日本テレビ「個人情報不正アクセスに関する調査報告書」から A)侵入を検知・防御する対策(入口対策) ①ツールによる脆弱性診断を約2年前に実施済みであった。しかし、今 回の攻撃に悪用された脆弱性は、当該診断時には発見できなかった。 また、上記時点以降は脆弱性診断を実施していない。 ②IDS(不正侵入検知システム)を導入しており、常時監視をしていた。 しかし、今回のOSコマンドインジェクションは検知できなかった。 ③不要なウェブリクエストがプログラム上で制限されていなかった。 ファイル改竄検知システムを指すと思われる ④プログラム言語の設定として不要な呼び出し関数の実行が制限されて ウイルス対策ソフトについては言及なし いなかった。 ⑤ファイルが不要に設置されたことを検知する仕組みがなかった。 ⑥プログラムが動作する範囲が適切でなかった。 「個人情報不正アクセスに関する調査報告書」より引用 http://www.ntv.co.jp/oshirase/20160714.pdf
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脆弱性をついた攻 撃・認証突破 悪意の管理者 脅威 直接影響を与える対象 対策 ウェブシェル等の設置 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 ウェブサーバー自体 利用者 ウェブサーバー自体 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 悪意のユーザー ファイルアップロード機能で 利用者 マルウェアをアップロード © 2020 Hiroshi Tokumaru 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 一人1ID、権限最小化 操作ログの取得・監査
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脆弱性をついた攻 撃・認証突破 悪意の管理者 脅威 直接影響を与える対象 対策 ウェブシェル等の設置 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 ウェブサーバー自体 利用者 ウェブサーバー自体 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 悪意のユーザー ファイルアップロード機能で 利用者 マルウェアをアップロード © 2020 Hiroshi Tokumaru 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 一人1ID、権限最小化 操作ログの取得・監査 信頼できる配布元の利 用、配布元サイトの定 期的な確認
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脆弱性をついた攻 撃・認証突破 悪意の管理者 脅威 直接影響を与える対象 対策 ウェブシェル等の設置 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 ウェブサーバー自体 利用者 ウェブサーバー自体 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 悪意のユーザー ファイルアップロード機能で 利用者 マルウェアをアップロード © 2020 Hiroshi Tokumaru 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 一人1ID、権限最小化 操作ログの取得・監査 信頼できる配布元の利 用、配布元サイトの定 期的な確認 管理者端末のウイルス 対策
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脆弱性をついた攻 撃・認証突破 悪意の管理者 脅威 直接影響を与える対象 対策 ウェブシェル等の設置 管理者がウイルスを設置 利用ソフトウェアの サーバースクリプトがマル 汚染 ウェア感染していた ウェブサーバー自体 ウェブサーバー自体 利用者 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 一人1ID、権限最小化 操作ログの取得・監査 信頼できる配布元の利 用、配布元サイトの定 期的な確認 管理者端末のウイル コンテンツがマルウェア感染 利用者 ス感染 していた 管理者端末のウイルス 対策 ファイルアップロード機能で 利用者 マルウェアをアップロード ウェブサーバーにウイ ルス対策ソフト 悪意のユーザー © 2020 Hiroshi Tokumaru
まとめ • 脅威分析の手法により、ウェブサーバーがウイルス感染する経路と影 響を分析 • ウェブサーバーにおけるウイルスの脅威は以下の2パターンがある – サーバー自身が侵害される – ウェブサイトの利用者がウイルス感染する • ウェブサーバーにウイルス対策ソフトの導入が必須なケースは、サイ トにファイルアップロード機能がある場合 • ウイルス対策ソフトに限らず、セキュリティソリューションの導入前 には脅威分析を実施して効果的なソリューションを導入するとよい © 2020 Hiroshi Tokumaru