FOCUS JAPAN 2015 メモ

FOCUS JAPAN 2015
http://focusjapan.jp/


国債犯罪組織との闘いから判明した真実
https://reg31.smp.ne.jp/regist/is?SMPFORM=lcqh-ncthp-9af792e68e1a4fae55471024c396736a&id=3
■攻撃手法
・アメリカでは医療データの収集が流行している。
　医者はお金を持っているため金銭目的。また、銀行よりもセキュリティレベルが低いため狙われやすくなっている。
　技術の進歩で近い将来銀行への直接攻撃も想定される。
　『目に見えない経済』というレポートを参考にしてほしい。
・ラムサスウェアが欧米で流行した。
　取引してもデータ回収ができないケースが多い。
・感染キャンペーンをやり世界のハッカーが同時に攻撃を開始するようなこともあった。
　このとき利用される技術は事前検証で成功率の高かったものを採用されている。
　あまりの規模の大きさに世界のセキュリティ関連の企業、団体が協力して捜査しても犯人特定がほぼできなかった。

■利益
・近年の金銭入手方法はダークウェブを利用したビットコイン。ある意味、過去のスイス銀行よりも匿名性が高い。
・サイバー犯罪での収益は(アメリカクラッカー集団）数十億から数百億ドルと言われている。

■攻撃アルゴリズムの進化
・ドメイン生成アルゴリズムが多くのクラッカーの投資によって作られた。
　常に新しいドメイン生成し続けてマルウェアは最新のドメインを利用する。
・ビーボーン
　回避能力の向上したマルウェアが発見された。以下のようなものが発見されている。
　アンチウイルスのプロセスをKILL。
　ウイルススキャンした場合に自分を例外に登録するまたは自分をKILL。
　感染したPCにアンチウイルスをインストールされるときにユーザーからはインストールされたように見せかけ実際は動いていない。
　1日に35回以上姿を変えるマルウェア。パッチ適応の速度が間に合わない。
　押収できたマルウェアの検証では約500万パターンに変化することが分かった。

■防御側の進化
・シンクホール
　特定のボットネットに関する情報収集するために研究者によって使用されるマシン。
　これを利用しマルウェアの送り先を研究チームにリダイレクトもさせて収集する。
・攻撃されている対象は欧米が多いが、攻撃元はイラン、ペルー等の後進国だった。
・US-CERTに攻撃を受けた場合の修復ツールが公開されているため使用してほしい。各メーカー・ベンダーと情報を共有して常に改善を行っている。
・セキュリティ業界の一連の課題はどうやってみんなが真剣に考えるようになるか。


基調講演・特別講演
・FOCUS JAPANは6年目となり2500人ものセキュリティの専門家、研究者が集結する日本最大級のいイベントになった。
・現在情報共有が必須の時代になっている。
　そのため、他社への攻撃は自分の企業への攻撃だと認識して本気で対策を考えたりすることのできるホワイトのコミュニティが必要でFOCUS JAPANはその1つになりたい。
・パートナーも多く参加し、大手メーカーが多い。
・Intel セキュリティもMcAfeeも参加者との対話で成長していきたい。
　聴講者もどんどんコミュニケーションをとってスキル向上、知識の習得を行ってほしい。
・現在のシステム開発ではセキュリティは後付けになっているケースが多い。
　しかし本来はセキュリティは経営リスクであるため、実行可能なセキュリティマネジメントにしないといけない。
・攻撃の内部から外部からと多方面性、多様性、規模、個人性は他の業界にはない特徴。
・NCCIS：米国サイバーセキュリティ＆通信統合センター
　ISSO：情報共有＆分析組織
　NCCISはUS-CERTとICS-CERTの2つ組織がある。
　US-CERT：連邦政府からの要請でインシデントに対応する。
　ICS-CERT：重要インフラ、主要インフラのCERTの運用をサポートや他のCERTと連携を行う。
・サイバー基準とCSIRT
　サイバー攻撃がないように保つ
　サイバー攻撃が発生したときの『初動対応』
・日本と米国の協力
・経済産業省やNISTとNCCISと連携して犯罪の取り締まりを行っている。
　情報の共有・協力
　互いの重要インフラのセキュリティ維持
・経営者にどうレポートするとリスクを認識してもらうことができるか考えて情報共有してほしい。
　経営者の認識の甘さは日本でも米国でもそれほど差がない。


最新脅威動向と将来の標的
https://reg31.smp.ne.jp/regist/is?SMPFORM=lcqh-ncthp-9af792e68e1a4fae55471024c396736a&id=14
■今までの経緯
・20年前はエンターテイメントとしてサイバー攻撃を行っていた。
　そのため、金曜日の夜から攻撃が開始されることがほとんどだった。
　しかし、だんだんエスカレーションして犯罪行為になった。
　犯罪行為を行うメンバーは特定の会社や政府に感情で攻撃していた。
　そのため、メンバーは限られ小さいコミュニティだった。
　次の段階として組織犯罪になりビジネスとなった。
　組織犯罪グループは高度なスキルを持たずリソースだけで攻撃するケースが多かった。現在の中国に似ている。
　そして現在ではサイバー戦争となって国家が行うようになった。
　ここまでくると高度の知識やスキルを保有しており強く意思を持ってやっているため、防ぐことが非常に困難となっている。
・コンピュータユーザーは2010年20億→30億に、攻撃者は940万人→4270万人に増え、インシデントも非常に多くなっている。
　2013年→2015年でデータは4.4ZB→8.8ZBにデバイス数は50億→163億個になっている
　そのため、攻撃対象がものすごく増えている。
　本年の動向としては毎秒6件のペースで脅威が増えている。
・新しいマルウェアは2015年Q1,2はで前年比で12％増えている。
　Zooには4億3300万のサンプル含まれている。
　新たな脅威としてランサムウェアが今年に入って増えている。
　トリプトキーというランサムウェアがあり、これは正しいキーでも複合できないケースがあり、身代金の支払い損になるケースもある。プログラム作成者でも複合できない。
　現在、すべてのセキュリティスペシャリストでも有効な解決方法を持っていない。アンチウイルスも有効性に欠ける。
　あえて言えば、ちゃんとバックアップを取っておくこと。
・脅威インテリジェンスを準備すること。
　サイバー脅威アライアンスを抑えておくが重要。

■2016年の重要領域
・ユーザーは2019年には40億人、デバイスは2020年に2000億個に、データは2020年に44ZB、トラフィックは72.4EB→168EBになると予想されている。
　ネットワークの向上はより早く脅威を分析して見つける技術が必要になる。
　2014年～2015年では脆弱性の34％はadobe flash、18％がIEで圧倒的に多い。次に16％がwindows OSのkernel。
　2014年は珍しくwindows OS kernelを狙い撃ちにされていた。
・従業員による攻撃。企業防衛によってシステムへの直接攻撃しにくくなっている。一方で自宅で仕事する人はそこまで準備ができていないため、自宅にいる社員を狙っている。
　また、androidを企業的に使っているとものすごく危険。重要な脆弱性が放置されっぱなしになっている。
・2016年はラムサスウェアがさらに増えることが予想される。お金になるため。
・また、ウェアラブル端末のkernelを狙った攻撃が増える。ウェアラブル端末そのものを攻撃というよりも踏み台として利用される。
　ウェアラブル端末の継続的なセキュリティアップデートや対策をどうやるか誰も考えていないことが問題。
・自動車への攻撃も増える。
　すでに2015年でも数件確認され、ジープを完全に乗っ取り道路を爆走させ悲惨な事故を起こした。
　メーカーはこの問題を考えており、セキュリティの高いコーディングを行っているが、クラッカーの数が多すぎるため、対応しきれないと考えている。もっと抜本的な対応が必要。
・サイバースパイが増える。
　サイバースパイは正当なクラウドサービスを狙い、確立した(正当な)方法でログインして情報を収集する。
・Torネットワークの利用も増えていく。ネットワーク内にサーバーをホスティングして完全な匿名性を得ることになる。
・主要インフラ、重要インフラの担当の48％が3年以内に人命を失うことに攻撃が行われることを予想している。
　また、重要インフラへの直接的な攻撃が行われなかったとしてもクラッカーはいつ脆弱性をあらわにするかと監視対象になっているケースある。