細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

新潟県サイバー脅威対策協議会新潟県サイバーセキュリティフォーラム 2017 細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威トレンドマイクロ株式会社公共ビジネス戦略推進室シニアリサーチャー林憲明（Noriaki
Hayashi)

2 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
トレンドマイクロ株式会社シニアリサーチャーサイバー犯罪対策、特にオンライン詐欺を専門に調査・研究活動を行う研究員。サイバーセキュリティに関する多数の寄稿、著書がある。また、APWG（Anti-Phishing Working Group）や情報セキュリティ EXPO、サイバー犯罪に関する白浜シンポジウム、情報セキュリティワークショップin越後湯沢など国内外のセキュリティ会議にて研究発表も行っている。 ▪最近の主な活動 □ サイバー犯罪捜査知識体系（CIBOK）著者 □ フィッシング対策協議会運営委員、STC普及啓発WG 主査 □ 情報処理技術者試験委員・情報処理安全確保支援士試験委員 □ NPO日本ネットワークセキュリティ協会教育部会ゲーム教育WG 林憲明

目次 • 「サプライチェーン攻撃」とは何か？ • 変遷を確認 • 洗練された諜報活動における事例 • 三大手口の理解を深める • レッドチーム視点で成熟度を評価 • 加速化する脅威に対する一手

「サプライチェーン攻撃」とは何か？ライフサイクルにおける任意の時点で、敵対者がマルウェアやその他の脆弱性を仕掛けることにより、情報技術に関するハードウェア、ソフトウェア、オペレーティングシステム、周辺機器（情報技術製品）、その他情報サービスに対する不正アクセスを試みる攻撃。 Attacks that allow the adversary to utilize implants or other vulnerabilities inserted prior to installation in order to infiltrate data, or manipulate information technology hardware, software, operating systems, peripherals (information technology products) or services at any point during the life cycle. Source:米国国家安全保障システム委員会（CNSS 4009-2015）Glossary

NISTの C-SCRM プログラムサイバーサプライチェーンリスクマネジメント • なぜリスクが高まったのか - 利点を可能にする要因（低コスト相互運用性、イノベーション、さまざまな製品機能）による、妥協の誘引 • なにが起こりうるのか - 模倣品の挿入、不正生産、改ざん盗難、マルウェアと不正ハードウェア米国におけるITサプライチェーン構造出典：NIST SP 800-161, "Supply Chain Risk Management Practices for Federal Information System and Organizations"

フィッシング開発者環境個人情報詐取ウェブ汚染汚染環境で開発攻撃基盤攻撃者ソフトウェア利用者端末のボット化

2009年8月 Delphi 汚染ウイルス 80,404件 • 人気ソフトの汚染 - 「 Glary Utilities」/「Glary Undelete 」 PE_INDUC.Aの感染報告数 http://blog.trendmicro.co.jp/archives/3011

2015年9月 iOS Xcode Ghost 「Xcode」のコピーを宣伝するフォーラム • 開発環境の二次配布、汚染 - Xcode や Unityプラットフォーム • 人気アプリの汚染 - 「WeChat」中国No.1 メッセンジャー - 銀行、モバイル通信、地図、株取引、タクシー配車など汚染された開発環境 http://blog.trendmicro.co.jp/archives/12251

2015年11月 AndroidOS Moplus SDK • 信頼の崩壊（悪質アドウェア） - 「百度（Baidu）」が提供するSDKにローカルHTTPサーバを立ち上げる機能 • SDK汚染の影響力 - Moplus SDK組み込みアプリは14,112件 • 機能の悪用 - 個人情報の収集 - 特定のファイルをアップロード - 任意アプリのインストール - SMS送信、電話の発信スマートフォンに連絡先が追加される様子を遠隔から監視 http://blog.trendmicro.co.jp/archives/12566

2017年5月 OSX「Proton」マルウェア • DeepWeb上で売買のmacOS RAT Proton - YouTubeに専門チャネル - 感染端末からキーチェーンや1Password、その他Wallets情報を盗み出す • 相次いでオンラインソフトに仕込まれる - 2017年5月：DVDリッピングソフト - HandBrake - 2017年10月：メディアプレイヤー - Elmedia Player - 2017年10月：ダウンロード管理 – Folx - 2017年11月：偽ソフト – Symantec Malware Detector (SAH1: 4322ee3d2d26f490a1b06634e4f9c81f3c937020) • ソースコードの盗難被害 - Panic社のWebエディタの「Coda」やFTPアプリ「Transmit」のソースコードを盗まれる https://panic.com/blog/ja/stolen-source-code/ $ cat /System/Library/CoreServices/XProtect.bundle/Conten ts/Resources/XProtect.plist |grep -A1 “OSX.Proton" OSX マルウェア定義リスト「XProtect」の登録確認 HandBrake ファイル名:HandBrake-1.0.7.dmg SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274 検出名:OSX_PROTON.A

Copyright © 2017 Trend Micro Incorporated. All rights reserved. 11
「サプライチェーン攻撃」の変遷を確認

1999年1月 TCP Wrapper https://www.cert.org/historical/advisories/CA-1999-01.cfm 配布パッケージのすり替え • 信頼の崩壊 - セキュリティ製品「TCP Wrapper」にトロイの木馬 - root権限の取得 • CERT勧告 CA-99.02 - Linuxのツール集「util-linux」の偽者。ユーザ名とログインIDを電子メールで送信。

2002年11月 Bofishyバックドア https://www.cert.org/historical/advisories/CA-2002-30.cfm 配布パッケージのすり替え • 信頼の崩壊 - パケットキャプチャライブラリの「libpcap」「tcpdump」が汚染 - リモートからのシェルアクセスを提供するバックドアが混入。

2004年頃？偽 Cisco 製品問題 • 障害や火災などの事故？ - 米連邦政府機関向けに大量販売 • 諜報活動？が疑われたサプライチェーン攻撃 • FBIによる「Op#Cisco Raider」 - 捜査資料？とされるFBIのパワーポイントが漏洩し注目が高まる写真・真贋判定ガイド https://www.andovercg.com/services/white- papers.shtml

参考情報 http://www.abovetopsecret.com/forum/thread350381/pg1

2010年5月 Op#CiscoRaider 30件の告発 https://archives.fbi.gov/archives/news/pressrel/press-releases/departments-of- justice-and-homeland-security-announce-30-convictions-more-than-143-million- in-seizures-from-initiative-targeting-traffickers-in-counterfeit-network-hardware • 「Op#Cisco Raider」成果 - 3500万ドル以上の偽造シスコ製品を押収 - 94,000件以上の偽造品のラベルとネットワークコンポーネント押収

2011年7月改ざんされた ALZip Update https://www.commandfive.com/papers/C5_APT_SKHack.pdf http://blog.estsoft.co.kr/139 脆弱な ALCMUpdate.exe 更新要求標的外接続元判定標的正規 CDN 悪質 CDN 改ざんされた ALZip Update Server 更新プロセスの汚染 - 正規とは異なる攻撃者の用意したCDN （Content Delivery Network）へ接続 • 更新チェックの脆弱性を突く - 正当な「ALAd.dll」の代わりに悪意ある DLLをロード • 標的が明確（諜報活動）な攻撃 - 標的「SK Communications」からの更新要求のみを悪意CDNへ接続 - 標的外からの更新要求は正規CDNへ接続

「サプライチェーン攻撃」による洗練された諜報活動の事例

2013年8月台湾： KMPlayer事件 • 自己解凍形式でパッケージ化 - 7z SFX: Self-extracting archive • 有効なデジタル署名 - 内部に含まれている「time.exe」にもデジタル署名が付与 • PlugXはRAT（Remote Access Tool） - CnCサーバリスト pen.abacocafe.com pens.abacocafe.com cdn.abacocafe.com vpen.abacocafe.com ファイル名:KMP_3.7.0.87.EXE SHA1:107e48a8c4cbbd1738b96984e2105c37ece4c1ae 検出名:BKDR_PLUGX.ZZXX

2014年1月日本：GOM Player事件 • 標的が明確（諜報活動）な攻撃 - 標的からの更新要求のみを偽の更新ファイル配布サイトへ接続 - IPアドレスに基づく接続元判定 • 日本原子力研究開発機構が被害を公式発表 - キャプチャー画像、ファイル／フォルダ名称、IPアドレス、ユーザアカウント情報が漏洩 - http://www.jaea.go.jp/02/press201 3/p14022801/ ファイル名:GoMPLAYERJPSETUP.EXE SHA1:295b91daa7e7cbf61ced13eaeb074356ea64de8e 検出名:TROJ_DROPPR.YZ KMPlayer事例と同様に自己解凍機能でマルウェアをドロップ

2014年8月日本：EmEditor事件 • 標的が明確（諜報活動）な攻撃 - IPアドレスに基づく接続元判定 - 大学、省庁、報道機関などを標的 • 影響によるマルウェアの詳細は公表されていない更新サーバに残された痕跡 .htaccess ファイル ※公式サイトより引用 https://jp.emeditor.com/general/今回のハッカーによる攻撃の詳細について/

2014年12月台湾：オンラインゲーム事件 • 標的が明確（諜報活動）な攻撃 - 台湾版のみ改ざん。世界的に人気ゲームの正規ランチャ • 有効なデジタル署名 • 別の攻撃時に使用されていた登録情報の転用 - プログラム中の「Cooper」 - 別攻撃におけるCnCサーバの登録者名ファイル名:FO3Launcher.EXE SHA1:f920e6b34fb25f54c5f9b9b3a85dca6575708631 検出名:BKDR_PLUGX.ZTBL-EC http://blog.trendmicro.co.jp/archives/10738

2017年3月ウクライナ NotPetya • 標的が明確（諜報活動）な攻撃 - ウクライナ警察が感染ベクトルを発表 - 会計ソフト「MeDoc」のアップデート（EzVit.exe）により感染

2017年8月日米：CCleaner 事件 • 標的が明確（諜報活動）な攻撃 - 標的ドメインは、Cisco / HTC / Samsung / ソニー / VMWare / Intel / Microsoft / Linksys / D-Link • 有効なデジタル署名 • 悪質なコードはバイナリに組み込み - ccleaner.exe ファイル名:CCleaner_5.33.exe SHA1:c705c0b0210ebda6a3301c6ca9c6091b2ee11d5b 検出名:BKDR_CCHACK.B http://blog.trendmicro.co.jp/archives/10738

「サプライチェーン攻撃」に関する三大手口の理解を深める

手口類型を知れば、次の一手が見えてくる開発環境汚染更新プロセス汚染モジュールすり替え

脅威を与える役者「Threat Actor」 Threat Actor モチベーションシナリオ諜報機関国家経済、政治的または軍事的な優位性の確立悪意あるコードの挿入偽造者（組織犯罪者）即時性の高い財政利益将来の財政利益に向けての基盤づくり偽物を挿入従業員（インサイダー）個人的な利益（不満解消/復讐）、金銭的利益知的財産の損失ハクティビスト政治的/社会的な変化を及ぼす扇動慣行を変革させようとする圧力不正アクセス妨害工作

「サプライチェーン攻撃」への耐性レッドチーム視点で成熟度を評価

敵対的思考から防衛を支援する • BLUE：ディフェンスを主 - サービスの安定稼働 - 検出と対応 - アラートの抑制 • RED：アタックを主 - 敵対的思考からシナリオ作成 - 検出のバイパス（迂回） - あらゆる可能性の列挙 • ゴールはデジタル資産の防衛

ISR-EvilGrade – 偽の自動更新 https://github.com/infobyte/faraday/wiki/Evilgrade • 偽の自動更新を注入 - DNSトラフィックのハイジャック • 複数のモジュールに対応 - Java / Winzip / MacOSX / Safari / iTunes… • 多くのソフトは脆弱な更新 - 電子署名チェックは一部のみ - CRCチェックは署名ではない

さまざまな手口が考えられる • 外部に細工 - 偽のアクセスポイント、EvilTwin（Wi-Phishing）、ファーミング - BGPハイジャック 2017年8月：グーグルによる誤った経路情報の大量送信 • 内部侵入後に細工 - DNSサーバのハイジャック、キャッシュポイズニング - ARPスプーフィング - DHCPスプーフィング - Webプロキシ自動検出（WPAD）、BadWPAD

mitmproxy - 通信内容の分析 https://mitmproxy.org/ • 通信を傍受し分析 - Man-in-the-middle攻撃の手法を倫理的に活用 - 暗号化（SSL/TLS）通信を復号し分析 • モバイルやIoT機器の分析 • MITM分析の仮想イメージ - CERT Tapioca: https://www.cert.org/vulnerability-analysis/tools/cert- tapioca.cfm

加速化する脅威に対する一手

経営者に向けてのアドバイス • 『サイバーセキュリティ経営ガイドライン Ver2.0』抜粋 http://www.meti.go.jp/policy/netsecurity/mng_guide.html

開発者に向けてのアドバイス • 適切な鍵の管理 - コード証明のための鍵は更新サーバとは独立して管理を行う • 検証可能なHTTPS通信で更新を行う • 更新プログラムの適用前にデジタル署名の検証を行う

管理者に向けて NIST SP 800-61 R2 • インシデント対応ライフサイクルを意識する - フェーズの差し戻し、インシデント宣言を恐れない準備 Preparation 検出・分析 Detection & Analysis 封じ込め・根絶・復旧 Containment Eradication & Recovery 教訓 Post- Incident Activity

CSIRT機能の頂を知り、成熟度を高める OGCの｢組織対応力ベンチマークチェックシート｣では、以下①～⑥を必要な要素と定義し、計25問のチェックシートによって達成度合いを5段階で評価します。達成度合いが｢3｣以上であれば一定のレベルに達していると評価できますので、｢2｣以下の項目を優先的に組織に実装することが求められます。 ①文書類の整備状況 ②インシデント対応チームの構成 ③インシデント対応の準備 • インシデント対応ポリシー • インシデント対応計画 • インシデント対応手順 • 関係組織への周知徹底と合意 • インシデント対応チームの構成検討 • インシデント対応の参加グループ • インシデント対応チームが担うインシデント対応以外の役割 • インシデント対応担当者への連絡と設備 • インシデント分析のためのハードウェアとソフトウェア • インシデント分析のための準備 • インシデント鎮静化のためのソフトウェア ④予防 ⑤検知と分析 ⑥封じ込め・根絶・復旧および事後活動 • リスク評価 • パッチ管理 • ホストのセキュリティ管理 • ネットワークのセキュリティ管理 • 悪意のコードを予防する仕組み • ユーザのセキュリティ意識向上 • 攻撃検知 • 異常検知 • ログの管理と相関分析 • 知識やスキルの向上 • インシデントの封じ込め • 証拠保全 • 揮発性データ及び完全なディスクイメージの収集 • インシデント対応の事後活動ベンチマークシートに対する解説書も用意されています。まずはこちらを活用し、自組織の状況把握を推奨します。 http://ogc.or.jp/archives/1525 引用元：一般社団法人オープンガバメント・コンソーシアム(OGC) ｢組織対応力ベンチマークチェックシート｣

ソフトウェアの完全性を確認 https://www.cert.org/historical/advisories/CA-1999-01.cfm • 1999年の教訓 - 18年前からやるべきことは変わっていない • 脅威は継続中 - 2016年「Linux Mint」に「Tsunami」ボットネットが組み込まれる • 複数ミラー、ハッシュ確認 C:¥>certutil –hashfile ファイル名 SHA1 - PGP署名によるチェックが望ましい • まずはテスト環境へ、そして本番に

ネットワーク分離とセグメンテーション Citrix XenDesktop VMWare Horizon • 洗練された攻撃の泣き所 - ネットワーク侵入後の横方向の動きに依存 • 被害の拡大を防止 - 目的・用途ごとにセグメントの分割 - 自分のネットワーク内で何が起きても、他に迷惑をかけない • シンクライアントも有効 - 複雑なゾーニングと分離の手助けに

脅威の痕跡情報内部で得られた知見こそが最高の情報 IOC：Indicator Of Compromise

境界監視の強化が重要 • イベント収集に役立つゾーン - ネットワーク境界線 - ホスト境界線 - システムレベルの検知 - アプリケーションレベルの検知 • 理想はネットワーク境界線での検知 - システムレベルの検知を強化する EDR（Endpoint Detection & Response）の導入が注目

DNSデータとProxyログの見直し • DNSトラフィックの分析 - DNS名前解決の履歴を蓄積しておく - サブドメインの長さに注目 - 「dns-blacklists.py」にて既知の脅威を見つけ出す - 「dnstwist」、「URLCrazy」による積極的なThreat Hunting • 定期的なProxyログのチェック - ユーザーエージェント名に注目

まとめ • 「サプライチェーン攻撃」は古典な手口 - 1999年から現在まで、ハードウェア・ソフトウェアにて報告されている - 利点を可能にする要因により妥協が誘因され、脅威が高まっている • 洗練された攻撃者集団が多用する攻撃手口 - 国内外で深刻な実害が報告されている • ベンダーが常に信頼できるとは限らない - 侵害された場合、デジタル署名すら信頼できない - フィッシングなどソーシャルエンジニアリングな手法すら不要 • 考慮すべきは人・技術・プロセスと多岐にわたる - 仕入れ（新たに利用する製品）の本番環境適用ポリシーを定義する - 許容（健全な）ベンダーの把握、管理を行う - 平常値を把握し、異常値の早期発見。出血は直ちに処置する

Thank you. 本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威

More Decks by Noriaki Hayashi

Other Decks in Technology

Featured

Transcript