前回は業務環境とインターネット環境の分離対策(仮想ブラウザ化)を紹介しました。今回はその他の内部対策や出口対策について紹介します。

なお紹介する対策例は、一部を除いて基本的にコストをあまり掛けずに効果が上げられるものです。もし、まだ実施されていなければ、検討されることをお勧めします。

プロキシにユーザ認証を追加(出口対策)

各ユーザ(職員)がインターネットに接続する際は必ず社内プロキシを経由しますが、その際にユーザー認証を求めるよう、設定しています(なお、プロキシを経由しないインターネット通信はファイアウォールで遮断されます)。

ユーザはブラウザからWebサイトを閲覧する時、ブラウザを起動したタイミングで一度だけ認証情報の入力を求められるようになります。しかしその結果、業務環境内部に入り込んだマルウェアもインターネットに接続する時に、同様の認証情報が必要となります。

つまり、マルウェアに認証情報を取得されなければ、マルウェアは攻撃ツールのダウンロードやC&Cサーバーからの命令も受けることができなくなります。この対策は、既存のプロキシでカバーできれば追加コストは不要ですし、即効性のある対策ですから強くおすすめします。

プロキシによるアクセス制限

POST通信のデータサイズをプロキシで制限(出口対策)

マルウェアは感染に成功した後、業務環境内部を諜報活動することで、重要なデータファイル(個人情報や機密情報)を探し出します。そのデータはC&Cサーバーにアップロードされますが、そこで私たちはPOST通信(インターネットにデータを送信できるサイズ)のサイズを制限しました。

企業によって違いはあると思いますが、ジャパンネット銀行ではユーザーが大きなデータをアップロードする業務がほぼ発生しないため、300byte以上のPOST通信をプロキシで破棄しています。こちらの対策も同様に既存のプロキシで実施できる可能性があるため、コスト負担なしで即効性のある対策と考えています。

認証GWによるファイルサーバアクセス制限

ネットワーク認証ゲートウェイの導入(内部対策)

ネットワーク認証ゲートウェイ(認証GW)は、ネットワーク上の関所となるネットワーク機器で、主にWi-Fiのアクセスポイントに対する接続可否に利用されている製品です。事前にその認証GWに対してアカウント認証が成功しているクライアントのみが、認証GWの先のネットワークに通信できるようになります。

アカウント認証は、クライアントのブラウザから認証GWにアクセスし、表示されるログイン画面にID・パスワードを入力します。ジャパンネット銀行では、この認証GWを重要なファイルサーバーの前段に設置しています。

重要なファイルサーバーにアクセスする時、ユーザは認証GWに対してアカウント認証を行う必要があります。一方で業務環境内部に入り込んだマルウェアも同様にこの認証が必要となるため、マルウェアの内部活動の制限に繋がります。

同時に、万が一エンドポイントがランサムウェアに感染しても認証GWを通過できないため、ファイルサーバーにおよぶファイル暗号化の防止にも繋がります(ただし、ユーザー本人が認証した後でないことが前提となります)。

ふるまい検知センサーの導入(内部対策)

ふるまい検知センサーは、社内業務環境のLANスイッチのミラーポートに接続して、そのセグメントで発生する不審なふるまい(通常発生しない内部通信と、外部通信の組み合わせ)を常時監視するセンサーです。不審なふるまいを検知した場合は、その端末(マルウェアに感染したと思われる端末)からの通信を自動で遮断することができます。

通常発生しない内部通信の例では、「ADサーバーへリモート接続を試みる通信」や「特定ツールを使った他端末のリモート操作」といったケースがあります。これらの内部通信は通常運用では発生しないため、この「ふるまい検知センサー」は誤検知が非常に少ないという感触を持っています。

加えて、当該セグメントに「未承認機器」が接続されたことも検知できますので、内部不正対策にも効果があります。

ファイルサーバの利用ルール徹底

個人情報や機密情報を格納する重要なファイルサーバーと、その他一般情報を格納するファイルサーバーを分離して運用する企業は多いと思います。ジャパンネット銀行でも同様の対策を取りつつ、社員にファイルの保存ルールを徹底させていました。しかし、前回も触れた「環境の見直し」における点検で、運用ルールが守られていないケース、例えば一般のファイルサーバーに個人情報を含むファイルが保存されていることが判明しました。

そこで運用ルールの徹底を目指し、リスク管理部門による日次チェックを開始しましたが、当然のことながら日々利用・更新されるファイルは膨大で、すべてのファイルをチェックすることは非現実的です。そこで活用したものが「個人情報を含むファイル抽出ソフト」です。

リスク管理部門がこのソフトウェアを使うことで、一般のファイルサーバに保存されているルール違反のファイルを容易に見つけられるようになりました。見つけるたびに管理ユーザーへ削除依頼を続けていましたが、そのうちユーザー自身で保存ルールを尊守するようになり、現在はルール違反のファイルがほとんど見つからない状況まで改善されています。

以上で内部対策、出口対策におけるジャパンネット銀行の標的型攻撃対策の解説となります。この一つ一つの対策が、皆様のセキュリティ対策の気づきになれば、そして少しでも貢献できれば幸いです。

著者紹介


小澤 一仁(おざわ かずひと)
ジャパンネット銀行 IT統括部サイバーセキュリティ対策室 室長代理 JNB-CSIRTメンバー

SIベンダーにて開発に従事、2007年からジャパンネット銀行でシステム投資等の予算管理を担当。2011年からインフラ基盤部門にて、セキュリティ対策製品の導入に携わり、2015年9月からサイバーセキュリティ対策室で標的型攻撃対策やSIEM製品導入などを担当