濱本 直樹 の記事一覧

こんにちは！GMOインターネットの濱本です。今回はセキュリティで必要な「OSINT」について紹介させていただきます。 1.OSINTとは まずは初めに「OSINT」についてご説明させていただきます。「OSINT」とは「Open Source Intelligence（オープンソースインテリジェンス）」の略なのですが、一般的に公開されている資料や情報源からデータを収集、分析などをする諜報活動の一種です。 サイバーセキュリティの分野において、なぜこの「OSINT」が重要なのかを説明するためには、「サイバーキルチェーンモデル」についても認識しておく必要があるためご説明させていただきます。 2.サイバーキルチェーンモデルについて 「サイバーキルチェーンモデル」とは、攻撃者の行動を以下7つのステップに分解したものとなります。 No攻撃の段階概要1偵察インターネットなどから組織や人物の調査し、対象組織に 関する情報を取得する2武器化偵察の結果を元に、エクスプロイトやマルウエアを作成する3デリバリなりすましメールやマルウエアを添付したメールを送付し感染させるこで、対象組織の内部に侵入や通信の確立などを実施する4エクスプロイト対象者にマルウエア添付ファイルを実行させたり、マルウエア設置サイトに誘導させるなどしてエクスプロイトコードを実行させる5インストールエクスプロイトの成功により、標的（PC）がマルウエアに感染する6C&CマルウエアによりC&Cサーバと通信させ、感染PC を遠隔操作し、追加のマルウエアやツールなどをダウンロードさせることで、感染を拡大する、あるいは内部情報を探索する7目的の実行探し出した内部情報を、加工（圧縮や暗号化等）した後、情報を持ち出し、証拠を隠滅します 攻撃者は上記7つのステップで情報の搾取などを実施するとされており、7つのステップの最初にあたる「偵察」の段階で使用される手法の一つが「OSINT」となります。攻撃者は「OSINT」などで得た情報から攻撃先の特定や必要なマルウェアの作成など次のステップである「武器化」へと繋がっていき、実際に攻撃を行ってきます。 攻撃者がどういった手法や情報を元に攻撃を仕掛けて来るのか、ということを攻撃者よりも先に知っておくことで事前に対処や対策を行うことでサイバー攻撃を防止することが出来るため、今回は「OSINT」の中でも比較的簡単なものをご紹介します。 3.SHODAN（CENSYS）について 実際にサイバーセキュリティにおける「OSINT」がどういったものか、今回はSHODANというサイトを元に説明をさせていただきます。 【URL】https://www.shodan.io/ 上記URLにアクセスいただくと、下記のような画面が表示されるかと思います。 上記画面が表示されましたら、画面上部の「Search」と記載されいる箇所にサーバーIPなどを入力しましょう。SHODANにて収集済みのデータや情報がある場合には、以下のようなに表示されます。 この時点で、該当のIP（サーバ）に関しては22番ポートや123番ポートが開いていることが確認できます。 また、該当の環境に脆弱性などがあった場合には以下のような形で画面左下に「Vulnerabilitie」として考えられる脆弱性などが表示される場合があります。 攻撃者はこういった情報を「偵察」の段階で収集し、攻撃を仕掛けてくるのです。では今度は、実際に攻撃が行われている実例などをお見せしたいと思います。 なお、SHODANと同様のサイトの一つとして「CENSYS」という別のサイトもあります。 【URL】https://censys.io/ SHODAN側で検出されない場合であっても、上記CENSYSなど別サイトで検出される場合もありますので、ご注意下さい。 4.攻撃を受けた例 さきほど、SHODANにて22番ポートが空いているサーバがあることをお見せしましたが、実際のサーバ側のログを見てみると以下のような攻撃と思われる接続を確認することが出来ました。 上記は22番ポートを使用して動いているSSHの接続ログなのですが、明らかに自分ではない接続元のIPアドレスからアクセスが行われていることが確認できたため、接続元を確認してみたところ、下記海外からのアクセスであることが分かりました。 IPアドレス国192.226.244.9カナダ186.109.86.184アルゼンチン212.192.24.36チェキア（チェコ） 22番ポートが空いている、という情報だけでも不信なIPアドレスから攻撃などが来ることが分かります。先ほどお見せした脆弱性のある別環境の場合には、より確実に内部に侵入するため該当の脆弱性を突く攻撃を実施してくると考えられます。攻撃者はそういった情報を「OSINT」として情報収集したのち、「武器化」しながら攻撃を仕掛けてくるのです。 5.まとめ いかがだったでしょうか。 今回は「サイバーキルチェーン」という攻撃者側の視点も交えつつ、「SHODAN」というサイトを使用した「OSINT」という手法を説明させていただきました。 「SHODAN」などのサイトで公開されている情報に関しては、攻撃者側にとっても有益ではありますが、私たち「守る側」としても非常に有益です。それは、外部から自分たちの管理している環境が「どう見えているのか」ということを常に確認、把握しておくことで脆弱性への対策や攻撃を検知し、攻撃者のゴールである「目的の実行」を防ぐことに繋げていくことが出来るからです。 本説明が少しでもみなさんのセキュリティ改善に貢献できれば幸いです。

こんにちは！GMOインターネットの濱本です。今回は社内向けに実施しました「社内ハードニング」についてご紹介します。 はじめに ハードニングとは まず、ハードニングとは何ぞや？というところからお話したいと思います。ハードニング（Hardening）とは単純な英単語としては「硬化」などの意味を持ちますが、ここで言うハードニングとは「システムに対するセキュリティの堅牢」のことを指します。 日本では、WASForumによって「Hardening Project」というセキュリティ堅牢化の競技会が毎年実施されており、私も過去に何度か参加させていただきました。セキュリティの堅牢化に興味のある方は、ぜひとも以下「Hardening Project」に関してもご参照いただけると幸いです。 【参考サイト】https://wasforum.jp/hardening-project/ 　上記、本家ハードニングイベントに実際に参加したことで、セキュリティの堅牢化に関してより多くのエンジニアの方々に重要性を伝えるべきだと感じ、今回社内イベントとしてハードニングを実施することを決意致しました。 実施の目的 さて、そんな「社内ハードニング」についてですが、やはり実施するからには「目的」が重要です。今回、どんな目的で実施したのかを以下に記載いたします。 当事者意識 まず最初にイベントを実施するうえで、参加した方々に感じて欲しかったこととしては「当事者意識」です。起きてほしくないことですが、情報漏洩などのインシデントが長時間発生しないと、徐々にではありますが「自分たちの環境では起きないだろう」「そんなに堅牢化しなくても大丈夫だろう」と気持ちが緩みます。 そこで、競技用の環境ではありますが、「え？！内部に侵入されている？！なぜ？！」「あれ？！システムが止まっている！」という感じでインシデントを体験していただくことで、「自分たちが構築してきた環境は大丈夫なのか？！」という「当事者意識」を持っていただきたかったのです。 コミュニケーションの活性化 続いては「コミュニケーション」の活性化です。コロナ禍の中、リモートワークにて業務を行ってきましたが、長時間も続けていくと徐々にではありますがメンバー間によるコミュニケーションが減っていきます。 特に同じチーム内でのコミュニケーションだけではなく、業務上関係が少ない他チームとは今まで以上にコミュニケーションを取る機会が減ってしまい、いざというときの連携にも影響が及ぶと考えました。 このため、競技を実施していくうえでは可能な限り普段関わらないようなチームの方々とメンバーを組み、チーム間の垣根を越えたコミュニケーションの活性化を目指しました。 実施のエピソード では、実際に「社内ハードニング」を実施していくうえでいくつかのエピソードを交えながらどのように進めていったのかをお話いたします。 競技環境について さて、「社内ハードニング」を実施しよう！と言っても、残念ながら現在の私たちにはイベントに使えるような競技形式の環境というのは持っていませんでした。 そこで、本家「Hardening Project」にも協力されている「株式会社 川口設計」の川口さんに相談を行い、川口さんが普段外部で使用されている「Micro Hardening」というイベント用の競技環境をGMOのために貸していただけないか相談しました。結果、快諾していただき無事イベントに必要な競技環境を用意することができました。 https://www.sec-k.co.jp/mh チーム構成の検討 続いて重要だったのは、目的の一つでもある「コミュニケーションの活性化」のためのチーム構成でした。イベントおよび競技とはいえ、実際にインシデント対応を行っていただくためチーム間のスキルや能力が偏らないように意識しながらも、なるべく同じチームの人が一緒にならないように注力しました。 そのため今回はスキルや能力の偏りを無くすため、参加者全員にフォーマットを統一したスキルマップの入力をお願いし、提出していただいた内容を私を含む事務局側で本来の業務や関係性を考慮しながら、なるべくバラバラになるように意識しながら4名×5つのチーム割としました。 急遽2日間構成に変更 さて、競技環境も用意できチーム割も順調に進んでいる中、社内から以下のような声が出てきました。 「イベントを1日(8時間)ではなく、2日間(4時間×2日)に分けてくれないか」と・・・ 最初、上記内容を聞いた時は正直焦りましたが、実際に2日間に分けて実施してみたところ、この2日間にイベントを分けるというのが私たち事務局側の想定を超えた形で「コミュニケーションの活性化」へと繋がることとなるとは、この時点では想像もしていませんでした。 結果、イベントに関しては以下のような形で2日間に分けて実施をすることになりました。 イベントは2日間(4時間×2日)1セットあたり45分間1セットごとに競技環境がリセットされる各セット(45分間)で攻撃される内容はすべて同じ1日目に2セット分を実施し、2日目に再度2セット実施することで合計4セット実施する2日目の最終4セット目で最も点数の高いチームが優勝4名×5チーム（A、B、C、D、Eとチームごとにアルファベットを振りました） 当日 そして、イベントの日程調整などもありましたが当日使う資料などの準備も間に合い、8月初旬に無事イベントを実施することができました。 1日目 まずは参加していただいた方々に競技環境や目的を説明したのち、実際に使用する競技環境への接続などをテストしていただきました。そこで第一の問題が発生！なんとチームEのリーダーの方が急遽、業務都合上イベントを一時的に抜けることになったのです。チームEだけ3名で競技するのは不公平にもなると考え、急遽ではありますが私と一緒にイベントの運営をしてくれているエンジニアをチームEに参加させました。 これで問題は解決…と思いきや次の問題が発生！チームAがファイアーウォールの設定を誤ってしまい競技環境に接続できなくなってしまったのです。私を含む運営側でフォローするも競技環境には再接続ができないため、やむなく緊急用に用意していた環境をチームAに渡すことで乗り切りました。 バックアップや臨時対応の重要性を運営側としても改めて実感した1日目でした。そして、1日目の各チームのスコアは以下の通り。 1セット目は各チームまずは環境の確認などを実施していたようでスコアとしてはほとんど差がありません。しかし2セット目からは、各チームで攻撃に対する対策などを実施した結果、若干ではありますがチームDが抜け出る結果となりました。 さて、2セット目が終わったためイベント初日は無事終了と運営側は考えていたのですが、ここでイベントを2日間に分けたことによる予想外な出来事が起こります。なんと！各チームでイベントの振り返りMTGが開催され、翌日の3セット目、4セット目に向けた対策の話し合いが行われたのです。 のちほどイベント後のアンケート結果も公開致しますが、この1日目と2日目の間の各チームの作戦会議が「コミュニケーションの活性化」に大きく関わってきていると運営側は感じています。 2日目 前日は夜遅くまで各チームで対策MTGなどが行われたのち、2日目の開催です。 1日目にチームEのリーダーの方が抜けてしまいましたが2日目は最初から無事参戦することができました。 上記が3セット目のスコアとなっていますが、1日目とは打って変わってせめぎあっています。前日に対策を考えてきた効果が表れたチームもあれば、対策を強化しすぎた結果スコアが伸びないチームも。 次が最後の4セット目。この4セット目で最も高いスコアを出したチームが優勝となりますが結果は・・・・ 優勝したのはチームEでした！ 途中まではチームDが1歩抜けていましたが、チームDが終盤伸び悩んでいたところをチームEが抜き去るという結果になりました。なお、チームCに関してはスコアを上げるために必要な機能を対策の一環で停止させてしまっており、それに気が付かないまま最後を迎えてしまいました。 アンケート結果 イベントの日程変更や、イベント初日のバタバタもありましたがイベントは無事終了。 あとは実際に参加していただいた方々にアンケートを行い、本来の「目的」を達成できたかどうか・・・ 上記がアンケート結果の抜粋となりますが、参加してくれた多くの方が今回の社内ハードニングに「満足」してくれたようです。またそれぞれのアンケート結果を見る限りでは、「普段関わりのない方々とコミュニケーションが取れて良い体験でした」というコメントなどもあり、本イベントの「目的」に掲げていた「コミュニケーションの活性化」に関しては、成功だと感じました。 総括 以上が今回社内で実施いたしました「社内ハードニング」についてとなります。 「目的」のすべてに対して満足のいく結果にはなりませんでしたが、コロナ禍でコミュニケーションが希薄化している中で、本イベントを実施したことによる「コミュニケーションの活性化」に関しては大きく貢献することができたのではないかと感じています。 「当事者意識」に関しても、ゲーム感覚とはいえインシデントを経験していただくことで、参加者のみなさんはドキドキしたとお声をいただいていますので、ある一定の効果はあったのではないかと思います。 また、参加された多くの方々次回もあれば参加したいとアンケートで回答してくれていることからも準備などで大変ではありましたが、本イベントを実施して良かったなと思いました。 引き続き「コミュニケーションの活性化」のため同様のイベントを企画し、より多くの方々にセキュリティの堅牢化の重要性を説いていきたいと思います。