リスクの高い特権アカウントの管理

Administrator やrootのようなスーパーユーザーはそのシステムに対してすべてのことが行えます。

システム全体の権限があるため、システム全体の消去が行えるようになっています。

最近流行りの標的型攻撃では最終的に特権アカウントを奪取してすべての情報を抜き出そうとしますが、なぜ特権アカウントを狙われるのか考察してみたいと思います。

特権アカウントについてはこちらでも説明しています。

特権アカウントとは、

“リスクの高い特権アカウントの管理” の続きを読む

組織の情報セキュリティで重要なこと

コインチェック社のハッキングされたことは大々的に報道されたが、組織におけるセキュリティについて重要なものは何だろうと考えてみました。

アメリカ人から見る日本のサイバーセキュリティ

私が考えるに製品導入前に以下のような事柄について考察が必要なのでないかと思います。

  1. 最近の情報漏えいなどセキュリティが破られた事例の研究
  2. セキュリティが破られたことによる損失額に関する理解
  3. 万が一セキュリティが破られることを想定
  4. セキュリティ関係では日本より進んでいる海外事例の研究
  5. どのようなツールが必要になるかの研究

セキュリティを考えるとついつい、アンチウィルスソフト、ファイアーウォールなどのセキュリティ製品を導入すれば解決すると考える人もいるかもしれませんが、製品の利用はあくまでも方法論であってどのようにセキュリティを守るかを考えたうえで検討しないと無駄な投資になる可能性が高いと思います。

たとえば、アンチウィルスや、ファイアーウォールなどはOS側に導入されていることもあるので、追加で購入することが必要でないという考え方もあります。実際にOSのアンチウィルス機能だけで運営している会社も存在します。

一般的になってきた標的型攻撃

“組織の情報セキュリティで重要なこと” の続きを読む

リスクを軽視したコインチェック社と仮想通貨について思うこと

仕事柄、セキュリティについてのニュースはチェックしていますが、今回は世間を騒がしたコインチェックについて私なりの感想を書きたいと思います。

コインチェック社は2018年1月末ごろにハッキングを受けて2月13日に金融庁へ業務改善命令に係る報告書を提出したことから記者会見を開きました。

コインチェック「事業続ける」「仮想通貨の出金は安全を確認し次第」

同社が預かっていた日本円の出金には応じ、仮想通貨の取引は外部のセキュリティ会社と確認後再開するとのことです。

詳細については捜査などもあるので詳細にはわからないのでここでは技術的な話は書きませんが、単純にやるべきセキュリティをしていなかったのかなと思います

2018/2/14日時点で一番解説として秀逸だと思う記事を紹介します。

コインチェック流出は安全策の不備だけが問題ではない

リモート作業可能とツイート

ハッキングされる前に都内で雪が降ることがありましたが、その前にコインチェックの和田社長は上のような発言をします。

いまは高度な標的型攻撃が一般的になっているので、彼のような立場の人間がリモートアクセスで仕事をしているということを社内メールで通知するのは意味が分かりますが、ハッカーかもしれない人がみて自社がコントロールできないオープンな場でそのような業務連絡をすることがいいとは思いません。

このツイートのせいでハッキングされたとは思いませんが、私がコインチェック社を狙うハッカーであればこの情報から和田社長や社員のPCに潜入して標的型攻撃を行うことを考えつく可能性があると思いました。

標的型攻撃と対策

“リスクを軽視したコインチェック社と仮想通貨について思うこと” の続きを読む

標的型攻撃と対策

標的型攻撃は、今までの無差別な攻撃方法から進化して、攻撃者が狙って攻撃を行うため、一般的なアンチウィルス対策やファイアーウォールなどだけでは防ぐことは難しいです。

完全に防ぐには各ユーザーがどのような作業をしているか詳細び確認することが必要ですが、現実的にそれは難しいと思っています。

防ぐには標的型攻撃の手法を理解することが必要だと思います。

標的型攻撃の手法は、攻撃者がリモートから攻撃を行えるように端末などにバックドアを仕掛け、バックドアを仕掛けた後は、重要な情報が入っているであろうデーターベースやファイルサーバーへの侵入を行う2段階に分かれています。

実行アプリ・セルフ・プロテクション Runtime Application Self-Protection (RASP) を提供するPromon社のモバイルアプリの保護とセキュリティデスクトップアプリの保護とセキュリティアナリティクスとアプリケーションセキュリティモニタリング により万が一、端末側に侵入されたとしてもアプリケーションには問題を生じさせないソリューションがあります。

また、バックドアを仕掛けられたあとデーターベースやファイルサーバーの特権アカウントを攻撃者はコントロールしようとしますが、それを防止するには、Lieberman RED Identity Management のような特権アカウントソリューションを使うことで対応できます。

バックドアを仕掛けるまで

攻撃者はまず標的となる組織に向けて、そのメンバーにメールを送り付けます。メール自体にマルウェアが仕込まれている場合もあれば、メールのリンク先のWebサーバーにアクセスさせマルウェアに感染させる水飲み場攻撃などがあります。 “標的型攻撃と対策” の続きを読む

適切なパスワード運用とは

パスワードの運用はランダムなものを使用し、パスワードを共有する場合は利用ごとの更新が適切だと思います。またランダムで運用が難しいOSログインのものは2要素認証などをへいようすることがいいと思います。

あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。』ではパスワードが漏えいされる原因について説明をしましたが、どのように管理するべきなのかについて考察します。

目次

昔の金融機関のパスワード管理

Lieberman RED Identity Management のような特権アカウント管理製品が出るまえはアナログ的な方法でパスワードを管理していました。

とくに金融機関では扱っているものが資産なので、厳重に管理されてきました。

各システムのパスワードは厳重に管理され、ちゃんと封をした封筒にパスワードを入れ保管しています。

以下のような手順で運用していました。

  1. システム管理者はログインしたいシステムとその理由を書いて申請を行う。
  2. 申請が通ったら、アクセス理由とその時間を記録し、パスワードが入った封筒を渡す。
  3. システム管理者は封筒からパスワードを確認してシステムにログインする。
  4. 作業終了後、作業内容を報告する
  5. 別の管理者がその報告の内容と時間を確認し記録する。
  6. パスワードをランダムに様々な文字種と多くの文字数をつかってリセットして、記録し封筒に入れ、金庫にしまう。

このような手順でパスワードを管理していました。

Lieberman RED Identity Managementでも全く同じフローでパスワード運用ができるようになっています。

その手順から学べる事

このような運用をなぜしていたのかは「いつ、誰が、どうして」使ったかわかることです。セキュリティでは防ぐことが重要であると考えがちですが、どのように防いでも、予期せぬことで防ぐことができないこともあるので、防止することと同じくらいに記録を取ることも重要であると考えています。

毎回パスワードを変更していたのは、許可された管理者が後でそのパスワードを使ってもログインさせないようにするためです。

パスワードはランダムに生成するのは、人間が覚えやすいパスワードを使った場合、辞書攻撃でログインされる可能性があるためです。

ランダムと多い文字数のパスワードにすることで覚えさせないようにする代わりに金庫に保管するようにしています。

システム管理者は第三者が許可し確認できる状態にならない限りシステムにログインすることができないため、悪用などの内部犯行を抑止することができるようになります。

特権アカウント

海外ではさまざまなコンプライアンスにより特権カウント管理をしっかりするような流れがあります。

上記のような方法でも管理できますが、いまはLieberman RED Identity Managementのような特権アカウント管理を行う製品を導入することで対応できます。

また、それだけでなくシングルサインオンにすることで作業の生産性をあげることができます。

危険なパスワードを見せない ~ 特権アカウントシングルサインオン

パスワードの定期的な変更

パスワードは辞書攻撃を避けるため、辞書に載っておらず、数字や記号などを含みある程度ランダムなものを使うことが望ましいです。

またあわせてOSログインなどは二要素認証と組み合わせることが多いです。

定期的なパスワード変更は昔ほどは言われなくなりましたが、Windows ではゴールデンチケットとかPass the hash と呼ばれる攻撃手法がに対して、有効な防御方法としては定期的なパスワード変更が有効とされてます。

このリスクを回避するためには、定期的にkrbtgtアカウントのパスワードをリセットすることが有効です。なお、悪用されているTGTを確実に無効化するためには、履歴から消去するために、リセットを2回行う必要があります。

Kerberos 認証に対する攻撃と対策:KRBTGT Account Password Reset Scripts から

二要素認証

パスワード変更時に文字数と文字種の指定を行うことで複雑性を持たせることが可能になりますが、攻撃者がつかう辞書全てを禁止することは、辞書が膨大になること攻撃側がアップデートすることもあるので現実的でありません

OSにログインする場合、パスワードは覚えることが前提になるのである程度の規則性をもつパスワードの使用することになりますが、不正ログインの可能性が高くなります。

そこでOSログインには二要素認証をつかうことにより不正アクセスが発生しないようにすることが一般的です。

シングルサインオン

OSにログインができても、いろいろなアプリケーションにログイン画面が出ることがあります。複数のパスワードを管理することは難しいので、シングルサインオン製品の導入を検討することが重要です。

USOのようなシングルサインオンを導入することで、ユーザーはパスワードを複数覚える必要はなく、ログインとパスワード変更の自動化が行えるようになります。

個人利用の場合は最近のブラウザーではログイン情報を記憶させることもできるため、その機能を利用することで多くあるパスワードを学習させることができますが、ハッキングされるとすべて取られるため、この記事の昔の金融機関の事例でも上げたように、パスワードをメモに書いて、そのメモが見れないところに管理することが一番安全だと考えています

パスワードの取り扱い

攻撃者は辞書などを使いいろいろ組み合わせを変えてパスワードが正しいか検証します。標的型攻撃でハッキングされた事例をみるとパスワードの検証は何回も失敗するとアラートが出るので1日に数回以内で試行し探すので年単位で行うそうです。

人が考えるとそれなりの規則性があるため、パスワードを”あてられる”可能性があります。パスワードの理想的な運用は

  • できるだけ多い文字数(8文字文字以上)
  • できるだけ多い文字種(大文字小文字、数字、記号)
  • 規則性がない(ランダム生成)
  • 定期的な変更(OSによっては定期的な変更が望ましい)
  • 毎回変更(一つのアカウントに利用者が複数の場合)

Lieberman RED Identity ManagementUSOではランダムパスワードを生成し、それぞれのシステムにアップデートする機能がありますが、ネットでランダムにパスワードを生成してくれるホームページもあるのでそちらを利用してみてもいいかもしれません。

Random Password Generator

まとめ

  • パスワードは複雑で盗まれる可能性が低くなるようにランダムに生成されたものが望ましい
  • パスワードを運用するために自動化する製品(RED IM, USO)を利用することによりセキュリティが向上するだけでなく生産性も向上する。
  • パスワードを複数管理する場合、

危険なパスワードを見せない ~ 特権アカウントシングルサインオン

シングルサインオンの特徴の一つとして、利用者にパスワードを見せないことがあります。

Administratorやrootなどの特権アカウントは複数の人が使うので、管理者が利用するときには十分に管理することが必要になります。

特権アカウントの場合、ある規模以上の組織だと複数の人がログイン情報の共有することで対応します。

マイクロソフトのエクセルでパスワード管理ということもさほど珍しくはないと思います。

エクセルを使ったパスワード管理

しかしこの方法だと、管理者がパスワードを他の人に渡す可能性や、のぞき見される可能性がります。

Lieberman RED IM ではパスワードをワークフローを通してパスワードを開示する方法とは別にシングルサインオンも用意しています。

USOに代表されるエンタープライズシングルサインオンではクライアントがユーザーの代わりにログイン情報を入力しますが、特権管理製品のRED IMではWindows Remote Desktop サービスを経由して、ターゲットとの通信に必要なクライアントを起動しログイン情報を代理入力することでシングルサインオンを実現してます。

シングルサインオンにすることの利点

1. パスワードの表示がない

パスワードを入力する必要がないので、パスワードが悪用されることはなくなります。

RED IMでのパスワード表示の例

2.履歴が取れる

リモートデスクトップでの動きを動画として保存ができるので後で問題があった時に確認が簡単にできます。

3.アクセス元の限定

ターゲットサーバーへのアクセスはリモートデスクトップに限定することで侵入される確率が低くなります。

4.SIEMなどログ監視ツールと連携で早い対応を実現

リモートデスクトップ経由以外のアクセスの場合、問題があると判断させることで問題があるアクセスを早く検出することが可能になります。

結論

特権管理アカウント製品導入の目的は、特権アカウントのパスワード管理ですが、シングルサインオン機能を利用することで、パスワードを隠蔽できるだけでなく、管理者はログイン作業の手間なども減るため大幅に作業効率が高まります。

またあわせてログイン作業はすべて動画として保存されるので、万が一何か問題があってもすぐに確認できるようになります。