25.やれるところまでやってみる `2f/02〜12 25-1. やれるだけはセキュリティ対策 (1) 標的型攻撃とサンドボックス * サンドボックス製品の検討 主要な3つの製品 FortiSandbox、PaloAlto、FireEye の説明は大体聞いた。 セミナ−に 出たり、メ−カの営業などが会社にやってきたり。2015年の5月頃から8月初めまで 勢力的に情報収集にあたった。製品としては FortiSandbox が一番わかりやすかった。最 後までよく分からなかったのが PaloAlto だった。 PaloAlto についても8月初めに詳し く聞く機会があった。PaloAlto は意外にもなかなかいいのでないかと思った。 候補としては FortiSandbox が1つで FortiMail と連携して、 FortiGate はファイアウ ォ−ルでは連携させず、テスト用のFortiGate で連携の動作をチェックしていく。もう1 つの候補は PaloAlto、意外にそう高くない。 メ−ル本文内のURLに関してはリアルタ イムでチェックができる?、いやできんか。1千万円近く予算があるなら装置をHAで2 台買うことができる。それとも1台は予備機で安いモデルにしてテストに使うか。 FireEye のメ−ルのクラウドサ−ビスの評判はどうなのか。最初、話を聞いた時、営業さ んはあまりお勧めでなかった。というよりもメ−ルのクラウドサ−ビスがそもそも無かっ た。日本では今年4月からの開始だった。2015年秋、ある筋から話を聞くに、春から の実績はほとんど無いらしい。FireEye はWeb系のサンドボックスの実績はこれまであ るが、メ−ル系の実績はあまり無かったと言う。それでクラウドサ−ビスを始めたらしい。 パロアルトの評判はどうか。最初はあまり情報もなかったので、評価しようがなかったと いうのが正直なところだった。サンドボックスのクラウドサ−ビスはそこそこ良さそうな 気がしてきているが。PaloAlto は安価な製品もあって処理性能が高いので、 既存のファ イアウォ−ルのすぐ下にでもかましてみたらと考えた。あるいは自分らのいるセグメント をテスト用にして透過型でもNAT型でもかましてみる。余力があればやってみたい。 メ−ルの添付ファイルはユ−ザがクリックしない限り、パソコンがマルウェア感染するこ とはない。しかし巧妙にクリックさせようとするのが標的型攻撃である。不審なメ−ルの 添付ファイルは開かないようにというユ−ザ教育や啓蒙で、対策できるほど単純なもので はない。万が一、パソコンがウィルス感染しても、出口対策として情報漏洩の通信を止め るというのがサンドボックスの役割になっている。特に FireEye と PaloAlto では。 * マルウェア感染と対策の実態 年金機構の事件が起きてからサンドボックス製品がにわかに脚光をあびてきた。それまで SI業者さんはあまり関心を示してなかった。そのためまだめぼしい製品を比較検討して いる段階である。FortiSandbox も扱うかどうか検討している段階である。 2015年7 月末。そんな簡単な製品でないので、業者での検討もすぐには進んでない。 もうやられていると考えた方がいいかも知れない。発覚してないだけで。クラウドに顧客 のデ−タを入れていて、バックアップも全部消されて廃業に追い込まれた国外の事例なん かがある。企業の存亡に関わる事態になっている。あまりにもIT基盤は脆弱である。6 月なかばのこと、内も実はやられてましたと、どんどん発表がなされている。 昨今、日本の一流企業がどんどんだめになっている事。ボットによる情報漏洩と関係はし てないのか。内部犯行というのもあるだろう。家電製品の企業が軒並み業績不振あるいは 倒産という事態。元々模倣されやすい製品が、設計図など情報漏洩によってまともな製品 が生産されるようになった。それで日本企業は競争力を序々に失っていったのでないか。 とりあえずいろいろSI業者さんにあたってみよう。回線業者さんもあればSI業者もあ る。昨今、話題になっている事だから業者の方からいろいろアプロ−チしてくる。しかし 肝心のサンドボックス機能の説明はまるでできなかったり。今、何も言ってこない業者と はお付き合いはできんかも。まるで危機感がない業者さんとはお付き合いできません。 これまで長い間、お付き合いしているSI業者はやれるのか。製品の仕入れの窓口になっ てもらうだけで設定はやれそうもない。FortiGate は前から扱っていても FortiMail、そ れに FortiSandbox はまだ扱いを決めてないとか。これから勉強するそうな。それでは間 に合わないではないか。どんだけごゆっくりしているのだ。ボットは待ってくれないぞ。 * 年金機構の情報漏洩事件のことで 「日経ネットワ−ク」2015/08, P.86〜89, "裏読みセキュリティ事件簿 第5回年金機構事 件から学ぶ個人を責めない、組織として対応する"。P.89 にどう解釈したいいか分からな い記事あり、Webサイトを閲覧できないようにする。Active Directoryに参加させない。 公開されているメ−ルアドレスを使うパソコンは狙われる可能性が高いので、このパソコ ンからは行けるところを制限するという話だった。 P.88 の "図3公開メ−ルアドレスは簡単に検索できる"。 ※前後を詰めて表示。 ------------------------------------------------------- | https://emailhunter.co Mozilla でやってみた。 |------------------------------------------------------ .co で終わるURLな | ◎Email Hunter API Pricing Sign in Sign up んてのがあったんだ。 | | Direct access to all the web's email addresses. | [ nikkeibp.co.jp ] [ Find ] ------------------------------------------------------- | https://emailhunter.co/domain/nikkeibp.co.jp |------------------------------------------------------ | nikkeibp.co.jp | ----------------------------------------------------- | | Sign up today to use our premium features X | | | 〆CSV downloads | | | 〆Role-based email address filter | | | [ Sign up for free ] | | ----------------------------------------------------- | xxx@nikkeibp.co.jp 10 sources ▼ | yyy@nikkeibp.co.jp 7 sources ▼ 以下続き有り。 * 最後の砦のサンドボックス 問題になるのはメ−ル由来のマルウェアで7割から8割を占める。 振る舞い検知はウィルスの挙動をみる。振る舞い検知はサンドボックスではない。振る舞 い検知は誤検知は起こる。サンドボックスは原理的に誤検知はない。入口対策と出口対策。 マルウェア対策、ボット対策、標的型攻撃メ−ル対策、CSIRT事故対応チ−ム。 静的振る舞い検知と動的振る舞い検知というのがある。動的振る舞い検知のことをサンド ボックスと書いているメ−カのパンフレットがあったように思うが、改めて Google にて "動的振る舞い検知" を検索してみたら何も一致するのがなかった。勘違いだったか。 標的型攻撃の最終目標は情報漏洩させるC&C通信はその1つで、これが全てではないと 思う。2015年秋、ランサムウェアとか言って人質をとって、金を出さないと困ること になるぞという手口が広がってきている。金銭目的ならこっちの方が手っ取り早い。 水飲み場攻撃。ユ−ザがよく見にいくサイトを調べておいて、Webサイトを見ただけで マルウェアが入るように改竄する。ドライブ・バイ・ダウンロ−ドという名前のマルウェ アと言われる。Web系の標的型攻撃といえる。 通常のウィルスチェックや迷惑メ−ルチェックなどのソフトでは検知ができない攻撃を何 と呼ぶのがいいか。標的型攻撃は獲物を狙ってウイルスをいれこむのだが、標的専用にウ ィルスを作ってくるので、そのため検知できない。 標的型攻撃といういい方はどうかな。標的専用ウィルス使用ばかりではないと思う。なり すましやフィッシングの攻撃もある。汎用的に作ったウイルスでも何でも検知されずに入 り込めばよしである。 ボットというとボットネットとあわさって言われることが多いと思う。マルウェアでいい のでないかな。マルウェア対策と呼ぶことにしよう。マルウェアも普通の人には分かりに くいので、強力なウィルスと言うことにしようか。 昨今話題になっている遠隔操作ウィルス Emdivi エンディビ。年金機構の情報漏洩をテレ ビのニュ−スでやっていた、スマ−トフォンを乗っ取って勝手に操作していた。写真をと ったり、音を鳴らしたり。なんでもできる。 Interop 2015 でもらっていた FortiSandbox のパンフレットには、 サンドボックスすら かい潜るマルウェアが出てきている。サンドボックスも含むト−タルな統合アプロ−チが 必要と書いてあった。いろいろな海外メ−カがソリュ−ションを出して来ているみたい。 * プロキシサ−バも関係してくる あまりアプライアンスの製品がない。よく知られるところでは BlueCoat ProxySG だけど。 プロキシサ−バは InterScan を使用している。 このソフトのWebレピュテ−ションを 利用して悪意のあるサイトへは行けないようにしている。Webレピュテ−ションは当時、 InterScan Web Security Suite。最近の InterScan の事も調べてみないといけない。 BlueCoat ProxySG がプロキシサ−バのアプライアンスである。Content Analysis System (CAS) 製品と Malware Analysis Appliance(MAA) 製品がある。CAS は ProxySG と連携し てウィルスチェックをやる。CAS は McAfee,Kaspersky,Sophos から選ぶ。 MAA はサンド ボックスで CAS で検知できなかったのをチェックする。 MAA は Windows XP/7/8 に対応。 クラウドでのサ−ビスもある、サンドボックスみたいなサ−ビスもある。HTTPS の暗号化 パケットは復号化して内容をチェックする。 MAA は Hybrid Sandboxing として Sandbox と IntelliVMマシン という機能がある。IntelliVM が仮想OSのマシンで Windows XP/7 /8 に対応する。クラウドでのサ−ビスはクラウド型URLフィルタサ−ビスWebPuls、ク ラウド型Webセキュリティサ−ビス Blue Coat Cloud Service。 * どうやって暗号化通信の中身を見るのか その仕組みがどうもぼんやりとしか分からない。恥ずかしいことに。WWWサ−バのアク セスならWWWのサ−バ証明書だけあれば復号化はできる。パソコンや装置にベリサイン などのCA証明書が入っていればいい。装置とはプロキシサ−バとかUTMとか。サ−バ 側がクライアントの証明書を求めなければいい、双方向認証でないということ。 SSL-VPN 装置などのようにプライベ−トな証明書の場合。SSL-VPN のクライアントでは、パソコン のIEにそのプライベ−トな証明書のCA証明書を入れる。 UTMなど装置にこのプライベ−トなCA証明書を入れれば復号化できるはず。 PaloAlto は SSL-VPN の機能が仕様にかかれている。IPSec VPN も。SSL 復号化ができる。 どうやって HTTPS の暗号化パケットをやれるのか。 復号化して内容をチェックするのだ が。ブラウザに最初から入っているCA証明書、 PaloAlto にもほぼ同じようにCA証明 書が入っていると思われる。これらの証明書を使った暗号化通信はブラウザでもPaloAlto でも復号化できる。SSL-VPN 装置は独自のCA証明書を作るので復号化はできない、この CA証明書を PaloAlto に入れれば復号化できるということになる。 * 参考 「日経NETWORK」2015/06の表紙に "最新「標的型攻撃」を分析隠蔽手法がさらに進 化 事実上、検知不能に"。トレンドマイクロ社が2014年の動向を分析した結果の話で。 C&Cサ−バは HTTP を使うのが多くなってきている。独自プトロコルだとすぐに検知さ れてしまうので。情報収集や情報送信でもパソコンにある普通のコマンドを使うので、異 常な行動であると見分けられなくなっていると言う。 日本年金機構が 2015/08/20 に内部調査報告書を公開した。約125万件の個人情報の流 出事件の顛末で。PDF で報道関係者 各位 不正アクセスによる情報流出事案に関する調査 報告書。67ペ−ジもあるぞ。組織の体質が悪いと叩かれているが、少なくともこれだけ 詳しいレポ−トを公開するという態度は評価できると思う。外部の業者に調査とレポ−ト の作成をやってもらったにしてもだ。 ラックが標的型攻撃対策指南書を無償公開、2016/07/28。セキュリティ対策が十分とは言 えない中小企業や地方自治体を支援したい。最低限とりくむべき事項を40ペ−ジにまと めた。セキュリティ機器を導入ありきではなく、基本的な体制を確認する方が重要とある。 もう1つLAC社のレポ−ト、2015年6月9日「日本年金機構の情報漏えい事件から、 我々が得られる教訓」、狙われた場合には避けることができないと考えた方が論理的だ。 ボットについて改めて「NETWORK MAGAZINE」の記事を読んでみる。自分の書いたのもある ldp_user.txt。「NETWORK MAGAZINE」2006/10, P.105〜83, "特集3:ボットの生態と対策 動作のメカニズムから徹底解明"。 ボットの亜種は1日80種類以上で増加、77%以上 がウィルス対策ソフトで検知できずと前書きに。注目度は低いが被害は大。ボット対策の 基本はウィルスと同じ。不審ファイル、不審通信、不審プロセスがないか調べ除去する。 NHKが2015年9月14日放送した、 [プロフェッショナル仕事の流儀 不屈の"トッ プガン"、サイバ−攻撃に挑むサイバ−セキュリティ−技術者 名和利男]。 パソコンに入 り込んだウィルス、マルウェアをダンプして攻撃内容の読みといていく。その様子をいろ んな場面で映していた。すごい技術といえる。それはそれですごいのだが、では具体的に どう防御するのか、どこの製品をどう設定するのか。そいうのはなかった。 「日経コンピュ−タ」2015/11/12, P.96〜99,"連載:実践、セキュリティ事故対応 第5回 日本を襲う標的型マルウェア 巧妙すぎる正体を暴く"。 csvde.exe は Active Directory のアカウント情報を収集する正規ツ−ル。拡張子を表示しないようにしているとただの文 書ファイルかと思ってクリックしてしまう。自己解凍型のファイルでクリックすると2つ のファイルになる。1つはもっともらしい文章がかかれた Word のファイル、もう1つは xxx.exe のマルウェア。これでパソコンが感染するという。この連載は遡って読むこと。 * サンドボックス製品の情報収集 Fortinet 社や FireEye 社や PaloAlto 社の様子は別に、他の会社の様子を取り上げた。 [ パソコン用のソフトあり ] 幕張の Interop 2015 で端末としてのパソコンで動くサンドボックスのソフトが幾つかで ていた。FFR yarai、(株)FFRIの法人向けソフト。 振る舞い検知エンジンは5つあっ て Sandbox エンジンという検知のもある。各種 Windows OS用。パタ−ンファイルは使 わない。純国産開発ソフト。NTTコミュニケ−ションズが yarai analyzer を利用して マルウェアの判定している、2013/06 のパンフレットより。 Interop 2015 で初めて出展 ブ−スを見た、こんな会社があったのかな。"Mr. F" と言うパソコン用のセキュリティ対 策ソフトのテレビの宣伝がやっている。7月の半ば位からか最近気付いた。 [ CheckPoint 社の様子は ] Interop 2015 でパソコンに入れる暗号化ソフトを紹介していた。 似たようなことでパソ コンのディスクを全部、暗号化するソフトはこれまでにも出ていた。どう違うのか。ファ イルを暗号化するしないと意識しなくても、自動的に暗号化されるので便利ということを 言っていた。どうなのかな、これまでもあったような気がするが。侵入されてたとえ情報 が持ち出されても、暗号化されていれば大丈夫でしょということ。それはそうだ。 [ マカフィ−社の様子は ] Network Security Platform から怪しいファイルを Advanced Thread Defense に送って ここで分析する。ATD と略していう。Next Generation Firewall からも送る。 マカフィ −が買収した StoneSoft 社の次世代ファイアウォ−ル、1990年設立。 ATD はサンド ボックスといっている。 MTA の Email Gateway、プロキシサ−バの Web Gateway も ATD に送る。どうもサンドボックスという訳ではなさそうだ。 IT業界の吸収合併でマカフィ−はインテル傘下に入ったのだったか。こんなメ−ルがき た。"差出人:インテル セキュリティ 、件名:標的型攻撃対 策へのファ−ストステップ【Intel Security Insight】号外、送信日時:2015/08/05"。メ −ル本文にリンクあり、"終わりなき戦いへの参戦 真剣に標的型攻撃対策に取り組む際に 重要なポイント"。 クリックしたら名前や会社名等を入れる入力フォ−ムの画面になった。 * トレンドマイクロ社の様子は Interop 2015 でもらったトレンドマイクロの資料はどうか。 「企業経営を脅かすサイバ −攻撃の横行」、「組織におけるセキュリティ対策実態調査2015年版」それで対策製 品としてはだいぶ前から Deep なんたらというのがあるが、今もそれしかないのか。何と なく分かりにくい製品で今もってよく理解できていない。大体トレンドマイクロの製品ラ インナップと保守などは複雑で、それだけでもう敬遠したいと思ってしまう。 InterScan の IMSS は内では用済みになった、IWSS は稼働している。さて今後はどうするかな。 トレンドマイクロの IWSS の "Webレピュテ−ション" はどうか。C&C通信の宛先が デ−タとしてあるのでないか。"Webレピュテ−ション"で既知のC&C先へのアクセス は止めることができるのでないか。最新のバ−ジョンでどんなことができるか確認したい。 Interop 2015 でもらった小冊子「導入事例集 サイバ−攻撃対策編」、5ペ−ジのサイバ −攻撃のリスクから、情報資産を守る "不正Webサ−バへのアクセスや遠隔操作を防ぎ たい"。不正プログラムによるC&Cサ−バとの通信を遮断するのが次のソフト。 InterScan Web Security Suite Plus と Virtual Appliance で出来るみたい。 サンドボックス製品またはそれに相当するのが Deep Discovery らしい。2Uのアプライ アンス製品、写真がパンフレットにでていた。 C&Cブロック、静的解析と動的解析(サ ンドボックス)、振る舞い検知。よく似たので Deep Security はサ−バのセキュリティ対 策をするもの。Linux のサ−バなどにインスト−ルして WAF機能をする、Linux のパッチ を仮想的に当てるとか。2015年秋頃のこと、トレンドマイクロ社はインタ−ネットの 脆弱性や攻撃情報など積極的に出している。今一度トレンドマイクロ製品、調べてみるか。 * パロアルト社の様子は 既存のファイアウォ−ルに PaloAlto もかます。多重ファイアウォ−ルにするという手も ある。透過型で設置してマルウェア対策をやる。他のメ−カの装置なりサ−ビスなりを使 うよりも、これが一番導入が簡単みたいである。選ぶとしたらモデルは PA-500 というと ころか。ネットで価格を調べたら約93万円。 スル−プットに余裕をみて PA-3020 だと 約289万円。PA-3020 と PA-3050 は新しく出たモデルみたい。PA-500 はライバルメ− カが出した資料の比較グラフで105万円ぐらいかな。手元のパンフレットはスル−プッ トが 250 Mbps。PA-2050 は350万円ぐらい、スル−プットは 1 Gbps。このパンフレッ トでは一番下のモデルが PA-500、次は PA-2020、その次が PA-2050 である IIJ のファイアウォ−ルのレンタルで PaloAlto を導入するという手もある。しかしレン タルだとやることを最初に取り決めするというか、細かく申告しないといけない。あとで IPSもやりたいといっても、また書類の作成ややりとりが面倒になる。インタ−ネット 回線を1本引くのでも10ペ−ジぐらいの書類に細くたくさん記入した。自分の気持とし ては正直なところ選択したくないというのが本音である。IIJ マネ−ジドファイアウォ− ルサ−ビス PaloAlto Networks PA シリ−ズ。月額のレンタル提供。 PaloAlto をこのサ −ビスに2013年に追加、WildFire オプションを2014年4月に追加。 ファイアウ ォ−ルは Juniper Networks 社の SSG と SRXシリ−ズ、CheckPoint がこれまであった。 とりあえずメモ。サブスクリプションはセキュリティ機能の使用ライセンス料金。Threat Prevention がアンチウィルスとアンチスパイウェアとIPS。URL Filteringが文字通り。 GlobalProtect が HIP( Host Information Profile )うんぬん。 WildFire がクラウドの サンドボックス利用と定義ファイル更新。モバイルデバイスの管理、MDMソフトと同じ ような働きをするのが GlobalProtect Mobile Security Manager 用アプライアンス。 こ れは 2014/02 出荷開始。PaloAlto と連携する。 GlobalProtect は SSL-VPN 機能も入っ ている。対応OSは Windows XP/Vista/7/8、MacOS、iOS、Android。モバイル環境向けソ リュ−ション。PaloAlto OSは PAN という、多分 PaloAlto Networks の大文字だろう。 (2) Fortinet 社のサンドボックスは * 設置パタ−ン << 社内に Mail-Relay と Mail-Store がある場合 >> / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ FG: FortiGate \__________________/ FM: FortiMail | : FS: FortiSandbox □FGL : FGL:FortiGuard Labs 仮想IP 検↑| : □ 体||Signature □Router | |↓ | FortiSandboxはDMZに設置し -------------------------------------- て下さいとのこと。ならばこれ Mail-Relay□Sun □FS | も仮想IPを振らないといけな | ↑| ←― -------- い?。仮想IPでない図を描い -------------|---------| FG | PC たけど。ファイアウォ−ル周り Mail-Store□ ―― -------- △IE は全部 Fortinet 社製品になる。 |FM | | 既に FortiGateを設置している -------------------------------------- 所は、この案が一番いいと思う。 メ−ル保留 メ−ルストアである FortiMail にメ−ルが来たら、 怪しいメ−ルは FortiSandbox に送 り調査する。結果が出るまでこのメ−ルは FortiMail に留め置かれる。FortiSandbox で 危険と判定されたら FortiGuard Labs に検体は送られ、 そこでシグネチャが作成される。 4〜5時間でシグネチャは FortiSandbox に配信され、次に同じ怪しいメ−ルが来たらこ のシグネチャですぐに判定される。FortiSandbox から FortiGuard Labs に送られる検体 というのはメ−ルの添付ファイルで、暗号化して送られる。 パソコンのブラウザから外へのWebアクセスによるマルウェア侵入の防御は。多分 FTP もできると思うが。怪しいのをファイアウォ−ルの FortiGate から FortiSandboxに送り 判定される。FortiGuard Labs に検体が送られシグネチャが作られる。そして FortiGate と FortiSandbox に配信される。Webアクセス自体はそのまま FortiGate は通す、 リ アルタイムでチェックされるのではない。パソコンにはマルウェアは入ってしまう、そし てそのマルウェアがC&C通信するのを FortiGate のシグネチャで止められる。 * いろいろ検討 FortiSandbox でできる処理は。FortiSandbox と FortiMail では SMTP,POP3,IMAPが対象。 FortiSandbox と FortiGate では SMTP,POP3,IMAP,MAPI,HTTP とこれら SSL暗号化が対象。 FortiSandbox は対応するOSは Windows XP と Windows 7 である。 FortiMail は MAPI は対応してない。FortiGate は MAPI は対応する。このことからMAPI は FortiGate で補捉し FortiSandbox に送れないかと思った。MAPI は非常に処理負荷が 大きいので FortiGate で MAPI を処理するのはお勧めしないと Fortinet 社技術者の弁。 FortiMail を FortiSandbox と連携させるには、 今動いている FortiMail のファ−ムウ ェアをバ−ジョンアップしないといけない。FortiMail は設置した当時のままのファ−ム ウェアである。今のファ−ムウェアは来年半ばには終了するので、いずれ上げないと。 FortiGate を FortiSandbox と連携させるのも、 今動いている FortiGate のファ−ムウ ェアをバ−ジョンアップしないといけない。FortiGate は設置した当時のままのファ−ム ウェアである。この FortiGate は余分なライセンスはない、フィルタリングだけである。 ファイアウォ−ルの FortiGate のファ−ムウェアのアップ、これは大変だ。 SI業者に 作業を依頼するにしてもきちんとやり切れるかどうか不安である。ポリシ−とル−ルがフ ァ−ムウェアをアップするとどういう挙動になるか分からない。 FortiGate を FortiSandbox と連携させるには、FortiGate のライセンスをフルの契約に 変更しないといけない。フルに変更するには百万円ぐらいかかる。保守契約の内容も変更 になる。この FortiGate はモデル 310B でHA構成、A社と契約している。 FortiMail 2台は本番機と予備機でB社から購入した。できるならA社から購入しA社に 設定をしてもらおうとしたができなかった。 当時 FortiGate は扱っていたが FortiMail は扱ってなかった。2015年末になってもそうで FortiSandbox もそのままである。 FortiMail のファ−ムウェアのアップもしないといけない。これは自前でやることにした。 FortiMail の予備機を用いて、現在の本番機の設定をしてファ−ムウェアをアップし、違 いを見ていくことにする。Fortinet 社のエンジニアが言うにはそう問題ないだろうと。 FortiSandbox はDMZに設置するとのこと。 設定は Fortinet 社のエンジニアとやりと りしてヒントをもらいあらかたできるだろうと踏んでいる。それで FortiSandbox はB社 から購入することにする。FortiMail もB社からだったので、これがいいだろう。 社内から外へのWebアクセスなどのマルウェアのチェックを、今のモデルの FortiGate では過負荷だろうというエンジニアの話である。新しいモデルでライセンスもフルにして 買うのが望ましい。今の FortiGate はかれこれ設置して4年が経つ、交換し時でもある。 FortiGate では FortiSandbox からの情報を反映させれば、FortiGate ではC&C通信の 防御ができる。社内のパソコンに入ってしまったマルウェアが活動するのを止めるという ことである。出口対策ももちろん必要なことだが、入り口対策の方が先決である。 メ−ルから入ってくるマルウェアはFortiMail と FortiSandbox だけで侵入を阻止できる。 FortiGate は無くてもいい。先ずはメ−ル経由のマルウェア対策をやるのはどうか。そう すれば FortiGate のファ−ムウェアのアップはこの件に関しては必要なくなる。 情報漏洩のC&C通信はプロキシサ−バの IWSS で止められないか。プロキシサ−バを経 由しない外部への HTTP アクセスは止めることができないが。 IWSS はトレンドマイクロ 社の InterScan Web Security Suite だが、調べたところC&C通信は止められない。 FortiGate がC&C通信をブロックするのはアプリケ−ション制御で行なわれる。IPS ライセンスが必要である。サンドボックスの連携には AntiVirusライセンスが必要である。 個別に購入するのでなく FortiGate バンドル版の購入がお勧めである。 クラウドのサンドボックスのサ−ビスがある。FortiCloud という。これは FortiSandbox の簡易版と思ってくれということである。 フルライセンスの FortiGate-80C のメニュ− にも出ている。CloudSandbox なる別ライセンスを買わないと検査数が制限されるらしい。 新しく買う予定?の FortiGate は。Fortinet 社の技術者に相談して FortiGate-500D で どうか。初年度保守入れて約 275万円。できれば FortiGate-1000Dが望ましいだろうとの こと、約 500万円。現状と同じく2台での冗長構成に。予算は設定費も入れて1千万円か。 FortiSandboxには Microsoft Office のライセンスは標準で入っている。このライセンス の確認のため FortiSandbox はDMZに置かないといけない。一太郎は別途ライセンスで 対応。FortiGate で実績のあるフィルタ−機能 AntiVirus、IDS、WebFilterも入っている。 新しく FortiGate の本が出ている、「FortiGate 完全攻略」2015/03/17 電子書籍もある。 FortiSandbox のことも少し載っているみたい。名古屋駅の大きな本屋で 2015/08 初めに ちらっと見たが、らしい本はなかったぞ。2015/12 初めになっても、まだ拝んでない。 * FortiGate のサンドボックス連携は 検討している目下のところにSI業者から連絡があり FortiGate-310B はフルライセンス には変更できないとのこと `2f/08/s。まあいっそそれならそれですっきりしていい。 し かし製品自体の保守契約はまだあるというのに。ライセンス販売が終了とはどういうこと か。 サンドボックスに関しては FortiGate のファ−ムウェアのバ−ジョンはこのままで いいとなった。バ−ジョンを上げることにより、これまで出来ていた通信ができなくなる 可能性が大と踏む。ちょっとおいそれとやれんな−と思っていたのだ。 この際、本質的でないことはやらないことにしよう。 テスト用の FortiGate なら好きな ように触ることができる。先ずは FortiGate-80C でとりあえずやってみるか。 これには フルライセンスが入っているので、これでC&C通信防御の有効性を確認できる。それで いいねとなればファイアウォ−ル本番機でもやってみる。 そうであれば直ぐにFortiGate のファ−ムウェアをアップさせなくて済む。有る物をうまく使うのである。このプランが いいかも知れないな。やることを出来るだけシンプルにした方が実際の作業ではいい。 * Eメ−ルセキュリティカンファレンスにて Fortinet 社はだいぶ前からこのカンファレンスの有力スポンサ−になっている。 一昨年 だったか参加した。2015年10月16日の大阪での開催に行った。ちょっと前は東京 であり300人の参加だったという。前回もそうだったが、ランチセッションと称して弁 当が出た。カツサンドと稲荷とおかずが少し入っていた。120人分用意したそうだ。セ ミナ−は40分単位のがしっかり朝から夕方まであった。大阪駅の横のビルですこぶるや やこしい建物だった。結構年配の人もいた。大学の先生もたくさんいたようだ。クラウド のメ−ルサ−ビスのセミナ−に、オンプレミスのメ−ルサ−バのセミナ−もあった。ハイ ブリッド型がこれからなっていくのでないか。メ−ルのア−カイブのことを話す講演者が 何故か多かった、メ−ルのア−カイブをやっている企業は2割か3割程度とのこと。 ここからは講演者が話したことで、メモを取ったのを思い出しながら断片的に書いておく。 確か Fortinet 社の人が話していたことには ZIP添付ファイルは悩ましい、FortiSandbox のことは軽く触れただけだった。以下は他の人らの話。メ−ルの添付ファイルに後でパス ワ−ドを送るやり方は、海外ではない。日本だけのやり方。海外ではそのまま捨てられる。 開いてもらえないという。気持ちだけセキュリティと言うらしい。しかし日本のユ−ザに は、パスワ−ドが来たら自動的に解凍してくれないかという人もいるとか。チェックサイ トの SpamhauseZen はDNSでAレコ−ドで 127.0.0.1、が帰ってくればブラックリスト に載っているということ。缶詰の会社とは話がついていて、スパムは小文字で"spam" と書いてくれという。このスパムなる缶詰は沖縄ではよく食べられているようである。 * FortiMail の迷惑メ−ルのチェックについて FortiMail でのメ−ルの迷惑メ−ルのチェックで起きる誤検知。メ−ルのスパムのチェッ クで検査を緩くして誤検知を少なくしたい。その代わりにサンドボックスで検査すればい い。ままメ−ルの誤検知は起きている。メ−ルが来ないと言う問い合わせが数ヶ月に一度 ぐらいはある。そのつどメ−ルの文面を見て、調べて問題なさそうならホワイトリストに 登録している。こうした作業を極力なくすようにしよう。しかしそう話は単純ではなさそ うである。サンドボックスの判定は黒か白と言うことではないようなのだ。FortiSandbox の処理ではレベルが3段階があるみたいで、感度が一番上だとやはり誤検知が生じるらし い。さらに新しいファ−ムウェアの FortiMail でも、 レベルが3つ?に分かれるらしい。 3レベルの3レベルで、一体どう仕分けすればいいのか。まるで分からない気がする。 * FortiSandbox を設置テストしたい Fortinet 社の 2014年6月6日アナウンスによれば、 FortiSandbox-1000D を日本市場に投 入する、出荷開始。比較的安価らしい。1000D、3000D のサイズは2U。 日経関係のサイ トで 1000D の参考価格は852万円。3000D は 2512万円強。 3000D は 2014/01/28 に日本 で出荷開始している。1000D を一度借りてテストしてみるか。1つでもボットを検知して、 何がしか有益だと分かれば、証明できれば。 メ−ルストアの FortiMail はそのまま稼働。 自分のパソコンの前に予備の FortiMail を透過型で置いて、FortiSandbox と連携させる。 これで FortiSandbox のメ−ルのボットを検知するようにしてみる。メ−ルのユ−ザ情報 は透過型の設置でも必要なのではないか。もしそうなら Active Directory から取るなり、 FortiGate の装置登録なりでユ−ザ情報を取ることにしよう。 (3) FireEye 社のサンドボックスは `2f/04〜12 * FireEye は要は出口対策をやる `2f/04/M に書いたこと ----------------------------- Mail-Relay から Mail-Storeにメ−ルを中継するのを EX MR | EX にも送るようにする。Mail-Store から EX にメ− ■ ←― □ ------- ルを転送してもいい。EX内でボット検査をやって問題 | || | UTM | が発見されたら NX に送る。メ−ルはそのままユ−ザ --------|-----| | に届きボットに感染し、 C&Cサ−バと通信をしようと ↓ ------- する。そこをNXが監視していてその通信を止める。流 CM MS |TAP NX れているパケットに対してリセットパケットなるもの ■ □ □-----■ を出すと通信がブロックされるという。NXはそれにフ | | | | ァイアウォ−ル直下を通るHTTPパケットを監視し、中 ----------------------------- でボット検査をしてメ−ルの処理と同様な働きをする。 EX はインラインとBCCモ−ドの利用がある。上記はBCCモ−ドということである。 インラ インモ−ドは EX をメ−ルサ−バに挟み込み、ボットのチェックが終わるまでメ−ルは配 送されない。大きな負荷と時間がかかるのでお勧めではない。メ−ルは添付ファイルをEX の Sandbox で解析する。EX は一番下のモデルでメ−ル量1日15万通。自社のメ−ル量 はいかに。EX と CMはクラウドサ−ビスも用意されている。費用的に実際問題、導入はク ラウドだろう。NX だけは社内にないとC&Cサ−バへの通信を止められないので要る。スル −プット250 Mbps(実質160Mbps程度)の NX4400、これ1台だけでもいいお値段だ、1千万 円ではきかない。EX と CM のクラウドの利用料金は何ぼ、どこかに出ているか。FireEye の名前を知ってから仕組みはずっとあやふやのままだったが、ようやくまあ理解できた。 * ともかくメモを取った Interop 2015 の後でネットを見ていて。2015/01/28 付けの記事で、ソフトバンク・テク ノロジ−(株)が、FireEye がクラウド型で提供している標的型攻撃メ−ル対策ソリュ−シ ョン、FireEye Email Threat Prevention(ETP) を販売開始。Office 365 や Google Apps などクラウド型メ−ルシステムと ETP を連携させる。千ユ−ザの利用で1人月額440円。 FireEye EX シリ−ズがメ−ルのサンドボックス製品。EX をクラウドでサ−ビスするのが ETP シリ−ズである。この FireEye のクラウドサ−ビスを利用すれば FireEye のメ−ル 処理の装置は社内に設置することはない。社内で感染したパソコンから外のC&Cサ−バ と通信を止める FireEye NX 装置に結果の情報に基づく対策シグネチャを入れ込む。 FireEye はマルウェアはWeb経由の感染が多いとしている。売れていたのはWeb系対 象の製品でメ−ル系はほとんど売れていなかったとか。それでメ−ル系のクラウドサ−ビ スを始めたとか。しかし FireEye がメ−ルサ−バとしてどれだけ出来ているのか、 メ− ルはメ−ルだけでもアプライアンスを作るのは大変なのに。いささか不安を感じる。 WebのURLフィルタ−製品として昔からある i-Filter、これと FireEye が連携して 社内からのアクセスを止めることができる。FireEye からC&Cサ−バのリストをもらっ て止める。このリストは1日で1万弱ものサイトができるという。どうも頻繁にリストを FireEye を出すらしく、それが BlueCoat で重荷になる。FireEye で調整が必要である。 FireEye 社の技術セ−ルス?に聞いてみる機会があった。2015年8月30日、名古屋 であったマイナンバ−と標的型攻撃対策のセミナ−で。開催者の責任者とおぼしき女性管 理職の話ではこの日、前後して3ヶ所ぐらいでも標的型攻撃対策のセミナ−があるという。 FireEye のセミナ−は目立つ、FortiSandbox のセミナ−は名古屋ではほとんど無いけど。 * FireEye のクラウドサ−ビス Office 365 の前にクラウドサ−ビスの FireEye を利用する場合のこと。MXレコ−ドを クラウドサ−ビスのサ−バに向けて、外からのメ−ルを中継で受ける。ここでサンドボッ クスをやる。どうも全部のメ−ルを対象にするようで全メ−ルの配信が4分前後の遅れが 出るみたい。クラウドサ−ビスでは多分、メ−ル利用のユ−ザ登録をしないといけないと 思う。クラウドサ−ビスではメ−ルのウィルスチェックやスパムチェックもやるので。 クラウドサ−ビス内でユ−ザ登録をするか、社内の Active Directory と連携できるのな らするとか。以下その後聞いた話。ドメイン名単位で扱うので個々のユ−ザ登録はいらな いみたいなことを言っていた。メ−ルは一応全部チェックするが、添付ファイルがないメ −ルは簡易的なチェックで早く通すとかはするとのこと。4分というのはサンドボックス での最大の検査時間?。実際 ETP を利用した話で、遅延がひどくて利用を中止したとか。 * 他のプランその1 MXレコ−ド ―――― ■FireEye <----- メ−ル 既存メ−ルシステムをそのまま利用する | |ETP プランである。MXレコ−ドを FireEye | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ETP のクラウドに変更するのみである。 | \______________/ | : | Mail-Relayのマシンにクラウドからメ− | : ■FireEye ルを受けるようにする設定をどうするか ――→ MR□ : センタ− 多分、簡単なことのような気もするが。 | : | ----------------------- |シグネ FireEye ETP から Mail-Store には直接 MR■ | |チャ メ−ルを送ることはできない。LANに | ---------- | ある装置をいきなり外に出すのは危険!。 ------------|FireWall| ↓ MS■FM ---------- 省略しているがクラウドには FireCM も | |-------■FireNX あり。FireEye ETP だけ利用するプラン ---------------------------- では FireCM と FireNX はいらない。 メ−ルは FireEye ETP に来てサンドボックスなどのチェックを受ける。 怪しいと判断さ れたのはそこに保留される。まとまなメ−ルは MR にいって MS にいく。怪しいと判断さ れたのは FireEyeセンタ−に情報が集められて、FireNX に配信される。 パソコンのブラ ウザから外へのWebアクセスを FireNX は見ていて、怪しいサイトには行かせないよう にする。FireNX がリセットパケットを投げてC&C通信を止める。 自社用の標的型攻撃 を止めるということではなく、まずいと最初思ったが、そんなことはないみたいである。 クラウドの FireEye ETP をMXレコ−ド指定ができる。 インラインMTA として動作する。 クラウドのメ−ルサ−ビスは2015年の4月から始まった。MXレコ−ドをクラウドを 指定してメ−ルのチェックをして Mail-Relay にメ−ルを送る。 Mail-Relay でクラウド のからのメ−ルを受けるよう設定すること。この設定が問題だ、そんな簡単にできるのか。 Sun のマシンで動いている Mail-Relay は、sendmail で制御ファイルの sendmail.cf を またしてもいじらないといけないのでないか。でもやる気になれば簡単にできそう!。 * 他のプランその2 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ FireEX を Mail-Storeの前にインライン | \______________/ で設置する。FireEX の所にTAPをかまし | : | て FireEX に繋ぐというのもありと思う。 ――→ MR□ : ■FireEye | : センタ− FireEXはインライン設置だと怪しいと判 ----------------------- | 断したメ−ルを保留できる、管理者がア MR■ | | クセスし画面操作でメ−ルを解放できる。 | ---------- |シグネ ------------|FireWall| |チャ この構成のいいところは社内間のメ−ル MS■FM ---------- ↓ も FireEX がチェックできる。感染パソ FireCM | | コンのボットからのメ−ルかも知れない。 ■ ■FireEX |-------■FireNX | | | このプランはMXレコ−ドはいじらない。 ---------------------------- * FireEye はちょっとしんどいか `2f/04/E マルウェアはC&Cサ−バと通信するだけではないよな。パソコンに入って破壊工作をす るかも知れない。今時のマルウェアは何らかのプログラム的な動きをするのでないか。な んでもありだ。そんなことでC&Cサ−バと通信するのをブロックするだけのボット対策 でいいのかと思ってしまう。FireEye はマルウェアはそのまま通してしまう、パソコンに 入って来てしまう。しかも FireEye はとんでもなく導入費用が高い、 とてもや購入は無 理である。親会社と同じ製品で対策をと強い要請でもなければ。 FortiSandbox はとりあ えずメ−ルに関してはマルウェアがパソコンに入るのを防ぐ事ができる。Webアクセス のチェックはファイアウォ−ルの FortiGate でやることになるが、 検査時間がかかるの と FortiGate に負荷がかかる問題がある。この時点まだ選択の光明が見えてなかった。 (4) Office 365 でのボット対策は `2f/04〜12 * Office 365 のプロトコルが問題 メ−ルシステムを Office 365 にした場合。社内のユ−ザはパソコンのメ−ルソフトから MAPI でクラウドサ−ビスの Office 365 にアクセスする。 この時点で怪しいメ−ルも全 部社内に入ってくることになる。添付メ−ルをクリックしたらパソコンがウィルスに感染 する恐れがある。 MAPI はマイクロソフトが作ったプロトコルでかなり特殊なようである。 MAPI は暗号化はどうなのか、多分できると思う。 ひょっとしてデフォルトで暗号化され ているのでないか。サンドボックス製品の FireEye は MAPI は扱えない、 FortiSandbox も MAPI は扱うことはできない。FortiGate は MAPI は扱えれる。 FortiSandbox は暗号 化SMTP は扱えない。FortiMail は暗号化SMTP は扱うことはできる、MAPI 対応してない。 Office 365 にメ−ルシステムを変更するとなった場合どうすればいいか。Office 365 か らボット検知用に SMTP で、社内のサンドボックスにもメ−ルが行くように転送する。こ のメ−ルは暗号化できるのかという話。せっかく MAPI でインタ−ネット経路は暗号化さ れていたとしても、ボット検知用でプレ−ンでメ−ルが流れたのではダメという話である。 メ−ルシステムを Office 365 に移行すると、せっかくいれた FortiSandbox はどうなる のか。どうもあんまりうれしくないのでないか、下記のプランその1と2では使わないや り方である。FortiSandbox は不要になる。FireEye の NX装置で、メ−ルとWeb系アク セスで社内のパソコンに入ったマルウェアからのC&C通信をブロックする。 * プランその1 FireEye のメ−ルのクラウドサ−ビスを利用する。MXレコ−ドはこのクラウドサ−ビス に向ける。ここでクリ−ンなメ−ルのみを Office 365 にメ−ルを渡す。クラウドによる メ−ルのサンドボックスの検査、FireEye ETP という。2015年4月頃からサ−ビス開 始。1ユ−ザ幾らだが大体500とか700とか千ユ−ザとか自己申告すればいいらしい。 ドメイン名単位で利用の設定をする、ユ−ザの登録はいらない。一時保留されたメ−ルは 管理者がアクセスして確認して解放もできる。 Office 365 MXレコ−ド メ−ル FireEye ETP がどれぐらい費用がかかる ―――→ ■ <----- ■FireEye <------- のかそれが問題である。500ユ−ザで | | |ETP 年間ん百万円ぐらいか。いやもっとかか | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ るみたいである。初期費用も8百万円位 | \______________/ かかって、1ユ−ザ1年2万円程度はい | : | るみたい。金額は業者に問い合わせされ | : ■FireEye たい。昨今サンドボックスは FireEyeの | : センタ− 独占場では無くなって来ているので、か | ----------------------- | なりの値引きもやるみたいである。とも | | |シグネ かくクラウドサ−ビスだからと言ってお |MAPI ---------- |チャ 安くはない。このプランでは FireEyeの | PC |FireWall| ↓ EX とCM がクラウド上にあるということ ―――― △ ---------- になる。シグネチャは FireEyeのクラウ | |-------■FireNX ドサ−ビスのセンタ−から提供される。 ----------------------- FireEye のメ−ルのサンドボックスのチェックのクラウドサ−ビス FireEye ETP。現在の メ−ルシステムと Office 365 でも利用できるというのはいい。どちらもMXレコ−ドを FireEye ETP クラウドサ−ビスに向ける。 MXレコ−ドは Office 365 に向けておいて、 Office 365 から指定したメ−ルアドレス だけ、 あるいは全部のメ−ルを FireEye ETP に送ってチェックしてもらうというやり方 もあるという。メ−ルを送るのは SMTP である。 * プランその2 Office 365 MXレコ−ドは Office 365 に。Office 365 ―――― ■ <----- メ−ル から BCC で SMTP でDMZのFireEX にメ− | | ル転送する。言うが安し行なうが難い!。 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ | \______________/ FireEye の製品を3つとも社内に設置してメ | : −ルとWeb経由のマルウェアの感染に対処 |BCC : するプラン。ただしかなり費用はかかる。 ―――→ □ : | : Office 365から全ユ−ザのメ−ルを転送する ----------------------- のはどうすればいいか。一括で設定できるの FireEX■ | か。でないと個々ユ−ザ毎に設定することに。 | ---------- --------|FireWall| 確認、FireNXはWebのトラフィックを見る。 FireCM■ ---------- ハブのミラ−ポ−トなり TAPなりでパケット | |-------■FireNX を見る。C&C通信のパケットを止める。 ----------------------- * プランその3 Office 365 MXレコ−ドは同じく Office 365 に向ける。 ―――― ■ <----- メ−ル Office 365 からは BCC で SMTP でDMZの | | FortiSandbox にメ−ル転送する。 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ | \______________/ この場合 FortiSandbox はスニファ−モ−ド |SMTPの : | で動くと言うことらしい。メ−ルの暗号化は |BCC : ■FGL 対応せずと自分でメモ書きしていた。要確認。 ―――→ □ : | : FortiSandbox から FortiGuard Labs へ検体 ---------------------- を送りシグネチャが作られる。シグネチャは FS■ | Labs からFortiGate と FortiSandboxに入る。 | ---------- C&C Block --------| FG | FortiGate で社内のマルウェア感染したパソ ---------- △PC コンからのC&C通信を止める。社内のパソ | |ブラウザ コンのWebアクセスのチェックもできる。 ------------------------------ * プランその4 MXレコ−ドは Office 365 に向ける。社内のユ−ザは Office 365 に MAPI でアクセス する。Office 365 からDMZの FortiMail に暗号化SMTP で BCC メ−ルを転送して送る。 FortiMail から怪しいメ−ルを FortiSandbox に送りチェックする。チェックするだけで あまり意味はない。FortiGate も FortiSandbox と連携させて、FortiMail からの怪しい メ−ルのシグネチャ情報を FortiGate に入れ、 社内のパソコンが外部と怪しいC&C通 信を止めるようにすれば意味がある。社内LANにはメ−ルストアはもはやない。 Office 365 ―――― ■ <----- メ−ル Office 365、FortiMail は暗号化 SMTP を扱 | | うことができる。それを活かしてインタ−ネ | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ットを通過する BCC転送メ−ルを暗号化する。 | \______________/ |暗号化SMTPの : | FortiSandboxも仮想IPアドレスで外に出す |BCC : ■FGL こと。 FortiSandbox からLANにも足が出 ―――→ □ : ている。ここ以下では描くのを省略している。 | : ------------------------ FortiMail を Office 365 からのメ−ルを受 FS■←― ■FM | けるようにする設定はどうやればいいか。こ | | ---------- C&C Block れも自分で検討するなりテストしないと。 --------------| FG | ---------- △PC | |ブラウザ -------------------------------- この構成でもう1つのプラン。FortiMail に来たメ−ルは捨てる。メ−ルが FortiGateを 通る際に FortiGate が捕まえて FortiSandbox に送る。 FortiGate ではメ−ルを全部み ることになって負荷がかかるのであまりお勧めではない。 FortiGate から FortiSandbox にメ−ルを送るのと、FortiMail から FortiSandbox へメ−ルを送ってやれるマルウェア のチェックは違うのか。 FortiGate でのメ−ルチェックは FortiMail よりも内容は少な いようだが、マルウェアの検知ということでは同じになるのでないか。 * プランその5 FortiMail をDMZに設置する。MXレコ−ドはこのプランでは従来のまま。 FortiMail でメ−ルを受けてウィルスとスパムのチェックする、怪しいメ−ルを FortiSandbox に送 る。それから Office 365 に送る。社内のユ−ザは Office 365 に MAPI でアクセスする。 デメリットはせっかくクラウドのメ−ルサ−ビスを使うのに、メ−ルサ−バは相変わらず 社内に残ってしまうこと。FortiMail はディスク容量があまりない予備機のでも構わない。 フォレンジック的にメ−ルをできれるだけ保存するのであれば本番機使用のがいいだろう。 メ−ル ―→ ■ Office 365 事前検証をやるとしたら。FortiMail の予備 | | | 機をDMZに設置する。これにメ−ルを送っ | / ̄ ̄ | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ て Office 365 にメ−ルが行くかということ、 | \__ |___________/ この設定 FortiMail でどうやる。 ひょっと | | : | してこれも個々のユ−ザ毎に画面でやるの?。 |SMTP | : ■FGL FortiMail には一応外部からメ−ルを送って ―――→ □ : みるとするか、それが実際の利用の形なので。 MXレコ−ド| : ------------------------ 現在のメ−ルシステムでのMXレコ−ドの指 FS■←― ■FM | 定はいじらなくても済むのはこのプランだけ | | ---------- C&C Block である。かつてIIJの営業さんからもメ− --------------| FG | ルシステムの売り込みで、MXレコ−ドを変 ---------- △PC えてもらえばすぐに使えると話があった。そ | |ブラウザ う簡単なことではないと思う。MXレコ−ド -------------------------------- をいじるのは最後の最後にしたいと考える。 * 注 Office 365 は MAPI だけかと思っているのだが。 ある大学の情報基盤センタ−のお知ら せを見たら POP, IMAP, SMTP での設定が出ていた。MAPI の設定は出てなかった。メ−ル 以外のスケジュ−ルとか電話帳とかは MAPI だけで出来るとかあるのか。これは結構、重 要なことだ。大量のセッションが発生すると言われる MAPI の利用が回避できるかも。 ここまでサンドボックス製品のことを調べておきながら書いて行くことができない。まだ 腹に入ってない部分があるみたいだ。やはりこれまで触ったことがないものなので、そう 言うことになるのか。一つきっかけを掴めばまとめて行く事ができると思うが。`2f/11/M。 12月に入ってすぐ、ようやく頭が回転し始めてまとめることが何とかできた。 (5) サンドボックス製品を複合利用 -------------------------------------------------------------------------------- 待ったなしでボット対策をやるには、FortiSandbox でメ−ルを PaloAlto でWeb系を。 -------------------------------------------------------------------------------- * とらぬ狸の皮算用か FortiSandbox と PaloAlto 両方を導入するプラン。FortiSandbox はそんなに設定は難し くないと聞いている。FortiMail から怪しいメ−ルを FortiSandbox に送り、解析の間は FortiMail でメ−ルを一時保留してもらう。 ファイアウォ−ルの FortiGate は関係しな いとする。次の丼勘定で2つの製品の導入で1千万円予算があればできるかも知れない。 費用はどうなるか。ざくっとだしてみよう。FortiSandbox の製品本体の定価は 850 万円 ぐらいか。モデルは 1000D で。年中無休のオンサイト保守は 100万円、設定費 100 万円。 本体は7がけ、へたしたら半値ぐらいで買えるかも。PaloAlto はだいたい 400 万円。初 年度保守とライセンスなど含んでこれも7がけぐらいで買えるかも、設定費は 100 万円。 パロアルトのいいことは既存のファイアウォ−ルの下に透過型で設置するだけで、他の装 置と関係しないことである。メ−ルシステムを Office 365 に変更しても、 MAPI も多分 チェックできるだろう。値段もそんなに高くないし。次のファイアウォ−ルを考えた場合 の候補でもあり、とりあえず導入して様子を見るというのはいいことかも知れない。 * 構成プランの算段は : MR□ □FS 仮想IP □Router Webアクセスの怪しいのは PaloAlto で止 | | | めることにする。怪しいメ−ルは FortiMail ------------------------------ が FortiSandbox に回しチェックする。チェ | ックの間は FortiMail に一時保留される。 MR■ ■FS | | | ----------- PaloAlto は Vwire モ−ドで設置する。既存 -------------|FortiGate| のファイアウォ−ルには変更なし。透過的な ----------- インラインでの導入。Vwire モ−ドでは社内 FortiMail | Proxy に IPSec VPNで外と通信するのはまだできな MS■ ■PaloAlto ■IWSS いことに注意。Vwire(Virtual Wire)。 イン | | | タ−フェ−スにはIPアドレスは不要と言う ----------------------------------- ことだが、管理用IPアドレスはいると思う。 PaloAlto はファイアウォ−ルの直上か直下、どちらかに透過型で設置する。 どっちがい いかな。透過型設置では、社内と外部で IPSec VPN 通信があると、 その暗号化通信はチ ェックができない。PaloAlto は通過するパケット、 Webアクセスとかのチェックはや れる。メ−ルもやれるがともかくパケットは通してしまう。それでメ−ルのマルウェアの チェックは FortiMail と FortiSandbox で対応するのである。 FortiSandbox はDMZにあること、クラウドのセンタ−とやりとりするため。 双方向に やりとりするのか?。FortiMail で怪しいメ−ルを FortiSandbox に送り解析してもらう、 その間は FortiMail に該当メ−ルは保留される。 ともかく怪しいと判断されたメ−ルは 社内のパソコンには入ることはない。メ−ルからマルウェアの侵入は防御できる、これに よりメ−ル由来のC&C通信はないはずということになる。 ファイアウォ−ルの FortiGate は現状のままとする。 セキュリティのライセンスをフル に変更はしない、ファ−ムウェアのアップしないとする。 ForiGate と FortiSandbox の 連携もしない。 今の FortiGate ではWeb系のチェックをさせるのはオ−バ−スペック らしい。メ−ル由来のC&C通信は FortiGate のアプリケ−ション制御でやれるが、 こ れもやらないことにする。Web系は PaloAlto でやることにする。 Web系には Office 365 の MAPI パケットも対象に入る。 PaloAlto はパケットの中身 まで見るのを売りにしている装置で、MAPI パケットの中身もチェックができる。 個人用 のデジタルIDを利用する設定になっていなければ、暗号化パケットでも中身をチェック できる。 メ−ルシステムを Office 365 に変更したら FortiSandbox と FortiMail はど うなるか、お払い箱になるのだったかな。FortiSandbox はWeb系では利用できる。 プロキシサ−バでもあるトレンドマイクロの IWSS は、このまま使い続けたい。C&C通 信もURLフィルタリングで止めることができると、最新のパンフレットには書かれてい る。どの程度、何ができるか調べてみよう。ブラウザのプロキシサ−バとして IWSS を利 用する場合は、C&C通信のチェックは PaloAlto でも行なわれる。ブラウザが直接、外 のサイトにアクセスする際は PaloAlto だけが、C&C通信のチェックを行なう。 できるだけ誤検知が起きない設定にして先ずは稼働させよう。FortiSandbox とFortiMail でのメ−ルのチェックはほとんど誤検知はないと考えている。多分、心配することはない。 PaloAltoは誤検知はあるかも知れない。サンドボックスの機能だけをオンにする。IPS やウィルスなどのチェックはしない運用を当面とることにしよう。PaloAltoはそれでしば らく様子をみる。安定稼働してきたところでIPS機能などをオンしていくことにしよう。 PaloAlto はこの装置のことをよく知ったエンジニアがいる。 サンドボックス機能につい てはまだ触ったことがない。中部地区での実績はないといっていた。しかしそんなに難し い設定があるようには思えない。そのエンジニアなら直ぐに設定技術を取得できる気がす るが。FortiSandbox もやれるSI業者は限られていて、 ともかく中部地区ではやれる人 間はいない。しかしこの装置もそんなに難しい設定がある訳ではなさそうである。 * 構成プランの検討 2重化構成にはしない、2台でのHA構成はしない。今以上にネットワ−ク構成を複雑に はしたくない。トラブル発生時の装置のきり分けができなくなる。 装置が故障した場合、セキュリティ的に装置導入前の状態になるだけで、ネットワ−クの 本質的な利用については影響はない。 メ−カが異なる製品でダブルチェックするのは望ましい。昨今のセキュリティ対策ではや り過ぎるということはないだろう。 要確認事項で PaloAlto が故障した場合にパケットをそのまま通過させるのか。PaloAlto はサンドボックス機能を使うだけにIPS機能はオンさせるのか。 パロアルトはメ−ルはとりあえず通過させてしまう。Webで外にアクセスする際におか しなところ、つまりC&Cサイトに行かないようにできるのが一番の売りである。 メ−ルシステムがクラウドに変わろうが、そこでボットチェックしてくれようが、社内に マルウェア、ボット対策のサンドボックスは必要である。 社内にサンドボックスが必要という点を考えると、費用的に選択肢としては FortiGateと FortiSandbox、もう1つは PaloAlto ということになるか。FireEye はコスト的に無理。 今設置の FortiGate-310B ではWebのマルウェアのチェクは性能的に無理みたいである。 Fortinet 社のエンジニアさんの話の感触で、最新の FortiGate モデルが必要である。 * ファイアウォ−ルを PaloAlto に変える? ファイアウォ−ルの FortiGate-310B は2台のHA構成。もう導入して4年がこようとし ている。ついこないだすったもんだやっていたと思うのだが早いものだ。またリプレ−ス を検討をし始める時期がそろそろきているという事か。FortiGate を取り外してPaloAlto でHA構成にして置き換えるというプランが考えられる。次のファイアウォ−ル設置とし てなかなか有力なプランである。 今の FortiGate はもうライセンスをフルにするのはで きない、Fortinet 社で扱いが終了しているのだとさ。 ただのパケットフィルタリングと して使うのみである。ファ−ムウェアのバ−ジョンを上げると言うのは、もはや必要ない だろう。ポリシ−ル−ティング機能も現状のままでよしとしよう。 ファイアウォ−ルなどIT機器類は、選択肢は常に2つは用意しておきたい。いつ、どち らに転んでもいいようにだ。 ファイアウォ−ルは FortiGate ともう1つ PaloAlto をこ れからは常にワッチして行くことにしよう。 PaloAlto のポリシ−やル−ルの設定のやり 方は見たことがない、多分これまでのファイアウォ−ルとは設定の仕方が根本的に異なる のでないか。FireWall-1 や FortiGate は基本的にはパケットフィルタリングの方式であ る。置き換えはなかなか難しいのでないかと思う。懇意にしているSI業者でもだいぶ手 こずったという話を聞いた。 当面はファイアウォ−ルは今の FortiGate を現状のまま使 うことにするのが、やはり無難であることには違いない。 * PaloAlto のサンドボックスの機能は メ−ルが装置を通る際に Email link 機能、いわゆるレピュテ−ションで未知のURLを WildFire に聞きにいく。危ないと判定されれば装置にその情報が入る。 メ−ルはそのま まメ−ルストアにいきパソコンに取り込まれる。Email link は機能はできて1年。 ユ−ザがメ−ルを見てそのURLをクリックすると装置で止められる。メ−ルの添付ファ イルは装置で認識され、未知のファイルは WildFire に送ってサンドボックスのチェック がされる。メ−ル自体はそのまま通過する。 WildFire分析センタ−自体はアメリカでは2011年11月からサ−ビスをしている。国 内でも 2013/04/15 NTTコミュニケ−ションズのデ−タセンタ−内に WildFire 分析セ ンタ−が設置された。 WildFire クラウド利用とオンプレミスがある。初めはクラウドがでた。PaloAlto のファ イアウォ−ルが WildFire にファイルを送って解析してもらう。未知のマルウェア検知を するのが WildFire である。振る舞い検知というのは別な機能らしい。 WildFire では1時間でシグネチャを作成し配信する。 未知のマルウェアは10時間で急 激に拡散すると言われる。WildFire用のシグネチャを15分毎に配信するというのも見た、 多分速くなった。PaloAlto の装置には WildFire サブスクリプションを購入すること。 めも、次世代ファイアウォ−ル Global Protect ゲ−トウェイ。2014年に買収したイ スラエルの Cyvera 技術をベ−スに開発された Traps。Traps と無償のウィルス対策ソフ トで済ます会社もあるとの話もあるSI業者から聞いた。 仮想マシンは Windows XP と Windows 7 それに Android。 Windows 8 にはまだ対応して ない。しかし Windows 8 のソフトは Windows 7 と互換性があるので問題はないと言うこ とである。Windows 8 でしか動かないソフトがあるかはワッチしているとのこと。 PaloAlto は要はファイアウォ−ルとして設置する。HTTP のパケットの中身まで見てフィ ルタリングできるのが売りで、ファイアウォ−ルなの?と疑問を思ってしまう。DoS 対策、 ボットネット感染端末の発見、IPS/IDS、ウィルス対策など、いろいろできる。 やはりクラウドにいちいち検体を送ってでの解析は迅速さに欠けるのでないか。何時間と か何日とか説明されるが対処は直ちにやらないといけない。ボットが活動を始めるまで何 日とか、それまでに対処すればいいというのはきべんだと思う。 よく分からん製品なので1つ買って触ってみるか。FortiGate のように先ずはテスト利用 に一番下のモデルを買ってみるか。PA-200 なら50万円もしなかったのでないか、 弁当 箱サイズで 40W。しかし FortiGate も PaloAlto もは触れない!。どちらか一つだ。 * その他の関連機器との検討 トレンドマイクロの IWSS でやっている悪質なサイトへのアクセス防御、これもPaloAlto でやれるので IWSS は必要なくなるかも。 IWSS が動いているHP仮想サ−バはそろそろ お役目終了である。来年の秋頃に保守が終了する。いろんなものが世代交代の時期にきて いる。IWSS を止めたら代わりのプロキシサ−バはどうするか。 DNSキャッシュサ−バ と共に検討しないといけない。どうも今稼働の FortiGate-310B がプロキシサ−バに転用 できそう、FortiGate の機能であるDNSサ−バも設定して使えそうである。 FortiMail はメ−ルのア−カイブとしても使ってもいい。 フォレンジックの装置は MAPI は対応してないのでこの装置は用済みにするか、 Office 365 から SMTP でメ−ルを転送 させて溜めるかである。それに Office 365 に変更までにまだ1年ぐらい時間がかかるだ ろう、 その間に今のファイアウォ−ルの FortiGate が設置して4年とか5年になるので 置き換えをしてもいい。その際に FortiSandbox と連携させて怪しいWebアクセスやメ −ルからC&C情報などを取り出し FortiGate で止めるようにしてもいい。 * まとめというかテストなら 今現在メ−ルの脅威をなんとかしようとするなら FortiSandbox でメ−ルを一時保留する のが一番効果的なことは間違いない。 とりあえず FortiGate で行くのか PaloAlto で行 くのかどっちで行くのか、それは決めた方がいい。そんな両方も面倒みるというのは無理。 費用も問題だが人材も問題だ。ネットワ−ク構成はシンプルに。2重化するというのもほ どほどに。訳がわからなくなる。冗長化というのは、いざという時にはうまく働かないこ とが往々にしてある、そう認識しておくのが無難である。 結局 FortiSandbox を選択し FortiMail と連携させた。`2g/03 頃か。次はファイアウォ −ルの FortiGate と連携である。処理性能の高い FortiGate のモデルが必要である。こ の購入に先立って手元の FortiGate-80C とでテストしたい。 FortiGate-80C をNAT型 で自分のパソコンの前に設置する。これで日常的にWebアクセスしてみる。それでどん なログが出てくるか、そこから先ずはやっていくか。 更に調べていたら FortiClient も FortiSandbox と連携できるという。連携して何ができるのか。`2g/05 ------------------------------------------------------------------------------------ [ 付録 ] オオカミ少年は老舗のサンドボックスを無力化させる 今、対策できる最高のセキュリティ対策がサンドボックス、だろうと思う。既知のウィル スはそれなりのセキュリティソフトでシグネチャで判定、ブロックができる。既知でない ウィルスをどうやって見つけるか、それがサンドボックスの製品である。ただのウィルス とは区別してマルウェアと言う。 サンドボックスの中では仮想的な Windows OSが走り、 泳がせて挙動を見る。これは強力な手段で、これ以上の対策方法はないと思われる。 サンドボックスの有力製品は○○と言うのが知られている。メールとホームページを見る ことで入って来るマルウェアを検知するのに要する装置は少なくとも3台いって、お値段 はうん千万円とも。それで検知してどうするのかと言えば、結局のところパソコンに入っ てしまったマルウェアが外部のサーバ(C&Cサーバ)と通信するのを止める。しかしマ ルウェアの活動はそれだけでないだろう。マルウェア=ボットかな。 ボットは先ずはプログラムであって、何でもできる。外と通信して情報流出を計るのは機 能の一つでしかない。へたに通信をブロックしていれば、それをボットが検知しパソコン の破壊工作の方に攻撃を変えるかも知れない。感染したパソコンを足掛りにして社内ネッ トワークにある他のパソコンにも感染を広げるかも知れない。大金を払ってC&Cサーバ への通信を止めるだけでは無力かも、いや無力どころかこれでは駄目だ。 昨日、会社からの帰りに車の中で、ふとオオカミ少年の話しが頭に浮かんだ。C&Cサー バが必ず悪意を持ったインターネットのサイトに存在するかということ。全然問題ないま っとうなサイトにわざと通信したらどうなるか。例えばその会社の取引先の会社のホーム ページとか調達用のEDIサーバであったりしたら。これは困った事態になる。○○はそ の通信を黙って止めてしまう。この改善策は一応最後に示しておく。 社内からは多分、クレームの嵐がネットワーク管理者やIT部門に来ることは必至である。 メールの誤検知が一通でも起ころうものなら、今だってただでは済まされない雰囲気がど この会社にもあるだろう。それに加えてサンドボックス製品の導入で、サイトへのアクセ スも誤検知のブロックが起きることになる。ちょっとクラッカーがボットに細工するだけ で可能になることである。クラッカ−が悪意をもつ人のこと。ハッカ−は本来は善良。 自分が車の中で30分考えただけで思い付くこと。そんなのは既に目ぼしい人の頭の中に はあるだろう。○○は老舗の製品ではあるが、そんな訳であまり面白くない。C&Cサー バへの通信を止めるだけでは効力は薄い。もう一つ注目している製品がある。Fortinet社 の FortiSandbox である。FortiMail と連携してボットがパソコンに入り込むのを防ぐこ とができる。FortiGate との連携で外のホ−ムペ−ジを見ての感染は、さらに要調査。 問題はまだあまり実績がないこと。現在 Fortinet 社の優秀なエンジニアによりテストそ して本番稼動と実績を積み重ねていると聞く。 FortiSandbox だけの導入なら1千万円を 切るかと思う。日本の企業、官公庁で実績が無いというのは売り手にとっても社内のIT 担当者にとっても大きなネックになる。しかしITの世界はどんどん進化している訳で躊 躇している余裕はない。新しい物の導入はどうしたってリスクを伴う。 新しい製品をいち早く導入する傾向にある大学の状況もワッチして、社内のIT担当者は 勇猛果敢にセキュリティ対策に取り組まなければならない。しかしそうした動きが出きる のは若い時であり、まだその年齢では社内の信用度も高くない。1千万円単位のお金を引 き出すのは困難である。ならば40代50代の人はどうか。バイタリティがなくなり管理 者となり、技術面がうとくなってしまっている。 ○○はその通信を黙って止めてしまうことへの対策。プロキシサーバの BlueCoat と連携 して、こっちで通信の制御をさせることにより、ユーザにアクセスを止めた理由などを表 示するようにする。何故かある日アクセスできないではユーザからクレームが出てもおか しくはない。やはり説明責任を果たさなければならない。社内のIT担当はこんなことま で配慮しないといけない訳である。精神が磨り減りかねない、これが我々の仕事である。