2019/10/31 Azure Tech Lab #5で発表した内容です。 セキュリティ対策、インシデント、Azure Security Centerのお話 https://azure-tech-love.connpass.com/

1. Azureでのインシデントに学ぶセキュリティ
Azure Tech Lab #5
2019.10.31

2. 1
名前：飯島 憂 @Rikunchuu
所属：神戸デジタル・ラボ セキュリティ事業部 DFIRチーム（&KDL-SIRT）
AWS：インシデントがあったら触る
Azure：インシデントがあったら触る
GCP：インシデントがあったら触る
やってること：
マウスが勝手に動くよ～ >< というインシデント？から数千台の端末がマルウェアに感染し
てしまったインシデントまで日々いろいろな事件と戦ってます。
自己紹介

3. 2

4. 3
強そう！！！１

5. 4
ゴール：
セキュリティ面白いやんけやってみよ！と思ってもらう。
内容：
実際のインシデント対応で見てきた攻撃の内容の紹介と、
Azureのサービスを使った検知方法やセキュリティ対策の考え方を
共有します
できれば後で、私はこれ知ってます！あれはどう？みたいなことを
情報交換できれば、僕もAzureはまだまだなのでうれしいです
今日のお話

6. 5
• セキュリティ対策とインシデント
• インシデント事例と対策
• 質疑
アジェンダ

7. 6
• セキュリティ対策とインシデント
• インシデント事例と対策
• 質疑
アジェンダ

8. 7
情報セキュリティとは、情報の「機密性」「可用性」「完全性」を維持すること。
情報セキュリティが脅かされるリスクを分析し、対策を講じ、状態をモニタリングする、
一連のプロセスを繰り返すこと、それを行う体制を運用する。
情報セキュリティ
情報資産
機密性
可用性完全性
リスクの
把握・特定
リスクの
分析・評価
対策の実施 対応 回復
インシデント
発生
許可された人だけが情報にアクセスできる
必要な時に情報にアクセスできる
情報が正しい状態で維持・処理される

9. 8
NIST SP800-30の概念
リスクとは、発生しうる状況または事象によって対象（組織、情報など）が脅かされる度合
リスク = 事象(脆弱性 * 脅威)が発生した際の負の影響(被害) × 可能性
リスク・脅威・脆弱性
脅威 脆弱性 負の影響
負の影響を発生させる状況
または事象
脅威によって利用されるシス
テム、組織に存在する弱点
脅威によって発生した、情
報の破壊、漏洩、可用性の
喪失等による被害の大きさ
• 脆弱性を狙った攻撃
• マルスパム
• 総当たり攻撃
• 情報搾取
• データの改ざん
• システムの故障
• プログラムのバグ
• システム設計の欠陥
• 委託先のミス
• 特定の通信業者への依存
• 業務プロセスの欠陥
• 金銭的な損失
• ブランドイメージの低下
• 業務の停止、遅延
• インシデント対応におけ
るリソース消費

10. 9
セキュリティリスクの発生確率および被害を低減させるために行う。
NISTのサイバーセキュリティフレームワーク
セキュリティ対策
守るべき情報と、その状態を正確に把握、管理する
特定
リスクとなる事象の発生確率を抑える
防御
リスクとなる事象の発生を検知する
検知
リスクによる被害を低減する
対応
リスクによって影響を受けたシステムの復旧と再発防止
復旧

11. 10
セキュリティ対策
NIST 重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版 IPA翻訳 p23
https://www.ipa.go.jp/files/000071204.pdf

12. 11
セキュリティ対策
NIST 重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版 IPA翻訳 p23
https://www.ipa.go.jp/files/000071204.pdf

13. 12
CIS(Center for Internet Security) Controlsは組織がシステムやネットワークを効果的に保護
するために必要な20のセキュリティコントロールを定義したものです。
CIS Controls
コミュニティとして、優先的活動の決定や相互サポートを目指して一致団結し、急速に変
化する問題と、無数とも言えるその対応策に臨む必要がありますが、それにあたって持つ
べき知識やテクノロジーを最新に保ち続けていくには、一体どうしたらよいでしょうか？
取り組むべき最も重要な領域とは何なのでしょうか。企業はリスク管理プログラムの充実
に向けた第一歩をどう踏み出したらよいでしょうか。新たに起こる例外的脅威をすべて追
跡するのでも、基本事項を怠るのでもなく、むしろ基本事項のロードマップに沿って、評
価と改善の指針を得るにはどうしたらよいでしょうか。最も効果的な防御対策とはどのよ
うなものでしょうか。
このような課題に対応することを目的とし、本 CIS Controls は開発され、現在推進されて
います。
CIS Controls Version Japanes Translationより引用
https://learn.cisecurity.org/control-download

14. 13
CIS Control 1:ハードウェア資産のインベントリとコントロール
CIS Control 2:ソフトウェア資産のインベントリとコントロール
CIS Control 3:継続的な脆弱性管理
CIS Control 4:管理権限のコントロールされた使用
CIS Control 5:モバイルデバイス、ラップトップ、ワークステーションおよび サーバに関するハードウェアおよび
ソフトウェアのセキュアな設定
CIS Control 6:監査ログの保守、監視および分析
CIS Control 7:電子メールと Web ブラウザの保護
CIS Control 8:マルウェア対策
CIS Control 9:ネットワークポート、プロトコル、およびサービスの制限および コントロール
CIS Control 10:データ復旧能力
CIS Control 11:ファイアウォール、ルータ、スイッチなどの ネットワーク機器のセキュアな設定
CIS Control 12:境界防御
CIS Control 13:データ保護
CIS Control 14:Need‐to‐Know に基づいたアクセスコントロール
CIS Control 15:無線アクセスコントロール
CIS Control 16:アカウントの監視およびコントロール
CIS Control 17:セキュリティ意識向上トレーニングプログラムを実施する
CIS Control 18:アプリケーションソフトウェアセキュリティ
CIS Control 19:インシデントレスポンスと管理
CIS Control 20:ペネトレーションテストおよびレッドチームの訓練
CIS Controls

15. 14
Azure CIS

16. 15
よくサイバーセキュリティは攻撃者が有利といいます
ただし、攻撃に気づくことはそこまで難しいことではありません
攻撃者は、製品のバイパスには熱心ですが、めちゃくちゃ足跡を残しています
なぜ管理が大事なのか

17. 16
攻撃者の行動は怪しい
JPCERT/CC攻撃者が悪用するWindowsコマンド(2015-12-02)
https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html

18. 17
攻撃者の行動は一般ユーザーと比べると異常
作業すっぞ～
ログインしてっと…
あれ、俺のアカウントなんだっけ？
こんな時は、whoamiだ！

19. 18
攻撃者の行動は一般ユーザーと比べると異常
作業すっぞ～
ログインしてっと…
あれ、俺のアカウントなんだっけ？
こんな時は、whoamiだ！
こんな人いない
※もしいたらごめんなさい

20. 19
攻撃者の行動は一般ユーザーと比べると異常
攻撃者はアンチウィルスソフトに検知されないように、Powershellによるファイルレス攻撃
など（Powershellで攻撃コードをダウンロードしてメモリ上にのみ展開する）をよく利用し
ます。
ログを見ればあからさまに怪しいです。

21. 20
攻撃者の行動は一般ユーザーと比べると異常
ｶﾞﾁｬ
ｶﾞﾁｬ
Password
Passw@rd
123456
zsedc
abcdefg
zwert
qazse
Azure315
…
ｶﾞﾁｬ
ｶﾞﾁｬ

22. 21
セキュリティ is 怖くない
• まずはシステム/ネットワークのアセット・コンポーネントをしっかり把握する
• 攻撃者の活動は、システムの運用で発生するはずがない痕跡を残す
• システムは僕らの城です、攻撃者をあぶりだそう
ディフェンス側も有利な点は多い！
と、言われても…
• ログをずっと監視できないんですけど？
• 確かに怪しいけど、他にも怪しい動きをどうやって気づく？
• ログの監視基盤をそんなすぐ作れるわけないだろ、いい加減にしろ！
と思うじゃん？

23. 22
みんな大好きAzure！
早速、やっていきましょう

24. 23
• セキュリティ対策とインシデント
• インシデント事例と対策
• 質疑
アジェンダ

25. 24
ここからは、インシデントの事例をもとにAzureでどのようにイン
シデントを検知できるかを紹介します！
検知にはAzure Security Centerを利用します。
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-intro
事例と対策

26. 25
とある企業
フロアネットワーク
内部サーバネットワーク
DMZ
組織内
Web
サーバ
メール
サーバ
人事給与
サーバ
Active
Directory
ファイル
サーバ
DB
サーバ
社員用
端末
社用タブレット 会社貸与携帯
プライベート
携帯
社内無線
LAN
インターネット
別拠点
リバース
プロキシ
VPN
サーバ
DNS
サーバ
プリンタ
ファイア
ウォール
社内
サーバ
社内
サーバ
別拠点
インシデントの舞台
いくつか国内に拠点があり、それぞれを
VPNで接続している

27. 26
とある企業
フロアネットワーク
内部サーバネットワーク
DMZ
クラウド環境（Azure）
組織内
Web
サーバ
メール
サーバ
人事給与
サーバ
Active
Directory
ファイル
サーバ
DB
サーバ
社員用
端末
社用タブレット 会社貸与携帯
プライベート
携帯
社内無線
LAN
アプリサーバ
インターネット
別拠点
リバース
プロキシ
VPN
サーバ
DNS
サーバ
プリンタ
ファイア
ウォール
社内
サーバ
社内
サーバ
別拠点
インターネット
サポート
会社
メンテナンス
構築作業
ある日、新しいシステムを導入すること
になり、Azureの環境に構築することに
なった。

28. 27
悲劇の始まり
社内の端末に異変が

29. 28
SORRY…

30. 29
とある企業
フロアネットワーク
内部サーバネットワーク
DMZ
クラウド環境（Azure）
組織内
Web
サーバ
メール
サーバ
人事給与
サーバ
Active
Directory
ファイル
サーバ
DB
サーバ
社員用
端末
社用タブレット 会社貸与携帯
プライベート
携帯
社内無線
LAN
アプリサーバ
インターネット
別拠点
リバース
プロキシ
VPN
サーバ
DNS
サーバ
プリンタ
ファイア
ウォール
社内
サーバ
社内
サーバ
別拠点
インターネット
この企業は、今まで社内はトラストゾーンとして考えており、
拠点間やセグメント間でアクセス制御をしておらず…
サポート
会社
メンテナンス
構築作業

31. 30
大惨事
フロアネットワーク
内部サーバネットワーク
DMZ
クラウド環境（Azure）
サポート
会社
組織内
Web
サーバ
メール
サーバ
人事給与
サーバ
Active
Directory
NASDB
サーバ
社員用
端末
社用タブレット 会社貸与携帯
プライベート
携帯
社内無線
LAN
アプリサーバ
メンテナンス
構築作業
インターネット
別拠点
リバース
プロキシ
VPN
サーバ
DNS
サーバ
プリンタ
ファイア
ウォール
社内
サーバ
社内
サーバ
別拠点
インターネット

32. 31
大惨事
フロアネットワーク
内部サーバネットワーク
DMZ
クラウド環境（Azure）
サポート
会社
組織内
Web
サーバ
メール
サーバ
人事給与
サーバ
Active
Directory
NASDB
サーバ
社員用
端末
社用タブレット 会社貸与携帯
プライベート
携帯
社内無線
LAN
アプリサーバ
メンテナンス
構築作業
インターネット
別拠点
リバース
プロキシ
VPN
サーバ
DNS
サーバ
プリンタ
ファイア
ウォール
社内
サーバ
社内
サーバ
別拠点
インターネット
全端末
ランサムウェア
感染

33. 32
暗号化されてしまったいくつかの端末を調査したところ、全端末にAzureのサーバからログ
オンされた痕跡が見つかりました。
被害が広まってしまった原因
• 推測しやすいパスワードが設定されていた
• Azure上のサーバでRDPをアクセス制御なしでインターネットに公開してしまっていた
• Azure上のサーバから社内ネットワークへのアクセス制御をしていなかった
• 各端末のホストFWは無効になっていた
攻撃の流れ
• RDPの総当たり攻撃によって侵入される
• より強い権限を奪取するためにサーバに潜伏し、定期的にパスワード奪取を試みる
• 奪取した特権アカウントを使ってネットワークを探索し、ターゲットを選定する
• 一気に暗号化を行い大ダメージを与える
これらの攻撃を再現してみました
インシデントの内容

34. 33
RDP総当たり
パスワードの総当たり攻撃

35. 34
Powershell実行
Powershellでmimikatzの実行

36. 35
別の端末へネットワーク越しにPAEXEC

37. 36
Security Centerの脅威一覧
もちろんSecurityCenterで検知していました

38. 37
総当たり攻撃の検知

39. 38
Powershellの検知
Base64でエンコードされている、実際に実行されたスクリプトを表示してくれている

40. 39
Powershellの検知
信頼度というセクションがあり、このイベントを疑わしいと判断した観点が記載される
• 24時間以内にMalwareが検出されており、その後にこのイベントが発生した
• このサブスクリプション内の複数のマシンで同様のイベントを検出した

41. 40
PAEXEC（リモート端末上でコマンドを実行するツール）
PSEXEC、WIMEXECは検出しなかった
別の端末へネットワーク越しにPAEXEC

42. 41
SecurityCenterのプラン
Free Stasndard
総当たりやPowershellのアクティビティは
「SecurityDetection」として保存されており、
Standardプランのスキームにのみ存在しています

43. 42
他にも攻撃者のアクティビティを検知したい
• 侵害された端末からの探索行為
• Azure環境以外への（物理マシンなど）攻撃
更なる検知

44. 43
Azure Log Analytics
任意のEventLogを収取でき、Splunkのようなクエリ言語で様々なルールを設定できる
インストーラーがあるので、Azure上のVM以外も収集可能！SIMEのような使い方ができる
ちょっと収集するログのフィルターが弱い

45. 44
Microsoft Threat Modeling Tool
まさにAzure on SIEM！今年の9/24に一般公開

46. 45
Azure Sentinel
Windows EventLogやsyslogはもちろん、サードパーティサービスもいくつか選択可能

47. 46
Azure Sentinel
Threat Huntingのクエリがデフォルトで多く存在しており、攻撃者のどういったアクティビ
ティを探すクエリなのかも記載がありかなりイケているのでは（流行りのAtt&ck）

48. 47
そもそも今回のインシデントは、予防も容易ではないでしょうか
被害が広まってしまった原因
• 推測しやすいパスワードが設定されていた
• 強固なパスワードの仕様
• 重要なサーバに関してはMFAの仕様
• Azure上のサーバでRDPをアクセス制御なしでインターネットに公開してしまっていた
• 今回のケースで言えば、アクセス元の制御をすればOK
• Azure上のサーバから社内ネットワークへのアクセス制御をしていなかった
• OutBoundはあまり注目されませんが、セキュリティグループでアウトバウンドを絞る
• 侵害されたとしても、影響範囲を軽減
• 各端末のホストFWは無効になっていた
• 有効にして
検知にフォーカスしていましたが、、、
皆さんが当たり前にしている（であろう）運用がとても大事
基本的な管理がセキュリティの基盤を作ります！
そのうえで、SecurityCenterのような検知のツールを使えば、
被害が広がる前に攻撃者の普通ではない行動をとらえられます

49. 48
各システムやネットワークによって、脅威は異なります。
事前に自分たちのシステムに、どういった脅威の影響を受けるかを検討しておくことで、
よりセキュリティ対策の品質を上げることができます。
Microsoft社が公開してくれている、Microsoft Threat Modeling Tool を使えば、アセットと
データフローを設定すると自動的に脅威をリストしてくれます。
Azureのアセットにももちろん対応！
少しでも、セキュリティに前向きになってもらえたら幸いです。
補足：脅威分析

50. 49
脅威分析
Microsoft Threat Modeling Tool
https://docs.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-releases-71509112