セキュリティ

Hardening Project 2020 Business Objective @名護　参加レポート

関井貴大
2020年3月13日

1月24日-25日の 2日間に渡って、Hardening Project 2020 Business Objectivesが沖縄県名護市の万国津梁館 (図1) にて開催されました。Hardening Project は、Web Application Security Forum (WASForum) が定期的に開催しているイベントで、シスコは 2016 年よりスポンサーとして参画しています。

図1: 今回会場となった沖縄県名護市の万国津梁館

Hardening Project とは？

シスコは 2016 年より、「衛る技術」の価値を最大化することを目指す、このセキュリティプロジェクト、“Hardening Project” にスポンサーおよびマーケットプレイスとして参画しています。

他のセキュリティ競技では、技術力に特化した CTF (Capture The Flag) などが有名ですが、Hardening Project はセキュリティに関心のある参加者が競技チームを結成して、疑似環境において脆弱性が内在する EC サイトを堅牢化 (Hardening) しながら売上を伸ばす、新しいセキュリティ競技です。初日は Hardening Day としその競技を終日行い、2日目は Softening Day として振り返りや表彰会を行います。

ルールとしては、競技者は 8〜9 名ほどのチームで架空の EC サイトを運用し、運営チーム扮するサイバー攻撃集団 (kuromame6) からの洗練された攻撃を防ぎつつビジネスの最大化を目指して競い合います。

評価項目も年々多角化しており、最終的に見込み販売力が一番高いところがグランプリですが、単純な売上に加え、その他5つの観点でも評価点としてなっておりました。

顧客点
技術点
対応点
経済点
協調点

そのため、ECサービスが攻撃者に落とされない様に衞りながら、顧客からのメール問合せに対応したり、在庫の補充をしたり、情報漏洩やサービス停止時には記者会見を開いたり、攻撃キャンペーンや脆弱性を発見したら JPCERT/CC などに情報提供したり、実際の業務にとことん忠実です。また、各チームの売上は常にリアルタイムでスコアボード (図2) で表示され、競技者はそれを見て衞りつつ、売上をあげないと、と会場内に緊迫感が漂っていました。

図2: リアルタイムに表示されるスコアボード

また面白いことに、仮に情報漏洩をしてしまっても適切な記者会見を行うことができれば評価対象となります。競技と言えどもリアルな設定になっており、非常に勉強になります。

マーケットプレイスとは？

EC サイトを構成する約 20 台の端末群 (Windowsサーバ、Linuxサーバ [CentOS, Ubuntu]など) には、あらかじめ脆弱性のある OS やアプリケーションなどが含まれおり、また競技者には前日まで EC サイトの環境は伝えられておらず、限られた時間の中で効率的な対策を講じる必要があります。そこで登場するのがマーケットプレイス（企業からの参加）です。

マーケットプレイスは様々なセキュリティ企業やITベンダーが参加しており、EC サイトを防御するために必要なセキュリティ製品/ソリューションや、インシデントレスポンス支援やコンサルティングなど人材の派遣などのようなサービスを販売します。競技参加者は、自分たちのチームに足りない部分や強化したい部分については、実際のセキュリティ運用と同じく外部のリソースを活用することができます。

今回の Hardening Project （Business Objective）において、シスコは過去の大会同様、ネットワークを衛る IPS（Intrusion Prevention System）製品として次世代 Firewall & IPS: Firepower Threat Defenseを、エンドポイントを守る EDR（Endpoint Detection and Response）製品として AMP for Endpoint s を提供させていただきました(図3)。

図3: 各チームに配布したソリューション説明資料

今大会もおかげさまで、多くのチームからご用命をいただくことができました！ (なんと9チーム中7チーム！)

グランプリを受賞されたチーム (弊社ソリューションご購入チームのグランプリ受賞は3大会連続…感謝ですm(_ _)m) の皆様を始め、導入いただいたチームの皆様から、Firepower Theat Defense や AMP for Endpoints に対する称賛だけでなく、親身になった相談対応 (Slack や口頭) に対し、多くのお褒めの言葉を頂戴することができ、当日まで準備を頑張った甲斐があったと参加者一同、非常に達成感があり、この場をお借りしまして御礼を申し上げますm(_ _)m

図4: サービスをご購入いただいたチームをサポートするシスコ (左から) 小林、坂川、私

では、今大会、Firepower Threat Defense や AMP for Endpoints が実際にどのように活躍したのかを解説したいと思います。

次世代Firewall & IPS: Firepower Threat Defense

Firepower Threat Defense (以下 Firepower) は、最も一般的に使われている IPS エンジンである Snort をベースにした、次世代 Firewall & IPS & Malware対策のセキュリティ製品です。Layer 2/3/4 の情報だけでなく、アプリケーション情報やユーザ認証情報等も含めた Layer 7 の情報をベースにした Firewall と、環境に合わせた自動チューニングや実際の影響度を加味したアラートを出すことが可能な IPS が、今回活躍した主な機能です。

IPS (Intrusion Prevention System)として検知した攻撃について、Firepower はそのパケットそのものを取得できます。ロギングされた攻撃に対し、パケット詳細を Firepower の管理ツールである Firepower Management Center (以下、FMC) で通信ログとして取得して表示することも可能です (図5)。また、キャプチャデータとしてダウンロードすることもでき、パケットアナライザなどで解析することも可能です。過去の協議会では、これらの機能は、非常に有益であり、また、カスタムルールを作り、この通信を検知する機能を導入チームに提供しておりました。

今大会では、過去の大会の経験を活かして、IPSルールはSecurity over Connectivity (接続性よりもセキュリティを優先) ポリシーでスタートしました。このポリシーは正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。

図5: Firepowerにて競技中に検出した Connection Event

もともと Snort はカスタムルール (図6) を自分で作ることができますが、

図6: Snortルールの例: 誰かが特定のネットワークから接続し、ルートとしてログインした場合に警告を発する

このFMC を使うことで、このように、カスタムルール (図7) を簡単に作ることができます。

図7: FMCでのカスタムルール: 10.2.7.6 から dst port tcp/25 をすべて block with reset

今大会も口頭や Slack で競技者からのリクエストを受け、随時ポリシーを書き換えたり、設定ログの提供を行いました。

またFMC を使うことで、レポートも非常に簡単に作成することができます (図8)。導入チームに対し、定期的にそれぞれのネットワークの状況をレポートして提供することができました。これらのレポートは各チームの振り返り会であるSoftening Dayにて大いに使用していただけました！

図8: .httpasswdのアクセスや/etc/passwdを狙った攻撃などがIntrusion Eventsのレポートとして作成可能

このように、今大会もこれまでの経験から様々な攻撃をBlockする準備はできていましたが、FirepowerのIntrusion Eventは特定の時間でしか検知いたしませんでした。

大会の環境がクローズドな環境であることや、通信のほどんどが TLS (Transport Layer Security) であり、Firepower の IPS / ブラックリスト機能が活かせなかったのが要因の一つだと考えられます。

そのため、今大会も改めて SSL (Secure Socket Layer) 復号の必要性を感じました。

今や HTTP/HTTPS トラフィックの 82% が暗号化されており (詳細は弊社ブログ : 暗号化されたトラフィックに潜む脅威をご参照ください)、HTTPS 等の暗号化された攻撃は、シンプルな IP アドレスやポート番号、サーバ証明書でわかる情報等で検知できるもの以外は、SSL 復号により、通信の中身を Firepower が見る必要があります。

今大会は、SSL 復号機能を競技者チームに提供は任意で実施いたしましたが、競技時間やオペレーションの煩雑さの制限があることから、実施チームは残念ながらおりませんでした。

ですが次回こそは、限られた時間だとしてもFirepowerでSSL 復号を行う必要があると実感いたしました。

EDR: AMP for Endpoints

AMP for Endpoints は、エンドポイント側 (端末側) に “AMP Connector” というエージェントソフトウェアをインストールすることによって、マルウェアの検知と EDR を行えるシスコのエンドポイントセキュリティ製品です。端末に出入りするファイルのハッシュ値を瞬時に計算し、そのハッシュ値を持つファイルが既知の危険なファイルなのか安全なファイルなのか、あるいは未知のファイルなのかを判断して適切なアクションを取ることができます。

今大会ほとんどの通信がTLSで暗号化されていたため、SSL復号を有効化していないIPSの検知は比較的少なかったですが、その際、大活躍したのが大活躍したのがこの AMP for Endpoints です。

例えば、チーム内のサーバー上で特異なファイルがあれば、それを検査対象として解析します。管理者は手動で行うこともできますし、自動化することもできます。一度悪意あると判断されると、過去の入り込んだ特異なファイルを起点として直ちにアラートや隔離イベントを実行することができます。今大会も競技イベント中も被害が広がる前に端末内に潜んでいた悪意あるファイルを隔離することができました。

例として (図9) の様に、ファイル名は同じ HealthCheck.exeだが、ハッシュの異なるファイルが各チームで検出されていた特徴 (チームにより検知数が異なるのはコネクタのインストール状況に比例しているため) がありました (中にはランサムウェア関連の亜種と検出されているものも) 。また、大会の環境にはあらかじめ脆弱性のある OS やアプリケーションなどが含まれているため、それらもAMP for Endpoints にて検出し、確認することができました (図10)。

図9: AMP for Endpoints によって被害が広がる前に隔離した端末内に潜んでいた悪意あるファイル

そうして発見した悪意あるファイルは、ファイルトラジェクトリ機能を使うだけで、他にチーム内のどの端末が忍び込んでいるのか一目で追跡することができます。場合によっては社内ネットワークで感染を拡大する、ラテラルムーブメントを実行するマルウェアに有効な機能です。

[図10 競技環境内で検出されたいくつかの脆弱性のあるアプリケーションのバージョン]

また、Cisco Threat Grid を用いることで検出したマルウェアを解析することが可能です (図11)。Cisco Threat Grid は、マルウェアサンプルを送信して分析可能な、マルウェア分析および脅威インテリジェンスサンドボックスソリューションです。今回は、複数チームで検出されたHealthCheck.exeの一つの端末から取り寄せて、サンドボックス解析をしたところ、”explorer.exe”ではなく、一文字違いの一見するとファイル名が正しそうに見える”exp1orer.exe”を実行するなどの不審な挙動が確認されました (図12)。