The latest cyberattacks in Japan
This show features Cloudflare Evangelist, Harunobu Kameda breaking down the latest news and information on DDoS and cyberattacks in Japan.
Transcript (Beta)
みなさんこんにちは 音画面大丈夫でしょうかクラウドフレアジャパンエヴァンジェリストの カメラと申します最初のご挨拶だけ ちょっと顔を出させていただきますかねみなさん こんにちは クラウドフレアジャパンエヴァンジェリストのカメラと申しますこれから30分 ですね このクラウドフレアTVというチャンネルで普段は英語を中心としたセッションにな っているんですけども日本語で日本のサイバーセキュリティの最新情報についてメッセージを お届けしたいと思っております よろしくお願いいたします サイバーセキュリティと言いましても非常に幅広い領域があるわけですけども今日は特にその 中でもランサムウェアの日本における最新の状況それから新しく観測されつつあるDDoSラ ンサムウェアというDDoS攻撃についてお話をしていきたいと思いますまず本題に入る前に お約束ですけども 手前でもビジョンですねTo help build a better Internetインターネットが我々のビジネスや生活に使われるようになって約30年が 経過していますけども 当初思い描いたよりインターネットはいいものになっていないという 現実もありますもともとEメールもそうですが インターネットは接続しようと思えば誰でも 接続できると これを実現させるためには生前説に基づいて ネットワークやプロトコルを設 定せざるを得なかったからこそさまざまな悪意を持った通信が 紛れ込みやすくなっている という状況ですクラウドフレアはそのインターネットの現状を踏まえより安全に認証 暗号化 など さまざまなセキュリティの機能を企業のネットワークではなく インターネットその ものに実装していこうとこういったことに挑戦している企業です 現在設立13年目ですがイ ンターネットトラフィックの約20%を 管理している状態になっています我々グローバルで エッジのデータセンターを 多数展開しているんですが285都市以上 100カ国以上に 複数のデータセンターを保有しています日本だと東京 大阪 それから福岡 沖縄 この4拠 点に10カ所のデータセンターを展開しています そして世界中のエッジがローカルのISP やクラウドサービスプロバイダーと 直接連携することによって皆さんの通信をより効率よく クラウドサービスやデータセンターに送り届けるということをやっています クラウドフレア 全体が保有しているネットワーク相対域192テラBPSと なかなかの高帯域になって いますこの数字自体は普段 あまり会話に出てきませんので少し比較指標が必要なんですが 日本の平常時のインターネット通信帯域が192テラBPSではなく 30テラBPS弱 というふうに言われていますそういったことを考えると このクラウドフレアのネットワーク がグローバルで いかに巨大な帯域を保有しているかというのがご想像いただきやすいか と思いますが まず皆さんの通信をクラウドフレアは一度ここで受け止めます ユーザーが 皆さんのデータセンターや皆さんのウェブサーバーに アクセスしようとする際正しい通信 攻撃の可能性のある通信 両方ともクラウドフレア側のほうで一度受け止めます そこで攻撃 のある通信 悪意のある通信を検知しドロップし 正しい通信だけを 皆さまのもとに送り届 けるそれがクラウドフレアのサービスの 基本的な構想になっています保護すべき対象がL7 ウェブサーバー なのであれば もちろんCDNによるキャッシュを中心とした高速化 プロ トコルの最適化に加えてその中で同じデータセンターで DロスやBot対策 WAF ロ ールバランサーなどが動くというのが特徴です 一方 保護すべき対象がL3 L4 つまり TCP UDP IPなどの通信であれば まずクラウドフレアのエッジのネットワークと 皆さんのデータセンターを IPセックなどの形でセキュアな状態で接続いただきます そう することによって 直接インターネット経由から悪意のある通信が皆さまのデータセンターに 直接入らないようにまずしますそしてクラウドフレアがすべての通信を受け止め 必要なセキ ュリティの処理を施すと セキュリティの処理を施した後 皆さまのデータセンターへ通信を ルーティングするわけですけども インターネットにはどうしても複装遅延というものが定期 的に発生します クラウドフレアはアルゴリズムアルゴスマートルーティングという サービ スによって インターネット上の複装遅延を動的に検知し そこを回避して 通信を皆さんの 指定した場所まで送り届けるというサービスを ご提供しています それから3点目今 ほぼ すべての企業がSaaSを 何がしかの形で使っているかと思いますがその場合 クライア ントからSaaS へのサービスの通信というのはクラウドフレアのネットワークを通らず 直接接続されるケースがありますそういった場合 その通信を保護するために Windows Mac Linuxなどクライアントの端末に常駐のアプリを インスト ールいただき それがアクセスしていいサイト アクセス しちゃ駄目なサイトのようなリ ストをもとにユーザーの通信を制御したり DLPの機能 つまりユーザーが何か変なファイ ルをアップロードしている もしくはダウンロードしているそういったようなものを監視する ことができるようになっています従来の企業にくっつくタイプの セキュリティ対策の一例 ですが例えば DDoS であれば スクラビング センター方式というものがあります これは DDoS の通信をドロップする 専用のデータセンターというものを作っておき そこに一度正しいもの 攻撃のトラフィック 全てのトラフィックを受け止めます そこで必 要な検知 をして 悪意のあるパケットをドロップし 正しいトラフィック だけを指定さ れた次のポイントにルーティングさせるわけですが 当然ながら通信は複数のデータセンター を行き交うことになります ので ユーザーからすると通信が遅延するという状態になります クラルフレアはその問題を防ぐために285都市以上に複数存在している エッジのデータセ ンターで 等しくDDoS攻撃 UF マルウェア対策などの セキュリティチェックを行 ったあと 同じ場所でCDNに通信パケット を乗っけて 皆さんのオリジンまで送り届ける と これがクラルフレア の基本的な構造になっていますそれから クラルフレアは非常に 特殊な価格帯になっているのもある意味有名なんですが 例えば Zone Apex いわ ゆるルートドメインですね www とかがつかない 例えば camera.com とか そういったものをクラルフレア側のほうに預けて いただけるのであれば CDNも含めて無 料でご利用いただけます 下りの 通信料金も発生しないと このため我々 大量の無償ユー ザーがいる わけですが その無償ユーザーはいわゆるフリーミアムモデルですね お金を払 っている巨大な一部のエンタープライズ企業が間接的に 多くの無料ユーザーを支えている そういった形になっているように 見えますが 実はクラルフレアの場合 少し異なっていた りします 無償のユーザーが増えれば増えるほど 世界中で生まれる新しい攻撃 の予兆を 他のセキュリティベンダーに比べて クラルフレアはいち早く 察知することができるよう になってきます それがいわゆるコミュニティー からのフィードバックというものなんです が これを基に皆さまの ご契約いただいているDOS WAF Bot対策などのサービス にパターンファイル シグネチャーとして素早くアップレートを行っていく これがクラルフ レア のメカニズムになっています例えば 昨年WAFに携わるほぼ全員の 方がログ4Jの 対応にてんやわんやになったかと思いますが 実は クラウド型のWAFベンダーの中で一番 最初にログ4Jのパターンファイル をリリースしたのはクラウドフレアだというふうに言わ れています その脆弱性がパブリックになってから1時間以内に一つのアップレート その後 さまざまな攻撃が派生して生まれてきたわけですが その攻撃 を検知して 6時間以内に追 加で4つのアップレートをリリースした ということが 後の統計として分かっています ク ラウドフレアは 直接ご契約いただかなくても 実は弊社のホームページのほうで クラウド フレアレーダーというサービスでインターネットの状況を可視化 できるようになっています 現在インターネットの約20パーセント の通信を我々は管理しているわけですが その中の 特に主要な線に通る 通信などを中心にインターネットの状態を可視化していると 例えば 今どのような攻撃がリアルタイムで行われているのか そしてその攻撃 の通信はどの国から 出てどの国に対して発せられているのか その 結果としてどの国でインターネットの複層遅 延や大規模障害が起き ているのかなど こういったものを無償で提供する 皆さまに ちょっと でもインターネットを安全に使っていただきたいと これがクラウド フレアのビ ジョンになっていますさあ ここから本題にそろそろ 入っていきたいと思いますが 本日は ランサムウェアおよびDロスの 最新手口についてお話をしていきたいと思うんですが まず 日本における ランサムウェアの状況ですね これは情報セキュリティ従来脅威2022と 日本で出されている統計ですけども引き続き 1位および2位はやはり 電子メールです ラ ンサムウェアによる被害 標的型攻撃による機密 情報の搾取 ランサムウェアというのは念 のため補足をさせていただきます と 企業のネットワークに攻撃者が侵入し 重要なデータ を改ざん し暗号化をかけて読めないようにしてしまいます その後企業に通知をし 元に戻 してほしければお金を払いこれがいわゆるランサムウェア 攻撃ですね これがやはり引き続 き攻撃手法の1位 2位になっていると 企業の情報漏洩事案の91%は電子メール経由で あるという統計も 出ていますので やはり電子メールといかに安全に付き合っていく かが 重要なポイントになっていますそれから昨今騒がれ始めている ここ数年ぐらいで出ているの がサプライチェーンの弱点を悪用 した攻撃 サプライチェーンアタックといわれるもの なんですが これは どういったものかといえば 例えば大企業が維持しているグローバル のサプライチェーンマネージメントのシステム というのは 複数のデータセンター や複数の国で存在している複数のサービスが動的に連携 する こういった形 になります 時には自社だけではなく複数の企業が維持するシステム が連携すると 複数の企業が維持するシステムが連携するということ はどういうことかとい えば 異なるセキュリティポリシーのシステム が連携しているということですこのシステム が連携する数が増 えれば増えるほど 攻撃者からすれば攻撃するポイント サーフェイス アタック アタッキングサーフェイスみたいなものが増えていくわけ ですね つまりシステ ムがどこかで侵入されやすくなるということ です 実はこのサプライチェーン攻撃という のは大企業だけのもの ではなく 実際の今の企業のネットワークでも起きつつあることです 例えば 今 ほぼ全ての企業が何らかの形でクラウド サース イヤースパース などを使い 始めている状況ですけれども 引き続きオンプレミス のシステム 従来のデータセンター というのはやっぱり残っている ケースがあります そうするとクラウド向けのセキュリティ ー サービス 通信経路 オンプレミス向けのセキュリティーサービス 通信経路 どんどん 増えていくのでネットワークが複雑化していきます これ自体は企業の皆さまの努力の結晶 ですので 決して否定される べきものではないんですが 攻撃者からすると この点線の1 本1本が 攻撃対象です メンテナンス性は落ちていく 一方で攻撃するポイント が増えて いくということを これはサプライチェーンアタックと似 たような状況が企業単一のネット ワークにも発生しているということなんですが クラウドフレアの場合もセキュリティーソリ ューションを企業のネットワーク にくっつけるのではなく サース型 Azure Service型でインターネット 側にくっつけましょうと インターネット上に巨大なセ キュリティルーター を作っておきますので そこに皆さまの通信を通してくださいと これ が基本コンセプトになっていますこうすることによって 攻撃者から すると 攻撃対象を 皆さんのネットワークからクラウドフレアに一度移して しまうんですね そして クラウド フレアは日々そういった攻撃と 戦っていくと これが将来的なネットワークの在り方であ ろうと われわれは 考えています Emailのセキュリティーですけども ゼロトラストネットワークアクセスゼロトラスト というものを皆さま 聞いたことがあるかと思いますがその考え方をEmailに適用し ましょう というのが クラウドフレアが提供しているEmailセキュリティーサービス の基本コンセプトになっていますなぜゼロトラストを拡張するか というところなんですが メールというのは企業にとって最も重要な 通信手段の一つになります つまりメール自体も 巨大なネットワーク の一部 しかも外部コミュニケーションの主なツールとして使われて いる そういう考え方です であれば 本来ネットワークを保護するべきコンセプト として 生み出されたゼロトラストネットワークアクセス ゼロトラスト ネットワークアーキテク チャ 言い方いろいろありますが その考え方 はEmailにも適用できるはずだとこれが 何がうれしいか この後の スライドで少し話をしていきたいと思うんですが この考え方が 適用 できるのであれば 一つの管理者画面 一つのシステムでネットワーク 保護とE mailの保護が両方同時にできるはずだということです ゼロトラスト の基本的な考え方 メールは信頼できないこれは通信もそうですね すべての ものをまず一旦信頼しないという 前提に立つ それからメールに記載 されるURLへの愛用 例えばブラウザーがメールで記 載されているURLに アクセスしようとした際の保護を通常のネットワークの保護と 同じ 手段を用いてやってしまいましょう こういった考え方です 冒頭 DDoS クラビングセ ンター方式の中でも少しお話をさせて いただきましたが クラウドフレアはルーティングな しで単一のデータセンター ですべてのセキュリティ処理が行われるというのを一つの特徴と しています その中にはゼロトラストネットワークアクセスを実現するサービス ブラウザー がどこへアクセスしているかをチェックするサービス Emailのセキュリティ のサービ ス 怪しいサイトにアクセスする際にはブラウザーをクラウド フレア側の中で動かす 皆さんのPCの中ではなく クラウドフレア の中で動かして 一度そのサイトにアクセス してみる その結果として DLP どういったデータをブラウザーがサイトとやりとりを している のか クレデンシャルや個人情報は入っていないのか そういった ものをチェ ックするような機能が動きます このトータルのセキュリティスイートのことを我々はクラウ ド フレア1と呼んでいるんですがその中でさらに Emailに特化した ものがクラウド フレアエリア1というものです もちろんエリア 1だけ Emailセキュリティだけを まずは導入するということも可能ですが 昨今の攻撃というのは非常に複雑化しており 複合 攻撃が増えています ので 企業の問題があるのは事実ですが できればまとめてさまざまな 機能を導入いただくことで 企業のセキュリティをトータルで保護 するという考え方です ネットワークの通信と同じようにメールを保護 しますので 下の部分ですね まず全てを一 度信用しないという前提 に立ちます そして通信を出しているオリジナルのリクエスト元を 検証 し その後 必要に応じてフィルタリングを行います 悪意のある通信と判断 できた ものはそこでドロップしてしまうと その後 検査を行います そして 怪しいものでも判断 がしきれないものについては分離という機能 を我々は提供しています ブラウザーを皆さん のPCではなく クラウド フレアの端末で実行させて まずどういったデータのやりとりを しているかを動的にチェックし危ないかどうかを判断すると その 結果として 皆さまが 安全にメールを受信できる もしくは受信した メールのURLをクリックできる こうい ったことが実現できるようになって いくわけです このEメールのセキュリティというのは なかなかに実装が厄介 なのも事実です というのは セキュリティというのは 強固に設定 すればする ほど 処理が積み重なっていきますので 皆さんがメールを受信する タイミ ングが遅延していく 遅いメールのシステムになっていく ということです 例えば クラウ ドフレアはその問題を解決するために 二つのデプロイメント方式を持っているんですが一つ が従来型インラインデプロイメント 方式です これはクラウドフレアの中にMTAがマネ ージド型として 提供されますので 一度そこでメールを受信すると そこから必要に応じて GmailやOffice 365や あとはJavaScriptを実行させるといった ようなモード も備わっていますが 必要なセキュリティを施した後 メールが転送される と 当然 複数ホップされることになりますので メールの受信は遅延します これを防ぐの が右のAPIデプロイメントモードというものになります メール が受信した後 そのメ ールの受信は 今 皆さんが使っているインボックス に直接まず受信します 受信しました よというものをAPI経由で取得 もしくはBCC経由で情報を取得しチェックを行い 危な そうなメール であれば 受信した後 そのメールをインボックスから削除すると このよう なデプロイメント方式も実現可能になっています そして DDoSの話に戻っていきますが 最近 新しいランサムウェアの トレンドとして DDoSランサムウェアという攻撃が増 えてきています これは従来のDDoSより非常に単純かつ厄介です 従来のDDoSランサ ムウェア というのは やはりそれなりの技術レベルが要求されるわけですよね 企業のネ ットワークに侵入して情報を暗号化してと 一方 DDoSランサムウェアというのはお金を 払わなければ そちらのウェブサイトを DDoS攻撃で止めますよとDDoS攻撃を行うツ ールというのは 今 非常に簡単に手に入りますので技術レベルが低いスクリプトキッズ と いう言い方をセキュリティ業界ではするんですけども 大して技術力を持っていない人間がス クリプトを手に入れて DDoS攻撃 を行うことができると これによりこのDDoSラン サムウェアというもの が今 増えつつありますでは 日本のDDoS攻撃の状況ですね ち ょっと見ていきたいと思うんですが実は現時点では 日本というのは 世界的に見て インタ ーネットは非常に安全であることが知られています 日本から発信されているDDoS攻撃が 実は国単位でいうと 177位 かなり下の方です日本に対するDDoS攻撃も 80位と 相当安全な部類です攻撃対象ですが これは世界中 どこの国でもほぼ同じ分布を示しますが ニュースペーパー まあマスメディア系ですねここがやはり一番です それから 2番目 不 動産不動産は少し個人的にも 意外だなと思ったんですが3番目 4番目が公共系 政府系の 機関ということですね一方 日本だけ発生する事象というものも 観測されています8月 特 定施設への通信の 93%が 攻撃通信であるということが過去の観測から分かっています 特定施設というのは戦争に関連するものを 展示している施設であったり公共系のウェブサイ ト 自治体 政府機関の ウェブサイトなどですこれは日本特有の現象です 世界的に見た DDoS 攻撃の動向ですけどもこれ昨年の第4四半期ですので 今年の2月頃に出たレポ ートですがDDoSというのは 1年間減少していたんですがまたここに来て 急に増えて きたということが 分かっていますそして レイヤーが下に下がっていると従来はアプリケー ション型への DDoS 攻撃だったものがネットワーク層への DDoS 攻撃に 移って きているとこれはなぜかといえば アプリケーションへの DDoS 攻撃はそのアプリケー ションを 理解する必要がありますつまり それなりの技術力が 要求されるわけですがネ ットワークへの DDoS 攻撃というのは IP アドレスが分かればそれで成立します つまり より技術力の低い人間がツールを簡単に手に入れ DDoS 攻撃ができるようにな ってきたということを意味しています それと連携してクラウド パブリッククラウドの 処 理能力が向上するとともにパブリッククラウドの アカウントを取られると簡単に大規模な DDoS ボットネットが 作れるということも増えてきています従来ではなかった かなり しつこい 3時間以上持続する攻撃が87%増加し ネットワーク帯域も 100ギガBPS を超える攻撃が67%増加と 途方もない成長をしていますそのうち 16%がミノシロキン 型 つまり DDoS ランサムウェアであったという報告が出ています ちなみに この 16%というのはランサムウェアの被害を受けた企業が ランサムウェアの被害に遭いました と告知して初めて分かる数字なので 実際はもっと多い数字だろうというふうに言われて います そして昨年の秋これはクラウドフレアそのものが お客様に代わって攻撃を受け止め 処理した 実績になるんですけども過去最大 秒間7100万リクエストの DDoS 攻撃 というものも検知されています 日本 の状況ですクラウドフレアの観測範囲によると 日本のトラフィックにおける約14%が D DoS 攻撃であるということが 分かっていますそれでも日本は DDoS 攻撃を受ける 国としては 世界で上から80番目なのでかなり安全な部類にもかかわらず 14%が D DoS 攻撃だということになっていますつまりランサムウェア対策を行っていく場合Eメ ールのセキュリティだけでは 今不十分になりつつあるというのが今の実情です このため 単一のエッジロケーション データセンターで通信をルーティングさせることなく Eメール セキュリティ DDoS 対策あと WAF ボット対策などを まとめて行えるソリュー ションがやはり必要になってくるということです それから 最近もう一つ DDoS のト レンドとして暗号化通信 つまり TLS 通信による DDoS 攻撃というものも増えて きます これは体力勝負なんですね 通常の暗号化されていない通信に比べると暗号化通信 というのは 攻撃する側 攻撃される側 両方ともにCPU のパワーを要求します 攻撃側 は クラウドの発達に伴い攻撃しやすくなってきている 大量のコンピュートリソースを一時 的に取得しやすくなっている ということで この TLS 攻撃というのが増えてきて います こうすると 企業専用の DDoS システムではなかなか対応が難しくなって きます 一時的に発生する大型の DDoS 攻撃はやはりグローバルのネットワークで 分 散してそれを受け止めるといったような仕組みが 必要になってくるわけですが暗号化通信の ままでは 実は クラウドフレア側もそれが攻撃なのかどうか判別しづらい という事実は ありますどこにアクセスしようとしているか 暗号化通信のままでは判別がしづらいわけです どこの IP アドレスにアクセスしようとしているかは もちろん暗号化されていても 分 かりますけどもどのURLにアクセスしようとしているかは 一部暗号化されてしまう ということですね このため クラウドフレアのエッジでは一度 TLS を終端させる 生 の通信に戻し チェックを行いそのまま生の状態でお客さまに 送り届けることもできますし ほとんどの場合はインターネット経由で もう一度通信を出すことになると思うので コスト 的にですね 専用線で出すこともできますしIPセクトで出すこともできますが コスト的 にはインターネット経由で通信を出すと そうした場合 再度 暗号化通信を施して皆さまの オリジンまで安全に パケットを送り届けるとこのようなアーキテクチャを取ることが でき るようになっています私のセッションは以上になります もし何かご不明な点とかご興味が あるところがございましたら いつでもご縁のなくお声掛けいただければと思います 今日は どうもありがとうございました失礼いたします