ファイアウォール
標的 サーバ
標的ではない
サーバ
証拠保全 -(3) 刑事と民事
• 刑事事件は捜査機関に任せる
– 不正アクセス禁止法などは刑事なので、捜査機関が起 訴可能と判断すれば逮捕等に発展することが可能
– 捜査主体は当然捜査機関であり、被害者といえども口出 しできない
– 刑事事件の証拠は「原本(オリジナル)」である必要があ るため、データが必要ならば手元に自分でコピーして置 いておく必要がある
• 民事は自分で証拠を集めて立証する
– 損害賠償を求める場合などは、損害程度、損害をうけた 証拠、相手を特定できる証拠などを集める必要がある – したがって、自分で証拠となりそうなものを解析する必要
がある(もちろん、業者への依頼という手もある)
まとめ:インシデント対応の作業手順
1 . 手順の確認
2.作業記録の作成
3.責任者、担当者への連絡 4.事実の確認
5.スナップショットの保存
6.ネットワーク接続やシステムの遮断もしくは停止 7.影響範囲の特定
8.渉外、関係サイトへの連絡 9.要因の特定
10.システムの復旧 11.再発防止策の実施 12.監視体制の強化 13.作業結果の報告
14.作業の評価、ポリシー・運用体制・運用手順の見直し
出典
JPCERT/CC技術メモ -
コンピュータセキュリティインシデントへの対応個人情報漏洩時の対応手順
組織的安全管理措置
( 5 )事故又は違反への対処をする上で望まれる事項
• 事実関係、再発防止策等の公表、その他、以下の 項目等の実施
• ア)事実調査
• イ)影響範囲の特定
• ウ)影響を受ける可能性のある本人及び主務大臣 等への報告
• エ)原因の究明
• オ)再発防止策の検討・実施
出典 経済産業省 個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン
http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf
補足:不審なアクセスを検出した場合の対応
• 可能性
(a) 攻撃対象の探索を意図したアクセス、または、アタックその もの
(b) 設定ミス、操作ミスによるアクセス
(c) システムの予想外の挙動によるアクセス
• 対応
(a) すべてのアタックについて防御に成功したと判断できない場 合には、念のためシステムの稼働状況を調査し、不審な点 がないか確認
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
補足:外部からインシデントについての連絡を 受けた場合
(1) サイト内での調整
広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整
(2) 事実関係の確認
・連絡元の主張する内容を落ち付いて確認
(対象サイト、アクセスの内容、日時等 )
・自サイトの場合システムログ等による事実関係の確認
(事実の場合、影響度によってはネットワーク接続やシステムの遮断、
停止を優先するほうがよい場合も)
(3) 連絡元への対応
・善意の連絡:事情説明、謝罪など礼を逸しない対応
・悪意の連絡:回答を避ける等の特別の対応も検討要
出典 : JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
補足:侵入への対応
(1) ネットワークの遮断、システムの停止 (2) スナップショットの保存
(3) 被侵入システムにおける調査
(4) 他のシステムに対する影響の調査 (5) 侵入経路の特定
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
補足:侵入への対応 -(1)
(1) ネットワークの遮断、システムの停止 システム侵入
→・ログ改ざんのおそれ
・他システムへの攻撃元として悪用
・パケット盗聴プログラムの設置
・情報の持ち出し など
ネットワークの遮断やシステムの停止について 優先的に検討要
出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
補足:侵入への対応 -(2) (2) スナップショットの保存
・プロセスの稼働状況
・ネットワークの利用状況
・ファイルシステムの状況
(ファイルの最終参照時刻、 最終更新時刻、所有者、
アクセス権など )
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
補足:侵入への対応 -(3)
(3) 被侵入システムにおける調査
正常な状態と比較し、 相違の有無を確認 改ざんの例:
・アカウント情報の追加、変更
・ユーザ認証機構の改ざん
・プログラムのインストール、起動
・セキュリティ上の弱点を含むソフトウェアへのダウングレード
・侵入者に関する情報を出力から除外するコマンドへの置換
改ざんされていないコマンドによる調査が重要
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
補足:侵入への対応 -(4)
(4) 他のシステムに対する影響の調査
・攻撃用ツールの出力を保存したファイル
・侵入者による他システムへの TCP 接続の痕跡
・ルータやファイアウォールのログ
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
補足:侵入への対応 -(5)
(5) 侵入経路の特定 弱点のチェック
・放置していたセキュリティ上の問題、弱点はなかったか
・パスワードファイルや設定ファイル類が盗まれた形跡はないか
・見破られやすいパスワードがなかったか
・ HTTP や FTP など、公開しているサービスに設定の誤りが なかったか などをチェック
出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応
参考:侵入検知に関する資料
[1] Intruder Detection Checklist
http://www.cert.org/tech_tips/intruder_detection_checklist.html [2] Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html
[3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf
ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt [4] Windows NT Intruder Detection Checklist
http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_
detection_checklist.html
情報セキュリティセミナー 2005
セキュリティ情報収集方法の紹介
参考までに・・・
(1) メールによる情報収集 [1/2]
• 企業内で利用しているハードウェアや市販の ソフトウェアについては、ユーザ登録を行うこ とで、脆弱性やパッチ(アップデート)の情報 がメール配信される場合があります。このよ うなユーザ登録は行っておくべきでしょう。
• また、これから紹介するようなメーリングリス
トに登録しておくことで、最新のセキュリティ
情報をいち早く得ることが出来ます。
(1) メールによる情報収集 [2/2]
• Microsoft のメーリングリスト
マイクロソフト プロダクト セキュリティ 警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
• IPA のメーリングリスト
情報処理推進機構 新着情報メール配信 http://www.ipa.go.jp/about/mail/index.html
• JPCERT/CC のメーリングリスト JPCERT/CC メーリングリスト
http://www.jpcert.or.jp/announce.html
(2)Web からの脆弱性やパッチの情報 [1/4]
• 脆弱性情報を提供するサイトを定期的に参 照することで、それらの最新情報を収集する ことが出来ます。
• また、ハードウェアやソフトウェアのメーカー サイトを定期的に参照することで、それらの 最新情報を収集することが出来ます。
• 経済産業省告示「ソフトウエア等脆弱性関連
情報取扱基準 (*) 」を受けて、日本国内の製
品開発者の脆弱性対応状況を公開するサイ
トとして、 JVN があります。
(2)Web からの脆弱性やパッチの情報 [2/4]
• IPA/ISEC
http://www.ipa.go.jp/security/
• JPCERT/CC
http://www.jpcert.or.jp
• @police ( 警察庁 /NPA)
http://www.cyberpolice.go.jp/
• CERT/CC
http://www.cert.org/
http://www.cert.org/nav/index_main.html
• Security Focus
http://www.securityfocus.com/
(2)Web からの脆弱性やパッチの情報 [3/4]
• Microsoft
http://www.microsoft.com/japan/technet/security/ (日本語版)
• SUN
http://sunsolve.sun.com/pub-cgi/search.pl?mode=results&origin=advanced&range=20&so=date
&coll=fsalert&zone_32=category:security
• Cisco
http://www.cisco.com/en/US/products/products_security_advisories
_listing.html
(2)Web からの脆弱性やパッチの情報 [4/4]
• CheckPoint
http://www.checkpoint.co.jp/security/index.html (日本語版)
• Oracle
http://otn.oracle.co.jp/security/ (日本語版)
• IBM
http://www-6.ibm.com/jp/software/lotus/techsupport/security.html
• Apache
http://www.apache.jp/ (日本語版)
• HP
http://archives.neohapsis.com/archives/hp/
(2)Web からの脆弱性やパッチの情報収集
• JVN
JVN は、 "JP Vendor Status Notes" の略です。経済産業 省告示「ソフトウエア等脆弱性関連情報取扱基準 (*) 」を受け て、日本国内の製品開発者の脆弱性対応状況を公開する サイトとして、有限責任中間法人 JPCERT コーディネーショ ンセンター (JPCERT/CC) と独立行政法人 情報処理推進 機構 (IPA) が共同で運営しています。
JVN では、 JPCERT/CC が取り扱った脆弱性情報を公開し ています。これらの脆弱性情報には、この枠組みに参加して いる日本国内の製品開発者の対応状況も含まれております。
対応状況には、脆弱性に該当する製品の有無、回避策 ( ワークアラウンド ) や対策情報 ( パッチなど ) も含まれます。
http://jvn.jp/
(3)Web からのコンピュータウイルス関連の情報収集 [1/2]
• 通常は、ウイルス対策ソフトを導入してあり、
かつ常に最新版のウイルス定義ファイルに
更新されていれば、かなりの確立でウイルス
を防ぐことが出来ますが、万が一感染してし
まった場合あるいは詳細の情報が必要な場
合には、ワクチンベンダーのサイトを参照す
ることで、それらの最新情報を収集すること
が出来ます。
(3)Web からのコンピュータウイルス関連の情報収集 [2/2]
• トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/
http://www.trendmicro.com/map/ ( Virus Map )
• シマンテック
http://securityresponse.symantec.com/
http://www.symantec.com/region/jp/sarcj/index.html
• McAfee
http://vil.nai.com/VIL/newly-discovered-viruses.asp http://www.nai.com/japan/security/latest.asp
• Sophos
http://www.sophos.co.jp/downloads/ide/
• F-Secure
http://www.f-secure.co.jp/v-descs/index.html
(4)Web からの新種ワーム発生状況や インターネット事情の情報収集 [1/2]
• 2003 年の W32/MSBlaster および
W32/Welchia の記憶は残っていると思いま すが、最近はインターネットからの脆弱性を 狙った攻撃が増加しています。
このような、インターネットの状況を定期的に 情報公開しているサイトがあります。
これらのサイトを定期的に参照することで、
最新状況の情報収集をすることが出来ます。
ドキュメント内
技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2
(ページ 102-132)