ルータ、

ファイアウォール

標的サーバ

標的ではない

サーバ

証拠保全 -(3) 刑事と民事

• 刑事事件は捜査機関に任せる

– 不正アクセス禁止法などは刑事なので、捜査機関が起訴可能と判断すれば逮捕等に発展することが可能

– 捜査主体は当然捜査機関であり、被害者といえども口出しできない

– 刑事事件の証拠は「原本（オリジナル）」である必要があるため、データが必要ならば手元に自分でコピーして置いておく必要がある

• 民事は自分で証拠を集めて立証する

– 損害賠償を求める場合などは、損害程度、損害をうけた証拠、相手を特定できる証拠などを集める必要がある – したがって、自分で証拠となりそうなものを解析する必要

がある（もちろん、業者への依頼という手もある）

まとめ：インシデント対応の作業手順

１．手順の確認

２．作業記録の作成

３．責任者、担当者への連絡４．事実の確認

５．スナップショットの保存

６．ネットワーク接続やシステムの遮断もしくは停止７．影響範囲の特定

８．渉外、関係サイトへの連絡９．要因の特定

１０．システムの復旧１１．再発防止策の実施１２．監視体制の強化１３．作業結果の報告

１４．作業の評価、ポリシー・運用体制・運用手順の見直し

出典

JPCERT/CC技術メモ -

コンピュータセキュリティインシデントへの対応

個人情報漏洩時の対応手順

組織的安全管理措置

（ 5 ）事故又は違反への対処をする上で望まれる事項

• 事実関係、再発防止策等の公表、その他、以下の項目等の実施

• ア）事実調査

• イ）影響範囲の特定

• ウ）影響を受ける可能性のある本人及び主務大臣等への報告

• エ）原因の究明

• オ）再発防止策の検討・実施

出典経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf

補足：不審なアクセスを検出した場合の対応

• 可能性

(a) 攻撃対象の探索を意図したアクセス、または、アタックそのもの

(b) 設定ミス、操作ミスによるアクセス

(c) システムの予想外の挙動によるアクセス

• 対応

(a) すべてのアタックについて防御に成功したと判断できない場合には、念のためシステムの稼働状況を調査し、不審な点がないか確認

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：外部からインシデントについての連絡を受けた場合

(1) サイト内での調整

広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整

(2) 事実関係の確認

・連絡元の主張する内容を落ち付いて確認

（対象サイト、アクセスの内容、日時等 )

・自サイトの場合システムログ等による事実関係の確認

（事実の場合、影響度によってはネットワーク接続やシステムの遮断、

停止を優先するほうがよい場合も）

(3) 連絡元への対応

・善意の連絡：事情説明、謝罪など礼を逸しない対応

・悪意の連絡：回答を避ける等の特別の対応も検討要

出典 : JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

補足：侵入への対応

(1) ネットワークの遮断、システムの停止 (2) スナップショットの保存

(3) 被侵入システムにおける調査

(4) 他のシステムに対する影響の調査 (5) 侵入経路の特定

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(1)

(1) ネットワークの遮断、システムの停止システム侵入

→・ログ改ざんのおそれ

・他システムへの攻撃元として悪用

・パケット盗聴プログラムの設置

・情報の持ち出しなど

ネットワークの遮断やシステムの停止について優先的に検討要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(2) (2) スナップショットの保存

・プロセスの稼働状況

・ネットワークの利用状況

・ファイルシステムの状況

（ファイルの最終参照時刻、最終更新時刻、所有者、

アクセス権など )

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(3)

(3) 被侵入システムにおける調査

正常な状態と比較し、相違の有無を確認改ざんの例：

・アカウント情報の追加、変更

・ユーザ認証機構の改ざん

・プログラムのインストール、起動

・セキュリティ上の弱点を含むソフトウェアへのダウングレード

・侵入者に関する情報を出力から除外するコマンドへの置換

改ざんされていないコマンドによる調査が重要

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

補足：侵入への対応 -(4)

(4) 他のシステムに対する影響の調査

・攻撃用ツールの出力を保存したファイル

・侵入者による他システムへの TCP 接続の痕跡

・ルータやファイアウォールのログ

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(5)

(5) 侵入経路の特定弱点のチェック

・放置していたセキュリティ上の問題、弱点はなかったか

・パスワードファイルや設定ファイル類が盗まれた形跡はないか

・見破られやすいパスワードがなかったか

・ HTTP や FTP など、公開しているサービスに設定の誤りがなかったかなどをチェック

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

参考：侵入検知に関する資料

[1] Intruder Detection Checklist

http://www.cert.org/tech_tips/intruder_detection_checklist.html [2] Steps for Recovering from a UNIX or NT System Compromise

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

http://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html

[3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf

ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt [4] Windows NT Intruder Detection Checklist

http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_

detection_checklist.html

情報セキュリティセミナー 2005

セキュリティ情報収集方法の紹介

参考までに･･･

(1) メールによる情報収集 [1/2]

• 企業内で利用しているハードウェアや市販のソフトウェアについては、ユーザ登録を行うことで、脆弱性やパッチ（アップデート）の情報がメール配信される場合があります。このようなユーザ登録は行っておくべきでしょう。

• また、これから紹介するようなメーリングリス

トに登録しておくことで、最新のセキュリティ

情報をいち早く得ることが出来ます。

(1) メールによる情報収集 [2/2]

• Microsoft のメーリングリスト

マイクロソフトプロダクトセキュリティ警告サービス

http://www.microsoft.com/japan/technet/security/bulletin/notify.asp

• IPA のメーリングリスト

情報処理推進機構新着情報メール配信 http://www.ipa.go.jp/about/mail/index.html

• JPCERT/CC のメーリングリスト JPCERT/CC メーリングリスト

http://www.jpcert.or.jp/announce.html

(2)Web からの脆弱性やパッチの情報 [1/4]

• 脆弱性情報を提供するサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。

• また、ハードウェアやソフトウェアのメーカーサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。

• 経済産業省告示「ソフトウエア等脆弱性関連

情報取扱基準 (*) 」を受けて、日本国内の製

品開発者の脆弱性対応状況を公開するサイ

トとして、 JVN があります。

(2)Web からの脆弱性やパッチの情報 [2/4]

• IPA/ISEC

http://www.ipa.go.jp/security/

• JPCERT/CC

http://www.jpcert.or.jp

• @police ( 警察庁 /NPA)

http://www.cyberpolice.go.jp/

• CERT/CC

http://www.cert.org/

http://www.cert.org/nav/index_main.html

• Security Focus

http://www.securityfocus.com/

(2)Web からの脆弱性やパッチの情報 [3/4]

• Microsoft

http://www.microsoft.com/japan/technet/security/ （日本語版）

• SUN

http://sunsolve.sun.com/pub-cgi/search.pl?mode=results&origin=advanced&range=20&so=date

&coll=fsalert&zone_32=category:security

• Cisco

http://www.cisco.com/en/US/products/products_security_advisories

_listing.html

(2)Web からの脆弱性やパッチの情報 [4/4]

• CheckPoint

http://www.checkpoint.co.jp/security/index.html （日本語版）

• Oracle

http://otn.oracle.co.jp/security/ （日本語版）

• IBM

http://www-6.ibm.com/jp/software/lotus/techsupport/security.html

• Apache

http://www.apache.jp/ （日本語版）

• HP

http://archives.neohapsis.com/archives/hp/

(2)Web からの脆弱性やパッチの情報収集

• JVN

JVN は、 "JP Vendor Status Notes" の略です。経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準 (*) 」を受けて、日本国内の製品開発者の脆弱性対応状況を公開するサイトとして、有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC) と独立行政法人情報処理推進機構 (IPA) が共同で運営しています。

JVN では、 JPCERT/CC が取り扱った脆弱性情報を公開しています。これらの脆弱性情報には、この枠組みに参加している日本国内の製品開発者の対応状況も含まれております。

対応状況には、脆弱性に該当する製品の有無、回避策 ( ワークアラウンド ) や対策情報 ( パッチなど ) も含まれます。

http://jvn.jp/

(3)Web からのコンピュータウイルス関連の情報収集 [1/2]

• 通常は、ウイルス対策ソフトを導入してあり、

かつ常に最新版のウイルス定義ファイルに

更新されていれば、かなりの確立でウイルス

を防ぐことが出来ますが、万が一感染してし

まった場合あるいは詳細の情報が必要な場

合には、ワクチンベンダーのサイトを参照す

ることで、それらの最新情報を収集すること

が出来ます。

(3)Web からのコンピュータウイルス関連の情報収集 [2/2]

• トレンドマイクロ

http://www.trendmicro.co.jp/vinfo/

http://www.trendmicro.com/map/ （ Virus Map ）

• シマンテック

http://securityresponse.symantec.com/

http://www.symantec.com/region/jp/sarcj/index.html

• McAfee

http://vil.nai.com/VIL/newly-discovered-viruses.asp http://www.nai.com/japan/security/latest.asp

• Sophos

http://www.sophos.co.jp/downloads/ide/

• F-Secure

http://www.f-secure.co.jp/v-descs/index.html

(4)Web からの新種ワーム発生状況やインターネット事情の情報収集 [1/2]

• 2003 年の W32/MSBlaster および

W32/Welchia の記憶は残っていると思いますが、最近はインターネットからの脆弱性を狙った攻撃が増加しています。

このような、インターネットの状況を定期的に情報公開しているサイトがあります。

これらのサイトを定期的に参照することで、

ファイアウォール

標的 サーバ

標的ではない

サーバ

証拠保全 -(3) 刑事と民事

• 刑事事件は捜査機関に任せる

– 不正アクセス禁止法などは刑事なので、捜査機関が起 訴可能と判断すれば逮捕等に発展することが可能

– 捜査主体は当然捜査機関であり、被害者といえども口出 しできない

– 刑事事件の証拠は「原本（オリジナル）」である必要があ るため、データが必要ならば手元に自分でコピーして置 いておく必要がある

• 民事は自分で証拠を集めて立証する

– 損害賠償を求める場合などは、損害程度、損害をうけた 証拠、相手を特定できる証拠などを集める必要がある – したがって、自分で証拠となりそうなものを解析する必要

がある（もちろん、業者への依頼という手もある）

まとめ：インシデント対応の作業手順

１ ． 手順の確認

２．作業記録の作成

３．責任者、担当者への連絡 ４．事実の確認

５．スナップショットの保存

６．ネットワーク接続やシステムの遮断もしくは停止 ７．影響範囲の特定

８．渉外、関係サイトへの連絡 ９．要因の特定

１０．システムの復旧 １１．再発防止策の実施 １２．監視体制の強化 １３．作業結果の報告

１４．作業の評価、ポリシー・運用体制・運用手順の見直し

JPCERT/CC技術メモ -

個人情報漏洩時の対応手順

組織的安全管理措置

（ 5 ）事故又は違反への対処をする上で望まれる事項

• 事実関係、再発防止策等の公表、その他、以下の 項目等の実施

• ア）事実調査

• イ）影響範囲の特定

• ウ）影響を受ける可能性のある本人及び主務大臣 等への報告

• エ）原因の究明

• オ）再発防止策の検討・実施

出典 経済産業省 個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン

http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf

補足：不審なアクセスを検出した場合の対応

• 可能性

(a) 攻撃対象の探索を意図したアクセス、または、アタックその もの

(b) 設定ミス、操作ミスによるアクセス

(c) システムの予想外の挙動によるアクセス

• 対応

(a) すべてのアタックについて防御に成功したと判断できない場 合には、念のためシステムの稼働状況を調査し、不審な点 がないか確認

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：外部からインシデントについての連絡を 受けた場合

(1) サイト内での調整

広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整

(2) 事実関係の確認

・連絡元の主張する内容を落ち付いて確認

（対象サイト、アクセスの内容、日時等 )

・自サイトの場合システムログ等による事実関係の確認

（事実の場合、影響度によってはネットワーク接続やシステムの遮断、

停止を優先するほうがよい場合も）

(3) 連絡元への対応

・善意の連絡：事情説明、謝罪など礼を逸しない対応

・悪意の連絡：回答を避ける等の特別の対応も検討要

出典 : JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

補足：侵入への対応

(1) ネットワークの遮断、システムの停止 (2) スナップショットの保存

(3) 被侵入システムにおける調査

(4) 他のシステムに対する影響の調査 (5) 侵入経路の特定

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(1)

(1) ネットワークの遮断、システムの停止 システム侵入

→・ログ改ざんのおそれ

・他システムへの攻撃元として悪用

・パケット盗聴プログラムの設置

・情報の持ち出し など

ネットワークの遮断やシステムの停止について 優先的に検討要

出典 JPCERT/CC技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(2) (2) スナップショットの保存

・プロセスの稼働状況

・ネットワークの利用状況

・ファイルシステムの状況

（ファイルの最終参照時刻、 最終更新時刻、所有者、

アクセス権など )

出典 JPCERT/CC 技術メモ - コンピュータセキュリティインシデントへの対応

http://www.jpcert.or.jp/ed/2002/ed020002.txt

補足：侵入への対応 -(3)

標的サーバ

– 不正アクセス禁止法などは刑事なので、捜査機関が起訴可能と判断すれば逮捕等に発展することが可能

– 捜査主体は当然捜査機関であり、被害者といえども口出しできない

– 刑事事件の証拠は「原本（オリジナル）」である必要があるため、データが必要ならば手元に自分でコピーして置いておく必要がある

– 損害賠償を求める場合などは、損害程度、損害をうけた証拠、相手を特定できる証拠などを集める必要がある – したがって、自分で証拠となりそうなものを解析する必要

１．手順の確認

３．責任者、担当者への連絡４．事実の確認

６．ネットワーク接続やシステムの遮断もしくは停止７．影響範囲の特定

８．渉外、関係サイトへの連絡９．要因の特定

１０．システムの復旧１１．再発防止策の実施１２．監視体制の強化１３．作業結果の報告

• 事実関係、再発防止策等の公表、その他、以下の項目等の実施

• ウ）影響を受ける可能性のある本人及び主務大臣等への報告

出典経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

(a) 攻撃対象の探索を意図したアクセス、または、アタックそのもの

(a) すべてのアタックについて防御に成功したと判断できない場合には、念のためシステムの稼働状況を調査し、不審な点がないか確認

補足：外部からインシデントについての連絡を受けた場合

(1) ネットワークの遮断、システムの停止システム侵入

・情報の持ち出しなど

ネットワークの遮断やシステムの停止について優先的に検討要

（ファイルの最終参照時刻、最終更新時刻、所有者、

正常な状態と比較し、相違の有無を確認改ざんの例：

(5) 侵入経路の特定弱点のチェック

・ HTTP や FTP など、公開しているサービスに設定の誤りがなかったかなどをチェック

マイクロソフトプロダクトセキュリティ警告サービス

情報処理推進機構新着情報メール配信 http://www.ipa.go.jp/about/mail/index.html

• 脆弱性情報を提供するサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。

• また、ハードウェアやソフトウェアのメーカーサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。