3 脆
1. 問い合わせ・対応状況
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
42 3 19 11 18
21 7 25 10 7
7 6 13 7 9
7 6 14 6 4
12 4 15 11 2
20 2 21 7 3
14 2 16 12 15
14 2 11 7 3
10 12 6 9 5
15 10 11 6 5
9 10 11 9 6
13 12 10 6 10
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
■ セキュリティアラート
■ 一般公開前脆弱性ハンドリング
■ インシデントハンドリング
■ 技術問い合わせ
■ 調査・情報収集
※NTTグループ限り 無断転載禁止/ Copyright © NTT Corp. All Rights Reserved.
60 70
50
40 100
90
80
30
20
10
0
13
12
10
6
10 9
10
11
9
6 15
10
11
6 5 10
12
6
9
5 14
2
11
7 3 14
2
16
12
15 20
2
21
7 3 12
4
15
11 2 7
6
14
6 4 7
13 6
7
9 21
25
10
7 7 42
3
19
11
18
●各月の特徴
・4 〜 5月 :OpenSSL(Heartbleed)、Apache Struts2などの脆弱性対応
・9月 :満州事変(9/18 〜)に関わるサイバー攻撃の警戒
・9 〜 10月:Bash(Shellshock)、SSLv3(POODLE)などの脆弱性対応
・12 〜 1月:Androidに関わる複数の公開前脆弱性対応
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
❶ 9.18満州事変に伴うサイバー攻撃について
・近年、毎年のように9月18日は中国からのサイト改ざんやDoSといったサイバー攻撃が発生しており、2014年も確 認された。ただ、2010年から2012年は多数の攻撃が確認されていたが、2013年から減少し、2014年も少なかった。
・NTT-CERTでは、改ざん報告サイトや攻撃者のサイトから、130件程度の改ざんを確認した(投稿者名:1937nick、
越南邻国宰相、黑旗奶嘴)。
・被害に合ったサイトは、ほとんどがホスティング(VPS)サービスを利用していた。
・NTTグループが被害にあったWebサイトは見当たらなかった。
・既知の脆弱性や空いたままのポートを狙っての攻撃の模様。日ごろからのパッチの適用、不必要にポートを空けない といったことが重要
2014年度の攻撃について
2. 対応事例
■改ざんサイト報告掲示板(hack-cn) ■攻撃者のWebサイト(1937CN)
■改ざんサイトの画面1
■改ざんサイトの画面3
■改ざんサイトの画面2
1. 問い合わせ・対応状況
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう(ilovetranslation)
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
このサイトでは67の言語への翻訳が可能
「ilovetranslation」という翻訳サイト においてテキストを翻訳すると、翻訳 結果がページとして作成され、Google 検索などで表示されることが判明
Google などで「ilovetranslation + キーワード」で検索をすると、テキスト 翻訳の結果が表示される。具体的な会 社名や個人名などが複数表示されてし まう。
翻訳の結果がWebページとして残っ てしまうため、翻訳サイトには会社名 や個人名を入力せず、最小限の使用に とどめる。
2014年7月23日にリリースされた、「Thunderbird 31.0」に、メール送信時に勝手にアドレス帳からアドレスが追加 されて送信されてしまうという、誤送信を誘発する重大なリスクを伴う事象がNTTグループ内で確認され、調査を実施した。
再現が取れ、Thunderbird 31.0の「アドレスリスト」のバグが原因と判明した。
宛先を「○○○ < 〜〜〜@ntt-cert.org>」の形式で表記した場合に、○○○ という同名のアドレスリストが存在する と、本来の宛先であるはずの「 〜〜〜@ntt-cert.org」ではなく、当該アドレスリストを対象に送信してしまうことが分 かった。
2. 対応事例
❸ Thunderbirdのバグによる誤送信事案
メールを作成
送信
勝手にアドレスが追加されて 送信されてしまった。
送信 To:○○○ < 〜〜〜@ntt-cert.org>
To: taro <taro@ntt-cert.org>
To:jiro <jiro@ntt-cert.org>
To:saburo <saburo@ntt-cert.org>
〜〜〜@ntt-cert.org へ送ろうと メールを作成する。
○○○のアドレスリストに登録された メールアドレスに送信されてしまう。
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう(ilovetranslation)
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
このサイトでは67の言語への翻訳が可能
「ilovetranslation」という翻訳サイト においてテキストを翻訳すると、翻訳 結果がページとして作成され、Google 検索などで表示されることが判明
Google などで「ilovetranslation + キーワード」で検索をすると、テキスト 翻訳の結果が表示される。具体的な会 社名や個人名などが複数表示されてし まう。
翻訳の結果がWebページとして残っ てしまうため、翻訳サイトには会社名 や個人名を入力せず、最小限の使用に とどめる。
2014年7月23日にリリースされた、「Thunderbird 31.0」に、メール送信時に勝手にアドレス帳からアドレスが追加 されて送信されてしまうという、誤送信を誘発する重大なリスクを伴う事象がNTTグループ内で確認され、調査を実施した。
再現が取れ、Thunderbird 31.0の「アドレスリスト」のバグが原因と判明した。
宛先を「○○○ < 〜〜〜@ntt-cert.org>」の形式で表記した場合に、○○○ という同名のアドレスリストが存在する と、本来の宛先であるはずの「 〜〜〜@ntt-cert.org」ではなく、当該アドレスリストを対象に送信してしまうことが分 かった。
2. 対応事例
❸ Thunderbirdのバグによる誤送信事案
メールを作成
送信
勝手にアドレスが追加されて 送信されてしまった。
送信 To:○○○ < 〜〜〜@ntt-cert.org>
To: taro <taro@ntt-cert.org>
To:jiro <jiro@ntt-cert.org>
To:saburo <saburo@ntt-cert.org>
〜〜〜@ntt-cert.org へ送ろうと メールを作成する。
○○○のアドレスリストに登録された メールアドレスに送信されてしまう。
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
Mozilla製品関連フォーラムには、類似事象が報告されていた。
本事象は、Mozillaの開発者よりバグとして報告され、2014年9月2日にリリースされたThunderbird 31.1 にて解消 された。
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
2. 対応事例 − ❸ Thunderbirdのバグによる誤送信事案
参照:http://forums.mozillazine.jp/viewtopic.php?t=14894&p=52878
参照:https://bugzilla.mozilla.org/show̲bug.cgi?id=1008718
■まとめ(注意のポイント)
●攻撃の流れ
2014年度は、悪意のある第三者によるWebサイトへの不正ログイン・不正利用やWebサイト改ざん、Webサービス からのユーザ情報漏えいが多く発生した。
NTT-CERTでもWebサイトに対する攻撃事案をいくつか対応しており、その中から一つの事案を紹介する。
本事案は外部へ公開しているWebサーバが不正侵入され、DDoS攻撃を行う複数のELFマルウェアが格納された。
このマルウェアにより、特定の数十サイトへDoS攻撃を行っていた。
【対応事例】Webサーバへの不正侵入事案
❹ Webサーバへの不正侵入事例
① Tomcat管理画面へブルートフォース攻撃発生
② Tomcat管理画面のユーザとパスワードが攻撃者に搾取される。
③ Tomcat管理画面からWebshell※ファイルを格納される。
④ Webshell経由でさまざまなELFマルウェアが格納される。
⑤ ELFマルウェアが実行され、外部のC&Cサーバと接続する(命令待ち)。
⑥ C&Cサーバから命令を受信して、ELFマルウェアが特定のサイトを攻撃
※Webshell:Webブラウザ経由でコンピュータをファイルアップロードや削除などの操作ができるツール
①Tomcat管理画面へブルートフォース攻撃発生
C&Cサーバ
公開Webサーバ 外部からの
ハイポート許可
②ログインIDとパスワード搾取
③Webshellファイルをアップロード
⑤C&Cサーバと通信
⑥C&Cサーバから命令を受信して、 ELFマルウェアが特定のサイトを DoS攻撃
④Webshell経由でELFマルウェアをアップロード
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
Mozilla製品関連フォーラムには、類似事象が報告されていた。
本事象は、Mozillaの開発者よりバグとして報告され、2014年9月2日にリリースされたThunderbird 31.1 にて解消 された。
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
2. 対応事例 − ❸ Thunderbirdのバグによる誤送信事案
参照:http://forums.mozillazine.jp/viewtopic.php?t=14894&p=52878
参照:https://bugzilla.mozilla.org/show̲bug.cgi?id=1008718
■まとめ(注意のポイント)
●攻撃の流れ
2014年度は、悪意のある第三者によるWebサイトへの不正ログイン・不正利用やWebサイト改ざん、Webサービス からのユーザ情報漏えいが多く発生した。
NTT-CERTでもWebサイトに対する攻撃事案をいくつか対応しており、その中から一つの事案を紹介する。
本事案は外部へ公開しているWebサーバが不正侵入され、DDoS攻撃を行う複数のELFマルウェアが格納された。
このマルウェアにより、特定の数十サイトへDoS攻撃を行っていた。
【対応事例】Webサーバへの不正侵入事案
❹ Webサーバへの不正侵入事例
① Tomcat管理画面へブルートフォース攻撃発生
② Tomcat管理画面のユーザとパスワードが攻撃者に搾取される。
③ Tomcat管理画面からWebshell※ファイルを格納される。
④ Webshell経由でさまざまなELFマルウェアが格納される。
⑤ ELFマルウェアが実行され、外部のC&Cサーバと接続する(命令待ち)。
⑥ C&Cサーバから命令を受信して、ELFマルウェアが特定のサイトを攻撃
※Webshell:Webブラウザ経由でコンピュータをファイルアップロードや削除などの操作ができるツール
①Tomcat管理画面へブルートフォース攻撃発生
C&Cサーバ
公開Webサーバ 外部からの
ハイポート許可
②ログインIDとパスワード搾取
③Webshellファイルをアップロード
⑤C&Cサーバと通信
⑥C&Cサーバから命令を受信して、
ELFマルウェアが特定のサイトを DoS攻撃
④Webshell経由でELFマルウェアをアップロード
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
4 N
T T グ ル ー プ に お け る セ キ ュ リ テ ィ 対 応 状 況︵ N T T
ーC E R T の 取 り 組 み 状 況 ︶
●攻撃者によりアップロードされたファイル①
●攻撃者によりアップロードされたファイル②
以下のファイルは、実際にアップロードされたWebshell「FreeBSD.war」を起動した画面 ディレクトリの参照、作成編集などをWebブラウザを通して実行することができる。
右下の図はシステム情報一覧を表示した画面
Webshell「FreeBSD.war」をアップロードされた時の「access.log」と「catalina.log」の抜粋
以下のファイルは、Webshell「FreeBSD.war」経由でアップロードされたELFマルウェア(DDoS Bot)ファイルの一覧 2. 対応事例 − ❹ Webサーバへの不正侵入事例
形 式
ファイル名 サイズ 備 考 Kaspersky Symantec Fsecure
①
②
③
④
⑤
⑥
⑦
⑧
⑨ Alale k xudp.exe jbk sshf xudp conf.n fake.cfg sshd
−
−
− Backdoor.Linux.Agent.F
−
−
−
−
−
−
−
− Trojan.Chikdos.B!gen1 Trojan.Chikdos.B!gen2
−
−
− Trojan.Chikdos.B!gen2 Backdoor.Linux.Mayday.g
−
Backdoor.Linux.Mayday.g Backdoor.Linux.Mayday.f Backdoor.Linux.Ganiw.a Backdoor.Linux.Mayday.g
−
−
Backdoor.Linux.Ganiw.a 833 KB
577 KB 808 KB 1.44 MB 1.09 MB 808 KB 69 byte 51byte 1.09 MB
ELF ELF ELF ELF ELF ELF data txt ELF
⑤と⑨に関連する 設定ファイル
①、④、⑥に関連する 設定ファイル
■SHODAN検索結果(例)
■まとめ(注意のポイント)
●インターネットに接続されたIoT(Internet of Things)機器の各種情報(IPアドレス、ホスト名、ドメイン保有者情報、
位置情報、ポート番号、OS、バナー情報)を収集するサイト。利用者は検索キーワードを組み合わせることで各種情報を 閲覧することができる。
・ サイバー犯罪者による悪用が指摘されている。
・ デフォルトパスワードを用いているIoT機器の調査
・ 脆弱性のあるソフトウェアを用いている機器の調査などで利用 (これらがバナー情報に含まれているケースがある)
・ 逆に、守る側(企業)は自組織内のIoT管理機器を不用意にインターネット上に公開していないかを調査する手段 として活用できる。
SHODANとは
❺ 検索エンジン「SHODAN」の調査報告
検索キーワードを入力して 検索ボタンを押下すると
検索結果が表示される