(Microsoft PowerPoint nendosotsuken.ppt [\214\335\212\267\203\202\201[\203h])

(1)

国内外

国内外からのスパムメールの

国内外

からのスパムメールの

国内外

国内外からのスパムメールの

からのスパムメールの

調査分析

調査分析に

調査分析

に

に関

関

関する

する

する研究

する

研究

調査分析

調査分析に

に

に関

関

関する

する

する研究

する

研究

２００９２００９２００９２００９年度年度年度卒業研究発表会年度卒業研究発表会卒業研究発表会卒業研究発表会 1 情報理工学部情報理工学部情報理工学部情報理工学部情報通信電子工学科情報通信電子工学科情報通信電子工学科情報通信電子工学科 6ADJ2209 6ADJ2209 6ADJ2209 6ADJ2209 藤田藤田藤田藤田聡美聡美聡美聡美２０１０２０１０２０１０２０１０年年年２年２２月２月月月１９１９１９１９日日日日指導教員指導教員指導教員指導教員石井石井石井石井啓之啓之啓之啓之

(2)

発表の流れ

１．研究背景

２．研究目的

３．実験方法

４．実験結果

５. 今後の検討課題

６．まとめ

(3)

１.研究背景

迷惑メールが増加してい

る

3 理由理由理由理由インターネットの普及インターネットの普及インターネットの普及インターネットの普及コストがかからないため利益率が高いコストがかからないため利益率が高いコストがかからないため利益率が高いコストがかからないため利益率が高い迷惑メールプログラム迷惑メールプログラム迷惑メールプログラム 迷惑メールプログラム(Botnet)の進化の進化の進化の進化

(4)

アドレス収集BOTの仕組み

掲掲掲掲示示示示板１板１板１板１掲示掲掲掲示示示板２板２板２板２掲示掲掲掲示示示板３板３板３板３掲示掲掲掲示示示板ｎ板ｎ板ｎ板ｎアドレスアドレスアドレスアドレス１１１１アドレスアドレスアドレスアドレス２２２２アドレスアドレスアドレスアドレス３３３３アドレスアドレスアドレスアドレスｎｎｎｎ Herder

(5)

２．研究目的

実際に迷惑メールを収集してみて

どのような傾向があり対策がとれるのか

5

どのような傾向があり対策がとれるのか

検討した。

(6)

３．実験方法

satomix.orgというドメインを取得し

無限にメールアドレスを作れるようにした

国内外の掲示板・ブログに一意な

メールアドレスを貼り付け迷惑メールを収集した

(この方法により、どのサイトから迷惑メールが送信されている

のかが分かる)

(7)

３．実験方法

収集期間 2009年9月23日～2010年2月4日

貼り付けたサイト数

日本→30サイト(主に出会い系サイト)

7

日本→30サイト(主に出会い系サイト)

海外→約150サイト

(主に個人がやっているプライベートBlog)

(8)

４. 実験結果

日本語のメールは外国語のメールと比較して貼り付け件数

が少なかったとは言え

かなり少なかった(わずか２３件)

日本のサーバからアドレスを収集する

迷惑メールプログラム(Bot)が

少ないと思われる。

(9)

迷惑メールの種類グラフ

寄付関連 48件 7% 警告メール 2件 0.3% 日本出会い目的 21件 3% 9 フィッシングフィッシングフィッシングフィッシング 418件 418件 418件 418件 64% 64% 64% 64% 広告 169件 26% 迷惑メール迷惑メール迷惑メール迷惑メール受信総数受信総数受信総数受信総数 658件 658件 658件 658件

(10)

迷惑メールの種類詳細

広告関係広告関係広告関係広告関係 169 169169 169通通通通 Web広告 86通(50.8%) ビジネス広告 23通(13.6%) 物販販売 21通(12.4%) 医者リスト販売 15通(8.9%) 音楽配信８通(4.7%)

※

怪しい添付ファイル付メール⇒66通(広告メール全体の39％) 169 169169 169通通通通ソフトウェア販売４通(2.3%) 学会招待４通(2.3%) ダイエット薬品２通(1.2%) 弁護士リスト販売２通(1.2%) ミステリーショッパー２通(1.2%)

(11)

ビジネスを称したフィッシング詐欺メールビジネスを称したフィッシング詐欺メールビジネスを称したフィッシング詐欺メールビジネスを称したフィッシング詐欺メール

(12)

音楽配信の広告メール音楽配信の広告メール音楽配信の広告メール

(13)

広告をうたってウィルスサイトへ誘導させるメール広告をうたってウィルスサイトへ誘導させるメール広告をうたってウィルスサイトへ誘導させるメール広告をうたってウィルスサイトへ誘導させるメール

(14)

各アドレスに対する迷惑メール

宛先宛先宛先宛先件数件数件数件数順位順位順位順位 dion11 dion11dion11 dion11 42424242 3333 dion13 dion13dion13 dion13 22222222 12121212 dion21 dion21dion21 dion21 17171717 13131313 lala lalalala lala 49494949 2222 lala3 lala3lala3 lala3 32323232 5555 lala4 lala4lala4 lala4 26262626 10101010 lala9 lala9lala9 lala9 10101010 15151515 sachiko5 sachiko5sachiko5 sachiko5 8888 16161616 satoko satokosatoko satoko 5555 17171717 satoko4 satoko4satoko4 satoko4 2222 20202020 satoko5 satoko5satoko5 satoko5 2222 20202020 satoko7 satoko7satoko7 satoko7 2222 20202020 dion26 dion26dion26 dion26 2222 20202020 dion29 dion29dion29 dion29 52525252 1111 dion30 dion30dion30 dion30 2222 20202020 don16 don16don16 don16 25252525 11111111 gaga8 gaga8gaga8 gaga8 4444 18181818 lala11 lala11lala11 lala11 32323232 5555 lala19 lala19lala19 lala19 29292929 8888 lala21 lala21lala21 lala21 27272727 9999 lala24 lala24lala24 lala24 2222 20202020 lala26 lala26lala26 lala26 30303030 7777 satoko7 satoko7satoko7 satoko7 2222 20202020 satoko8 satoko8satoko8 satoko8 2222 20202020 kiddy3 kiddy3kiddy3 kiddy3 11111111 14141414 kiddy6 kiddy6kiddy6 kiddy6 3333 19191919 kitty4 kitty4kitty4 kitty4 2222 20202020 kitty6 kitty6kitty6 kitty6 36363636 4444

(15)

５．まとめ

メールを収集した結果・・・

貼り付けたサイトのジャンルと来た迷惑メールのジャンルに

関係性は認められなかった

受信したメールの内、実に

受信したメールの内、実に6割がフィッシングメールだった。

受信したメールの内、実に

割がフィッシングメールだった。

広告メールも怪しいサイトに繋がってしまう可能性があ

る。

15

る。

悲しいエピソードを載せて寄付を募るメールも出回ってい

る。

手口が複雑化しているため、気をつける必要がある。

セキュリティソフトをインストールする

こまめにパソコンを最新状態にする

(16)

６. 今後の検討課題

サイトの規模と迷惑メールの関係性の明確化

送信元アドレス偽装の解析プログラムの作成

実験規模の拡大

(17)

ご清聴ありがとうございました

17

ご清聴ありがとうございました

(18)

不正アクセスの可視化システムの

構築に関する研究

2010/2/19 2009年度卒業論文合同発表会

構築に関する研究

情報理工学部情報通信電子工学科杉山祐介野村隆弘原田優貴高野覚指導教授石井啓之

(19)

研究背景

インターネットの普及により、遠隔からネットワークを経由して攻撃対象となるサーバへの侵入行為やサービス停止を目的とする不正アクセスが増えている。被害を受けた特定電子計算機の被害を受けた特定電子計算機の被害を受けた特定電子計算機の被害を受けた特定電子計算機のアクセス管理者の推移アクセス管理者の推移アクセス管理者の推移アクセス管理者の推移 0 500 1000 1500 平成15年平成16年平成17年平成18年平成19年アクセス管理者の推移アクセス管理者の推移アクセス管理者の推移アクセス管理者の推移プロバイダ一般企業大学、研究機関などその他 ※「プロバイダ」とは、インターネットに接続する機能を提供する電気通信事業者

(21)

不正アクセスの手順

①アドレススキャン

②ポートスキャン

③パスワードクラッキング

21

④不正実行

(22)

①アドレススキャン

対象となるサーバを探す作業対象となるサーバを探す作業対象となるサーバを探す作業対象となるサーバを探す作業

(23)

②ポートスキャン

23 侵入する入り口を探す作業侵入する入り口を探す作業侵入する入り口を探す作業侵入する入り口を探す作業

(24)

③パスワードクラッキング

侵入を試みる作業侵入を試みる作業侵入を試みる作業侵入を試みる作業

(25)

④不正実行

25 実際に不正を行う実際に不正を行う実際に不正を行う実際に不正を行う

(26)

サーバにかかる負荷

(27)

不正アクセスについて

管理者がサーバを守るために何が知りたいのか？攻撃があるのか？傾向はどうなのか？対策は何が有効なのか？ Syslog 27 Syslog 各種のUNIXが備わってるシステム・ログ出力機能システムメッセージをファイルに保存する仕組み

(28)

Syslogの詳細

Jul 29 18:43:13 localhost sshd[800]:

pam_succeed_if(sshd:auth): error retrieving information about user sales

Jul 29 18:43:15 localhost sshd[800]: Failed password for invalid user sales from 222.211.67.60 port 42758 ssh2 Jul 29 09:43:15 localhost sshd[801]: Received disconnect

from 222.211.67.60: 11: Bye Bye

Jul 29 18:43:19 localhost sshd[802]: Invalid user recruit Jul 29 18:43:19 localhost sshd[802]: Invalid user recruit

from 222.211.67.60

Jul 29 09:43:19 localhost sshd[803]:

input_userauth_request: invalid user recruit

Jul 29 18:43:19 localhost sshd[802]: pam_unix(sshd:auth): check pass; user unknown

Jul 29 18:43:19 localhost sshd[802]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.211.67.60

(29)

研究目的

正規ユーザのアクセスか不正ユーザのアクセスかわかりにくい正規ユーザのアクセスか不正ユーザのアクセスかわかりにくい正規ユーザのアクセスか不正ユーザのアクセスかわかりにくい正規ユーザのアクセスか不正ユーザのアクセスかわかりにくい攻撃の総数がわかりにくい攻撃の総数がわかりにくい攻撃の総数がわかりにくい攻撃の総数がわかりにくい文字の羅列で情報を見落としがちになってしまう文字の羅列で情報を見落としがちになってしまう文字の羅列で情報を見落としがちになってしまう文字の羅列で情報を見落としがちになってしまう 29 管理者が知りたい情報がわかりにくい管理者が知りたい情報がわかりにくい管理者が知りたい情報がわかりにくい管理者が知りたい情報がわかりにくい

管理者の手間を削減するために

不正アクセス可視化システムを構築する

(30)

要求条件

不正アクセス可視化システムの要件不正アクセス可視化システムの要件不正アクセス可視化システムの要件不正アクセス可視化システムの要件（要件１）（要件１）（要件１）（要件１）攻撃かどうか瞬時に判別可能攻撃かどうか瞬時に判別可能攻撃かどうか瞬時に判別可能攻撃かどうか瞬時に判別可能（要件２）（要件２）（要件２）（要件２）総攻撃回数のカウントに時間がかからない総攻撃回数のカウントに時間がかからない総攻撃回数のカウントに時間がかからない総攻撃回数のカウントに時間がかからない（要件３）（要件３）（要件３）（要件３）攻撃元の特定が瞬時に可能なもの攻撃元の特定が瞬時に可能なもの攻撃元の特定が瞬時に可能なもの攻撃元の特定が瞬時に可能なもの（要件４）（要件４）（要件４）（要件４）ユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいもの（要件４）（要件４）（要件４）（要件４）ユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいものユーザにとって視覚的にわかりやすいもの

(31)

システム仕様

アクセスログを集計し、世界地図と順位表で不正アクセス情報を確認でアクセスログを集計し、世界地図と順位表で不正アクセス情報を確認でアクセスログを集計し、世界地図と順位表で不正アクセス情報を確認でアクセスログを集計し、世界地図と順位表で不正アクセス情報を確認できるシステムきるシステムきるシステムきるシステムプログラミング言語はプログラミング言語はプログラミング言語はプログラミング言語はJavaを使用を使用を使用を使用動作環境動作環境動作環境動作環境 31 動作環境動作環境動作環境動作環境研究室サーバ研究室サーバ研究室サーバ研究室サーバ Fedoracore8,Celeron®CPU2.53GHz,メモリメモリメモリメモリ1GB Syslogで記録されているで記録されているで記録されているで記録されているsshサーバを対象サーバを対象サーバを対象サーバを対象

(32)

④読込 ④読込 ④読込 ④読込サーバサーバサーバサーバ ①読込 ①読込①読込 ①読込ログログログログ ③ログの集計 ③ログの集計③ログの集計 ③ログの集計 ② ② ② ②国の判別国の判別国の判別国の判別国名国名国名国名ユーザ名ユーザ名ユーザ名ユーザ名各集計項目各集計項目各集計項目各集計項目・各アクセス総数・各アクセス総数・各アクセス総数・各アクセス総数・連続アクセス数・連続アクセス数・連続アクセス数・連続アクセス数・割合・割合・割合・割合ＩＰｱﾄﾞﾚｽＩＰｱﾄﾞﾚｽＩＰｱﾄﾞﾚｽＩＰｱﾄﾞﾚｽ _{csv,html形式で}_形式で_形式で_形式で保存保存保存保存

システム概要図

④読込 ④読込 ④読込 ④読込インターネットインターネットインターネットインターネット ⑤ ⑤ ⑤ ⑤可視化可視化可視化可視化 RIR ・集計結果は地図と・集計結果は地図と・集計結果は地図と・集計結果は地図と順位表で可視化順位表で可視化順位表で可視化順位表で可視化 Webブラウザで閲覧可能ブラウザで閲覧可能ブラウザで閲覧可能ブラウザで閲覧可能

(33)

システム仕様

集計

総攻撃回数のカウント使用された各ユーザ名の特定と使用回数

実装した機能

33 使用された各ユーザ名の特定と使用回数攻撃元ＩＰアドレスの特定とアクセス数攻撃元の国名の判別とアクセス数

可視化

◦ Webブラウザ上で表示できるようにする ◦ 各集計結果は順位表で表示 ◦ 国ごとのアクセス推移を色分けして地図表示

(34)

不正アクセス可視化システムの概要図

サーバサーバサーバサーバ読込読込読込読込ログログログログ国の判別国の判別国の判別国の判別地図作成地図作成地図作成地図作成アプレットアプレットアプレットアプレット順位表データ順位表データ順位表データ順位表データ地図データ地図データ地図データ地図データ国ごとのアクセス数国ごとのアクセス数国ごとのアクセス数国ごとのアクセス数集計集計集計集計プログラムプログラムプログラムプログラムインターネットインターネットインターネットインターネット RIR

Webブラウザで閲覧可能

ブラウザで閲覧可能

(35)

集計プログラム

Syslogの作成したログ情報を読み込み必要な情報をカウントするプログラム 1. Syslogのログ情報の読み込み不正アクセスしてきたユーザ情報（IPアドレス、使用ユーザ名）のみ読み込み(正規ユーザは除外) 2. 不正アクセスもとのIPアドレスをRIRに問い合わせ国を判別する 35 3. 不正アクセスしてきたユーザ情報のカウント個別IPアドレスと国ごとの総攻撃回数使用ユーザ名 4. 集計結果を出力 Webブラウザで順位表示するためのファイル(html) 地図作成アプレットにカウントの結果を渡すファイル(csv)

(36)

地図作成アプレット

集計プログラムのカウント結果を読み込み、世界地図を作成するプログラム世界地図の色から国あたりのアクセス数集計期間総攻撃回数

(37)

(38)

(39)

Syslogとの比較

可視化システム可視化システム可視化システム

可視化システム SyslogSyslogSyslogSyslog

攻撃があるかどうか不正アクセスのみ集計わかりにくい総攻撃回数事前に集計済み手間と 39 総攻撃回数事前に集計済み時間がかかる攻撃元の特定地図表示順位表手間と時間がかかるわかりやすさ地図表示順位表わかりにくい

(40)

まとめ

Syslog 攻撃かどうかわかりにくい総攻撃回数のカウントに時間がかかる攻撃元の特定に時間がかかるユーザにとってわかりにくい可視化システムの構築可視化システムの構築可視化システムの構築可視化システムの構築総件数をカウントし、地図や順位表で表示できるシステム時間の短縮、情報の簡略が可能になった時間の短縮、情報の簡略が可能になった時間の短縮、情報の簡略が可能になった時間の短縮、情報の簡略が可能になった

(41)

検討課題

集計プログラムの自動化

対策の自動化（IPアドレスのアクセス拒否など）

(42)

御清聴ありがとうございました

(43)

(44)

Botnetの対策

OP25B(Outbound Port 25 Blocking)

(45)

Botnetの対策

45

(46)

考察

1年間で約35万件のアクセスがあったのがわかった同じIPアドレスから何回もアクセスしてくる 3回認証に失敗したら、その日は入れないようにする全体の9割は海外から来てる海外からのアクセスをシャットアウトする初期設定のユーザ名を使用してくる不正アクセスが多い初期設定のユーザ名を使用してくる不正アクセスが多い root,admin,test etc/ 人名のアクセスも多いなるべく初期設定や人名は使用しない

(47)

仕組み

集計集計集計集計プログラムプログラムプログラムプログラム任意のフォルダ任意のフォルダ任意のフォルダ任意のフォルダ出力出力出力出力 Webブラウザで閲覧ブラウザで閲覧ブラウザで閲覧ブラウザで閲覧 47 プログラムプログラムプログラムプログラム CSV Ranking.html Country_all 地図作成地図作成地図作成地図作成アプレットアプレットアプレットアプレット index.html 読込読込読込読込国名、アクセス件数国名、アクセス件数国名、アクセス件数国名、アクセス件数