最新のサイバーセキュリティの脅威

25 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

TCG JRF

第五回公開ワークショップ

最新のサイバーセキュリティの脅威

2013年10月25日(13:35-14:00)

JPCERTコーディネーションセンター

理事・分析センター長 真鍋 敬士

(2)

最近のサイバー攻撃

トヨタなどサイト改ざん事件まとめ

(2013年6月21日)

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130621-OYT8T00905.htm

オンライン銀行詐欺ツール「Citadel」が日本で猛威 - 2万台以上が感

染か

(2013年7月24日)

http://news.mynavi.jp/news/2013/07/24/236/

信用させる「やりとり型」急増 標的型メール、大半は防衛・宇宙

産業狙い

(2013年8月22日)

http://sankei.jp.msn.com/affairs/news/130822/crm13082210140008-n1.htm

Adobeにサイバー攻撃 290万人のユーザー情報に不正アクセスの可

能性

(2013年10月4日)

http://www.itmedia.co.jp/news/articles/1310/04/news045.html

新手の標的型サイバー攻撃、官庁や大企業狙う

(2013年10月9日)

(3)

本日お話ししたいこと

最近のサイバー攻撃例

• ①悪性Webを介した攻撃

• ②マルウエアを使った侵入

対応・対策

• 脅威を理解する

• インシデントへの対応

最近ではサイバー攻撃が報道で取り上げられることも珍しくなくなり、なか

には、「新しい攻撃」というような表現が使われることがあります。

このセッションでは、そのような最近の攻撃について、

事例をもとに紹介

し、

脅威や対策

についてご検討いただく機会にしたいと思います。

(4)
(5)

- JPCERT/CCをご存知ですか? -

JPCERT/CCとは

一般社団法人

JPCERTコーディネーションセンター

J

a

p

an

C

omputer

E

mergency

R

esponse

T

eam

C

oordination

C

enter

ジェーピーサート・コーディネーションセンター

日本国内のインターネット利用者やセキュリティ管理担当者、ソフ

トウエア製品開発者等(主に、情報セキュリティ担当者)がサービ

ス対象

コンピュータセキュリティインシデントへの対応、国内外にセンサ

をおいたインターネット定点観測、ソフトウエアや情報システム・

制御システム機器等の脆弱性への対応などを通じ、セキュリティ向

上を推進

インシデント対応をはじめとする、国際連携が必要なオペレーショ

ンや情報連携に関する、我が国の窓口となるCSIRT

(窓口CSIRT)

CSIRT: C

omputer

S

ecurity

I

ncident

R

esponse

T

eam

※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT, 韓国のKrCERT/CC、等)

経済産業省からの委託事業として、情報セキュリティ対策推進事業

(不正アクセス行為等対策業務)を実施

(6)

- JPCERT/CCをご存知ですか? -

JPCERT/CCの活動

脆弱性情報ハンドリング

情報収集・分析・発信

定点観測(ISDAS/TSUBAME)

 未公開の脆弱性関連情報を製品開発者 へ提供し、対応依頼  関係機関と連携し、国際的に情報公開 日を調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報 の適切な流通 1 2 /9

ポートスキャン の平均値 =全セン サーのポートスキャン 合計 ポートスキャン の上位 5 位を 表示(ICM Pは常に表示、o the rはその他合計) セン サー合計 (単位:時間) 1 2 /1 0 1 2 /1 1 1 2 /1 2 1 2 /1 3 1 2 /1 4 D a ta 0 5 1 0 1 5 2 0 2 5 3 0 ICM P TCP 1 3 5 TCP 4 4 5 U D P 1 3 7 TCP 1 3 9 TCP 1 0 2 5 o th er

早期警戒情報

重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信

CSIRT構築支援

海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援

 ネットワークトラフィック情報の収集分 析  セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供

アーティファクト分析

マルウエア(不正プログラム)等の攻撃手法の分析、解析

国際連携

各種業務を円滑に行うための海外関係機関との連携

 マルウエアの接続先等の攻撃関連サイ ト等の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性 の確認、拡散抑止  再発防止に向けた関係各関の情報交換 及び情報共有

インシデントの予測と捕捉

インシデント予防

発生したインシデントへの対応

インシデントハンドリング

(インシデント対応調整支援)

(7)

- JPCERT/CCをご存知ですか? -

報告されたインシデントの傾向

Webサイト改ざん

改ざん対象

HTMLファイル・スクリプトファイル

JavaScriptやiframeによる誘導

改ざんの原因

脆弱性の悪用

Webサーバ

フレームワーク

サーバ管理システム

CMS

(Contents Management System)

更新用アカウントの悪用

フィッシングサイト

金融機関を装ったサイト

(53%)

オンラインゲームサービスを装ったサイト

(23%)

【参照】https://www.jpcert.or.jp/pr/2013/PR20131010.pdf https://www.jpcert.or.jp/pr/2013/IR_Report20131010.pdf

報告されたインシデントの傾向

(2013年7月~9月)

Web改ざん

46%

その他

37%

フィッシングサイト 8%

スキャン 6%

マルウエア

サイト 3%

(8)

最近のサイバー攻撃例

• 悪性Webを介した攻撃

• マルウエアを使った侵入

(9)

①悪性Webを介した攻撃

Mailから

Webから

改ざんされたWebサイト

リンク誘導型

マルウエア添付型

攻撃用Webサイト

(10)

- 悪性Webを介した攻撃 -

Webサイト改ざんの傾向

Gumblar騒ぎ

DarkLeech

(11)

- 悪性Webを介した攻撃 -

攻撃メール例

マルウエア添付型

リンク誘導型

Return-Path: <KamdenRimmer@c2i.net> Delivered-To: manabe@XXX.jp

Received: from [190.233.200.92] (unknown [190.233.200.92]) by sv.XXX.jp (Postfix) with ESMTP id 0253EDC10CF0

for <manabe@XXX.jp>; Sat, 19 Jan 2013 10:31:04 +0900 (JST) X-Originating-IP: [64.34.224.90]

Received: from 127.0.0.1 (EHLO mail1.amcluster.com) (64.34.224.90)

by mta1034.rog.mail.gq0.yahoo.com with SMTP; Fri, 18 Jan 2013 04:31:39 -0500

Received: from job08p-am-tor05.amcluster.com ([10.10.3.111] helo=localhost.localdomain) by mail4.amcluster.com with esmtp (Exim 4.71)

(envelope-from <maildaemon@ashleymadison.com>) id 1SMONV-0002Qp-TH

for manabe@XXX.jp; Fri, 18 Jan 2013 04:31:39 -0500 Date: Fri, 18 Jan 2013 04:31:39 -0500

From: Ashley Madison <donotreply@ashleymadison.com> Return-Path: <ADPClientServices@adp.com>

Delivered-To: manabe@XXX.jp

Received: from [121.142.246.25] (unknown [121.142.246.25]) by sv.XXX.jp (Postfix) with ESMTP id 54F44DC0F1C8

for <manabe@XXX.jp>; Wed, 28 Nov 2012 16:01:15 +0900 (JST) Date: Wed, 28 Nov 2012 16:01:12 +0900

(12)

- 悪性Webを介した攻撃 -

感染させられるマルウエアの特徴

「アイコン偽装」+「長いファイル名」

⇒RLO(Right-to-Left Override)が使われるケースもある

感染したPC内にある情報を窃取

システム情報

各種アプリケーションの認証情報等

FTPクライアント

メールクライアント

Webフォーム入力履歴

外部に送信する

別のマルウエアをダウンロード

偽アンチウイルスソフトウエア

金融サービス関連情報の窃取を狙った攻撃ツール

(ZeuS、Citadel、SpyEye等)

(13)

②マルウエアを使った侵入

国内組織C

対応

国内組織C

対応

海外組織α

海外組織β

受領

連絡

受領

受領

国内組織C

対応

連絡

感染PC情報

(リスト)

感染PC情報

2ヶ月後

4ヶ月後

国内組織B

対応?

国内組織B

対応

国内組織A

対応

感染PCに

関する情報

JPCERT/

CC

海外組織γ

受領

マルウエア情報

受領

感染PCに

関する情報

国内の複数組織、合計35台の感染PCの情報

 接続先・接続元のIPアドレス、MACアドレス等

 期間は長いものでは6ヶ月以上

特定の種類のマルウエアに感染している可能性

 共通の接続先群を持つ(18個のIPアドレス)

 接続先との通信プロトコルとしてHTTPを使う(プロキシ対応)

(14)

- マルウエアを使った侵入 -

国内組織Aにおける調査

各種ログや感染PCの調査

侵入経路

8ヶ月前

にPC1(ユーザ端末)があるサイトと通信していた。

同時刻

に、今回のマルウエアを含むいくつかのファイルが作成されていた。

その直後にDC(ドメインコントローラ)とPC2(Web管理端末)で同じファイル群

が作成されていた。

DCから組織内の端末やユーザの情報が窃取されていた。

PC1が通信したサイト

同時期

にJPCERT/CCに対して

複数の国内組織

から攻撃メールに関する

情報提供

があ

り、そこに添付されていたマルウエアの通信先と同じであった。

国内組織Aでは

同時期

にウイルスメール騒ぎがあり、

不審なメールは全て削除

されて

いた。

プロキシログ

ファイアウォール

ログ

PC 1

PC 2

DC

(15)

- マルウエアを使った侵入 -

8ヶ月前に情報提供された攻撃メール

Received: from

john-e29df315c.sky

(suzuki@

AAA.AAA.AAA.AAA

with login) by

XXX.com

with SMTP; 08 MMM 2012 21:21:58 -0700 PDT

Message-ID: <3f5b689d85a42e812a9dad8d351e1dee@

FORGED.co.jp

>

From: <suzuki@

FORGED.co.jp

>

To: yamada@

VICTIM.jp

Date: Mon, 09 MMM 2012 13:21:55 +0800

Received: from unknown (HELO

john-2a9cfe63c.sky

) (

BBB.BBB.BBB.BBB

)

by

COMPROMISED.jp

with SMTP; 13 MMM 2012 14:18:36 +0900

Message-ID: <2581a53c39caf431af297efb232a63dd@

FORGED.or.jp

>

From: <sato@

FORGED.or.jp

>

To: yoshii@

VICTIM.jp

Date: Fri, 13 MMM 2012 13:18:32 +0800

【海外のプロバイダを介して送られた攻撃メール】

【国内のホストを踏み台にして送られた攻撃メール】

受領 連絡 受領 JPCERT/CC 海外組織α 感染PC情報 (リスト) 国内組織A 対応 感染PCに 関する情報

複数の国内組織

8

ヶ月前

(16)

8ヶ月前に仕掛けら

れ、1日目まで使わ

れていた侵入口

事前に仕掛けられ、

主に3日目以降に使

われた侵入口

- マルウエアを使った侵入 -

国内組織Aと攻撃者の攻防

Webサーバ

PC 1

DC

PC 2

バックドア仕掛け① バックドア仕掛け② バックドア仕掛け③

JPCERT/CCからの連絡後の対応

14日目

 DCにログオンするとウインドウが一瞬表

示されることが発覚。

 調査により判明したこと:

 ログオン時にPC2と通信する不審なプロ

グラムが起動されるように設定されて

いた。

 Webサーバにバックドアが仕掛けられ、

PC2と通信していた。

 Webサーバ, PC2, DCのバックドアを駆除。

15日目

 Webサーバを含む公開ゾーンから内部へ

のアクセス制限を強化し、定期的なログ

調査を実施。

1日目

 調査によりPC1, PC2, DCへの侵入が判明。

2日目

 ファイル群をアンチウイルスベンダに提

供し、PC1, PC2, DCから駆除。

 ファイアウォール、プロキシにより外部

への通信を制御。

 DCへのアクセス制限を強化し、定期的な

ログ調査を実施。

再侵入

(17)

対応・対策

• 脅威を理解する

(18)

脅威を理解する

攻撃①

攻撃②

攻撃メールの傾向

 海外のサービスを騙るものが目

立つ(配達、予約、SNS)

 関係者(っぽい人)や公的サー

ビスを騙る

 会話する

添付ファイルの傾向

 長いファイル名やRLO、アイコ

ン偽装をともなう実行ファイル

 長いファイル名やRLO、アイコ

ン偽装をともなう実行ファイル

 脆弱性を悪用する文書ファイル

マルウエアの流通性

比較的広い

比較的狭い

マルウエアの通信先

 概ね短命

 多数・再利用

 欧米が目立つ

 短命~長命

 複数・再利用

 アジア太平洋地域が目立つ

攻撃の内容

 ほぼ全自動で認証情報等の窃取

と他のマルウエアのダウンロー

ド・実行を行う

遠隔操作ができる状態にしたう

えで、以降は侵入してほぼ手動

で作業

ウイルス対策ソフト

検知状況は短期間で良くなる

検知状況にばらつきがある

(19)

- 脅威を理解する -

想定される被害は?

情報漏えい

注目されるのは個人情報の漏えい

「攻撃者はあらゆる情報に価値を見出す」と考えるべき

盗まれた情報を完全に特定することはほぼ不可能

全ての情報アクセスと全ての通信を記録する必要がある

盗まれることを前提に情報を無効化するという考えも

インフラの乗っ取り

サプライチェーンに対する攻撃の温床

自組織には盗まれて困る情報はない

」という思い込み

自爆的な攻撃

インフラを使って攻撃メールを派手にばらまく

取引先やメディアへの対応

に翻弄される

対応のために発生したコスト

サーバ・端末、ログ類の調査費用

サーバ・端末の調査・復旧にともなう業務停止

外部への情報発信時の焦点になりやすい問題

当事者になって初めて思い知らされる問題

発覚後に捻出しなければならない費用

(20)

インシデントへの対応

一般的に

ここが起点になる

準備

検知・分析

封じ込め

根絶

修復

教訓

平常時の備え

有事における対応

ここが

最も重要

攻撃を特徴づける情報

役立つのは…

通信ログ(ファイアウオール、プロキシ等: 内部⇒外部や内部⇒内部)

証跡データ(端末ログ、IT資産管理システム等)

IT資産管理情報

※ログ類は状況により6カ月~1年以上遡る

外部と共有

マネージメントの積極的関与

外部との情報連携

(21)

- インシデントへの対応 -

Web改ざんに対応するのは誰?

環境

ユーザ

構築

運用・保守

コンテンツ

作成

Webアプリケーション

の脆弱性により改ざん

されてしまったら?

窃取された情報によ

り改ざんされてし

まったら?

[サーバ側]

OS、ミドルウエア、Webアプリ

[クライアント側]

コンテンツ管理PC

(22)

- インシデントへの対応 -

侵入への対応を振り返る(国内組織Aの場合)

もっと早く気付く

ことはできなかっ

たのか?

被害は何だったのか?

攻撃者の狙いは?

再侵入を防ぐことは

できなかったのか?

8ヶ月前に他の組織との間で情報共有ができて

いれば侵入され続けることはなかった。

⇒【情報集約と情報共有の取組み】

最初の処置で他のバックドアを駆除できていれ

ば3日後以降に再侵入されることはなかった。

⇒【ネットワークやシステムの構成把握】

ユーザや端末の情報以外にもデータを持ち出さ

れた可能性はあるが内容は特定できていない。

⇒【情報資産の把握・保護】

終息宣言は?

「攻撃は繰り返され、インシデントは再発す

る」と考えるべき。

⇒【脅威との共存を意識した環境作り】

(23)

組織内CSIRT

対象組織のネットワーク

管理・中継

サーバ

(C&Cサーバ)

攻撃中継

サーバ

(メール, ウェブ等)

- インシデントへの対応 -

各組織における対策

入口・出口対策

ユーザのリテラシ向上

サーバ・端末における基本対策と証跡保管

堅牢なシステム構成と安全な運用

(24)

情報連携のススメ

「目的をもった攻撃」を意識する

様々な手段を用いて達成しようとする

複数の攻撃先、繰り返される攻撃

最前線は内部ネットワーク

「見えていないもの」に気付くための手段を確保する

各組織においてデータを保全する

他組織との間でデータを突合させる

(25)

お問い合わせ、インシデント対応のご依頼は

Email:

office@jpcert.or.jp

Tel:03-3518-4600

Web:

https://www.jpcert.or.jp/

インシデント報告

Email:info@jpcert.or.jp

Web: https://www.jpcert.or.jp/form/

ご清聴ありがとうございました。

Updating...

関連した話題 :