最新のサイバーセキュリティの脅威

TCG JRF

第五回公開ワークショップ

最新のサイバーセキュリティの脅威

2013年10月25日（13:35-14:00）

JPCERTコーディネーションセンター

理事・分析センター長 真鍋 敬士

最近のサイバー攻撃

トヨタなどサイト改ざん事件まとめ

(2013年6月21日)

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130621-OYT8T00905.htm

オンライン銀行詐欺ツール「Citadel」が日本で猛威 - 2万台以上が感

染か

(2013年7月24日)

http://news.mynavi.jp/news/2013/07/24/236/

信用させる「やりとり型」急増 標的型メール、大半は防衛・宇宙

産業狙い

(2013年8月22日)

http://sankei.jp.msn.com/affairs/news/130822/crm13082210140008-n1.htm

Adobeにサイバー攻撃 290万人のユーザー情報に不正アクセスの可

能性

(2013年10月4日)

http://www.itmedia.co.jp/news/articles/1310/04/news045.html

新手の標的型サイバー攻撃、官庁や大企業狙う

(2013年10月9日)

本日お話ししたいこと

最近のサイバー攻撃例

• ①悪性Webを介した攻撃

• ②マルウエアを使った侵入

対応・対策

• 脅威を理解する

• インシデントへの対応

最近ではサイバー攻撃が報道で取り上げられることも珍しくなくなり、なか

には、「新しい攻撃」というような表現が使われることがあります。

このセッションでは、そのような最近の攻撃について、

事例をもとに紹介

し、

脅威や対策

についてご検討いただく機会にしたいと思います。

- JPCERT/CCをご存知ですか? -

JPCERT/CCとは

一般社団法人

_{JPCERTコーディネーションセンター}

J

a

p

an

C

omputer

E

mergency

R

esponse

T

eam

C

oordination

C

enter

ジェーピーサート・コーディネーションセンター

日本国内のインターネット利用者やセキュリティ管理担当者、ソフ

トウエア製品開発者等（主に、情報セキュリティ担当者）がサービ

ス対象

コンピュータセキュリティインシデントへの対応、国内外にセンサ

をおいたインターネット定点観測、ソフトウエアや情報システム・

制御システム機器等の脆弱性への対応などを通じ、セキュリティ向

上を推進

インシデント対応をはじめとする、国際連携が必要なオペレーショ

ンや情報連携に関する、我が国の窓口となるCSIRT

（窓口CSIRT）

CSIRT: C

omputer

S

ecurity

I

ncident

R

esponse

T

eam

※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT, 韓国のKrCERT/CC、等)

経済産業省からの委託事業として、情報セキュリティ対策推進事業

（不正アクセス行為等対策業務）を実施

- JPCERT/CCをご存知ですか? -

JPCERT/CCの活動

脆弱性情報ハンドリング

情報収集・分析・発信

定点観測（ISDAS/TSUBAME）

 未公開の脆弱性関連情報を製品開発者 へ提供し、対応依頼  関係機関と連携し、国際的に情報公開 日を調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報 の適切な流通 1 2 /9

ポートスキャン の平均値　＝全セン サーのポートスキャン 合計 ポートスキャン の上位 5 位を 表示_{（ICM Pは常に表示、o the rはその他合計）} セン サー合計 （単位：時間） 1 2 /1 0 1 2 /1 1 1 2 /1 2 1 2 /1 3 1 2 /1 4 D a ta 0 5 1 0 1 5 2 0 2 5 3 0 ICM P TCP 1 3 5 TCP 4 4 5 U D P 1 3 7 TCP 1 3 9 TCP 1 0 2 5 o th er

早期警戒情報

重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信

CSIRT構築支援

海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援

 ネットワークトラフィック情報の収集分 析  セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供

アーティファクト分析

マルウエア（不正プログラム）等の攻撃手法の分析、解析

国際連携

各種業務を円滑に行うための海外関係機関との連携

 マルウエアの接続先等の攻撃関連サイ ト等の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性 の確認、拡散抑止  再発防止に向けた関係各関の情報交換 及び情報共有

インシデントの予測と捕捉

インシデント予防

発生したインシデントへの対応

インシデントハンドリング

（インシデント対応調整支援）

- JPCERT/CCをご存知ですか? -

報告されたインシデントの傾向

Webサイト改ざん

—

改ざん対象

HTMLファイル・スクリプトファイル

JavaScriptやiframeによる誘導

—

改ざんの原因

脆弱性の悪用

—

Webサーバ

—

フレームワーク

—

サーバ管理システム

—

CMS

（Contents Management System）

更新用アカウントの悪用

フィッシングサイト

—

金融機関を装ったサイト

（53%）

—

オンラインゲームサービスを装ったサイト

（23%）

【参照】https://www.jpcert.or.jp/pr/2013/PR20131010.pdf https://www.jpcert.or.jp/pr/2013/IR_Report20131010.pdf

報告されたインシデントの傾向

（2013年7月～9月）

Web改ざん

46％

その他

37％

フィッシングサイト 8％

スキャン 6％

マルウエア

サイト 3％

最近のサイバー攻撃例

• 悪性Webを介した攻撃

• マルウエアを使った侵入

①悪性Webを介した攻撃

Mailから

Webから

接

続

改ざんされたWebサイト

リンク誘導型

マルウエア添付型

攻撃用Webサイト

- 悪性Webを介した攻撃 -

Webサイト改ざんの傾向

Gumblar騒ぎ

DarkLeech

- 悪性Webを介した攻撃 -

攻撃メール例

マルウエア添付型

リンク誘導型

Return-Path: <[email protected]> Delivered-To: [email protected]

Received: from [190.233.200.92] (unknown [190.233.200.92]) by sv.XXX.jp (Postfix) with ESMTP id 0253EDC10CF0

for <[email protected]>; Sat, 19 Jan 2013 10:31:04 +0900 (JST) X-Originating-IP: [64.34.224.90]

Received: from 127.0.0.1 (EHLO mail1.amcluster.com) (64.34.224.90)

by mta1034.rog.mail.gq0.yahoo.com with SMTP; Fri, 18 Jan 2013 04:31:39 -0500

Received: from job08p-am-tor05.amcluster.com ([10.10.3.111] helo=localhost.localdomain) by mail4.amcluster.com with esmtp (Exim 4.71)

(envelope-from <[email protected]>) id 1SMONV-0002Qp-TH

for [email protected]; Fri, 18 Jan 2013 04:31:39 -0500 Date: Fri, 18 Jan 2013 04:31:39 -0500

From: Ashley Madison <[email protected]> Return-Path: <[email protected]>

Delivered-To: [email protected]

Received: from [121.142.246.25] (unknown [121.142.246.25]) by sv.XXX.jp (Postfix) with ESMTP id 54F44DC0F1C8

for <[email protected]>; Wed, 28 Nov 2012 16:01:15 +0900 (JST) Date: Wed, 28 Nov 2012 16:01:12 +0900

- 悪性Webを介した攻撃 -

感染させられるマルウエアの特徴

「アイコン偽装」＋「長いファイル名」

⇒RLO(Right-to-Left Override)が使われるケースもある

感染したPC内にある情報を窃取

—

システム情報

—

各種アプリケーションの認証情報等

FTPクライアント

メールクライアント

Webフォーム入力履歴

⇒

外部に送信する

別のマルウエアをダウンロード

—

偽アンチウイルスソフトウエア

—

金融サービス関連情報の窃取を狙った攻撃ツール

(ZeuS、Citadel、SpyEye等)

②マルウエアを使った侵入

国内組織C

対応

国内組織C

対応

海外組織α

海外組織β

▲

受領

連絡

受領

受領

国内組織C

対応

連絡

感染PC情報

（リスト）

感染PC情報

2ヶ月後

4ヶ月後

国内組織B

対応?

国内組織B

対応

国内組織A

対応

感染PCに

関する情報

JPCERT/

CC

海外組織γ

受領

マルウエア情報

受領

感染PCに

関する情報

国内の複数組織、合計35台の感染PCの情報

 接続先・接続元のIPアドレス、MACアドレス等

 期間は長いものでは6ヶ月以上

特定の種類のマルウエアに感染している可能性

 共通の接続先群を持つ（18個のIPアドレス）

 接続先との通信プロトコルとしてHTTPを使う（プロキシ対応）

- マルウエアを使った侵入 -

国内組織Aにおける調査

各種ログや感染PCの調査

侵入経路

—

8ヶ月前

にPC1（ユーザ端末）があるサイトと通信していた。

—

同時刻

に、今回のマルウエアを含むいくつかのファイルが作成されていた。

—

その直後にDC（ドメインコントローラ）とPC2（Web管理端末）で同じファイル群

が作成されていた。

—

DCから組織内の端末やユーザの情報が窃取されていた。

PC1が通信したサイト

—

同時期

にJPCERT/CCに対して

複数の国内組織

から攻撃メールに関する

情報提供

があ

り、そこに添付されていたマルウエアの通信先と同じであった。

—

国内組織Aでは

同時期

にウイルスメール騒ぎがあり、

不審なメールは全て削除

されて

いた。

プロキシログ

ファイアウォール

ログ

PC 1

PC 2

DC

- マルウエアを使った侵入 -

8ヶ月前に情報提供された攻撃メール

Received: from

john-e29df315c.sky

(suzuki@

AAA.AAA.AAA.AAA

with login) by

XXX.com

with SMTP; 08 MMM 2012 21:21:58 -0700 PDT

Message-ID: <3f5b689d85a42e812a9dad8d351e1dee@

FORGED.co.jp

>

From: <suzuki@

FORGED.co.jp

>

To: yamada@

VICTIM.jp

Date: Mon, 09 MMM 2012 13:21:55 +0800

Received: from unknown (HELO

john-2a9cfe63c.sky

) (

BBB.BBB.BBB.BBB

)

by

COMPROMISED.jp

with SMTP; 13 MMM 2012 14:18:36 +0900

Message-ID: <2581a53c39caf431af297efb232a63dd@

FORGED.or.jp

>

From: <sato@

FORGED.or.jp

>

To: yoshii@

VICTIM.jp

Date: Fri, 13 MMM 2012 13:18:32 +0800

【海外のプロバイダを介して送られた攻撃メール】

【国内のホストを踏み台にして送られた攻撃メール】

？

▲ 受領 連絡 受領 JPCERT/CC 海外組織α 感染PC情報 （リスト） 国内組織A 対応 感染PCに 関する情報

複数の国内組織

8

ヶ月前

8ヶ月前に仕掛けら

れ、1日目まで使わ

れていた侵入口

事前に仕掛けられ、

主に3日目以降に使

われた侵入口

- マルウエアを使った侵入 -

国内組織Aと攻撃者の攻防

Webサーバ

PC 1

DC

PC 2

バックドア仕掛け① バックドア仕掛け② バックドア仕掛け③

JPCERT/CCからの連絡後の対応

14日目

 DCにログオンするとウインドウが一瞬表

示されることが発覚。

 調査により判明したこと：

 ログオン時にPC2と通信する不審なプロ

グラムが起動されるように設定されて

いた。

 Webサーバにバックドアが仕掛けられ、

PC2と通信していた。

 Webサーバ, PC2, DCのバックドアを駆除。

15日目

 Webサーバを含む公開ゾーンから内部へ

のアクセス制限を強化し、定期的なログ

調査を実施。

1日目

 調査によりPC1, PC2, DCへの侵入が判明。

2日目

 ファイル群をアンチウイルスベンダに提

供し、PC1, PC2, DCから駆除。

 ファイアウォール、プロキシにより外部

への通信を制御。

 DCへのアクセス制限を強化し、定期的な

ログ調査を実施。

再侵入

対応・対策

• 脅威を理解する

脅威を理解する

攻撃①

攻撃②

攻撃メールの傾向

 海外のサービスを騙るものが目

_{立つ（配達、予約、SNS）}

 関係者（っぽい人）や公的サー

ビスを騙る

 会話する

添付ファイルの傾向

 長いファイル名やRLO、アイコ

_{ン偽装をともなう実行ファイル}

 長いファイル名やRLO、アイコ

ン偽装をともなう実行ファイル

 脆弱性を悪用する文書ファイル

マルウエアの流通性

比較的広い

比較的狭い

マルウエアの通信先

 概ね短命

 多数・再利用

 欧米が目立つ

 短命～長命

 複数・再利用

 アジア太平洋地域が目立つ

攻撃の内容

 ほぼ全自動で認証情報等の窃取

と他のマルウエアのダウンロー

ド・実行を行う

遠隔操作ができる状態にしたう

えで、以降は侵入してほぼ手動

で作業

ウイルス対策ソフト

検知状況は短期間で良くなる

検知状況にばらつきがある

エ

ク

ス

プ

ロ

イ

ト

キ

ッ

ト

を

中

心

と

し

た

攻

撃

イ

ン

フ

ラ

標

的

型

攻

撃

- 脅威を理解する -

想定される被害は？

情報漏えい

—

注目されるのは個人情報の漏えい

「攻撃者はあらゆる情報に価値を見出す」と考えるべき

—

盗まれた情報を完全に特定することはほぼ不可能

全ての情報アクセスと全ての通信を記録する必要がある

盗まれることを前提に情報を無効化するという考えも

インフラの乗っ取り

—

サプライチェーンに対する攻撃の温床

「

自組織には盗まれて困る情報はない

」という思い込み

—

自爆的な攻撃

インフラを使って攻撃メールを派手にばらまく

取引先やメディアへの対応

に翻弄される

対応のために発生したコスト

—

サーバ・端末、ログ類の調査費用

—

サーバ・端末の調査・復旧にともなう業務停止

外部への情報発信時の焦点になりやすい問題

当事者になって初めて思い知らされる問題

発覚後に捻出しなければならない費用

インシデントへの対応

一般的に

ここが起点になる

準備

検知・分析

封じ込め

根絶

修復

教訓

平常時の備え

有事における対応

ここが

最も重要

攻撃を特徴づける情報

役立つのは…

通信ログ（ファイアウオール、プロキシ等: 内部⇒外部や内部⇒内部）

証跡データ（端末ログ、IT資産管理システム等）

IT資産管理情報

_{※ログ類は状況により6カ月～1年以上遡る}

外部と共有

マネージメントの積極的関与

外部との情報連携

- インシデントへの対応 -

Web改ざんに対応するのは誰？

環境

ユーザ

構築

運用・保守

コンテンツ

作成

Webアプリケーション

の脆弱性により改ざん

されてしまったら？

窃取された情報によ

り改ざんされてし

まったら？

[サーバ側]

OS、ミドルウエア、Webアプリ

[クライアント側]

コンテンツ管理PC

- インシデントへの対応 -

侵入への対応を振り返る（国内組織Aの場合）

もっと早く気付く

ことはできなかっ

たのか？

被害は何だったのか？

攻撃者の狙いは？

再侵入を防ぐことは

できなかったのか？

8ヶ月前に他の組織との間で情報共有ができて

いれば侵入され続けることはなかった。

⇒【情報集約と情報共有の取組み】

最初の処置で他のバックドアを駆除できていれ

ば3日後以降に再侵入されることはなかった。

⇒【ネットワークやシステムの構成把握】

ユーザや端末の情報以外にもデータを持ち出さ

れた可能性はあるが内容は特定できていない。

⇒【情報資産の把握・保護】

終息宣言は？

「攻撃は繰り返され、インシデントは再発す

る」と考えるべき。

⇒【脅威との共存を意識した環境作り】

組織内CSIRT

対象組織のネットワーク

管理・中継

サーバ

(C&Cサーバ)

攻撃中継

サーバ

(メール, ウェブ等)

- インシデントへの対応 -

各組織における対策

入口・出口対策

ユーザのリテラシ向上

サーバ・端末における基本対策と証跡保管

堅牢なシステム構成と安全な運用

情報連携のススメ

「目的をもった攻撃」を意識する

—

様々な手段を用いて達成しようとする

—

複数の攻撃先、繰り返される攻撃

—

最前線は内部ネットワーク

「見えていないもの」に気付くための手段を確保する

—

各組織においてデータを保全する

—

他組織との間でデータを突合させる

お問い合わせ、インシデント対応のご依頼は

‒

Email：

[email protected]

‒

Tel：03-3518-4600

‒

Web:

https://www.jpcert.or.jp/

インシデント報告

‒

Email：[email protected]

‒

Web: https://www.jpcert.or.jp/form/

ご清聴ありがとうございました。