PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

せぴあことじ
5 years ago
Views:

1 資料 2-4 次世代情報セキュリティ対策について啓発だけでは不十分永遠のビギナー対策が最大の課題平成 19 年 12 月 5 日 NTTPC コミュニケーションズ小山覚

2 NW セキュリティ対策における官民の役割分担イメージ 2 インターネットを利用するために必要な知識を持たず正しい判断と行動が出来ないユーザ ( 子供などの若年層を含む ) の実態に即したセキュリティ対策が必要国の役割 ( 受動的リスク対策 ) ユーザが選択困難なリスク対策法制度先導的な研究開発標準化情報判断基準等インターネット特定の Web 違法有害 SPAM メールに接続するだサイトを訪問情報サイトウィルス感染けで被害を受すると被害を ( 著作権等のける受ける権利侵害 ) 情報漏えい事業者の役割 ( 能動的リスク対策 ) 事業継続のためのリスク対策ユーザが選択可能なリスク対策を受益者負担でサービス提供安全 ( 安心 ) 安定便利安価

3 3 1 インターネットに接続するだけで被害を受けるつなぐと感染しやすい ISP とそうでない ISP が存在する?

4 IP アドレス帯によって攻撃の多寡がある理由 4 Herder C&C ボットは感染すると ( 自動的に ) 近接した IP アドレスに対して感染活動を行うインターネット

5 ISP 別検体取得数 /1 台 ( ~8.19) 5 OCN, KDDI, Hi-Ho, Ho, YahooBB,, IIJ, ODN G 社 30,139 8% F 社 32,172 9% H 社 8,800 2% A 社 72,717 21% E 社 36,258 10% B 社 66,748 19% D 社 53,303 15% C 社 58,975 16%

6 感染数にバラつきが出る想定理由 6 ISP 単位にバラつきが出る理由マルウェアが感染に使う通信ポートを ISP がフィルタリングしているマイクロソフトOSの脆弱性を狙う攻撃がよく使う通信ポート TCP 135, 137, 139, 445 等々 ( 過去ワーム蔓延時の救急避難的対策のなごり ) ADSL モデム等でブリッジタイプを利用しているユーザ数の多い ISP 初期型マンションインターネットの多い ISP 感染しやすいユーザ ( ポートを開けているユーザ ) P2Pファイル交換ソフト利用者ネットゲームソフト利用者 OS のアップデートは止めているウィルス対策ソフトもインストールしていない P2P/ ゲーム専用端末のためマルウェアに感染しても気にしない

7 ISP がポートを閉じれば問題は解決する? 7 マルウェアが感染攻撃等に利用する通信ポートを閉じれば暫定的には感染活動を抑制しマルウェアの脅威を一桁下げることが可能 SPAM メールや DDoS 攻撃の温床となっているボットなどのマルウェア対策には有効 Windows アップデートを怠るユーザウィルス対策ソフトを購入しないユーザや更新しないユーザの対策として有効ファイル共有等をインターネットで平文通信しているユーザはサービスが利用できなくなる全 ISP が同じ対策を打つと脅威の手法が変化しより困難な状況に陥る可能性がある ISP が自社ネットワークにおいてマルウェアが感染活動に常態的に利用する通信ポートを閉じることが受動的リスク対策として相当であり正当業務行為と認められることが望ましい ISP が OP25B/IP25B やマルウェア感染ポートを閉じることで日本のインターネットのセキュリティ水準が上がると思われるがその実施判断は ISP の経営判断に委ねられるべきである

8 8 2 特定の Web サイトを訪問すると被害を受ける Googleの調査 : ユーザーが閲覧しただけで知らないうちにマルウェアに感染させるサイト数十億ページから450 万 URLを詳しく分析約 45 万ページが黒マルウェア配布サイトは検索結果に警告を表示

9 ウィルス対策ソフトの検知率の変化 9 調査期間 2005 年 4 月 1 日 ~5 月 12 日 2007 年 9 月 1 日 ~9 月 30 日 2007 年月日 ~ 月日 (LAC 様調査結果 ) 未知 / 既知収集検体収集数種類割合 (%) 既知 28, 未知 3,537 2, 合計 31,846 3,705 既知 540,255 10, 未知 5, 合計 546,239 10,665 既知 18, 未知 8,920 1, 合計 27,755 1,921 記事ジェネリック対応により検知率が飛躍的に向上ジェネリック検知できないマルウェアが Web 経由で DL されている BlackList 指定されている約 10 万 URL を巡回 ( 約 2 週間 ) した結果 8.5% の URL で何らかのマルウェアに感染することを確認し 1,921 種類 27,755 検体を取得 1921 種類の検体の中で 69% が未知検体

10 Web ダウンロード検体と CCC 検体は一致? 10 CCC で取得した検体と Web ダウンロードで取得した検体を各々比較した (SHA1 ユニーク ) 重複検体 :11 160,641 2, /3/1~10/21 0e2b5d8b0142b8256ee885df993b1112f8af ebfe69b28c27d6425ee41dc1009f4e e6185b859637ba14f60d4ba30177b35c9e5431 2aa613b7e3f67c37b5c4e558d7e93b1cbdc2bcd5 56e838436fcea f1ebc16406e7c0898f92 62a2ec b054c966db47e6c826eecdbedd a56b46c140ca21b565bccfc9ff6d01a07afedc47 b a d7685f968e41a5c127bc8 d7ca32e4bd1d337a2975fb91a5a25aefa250a046 e5fcde2ced6190d fc6d259a24682fae eeeed44d45236f900cfedb d7e52566d69

11 11 CCC で取得した検体と Web ダウンロードで取得した検体を各々比較した ( ウィルス名比較 ) 2007/3/1~10/21 重複検体 :22 2, (160,641) SHA1 ベース 1/80 1/4 (2,302) SHA1 ベース BKDR_Generic BKDR_IRCBOT.GEN PE_Generic PE_PARITE.A Possible_MLWR-1 Possible_MLWR-5 Possible_SMLDL-1 Possible_Strat-6 TROJ_BHO.LU TROJ_DLOADER.CCT TROJ_DLOADER.IRQ TROJ_DLOADER.PSH TROJ_Generic TROJ_Generic.A TROJ_Generic.MRS TROJ_OBFUSCAT.RE TROJ_SMALL.HTM TROJ_SPAMBOT.B TROJ_TIBS.ARL WORM_Generic WORM_NUCRYPT.GEN WORM_ZHELATIN.IR

12 Web 経由のマルウェアの実態と対策 Web 経由で感染するマルウェアは CCC で対応中のネットワーク感染型のマルウェアとは異ったものが大半ウィルス対策ソフトも追いついていない (2-3 年前のボットと同じ状況 ) 2-3 年前と比較し攻撃側が有利な状況にさらに遷移しているネットワーク感染型のボットは待っていれば飛んできてくれたが Web 経由で感染するマルウェアは積極的に探さなければ見つからない攻撃側は常にダウンロードできる状況にしておく必要はない SPAM メール送信タイミングと組合わせた低リスクで効率的な運用が可能疑うことをしない永遠のビギナーが騙され連れて行かれるサイトの情報共有が必要特に日本のユーザにとって有効な DB 構築が必要 12

13 ブラックリスト実態調査 13 研究者が見ている世界は必ずしも一致していない BL 乱立の一因? A URLBlacklist.com B Malware Block List C Google Safe Browsing API /09/13 10: A 571,211 C 194,722 B 1,252 32

14 14 4 SPAM メールウィルス感染情報漏えい

15 SPAM メール誘導型マルウェア等の調査 SPAM メール収集専用メールアドレスを準備コンピュータ内のメールアドレスを外部に漏洩させる機能を持つマルウェアを利用してメールアドレスを SPAM メール送信者? に通知目的マルウェアによるメールアドレス収集悪性サイトへ誘導してマルウェアに感染させる脅威も調査スパムメール収集期間 8/21~8/23(3 日間 ) スパムメール収集数 47,945 通抽出 URL 数 53,522 ユニーク URL 数 9,307 (IP アドレス形式の URL: 6,691) 悪性判定 URL 数 466(5%) 処理時間 [min] 4,893 8/24 12:08~8/27 21:41 15

16 IP アドレス形式の URL:6,691 の調査結果 16 アドレス 6,691 の調査結果件名 : Honey I miss you. let me show you how much. I took some pictures for you, see? 件名 : Honey I miss you. let me show you how much. I took some pictures for you, see? From:xxx From:xxx To:xxx To:xxx click click Sample 同期間にサイバークリーンセンターの検体収集用ハニーポットで観測していた攻撃元 IP アドレス 7075 とつき合わせた結果重複した IP アドレスは 1 件のみ 6,691 件の IP アドレスの中で国内は 26 件 26 件にアクセスしたところ 1 件からマルウェアがダウンロードし感染

17 調査期間を 2 ヶ月に拡大してみても年 7~8 月に CCC で検知した攻撃元 IP と同期間に SPAM メールから検知した誘導先 IP を調査重複 IP:10 137,526 CCC 検知 IP 29,295 IP-URL つまりは乗っ取られたホストに傾向があるか調査してみたが

18 18 まとめ.. ISP ネットワークでのフィルタリングは必要か?

19 永遠のビギナの脅威を低減する受動的リスク対策 19 ポイントは Web ダウンロード型マルウェアへの取り組みインターネットのリスクの全容を把握することは困難厄介な存在永遠のビギナーとどう付き合うかインターネットの存在を意識せず PC を TV のように操作するユーザがかなりの割合で存在するウィルス対策ソフトをインストールしても契約更新しない契約更新していても PC を時々使うときにパターンファイルを最新にせずに利用するユーザウィルス対策ソフトを意図的に止めるユーザ SPAM やマルウェアを撒き散らす悪性サイト等の情報共有が必要セキュリティベンダにとっては大事な商売道具非公開研究者は範囲限定でサンプリング調査公開 BL を突合しても心配になるだけ BL を積極的に共有し DB 登録リストの信頼性を高める工夫が必要腕を競うのはリストを作ることではなくリストを活用するノウハウで競うべき健全な競争のため高邁な連携が必要

20 20

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D> 資料 9-2 ボットネット実態調査平成 20 年 6 月 8 日 NTT 情報流通プラットフォーム研究所 Copyright 2008 NTT, corp. All Rights Reserved. 調査手法 2 種類のハニーポットと 2 種類の動的解析システムでボットネットの実態を攻撃検知検体収集検体解析の面から調査能動的攻撃受動的攻撃サーバ型ハニーポットクライアント型ハニーポットトによる能動的攻撃実態調査による受動的攻撃実態調査攻撃検知