ACTIVEプロジェクトの取り組み

Size: px

Start display at page:

Download "ACTIVEプロジェクトの取り組み"

ゆきえんの
5 years ago
Views:

<Internet Week 2013 S6> サイバー犯罪の動向と対策インターネットのセキュリティと通信の秘密 ACTIVE (Advanced Cyber Threats response InitiatiVE) プロジェクトの取り組み 2013 年 11 月 28 日 Telecom-ISAC

1 <Internet Week 2013 S6> サイバー犯罪の動向と対策インターネットのセキュリティと通信の秘密 ACTIVE (Advanced Cyber Threats response InitiatiVE) プロジェクトの取り組み 2013 年 11 月 28 日 Telecom-ISAC Japan ステアリングコミッティ運営委員 Telecom-ISAC Japan ACTIVE 業務推進 WG 主査 NTTコミュニケーションズ株式会社先端 IPアーキテクチャセンタ湯口高司 Copyright Telecom-ISAC Japan. All Rights Reserved.

2 1. ACTIVE プロジェクトの背景多種多様なマルウェア感染経路が存在ネットワーク感染 ( ボット型 ) Web 経由の感染メール経由の感染 USB 経由の感染などマルウェア感染時にはさまざまな脅威が存在不正アクセスインシデント他人の PC を踏み台にしたサイバー攻撃フィッシング SPAM メール PC の破壊活動など昨今マルウェア感染による国家機密の情報窃取等サイバー攻撃の脅威が増大悪性サイトの閲覧によりマルウェア感染するなどその感染手法が巧妙化し利用者が自力で検知することが困難 ISP 等 = お客さま対応インシデント対応の観点からマルウェアの感染率の低下を実施する必要性がある行政 = 安心安全なインターネットの利用環境の向上維持の観点からマルウェアの感染率の低下が望まれる 1

3 2. マルウェア感染経路の変遷ネットワーク感染型マルウェアネットワーク経由で感染するマルウェア OS の脆弱性を攻撃して感染ハニーポットにて捕獲可能であり Cyber Clean Center の取り組み (2006~ 2010 年度 ) の駆除対象 Web 感染型マルウェア Web サイトの閲覧により感染するマルウェアブラウザまたはブラウザのプラグインの脆弱性を攻撃して感染 ACTIVE ではネットワーク感染型の他この対応も注力していく必要あり感染 PC ハニーポットリダイレクト国内外のサイト変遷マルウェア配布サイト改ざんされた Web サイト捕獲不可感染 PC の特定が可能感染 PC の特定が難しいハニーポット 2

までの四半期ごとに Microsoft マルウェア対策製品が検出したさまざまな種類のエクスプロイトの流行を影響を受けたコンピューターの台数の割合で示したグラフ ) マルウェア全検出率 ( 赤線 ) は増加しているものの

4 2. マルウェア感染経路の変遷マルウェア感染率推移 ( 出典 :Cyber Clean Center 実績 ) 主な感染経路の移り変わり ( 出典 :Microsoft Security Intelligence Report 15) マルウェア全検出率 Web 経由の感染 HTML /JavaScript Java NW 感染型マルウェア検出率 OS Documents Adobe Flash Other (3Q12 から 2Q13 までの四半期ごとに Microsoft マルウェア対策製品が検出したさまざまな種類のエクスプロイトの流行を影響を受けたコンピューターの台数の割合で示したグラフ ) マルウェア全検出率 ( 赤線 ) は増加しているもののネットワーク感染型マルウェアの検出率 ( 紫線 ) は減少 NW 経由の感染 (OS の脆弱性を狙った攻撃 ) と比較すると Web 経由の感染 (HTML/JavaScript や Java の脆弱性を狙った攻撃 ) が上位を占める 3

3. ACTIVE プロジェクトの概要 ACTIVE(Advanced Cyber Threats response InitiatiVE)

jp/ 2013 年 11 月 1 日開始目的 : マルウェア感染の削減等により安心安全なインターネットの実現を目指す

マルウェア駆除の取り組み 2 注意喚起 ( 利用者 ) 3 注意喚起 ( サイト管理者 ) 1 検知 3 駆除 1URL 情報収集 2 注意喚起 1

5 3. ACTIVE プロジェクトの概要 ACTIVE(Advanced Cyber Threats response InitiatiVE) 総務省主管の国民のマルウェア対策支援プロジェクト年 11 月 1 日開始目的 : マルウェア感染の削減等により安心安全なインターネットの実現を目指すマルウェア感染防止から駆除まで一貫して取り組む総合的なマルウェア感染対策であり官民連携により行う同様のプロジェクトは世界初の試みマルウェア感染防止の取り組みマルウェア駆除の取り組み 2 注意喚起 ( 利用者 ) 3 注意喚起 ( サイト管理者 ) 1 検知 3 駆除 1URL 情報収集 2 注意喚起 1 マルウェア配布サイト等の URL 情報をリスト化 2 マルウェア配布サイト等にアクセスしようとする利用者に注意喚起 3 マルウェア配布サイト等の管理者に対しても適切な対策を取るように注意喚起 1 マルウェアに感染した利用者の PC を特定 2 利用者に適切な対策を取るように注意喚起 3 利用者は注意喚起の内容に従い PC からマルウェアを駆除 4

6 3. ACTIVE プロジェクトの概要マルウェア感染防止の取り組み各社の対象サービスに対して利用者から事前に個別の同意を取得 3 サイト管理者へ適切な対策を取るように促す悪性サイト ISP 事業者等 1-2 悪性サイト情報をリスト化し ISP 等へ提供 Web クローラ 2 悪性サイトにアクセスする利用者へ注意喚起 ISP 等の対象サービスへリストを適用し注意喚起利用者から事前に個別の同意を取得インターネットユーザ 5

7 3. ACTIVE プロジェクトの概要マルウェア駆除の取り組みマルウェア検体の提供 1-1 ハニーポットで感染行動を検知収集 AV ベンダ ISP 事業者 1-2 感染情報から利用者を特定感染情報ハニーポット 2 注意喚起メールの送信マルウェア感染端末感染ユーザ 3 利用者がマルウェアを駆除ウイルス対策ソフトのダウンロード対策サイト対策サイトにアクセスマルウェア駆除に必要な情報を取得 6

4. ACTIVE プロジェクト体制 (2013 年 11 月現在 ) ISP 等の通信事業者やセキュリティベンダなどが参画総務省

ニフティ株式会社 T-ISAC-J 企画調整部参画事業者間の調整 NEC ビッグローブ株式会社エヌティティ

ティティピーシーコミュニケーションズ株式会社ハイホー KDDI 株式会社ソネット株式会社ソフトバンク BB

セキュアテクノロジーズ株式会社エヌティティコムチェオ株式会社エヌティティソフトウェア株式会社エヌティ

8 4. ACTIVE プロジェクト体制 (2013 年 11 月現在 ) ISP 等の通信事業者やセキュリティベンダなどが参画総務省財政支援全体支援 Telecom-ISAC Japan 主査 : エヌティティコミュニケーションズ株式会社副主査 : ニフティ株式会社 T-ISAC-J 企画調整部参画事業者間の調整 NEC ビッグローブ株式会社エヌティティコミュニケーションズ株式会社エヌティティレゾナント株式会社株式会社 NTT ぷらら株式会社インターネットイニシアティブ株式会社エヌティティピーシーコミュニケーションズ株式会社ハイホー KDDI 株式会社ソネット株式会社ソフトバンク BB 株式会社ソフトバンクテレコム株式会社ニフティ株式会社インターネットサービスプロバイダーなど NTT コムテクノロジー株式会社 NRI セキュアテクノロジーズ株式会社エヌティティコムチェオ株式会社エヌティティソフトウェア株式会社エヌティティラーニングシステムズ株式会社株式会社 FFRI 株式会社カスペルスキー株式会社日立製作所トレンドマイクロ株式会社日本電信電話株式会社日本マイクロソフト株式会社マカフィー株式会社マルウェア収集駆除のための技術支援 7

9 5. ACTIVE における通信の秘密との関係 ACTIVE プロジェクトにおける攻撃収集手法と通信の秘密との関係マルウェア感染防止の取り組み Web クローラを用いてシード URL を元に当該サイト URL の悪性判定を実施利用者から事前に個別の同意を取得するマルウェア駆除の取り組み通信当事者としてハニーポットを用いて攻撃情報を収集する攻撃の発信元 ( 感染ユーザ ) を特定し注意喚起を行う Web 感染型マルウェアの攻撃情報を収集入口サイト攻撃サイト (*1) NW 感染型マルウェアの攻撃情報を収集感染端末 ( ユーザ ) 改ざんリダイレクトマルウェア配布サイトシード URL をもとに巡回脆弱性攻撃脆弱性攻撃検体ダウンロード検体ダウンロード Web クローラ (*1) ブラウザまたはブラウザのプラグインの脆弱性を攻撃するサイトハニーポット 8

10 5. ACTIVE における通信の秘密との関係 ACTIVE プロジェクトにおける通信の秘密との関係総務省電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会の公開資料抜粋 9

11 6. マルウェア感染防止の取り組み悪性サイトへアクセス時の利用者への注意喚起方式各社の対象サービスに依存クライアントアプリケーションで制御 ISPネットワーク内で制御 DNSで制御する方式はオーバーブロッキングを考慮して適用外対象サービスに対して利用者から事前に個別の同意を取得することが前提クライアントアプリケーションで制御のイメージ DNS サーバ悪性サイトレピュテーションデータベース 1 利用者の同意 2 アプリインストールリスト配信 ISP 網利用者 PC ( ブラウザプラグイン等 ) BB ルータ 3 悪性サイト URL を確認 4 警告メッセージインターネット 10

12 6. マルウェア感染防止の取り組み申し込み時のユーザ同意の取得 ( 例 :goo スティック ) 11

13 6. マルウェア感染防止の取り組み悪性サイトにアクセス時の注意喚起 ( 例 :goo スティック ) 悪性サイトに誘導される場合警告画面を出してユーザへ注意喚起を行う 12

14 ご清聴ありがとうございました 13

スライド 0

スライド 0 資料 3 サイバー攻撃対策の取り組みについてマルウェア対策と通信の秘密 2013 年 11 月 29 日一般財団法人日本データ通信協会テレコムアイザック推進会議 (Telecom-ISAC Japan) 小山覚 Copyright 2004-2013 Telecom-ISAC Japan. All Rights Reserved. 1.Telecom-ISAC Japan について 2. サイバー攻撃の事例と課題