TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士

Size: px

Start display at page:

Download "TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士"

しじんむこやま
5 years ago
Views:

1 TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士

2 JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター日本国内のインターネット利用者やセキュリティ管理担当者ソフトウエア製品開発者等 ( 主に情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応などを通じセキュリティ向上を推進インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する我が国の窓口となるCSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となるCSIRTが存在する ( 米国のUS-CERT CERT/CC 中国のCNCERT, 韓国のKrCERT/CC 等) 経済産業省からの委託事業としてサイバー攻撃等国際連携対応調整事業を実施 1

JPCERT/CC とは JPCERT/CC の活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及

マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有早期警戒情報 CSIRT 構築支援制御システムセキュリティアーティファクト分析国内外関係者との連携国際連携重要インフラ

3 JPCERT/CC とは JPCERT/CC の活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通情報収集分析発信定点観測 (TSUBAME) ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有早期警戒情報 CSIRT 構築支援制御システムセキュリティアーティファクト分析国内外関係者との連携国際連携重要インフラ重要情報インフラ事業者等の特定組織向け情報発信海外のNational-CSIRTや企業内のセキュリティ対応組織の構築運用支援制御システムに関するインシデントハンドリング情報収集分析発信マルウエア ( 不正プログラム ) 等の攻撃手法の分析解析日本シーサート協議会フィッシング対策協議会の事務局運営等各種業務を円滑に行うための海外関係機関との連携 2

JPCERT/CC とは近年の特徴的な取り組み DNS Changer 感染確認サイト

2012 年 7 月 9 日に終了感染確認サイト ( 終了 ) http://www.dns-ok.

4 JPCERT/CC とは近年の特徴的な取り組み DNS Changer 感染確認サイト DCWG(DNS Changer Working Group) 暫定 DNS サーバの運用を 2012 年 7 月 9 日に終了感染確認サイト ( 終了 ) オープンリゾルバ確認サイトオープンリゾルバ問題 2006 年ころから実際のインシデントとして認知されるように確認サイト (2013 年 10 月 31 日 ~) STOP!! パスワード使い回し! 賛同企業 24 社と協力して普及啓発 3

5 本日お話ししたいこと近年報告されるサイバー攻撃の中にはインターネットやイントラネットの仕組みを巧妙に悪用したものが見受けられますそのような攻撃に対しては組織全体で他組織とも協力しながら取り組む必要がありますこのセッションではサイバーセキュリティの脅威動向について紹介し特に執拗に行なわれる種類の攻撃に対する取り組みについて説明しますサイバーセキュリティの脅威動向サイバー攻撃の傾向不正送金標的型攻撃水飲み場型攻撃サイバー脅威への対応国内外での取り組み対応対策 4

6 サイバー攻撃の傾向 Web サイト改ざん HTML ファイルスクリプトファイル JavaScript による誘導フィッシングサイト金融機関を装ったサイト (69.2%) オンラインゲームサービスを装ったサイト (6.7%) DoS/DDoS 0.4% マルウエアサイト 6.2% フィッシングサイト 9.5% その他 17.3% Web サイト改ざん 22.1% スキャン 44.5% 5 その他のインシデント海外 HTTP プロキシサイトに関する対応ボットネットのC&C サーバから発見された日本国内のボットの情報 JPCERT/CC に報告されたインシデントの傾向 (2014 年 7 月 ~9 月 ) 参照

7 サイバー攻撃の傾向不正送金の被害金額 ( 警察庁の発表より抜粋 ) 2014 年 (9 月 4 日 )(*2) 2014 年 (5 月 9 日 )(*1) 18 億 5200 万円 14 億 1700 万円 2012 年 2013 年 14 億 600 万円 2011 年 3 億 800 万円 4800 万円年被害件数被害総額金融機関件 3 億 800 万円件 4800 万円 ,315 件 14 億 600 万円 32 金融機関 ,254 件 18 億 5200 万円 73 金融機関 6 (*1) 2014 年 5 月 9 日 : 4 月 30 日までの集計情報 (*2) 2014 年 9 月 4 日 : 6 月 30 日までの集計情報

8 サイバー攻撃の傾向水飲み場型攻撃標的以外の組織のユーザは正規のコンテンツをやり取りをする標的以外の組織 ( 複数 ) 不正誘導先 ( 複数 ) 1 3 Web サーバ 2 4 ユーザ端末マルウェア通信先 (C&C サーバ ) 攻撃者グループ踏み台にされた組織 ( 水飲み場 ) 5 標的組織 ( 複数 ) 1 不正侵入コンテンツの改ざん 2 日常的に使う Web サイトへアクセス 3 不正な誘導先にリダイレクト 4 脆弱性を狙った攻撃 5 マルウェアが C&C サーバと通信 8

9 サイバー脅威への対応フィッシング標的型メール攻撃やり取り型バンキングトロージャンウェブ改ざん水飲み場型攻撃エクスプロイトキットパスワードリスト攻撃 9

10 サイバー脅威への対応対応方法から見る 2 つの脅威排除する対応の違い観察する概して直接的な被害をともなう短期間で攻撃が行われる変化しながらも単体の攻撃として繰り返される被害がわかりにくい必要に応じて長期間かけて攻撃が行われる様々な手段で継続的に攻撃が行われる広い対象を持つ脅威特定の対象に向かう脅威使われる技術や手段には共通性もある成果がやりとりされている可能性もある簡単に見分けられるとは限らない 10

11 サイバー脅威への対応対抗する側での温度差攻撃を受けることを非とするレピュテーションリスクへの懸念情報共有公表という理解攻撃を過小評価する組織全体としての取り組みにならない社会全体として被害の最小化につながらないフィッシング標的型メール攻撃やり取り型バンキング目に見える攻撃に翻弄されるトロージャンウェブ改ざん攻撃を受けた組織の視点目に見えたものが全て攻撃は不幸な事故早期の終結を望むエクスプロイトキットパスワードリスト攻撃水飲み場型攻撃セキュリティ対応機関の視点目に見えたものは氷山の一角攻撃には意図がある全容の解明を望む分断孤立は攻撃者を利する 11

12 サイバー脅威への対応各組織に期待する取り組み事後対応事前対策緊急対応体制の起動組織内の統制対応スケジュールの検討サーバ端末やログ等の調査侵入経路や影響範囲の特定クリーンナップ外部への情報発信二次被害の危険性のある対象への注意喚起メディア等への対応セキュリティベンダ等への情報提供情報集約と情報連携の推進 CSIRT 機能の構築情報連携の取組みへの参加脅威との共存を意識した環境作りセキュリティ教育トレーニングログ設定のチューニングメールのアーカイブ検索次世代ファイアウォール等の導入検討情報資産の把握保護ネットワークやシステムの構成把握保護すべき情報の洗い出しゼロからの対応は困難耳を澄まして攻撃者の息づかいを感じ取る 12

13 サイバー脅威への対応組織内 CSIRT に期待される役割組織の内外に対しインシデントに関する一元的な対応窓口である CSIRT を構築する海外 CSIRT 経営層経営層国内外部外部組織内 CSIRT 国際連携 CSIRT 外部部署 A 部署 B 外部部署 A 部署 B 組織内 CSIRT A 社外部外部組織内 CSIRT B 社メリットの例 : 1 社内セキュリティ情報の共有集中管理の実現 2 セキュリティ対応にかかる指示系統の迅速化 ( ダイレクトリーチ ) 3 外部に対して信頼性のある窓口先の提供 4 外部からの情報の一元管理の実現 5 インシデントレスポンスに必要な情報量の向上 6 想定外 ( 予想外 ) のインシデントへの柔軟な対応 13

14 管理端末ドメインコントローラウェブ管理端末ウェブサーバウェブ管理端末ウェブサーバウェブ管理端末ウェブサーバウェブ管理端末ウェブサーバ国内外での取り組み個々の攻撃事象共有化共通化の検討促進セキュリティ関連機関間での連携組織 T 総務部門システム部門 T4: 侵入広報部門 T7: 改ざん人事部門攻撃者組織 C 組織 X 組織 Y C2: 不正誘導 C1: 不正誘導攻撃脅威の観察技術改善協力者の動機付け総合的な情報収集力の向上 14

jp/cyber/goz/ インターネットバンキングに係るマルウェアへの感染者に対する注意喚起の実施 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000080.

15 国内外での取り組みボットネットテイクダウン作戦国際的な活動アメリカ合衆国国土安全保障省や FBI など複数の企業や組織が協力し GameOver ZeuS botnet の対策を実施国内での活動警察庁総務省一般社団法人日本データ通信協会テレコムアイザック推進会議および JPCERT/CC が協力インターネットバンキングに係る不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除についてインターネットバンキングに係るマルウェアへの感染者に対する注意喚起の実施 JPCERT/CC インターネットバンキングに係わる不正送金事犯に関連する不正プログラム等の感染端末の特定及びその駆除について ~ 国際的なボットネットのテイクダウン作戦 ~ に協力 15

16 国内外での取り組み今後の脅威を考えるうえで Windows サポート期限接続されるデバイス数 2014 年 4 月 8 日 Windows XP 2015 年 7 月 14 日 2017 年 4 月 11 日 2020 年 1 月 14 日 2023 年 1 月 10 日 Windows Server 2003 Windows Vista Windows 7 Windows Server 2008 Windows 8 Windows Server 年 5 億デバイス 2010 年 125 億デバイス 2015 年 250 億デバイス 2020 年 500 億デバイス 295 億デバイス (Cisco IBSG, 2010) (Cisco IBSG, 2010) (Cisco IBSG, 2010) (Cisco IBSG, 2010) (ARM, 2013) 長いライフサイクル短いライフサイクル様々な分野でネット活用リソースのサービス化インフラ既存の技術が浸透サービスデバイスの多様化利用者対策を打ち込むチャンス対策対応の構図が大きく変わる可能性も 16

お問い合わせインシデント対応のご依頼は Email:office@jpcert.or.jp Tel:03-3518-4600 Web:https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.

17 お問い合わせインシデント対応のご依頼は Tel: Web: インシデント報告 Web: ご清聴ありがとうございました 17

あなたも狙われている！？インターネットバンキングの不正送金とマルウエアの脅威

あなたも狙われている！？インターネットバンキングの不正送金とマルウエアの脅威 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士