本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

Size: px

Start display at page:

Download "本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1"

みいかとどろき
7 years ago
Views:

1 つながった機器とインシデント 2016 年 8 月 23 日一般社団法人 JPCERT コーディネーションセンター早期警戒グループ鹿野恵祐

2 本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

3 1. JPCERT/CC の紹介 2

4 JPCERT/CC をご存知ですか? 1. JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター日本国内のインターネット利用者やセキュリティ管理担当者ソフトウエア製品開発者等 ( 主に情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応などを通じセキュリティ向上を推進インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する我が国の窓口となる CSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となる CSIRT が存在する ( 米国の US-CERT CERT/CC 中国の CNCERT 韓国の KrCERT/CC 等 ) 経済産業省からの委託事業としてサイバー攻撃等国際連携対応調整事業を実施 3

脆弱性情報ハンドリング情報収集分析発信インシデントハンドリング定点観測 TSUBAME

調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通

マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止

5 JPCERT/CCをご存知ですか 1. JPCERT/CCの活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング情報収集分析発信インシデントハンドリング定点観測 TSUBAME インシデント対応調整支援未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有早期警戒情報 CSIRT構築支援制御システムセキュリティ重要インフラ重要情報インフラ事業者等の特定組織向け情報発信海外のNational-CSIRTや企業内のセキュリティ対応組織の構築運用支援制御システムに関するインシデントハンドリング情報収集分析発信アーティファクト分析マルウエア不正プログラム等の攻撃手法の分析解析国内外関係者との連携日本シーサート協議会フィッシング対策協議会の事務局運営等国際連携 4 各種業務を円滑に行うための海外関係機関との連携

6 1. 定点観測システムの仕組み 1. ワームやボットなどが送ったパケットをセンサが受信センサ宛に届いたパケットをログに記録 3. ログファイルをサーバに送信 4. 受け取ったログファイルをデータベースに保存 5. 分析者はポータルにログインして分析等を実施

macert, mmcert, MNCERT/CC, MOCERT, MyCERT, MonCIRT, PHCERT, SingCERT, Sri Lanka CERT

8 1. 本取組みに参加している組織 (2016 年 8 月現在 ) Members: AusCERT, bdcert, BruCERT, CamCERT, CCERT, CERT-In, CNCERT/CC, GovCERT-HK, HKCERT, Id-SIRTII/CC, JPCERT/CC, KrCERT/CC, LaoCERT, macert, mmcert, MNCERT/CC, MOCERT, MyCERT, MonCIRT, PHCERT, SingCERT, Sri Lanka CERT CC, TechCERT, TWCERT/CC, TWNCERT, ThaiCERT 26 teams from 21 economies Map data (c)2015 Google. 7

9 2. インシデント事例のご紹介 8

10 2.1 PLC が WAN に露出していた事例事象の発見 JPCERT/CC の分析官がパブリックモニタリング中にブログ記事 ( 中国語 ) を発見キーワード国立大学アクセス制御認証不備 PLC 発生していた事象中国語の Web サイトで掲載されているブログ記事 Webインターフェースがインターネットからアクセス可能 PLCのポートにインターネットから到達可能 9

11 対象製品が使用する Port のパケット数の推移 2015 年 4 月以降センサでパケットを継続して観測しているセキュリティ研究者が調査目的に送ったと思われるパケットが多いがそれ以外のパケットも観測している 10

12 類似の例プリンタ PC の画面などプリンタ RDP/VNC など 11

13 参考 : JPCERT/CC に報告されたインシデント情報と連絡の流れ 12

14 対応ケース 1 国内国内 1 攻撃活動など国内サイト管理者被害者発見者 2 報告 4 連絡 3 連絡 ISP や ASP 事業者システム管理者 CSIRT など 13

15 対応ケース 2 海外国内海外 CSIRT 海外金融機関海外 ISP セキュリティベンダ関連団体など 1 日本に関わるインシデント国内サイト管理者 2 報告 4 連絡 3 連絡 ISP や ASP 事業者システム管理者 CSIRT など 14

16 対応ケース 3 国内海外海外 CSIRT 海外 ISP など 1 海外で日本にかかわるインシデント 3 連絡発見者システム管理者国内事業者 ( 金融機関など ) セキュリティベンダ 15

17 2.2 Linux ボードが設置されていた事例事象の発見 TSUBAME センサーに対し Port22/TCP(SSH) の SYN パケットを送ってきたキーワード国立 / 私立大学等組み込み Linux パスワード強度アクセス制御マルウエア感染踏み台送信元 IP アドレスで動作しているネットワーク接続された Linux board の初期画面主な問題攻撃者に辞書攻撃を受け機器に侵入されていた ( セットアップ後にデフォルトパスワードを変更していなかった ) マルウエアが実行され第三者が探索や辞書攻撃等を行っていた 16

18 Port 22/TCP を対象としたパケット数の推移定常的にパケットを観測している観測パケット数 TOP5 にほぼ含まれるセキュリティ研究者だけではなくマルウエア感染ホストなどもパケットを送信している 17

19 2.3 再生可能エネルギーのモニタリング装置問題の発見 TSUBAME にて Port23/TCP(Telnet) の SYN パケットを観測キーワード固定 IP アドレス ( 設置場所は不明 ) 組み込み Linux マルウエア感染踏み台送信元 IP アドレスの Web サーバで表示される発電量画面 ( イメージ ) 主な問題攻撃者に辞書攻撃を受け機器に侵入されていた ( リモート管理用に Telnet をサポートしている ) LAN 内で利用機器を WAN に直結していた ( ルータを利用することをメーカは推奨 ) 18

20 Port 23/TCP を対象としたパケット数の推移観測パケット数で一番多い機器などが送信元となっている事例が多くみられる遠隔管理用途に Telnet を使っている機器が存在する 2016 年 5 月下旬から急激にパケット数が増加している 19

21 おまけ感染した機器が探索や攻撃活動を行う? 20

22 おまけ感染した機器が探索や攻撃活動を行う?(2) 21

文科省のサイトで紹介されている導入事例文部科学省学校施設への太陽光発電の導入事例 http://www.

23 文科省のサイトで紹介されている導入事例文部科学省学校施設への太陽光発電の導入事例 22

24 おまけ機器がルータを攻撃? Port53413/UDP 宛のパケットが 2014 年 9 月ごろより増加多くの送信元は Linux を組み込んだ機器 Web カメラ, TV 会議システム, ルータなど海外ベンダ製のルータの脆弱性を攻撃主に中国韓国で販売されている 23

主な問題設定不備 DNS コンテンツサーバが誤ってリゾルバとしても動作していた WAN から DNS クエリを受け付ける設定になっていた DNS

25 2.4 踏み台となるネットワーク機器問題の発見 TSUBAME にて送信元 Port 53/UDP から DNS クエリに対する応答パケットを観測キーワード国立大学企業個人等ネットワーク機器 /DNS サーバ ( 国内機器ベンダ含 ) オープンリゾルバ / フォワーダー DDoS 攻撃踏み台主な問題設定不備 DNS コンテンツサーバが誤ってリゾルバとしても動作していた WAN から DNS クエリを受け付ける設定になっていた DNS 水責め攻撃 (DDoS) 攻撃に参加していた UDP Amp 攻撃にも使用されていた可能性あり DNS リゾルバ機能が動作しているネットワーク機器 ( イメージ ) 24

26 Port 53/UDP からのパケット数の推移と特徴 25

27 3. インターネットからの探索活動 26

28 3. サーチエンジンを使用した機器の検索インターネットに接続されたノード (IP アドレスを持つ機器 ) を検索するサービスインターネットに対して様々なプロトコルのリクエストを送信しそのレスポンスをデータベース化している制御システム関連プロトコルなど広くにも対応している (Modbus DNP3 Ethernet/IP など ) 検索サービスの例 27

29 類似の検索サービス ZoomEye 中国版 SHODAN censys 米国 Michigan 大学の研究チームが作成 ICSfind 中国の大学が作成 ( 現在はアクセスできない ) 28

30 4. JPCERT/CC からのおねがい 29

31 JPCERT/CC からのおねがいネットワークの状況を把握しましょうどの IP アドレスが使用されているか動的か静的か? WHOIS など連絡体制の更新もおねがいしますログの取得や保存高度サイバー攻撃への対処におけるログの活用と分析方法 (2015 年 11 月公開 ) では 1 年以上の保存を推奨しています機器をインターネットに接続する前に WAN と LAN 接続口を間違えていませんか? LAN で使用を推奨する機器もありますアンチウイルスの有無を確認するファイアウォールやルータのフィルタリングの設定を確認する利用目的外の管理者 Web インタフェースやメンテナンス機能にも注意ランダム Port を使用する製品もある 30

32 類似インシデントを防ぐための取り組み注意喚起や早期警戒情報の発行海外の National CSIRT との連携不審なパケットの送信元 IPアドレスリストの提供推測される問題機器の情報セキュリティ上の問題の共有国内 ISP や機器ベンダとの連携機器が設置されているIPアドレスの管理者への情報提供同様の問題を引き起こさないため製品ベンダにも情報提供みなさまからの報告や情報を活用!! * 個者が特定されるような使い方は致しません 31

33 お問合せインシデント対応のご依頼は JPCERTコーディネーションセンター Tel: インシデント報告制御システムインシデントの報告 32

34 ご静聴ありがとうございました 33

SHODANを悪用した攻撃に備えて－制御システム編－

SHODANを悪用した攻撃に備えて－制御システム編－ SHODAN を悪用した攻撃に備えて - 制御システム編 - 一般社団法人 JPCERT コーディネーションセンター制御システムセキュリティ対策グループ 2015 年 6 月 9 日 ( 初版 ) 1 SHODAN とは? 1.1 SHODAN とは? SHODAN とはインターネット上に公開されている様々な機器 ( 表 1 参照 ) に関する情報をデータベース化しインターネット上のサービスとして検索可能にする