スライド 0

Similar documents
最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

ソフトウェア、プロトコル、ウェブサイトをめぐる動向

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

SQLインジェクション・ワームに関する現状と推奨する対策案

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

インシデントハンドリング業務報告書

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

ACTIVEプロジェクトの取り組み

ログを活用したActive Directoryに対する攻撃の検知と対策

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

- JPCERT/CC をご存知ですか? - JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター 日本国内

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

1.indd

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

内容 JPCERT/CCとは 組織の概要 自己紹介世界の大学は今日本の大学 外部からの脅威 内なる脅威大学生とSNS 高まるソーシャルエンジニアリングのリスクインシデントレスポンス時代に即したセキュリティ教育まとめ Page 2

PowerPoint プレゼンテーション

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

最新のサイバーセキュリティの脅威

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Microsoft PowerPoint - IncidentResponce

Zone Poisoning

マルウェアレポート 2018年2月度版

SOC Report

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

PowerPoint プレゼンテーション

セキュリティソフトウェアをご使用の前に

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

ICT-ISACにおけるIoTセキュリティの取組について

2 Copyright(C) MISEC

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

制御システムセキュリティアセスメントサービス

マルウェアレポート 2017年9月度版

目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

金融工学ガイダンス

マルウェアレポート 2018年3月度版

セキュリティソフトウェアをご使用の前に

JPCERTCC.ppt

製品概要

マルウェアレポート 2018年1月度版

講演内容 情報セキュリティ 情 情報セキュリティを取り巻く情勢 インターネット上の脅威を知ろう 個人にかかる脅威 対策 企業にかかる脅威 対策 2

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

f-secure 2006 インストールガイド

KSforWindowsServerのご紹介

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

BACREX-R クライアント利用者用ドキュメント

ESET Mobile Security V4.1 リリースノート (Build )

マルウェアレポート 2018年4月度版

OSI(Open Systems Interconnection)参照モデル

SHODANを悪用した攻撃に備えて-制御システム編-

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

プレゼンテーション

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

SiteLock操作マニュアル

OSI(Open Systems Interconnection)参照モデル

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

スライド 1

マルウェアレポート 2017年12月度版

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

f-secure 2006 インストールガイド

マイナンバー対策マニュアル(技術的安全管理措置)

Microsoft PowerPoint ラック 村上様.ppt

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

/ 11

サイト名

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

Nielsenソフトウェアインストールガイド_fjt_upd

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

v6

福岡大学ネットワーク認証・検疫システム実施マニュアル

vcube-seminar-01

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

Microsoft PowerPoint - APC pptx

Microsoft PowerPoint 日経ソリューションフォーラム.ppt

重要インフラがかかえる潜在型攻撃によるリスク

なぜIDSIPSは必要なのか?(v1.1).ppt

組織内CSIRTの役割とその範囲

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

2.5 月のアクセスの状況 28 年 5 月のアクセス状況は 4 月と比べて若干減少しました これは主に Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスである 126/udp 127/udp および 128/udp などへのアクセスが減少したためです

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

Transcription:

ネットワークセキュリティ対策技術研修 不正アクセスの最新動向 ~ インシデント事例から考えるネットワークセキュリティ ~ 一般社団法人 JPCERT コーディネーションセンター 2009 年 11 月 13 日 ( 東京 ) 27 日 ( 大阪 ) 椎木孝斉真鍋敬士

本日の内容 インシデントの傾向インシデント事例の紹介 マルウエア添付メール 改ざんされたWebからの誘導 侵入 遠隔操作 取り組み ボット対策推進事業 ITセキュリティ予防接種 脆弱性情報ハンドリング 1

JPCERT/CC をご存知ですか? 2

JPCERT/CC とは JPCERT/CC Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター コンピュータセキュリティインシデントに関する調整 連携などの活動 国内組織や海外組織との連携活動 情報収集 分析 発信活動 コーディネーションセンター としての役割 CSIRT(Computer Security Incident Response Team) のひとつ コンピュータセキュリティインシデント : コンピュータセキュリティに関係する人為的事象 意図的および偶発的なもの ( その疑いがある場合 ) 3

-JPCERT/CC をご存知ですか?- CSIRT の基本概念 Computer Security Incident Response Team 米国 CERT/CC: 1988 年に設立された世界初の CSIRT インシデントハンドリングを主な活動とする組織体の一般名称 POC (Point of Contact) Coordination Constituency Incident Response 4

-JPCERT/CC をご存知ですか?- JPCERT/CC の沿革 インシデントハンドリング インターネット定点観測 システム (ISDAS) 脆弱性情報ハンドリング アーティファクト分析 Early Warning Partnership Vulnerability Coordination Center 早期警戒情報提供 5

-JPCERT/CC をご存知ですか?- JPCERT/CC の活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し対応依頼 国際的に情報公開日を調整 3 0 2 5 2 0 1 5 1 0 情報収集 分析 発信 定点観測 (ISDAS) ネットワークトラフィック情報の収集分析 定期的なセキュリティ予防情報の提供 5 0 全センサーのポートスキャン合計ポートスキャンの平均値 = センサー合計 1 2 /9 ( 単位 : 時間 ) 1 2 /1 0 1 2 /1 1 1 2 /1 2 1 2 /1 3 1 2 /1 4 Data インシデントハンドリング インシデントレスポンスの時間短縮による被害最小化 再発防止に向けた関係各関の情報交換及び情報共有 ポートスキャンの上位 5 位を表示 (ICM P は常に表示 other はその他合計 ) ICM PISP CSIRT TCP 135 TCP 445 UDP 137 TCP 139 TCP 1025 other インシデント情報 サービス インシデント情報の交換 FIRST APCERT などの海外 CSIRT JPCERT/CC 情報交換 学識経験者 関連団体などのご協力者 企業 CSIRT インシデント情報 情報交換 官公庁 政府関係機関などの国内協力組織 早期警戒情報重要インフラ事業者等の特定組織向け情報発信 CSIRT 構築支援企業内のセキュリティ対応組織の構築支援 アーティファクト分析マルウエア ( 不正プログラム ) 等の攻撃手法の分析 解析 6

-JPCERT/CC をご存知ですか?- 活動四半期レポート (2009 年 7 月 ~9 月 ) 1 国際インシデント対応演習への参加 人気セミナーの海外展開 アジア諸国の National CSIRT 構築支援活動などによる国際貢献 連携強化 2 FIRST Annual Conference Kyoto 2009: 世界のセキュリティチームによる国際会議の日本開催が成功裏に終了 3 Web フォームによるインシデント報告の受付 注意喚起及び脆弱性情報の英語による発信等 利用者の利便性向上のための機能を追加 4 JPCERT/CC 脆弱性関連情報取扱いガイドライン の改定 5 文部科学省の先導的 IT スペシャリスト育成推進プログラムによる高度セキュリティ人材育成活動に協力 6 ボット対策事業の平成 20 年度活動報告を公開 7 制御システムのセキュリティに関する提供情報を拡充 7

インシデントの傾向 8

インシデントの傾向 侵入 改ざん 1% フィッシング 10% その他 6% スキャン系 15% マルウエア 68% インシデント報告件数割合 (2009 年 7 月 ~9 月 ) http://www.jpcert.or.jp/ir/report.html より 9

- インシデントの傾向 - インシデントの背景にあるマルウエア ボットネット 攻撃インフラフィッシング, サービス妨害, 迷惑メール,... アンダーグラウンドビジネス : 分業 連携 CCC: ボット対策推進プロジェクト (2006 年 ~) ボット対策活動を国の事業として実施標的型攻撃 ソーシャルエンジニアリング的手法時事ネタ 個人情報 機密情報による誘引 未修正の脆弱性の悪用 JPCERT/CC 内でのマルウエア分析から脆弱性情報ハンドリングを行ったケースも IT セキュリティ予防接種調査 http://www.jpcert.or.jp/research/#inoculation 10

- インシデントの傾向 - 実用性を意識したマルウエア 潜行化 ~ 分析ツールや環境がなければ専門家でも判定困難 ~ 様々な隠蔽能力既存のプログラムに似せた名前既存プロセスへのインジェクション 派手に動かない性質ツール化 ~ 専門知識不要 ~ GUI により簡単にできるカスタムマルウエア作成感染 PC の管理フィッシュキット 有償サポートアンチウイルス検知回避 11

インシデント事例 12

インシデント事例 1 マルウエア添付メール 13

- インシデント事例 1 マルウエア添付メール - 偽アンチウイルス 実行した場合 感染しているというメッセージを表示 外部へ接続し偽アンチウイルスの本体となる実行ファイルをダウンロードして実行 感染している旨のメッセージと install.exe のアイコン Antivirus Pro 2010 のインストール画面とダウンロードした exe のアイコン 14

- インシデント事例 1 マルウエア添付メール - JPCERT/CC に届いたマルウエア添付メール 公開アドレス宛にマルウエア添付メール 日 時 : 2009 年 2 月 26 日 22 時 22 分ころ 送信先 : info@jpcert.or.jp 送信元 : 国内ドメインを詐称したアドレス 送信サーバの IP アドレスは国外割当 IP アドレス JPCERT/CC における対応 分析結果 種 類 : gh0st RAT の一種 通信先 : 国外ドメイン ( 国外割当 IP アドレス ) 標的型攻撃メールとの関連性が疑われる 検体の通信先に対してコーディネーションを実施 日月火水木金土 22 23 24 25 26 27 28 1 2 3 4 5 6 7 3 月 2 日 16 時 30 分ころに通信先 IP アドレスを管轄する CSIRT に情報提供 3 月 3 日 14 時 46 分の時点で DNS の A レコードが削除されていることを確認 15

- インシデント事例 1 マルウエア添付メール - RAT(Remote Access Trojan/Administration Tool) PC の遠隔操作を可能にするツール GUI によりマルウエアの作成やクライアントの管理が可能主な機能 プロセス情報の取得 特定プロセスの停止 特定のウイルス対策ソフトのバイパス マシンのシャットダウン リモート リモートからのデスクトップ操作 任意のプログラムの実行 スクリーンショットの取得 Web カメラの操作 音声の録音 キーロガー関連記事 フォーティネットが総括 : 上半期のセキュリティ動向 http://www.itmedia.co.jp/enterprise/articles/0907/30/news073.html Tracking GhostNet: Investigating a Cyber Espionage Network http://www.scribd.com/doc/13731776/tracking-ghostnet-investigating-a-cyber-espionage-network 15 万台が感染 国内でも被害多数 ウイルスツール Zeus の脅威 http://itpro.nikkeibp.co.jp/article/news/20090827/336060/ 16

インシデント事例 2 改ざんされた Web からの誘導 6 1. リストの exe のダウンロード 5 1. exe の URL が含まれた txt のダウンロード 4 svchost.exe 1. ダウンロードした exe の実行 2. 実行した環境から外部へ接続 1 最初の接続先 1. SITE_A.com/x.js iframe にて 2 へ接続 2 脆弱性コードを含むスクリプトが存在するサイト 1. SITE_B.org/aa/a3.html?y10 iframe にて 2 に接続 2. SITE_B.org/aa/index.html script タグにて 3 を実行 3. SITE_B.org/aa/go.jpg SITE_B.org/aa/go1.jpg 4 に接続して問題なければ 3 へ接続 4. SITE_B.org/aa/load.jpg 3exe ファイルのダウンロード先 1. SITE_C.com/wm/svchost.exe MS09-032: Microsoft Video ActiveX Control の脆弱性を狙った攻撃 17

- インシデント事例 2 改ざんされた Web からの誘導 - JSRedir-R(aka Gumblar) 共通的な挙動 1 2 3 Web 改ざん マルウエアホスティングサイトへ誘導する JavaScript の埋め込み ダウンローダ実行 脆弱性を悪用して動作し 別のマルウエアをダウンロード マルウエア感染 アカウント情報盗聴等を行う 問題を大きくする要因 技術的な難しさ JavaScript の難読化 マルウエアの多様性 パターンだけでは検知困難 無数のマルウエアホスティングサイト アクセス制限 複数グループ 事業者側での対応の限界 不正な FTP アクセスの制限 改ざん の判断 繰り返される改ざん 本質的な対策がなされていない 18

- インシデント事例 2 改ざんされた Web からの誘導 - SQL インジェクション 1 攻撃及びデータ改ざん 4 有害コンテンツ ( マルウェアなど ) による攻撃 攻撃者 3 誘導 2Web の利用 有害サイト 停止対応 攻撃された脆弱サイト群 一般への注意喚起文書の発行 脆弱性通知 修正推奨 ユーザ 地域 組織の CSIRT < 有害サイトテイクダウン > 対応連携 < サイト閉鎖依頼 > 19

- インシデント事例 2 改ざんされた Web からの誘導 - 悪用されていた脆弱性 Adobe Reader/Acrobat 関連 util.printf ( 影響バージョン : 8.1.2 以下 ) Collab.collectEmailInfo ( 影響バージョン : 8.1.1 以下 ) app.doc.collab.geticon ( 影響バージョン : 8.1.2 以下および 9.0 以下 ) ActiveX 関連 MS09-032 FlashPlayer などブラウザの Plugin など OS だけではなく ブラウザに Plugin として利用されているサードパーティー製のアプリケーションなどを狙うものが多くみられる 20

インシデント事例 3 侵入 遠隔操作 Web ブラウザ経由での遠隔操作 ネットワーク透過性 フィッシングサイトの立ち上げにも PHP での実装 高い移植性 カスタマイズが容易 21

対策 一般ユーザ OSやアプリケーションのアップデート アンチウイルス製品の導入 運用 最終ログイン日時等のアカウント情報への関心 サイト管理者 Webコンテンツの定期 不定期の確認 定期的なログの確認 パスワードの適切な運用 関連組織 事業者 一般ユーザやサイト管理者への注意喚起 組織間での情報共有 22

取り組み 23

ボット対策推進事業 24

- ボット対策推進事業 - 検出状況送信機能 目的 駆除ツールの検出状況送信機能で報告されるユーザの感染状況 ユーザの PC 利用環境報告を集計することにより 感染者 PC の実態を把握する 送信する情報 感染端末情報 CCC クリーナーによる検索情報をログへ! 1 CCC クリーナー検索終了後 ログを含む検索結果の送信許可の問い合わせ 2 ユーザが送信許可をした場合 サイバークリーンセンターへ送信 インターネット サイバークリーンセンターへ ログデータは自動収集ではなくユーザの自己申告 ( 任意 ) 25

- ボット対策推進事業 - インターネット接続形態による感染比率 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 15% Global IP 10% Private IP 感染ログ 非感染ログ 集計期間 : 2008 年 7 月 2009 年 7 月 26

- ボット対策推進事業 - OS バージョンによる感染比率 100% 90% 80% Vista SP2 5% XP SP0 1% XP SP1 2% 70% 60% 50% Vista SP0 1% Vista SP1 15% XP SP2 11% 40% 30% 20% 10% XP SP3 65% 0% XP SP0 XP SP1 XP SP2 XP SP3 Vista SP0 Vista SP1 Vista SP2 感染ログ 非感染ログ 集計期間 : 2008 年 10 月 2009 年 10 月 27

- ボット対策推進事業 - 感染事例 ( 注意喚起ユーザ ) A さん CCC 実行 CCC 実行 (11 日後 ) CCC 実行 (23 日後 ) [ 環境 ] OS: Windows XP SP0 MEM: 386 MB NETWORK: Global IP 2 種類駆除 TROJ_MEREDROP.KM TROJ_DLOADER.ETK 2 種類駆除 TROJ_INJECT.AKH BAT_DLOAD.XT [ 環境 ] OS: Windows XP SP0 MEM: 386 MB NETWORK: Global IP ログの送信がないため不明 [ 環境 ] OS: Windows XP SP0 MEM: 1024 MB NETWORK: Global IP スキャンなし 感染なし [ 環境 ] OS: Windows XP SP1 MEM: 1024 MB NETWORK: Global IP 3 種類検出 Cryp_Virut-4 PE_VIRUT.D-2 PE_VIRUT.D-4 B さん CCC 実行 CCC 実行 (1 日後 ) CCC 実行 (10 日後 ) [ 環境 ] OS: Windows XP SP1 MEM:256 MB NETWORK: Global IP 4 種類駆除 TROJ_AGENT.VW TROJ_DLOAD.XT 他 2 件 6 種類駆除 TROJ_AGENT.VW TROJ_DLOAD.XT 他 4 件 [ 環境 ] OS: Windows XP SP3 MEM:256 MB NETWORK: Global IP 3 種類駆除 WORM_ALLAPLE.IK BAT_DLOAD.XT Mal_Allaple 28

IT セキュリティ予防接種 IT セキュリティ予防接種 ( 以後予防接種 ) とは 電子メールを用いた受動型攻撃に対するエンドユーザのセキュリティ意識の向上を目的とする調査 訓練の手法で 対象者に不審メールを模した無害なメールを送付し 適切な取扱いを行えるかを試すものである プロジェクトの目的 標的型攻撃対策としての予防接種の有効性を確認する 予防接種を安全に実施するための手法を確立する 被験者に対して以下をアンケートし リスクグループを特定する 年齢 性別 勤続年数 役職 雇用形態 IT リテラシー 使用しているメーラー セキュリティ教育受講経験 29

-IT セキュリティ予防接種 - 予防接種のコンセプト 差出人 歌代 フリーメール 予算について MS Word 文書 見えない画像ファイルへのリンクを埋め込む http://targeted.example.co.jp/user1.jpg 30

-IT セキュリティ予防接種 - 予防接種の効果 350 初回 300 250 開封人数 200 150 100 50 2 回目 0 0 1 2 3 4 5 6 7 8 9 以降 メール送信からの経過時間 31

-IT セキュリティ予防接種 - 希望者へのツール提供 予防接種メール作成ツール 配送ツール Web バグ挿入 メール作成 被験者リストメールテンプレート 無償 但しサポートは不可お問い合わせは : office@jpcert.or.jp まで 32

脆弱性情報ハンドリング 脆弱性関連情報を 適切な関係者へ事前に開示し 被害を最小限に食い止めるためのプロセス 未公開脆弱性情報の受付 検証 製品開発者に開示 国外の関係機関 (CERT/CC, CPNI 等 ) と連携し 国内外の製品開発者へ情報展開 関係するすべての製品開発者が同時に情報公開するよう調整 脆弱性情報ポータルサイト (JVN) を運営し 脆弱性情報と各社の対応を公開 経済産業省告示 ソフトウェア等脆弱性関連情報取扱基準 に基づく活動 JPCERT/CC が調整機関として指定されている JEITA, JNSA, JISA, CSAJ, IPA, JPCERT/CC が協同で 情報セキュリティ早期警戒パートナーシップ ガイドラインを策定 33

- 脆弱性情報ハンドリング - 脆弱性情報流通の枠組み 海外の情報源 海外の情報源 CERT/CC CPNI 通知 ネット上の情報 収集 JPCERT/CC 脆弱性の検証対策の作成 脆弱性情報の開示 公表日程の調整 メーカ1 メーカ2 メーカ3 エンドユーザ 企業ユーザ SIer 脆弱性の発見者 脆弱性情報の報告 受付分析 IPA 通知 該当するメーカを抽出し情報配信 対策情報のとりまとめ 対策情報の提供 JVN ( 脆弱性情報ポータル ) メーカ4 メーカ5 日程を合わせて公表 ISP 小売り マスコミ 34

- 脆弱性情報ハンドリング - Japan Vulnerability Notes(https://jvn.jp/) 35

- 脆弱性情報ハンドリング - 脆弱性情報の一般公開の調整 隠しておくのは得策ではない 情報公開により 脆弱性をユーザに周知し 対策の適用を促す いずれ悪意の第三者が脆弱性を発見し 攻撃に利用される可能性 公表日一致の原則 の遵守 脆弱性情報と 対策情報を同時に公開する 脆弱性の影響を受けるすべての製品開発者が同時に情報公開する すべての関係者が同時に情報公開するよう日程調整 脆弱性の影響を受ける製品を開発するすべてのベンダ 海外の調整機関や製品開発者を含む 発見者の要望が影響する場合もある 36

- 脆弱性情報ハンドリング - DNS キャッシュポイズニングの脆弱性 海外 CSIRT 1. 脆弱性情報 2. 情報分析 7. 通知 8. 対応 3. 調整 4. 早期連絡 6. 脆弱なサイトのリスト 5. 一般公開 国内ベンダ 通信事業者 海外 CSIRT 37

ソフトウエア等の脆弱性への取り組み 高度な情報処理を実現する ICT 環境に潜む脆弱性によって脅かされる 全ての利用者の安全を守る為に 3 つの観点から活動を行っています 製品利用者を被害から守る対応型活動 ゼロデイの脅威から製品利用者を守る 脆弱性情報ハンドリング 発見された製品や規格の脆弱性が 対策も取られないまま公になる前に 拡大する被害を未然に防ぐための活動 正しいコーディング方法を広め 安全な製品開発を促す C/C++ セキュアコーディング 不十分な理解によりコーディングされた脆弱なソフトウエア製品がもたらす脅威を未然に防ぐための活動 安全 安心なシステムの開発 運用を促す 制御系システムセキュリティ 汎用 IT 製品が導入された事によって その脅威にさらされ始めた制御系システムにおいて 安全 安心な環境を維持する為の開発 運用を促す活動 セキュアなコーディングの普及 脆弱性情報 ハンドリング 製品開発時点で問題を防ぐ予防型活動 制御系システムセキュリティ 安全 安心なシステム構築 運用を促す予防 対応型活動 38

まとめ 39

ますます巧妙に 今日の流れは今後も 対策側 : 分断 孤立ソーシャルエンジニアリング的手法役割を持った多段化 攻撃側 : 分業 連携ツールによる簡易化合わせ技 : 量 ( 弱い対象 ) と質 ( 強い対象 ), コンピュータ以外のメディア 非技術的な問題 ガラパゴス化フィッシングや標的型攻撃 過度の社会的制裁 個人情報過敏症行き過ぎると恰好の餌食に 40

お問い合わせ インシデント対応のご依頼は JPCERT コーディネーションセンター Email:office@jpcert.or.jp Tel:03-3518-4600 Web: http://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp Web: http://www.jpcert.or.jp/form/

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック