最新のサイバーセキュリティの脅威

TCG JRF 第五回公開ワークショップ最新のサイバーセキュリティの脅威 2013 年 10 月 25 日 (13:35-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

最近のサイバー攻撃 トヨタなどサイト改ざん事件まとめ (2013 年 6 月 21 日 ) http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130621-oyt8t00905.htm オンライン銀行詐欺ツール Citadel が日本で猛威 - 2 万台以上が感染か (2013 年 7 月 24 日 ) http://news.mynavi.jp/news/2013/07/24/236/ 信用させる やりとり型 急増標的型メール 大半は防衛 宇宙産業狙い (2013 年 8 月 22 日 ) http://sankei.jp.msn.com/affairs/news/130822/crm13082210140008-n1.htm Adobe にサイバー攻撃 290 万人のユーザー情報に不正アクセスの可能性 (2013 年 10 月 4 日 ) http://www.itmedia.co.jp/news/articles/1310/04/news045.html 新手の標的型サイバー攻撃 官庁や大企業狙う (2013 年 10 月 9 日 ) http://www.yomiuri.co.jp/net/news0/national/20131009-oyt1t00713.htm 1

本日お話ししたいこと 最近ではサイバー攻撃が報道で取り上げられることも珍しくなくなり なかには 新しい攻撃 というような表現が使われることがあります このセッションでは そのような最近の攻撃について 事例をもとに紹介し 脅威や対策についてご検討いただく機会にしたいと思います 最近のサイバー攻撃例 1 悪性 Webを介した攻撃 2マルウエアを使った侵入対応 対策 脅威を理解する インシデントへの対応 2

JPCERT/CC をご存知ですか? 3

- JPCERT/CC をご存知ですか? - JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネーションセンター 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応などを通じ セキュリティ向上を推進インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 我が国の窓口となる CSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となる CSIRT が存在する ( 米国の US-CERT CERT/CC 中国の CNCERT, 韓国の KrCERT/CC 等 ) 経済産業省からの委託事業として 情報セキュリティ対策推進事業 ( 不正アクセス行為等対策業務 ) を実施 4

- JPCERT/CCをご存知ですか? - JPCERT/CCの活動 インシデント予防 インシデントの予測と捕捉 情報収集 分析 発信 インシデントハンドリング 定点観測 ISDAS/TSUBAME インシデント対応調整支援 脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者 へ提供し 対応依頼 関係機関と連携し 国際的に情報公開 日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報 の適切な流通 発生したインシデントへの対応 ネットワークトラフィック情報の収集分 マルウエアの接続先等の攻撃関連サイ 析 ト等の閉鎖等による被害最小化 セキュリティ上の脅威情報の収集 分析 攻撃手法の分析支援による被害可能性 必要とする組織への提供 の確認 拡散抑止 ポートスキャン の上位 5 位を 表示 全セン サーのポートスキャン 合計 単位 時間 再発防止に向けた関係各関の情報交換 ポートスキャン の平均値 30 セン サー合計 及び情報共有 25 ICM Pは常に表示 o the rはその他合計 ICM P TCP 1 3 5 TCP 4 4 5 20 U DP 1 37 15 TCP 1 3 9 TCP 1 0 2 5 10 o th er 5 0 1 2 /9 1 2 /1 0 1 2 /1 1 1 2 /1 2 1 2 /1 3 1 2 /1 4 D a ta 早期警戒情報 重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信 CSIRT構築支援 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築 運用支援 アーティファクト分析 マルウエア 不正プログラム 等の攻撃手法の分析 解析 国際連携 各種業務を円滑に行うための海外関係機関との連携 5

6 - JPCERT/CC をご存知ですか? - 報告されたインシデントの傾向 Web サイト改ざん 改ざん対象 HTML ファイル スクリプトファイル JavaScript や iframe による誘導 改ざんの原因 脆弱性の悪用 Web サーバ フレームワーク サーバ管理システム CMS(Contents Management System) 更新用アカウントの悪用 フィッシングサイト 金融機関を装ったサイト (53%) オンラインゲームサービスを装ったサイト (23%) 参照 https://www.jpcert.or.jp/pr/2013/pr20131010.pdf https://www.jpcert.or.jp/pr/2013/ir_report20131010.pdf マルウエアサイト 3% その他 37% スキャン 6% Web 改ざん 46% フィッシングサイト 8% 報告されたインシデントの傾向 (2013 年 7 月 ~9 月 )

最近のサイバー攻撃例 悪性 Web を介した攻撃 マルウエアを使った侵入 7

1 悪性 Web を介した攻撃 改ざんされた Web サイト 攻撃用 Web サイト Web から リンク誘導型 接続 マルウエア添付型 Mail から 8

- 悪性 Web を介した攻撃 - Web サイト改ざんの傾向 カラーコード改ざん Gumblar 騒ぎ DarkLeech JPCERT/CC にいただいたインシデント報告にもとづく 9

- 悪性 Web を介した攻撃 - 攻撃メール例 Return-Path: <ADPClientServices@adp.com> Delivered-To: manabe@xxx.jp Received: from [121.142.246.25] (unknown [121.142.246.25]) by sv.xxx.jp (Postfix) with ESMTP id 54F44DC0F1C8 for <manabe@xxx.jp>; Wed, 28 Nov 2012 16:01:15 +0900 (JST) Date: Wed, 28 Nov 2012 16:01:12 +0900 From: "ADP Client Services" ADPClientServices@adp.com マルウエア添付型 Return-Path: <KamdenRimmer@c2i.net> Delivered-To: manabe@xxx.jp Received: from [190.233.200.92] (unknown [190.233.200.92]) by sv.xxx.jp (Postfix) with ESMTP id 0253EDC10CF0 for <manabe@xxx.jp>; Sat, 19 Jan 2013 10:31:04 +0900 (JST) X-Originating-IP: [64.34.224.90] Received: from 127.0.0.1 (EHLO mail1.amcluster.com) (64.34.224.90) by mta1034.rog.mail.gq0.yahoo.com with SMTP; Fri, 18 Jan 2013 04:31:39-0500 Received: from job08p-am-tor05.amcluster.com ([10.10.3.111] helo=localhost.localdomain) by mail4.amcluster.com with esmtp (Exim 4.71) (envelope-from <maildaemon@ashleymadison.com>) id 1SMONV-0002Qp-TH for manabe@xxx.jp; Fri, 18 Jan 2013 04:31:39-0500 Date: Fri, 18 Jan 2013 04:31:39-0500 From: Ashley Madison <donotreply@ashleymadison.com> リンク誘導型 10

- 悪性 Web を介した攻撃 - 感染させられるマルウエアの特徴 アイコン偽装 + 長いファイル名 RLO(Right-to-Left Override) が使われるケースもある 感染した PC 内にある情報を窃取 システム情報 各種アプリケーションの認証情報等 FTP クライアント メールクライアント Web フォーム入力履歴 外部に送信する 別のマルウエアをダウンロード 偽アンチウイルスソフトウエア 金融サービス関連情報の窃取を狙った攻撃ツール (ZeuS Citadel SpyEye 等 ) 11

2 マルウエアを使った侵入 国内の複数組織 合計 35 台の感染 PC の情報 接続先 接続元の IP アドレス MAC アドレス等 期間は長いものでは 6 ヶ月以上 特定の種類のマルウエアに感染している可能性 共通の接続先群を持つ (18 個の IP アドレス ) 接続先との通信プロトコルとして HTTP を使う ( プロキシ対応 ) 海外組織 α 海外組織 β 海外組織 γ 感染 PC 情報 ( リスト ) 感染 PC 情報 マルウエア情報 JPCERT/CC 受領連絡受領受領 連絡 受領 受領 感染 PC に関する情報 2ヶ月後 感染 PCに 4ヶ月後 関する情報 対応? 対応対応国内組織 C 対応国内組織 C 国内組織 A 対応 国内組織 C 対応 国内組織 B 国内組織 B 12

- マルウエアを使った侵入 - 国内組織 A における調査 プロキシログ ファイアウォールログ PC 1 PC 2 DC 各種ログや感染 PC の調査 侵入経路 8 ヶ月前に PC1( ユーザ端末 ) があるサイトと通信していた 同時刻に 今回のマルウエアを含むいくつかのファイルが作成されていた その直後に DC( ドメインコントローラ ) と PC2(Web 管理端末 ) で同じファイル群が作成されていた DC から組織内の端末やユーザの情報が窃取されていた PC1 が通信したサイト 同時期に JPCERT/CC に対して複数の国内組織から攻撃メールに関する情報提供があり そこに添付されていたマルウエアの通信先と同じであった 国内組織 A では同時期にウイルスメール騒ぎがあり 不審なメールは全て削除されていた 13

- マルウエアを使った侵入 - 8 ヶ月前に情報提供された攻撃メール 複数の国内組織 8 ヶ月前 JPCERT/CC 海外組織 α 感染 PC 情報 ( リスト ) 受領連絡受領? 感染 PC に関する情報 対応 海外のプロバイダを介して送られた攻撃メール 国内組織 A Received: from john-e29df315c.sky (suzuki@aaa.aaa.aaa.aaa with login) by XXX.com with SMTP; 08 MMM 2012 21:21:58-0700 PDT Message-ID: <3f5b689d85a42e812a9dad8d351e1dee@FORGED.co.jp> From: <suzuki@forged.co.jp> To: yamada@victim.jp Date: Mon, 09 MMM 2012 13:21:55 +0800 国内のホストを踏み台にして送られた攻撃メール Received: from unknown (HELO john-2a9cfe63c.sky) (BBB.BBB.BBB.BBB) by COMPROMISED.jp with SMTP; 13 MMM 2012 14:18:36 +0900 Message-ID: <2581a53c39caf431af297efb232a63dd@FORGED.or.jp> From: <sato@forged.or.jp> To: yoshii@victim.jp Date: Fri, 13 MMM 2012 13:18:32 +0800 14

- マルウエアを使った侵入 - 国内組織 A と攻撃者の攻防 JPCERT/CC からの連絡後の対応 1 日目 調査により PC1, PC2, DC への侵入が判明 2 日目 ファイル群をアンチウイルスベンダに提供し PC1, PC2, DC から駆除 ファイアウォール プロキシにより外部への通信を制御 DC へのアクセス制限を強化し 定期的なログ調査を実施 再侵入 14 日目 DC にログオンするとウインドウが一瞬表示されることが発覚 調査により判明したこと : ログオン時に PC2 と通信する不審なプログラムが起動されるように設定されていた Web サーバにバックドアが仕掛けられ PC2 と通信していた Web サーバ, PC2, DC のバックドアを駆除 15 日目 Web サーバを含む公開ゾーンから内部へのアクセス制限を強化し 定期的なログ調査を実施 8 ヶ月前に仕掛けられ 1 日目まで使われていた侵入口 PC 1 バックドア仕掛け 1 DC PC 2 バックドア仕掛け 3 事前に仕掛けられ 主に 3 日目以降に使われた侵入口 バックドア仕掛け 2 Web サーバ 15

対応 対策 脅威を理解する インシデントへの対応 16

脅威を理解する 攻撃メールの傾向 添付ファイルの傾向 攻撃 1 海外のサービスを騙るものが目立つ ( 配達 予約 SNS) 長いファイル名やRLO アイコン偽装をともなう実行ファイル マルウエアの流通性 比較的広い 比較的狭い マルウエアの通信先 攻撃の内容 中心とした攻 概ね短命 多数 再利用撃 欧米が目立つ イン エクスプロイトキ ッ ほぼ全自動で認証情報等の窃取と他のマルウエアのダウンローフトド 実行を行う ラ を 攻撃 2 関係者 ( っぽい人 ) や公的サービスを騙る 会話する 標 長いファイル名や RLO アイコン偽装をともなう実行ファイル 脆弱性を悪用する文書ファイル 的 型 短命 ~ 長命 複数 再利用 アジア太平洋地域が目立つ 攻 遠隔操作ができる状態にしたうえで 以降は侵入してほぼ手動で作業 撃 ウイルス対策ソフト 検知状況は短期間で良くなる 検知状況にばらつきがある 17

- 脅威を理解する - 想定される被害は? 情報漏えい 注目されるのは個人情報の漏えい 攻撃者はあらゆる情報に価値を見出す と考えるべき 盗まれた情報を完全に特定することはほぼ不可能 全ての情報アクセスと全ての通信を記録する必要がある 盗まれることを前提に情報を無効化するという考えも インフラの乗っ取り サプライチェーンに対する攻撃の温床 自組織には盗まれて困る情報はない という思い込み 自爆的な攻撃 インフラを使って攻撃メールを派手にばらまく 取引先やメディアへの対応に翻弄される 対応のために発生したコスト サーバ 端末 ログ類の調査費用 サーバ 端末の調査 復旧にともなう業務停止 外部への情報発信時の焦点になりやすい問題 当事者になって初めて思い知らされる問題 発覚後に捻出しなければならない費用 18

インシデントへの対応 マネージメントの積極的関与 外部との情報連携 ここが最も重要 一般的にここが起点になる 攻撃を特徴づける情報 外部と共有 準備検知 分析封じ込め根絶修復教訓 役立つのは 通信ログ ( ファイアウオール プロキシ等 : 内部 外部や内部 内部 ) 証跡データ ( 端末ログ IT 資産管理システム等 ) IT 資産管理情報 ログ類は状況により 6 カ月 ~1 年以上遡る 平常時の備え 有事における対応 19

- インシデントへの対応 - Web 改ざんに対応するのは誰? 窃取された情報により改ざんされてしまったら? ユーザ Web アプリケーションの脆弱性により改ざんされてしまったら? コンテンツ 作成 環境 運用 保守 構築 [ サーバ側 ] OS ミドルウエア Web アプリ [ クライアント側 ] コンテンツ管理 PC 20

- インシデントへの対応 - 侵入への対応を振り返る 国内組織Aの場合 もっと早く気付く ことはできなかっ たのか 8ヶ月前に他の組織との間で情報共有ができて いれば侵入され続けることはなかった 情報集約と情報共有の取組み 最初の処置で他のバックドアを駆除できていれ ば3日後以降に再侵入されることはなかった ネットワークやシステムの構成把握 被害は何だったのか 攻撃者の狙いは ユーザや端末の情報以外にもデータを持ち出さ れた可能性はあるが内容は特定できていない 情報資産の把握 保護 攻撃は繰り返され インシデントは再発す る と考えるべき 脅威との共存を意識した環境作り 21 再侵入を防ぐことは できなかったのか 終息宣言は

- インシデントへの対応 - 各組織における対策 管理 中継 サーバ 攻撃中継 サーバ (C&Cサーバ) (メール, ウェブ等) 入口 出口対策 ユーザのリテラシ向上 組織内CSIRT サーバ 端末における基本対策と証跡保管 堅牢なシステム構成と安全な運用 対象組織のネットワーク 22

情報連携のススメ 目的をもった攻撃 を意識する 様々な手段を用いて達成しようとする 複数の攻撃先 繰り返される攻撃 最前線は内部ネットワーク 見えていないもの に気付くための手段を確保する 各組織においてデータを保全する 他組織との間でデータを突合させる 23

お問い合わせ インシデント対応のご依頼は Email office@jpcert.or.jp Tel 03-3518-4600 Web: https://www.jpcert.or.jp/ インシデント報告 Email info@jpcert.or.jp Web: https://www.jpcert.or.jp/form/ ご清聴ありがとうございました 24