TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

最近話題になったこと 三井住友銀行 重要 不正にポップアップ画面を表示させてインタ - ネットバンキング (SMBC ダイレクト ) の情報を盗み取ろうとする犯罪にご注意ください http://www.smbc.co.jp/security/popup.html 三菱東京 UFJ 銀行ウィルス感染等によるインターネットバンキングの犯罪にご注意ください ( 平成 24 年 10 月 26 日 ) http://www.bk.mufg.jp/info/phishing/ransuu.html ゆうちょ銀行 重要 不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪にご注意ください http://www.jp-bank.japanpost.jp/direct/pc/drnews/2012/drnews_id000041.html 1

JPCERT/CC をご存知ですか? 2

- JPCERT/CC をご存知ですか? - JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応などを通じ セキュリティ向上を推進インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 我が国の窓口となるCSIRT CSIRT: Computer Security Incident Response Team 各国に同様の窓口となる CSIRT が存在する ( 米国の US-CERT CERT/CC 中国の CNCERT, 韓国の KrCERT/CC 等 ) 経済産業省からの委託事業として 情報セキュリティ対策推進事業 ( 不正アクセス行為等対策業務 ) を実施 3

- JPCERT/CC をご存知ですか? - JPCERT/CC の活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し 対応依頼 関係機関と連携し 国際的に情報公開日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適切な流通 3 0 2 5 2 0 1 5 1 0 5 情報収集 分析 発信 定点観測 (ISDAS/TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集 分析 必要とする組織への提供 全センサーのポートスキャン合計ポートスキャンの上位 5 位を表示ポートスキャンの平均値 = ( 単位 : 時間 ) センサー合計 (ICM Pは常に表示 otherはその他合計 ) ICM P TCP 135 TCP 445 UDP 137 TCP 139 TCP 1025 oth er インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確認 拡散抑止 再発防止に向けた関係各関の情報交換及び情報共有 0 1 2 /9 1 2 /1 0 1 2 /1 1 1 2 /1 2 1 2 /1 3 1 2 /1 4 Da ta 早期警戒情報重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信 CSIRT 構築支援海外の National-CSIRT や企業内のセキュリティ対応組織の構築 運用支援 アーティファクト分析マルウエア ( 不正プログラム ) 等の攻撃手法の分析 解析 国際連携各種業務を円滑に行うための海外関係機関との連携 4

- JPCERT/CC をご存知ですか? - 近年の取り組み 2010 年度 ステルス化する脅威等新たな情報セキュリティ上の課題に関する調査研究 ( 経済産業省 JPCERT/CC) 2011 年度 サイバーセキュリティと経済研究会中間とりまとめ ( 経済産業省 ) 2012 年度 オペレーション化に向けた活動の実施 ( 経済産業省 JPCERT/CC) 標的型攻撃 制御システム モバイル端末 標的型サイバー攻撃への対応 制御システムの安全性確保 情報セキュリティ人材の育成 サイバー攻撃に対する連携体制 制御システムセキュリティにおけるインシデント対応と脆弱性関連情報ハンドリング 参照 http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/report01.html 5

最近の動向 6

- 最近の動向 - JPCERT/CC 活動概要 [2012 年 7 月 1 日 ~2012 年 9 月 30 日 ] 活動概要トピックス 1. いわゆる攻撃の特異日前後に発生するサイバー攻撃への対応 2. 増加する Android 関連の脆弱性情報の報告と製品開発者による積極的な対応等 3. 制御システム セキュリティ対応に向け体制整備から業務拡充へ 報告されたインシデントの傾向 Web サイト改ざん JavaScriptファイルへの改ざん Javaの脆弱性の悪用 フィッシングサイト金融機関を装ったサイトが多い (6 割 ) 国内通信事業者を装ったサイトが目立つ (1 割 ) 参照 https://www.jpcert.or.jp/pr/2012/pr20121010.pdf https://www.jpcert.or.jp/pr/2012/ir_report20121010.pdf 7

- 最近の動向 - スマートフォン関連製品の脆弱性対策情報 JVN で公表した脆弱性 [2012 年 7 月 1 日 ~2012 年 9 月 30 日 ] Sleipnir Mobile for Android において任意のスクリプトが実行される脆弱性 Sleipnir Mobile for Android において任意のJavaのメソッドが実行される脆弱性 Sleipnir Mobile for Android におけるWebViewクラスに関する脆弱性 サイボウズLive for Android において任意のJavaのメソッドが実行される脆弱性 サイボウズKUNAI for Android において任意のJavaのメソッドが実行される脆弱性 サイボウズLive for Android におけるWebViewクラスに関する脆弱性 サイボウズKUNAI for Android におけるWebViewクラスに関する脆弱性 KUNAI Browser for Remote Service β におけるWebViewクラスに関する脆弱性 Android 版 嫁コレ における端末識別番号の管理不備の脆弱性 Yahoo! ブラウザー におけるWebViewクラスに関する脆弱性 Android 版 LINE における暗黙的 Intentの扱いに関する脆弱性 100% 複数のGREE 製 AndroidアプリにおけるWebViewクラスに関する脆弱性 Android 版 mixi における情報管理不備の脆弱性 80% ATOK for Android における学習情報ファイルのアクセス権限に関する問題 Android 版 jigbrowser+ におけるWebViewクラスに関する脆弱性 15 件中 5 件は自社製品の届出 6% 12% 15% 8 60% 40% 20% 0% その他 2011 2012 スマートフォン関連製品 公表した脆弱性対策情報におけるスマートフォン関連製品の割合 54% 4Q 1Q 2Q 3Q 参照 https://www.jpcert.or.jp/press/2012/vuln2012q3.pdf

- 最近の動向 制御システム セキュリティに向けた体制整備 制御システムセキュリティ検討タスクフォース報告書中間とりまとめ http://www.meti.go.jp/committee/kenkyukai/shoujo/controlsystem_security/report01.html 海外関連組織 (ICS-CERT 等 ) システムセキュリティ検証 高セキュア化構成 技術の確立 セキュリティ国際規格 国際規格準拠認証 インシデントサポート 人材育成 普及啓発 http://css-center.or.jp/ http://www.us-cert.gov/control_systems/ インシデント対応 脆弱性関連情報ハンドリング https://www.jpcert.or.jp/ics/ 9

制御システム セキュリティ 10

- 制御システム セキュリティ ここでの 制御システム とは 他の機器やシステムを管理し制御するためのシステム ICS: Industrial Control System( 産業制御システム ) 重要社会インフラ サービス 電力やガス 上下水道関連の製造と配送 交通運輸 環境監視 生産設備 基本構成 工場の生産施設 ビル環境管理 HMI: Human Machine Interface 制御用コンピュータ コントローラ (PLC 等 ) PLC: Programmable Logic Controller センサー アクチュエータ 次の用語も広義には同義的に使われることがある Automation System( 自動システム ) Process Control System( プロセス制御システム ) SCADA Supervisory Control and Data Acquisition DCS Distributed Control System HMI 制御用コンピュータ コントローラ (PLC 等 ) センサー アクチュエータ 汎用ネットワーク 制御用ネットワーク フィールドネットワーク 11

- 制御システム セキュリティ 情報システムと制御システム 情報システム C: 機密性 I: 完全性 A: 可用性 制御システム A: 可用性 I: 完全性 C: 機密性 ウイルス対策一般的 / 広く利用されている実装が難しい可能性がある ライフサイクル 3 年 ~5 年 20 年以上 外部委託一般的 / 広く利用されているあまりない ( ベンダのみ ) セキュリティパッチ適用定期的に適用 なし もしくは 不定期 ( ベンダ依存 十分な検証必要 ) サイバーセキュリティの啓発 適切に啓発されている 制御システムの内部組織ではあまり啓発されていない 物理セキュリティおおむね良好素晴らしい状況 12

- 制御システム セキュリティ 制御システムに関連する脆弱性の数 450 400 単年 累計 427 350 300 250 Stuxnet 以降の急激な増加 259 200 150 Stuxnet 発見 166 168 100 50 0 8 0 2 0 3 3 12 22 13 8 8 10 10 13 16 28 63 50 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 OSVDB(The Open Source Vulnerability Database http://osvdb.org/) 調べ 30 93 13

- 制御システム セキュリティ Basecamp プロジェクト DigitalBond 社の Reid Wightman 氏が主謀 2012 年 1 月 19 日 S4 で 6 製品の PLC に関する脆弱性情報を発表 http://www.digitalbond.com/blog/2012/01/19/project-basecamp-at-s4/ S4: SCADA Security Scientific Symposium バックドア 認証不備 パスワード強度 CSRF バッファオーバーフロー PoC も公開 関連情報 ICS-ALERT-12-020-01 S4 DISCLOSURE OF MULTIPLE PLC VULNERABILITIES IN MAJOR ICS VENDORS http://www.us-cert.gov/control_systems/pdf/ ICS-ALERT-12-020-01.pdf 制御機器の脆弱性に関する注意喚起 ~ 制御システムへの攻撃ルートの分析とセキュリティ対策の検討を!~ http://www.ipa.go.jp/about/press/20120229.html 14

情報システム セキュリティ 15

- 情報システム セキュリティ 金融機関の顧客を狙う攻撃 金融機関を騙るフィッシングや第二認証情報を詐取するマルウエア 主に金融サービス関連情報の窃取を目的としているとされる攻撃ツール 銀行 ご契約番号 ログインパスワード入力ご契約番号暗証カードの裏面に記載のご契約番号をご入力ください ハイフン (-) の入力は不要です ログインパスワード いくつかの設定を行い ボタンを押すだけの簡単なツール 確認番号入力暗証カードを参照して 下表の全部に該当する数字をご入力ください 1 2 3 4 5 アイウエオ 12 34 11 12 16 17 21 22 36 27 56 78 13 14 18 19 23 24 28 29 以上の内容でよろしければ ご送信ください 90 15 20 25 30 送信 記入例 ア イ ウ エ オ 1 12 34 56 78 90 2 11 12 13 14 15 3 16 17 18 19 20 4 21 22 23 24 25 5 36 27 28 29 30 ZeuS の価格 作成キット付き : $1,000 ボットのみ : $600 情報窃取機能 : $2500 SpyEye の価格 通常版 : $1,000 機能追加 : $333 16

- 情報システム セキュリティ 標的型攻撃 ソーシャルエンジニアリング的手法 特定の組織や個人を対象とした攻撃 かなり 鋭利 なソーシャルエンジニアリング 対象にとって価値のある情報を添える 鋭利さ故に攻撃を受けた事実を外部に提供し難い 特定の事柄に関心を持つ人を対象とした攻撃 比較的 広角 なソーシャルエンジニアリング マルウエアの特徴 未修正の脆弱性が積極的に悪用される 修正アップデートが提供されている脆弱性も悪用される ソフトウエア等の脆弱性を悪用するとは限らない アイコン偽装やファイル名 ( 拡張子 ) 偽装等で実行ファイルを開かせる インストールされるマルウエアの傾向 情報収集を基本機能として有する MAC アドレスやコンピュータ名等を識別 ID 代わりに使う バックドア型のマルウエア (RAT) がインストールされる 外形的には使い捨てだが 中は同種ツールの使いまわし 標的型攻撃 準標的型攻撃 (semi targeted) 標的攻撃 標的型攻撃 17

- 情報システム セキュリティ RAT(Remote Access Trojan/Administration Tool) PC の遠隔操作を可能にするツール GUI によりマルウエアの作成やクライアントの管理が可能 感染 というよりも 侵入 主な機能 プロセス情報の取得 特定プロセスの停止 マシンのシャットダウン 任意のプログラムの実行 スクリーンショットの取得 Web カメラの操作 音声の録音 キーロガー リモートからのデスクトップ操作 特定のウイルス対策ソフトのバイパス コンピュータの前に座って操作しているかのように 18

最後に 19

意識すべきことは? セキュリティに対する認識 は多様 モバイル 制御システム 情報システム 攻撃の目的 手段も多様 20

情報連携に向けた取り組み ( 情報システム セキュリティにおける例 ) 2011 年 : 対策のための共有 ISOG-J 標的型攻撃対策検討 WG 警察庁サイバーインテリジェンス情報共有ネットワーク (CCI) 経済産業省サイバー情報共有イニシアティブ (J-CSIP) 2012 年 : 対策手段の拡充 警察庁サイバーインテリジェンス対策のための不正通信防止協議会 総務省 経済産業省サイバー攻撃解析協議会 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000021.html http://www.meti.go.jp/press/2012/07/20120711002/20120711002.html 総務省 経済産業省 独立行政法人情報通信研究機構 (NICT) 独立行政法人情報処理推進機構 (IPA) テレコム アイザック推進会議 一般社団法人 JPCERT コーディネーションセンター 内閣官房情報セキュリティセンター ( オブザーバー ) 21

お問い合わせ インシデント対応のご依頼は Email:office@jpcert.or.jp Tel:03-3518-4600 Web: https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp Web: https://www.jpcert.or.jp/form/ ご清聴ありがとうございました 22