インターネット治安情勢 ~ インターネット観測結果から 警察庁情報通信局情報技術解析課サイバーテロ対策技術室牧野浩之 講演内容 情報セキュリティマネジメントシステム インターネット観測結果 事例紹介 対策
情報セキュリティマネジメントシステム情報セキュリティマネジメントシステム 情報セキュリティを維持するために方針を確立し その目的を達成するシステム ( しくみ ) 利害関係者利害関係者利害関係者利害関係者利害関係者利害関係者利害関係者利害関係者情報情報情報情報セキュリティセキュリティセキュリティセキュリティ要求事項要求事項要求事項要求事項及び期待期待期待期待運営管理運営管理運営管理運営管理されたされたされたされた情報情報情報情報セキュリティセキュリティセキュリティセキュリティ Plan Plan Plan Plan ISMS の確立 Do Do Do Do ISMS の導入及び運用 Act Act Act Act ISMS の維持及び改善 Check Check Check Check ISMS の監視及び見直し ISMS ISMS ISMS ISMS の運用運用運用運用サイクルサイクルサイクルサイクル顧客顧客顧客顧客や利用者利用者利用者利用者の気持気持気持気持ち顧客顧客顧客顧客や利用者利用者利用者利用者に応えるえるえるえる
情報セキュリティ 資産 対策 脆弱性 脅威の関係 脅威 脅威 物理的対策 脆弱性 資産 可用性 完全性 機密性 技術的対策 脆弱性 人 ( 管理 ) 的対策 脅威の分類例 人的脅威意図的脅威 (Deliberate) DoS 攻撃 なりすまし 改ざん 侵入 盗難 偶発的脅威 (Accidental) 停電 断水 人的リソース ( スタッフ ) 不足 環境的脅威環境的脅威 (Environmental) 落雷 地震 台風
脅威の分類例 人的脅威意図的脅威 (Deliberate) DoS 攻撃 なりすまし 改ざん 侵入 盗難 偶発的脅威 (Accidental) 停電 断水 人的リソース ( スタッフ ) 不足 環境的脅威環境的脅威 (Environmental) 落雷 地震 台風 H22 年インターネット観測結果
検知ネットワークシステム 全国の警察施設にセンサーを設置 無差別に行われる攻撃の予兆等を定点観測により把握 サイバーフォースセンター センサーに対するアクセス H22 年は 1 日に 1IP アドレス当たり 316.3 件のアクセスを観測 (4 分 34 秒に 1 回 ) ( 件 / 日 IP) 500 438.4 400 300 361.8 310.5 339.0 316.3 200 100 0 H18 H19 H20 H21 H22 ( 年 )
宛先ポート別検知件数上位 ウイルスや悪意のあるツールによるものと思われるアクセスが上位を占める 順位 ポート 件数 (1 日 1IP 当たり ) 備考 1 位 445/TCP 152.8 件 Windows 共有ネットワーク (RPC) 等 2 位 1433/TCP 20.9 件 Microsoft SQL Server 等 3 位 135/TCP 19.8 件 Windows 共有ネットワーク (RPC) 等 4 位 8/ICMP 19.6 件 Ping 等 5 位 22/TCP 10.9 件 SSHサービス等 その他 92.3 件 国別検知件数上位 Conficker ワームによるものと思われるアクセスが多くの国で活発 順位 国 地域 件数 (1 日 1IP 当たり ) 備考 1 位 中国 64.1 件 攻撃ツールによるスキャン行為 2 位 日本 52.3 件 Confickerワーム 3 位 米国 29.7 件 BitTorrent 探索 4 位 ロシア 16.6 件 5 位 台湾 16.5 件 オープンリレーメールサーバ探索 その他 137.1 件
シグネチャを用いた不正侵入等の検知 VoIP/SIP 機器の探索と考えられる通信が増加 スキャンやワームによるものと思われる活動も活発 ( 件 / 日 IP) 20 16 12 8 4 11.5 10.8 旧システムによる観測 9.3 9.3 新システムによる観測 16.4 14.1 0 H18 H19 H20 H21(1~2 月 ) H21(3~12 月 ) H22 Worm Scan Scan(P2P) UDP spam VoIP DNS その他 ( 年 ) DoS 攻撃 単一または多数のコンピュータから攻撃対象のコンピュータのサービスを妨害する目的で不正なパケットを送りつける攻撃 攻撃者 送信元 IP アドレス詐称パケット センサ 詐称された IP アドレスと同一アドレスのセンサ (CFC では 跳ね返りパケット と呼んでいる ) 攻撃されたサーバ
DoS 攻撃被害状況 発信ポート 80/TCP からの跳ね返りパケットの観測から Web サーバへの攻撃状況を把握 ( 個 / 日 ) 200 150 100 50 0 1 月 1 日 1 月 15 日 1 月 29 日 2 月 12 日 2 月 26 日 3 月 12 日 3 月 26 日 4 月 9 日 4 月 23 日 5 月 7 日 5 月 21 日 6 月 4 日 6 月 18 日 7 月 2 日 7 月 16 日 7 月 30 日 8 月 13 日 8 月 27 日 9 月 10 日 9 月 24 日 10 月 8 日 10 月 22 日 11 月 5 日 11 月 19 日 12 月 3 日 12 月 17 日 12 月 31 日 米国中国トルコドイツ韓国その他 不明 日本国内の DoS 攻撃被害状況 日本国内からのパケット検知件数は 1 日当たり 12.2 件 (1.5IP アドレス ) 1.4% 1.7% 0.8% 9.3% 10.4% 76.4% 80/TCP 11/ICMP 6667/TCP 3/ICMP 5654/TCP その他
事例紹介 参考事例の詳細や個々の対策等については 情報技術解析平成 22 年報 ~ 平成 22 年中のインターネットインターネット観測結果等 ~ で公開しています 上記報告書は 警察庁セキュリティポータルサイト @Police (URL http://www.npa.go.jp/cyberpolice/index.html ) のインターネット治安情勢のページまたは以下の URL から直接ダウンロードできます http://www.npa.go.jp/cyberpolice/detect/pdf/h22_nenpo.pdf DoS 攻撃
DoS 攻撃事例 1 H22 年 9 月日本政府機関 日本の政府機関等に対するサイバー攻撃予告複数の日本政府機関等のウェブサイトへのアクセスが集中 ( 件 / 時間 ) 14 12 10 8 6 4 2 0 9 月 16 日 12 時 9 月 16 日 15 時 9 月 16 日 18 時 9 月 16 日 21 時 9 月 17 日 00 時 9 月 17 日 03 時 9 月 17 日 06 時 9 月 17 日 09 時 9 月 17 日 12 時 9 月 17 日 15 時 9 月 17 日 18 時 9 月 17 日 21 時 9 月 18 日 00 時 9 月 18 日 03 時 9 月 18 日 06 時 9 月 18 日 09 時 9 月 18 日 12 時 9 月 18 日 15 時 9 月 18 日 18 時 9 月 18 日 21 時 9 月 19 日 00 時 9 月 19 日 03 時 9 月 19 日 06 時 9 月 19 日 09 時 観測されたされた攻撃予告前後攻撃予告前後の DoS 攻撃跳ね返りパケット DoS 攻撃事例 2 H22 年 12 月内部告発サイト WikiLeaks WikiLeaks の支持グループと支持しないグループとの間で 相互に DoS 攻撃が行われたとの報道 ( 件 / 日 ) 20 16 12 8 4 0 11 月 16 日 11 月 19 日 11 月 22 日 11 月 25 日 11 月 28 日 12 月 1 日 12 月 4 日 12 月 7 日 12 月 10 日 12 月 13 日 WikiLeaks 取引停止サイト A 取引停止サイト B 観測された WikiLeaks 関連サイトサイトの DoS 攻撃跳ね返りパケット
不正プログラム Stuxnet 不正プログラム Stuxnet 標的は Windows で動作するドイツのシーメンス社製の監視制御ソフト 外部記録媒体を経由してコンピュータに感染しネットワーク経由で他のコンピュータに感染感染したコンピュータのシーメンス社製の監視制御ソフトを書き換え 制御装置に不正な命令を指示 制御システムの正しい動作を妨害 動作を妨害 不正な命令 異常動作 Stuxnet に感染したコンピュータ 制御装置 基幹システム
SIP サーバへの不正接続 SIP サーバへの不正接続 H22 年 7 月に 5060/UDP に対するアクセスの急激な増加を検知 5060/UDP は IP 電話機等の VoIP/SIP 機器の通信プロトコルである SIP(Session Initiation Protocol) で利用インターネット上にある SIP サーバの探索を目的としたもの と思われる ( 件 / 日 IP) 14 12 10 8 6 4 2 0 1 月 1 日 1 月 15 日 1 月 29 日 2 月 12 日 2 月 26 日 3 月 12 日 3 月 26 日 4 月 9 日 4 月 23 日 5 月 7 日 5 月 21 日 6 月 4 日 6 月 18 日 7 月 2 日 7 月 16 日 7 月 30 日 8 月 13 日 8 月 27 日 9 月 10 日 9 月 24 日 10 月 8 日 10 月 22 日 11 月 5 日 11 月 19 日 12 月 3 日 12 月 17 日 12 月 31 日 中国米国その他 不明 5060/UDP に対するアクセスの検知件数
SIP サーバの調査ツール 5060/UDP の通信内容の特徴から 複数のグループに分類 グループの一つは インターネット上で配布されている SIP サーバを調査するツールと特徴が一致 SIP サーバ調査ツールの機能 指定した範囲内の IP アドレスに対する SIP サーバの有無の調査対象の SIP サーバに対し 指定した範囲のユーザ名の有効 / 無効の調査対象の SIP サーバ ユーザ名に対し パスワードの総当たり攻撃及び辞書攻撃によるパスワードの調査 標的型メール攻撃
標的型メール攻撃 標的型メール攻撃とは 特定の組織や個人に標的を絞って 電子メールを送信する手法による攻撃 メールに不正なプログラムを添付 不正プログラムを感染させるような悪意のあるサイトへ誘導するリンクが記載されている等 スピア ( 槍 ) のように 標的を絞って攻撃することから スピアメール攻撃 とも呼ばれている 標的型メール攻撃の目的 目的は 政府関係者や企業関係者のコンピュータに不正プログラムを感染させて 政府機関や企業の機密情報 個人情報等を盗み出すことであると考えられる 攻撃者 件名 : 会議資料 XXX 様 です 来月の会議資料を添付いたします 確認よろしくお願いします 会場の場所は以下の URL で確認願います http://xxx.xxxx.com/xxx.pdf 部 電話番号 XXXX-XXXX 添付資料 : 会議資料.exe 受信者 ( 被害者 ) 悪意のあるサイトに誘導する URL 実体は不正プログラム
標的型メール攻撃の手口 受信者の業務に関連する情報や関心を示すような政治的なニュースや国際的なニュース等がタイトルに用いられる ( 東日本大震災 ~ 福島原発 ~ 等 ) メールの本文に 添付ファイルを確認してください のように 受信者に添付ファイルを開かせ 不正プログラムを実行させるように仕向けた手法が多く用いられている 実行ファイルや PDF ファイルが多く その他にも様々なファイル形式が用いられている ゼロデイ攻撃を用いたものがありこれらは ウイルス対策ソフトで検知されない 標的型メール攻撃の関連技術 1 ファイル種別の偽装添付ファイルのアイコンや拡張子を Word ファイルや PDF ファイルに偽装
標的型メール攻撃の関連技術 2 RLO(Right-to-Left Override) 文章を右読みから左読みに変える機能を利用しファイル名 fdp.exe を exe.pdf と表示させ実行ファイルを PDF ファイルのように偽装 ファイル名の途中からも可能 ancod. exe を anexe.doc と表示ファイルのプロパティ表示に矛盾 標的型メール攻撃の関連技術 3 代替データストリーム (ADS:Alternate Data Streams) 一つのファイルやフォルダが複数のストリームを持つことができる Windows の機能の一つ 代替データストリームを使用したファイルやフォルダは Windows のバージョンによってはエクスプローラやタスクマネージャに表示されず 発見や駆除が非常に困難
代替データストリーム ADS:Alternate Data Streams NTFS の機能の一つ ファイルやフォルダにテキストやバイナリデータをストリームとして個別に保存できる機能 ファイル名 : データストリーム名 で記述 ファイル / フォルダ 表示される データストリーム 1 データストリーム 2 表示されず 代替データストリーム (ADS ) Windows のエクスプローラでは表示されない Vista 以降 dir/r コマンドコマンド オプションまたは専用専用ツールツールで表示可能 e:>dir /r adstest.txt ドライブ E のボリュームラベルは OS_TOOLS ですボリュームシリアル番号は 4A23-43BA です E: のディレクトリ 2010/11/15 13:41 426 ADSTest.txt 16 ADSTest.txt:stream1.txt:$DATA 17 ADSTest.txt:stream2.txt:$DATA 1 個のファイル 426 バイト 0 個のディレクトリ 1,428,496,384 バイトの空き領域 ファイル ADS ADS
標的型メール攻撃の関連技術 4 ヒープスプレー (heap spray) Windows が持っている不正プログラムの実行防止機能を回避し 攻撃成功率を高めるための手法 ヒープと呼ばれるメモリ領域に対して不正なプログラムをスプレーで塗りつぶすように大量に書き込み不正プログラムが実行される可能性を高めるもの セキュリティ更新プログラム公開
セキュリティ更新プログラム公開 セキュリティ更新プログラム公開直後から悪意のある活動が発生 対策
悪意のある攻撃に対する配意 扱っている情報 ( 資産 ) の価値の認識 インターネット上の脅威の認識 被害発生防止対策に加えて 被害拡大防止対策の実施 たとえクラウドが対象となっても基本的な防御姿勢は変わらない 被害拡大防止対策 被害発生防止対策に加えて 被害拡大防止対策の実施被害発生の原因やメカニズムの分析結果が広く知られるにつれ 被害発生を完全に押さえることは不可能ということが認識されてきた 被害が発生したときにその被害規模や深刻度があまりに大きいものが多くみられた リスク管理の問題として捉えられるようになってきている 最近では 事業継続性についても考慮されるようになっている
最低限実施すべき対策 OS やアプリケーションの更新プログラムの適切な適用 ウイルス対策ソフトやファイアウォールソフト等の適切な運用 メールに添付されたファイルや メール中のリンク先を不用意に閲覧しない コンピュータの利用状況によって有効な対策 パソコンやユーザ アカウント等の使い分け 使用していないパソコン等のシャットダウン 不要な機能を導入しない 又は使用不可にする パスワード等の秘密データを安易にパソコン等へ保存しない セキュリティ更新プログラムが提供されなくなったソフトウェアの適切な更新
企業等の情報セキュリティ担当者が考慮すべき対策例 パソコン ウェブサーバ等の機器の適正な設定 データベースを運用している場合は 外部からのデータベースへの不正な命令を遮断するといった データベースを不正に操作されないような対策についての検証 ログ等の定期的な確認による 異常の早期発見と必要な措置 対策の実施前に不具合の発生等を検証するため 各種ソフトウェアやコンピュータ機器の販売元等から提供されているセキュリティ情報の確認やシステムの不具合等が発生しないことを確認する等配意が必要 おわり 警察庁情報通信局情報技術解析課サイバーテロ対策技術室牧野浩之