JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

Similar documents
JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

インシデントハンドリング業務報告書

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

Zone Poisoning

SQLインジェクション・ワームに関する現状と推奨する対策案

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

Microsoft PowerPoint - APC pptx

マルウェアレポート 2018年2月度版

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

マルウェアレポート 2018年3月度版

金融工学ガイダンス

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

マルウェアレポート 2017年12月度版

マルウェアレポート 2018年1月度版

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

PowerPoint プレゼンテーション

1.indd

PowerPoint プレゼンテーション

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

SHODANを悪用した攻撃に備えて-制御システム編-

Microsoft Word - gred_report_vol25_110830_final.docx

ACTIVEプロジェクトの取り組み

マルウェアレポート 2017年9月度版

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

ログを活用したActive Directoryに対する攻撃の検知と対策

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

金融工学ガイダンス

Microsoft Word Aプレスリリース案_METI修正_.doc

SiteLock操作マニュアル

金融工学ガイダンス

Microsoft Word - gred_security_report_vol17.final

新環境への移行手順書

金融工学ガイダンス

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

マイナンバー対策マニュアル(技術的安全管理措置)

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Microsoft PowerPoint - [印刷用] _r1.1.pptx

これだけは知ってほしいVoIPセキュリティの基礎

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

金融工学ガイダンス

OP2

Microsoft Word - sp224_2d.doc

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

日本の上位 50 サイトのウェブセキュリティレポート (Q2 2016) 本レポートでは ウェブ閲覧リサーチ会社 Alexaにて報告された日本のユーザーから 2016 年 5 月 5 日時点の閲覧されたウェブ

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

マルウェアレポート 2018年4月度版

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

サービス内容 サービス内容 アルファメールプレミアのサービス内容についてご案内します このたびは アルファメールプレミアをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプレミアをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によ

アルファメールプレミア 移行設定の手引き

Template Word Document

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

Microsoft PowerPoint ラック 村上様.ppt

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

フィッシング対策協議会(じ)

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

<4D F736F F D B382C892CA904D91CE8DF48B40945C82C58C9F926D82B382EA82E992CA904D93E C982C282A282C42E646F63>

FutureWeb3サーバー移管マニュアル

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

正誤表(FPT0417)

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

【EW】かんたんスタートマニュアル

metis ami サービス仕様書

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

アルファメール 移行設定の手引き Outlook2016

PowerPoint プレゼンテーション

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

2 目次 1 はじめに 2 システム 3 ユーザインタフェース 4 評価 5 まとめと課題 参考文献

目次 はじめに サービス内容 管理者機能 利用者機能

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

なぜIDSIPSは必要なのか?(v1.1).ppt

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

マイフォルダへのアクセス マイフォルダ をクリックすると マイフォルダの一覧画面へ遷移します 利用の手引き ver.5 フォルダの作成 新規フォルダ をクリックして フォルダ名を入力し 作成 ボタンをクリックする ファイルのアップロード ファイルをアップロードしたいフォルダをクリックして開き アップ

目次事前準備 コントロールパネルのアクセス方法と概要 ログイン 初回設定 コントロールパネルメニュー コントロールパネルの概要 ダッシュボード ユーザー画面 設

フォルダの作成 使用率 (%) が表示されます 新規フォルダの作成をクリック フォルダ名 を入力し 作成 ボタンをクリック ユーザー設定で 使用言語の選択ができます ( 日本語 英語 中国語 ) ファイルのアップロード 1 ファイルをアップロードするフォルダをダブルクリックする このフォルダにアップ

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

目次 1. コンピュータウイルス届出状況 ウイルス届出件数 不正プログラム検出数 ウイルス検出数 検出ウイルスの種類 ウイルス届出者 ウイルスおよび不正プログラムの検出

- 目次 - ページ数 1. お客様管理者用コントロールパネル (SCP) について P.2 2. 管理者用コントロールパネル (SCP) にアクセスする P.3 3. メールマネージャーについて P.5 4. FTP マネージャーについて P サイト統計情報 (Urchin) について

Transcription:

JPCERT-IR-2013-03 発行日 : 2013-10-10 JPCERT/CC インシデント報告対応レポート [2013 年 7 月 1 日 ~ 2013 年 9 月 30 日 ] 1. インシデント報告対応レポートについて 一般社団法人 JPCERT コーディネーションセンター ( 以下 JPCERT/CC といいます ) では 国内外で発生するコンピュータセキュリティインシデント ( 以下 インシデント といいます ) の報告を受け付けています ( 注 1) 本レポートでは 2013 年 7 月 1 日から 2013 年 9 月 30 日までの間に受け付けたインシデント報告の統計及び事例について紹介します 注 1 コンピュータセキュリティインシデント とは 本稿では 情報システムの運用におけるセ キュリティ上の問題として捉えられる事象 コンピュータのセキュリティに関わる事件 できごとの全 般をいいます JPCERT/CC は インターネット利用組織におけるインシデントの認知と対処 インシデントによる被害拡大の抑止に貢献することを目的として活動しています 国際的な調整 支援が必要となるインシデントについては 日本における窓口組織として 国内や国外 ( 海外の CSIRT など ) の関係機関との調整活動を行っています 2. 四半期の統計情報 本四半期のインシデント報告の数 報告されたインシデントの総数 および 報告に対応して JPCERT/CC が行った調整の件数を [ 表 1] に示します [ 表 1 インシデント報告関連件数 ] 前四半期 7 月 8 月 9 月合計合計報告件数 ( 注 2) 4180 2779 3136 10095 9386 インシデント件数 ( 注 3) 3210 2279 2795 8284 9086 調整件数 ( 注 4) 861 805 748 2414 2179 注 2 報告件数 は 報告者から寄せられた Web フォーム メール FAX による報告の総数を示します 注 3 インシデント件数 は 各報告に含まれるインシデント件数の合計を示します 1 つのインシデントに関して複数件の報告が寄せられた場合にも 1 件として扱います 1

注 4 調整件数 とは インシデントの拡大防止のため サイトの管理者などに対し 現状の調査 と問題解決のための対応を依頼した件数を示します 本四半期に寄せられた報告件数は 10095 件でした このうち JPCERT/CC が国内外の関連するサイト との調整を行った件数は 2414 件でした 前四半期と比較して 総報告件数は 8% 増加し 調整件数は 11% 増加しました また 前年同期と比較すると 総報告数で 86% 増加し 調整件数は 115% 増加しました [ 図 1]~[ 図 2] に報告件数および調整件数の過去 1 年間の月別推移を示します [ 図 1 インシデント報告件数の推移 ] 2

[ 図 2 インシデント調整件数の推移 ] JPCERT/CC では 報告を受けたインシデントをカテゴリ別に分類し 各インシデントカテゴリに応じた 調整 対応を実施しています 各インシデントの定義については 6.[ 付録 ] インシデントの分類を参照し てください 本四半期に報告を受けた各カテゴリのインシデント件数を [ 表 3] に示します [ 表 2 カテゴリ別インシデント件数 ] インシデントカテゴリ 7 月 8 月 9 月合計 前四半期合計 フィッシングサイト 127 134 208 469 287 Web サイト改ざん 1106 687 981 2774 1847 マルウエアサイト 43 60 53 156 379 スキャン 1556 720 383 2659 4629 DoS/DDoS 12 0 0 12 71 制御システム 0 0 0 0 1 その他 366 678 1170 2214 1872 本四半期に発生したインシデントにおける各カテゴリの割合は [ 図 4] のとおりです Web サイト改ざん に分類されるインシデントは 33.5% スキャンに分類される システムの弱点を探索するインシデント は 32.1% を占めています また フィッシングサイトに分類されるインシデントは 5.7% でした 3

[ 図 4 インシデントのカテゴリ別割合 ] 4

[ 図 5] から [ 図 8] に フィッシングサイト Web サイト改ざん マルウエアサイト スキャンのインシデ ントの過去 1 年間の月別推移を示します [ 図 5 フィッシングサイト件数推移 ] [ 図 6 Web サイト改ざん件数推移 ] 5

[ 図 7 マルウエアサイト件数推移 ] [ 図 8 スキャン件数推移 ] 6

[ 図 9] にインシデントにおける調整 対応状況の内訳を示します インシデント件数 フィッシングサイト 通知を行ったインシデント 317 件 国内への通知 8284 件 469 件 - サイトの稼働を確認 56 % 報告件数 対応日数 ( 営業日 ) 通知不要 152 件 海外への通知 10095 件 0~3 日 75% - サイトを確認できない 44 % 4~7 日 20% - フィッシングであると断定できない 調整件数 8~10 日 3% 2414 件 11 日以上 2% Web サイト改ざん 通知を行ったインシデント 928 件 国内への通知 2774 件 - サイトの改ざんを確認 93 % - 脅威度が高い 対応日数 ( 営業日 ) 海外への通知 0~3 日 18% 通知不要 1846 件 7 % 4~7 日 41% - サイトを確認できない 8~10 日 23% - 改ざんであると断定できない 11 日以上 18% - 当事者へ連絡が届いている - 情報提供である - 脅威度が低い マルウエアサイト 通知を行ったインシデント 35 件 国内への通知 156 件 - サイトの稼働を確認 71 % - 脅威度が高い 対応日数 ( 営業日 ) 海外への通知 0~3 日 15% 通知不要 121 件 29 % 4~7 日 49% - サイトを確認できない 8~10 日 6% - マルウエアであると断定できない 11 日以上 30% - 当事者へ連絡が届いている - 情報提供である - 脅威度が低い スキャン 通知を行ったインシデント 343 件 国内への通知 2659 件 - 詳細なログがある - 連絡を希望されている 94 % 海外への通知 通知不要 2316 件 6 % - ログに十分な情報がない - 当事者へ連絡が届いている - 情報提供である DoS/DDoS 通知を行ったインシデント 11 件 国内への通知 12 件 - 詳細なログがある - 連絡を希望されている 100 % 海外への通知 通知不要 1 件 0 % - ログに十分な情報がない - 当事者へ連絡が届いている - 情報提供である その他 + 制御システム 通知を行ったインシデント 13 件 国内への通知 2214 件 - 脅威度が高い 54 % - 連絡を希望されている keylogger 海外への通知 4 件 通知不要 2201 件 46 % 制御システム 0 件 - 当事者へ連絡が届いている - 情報提供である - 脅威度が低い [ 図 9 インシデントにおける調整 対応状況 ] 7

3. インシデントの傾向 3.1. フィッシングサイトの傾向 本四半期に報告が寄せられたフィッシングサイトの件数は 469 件で 前四半期の 287 件から 63% 増加し ました また 前年度同期 (273 件 ) との比較では 72% の増加となりました 本四半期のフィッシングサ イトが装ったブランドの国内 国外別の内訳を [ 表 4] 業界割合を [ 図 10] に示します [ 表 3 フィッシングサイトの国内 国外ブランド別の件数 ] フィッシングサイト 7 月 8 月 9 月 合計 ( 割合 ) 国内ブランド 33 41 91 165(35%) 国外ブランド 73 68 78 219(47%) ブランド不明 ( 注 5) 21 25 39 85(18%) 月別合計 127 134 208 469(100%) 注 5 ブランド不明 は 報告されたフィッシングサイトが確認時に停止していたなどの理由によ り ブランドを確認することができなかったサイトの件数を示します [ 図 10 フィッシングサイトのブランド種別割合 ] 8

本四半期は 国内のブランドを装ったフィッシングサイトの件数が 165 件と 前四半期の 72 件から 129% 増加しました 国外ブランドを装ったフィッシングサイトの件数は 219 件と 前四半期の 140 件から 56% 増加しました JPCERT/CC で報告を受領したフィッシングサイト全体では 金融機関のサイトを装ったものが 53.1% オンラインゲームサービスを装ったものが 22.9% を占めています 装われた国内ブランドの中ではオン ラインゲームサービスが また海外ブランドの中では金融機関が それぞれ最も多数を占めました 前四半期に引き続き 国内ゲーム会社のオンラインサービスを装ったフィッシングサイトの報告を多数受領しています フィッシングサイトのドメイン名には 7 月から 8 月はブランド名を装った文字列やアルファベット 4 文字に.asia.pw.cc などのトップレベルドメインを組み合わせたものが多く使用され 9 月はアルファベット 1 文字か同じ文字 2 文字の後が kiki.com となっているものが多く使用されていました 国内ゲーム会社を装ったフィッシングサイトの中には 国内通信事業者が動的に割り当てる IP アドレスを持ち しかも IP アドレスを付与した通信事業者が複数あって時間とともに移動したものがありました また このような IP アドレスを持つ国内ゲーム会社を装ったフィッシングサイトと同じ IP アドレスで 海外のオンラインゲームサービスを装ったフィッシングサイトが存在していることも確認しています フィッシングサイトの調整先の割合は 国内が 56% 国外が 44% であり 前四半期 ( 国内 54% 国外 46%) と比較して 国内への調整の割合が増えました 3.2. Web サイト改ざんの傾向 本四半期に報告が寄せられた Web サイト改ざんの件数は 2774 件でした 前四半期の 1847 件から 50% 増加しています 前四半期に引き続き 不審な iframe や難読化された JavaScript がページに挿入された Web サイトに関する報告が非常に多く寄せられています 改ざんされた Web サイトにアクセスすると 他の URL に誘導され 誘導先の php スクリプトによって さらに複数のアプリケーションの脆弱性を使用した攻撃を行うサイトに誘導されることを確認しています 脆弱性が存在する古いバージョンの OS やアプリケーションがインストールされた PC が攻撃されると マルウエアに感染して PC に保存された様々な認証情報を窃取されたり 他のマルウエアをダウンロードされたりする可能性があります 改ざんの被害を受けた Web サイトの管理者から 不明な第三者による ftp の認証が記録されていたとの情報を複数いただいており 改ざんを許した一因として Web サイトの管理に使用する PC が ftp などの認証情報を窃取するマルウエアに感染していたか ftp のパスワードが容易に推測できるものであったなどの問題点が考えられます また 9 月中旬には Web サイトに侵入したことを誇示することを目的とした 海外のハッカーグルー プによる改ざんの報告も多く寄せられました 9

3.3. その他のインシデントの傾向 本四半期に報告が寄せられたマルウエアサイトの件数は 156 件でした 前四半期の 379 件から 59% 減 少しています 本四半期に報告が寄せられたスキャンの件数は 2659 件でした 前四半期の 4629 件から 43% 減少しています スキャンの対象となったポートの内訳を [ 表 5] に示します 頻繁にスキャンの対象となったポートは http(80/tcp) smtp(25/tcp) ssh(22/tcp) でした 前四半期の 6 月には WordPress のログイン画面に対するブルートフォース攻撃の報告が多数寄せられましたが 本四半期には同様の攻撃に関する報告の数が減少する傾向が見られました [ 表 4 ポート別のスキャン件数 ] ポート 7 月 8 月 9 月合計 80/tcp 1339 531 192 2062 25/tcp 169 158 170 497 22/tcp 26 34 28 88 3389/tcp 9 10 5 24 1433/tcp 4 5 3 12 5900/tcp 4 4 3 11 21/tcp 5 1 4 10 udp 4 1 1 6 445/tcp 4 0 1 5 143/tcp 3 0 1 4 23/tcp 2 1 1 4 8443/tcp 1 1 1 3 3306/tcp 0 0 2 2 icmp 1 0 0 1 135/tcp 0 1 0 1 443/tcp 0 0 1 1 4899/tcp 0 1 0 1 5901/tcp 0 0 1 1 65500/tcp 0 1 0 1 7822/tcp 1 0 0 1 8080/tcp 1 0 0 1 8880/tcp 0 0 1 1 不明 0 3 3 6 月別合計 1573 752 418 2743 10

4. インシデント対応事例 本四半期に行った対応の例を紹介します 金融系マルウエアが通信を行う国内サーバに関する対応 2013 年 7 月はじめ Citadel とよばれる金融系マルウエアの通信先となっている日本国内のサーバに関する報告が寄せられました マルウエアは 侵入されたと見られる Web サーバ上の php スクリプトに対してリクエストを送信していました Web サーバの管理者に連絡したところ 攻撃者によりサーバ上に設置されていた複数のファイルをご提供いただくことができました 設置されていたファイルには マルウエアに感染したホストからのリクエストを受け取る php スクリプトのファイル 暗号化されているリクエストを復号する鍵などの情報を含む設定ファイル リクエストに対して返されるバイナリのデータなどがありました php スクリプトは リクエストのサイズなどをチェックして マルウエアからの通信である場合には暗号化されているリクエストを復号した後にデータを返し マルウエアからの通信でなかった場合には 404 Not found と表示する仕組みになっていました 海外鉄道会社への DDoS 攻撃に使用された国内オープンリゾルバに関する対応 2013 年 7 月末 海外のセキュリティ組織から 日本国内の複数の DNS サーバを悪用した DNS アンプ攻撃を鉄道会社が受けているという報告を受領しました 報告で指摘された DNS サーバを調査したところ 外部からの再帰問合せに対して返答するいわゆる オープンリゾルバ になっており JPCERT/CC は DNS サーバを管理する組織に対応を依頼し 多くのサーバで外部からの問合せを受け付けないようにする対策が行われたことを確認しました Web 広告の改ざんによるマルウエア配布に関する対応 2013 年 8 月 国内サイトに掲載されている Web 広告のソースコードに 不正なスクリプトが埋め込まれているという報告を受領しました 報告された Web 広告を調査したところ 外部のサイトに誘導する JavaScript が埋め込まれており アクセス元の IP アドレスが特定の国のものである場合には Java などの複数の脆弱性を使用した攻撃を行うサイトに誘導し PC を情報の窃取を目的とするマルウエアに感染させる仕組みになっていました JPCERT/CC から広告サービスを配信する海外の事業者に対応を依頼したところ サーバに問題が発生していたことを確認し 対策を行ったとの返信を受領しました 11

JPCERT/CC からのお願い JPCERT/CC では インシデントの発生状況や傾向を把握し 状況に応じて 攻撃元や情報送信先等に対 する停止 閉鎖を目的とした調整や 利用者向けの注意喚起等の発行により対策実施の必要性の周知を 図る活動を通じて インシデント被害の拡大 再発防止を目指しています 今後とも JPCERT/CC への情報提供にご協力をお願いします なお インシデントの報告方法について は 次の URL をご参照ください インシデントの報告 https://www.jpcert.or.jp/form/ インシデントの報告 (Web フォーム ) https://form.jpcert.or.jp/ 制御システムインシデントの報告 https://www.jpcert.or.jp/ics/ics-form.html 制御システムインシデントの報告 (Web フォーム ) https://form.jpcert.or.jp/ics.html 報告の暗号化を希望される場合は JPCERT/CC の PGP 公開鍵をご使用ください 次の URL から入手 することができます 公開鍵 https://www.jpcert.or.jp/keys/info-0x69ece048.asc PGP Fingerprint: FC89 53BB DC65 BD97 4BDA D1BD 317D 97A4 69EC E048 JPCERT/CC では 発行する情報を迅速にお届けするためのメーリングリストを開設しております 購読をご希望の方は 次の情報をご参照ください メーリングリストについて https://www.jpcert.or.jp/announce.html 12

付録 -1. インシデントの分類 JPCERT/CC では寄せられた報告に含まれるインシデントを 以下の定義に従って分類しています フィッシングサイト フィッシングサイト とは 銀行やオークションなどのサービス事業者の正規サイトを装い 利用者の ID やパスワード クレジットカード番号などの情報をだまし取る フィッシング詐欺 に使用されるサイトを指します JPCERT/CC では 以下を フィッシングサイト に分類しています 金融機関やクレジットカード会社などのサイトに似せた Web サイト フィッシングサイトに誘導するために設置された Web サイト Web サイト改ざん Web サイト改ざん とは 攻撃者もしくはマルウエアによって Web サイトのコンテンツが書き換えられた ( 管理者が意図したものではないスクリプトの埋め込みを含む ) サイトを指します JPCERT/CC では 以下を Web サイト改ざん に分類しています 攻撃者やマルウエアなどにより悪意のあるスクリプトや iframe などが埋め込まれたサイト SQL インジェクション攻撃により情報が改ざんされたサイト マルウエアサイト マルウエアサイト とは 閲覧することで PC がマルウエアに感染してしまう攻撃用サ イトや 攻撃に使用するマルウエアを公開しているサイトを指します JPCERT/CC では 以下を マルウエアサイト に分類しています 閲覧者の PC をマルウエアに感染させようとするサイト 攻撃者によりマルウエアが公開されているサイト 13

スキャン スキャン とは サーバや PC などの攻撃対象となるシステムの存在確認やシステムに不正に侵入するための弱点 ( セキュリティホールなど ) 探索を行うために 攻撃者によって行われるアクセス ( システムへの影響が無いもの ) を指します また マルウエアなどによる感染活動も含まれます JPCERT/CC では 以下を スキャン と分類しています 弱点探索 ( プログラムのバージョンやサービスの稼働状況の確認など ) 侵入行為の試み ( 未遂に終わったもの ) マルウエア ( ウイルス ボット ワームなど ) による感染の試み ( 未遂に終わったもの ) ssh,ftp,telnet などに対するブルートフォース攻撃 ( 未遂に終わったもの ) DoS/DDoS DoS/DDoS とは ネットワーク上に配置されたサーバや PC ネットワークを構成する機器や回線などのネットワークリソースに対して サービスを提供できないようにする攻撃を指します JPCERT/CC では 以下を DoS/DDoS と分類しています 大量の通信などにより ネットワークリソースを枯渇させる攻撃 大量のアクセスによるサーバプログラムの応答の低下 もしくは停止 大量のメール ( エラーメール SPAM メールなど ) を受信させることによるサービス妨害 制御システム 制御システム とは 制御システムや各種プラントが関連するインシデントを指しま す JPCERT/CC では 以下を 制御システム と分類しています インターネット経由で攻撃が可能な制御システム 制御システムを対象としたマルウエアが通信を行うサーバ 制御システムに動作異常などを発生させる攻撃 14

その他 その他 とは 上記に含まれないインシデントを指します JPCERT/CC では たとえば 以下を その他 に分類しています 脆弱性などをついたシステムへの不正侵入 ssh,ftp,telnet などに対するブルートフォース攻撃の成功による不正侵入 キーロガー機能を持つマルウエアによる情報の窃取 マルウエア ( ウイルス ボット ワームなど ) の感染 本活動は 経済産業省より委託を受け 平成 25 年度情報セキュリティ対策推進事業 と して実施したものです 本文書を引用 転載する際には JPCERT/CC 広報 (office@jpcert.or.jp) まで確認のご連絡を お願いします 最新情報については JPCERT/CC の Web サイトを参照してください JPCERT コーディネーションセンター (JPCERT/CC) https://www.jpcert.or.jp/ 15

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック