IBM Security Systems 止 まらない!ウェブ 改 ざんの 実 態 と 対 策 Tokyo SOCから 見 た ウェブ 改 ざんの 実 態 日 本 アイ ビー エム 株 式 会 社 Tokyo Security Operation Center 窪 田 豪 史 2013/8/22 1 2012 IBM Corporation
自 己 紹 介 企 業 組 織 のネットワークにセキュリティー 機 器 を 配 置 発 生 するアラートをSOCへ 集 約 アラートをSOCが 分 析 し 必 要 に 応 じてお 客 様 へご 連 絡 対 応 を 助 言 お 客 様 ネットワーク Security Operation Center (SOC) ネットワーク 上 に 設 置 した 侵 入 防 御 システム(IPS) 検 知 イベント お 客 様 ITインフラシステム イベントの 解 析 2
本 日 のご 説 明 内 容 クライアントPCに 対 する 攻 撃 の 実 態 Webサイト 改 ざんの 増 加 と クライアントPCに 対 する 攻 撃 の 関 係 Webサイト 改 ざんの 実 態 と 事 例 のご 紹 介 対 策 の 考 え 方 改 ざんが 発 生 してしまった 場 合 の 対 応 3
4 止 まらない!ウェブ 改 ざんの 実 態 と 対 策
見 ただけウイルス 感 染 の 流 れ 1. 改 ざんされたサイトにアクセス 2. 攻 撃 サーバーに 接 続 させられ クライアントPCに インストールされているソフトウェアやバージョンを 調 査 攻 撃 の 流 れ 脆 弱 性 の 有 無 有 無 攻 撃 終 了 ( 影 響 なし) 3. 脆 弱 性 を 悪 用 するコードを 実 行 4. 情 報 窃 取 系 ウイルスがダウンロードされ 自 動 的 に 感 染 アカウント 情 報 などを 窃 取 5. ウイルスが 偽 セキュリティーソフトをダウンロードし 自 動 的 に 感 染 5
クライアントPCに 対 する 攻 撃 の 検 知 数 推 移 2013 年 1 月 以 降 攻 撃 検 知 数 が 増 加 2013 年 上 半 期 は 2012 年 下 半 期 比 約 4.2 倍 の 攻 撃 を 検 知 約 4.2 倍 3,972 件 956 件 6 ドライブ バイ ダウンロード 攻 撃 の 月 別 検 知 数 推 移 (Tokyo SOC 調 べ : 2012 年 7 月 1 日 ~2013 年 6 月 30 日 )
攻 撃 の 増 加 は 日 本 のウェブサイト 改 ざんの 増 加 が 要 因 なのか? ある 組 織 における 攻 撃 発 生 要 因 の 調 査 (2013 年 3 月 ~6 月 ) 105 件 の 攻 撃 サーバーへの 接 続 を 検 知 攻 撃 の 要 因 は 38 の 改 ざんされたWebサイトの 閲 覧 と 判 明 このうち 37サイト が 日 本 語 のWebサイト 改 ざんのパターンから 全 て2013 年 に 改 ざんされたサイトと 判 断 7 実 際 に 改 ざんされた 日 本 のWebサイトの 閲 覧 が 攻 撃 増 加 の 要 因 となっている
JPCERT/CC 様 へ 寄 せられたウェブ 改 ざん 報 告 件 数 との 比 較 ウェブサイト 改 ざん 届 け 出 数 とクライアントPCへの 攻 撃 数 は 概 ね 連 動 している 8
改 ざんされているWebサイトの 実 態 改 ざんはWebサイトのジャンルや 規 模 によらず 発 生 クラウドサービスやレンタルサーバーで 運 用 されているサイトの 改 ざん 事 例 が 多 い ジャンル ゴルフ 美 容 旅 行 バーベキュー セミナー 情 報 鉄 道 規 模 ランニング 葬 儀 運 輸 自 動 車 学 校 投 資 情 報 個 人 サイト 大 手 企 業 著 名 なE-Commerceサイト 運 用 インフラの 形 態 その 他 34% クラウドサービス レンタルサーバー 66% 9
10 止 まらない!ウェブ 改 ざんの 実 態 と 対 策 Webサイト 改 ざん 事 例 被 害 の 概 要 概 要 Webサイト 内 の 特 定 のページに 不 正 なJavaScriptが 挿 入 された 改 ざん 方 法 1. CMS(Movable Type)の 脆 弱 性 を 悪 用 され データベースの 認 証 情 報 が 漏 えい 2. 漏 えいした 認 証 情 報 を 悪 用 して 外 部 ( 海 外 )からFTPサーバーへログイ ンされ 特 定 のディレクトリのコンテンツが 置 き 換 えられた 原 因 古 いバージョンのCMSを 継 続 して 利 用 していた 任 意 の 外 部 IPアドレスからのFTP 接 続 が 許 可 されていた - FTPの 接 続 元 制 限 は 実 施 していた - しかし 利 用 しているレンタルサーバーの 仕 様 により 特 定 の ディレクトリのみ 接 続 元 制 限 の 対 象 外 となっていた
Webサイト 改 ざん 事 例 具 体 的 な 改 ざん 内 容 コンテンツファイル 内 に 長 大 な JavaScript コードが 挿 入 されていた <!--0c0896--> や <!--ded509--> のようなコメントが 挿 入 される (カラーコード 改 ざん) 11
最 近 のWebサイト 改 ざんのパターン 1/2 counter.phpへ 接 続 するiframeの 挿 入 コンテンツファイルの 末 尾 へ 不 正 な iframe を 挿 入 12
最 近 のWebサイト 改 ざんのパターン 2/2 悪 意 あるApacheモジュール Darkleech による 改 ざん Webサーバーに 悪 意 あるモジュールが 設 置 される クライアントPCへのコンテンツ 提 供 時 に 動 的 に 不 正 な iframe を 挿 入 コンテンツ 自 体 は 改 ざんされていない 点 に 注 意 13
Webサイト 改 ざんパターン その 他 の 特 徴 Webサイト 内 のあらゆるファイルが 改 ざん 対 象 になっている コンテンツファイルの 確 認 だけでは 発 見 できない 場 合 がある 改 ざんされるファイル HTML ファイル JavaScript (.js) ファイル PHP(.php)ファイル CSS(.css)ファイル など コンテンツファイルの 書 き 換 え 以 外 の 改 ざん Webサーバーの 管 理 者 権 限 を 乗 っ 取 られ 不 正 なWebサー バーのモジュールを 設 置 されて いる 場 合 がある トップページや HTMLファイル だけでなく あらゆるコンテンツ ファイルの 確 認 が 必 要 コンテンツファイルだけでなく 不 審 なモジュールが 存 在 して いないかの 確 認 が 必 要 14
Webサイトの 改 ざんの 方 法 攻 撃 ( 侵 入 の 試 み) 侵 入 成 功 各 レイヤーで 侵 入 を 防 止 するアプローチ が 必 要 15 情 報 の 窃 取 個 人 情 報 クレジットカード 情 報 改 ざん 設 定 の 書 き 換 え スクリプト 埋 め 込 み 変 更 管 理 プロセスの 運 用 監 査 ポリシーの 策 定 - 改 ざん 検 知 ツール 検 討
16 止 まらない!ウェブ 改 ざんの 実 態 と 対 策 侵 入 防 止 のアプローチ 1 4 Webアプリケーション の 脆 弱 性 CMSの 脆 弱 性 ミドルウェアの 脆 弱 性 サーバーOS の 脆 弱 性 管 理 アカウントの 奪 取 サーバーでの 対 策 管 理 用 PCでの 対 策 3 2 1 2 3 4 脆 弱 性 診 断 (インフラ & ウェブアプリ) - 定 期 診 断 - 新 規 および 変 更 時 診 断 セキュアプログラミング ウェブ アプリケーションの 改 修 ウェブ アプリケーション ファイア ウォール (WAF)での 防 御 パッチの 適 用 侵 入 防 御 システム(IPS)での 防 御 サーバーでの 対 策 強 固 な 認 証 方 法 の 使 用 管 理 アクセスの 制 限 IPSやWAFによるブルートフォー ス アタック 等 のアカウント 奪 取 の 試 みの 防 御 管 理 用 クライアントPCでの 対 策 パッチの 適 用 アンチウィルス PCの 限 定 固 定
管 理 アクセスの 制 限 SSHやFTPサーバーへの 辞 書 / 総 当 たり 攻 撃 の 送 信 元 となってい る 日 本 のIPアドレスは 全 体 の 0.34% 管 理 通 信 の 送 信 元 を 日 本 に 限 定 するだけで 攻 撃 の99.66%を 遮 断 可 能 17 SSHおよびFTPサービスに 対 する 辞 書 / 総 当 たり 攻 撃 の 送 信 元 となった IPアドレスの 国 別 の 検 知 割 合 (Tokyo SOC 調 べ : 2013 年 1 月 1 日 ~2013 年 6 月 30 日 )
管 理 用 クライアントPCの 保 護 不 正 サーバーからの 攻 撃 では 主 に Oracle JRE Adobe Reader の 脆 弱 性 が 狙 われる その 他 Adobe Flash Player Internet Explorer の 脆 弱 性 パッチ 適 用 を 徹 底 することで ウイルス 感 染 を 防 止 可 能 18 ドライブ バイ ダウンロード 攻 撃 で 悪 用 されている 脆 弱 性 別 の 攻 撃 数 割 合 (Tokyo SOC 調 べ : 2013 年 1 月 1 日 ~2013 年 6 月 30 日 )
万 が 一 改 ざんされてしまった 場 合 負 の 連 鎖 を 断 ち 切 るために. 可 能 な 限 り 早 く 広 範 囲 に 周 知 することを ご 検 討 ください 改 ざん 原 因 を 調 査 し 正 しい 対 策 を 実 施 してください 19