JSOC Analysis Team
JSOC 侵 入 傾 向 分 析 レポート vol.12 1. はじめに... 3 2. 概 要... 4 3. 公 開 サーバへの 脅 威... 6 3.1 2006 年 から 2008 年 への 変 化... 6 3.2 防 御 システムを 回 避 する SQL インジェクション... 10 3.3 LAMP 環 境 を 狙 った 攻 撃... 11 3.4 パッケージ Web アプリケーションを 狙 った 攻 撃 の 傾 向... 12 3.5 ブルートフォース 攻 撃... 13 4. クライアントホストへの 脅 威... 14 4.1 社 内 ネットワークから 発 生 する 重 要 インシデント... 14 4.2 狙 われるクライアントアプリケーション... 16 4.3 移 転 し 続 ける 悪 性 サイト... 18 5. セキュリティ 意 識 の 変 化... 19 6. 付 録 JSOC について... 20 7. 付 録 JSOC 侵 入 傾 向 分 析 レポートvol.12から 見 える 脅 威 への 対 策 方 法... 22 JSOC 侵 入 傾 向 分 析 レポート vol.12 2
1.はじめに 本 レポートは 株 式 会 社 ラックの JSOC(Japan Security Operation Center)のセ キュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセスやウイル ス 感 染 などのセキュリティインシデントの 発 生 傾 向 を 調 査 したレポートです JSOC では マネージド セキュリティ サービス(MSS)や 24+ シリーズなどの 企 業 向 けのセキュリティ 監 視 サービスを 提 供 しています マネージド セキュリティ サービスは お 客 様 ネットワーク 内 のセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 っ たセキュリティアナリストが 24 時 間 365 日 リアルタイムで 分 析 を 行 い 精 度 の 高 いイン シデント 情 報 をお 客 様 にご 報 告 しています 本 レポートは 単 なる 定 点 観 測 によるデータで はなく 実 際 に 発 生 したインシデントのデータに 基 づいているため 世 界 的 なトレンドだ けではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができるレポートと なっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけるこ とを 願 っております Japan Security Operation Center Analysis Team なお 本 文 書 の 利 用 はすべて 自 己 責 任 でお 願 いいたします 本 文 書 の 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねます 本 データをご 利 用 いただく 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラ ッ ク 侵 入 傾 向 分 析 レ ポ ー ト v o l. 1 2 ) LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラッ クの 登 録 商 標 です その 他 記 載 されている 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です 集 計 期 間 2008 年 1 月 1 日 ~ 2008 年 12 月 31 日 対 象 機 器 本 レポートは 当 社 が 提 供 するマネージド セキュリティ サービスが 対 象 としている セキュリティデバイス( 機 器 )のデータに 基 づいて 作 成 されています 対 象 となるセキュリティデバイスは 以 下 の 通 りです IDS: IBM ISS RealSecure Network Sensor IBM ISS Proventia Network Enterasys Dragon Network Sensor McAfee Network Security Platform( 旧 名 称 IntruShield) Cisco IDS IPS: IBM ISS Proventia Network McAfee Network Security Platform( 旧 名 称 IntruShield) Cisco IPS ファイアウォール : Check Point VPN-1 Juniper Networks Netscreen/SSG Cisco ASA 5500 シリーズ Cisco PIX JSOC 侵 入 傾 向 分 析 レポート vol.12 3
2. 概 要 2008 年 は Web サイトを 狙 った 攻 撃 が 著 しい 増 加 傾 向 にあり SQL インジェクショ ンによる 被 害 が 多 く 確 認 されました 特 に 2008 年 12 月 は 前 月 と 比 べて 1ヶ 月 あた りの 攻 撃 件 数 が 約 100 倍 になるほど 爆 発 的 な 増 加 を 記 録 しています この 攻 撃 によって 被 害 を 受 けた Web サイトを 閲 覧 したユーザは 悪 性 サイトに 誘 導 されます 誘 導 される 悪 性 サイトには 修 正 プログラムがリリースされる 前 の Internet Explorer の 脆 弱 性 を 狙 った 攻 撃 コードが 置 かれており 誰 もが Internet Explorer の 脆 弱 性 に 対 応 できない 期 間 に ユーザを 悪 性 サイトに 誘 い 込 むため 攻 撃 者 が 大 規 模 な SQL インジェクションを 行 った ものと 推 測 されます これは SQL インジェクションがデータベースに 格 納 された 情 報 を 盗 む 手 段 としてだけではなく ボットを 埋 め 込 む 手 段 として 使 われるようになったことを 示 しています SQL インジェクションの 手 法 は より 巧 妙 になり 2008 年 9 月 には IDS/IPS/WAF を 回 避 する SQL インジェクションを 検 知 しました 9 月 の 時 点 ではこれらの 攻 撃 を 発 見 す ることができないセキュリティ 製 品 も 存 在 しました その 後 製 品 ベンダーはこれらの 攻 撃 に 対 応 したシグネチャをリリースしていますが 現 在 も 対 応 していない 製 品 もあるため お 使 いの 製 品 が 対 応 しているか 確 認 することをお 勧 めします 現 在 行 われている SQL インジェクションの 多 くは IIS SQL Server ASP/ASP.NET で 構 成 されている Web サイトを 狙 っていますが 最 近 になって MySQL Apache PHP で 構 成 されている Web サイトへの 攻 撃 も 行 われています JSOC で 攻 撃 者 の 行 動 を 調 査 分 析 したところ 攻 撃 者 は 検 索 エンジンを 利 用 してシステムエラーメッセージを 出 力 してい る Web サイトを 探 し 出 し エラーメッセージから 情 報 を 収 集 した 上 で 攻 撃 を 行 っているこ とが 判 明 しております 対 策 としては Web サービスやミドルウェアで 詳 細 なシステムエラー メッセージを 出 力 しない 設 定 を 行 う 必 要 があります パッケージ Web アプリケーションを 狙 った 攻 撃 に 大 きな 変 化 はありません これらの 攻 撃 のほとんどは ボットにより 行 われており 新 しく 発 見 された 脆 弱 性 はすぐに 攻 撃 手 法 として 取 り 込 まれてしまいます 2008 年 9 月 には eラーニングコンテンツの 管 理 シス テムである Moodle の 脆 弱 性 を 狙 った 攻 撃 によって いくつかの Web サイトが 被 害 を 受 けました パッケージ Web アプリケーションを 使 う 場 合 は 脆 弱 性 情 報 をいち 早 く 入 手 できるようにしておく 必 要 があります 2008 年 上 半 期 に 引 き 続 き ブルートフォース 攻 撃 は 止 むことなく 続 いており 攻 撃 件 数 も 増 加 傾 向 にあります ブルートフォース 攻 撃 では FTP SSH POP3 のサービスで 利 用 するアカウントが 狙 われています 強 固 なパスワードを 使 用 するとともに 具 体 的 な ブルートフォース 攻 撃 への 対 策 を 実 施 し 特 に 公 開 サーバのアカウント 管 理 方 法 を 強 化 し ておく 必 要 があるでしょう クライアントホストに 対 する 脅 威 も 増 加 しており 2008 年 12 月 には 社 内 ネットワー クからの 重 要 インシデントが 増 加 しました 社 内 ネットワークのクライアントホストやサー バホストが ボットを 中 心 とする 不 正 ソフトウェアに 感 染 し さらに 二 次 感 染 を 引 き 起 こ す 事 例 が 多 発 しています ボットや 不 正 ソフトウェアの 脅 威 を 正 しく 理 解 し 具 体 的 なセ キュリティ 対 策 を 実 施 することをお 勧 めします JSOC 侵 入 傾 向 分 析 レポート vol.12 4
SQL インジェクションにより Web サイトが 悪 性 サイトに 誘 導 するように 改 ざんされ た 場 合 その Web サイトを 参 照 したユーザは 気 づくことなく 悪 性 サイトに 誘 導 されます こうしてクライアントアプリケーションの 脆 弱 性 を 悪 用 され 悪 性 サイトにアクセスするだ けで ボットを 埋 め 込 まれる 被 害 が 発 生 しています 悪 性 サイトは 短 期 間 で 使 い 捨 てられ るため コンテンツフィルタやアクセス 制 御 機 器 のブラックリストでは 対 応 が 追 いつかな いのが 現 状 です クライアントホストに 対 する 脅 威 に 対 抗 するためには 複 数 のセキュリ ティ 対 策 を 組 み 合 わせることが 必 要 です JSOC で 検 知 したセキュリティ 診 断 通 信 を 調 査 した 結 果 2008 年 上 半 期 に 引 き 続 き 2008 年 下 半 期 はセキュリティ 診 断 が 実 施 された 回 数 が 約 40% 増 加 していることを 確 認 しました これは お 客 様 のセキュリティ 意 識 が 高 まっており セキュリティ 診 断 の 重 要 性 が 認 知 されてきたものと 考 えられます JSOC 侵 入 傾 向 分 析 レポート vol.12 5
3. 公 開 サーバへの 脅 威 3.1 2006 年 から 2008 年 への 変 化 2006 年 から 2008 年 にかけて JSOC で 確 認 された 攻 撃 のうち Web サイトへの 攻 撃 が 占 める 割 合 が 年 々 増 加 しています 図 1 は JSOC の 重 要 インシデント(Emergency/ Critical)のターゲットを Web サイトとその 他 のサービスで 分 類 したものです このグ ラフからも 明 らかであるように いまや 重 要 インシデントのほとんどは Web サイトで 発 生 していると 言 っても 過 言 ではありません Webサイト その 他 7 33 47 53 67 93 2006 年 2007 年 2008 年 図 1 重 要 インシデントのターゲット 前 回 のレポート 1 でも 報 告 したように クレジットカード 決 済 やオンラインゲームなど Web サイトで 金 銭 に 関 わる 情 報 が 扱 われる 機 会 が 増 加 していることから 攻 撃 者 のター ゲットは 明 らかに Web サイトに 移 っています 3 2 3 9 SQL インジェクション クロスサイトスクリプティング 9 脆 弱 性 スキャン OpenSSL の 脆 弱 性 を 狙 った 攻 撃 74 任 意 のファイル 参 照 その 他 図 2 重 要 インシデントの 内 訳 (2008 年 ) 図 2 は 2008 年 に 発 生 した 重 要 インシデントの 原 因 となった 攻 撃 の 内 訳 です 重 要 インシデントの 大 半 は SQL インジェクションやクロスサイトスクリプティングな どの Web アプリケーションを 狙 った 攻 撃 で 発 生 しています また SQL インジェクショ ンによってデータベースが 改 ざんされる 被 害 も 数 件 発 生 しています クロスサイトスクリプティング(XSS)については すべてがセキュリティ 診 断 通 信 によ るものであり 実 害 が 発 生 した 事 例 はありません SQL インジェクションも XSS も 脆 弱 性 があれば 対 応 すべきであることは 言 うまでもありませんが 情 報 の 漏 えいや 改 ざん などの 被 害 が 発 生 するリスクが 大 きい SQL インジェクションの 脆 弱 性 対 策 を 優 先 するこ とをお 勧 めします 1 http://www.lac.co.jp/info/jsoc_report/_vol11.html JSOC 侵 入 傾 向 分 析 レポート vol.12 6
図 3 SQL インジェクションの 検 知 傾 向 (2005 年 ~ 2008 年 ) 図 3 は 2005 年 から 2008 年 にかけて SQL インジェクションの 攻 撃 検 知 傾 向 を 示 し たものです 2008 年 は 昨 年 と 比 較 し SQL インジェクションの 攻 撃 件 数 がさらに 増 加 しています 昨 年 までは 情 報 詐 取 を 狙 った SQL インジェクションが 大 半 を 占 めていましたが 2008 年 に 入 り データベースの 改 ざんを 狙 った SQL インジェクションが 急 増 しています デー タベースが 改 ざんされると 悪 性 サイトに 誘 導 するためのリンクが 埋 め 込 まれ その Web サイトを 閲 覧 したユーザは 意 図 せず 悪 性 サイトにアクセスさせられてしまいます こ の よ う に 攻 撃 者 は 大 量 の W e b サ イト を 改 ざ ん す る こ と で W e b サ イト を 閲 覧 し た ユ ー ザを 悪 性 サイトに 誘 導 し ボットをダウンロードさせることを 目 的 としています 2008 年 12 月 は 2008 年 11 月 と 比 較 し 1ヶ 月 あたりの 攻 撃 件 数 が 約 100 倍 に 急 増 しており JSOC において 過 去 最 高 の 攻 撃 検 知 件 数 となりました 図 4 は 12 月 に SQL インジェクションを 行 った 攻 撃 元 IP アドレスを 国 別 に 分 類 したものです 図 4 で 示 すよう に 韓 国 日 本 を 中 心 とした IP アドレスからの 攻 撃 が 大 半 を 占 めており 大 量 の 異 なる IP アドレスであることから 攻 撃 の 多 くはボットに 感 染 したホストから 行 われていると 推 測 されます 2008 年 6 月 末 (6 月 20 日 ~6 月 30 日 ) 2008 年 12 月 (12 月 1 日 ~12 月 31 日 ) BR- ブラジル R- 韓 国 T R- トルコ JP- 日 本 I N - インド SA- サウジアラビア VE- ベネズエラ V N - ベトナム U S - アメリカ EG- エジプト T H - タイ Other- その 他 CN- 中 国 Other- その 他 図 4 SQL インジェクションの 国 別 分 類 2008 年 6 月 末 の 時 点 では SQL インジェクションを 行 う 攻 撃 元 IP アドレスはブラジル トルコ インドからのものが 大 半 を 占 めていました 12 月 になって 攻 撃 は 韓 国 日 本 の IP アドレスから 集 中 して 行 われるようになりました これは 韓 国 や 日 本 にあるボット 感 染 ホストが 攻 撃 に 悪 用 されているものと 考 えられます 海 外 では 同 様 の 報 告 は 無 いため このような 特 定 地 域 からの 攻 撃 は 日 本 特 有 のものである 可 能 性 が 高 いと 考 えられます 今 後 もこのような 地 域 固 有 の 傾 向 が 現 れると 考 えられるため セキュリティベンダーにとっ ては 地 域 固 有 の 脅 威 や 脆 弱 性 についての 研 究 が 重 要 になることは 間 違 いないでしょう JSOC 侵 入 傾 向 分 析 レポート vol.12 7
LAC の Web サイトでは SQL インジェクションの 攻 撃 元 IP アドレスの 変 化 を 世 界 地 図 にマッピングした GIF アニメーションを 毎 月 掲 載 していますので 興 味 のある 方 は 参 照 してください 脅 威 は 世 界 中 からやってくる (http://www.lac.co.jp/info/attacks-now.html) JSOC 侵 入 傾 向 分 析 レポート vol.12 8
図 5 SQL インジェクション 攻 撃 検 知 数 の 推 移 (2008 年 12 月 1 日 ~2009 年 1 月 19 日 ) 図 5 は 2008 年 12 月 の SQL インジェクションの 検 知 傾 向 を 示 したものです 12 月 14 日 から 攻 撃 が 急 増 し 年 末 にかけて12 月 14 日 以 前 の 水 準 にまで 減 少 していま す JSOCでは この 攻 撃 が 増 加 する 直 前 の12 月 10 日 頃 から Internet Explorer の 未 公 開 の 脆 弱 性 (Internet Explorer の 脆 弱 性 により リモートでコードが 実 行 される 2 )を 狙 った 攻 撃 コードが 公 開 されていることを 確 認 しています 今 回 の SQL インジェクション で 誘 導 される 悪 性 サイトにも この 脆 弱 性 を 悪 用 する 攻 撃 コードが 存 在 しました これらの 事 実 より 攻 撃 者 は 脆 弱 性 の 修 正 プログラムがリリースされるまでの 期 間 を 狙 い 大 規 模 攻 撃 を 開 始 したのではないかと 考 えられます 攻 撃 が 増 加 し 始 めた 12 月 14 日 から Internet Explorer の 脆 弱 性 の 修 正 プログラムがリリースされる 12 月 18 日 ま での 5 日 間 SQL インジェクションによって 改 ざんされた Web サイトを 閲 覧 するのに 使 われたクライアントホストは きわめて 高 い 確 率 で 危 険 な 状 態 であったといえます この 事 例 から 分 かるように 攻 撃 者 は 脆 弱 な Web サイトを 仲 介 し ブラウザなどのクライア ントアプリケーションの 脆 弱 性 を 悪 用 することで 効 率 よくユーザを 攻 撃 することを 狙 っ ています SQL インジェクションによる 被 害 は 自 社 の 機 密 情 報 や 個 人 情 報 の 漏 えいだ けでなく Web サイトを 利 用 しているユーザに 直 接 の 被 害 を 及 ぼす 可 能 性 があるという 点 で きわめて 危 険 性 の 高 いものです 特 に 人 気 のある Web サイトの 運 営 者 は ユーザ を 守 るために 確 実 にセキュリティ 対 策 を 実 施 し 安 定 したセキュリティレベルが 担 保 でき るように 必 要 な 投 資 を 行 うことが ビジネス 継 続 の 要 件 として 求 められます 2 http://www.microsoft.com/japan/technet/security/advisory/961051.mspx JSOC 侵 入 傾 向 分 析 レポート vol.12 9
3.2 防 御 システムを 回 避 する SQL インジェクション 2008 年 の SQL インジェクションの 特 徴 的 な 変 化 は IDS/IPS/WAF などのセキュリティ 製 品 をすり 抜 けることと Web サイトの 管 理 者 が 気 づきにくいように 巧 妙 に 細 工 され より 悪 質 化 していることです 2008 年 9 月 末 から 行 われるようになったこの 攻 撃 は 以 下 の 二 つの 手 法 が 用 いられていました 3 (1)Cookie に SQL インジェクションを 行 う 図 6 Cookie への SQL インジェクション (2)SQL インジェクションに 含 まれる SQL ステートメントに % 文 字 を 挿 入 して 攻 撃 を 行 う 図 7 % 文 字 を 挿 入 した SQL インジェクション (1)の 手 法 では Cookie に SQL インジェクションを 行 います ASP(Active Server Pages)を 使 用 した Web アプリケーションで Request オブジェクト(ASP.NET の 場 合 HttpRequest.Params)から 変 数 を 取 得 するように 実 装 しており かつ その 変 数 の 取 り 扱 いにおいて SQL インジェクションの 脆 弱 性 が 存 在 する 場 合 この 攻 撃 が 成 功 してし まいます この 攻 撃 の 本 質 は GET や POST でクエリ 文 字 列 から 渡 されると 期 待 されて いる 値 を GET や POST の 代 わりに Cookie を 使 用 して 受 け 渡 すことで 防 御 システムを 回 避 し 攻 撃 を 成 功 させることにあります セキュリティ 製 品 は HTTP リクエストヘッダのクエリ 文 字 列 や HTTP リクエストボディ をチェックし SQL インジェクションの 存 在 をチェックしています JSOC でもこれまで Cookie に 対 する SQL インジェクションは 確 認 されていないことから Cookie に 対 する 目 立 った 攻 撃 が 行 われることがなかったものと 考 えられます その 結 果 Cookie をチェッ クしていない 多 くのセキュリティ 製 品 でこの 攻 撃 を 検 知 していませんでした また IIS や Apache の 初 期 設 定 では Cookie の 値 はログに 記 録 されないため 攻 撃 が 行 われたこと に Web サイトの 管 理 者 が 気 づきにくくなっていました (2)の 手 法 は ASP の 仕 様 を 悪 用 しています 通 常 HTTP リクエストに % 文 字 が 現 れたときは 以 降 の 文 字 を16 進 数 として 扱 い 該 当 する 文 字 に 変 換 します この 変 換 機 能 をパーセントエンコーディングと 言 います 例 えば % 2B % 3D という 文 字 列 が 渡 された 場 合 はそれぞれ + = に 変 換 されます ところが ASP は % 文 字 の 後 に 16 進 数 ではない 文 字 列 が 続 いた 場 合 その % 文 字 を 除 去 する 仕 様 があります DEC% LARE や e% xec という 文 字 列 が 含 まれたリクエストは % のみが 除 去 さ れ それぞれ DECLARE や exec として Web アプリケーションに 渡 されます よっ て クエリ 文 字 列 中 の 特 定 の 位 置 に % 文 字 が 含 まれていても 構 文 エラーなどにならず Web アプリケーションに SQL インジェクションの 脆 弱 性 が 存 在 した 場 合 攻 撃 が 成 功 し てしまいます 3 http://www.lac.co.jp/info/rrics_report/csl20081002.html JSOC 侵 入 傾 向 分 析 レポート vol.12 10
多 くの IDS/IPS では リクエストに 含 まれる 特 定 のキーワードとのパターンマッチによ り SQL インジェクションを 検 知 します このため リクエストの 中 に 無 効 な % 文 字 が 含 まれると 検 知 遮 断 するのが 非 常 に 困 難 になります また WAF でも 同 様 にこの 仕 様 を 理 解 していないと 攻 撃 を 検 知 遮 断 できない 可 能 性 があります この(1)と(2)の 攻 撃 手 法 のどちらも IDS/IPS/WAF などのセキュリティ 製 品 を 回 避 することに 主 眼 が 置 かれていますが Web アプリケーションに 脆 弱 性 が 存 在 しなければ 影 響 を 受 けることはありません しかし IPS や WAF を 利 用 して 脆 弱 な Web アプリケー ションを 防 御 している 場 合 それらをすり 抜 けて 攻 撃 が 成 功 してしまうリスクが 高 いため 使 用 している 製 品 がこの 攻 撃 手 法 に 対 応 しているかを 確 認 することをお 勧 めします JSOC が 独 自 に 作 成 しているオリジナル IDS/IPS シグネチャ(JSIG)ではこのどちらの 攻 撃 手 法 も 検 知 することができます JSOC のセキュリティアナリストはある 攻 撃 に 対 し て 単 一 の JSIG を 用 意 するのではなく 多 様 な 攻 撃 手 法 に 対 応 するため 複 数 の JSIG を 作 成 して 攻 撃 を 検 知 させています これによって ある 攻 撃 に 対 して 一 つの JSIG が 攻 撃 を 検 知 しなくても 他 の JSIG で 検 知 することもあります また 検 知 するシグネチャの 組 み 合 わせによって 攻 撃 手 法 を 把 握 することも 可 能 です このような JSOC 独 自 の 分 析 手 法 によって 今 回 の 難 読 化 された 攻 撃 が 通 常 検 知 するべき JSIG で 検 知 しなかったこと から セキュリティアナリストは SQL インジェクションの 手 法 が 変 化 したことを 捉 えまし た 同 時 に 検 知 できなかった 製 品 には 新 たに JSIG を 追 加 することで 対 応 しています これはセキュリティアナリストと JSIG の 両 方 を 備 えている JSOC だからこそ 対 応 できた 結 果 であると 言 えるでしょう 3.3 LAMP 環 境 を 狙 った 攻 撃 LAMP(ランプ)とは Linux Apache MySQL PHP(もしくは Perl や Python) を 総 称 した 頭 文 字 から 成 る 造 語 です これまで JSOC で 検 知 した Web サイトへの 攻 撃 は IIS MSSQL ASP/ASP.Net で 構 築 された Web サイトを 狙 ったものが 多 数 を 占 め ていましたが 最 近 になって Apache MySQL PHP の 組 み 合 わせで 構 築 された 脆 弱 な Web サイトを 狙 った 攻 撃 も 確 認 されました 図 8 は JSOC で 確 認 された 攻 撃 のリク エストです 図 8 MySQL を 狙 った 攻 撃 リクエスト この 攻 撃 が 成 功 すると 図 9 ような 内 容 の PHP スクリプトが 作 成 されます 図 9 作 成 される PHP スクリプトの 内 容 この PHP スクリプトへアクセスすると PHP スクリプト 自 体 が 消 去 される 仕 組 みになって います このスクリプトにアクセスすることで 攻 撃 者 は Web アプリケーションが 攻 撃 対 象 のディレクトリのファイル 作 成 削 除 権 限 を 持 っているかどうかを 確 認 することが 可 能 です JSOC 侵 入 傾 向 分 析 レポート vol.12 11
この 攻 撃 に 含 まれる 特 筆 すべき 点 は 攻 撃 者 は PHP スクリプトを 作 成 するディレクトリ をフルパスで 指 定 していることです 指 定 されているフルパスは 攻 撃 対 象 の Web サイト ごとに 異 なっており 攻 撃 者 は 作 成 する PHP スクリプトのパスを 適 当 に 指 定 したのでは なく 攻 撃 前 の 段 階 で Web サイトのディレクトリ 構 造 に 関 する 情 報 を 入 手 していたこと になります 攻 撃 対 象 となった Web サイトの 共 通 点 を JSOC で 調 査 したところ 検 索 エ ンジンの 検 索 結 果 に PHP のシステムエラーメッセージが 登 録 されていることを 発 見 しま した そのエラーメッセージの 中 にはエラーを 出 力 している PHP スクリプトの Web サイ ト 上 でのフルパスが 出 力 されていました この 結 果 より 攻 撃 者 は 検 索 エンジンで PHP のシステムエラーメッセージを 検 索 し 検 索 結 果 に 出 てくる Web サイトに 対 して 攻 撃 を 行 っていると 推 測 されます 情 報 詐 取 を 狙 った SQL インジェクションでも 同 様 に 攻 撃 者 は 検 索 エンジンを 悪 用 し てシステムエラーメッセージが 出 力 される Web サーバを 探 し 出 し 攻 撃 を 行 っています LAMP を 使 って Web サイトを 構 築 する 企 業 も 増 えてきていますが それに 比 例 するよう に LAMP 環 境 を 狙 った 攻 撃 も 増 えてくることが 予 想 されます Webサイトを 運 営 するす べての 管 理 者 は SQL インジェクション 可 能 な 脆 弱 性 が 存 在 しないかを 確 認 するとともに Web サービスやミドルウェアでも セキュリティを 強 化 する 設 定 を 行 ってください なお PHP のエラー 出 力 は php.ini もしくは.htaccess で display_errors の 設 定 を 行 うことで 抑 制 することができます 4 3.4 パッケージ Web アプリケーションを 狙 った 攻 撃 の 傾 向 ( 検 知 数 ) 2000 1500 1000 500 0 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2008 年 図 10 パッケージ Web アプリケーションを 狙 った 攻 撃 の 傾 向 図 10 はパッケージ Web アプリケーションを 狙 った 攻 撃 の 傾 向 を 示 したものです こ れらの 攻 撃 の 多 くはボットに 感 染 したホストから 行 われております 2008 年 上 半 期 は 攻 撃 が 増 加 傾 向 にありましたが 2008 年 下 期 以 降 は 小 康 状 態 にあ ります 攻 撃 の 件 数 に 大 きな 変 化 は 現 れていませんが 新 しく 発 見 された 脆 弱 性 が 狙 わ れる 傾 向 は 続 いています 2008 年 9 月 に Moodle 5 というアプリケーションを 狙 った 攻 撃 が 行 われ 複 数 のお 客 様 で 被 害 が 発 生 しました Moodle は eラーニング 用 コンテン ツを 管 理 するための Web アプリケーションです Moodle の 脆 弱 性 が 公 開 された 2 日 後 に Moodle を 使 用 しているお 客 様 のみに 集 中 して 攻 撃 が 行 われました 脆 弱 性 情 報 が 公 開 された 直 後 ということもあり 古 いバージョンの Moodle を 使 用 しているお 客 様 が 被 害 を 受 けています 4 http://jp2.php.net/manual/ja/errorfunc.configuration.php#ini.display-errors 5 http://www.moodle.org/ JSOC 侵 入 傾 向 分 析 レポート vol.12 12
オープンソースのパッケージ Web アプリケーションは 脆 弱 性 情 報 の 公 開 の 直 後 に 攻 撃 コードがリリースされることが 多 く 脆 弱 性 情 報 を 入 手 した 頃 にはシステムが 攻 撃 を 受 け ている 可 能 性 が 高 いと 考 えられます パッケージ Web アプリケーションを 安 全 に 利 用 す るためには 脆 弱 性 情 報 が 公 開 されている または 公 開 される 場 所 ( 開 発 者 のホームペー ジ 等 )があることを 確 認 しておき 定 期 的 に 最 新 バージョンや 脆 弱 性 情 報 の 確 認 を 行 う べきでしょう 脆 弱 性 情 報 を 収 集 するためには JPCERT/CC と IPA が 運 営 している JVN 6 という 脆 弱 性 対 策 情 報 ポータルサイトが 利 用 できます このポータルサイトでは 多 数 のアプリケー ションの 脆 弱 性 情 報 が 集 約 されており 脆 弱 性 情 報 を 収 集 するために 必 須 のサイトとい えるでしょう RSS(RDF Site Summary) 形 式 での 情 報 提 供 もされていますので RSS リーダに 登 録 し 脆 弱 性 情 報 を 定 期 的 に 収 集 することをお 勧 めします 3.5 ブルートフォース 攻 撃 図 11 は SSH FTP POP3 サービスへ 多 数 のログイン 試 行 を 繰 り 返 すブルートフォー ス 攻 撃 の 傾 向 です ブルートフォース 攻 撃 では 辞 書 ファイルを 使 い よく 使 われるアカ ウント 名 とパスワードの 組 み 合 わせで 繰 り 返 しログインを 試 みることで ホストに 不 正 に ログインします ( 検 知 数 ) 500 400 300 SSH ブルートフォース FTP ブルートフォース 200 POP3 ブルートフォース 100 0 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 図 11 ブルートフォース 攻 撃 の 傾 向 SSH サービスへのブルートフォース 攻 撃 は 突 発 的 に 攻 撃 が 増 加 することもあり 1 年 を 通 して 攻 撃 件 数 は 増 加 傾 向 にあります 攻 撃 に 成 功 した 攻 撃 者 が 次 にとる 行 動 は 以 下 のように 乗 っ 取 ったホストを 悪 用 することです フィッシングサイトの 構 築 他 サイトへの 攻 撃 Web サイトのコンテンツを 改 ざんし 悪 性 Web サイトへのリンクを 埋 め 込 む 根 本 的 な 対 策 は 脆 弱 なパスワードを 設 定 しないことですが ログイン 履 歴 の 記 録 や 多 数 のログイン 失 敗 でのロックアウト 機 能 システムの 重 要 度 に 応 じて 公 開 鍵 認 証 や 二 要 素 認 証 機 能 などを 実 装 してください 6 http://jvn.jp/index.html JSOC 侵 入 傾 向 分 析 レポート vol.12 13
4. クライアントホストへの 脅 威 4.1 社 内 ネットワークから 発 生 する 重 要 インシデント 図 12 は 2005 年 から 2008 年 にかけて ボット 感 染 が 原 因 と 考 えられるインターネッ トへの 攻 撃 など 社 内 ネットワークから 発 生 する 重 要 インシデントの 傾 向 を 示 したもので す ( 検 知 数 ) 200 150 100 50 0 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 2005 年 2006 年 2007 年 2008 年 図 12 社 内 ネットワークから 発 生 する 重 要 インシデントの 傾 向 従 来 は 4 月 ~ 6 月 の 期 間 にインシデントが 増 加 する 傾 向 があり お 客 様 から 新 入 生 や 新 入 社 員 によるものであったとの 報 告 があがっていましたが 2008 年 の 4 月 ~ 6 月 の インシデントは 減 少 傾 向 にありました JSOC のお 客 様 側 でのセキュリティ 対 策 が 進 み セキュリティインシデントを 未 然 に 防 いでいる 結 果 と 考 えられます しかし 依 然 として 不 用 意 な 操 作 や Web アクセスが 重 要 インシデントとなるケースが 発 生 しておりますので 新 しい 人 が 組 織 に 加 わる 場 合 のセキュリティ 教 育 は 十 分 に 行 う 必 要 があるでしょう 2008 年 12 月 に 重 要 インシデントの 件 数 が 増 加 している 原 因 は 社 内 ネットワークで ボット 感 染 が 広 がっているためです 図 13 は 2007 年 から 2008 年 までの JSOC のお 客 様 のボット 感 染 検 知 数 を 示 したものです ( 検 知 数 ) 200 150 100 50 0 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 2007 年 2008 年 図 13 ボット 感 染 検 知 数 2008 年 10 月 には マイクロソフトから 緊 急 パッチが 提 供 されたサーバサービスの 脆 弱 性 (MS08-067) 7 を 狙 った 攻 撃 を 多 数 検 知 しています これはボットに 感 染 したホス トから 修 正 プログラムが 適 用 されていないホストに 二 次 感 染 が 広 まっていることが 原 因 です これらのボットの 中 にはインターネット 上 の Web サーバに 対 して SQL インジェ クションを 行 うものもありました このようなボットに 感 染 したクライアントホストの 増 加 も SQL インジェクション 増 加 の 一 因 と 考 えられ お 客 様 の 社 内 のクライアントホストが 加 害 者 となる 可 能 性 があります 7 http://www.microsoft.com/japan/technet/security/bulletin/ms08-067.mspx JSOC 侵 入 傾 向 分 析 レポート vol.12 14
ホストがボットに 感 染 する 主 な 原 因 は 以 下 のとおりです 1. クライアントアプリケーションの 脆 弱 性 を 狙 った 攻 撃 2. USB メモリーなど 外 部 記 憶 媒 体 経 由 3. ネットワーク 共 有 へのブルートフォース( 総 当 たり) 攻 撃 4. Server サービスの 脆 弱 性 (MS08-067)を 狙 った 攻 撃 1 2 はサーバホストに 比 べると 管 理 が 甘 いクライアントホストがターゲットとなっていま す クライアントホストがボットに 感 染 すると 社 内 のネットワークで 二 次 感 染 が 広 まる ため 検 知 数 が 多 くなると 考 えられます IDS/IPS で 検 知 62% ファイアウォールで 検 知 38% 図 14 ボットを 検 知 したデバイス 図 14 は ボット 感 染 を 検 知 しているデバイスの 割 合 を 示 したものです JSOC では ボット 感 染 に 関 する 重 要 インシデントの 全 体 の 約 4 割 をファイアウォール (FW)で 検 知 していますが これはファイアウォールのログをリアルタイムで 相 関 分 析 す ることによりボットの 不 審 な 通 信 を 発 見 しているからです( 図 15) ファイアウォールで 検 知 ネットワーク 境 界 にファイアウォールを 設 置 し セキュリティレベルが 低 いネット ワークからの 被 害 を 局 所 化 インターネット IDSで 監 視 しているネットワークでボット 感 染 が 発 生 すると IDSで 検 知 する 企 業 ネットワーク IDS 点 IDS VPN( 在 務 など) ファイアウォールでボット 感 染 が 局 所 化 され るため 社 内 ネットワークには 通 信 が 発 生 せず IDSでは 検 知 しない 図 15 ファイアウォールによる 検 知 JSOC 侵 入 傾 向 分 析 レポート vol.12 15
通 常 企 業 のネットワークではセキュリティレベルが 異 なるネットワークの 境 界 には ファ イアウォールを 設 置 して 必 要 な 通 信 のみを 行 えるようアクセス 制 御 が 行 われるため ボッ トに 感 染 しても 被 害 が 局 所 化 され 感 染 の 拡 大 は 最 小 限 に 抑 えられます それにより IDS で 監 視 しているネットワーク 内 では 感 染 による 通 信 が 発 生 しないため IDS では 攻 撃 を 検 知 しません 一 方 IDS で 監 視 しているネットワーク 内 でボット 感 染 が 発 生 する と IDS で 検 知 します JSOC では IDS/IPS と 同 時 にファイアウォールのログをリアルタ イムで 相 関 分 析 することにより ファイアウォールで 分 割 されたネットワークにおいても 重 要 インシデントの 発 生 を 発 見 することができます 4.2 狙 われるクライアントアプリケーション 攻 撃 者 はクライアントホストにボットをダウンロードさせるために クライアントアプリ ケーションの 脆 弱 性 を 悪 用 しています 以 下 は 2008 年 に 狙 われた 主 なクライアントアプ リケーションの 脆 弱 性 です Microsoft Data Access Component の 脆 弱 性 (MS06-014) 8 Microsoft Access Snapshot Viewer の 脆 弱 性 (MS08-041) 9 Internet Explorer の 脆 弱 性 (MS08-078) 10 11 Flash Player の 脆 弱 性 12 Real Player の 脆 弱 性 特 に 2008 年 12 月 に 緊 急 リリースされた Internet Explorer の 脆 弱 性 (MS08-078) は 修 正 プログラムがリリースされる 以 前 から 悪 性 サイトに 攻 撃 コードが 存 在 しました 攻 撃 者 は 悪 性 サイトにこれらの 脆 弱 性 を 悪 用 する 攻 撃 コードを 複 数 用 意 しており クライ アントホストの 環 境 よって 読 み 込 ませる 攻 撃 コードを 変 えています これにより 攻 撃 者 は 高 い 確 率 でクライアントホストにボットをダウンロードさせることが 可 能 です SNSDB Advisory Report 13 によるとリモートから 攻 撃 できる 脆 弱 性 の 約 7 割 がク ライアントアプリケーションの 脆 弱 性 となっています 最 近 の 3 年 間 を 振 り 返 るとサーバ アプリケーションに 脆 弱 性 が 発 見 される 数 よりも クライアントアプリケーションの 脆 弱 性 が 発 見 される 数 が 増 えてきました 攻 撃 者 のターゲットもサーバアプリケーションから クライアントアプリケーションにシフトしているものと 考 えられるため 今 後 はますますク ライアントアプリケーションの 保 護 が 重 要 になるでしょう 8 http://www.microsoft.com/japan/technet/security/bulletin/ms06-014.mspx 9 http://www.microsoft.com/japan/technet/security/bulletin/ms08-041.mspx 10 http://www.microsoft.com/japan/technet/security/bulletin/ms08-078.mspx 11 http://jvn.jp/cert/jvnvu395473/index.html 12 http://jvndb.jvn.jp/ja/contents/2008/jvndb-2008-001586.html 13 http://www.lac.co.jp/info/snsdb_advisory/ JSOC 侵 入 傾 向 分 析 レポート vol.12 16
クライアントホストへの 脅 威 を 防 ぐための 対 策 とその 課 題 は 以 下 のとおりです 1の 対 策 が 実 施 ずみで かつすべてのクライアントホストに2のパッチ 適 用 を 迅 速 に 実 施 でき るのであればほとんどの 脅 威 から 守 ることができますが 自 動 パッチ 適 用 の 仕 組 みが 存 在 しないクライアントアプリケーションに 確 実 にパッチを 適 用 するのは 難 しいのが 現 実 で す そのため3~5の 方 法 を 併 用 して 対 策 することをお 勧 めします 1 2 3 4 5 対 策 効 果 課 題 不 要 なアプリケーショ 脆 弱 性 が 存 在 しないた デフォルトでインストールされるアプリケー ンをインストールしな め 攻 略 されない ションに 注 意 が 必 要 です また ユーザに い 勝 手 にインストールさせないような 対 策 も 必 要 です セキュリティパッチの 脆 弱 性 が 存 在 しないた パッチを 適 用 するまでの 期 間 は 攻 撃 を 受 け 適 用 め 攻 略 されない る 可 能 性 があります 業 務 アプリケーショ ンの 都 合 上 セキュリティパッチを 適 用 で きない 環 境 は 攻 撃 を 受 けやすくなります アンチウイルスソフト 既 知 の 不 正 ソフトウェ アンチウイルスソフトで 検 知 できない 新 種 を 導 入 アから 防 御 する のボットが 多 数 出 現 しています ネ ッ ト ワ ー ク IPS や 脆 弱 性 を 狙 った 攻 撃 を 攻 撃 の 難 読 化 が 高 度 になり シグネチャを ホ スト 型 の セ キュリ 止 める 回 避 する 事 例 が 多 数 発 生 しています ティ 製 品 を 使 う URL フィルタリングを 悪 性 サイトにアクセス 既 存 のフィルタリングソフトは Web サイト 行 う させない のクローリングが 前 提 であるため 悪 性 サ イトの 出 現 スピードに 追 いついていません JSOC 侵 入 傾 向 分 析 レポート vol.12 17
4.3 移 転 し 続 ける 悪 性 サイト 1 2008 年 6 月 から7 月 にかけて 多 数 の 悪 性 サイトが 出 現 2 2008 年 8 月 から12 月 にかけて 悪 性 サ イトの 出 現 数 は 減 少 し 特 定 ドメインへの 誘 導 に 集 中 悪 性 サイト 1ド イン た の 500 500 100 100 10 10 図 16 悪 性 サイトの 遷 移 図 図 16 は SQL インジェクションで 改 ざんされた Web サイトから 誘 導 される 悪 性 サイト の 遷 移 を 示 したものです 左 側 の 縦 軸 では 誘 導 される 悪 性 サイトのドメイン 数 を 棒 グラフで 表 し 右 側 の 縦 軸 では SQL インジェクション 検 知 数 を 折 れ 線 グラフで 表 しています 横 軸 は 攻 撃 のあっ た 日 を 日 別 で 表 しています 悪 性 サイト 1ドメインあたりの SQL インジェクション 攻 撃 に よる 悪 性 サイトへの 誘 導 数 が 多 い 順 番 に 赤 オレンジ 黄 青 で 表 しています なお 2008 年 5 月 12 月 の 期 間 に 発 見 された 悪 性 サイトのドメインの 総 数 は 250 件 以 上 で した この 図 より 2008 年 6 月 から 7 月 にかけて 多 数 の 悪 性 サイトが 出 現 していることが 分 かります(1) 攻 撃 者 は 悪 性 サイト 用 のドメインを 大 量 に 取 得 して 1 週 間 程 度 で 使 い 捨 てにしながら 次 々と 新 しい 悪 性 サイトを 立 ち 上 げています 多 数 のドメインを 使 い 捨 て にしていることからドメインテイスティングという 手 法 14 を 使 用 しているものと 考 えられ ます ドメインテイスティングとは ドメインの 取 得 を 行 い 料 金 が 発 生 しない 試 用 期 間 の 間 だけそのドメインを 使 用 する 手 法 です 8 月 から 12 月 にかけては 新 しい 悪 性 サイトが 出 現 する 数 は 少 なくなりましたが(2) この 時 期 から 改 ざんされる Web サイトに 地 域 性 が 現 れています 1の 時 期 には 世 界 中 の Web サイトが 対 象 でしたが 2の 時 期 に 攻 撃 された Web サイトは 日 本 韓 国 中 国 が 多 くなっています これは 攻 撃 者 が 日 本 韓 国 中 国 エリアの Web サイトを 集 中 的 に 攻 撃 し そのエリアのユーザを 攻 撃 するために 専 用 の 悪 性 サイトを 用 意 しているものと 考 えられます これは さまざまな 狙 いがあると 考 えられますが ある 特 定 の 地 域 に 集 中 し て 攻 撃 を 行 うことで セキュリティベンダーなどの 警 戒 の 網 から 逃 れ 効 率 よく 攻 撃 を 行 うことが 目 的 の 一 つではないかと 考 えられます セキュリティベンダーにとっては 今 後 は 地 域 ごとの 攻 撃 の 観 測 と 共 に インシデント 情 報 を 世 界 中 の 関 係 機 関 と 共 有 する 仕 組 みが 求 められます 14 http://www.jpcert.or.jp/wr/2008/wr080701.html JSOC 侵 入 傾 向 分 析 レポート vol.12 18
5. セキュリティ 意 識 の 変 化 (セキュリティ 診 断 実 施 回 数 ) 6,000 5,000 5 536 4,000 3 976 3,000 2 978 2 985 2,000 1,000 0 2007 年 上 半 期 2007 年 下 半 期 2008 年 上 半 期 2008 年 下 半 期 図 17 セキュリティ 診 断 の 傾 向 図 17 は JSOC のお 客 様 が セキュリティ 診 断 を 実 施 した 回 数 を 示 しています 2008 年 上 半 期 と 比 較 し 2008 年 下 半 期 はセキュリティ 診 断 が 実 施 された 回 数 が 約 40% 増 加 しています これはお 客 様 のセキュリティ 意 識 が 高 まり セキュリティ 診 断 の 重 要 性 が 認 知 されてきたものと 考 えられます サーバやネットワークなどのプラットフォー ムへの 診 断 が 日 常 的 に 行 われる 傾 向 があり 診 断 の 実 施 件 数 が 増 加 しています また Web アプリケーションに 対 してはスポットでの 診 断 を 行 う 傾 向 にあるようです しかし 一 方 でまったくセキュリティ 診 断 を 実 施 していないお 客 様 も 多 数 存 在 しています 増 加 す る 脅 威 からシステムを 守 るために セキュリティ 診 断 を 実 施 することを 強 く 推 奨 します JSOC 侵 入 傾 向 分 析 レポート vol.12 19
6. 付 録 JSOC について JSOC マネージド セキュリティ サービス(MSS) JSOC マネージド セキュリティ サービスは お 客 様 ネットワーク 内 のセキュリティ デバイスから 出 力 されるログを 専 門 の 知 識 を 持 ったセキュリティアナリストが 24 時 間 365 日 リアルタイムで 分 析 して 誤 報 を 排 除 し 発 生 したセキュリティインシデントをお 客 様 にご 報 告 し アナリストが 適 切 なアドバイスを 実 施 するサービスです お 客 様 のセキュリティデバイスから 出 力 されたログは 検 知 したログのタイプや 発 信 元 IP アドレスなどの 一 定 の 規 則 性 に 基 づいてデータの 集 約 が 行 われます JSOC では その 一 定 の 規 則 性 に 基 づいたログの 集 合 体 をイベント(インシデント)と 定 義 しております すべてのイベントは セキュリティアナリストによって 24 時 間 365 日 リアルタイムで 分 析 されます セキュリティアナリストは 発 生 したイベントの 通 信 の 内 容 や 対 象 サーバの バージョン 情 報 日 本 国 内 のインシデント 発 生 傾 向 などの 入 手 可 能 なすべての 情 報 を 総 合 的 に 加 味 して 高 い 精 度 で 分 析 を 行 います セキュリティアナリストの 分 析 過 程 において 誤 検 知 や 通 常 通 信 の 検 知 などによる 不 要 なイベントを 排 除 し セキュリティ 上 脅 威 となりうるイベントのみを 迅 速 かつ 正 確 にお 客 様 にご 連 絡 しております その 結 果 お 客 様 は 誤 報 に 悩 まされることなく 重 要 な 問 題 に 対 して 迅 速 に 対 応 することが 可 能 です ファイアウォール IDS IPS セキュリティデバイス からログ を お 客 様 のセキュリティデバイスで 検 知 されたログは 監 視 システムに 取 り 込 まれ 一 定 の 規 則 性 に 基 づいて データの 集 約 が 行 われます 規 則 性 のあるログは 集 約 され たイベントとなります システムに る イベントの 分 析 により 通 常 通 信 誤 検 知 イベントを 取 り 除 き 重 要 度 によって 分 類 されたイベントのみ お 客 様 にご 報 告 します セキュリティア リストに る イベント 重 要 分 イベントの セキュリティア リストに 分 れたイベント へ 報 JSOC マネージド セキュリティ サービスの 概 念 図 JSOC 侵 入 傾 向 分 析 レポート vol.12 20
イベントの 評 価 について セキュリティアナリストが 分 析 したすべてのイベントは 5 段 階 の 重 要 度 に 分 類 されます このうち Critical と Emergency は 重 大 なイベントで お 客 様 ネットワークがセキュリ ティ 上 の 脅 威 にさらされていることを 意 味 しています 重 大 なイベントは セキュリティア ナリストが 電 話 にて 発 生 している 事 象 をご 連 絡 し 対 策 アドバイスまでお 伝 えします こ れにより 万 が 一 セキュリティ 事 故 が 発 生 しても お 客 様 はセキュリティアナリストからの 情 報 とアドバイスに 基 づき 適 切 な 対 応 を 迅 速 に 行 うことが 可 能 になり 被 害 を 最 小 限 に 食 い 止 めることができます 重 要 重 大 なセキュリティイベント 明 らかに 攻 撃 が 成 功 した 場 合 み ホームページ 改 ざんなどが 該 当 重 大 なセキュリティイベント 攻 撃 が 成 功 した 可 能 性 が 非 常 に 高 い あるいは 失 敗 を 確 認 できない 場 合 など 安 全 なイベント 実 害 を 狙 った 攻 撃 だが 失 敗 を 確 認 している 場 合 などが 該 当 安 全 なイベント 調 査 活 動 など 実 害 が 発 生 しない 行 お 客 様 側 の 定 常 的 な 検 査 通 信 などが 該 当 JSOCアナリストにより 通 常 通 信 もしくは 誤 検 知 であると 判 断 された 場 合 大 半 がこれに 該 当 重 要 お 客 様 環 境 上 において 重 大 なセキュリティ 上 の 脅 威 が 発 生 しております このレベルのセキュリティインシデントは お 客 様 環 境 への セキュリティ 上 の 脅 威 はありません 通 常 通 信 もしくは 誤 検 知 と 判 断 されたものが 該 当 します JSOC 侵 入 傾 向 分 析 レポート vol.12 21
7. 付 録 JSOC 侵 入 傾 向 分 析 レポート vol.12 から 見 える 脅 威 への 対 策 方 法 公 開 サーバへの 脅 威 (6 ページ) 情 報 漏 えいや Web サイトの 改 ざんなどの 被 害 を 招 く SQL インジェクション 攻 撃 への 備 えが 必 要 です 既 に SQL インジェクション 攻 撃 を 受 けた 痕 跡 があるかどうかを 判 定 します 対 策 :SecureSite Checker Free( 無 料 ログ 診 断 ) Web サーバのログを 無 料 で 自 動 解 析 Web アプリケーションを 狙 った 攻 撃 の 有 無 を 簡 単 に 確 認 できます SQLインジェクション 攻 撃 の 被 害 に 遭 わないアプリケーションかどうかを 診 断 します 対 策 :Web セキュリティ 診 断 初 診 コース SQL インジェクションとクロスサイトスクリプティングに 特 化 した 低 価 格 の セキュリティ 診 断 最 新 の 脅 威 傾 向 にあわせて あなたの Web サイトに 脆 弱 性 がないかを 診 断 します 対 策 :Web アプリケーション 診 断 Web アプリケーションの 安 全 性 を 多 角 的 に 診 断 し 増 加 する 不 正 アクセス やマルウェアの 被 害 を 防 ぎます 万 一 攻 撃 を 受 けて 不 正 アクセスをうけ 情 報 漏 洩 があった 場 合 に 対 応 します 対 策 : 緊 急 対 応 サービス [ 個 人 情 報 119] 不 正 アクセスや 情 報 漏 えいが 発 覚 し 迅 速 かつ 適 切 な 対 応 を 緊 急 で 必 要 とされる 方 に 適 切 な 支 援 を 行 います ブルートフォース 攻 撃 (13ページ) ブルートフォースは ユーザーIDやパスワードを 見 つけ 出 し 不 正 にホストにログインす る 攻 撃 です 攻 撃 に 成 功 した 攻 撃 者 が 次 にとる 行 動 は 以 下 のように 乗 っ 取 ったホスト を 悪 用 することです フィッシングサイトの 構 築 他 サイトへの 攻 撃 Web サイトのコンテンツを 改 ざんし 悪 性 Web サイトへのリンクを 埋 め 込 む これらの 対 策 方 法 として 以 下 があげられます 対 策 :プラットフォーム 診 断 サーバやネットワークの 安 全 性 をさまざまな 脅 威 を 想 定 した 緻 密 な 診 断 手 法 で 徹 底 的 に 調 査 します クライアントホストへの 脅 威 (14 ページ) 社 内 ネットワークから 発 生 するインシデントでクライアントホストがボットに 感 染 する 被 害 が 2008 年 12 月 に 増 加 しました 以 下 は 主 な 原 因 です クライアントアプリケーションの 脆 弱 性 を 狙 った 攻 撃 USB メモリーなど 外 部 記 憶 媒 体 経 由 ネットワーク 共 有 へのブルートフォース( 総 当 たり) 攻 撃 Server サービスの 脆 弱 性 (MS08-067)を 狙 った 攻 撃 これらの 攻 撃 を 発 見 する 方 法 として 以 下 があげられます 対 策 :JSOC マネージドセキュリティサービス(MSS) アナリストが 24 時 間 365 日 リアルタイムで 監 視 を 行 い 適 切 なアドバイスを 実 施 するサービスです 対 策 :JSOC24+ シリーズ MSS の 知 見 やノウハウを 活 かした 自 動 監 視 運 用 サービスです リーズナブルな 価 格 で 提 供 します JSOC 侵 入 傾 向 分 析 レポート vol.12 22
株 式 会 社 ラック http://www.lac.co.jp/ 105-7111 東 京 都 港 区 東 新 橋 1-5-2 汐 留 シティセンター 11F LAC ラック ラックロゴ JSOC(ジェイソック) JSOC ロゴは 株 式 会 社 ラックの 登 録 商 標 です 本 ドキュメントに 記 載 されている 企 業 名 および 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 本 ドキュメントに 記 載 されている 情 報 は 2009 年 3 月 現 在 のものです