vol.5 2014 年 11 月 11 日 JSOC Analysis Team
JSOC INSIGHT Vol.5 1 はじめに... 2 2 エグゼクティブサマリ... 3 3 JSOC における 重 要 インシデント 傾 向... 4 3.1 重 要 インシデントの 傾 向... 4 3.2 発 生 した 重 要 インシデントに 関 する 分 析... 5 4 今 号 のトピックス... 7 4.1 暗 号 ライブラリ(OpenSSL)の 脆 弱 性 を 悪 用 する 攻 撃 について... 7 4.1.1 Heartbleed 攻 撃... 7 4.1.2 Heartbleed 攻 撃 の 検 知 傾 向... 10 4.1.3 CCS の 脆 弱 性 を 悪 用 した 攻 撃... 11 4.1.4 両 脆 弱 性 の 対 策 上 の 注 意 点... 12 4.2 ボットネットからの 大 規 模 な 攻 撃 による 検 知 傾 向 の 変 化 について... 13 4.2.1 特 定 のファイル 設 置 を 試 みる Web ページ 改 ざんの 増 加 について... 13 4.2.2 機 密 ファイルへのアクセスの 検 知 について... 15 4.2.3 特 定 の User-Agent を 含 む PHP-CGI の 急 増... 18 4.3 外 部 委 託 サービス 経 由 の 公 式 サイト 改 ざん 被 害 事 案 について... 20 4.3.1 外 部 委 託 サービス 経 由 の 公 式 サイト 改 ざん 被 害 事 案 の 概 要... 20 4.3.2 改 ざんされた Web サイトを 閲 覧 した 際 の 影 響 度 検 証... 20 4.3.3 推 測 できる 攻 撃 者 の 目 的... 23 4.3.4 Web サイトの 利 用 者 として 実 施 すべき 対 策... 24 5 終 わりに... 25 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 1
1 はじめに JSOC(Japan Security Operation Center)とは 株 式 会 社 ラックが 運 営 するセキュリティ 監 視 セン ターであり JSOC マネージド セキュリティ サービス(MSS) や 24+ シリーズ などのセキュリティ 監 視 サ ービスを 提 供 しています JSOC マネージド セキュリティ サービスでは 独 自 のシグネチャやチューニングによ ってセキュリティデバイスの 性 能 を 最 大 限 に 引 き 出 し そのセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 った 分 析 官 (セキュリティアナリスト)が 24 時 間 365 日 リアルタイムで 分 析 しています このリ アルタイム 分 析 では セキュリティアナリストが 通 信 パケットの 中 身 まで 詳 細 に 分 析 することに 加 えて 監 視 対 象 への 影 響 有 無 脆 弱 性 やその 他 の 潜 在 的 なリスクが 存 在 するか 否 かを 都 度 診 断 することで セキュ リティデバイスによる 誤 報 を 極 限 まで 排 除 しています 緊 急 で 対 応 すべき 重 要 なインシデントのみをリアルタ イムにお 客 様 へお 知 らせし 最 短 の 時 間 で 攻 撃 への 対 策 を 実 施 することで お 客 様 におけるセキュリティレ ベルの 向 上 を 支 援 しています 本 レポートは JSOC のセキュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセ スやマルウェア 感 染 などのセキュリティインシデントの 発 生 傾 向 を 分 析 したレポートです JSOC のお 客 様 で 実 際 に 発 生 したインシデントのデータに 基 づき 攻 撃 の 傾 向 について 分 析 しているため 世 界 的 なトレンド だけではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができる 内 容 となっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 心 より 願 って おります Japan Security Operation Center Analysis Team 集 計 期 間 2014 年 4 月 1 日 ~ 2014 年 6 月 30 日 対 象 機 器 本 レポートは ラックが 提 供 する JSOC マネージド セキュリティ サービスが 対 象 としているセキュリティ デバイス( 機 器 )のデータに 基 づいて 作 成 されています なお 本 文 書 の 利 用 はすべて 自 己 責 任 でお 願 いいたします 本 文 書 の 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねます 本 データをご 利 用 いただく 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラック JSOC INSIGHT vol.5 ) LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラックの 登 録 商 標 です その 他 記 載 されている 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 2
2 エグゼクティブサマリ 本 レポートは 2014 年 4 月 ~6 月 に 発 生 したインシデント 傾 向 の 分 析 に 加 え 特 に 注 目 すべき 脅 威 をピックアップしてご 紹 介 します 世 界 中 で 広 く 利 用 されている 暗 号 ライブラリ(OpenSSL)の 脆 弱 性 を 悪 用 する 攻 撃 4 月 上 旬 に 公 開 された 暗 号 ライブラリ(OpenSSL)の Heartbeat 機 能 の 脆 弱 性 は 悪 用 の 方 法 が 容 易 であった 為 に 非 常 に 短 期 間 で 脆 弱 性 の 発 表 から 攻 撃 手 法 の 公 開 までに 至 りました さらに 攻 撃 者 にとって 有 利 な 条 件 が 揃 っていた 為 に 攻 撃 が 成 功 した 可 能 性 が 高 い 重 要 インシデントが 多 数 発 生 しました また その 後 に 公 開 された Change Cipher Spec(CCS)の 脆 弱 性 では 攻 撃 が 成 功 した 事 例 は 確 認 していないものの 脆 弱 なままのホストを 多 数 確 認 しました これは 前 述 した Heartbeat 機 能 の 脆 弱 性 対 策 で 安 心 してしまい 対 処 が 遅 れたものと 推 察 されます 原 因 は 様 々ですが いずれの 脆 弱 性 においても お 客 様 が 対 策 を 実 施 したと 認 識 されているホスト で 再 度 脆 弱 性 が 見 つかる 事 例 が 相 次 いでおり 脆 弱 性 への 対 策 はパッチを 適 用 するのみではなく そ の 脆 弱 性 が 実 際 に 解 消 されていることを 確 認 することが 非 常 に 重 要 です ボットネットからの 大 規 模 な 攻 撃 とその 影 響 4 月 から 6 月 にかけてボットネットを 構 成 していると 考 えられる 世 界 中 のホストから 大 量 の 攻 撃 を 検 知 しました 今 回 の 攻 撃 が 悪 用 していた 脆 弱 性 に 目 新 しさはなく 以 前 から 継 続 していた 攻 撃 が 大 きく 増 減 を 繰 り 返 しました その 結 果 件 数 は 少 ないものの 攻 撃 成 功 事 例 を 確 認 しており 運 用 中 のホストに 脆 弱 な 環 境 が 放 置 されていないか 設 定 が 適 切 に 行 われているか 定 期 的 に 確 認 をする ことが 重 要 です 日 本 を 標 的 とした 攻 撃 が 続 く 日 本 国 内 メーカやブログなどで 利 用 されている Contents Delivery Network サービス(CDN サ ービス) 内 のコンテンツが 改 ざんされ 当 該 ページを 閲 覧 したユーザが 不 正 なサイトに 誘 導 され オンラ インバンキングで 使 用 する 認 証 情 報 等 を 窃 取 するマルウェアがダウンロードされる 事 例 が 発 生 しました 感 染 源 やマルウェアの 挙 動 から 明 確 に 日 本 国 内 を 標 的 としていると 考 えられます オンラインバンキ ングを 巡 っては 個 人 ユーザのみではなく 法 人 や 団 体 なども 標 的 となる 事 例 が 増 えてきており 被 害 額 が 大 きくなる 傾 向 にあるため オンラインバンクの 利 用 に 当 たっては 以 前 にも 増 して 注 意 が 必 要 です Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 3
3 JSOC における 重 要 インシデント 傾 向 3.1 重 要 インシデントの 傾 向 JSOC では IDS/IPS ファイアウォールで 検 知 したログをセキュリティアナリストが 分 析 し 検 知 した 内 容 と 監 視 対 象 への 影 響 度 に 応 じて 4 段 階 のインシデント 重 要 度 を 決 定 しています このうち Emergency Critical に 該 当 するインシデントは 攻 撃 の 成 功 や 被 害 が 発 生 している 可 能 性 が 高 いと 判 断 される 重 要 なインシデントです 表 1 インシデントの 重 要 度 と 内 容 分 類 重 要 度 インシデント 内 容 重 要 インシデント 参 考 インシデント Emergency Critical Warning Informational 攻 撃 成 功 を 確 認 したインシデント 攻 撃 成 功 の 可 能 性 が 高 いインシデント 攻 撃 失 敗 が 確 認 できないインシデント マルウェア 感 染 を 示 すインシデント 攻 撃 失 敗 を 確 認 したインシデント スキャンなど 実 害 を 及 ぼす 攻 撃 以 外 の 影 響 の 少 ないインシデント 図 1 に 2014 年 4 月 から 6 月 の 重 要 インシデントの 件 数 推 移 を 示 します インターネットからの 攻 撃 による 重 要 インシデントの 発 生 件 数 は 4 月 4 週 から 6 月 1 週 の 間 に 多 い 特 徴 が 見 られます( 図 1 [1]) これは Apache Struts の 脆 弱 性 (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113) や OpenSSL の 情 報 漏 えいの 脆 弱 性 (CVE-2014-0160)など 公 表 されたばかりの 脆 弱 性 がすぐに 攻 撃 に 悪 用 されたことが 原 因 です 内 部 から 発 生 した 重 要 インシデントの 発 生 件 数 は 4 月 1 週 から 3 週 にかけて 依 然 として 昨 年 度 末 までと 同 様 に オンラインバンキングを 標 的 とするマルウェアである Neverquest 1 への 感 染 が 多 く 発 生 しま した ( 図 1 [2]) 4 月 の 4 週 に 減 少 に 転 じて 以 降 は 大 きな 傾 向 変 化 は 見 受 けられません [1] [2] 図 1 重 要 インシデントの 件 数 推 移 (2014 年 4 月 ~6 月 ) 1 JSOC INSIGHT vol.4 http://www.lac.co.jp/security/report/2014/07/22_jsoc_01.html Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 4
3.2 発 生 した 重 要 インシデントに 関 する 分 析 図 2 は インターネットからの 攻 撃 による 重 要 インシデントの 内 訳 です 4 月 から 6 月 にインターネットからの 攻 撃 による 重 要 インシデント 数 は 271 件 にのぼり 1 月 から 3 月 の 重 要 インシデント 数 (118 件 )と 比 較 して 大 幅 に 増 加 しました これは Apache Struts や OpenSSL の 脆 弱 性 や Web サーバの 設 定 不 備 に 起 因 したインシデントが 増 えたことが 原 因 と 考 えられ ます Web サーバに 対 する 不 審 なファイルのアップロードの 試 みについても 今 期 も 依 然 として 多 数 検 知 されま した これは WordPress などに 代 表 される CMS(Contents Management System)の 機 能 拡 張 を 目 的 として 第 三 者 が 配 布 しているプラグインの 脆 弱 性 を 悪 用 した 攻 撃 が ページ 改 ざんの 手 段 の 一 つとして 狙 われることが 増 え 日 常 的 に 発 生 しているためです CMS 本 体 に 脆 弱 性 が 無 い 場 合 でも プ ラグインの 脆 弱 性 によって 侵 入 されてしまうこともあることから CMS 自 体 のバージョンアップに 加 え プラグイ ンを 利 用 する 場 合 には CMS 本 体 とは 別 にサポート 体 制 や 脆 弱 性 発 見 時 の 対 応 などを 考 慮 する 必 要 があります また ホストの 設 定 不 備 が 原 因 で 重 要 なファイルが 外 部 から 見 えてしまったり Web サーバがスパムメー ルの 踏 み 台 とされる 事 例 等 も 発 生 しております 特 に Web SMTP DNS といった 公 開 サーバに 設 定 不 備 が 無 いか 運 用 しているミドルウェアに 脆 弱 性 が 存 在 しないか サポートが 終 了 したミドルウェアを 利 用 し ていないかなどを 定 期 的 に 確 認 を 行 う 必 要 があります a. 2014 年 1~3 月 b. 2014 年 4~6 月 図 2 インターネットからの 攻 撃 による 重 要 インシデントの 内 訳 図 3 はインターネットからの 攻 撃 による 重 要 インシデントの 検 知 件 数 推 移 です 4 月 4 週 から 5 月 1 週 に Apache Struts の 新 たな 脆 弱 性 を 狙 った 攻 撃 が 増 加 しており ミドルウェアが 攻 撃 の 標 的 として 狙 われやすいことを 示 していると 考 えられます ( 図 3-[1]) さらに その 翌 週 には OpenSSL の Heartbeat 機 能 の 脆 弱 性 が 公 表 されました 複 数 の 攻 撃 実 証 コ ードがすぐに 公 開 されたことやその 手 法 が 容 易 なことから 大 規 模 な 攻 撃 へと 発 展 し 短 期 間 に 重 要 イン シデントが 多 数 発 生 しました また 5 月 3 週 目 以 降 は 重 要 インシデントの 発 生 件 数 は 減 少 しているもの の その 後 も 脆 弱 な 環 境 が 見 つかり 続 けていることから 対 策 が 容 易 ではないことが 伺 えます ( 図 3-[2]) Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 5
[1] [2] 図 3 インターネットからの 攻 撃 による 重 要 インシデントの 件 数 推 移 (2014 年 4 月 ~6 月 ) 図 4 にネットワーク 内 部 における 重 要 インシデントの 内 訳 を 示 します 4 月 から 6 月 にネットワーク 内 部 における 重 要 インシデントは 413 件 であり 1 月 から 3 月 の 重 要 インシデント 数 (417 件 )と 比 較 して 大 きな 変 化 はありませんでした また 情 報 窃 取 を 目 的 としたマルウェアへの 感 染 と 内 部 ホストが 外 部 ホ ストへ 攻 撃 を 行 うマルウェアの 感 染 の 2 つに 大 別 できました 4 月 から 6 月 のネットワーク 内 部 のホストから 外 部 のホストへの 攻 撃 は CGI モードの PHP における 脆 弱 性 (CVE-2012-1823)を 悪 用 した 攻 撃 や SQL インジェクション クロスサイトスクリプティング CMS に 対 するブルートフォース 攻 撃 など 多 岐 に 渡 りました JSOC で 検 知 した 事 例 では お 客 様 管 理 のネットワークカメラが 何 らかのマルウェアに 感 染 し 外 部 へ 攻 撃 を 行 っていた 事 例 や お 客 様 の 管 理 ホストがアプライアンス 製 品 であり DoS 攻 撃 の 踏 み 台 として 悪 用 さ れたという 特 徴 的 な 要 因 も 見 られました 2 最 近 日 本 国 内 のオープン リゾルバを 踏 み 台 とした 攻 撃 発 生 に 起 因 すると 考 えられるパケットの 増 加 についての 情 報 が 公 開 され 家 庭 用 ブロードバンドルータなどの 設 定 不 備 が DoS 攻 撃 に 悪 用 されることが 増 えています 特 に 組 み 込 み 系 の 製 品 は 内 部 で 利 用 されているソフトウェアの 種 類 やバージョンについて 製 品 メーカが 公 開 していないことが 多 く 脆 弱 性 などに 関 する 対 応 が 製 品 メーカに 依 存 せざるを 得 ないこと が セキュリティ 対 策 の 盲 点 になっています このような 製 品 の 利 用 にあたってはメーカのサポート 体 制 を 購 入 時 に 確 認 するなど 一 層 の 注 意 が 必 要 です a. 2014 年 1~3 月 b. 2014 年 4~6 月 図 4 ネットワーク 内 部 から 発 生 した 重 要 インシデントの 内 訳 2 日 本 国 内 のオープン リゾルバを 踏 み 台 とした 攻 撃 発 生 に 起 因 すると 考 えられるパケットの 増 加 について http://www.npa.go.jp/cyberpolice/detect/pdf/20140723.pdf Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 6
4 今 号 のトピックス 4.1 暗 号 ライブラリ(OpenSSL)の 脆 弱 性 を 悪 用 する 攻 撃 について 4.1.1 Heartbleed 攻 撃 2014 年 4 月 上 旬 に 公 開 された OpenSSL の 脆 弱 性 を 悪 用 した 攻 撃 (HeartBleed 攻 撃 )は OpenSSL の Heartbeat 機 能 の 実 装 不 備 を 悪 用 した 攻 撃 で 悪 意 のある Heartbeat リクエストを 攻 撃 対 象 ホストに 送 信 することで OpenSSL を 使 用 しているプロセスがメモリ 情 報 を 付 加 して 返 信 してしま い 秘 密 鍵 やパスワード クレジットカード 番 号 といった 攻 撃 対 象 ホストのメモリ 上 に 保 持 されている 情 報 を 窃 取 する 攻 撃 です 本 脆 弱 性 の 対 象 となる OpenSSL バージョンは 以 下 の 通 りです OpenSSL 1.0.1 から 1.0.1f OpenSSL 1.0.2-beta から 1.0.2-beta1 OpenSSL の Heartbeat 機 能 は 実 際 の 通 信 が 発 生 していない 間 も SSL/TLS のセッションを 維 持 することを 目 的 に バージョン 1.0.1 から 実 装 されました この 機 能 は クライアントからの 特 定 の 長 さの Heartbeat リクエストを 送 信 すると SSL サーバは 受 け 取 ったリクエスト 長 の Heartbeat レスポンスを 返 信 し SSL/TLS セッションの 接 続 を 維 持 します 図 5 Heartbeat 機 能 の 概 略 図 しかし 脆 弱 性 のある OpenSSL を 利 用 した 環 境 では クライアントから Heartbeat リクエスト 長 より 大 きいサイズを 指 定 して Heartbeat リクエストを 送 信 することで SSL サーバが Hello メッセージ 以 降 に 本 来 第 三 者 に 見 えてはならないメモリ 上 の 情 報 を 付 与 してリクエストされたデータ 長 分 の Heartbeat レス ポンスを 返 信 します Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 7
図 6 Heartbleed 攻 撃 の 概 略 図 図 7 Heartbleed 攻 撃 のリクエスト 例 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 8
図 8 Heartbleed 攻 撃 に 脆 弱 な 応 答 例 OpenSSL を 利 用 した 環 境 では 必 ずメモリ 上 に 秘 密 鍵 情 報 を 保 持 している 為 本 攻 撃 により 秘 密 鍵 が 漏 えいする 可 能 性 があります また 一 般 的 に OpenSSL を 利 用 した 多 くの Web サーバは 会 員 情 報 など 機 密 性 が 高 い 情 報 を 扱 うことが 多 く 本 攻 撃 によりその 情 報 が 漏 えいすることが 懸 念 されます ( 図 9) 同 様 に 脆 弱 なバージョンの OpenSSL を 利 用 したクライアントにおいても 外 部 からの 悪 意 のある Heartbeat リクエストをクライアントが 受 信 すると クライアントのメモリ 上 に 保 持 している 情 報 を 漏 えいして しまう 可 能 性 があります Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 9
図 9 Heartbleed 攻 撃 により 認 証 ページへのリクエスト 内 容 が 漏 洩 した 事 例 4.1.2 Heartbleed 攻 撃 の 検 知 傾 向 図 10 に Heartbleed 攻 撃 の 検 知 件 数 および 重 要 インシデントの 件 数 推 移 を 示 します OpenSSL の 脆 弱 性 公 開 以 来 JSOCでは 本 脆 弱 性 の 有 無 を 調 査 する 通 信 や 本 脆 弱 性 を 悪 用 し た 攻 撃 通 信 を 多 数 検 知 しました 本 脆 弱 性 に 関 連 した 攻 撃 の 検 知 件 数 は 脆 弱 性 公 開 の 直 後 から 爆 発 的 に 増 加 したものの 2014 年 5 月 以 降 徐 々に 減 少 しました JSOC ではこれまで 新 しい 脆 弱 性 が 一 度 公 開 されるとその 脆 弱 性 を 悪 用 した 攻 撃 が 急 増 し 一 定 期 間 の 後 件 数 が 減 少 する 傾 向 を 観 測 する 事 例 が 多 くあり 本 脆 弱 性 についても 同 様 の 傾 向 がありました Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 10
脆 弱 性 公 開 図 10 Heartbleed 攻 撃 の 攻 撃 件 数 および 重 要 インシデントの 件 数 推 移 この 期 間 攻 撃 が 成 功 している 可 能 性 が 高 いと 判 断 した 重 要 インシデントが 多 数 発 生 しました お 客 様 の 迅 速 な 対 応 により 重 要 インシデントの 発 生 は 減 少 しておりますが まだ 一 部 のお 客 様 において 脆 弱 性 のあるホストが 見 つかっております また SSL/TLS サービス(443/TCP)の 通 信 以 外 にも IMAP over SSL/TLS(993/TCP)などの OpenSSL を 使 用 した 暗 号 化 通 信 に 対 する Heartbleed 攻 撃 を 検 知 しております( 表 2) 実 際 に 一 部 のメールのアプライアンス 製 品 内 で 脆 弱 性 のある OpenSSL を 使 用 していた 為 に 重 要 インシデントに 繋 がった 事 例 も 発 生 しました 表 2 JSOC で 検 知 した Heartbleed 攻 撃 のあて 先 ポートの 例 送 信 先 ポート 代 表 的 なサービス 443/TCP SSL/TLS 993/TCP IMAP over SSL/TLS 995/TCP POP3 over SSL/TLS 4.1.3 CCS の 脆 弱 性 を 悪 用 した 攻 撃 2014 年 7 月 に 公 開 された OpenSSL の Change Cipher Spec(CCS)の 脆 弱 性 (CVE-2014-0224) 3 は SSL/TLS 通 信 の 暗 号 化 方 式 を 宣 言 するために 使 用 される CCS メッセージ のメッセージ 処 理 に 実 装 不 備 があり CCS メッセージの 送 信 タイミングを 操 作 することによって 中 間 者 攻 撃 が 可 能 になる 可 能 性 があります 本 脆 弱 性 の 対 象 となる OpenSSL バージョンは 以 下 の 通 りです 3 OpenSSL における Change Cipher Spec メッセージの 処 理 に 脆 弱 性 http://jvndb.jvn.jp/ja/contents/2014/jvndb-2014-000048.html Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 11
攻 撃 件 数 サーバ 側 OpenSSL 1.0.1 系 列 のうち 1.0.1g およびそれ 以 前 クライアント 側 OpenSSL 1.0.1 系 列 のうち 1.0.1g およびそれ 以 前 OpenSSL 1.0.0 系 列 のうち 1.0.0l およびそれ 以 前 OpenSSL 0.9.8 系 列 のうち 0.9.8y およびそれ 以 前 図 11 に CCS の 脆 弱 性 を 悪 用 したと 思 われる 通 信 の 検 知 件 数 推 移 を 示 します 本 脆 弱 性 の 公 開 以 降 JSOC では 本 脆 弱 性 を 悪 用 したと 思 われる 通 信 を 多 数 検 知 しましたが これ らの 通 信 は 通 常 とは 異 なるタイミングで CCS メッセージが 送 信 されていたことを 検 知 したにすぎず 悪 意 を 持 った 通 信 であるか 判 断 することが 出 来 ませんでした また お 客 様 が 運 用 中 のホストにて 中 間 者 攻 撃 が 成 功 した 事 例 はまだありませんが 脆 弱 性 のあるホストが 見 つかっております 30,000 20,000 10,000 0 7 月 1 日 7 月 6 日 7 月 11 日 7 月 16 日 7 月 21 日 7 月 26 日 7 月 31 日 図 11 CCS の 脆 弱 性 (CVE-2014-0224)に 関 連 すると 思 われる 通 信 の 攻 撃 件 数 推 移 4.1.4 両 脆 弱 性 の 対 策 上 の 注 意 点 Heartbleed 攻 撃 への 対 策 方 法 は 以 下 のとおりです The OpenSSL Project ソフトウェアベンダがリリースしたパッチやアップデートの 適 用 Heartbeat 機 能 の 無 効 化 お 客 様 環 境 にて 本 脆 弱 性 の 影 響 を 受 けるホストが 存 在 し 攻 撃 された 痕 跡 が 見 つかった 場 合 には そ れまで 利 用 していた 証 明 書 を 失 効 し 新 規 の 秘 密 鍵 を 用 いた 証 明 書 を 利 用 する 必 要 があります また CCS の 脆 弱 性 (CVE-2014-0224)への 対 策 方 法 は 以 下 のとおりです The OpenSSL Project ソフトウェアベンダがリリースしたパッチやアップデートの 適 用 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 12
また JSOC では 最 新 の OpenSSL にアップデートしたにもかかわらず 依 然 としてこれらの 脆 弱 性 の 影 響 を 受 ける 状 態 のままであった 事 例 を 確 認 しました これは 当 該 ホストで OpenSSL のアップデートを 行 ったものの OpenSSL を 使 用 していたサービスの 再 起 動 を 実 施 していなかったことや 複 数 バージョンの OpenSSL が 導 入 されており 一 部 のアプリケーションが 古 い OpenSSL ライブラリを 参 照 していたことが 原 因 でした 本 脆 弱 性 への 対 策 実 施 後 必 ず 対 象 ホストにて 対 策 が 完 了 しているか 確 認 をしてください 対 象 ホストの 外 部 公 開 サービスが 本 脆 弱 性 の 影 響 を 受 けるかどうかを 確 認 する 方 法 として 脆 弱 性 診 断 ツールや 外 部 のサービスを 使 用 することができます ただし これらのツールや 外 部 サービスでは 確 認 した 結 果 を 当 該 サイトに 掲 載 されてしまう 等 意 図 しない 情 報 提 供 をしてしまう 可 能 性 がある 為 十 分 理 解 し たうえでご 利 用 を 判 断 してください 図 12 SSL に 対 する 総 合 的 なテストを 行 うことができるサイト (Qualys 社 https://www.ssllabs.com/ssltest/index.html) 4.2 ボットネットからの 大 規 模 な 攻 撃 による 検 知 傾 向 の 変 化 について 4.2.1 特 定 のファイル 設 置 を 試 みる Web ページ 改 ざんの 増 加 について 図 13 に HTTP プロトコルの PUT メソッドを 用 いた Web ページ 改 ざんの 試 みの 検 知 件 数 推 移 を 示 しま す これまで JSOC では 日 常 的 に 本 攻 撃 を 検 知 していましたが 短 期 間 ではあるものの 5 月 末 に 大 きく 増 加 しました ただし 本 期 間 中 攻 撃 の 成 功 は 確 認 しておりません Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 13
図 13 PUT メソッドによる 改 ざんの 試 みの 攻 撃 件 数 の 推 移 本 期 間 中 JSOC で 検 知 した 特 定 のファイル 設 置 を 試 みるリクエスト 例 を 図 14 に 示 します 本 リクエス トの 他 にも 以 下 の 特 定 のファイルを 設 置 する 攻 撃 を 多 数 検 知 しました ganteng.gif nyet.gif nyet.txt ganteng.gif と nyet.gif は Hacked By d3b~x の 文 字 が 記 載 された 同 一 の 画 像 ファイルで す また nyet.txt は Hacked By d3b~x の 文 字 が 記 載 されたテキストファイルです 図 14 特 定 のファイル 設 置 を 試 みるリクエスト 図 15 に PUT メソッドによる Web ページ 改 ざんので nyet.gif が 設 置 された 事 例 を 示 します 改 ざんに 用 いたファイルに 記 載 されている d3b~x は Web サイトの 改 ざん 活 動 を 行 い その 結 果 を 報 告 しているチームの 名 称 です このチーム 名 で Facebook Twitter ブログ 等 を 利 用 しており 活 動 内 容 を 確 認 することができます また Web ページの 改 ざん 情 報 をまとめた Web サイトより d3b~x によ る 被 害 ホスト 数 は 8 月 末 時 点 で 4 万 を 超 えました( 図 16) Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 14
図 15 PUT メソッドによる Web ページ 改 ざんので nyet.gif が 設 置 された 事 例 図 16 d3b~x による Web 改 ざんの 被 害 状 況 本 期 間 中 JSOC で 検 知 したファイル 設 定 を 試 みる 攻 撃 は 組 織 名 を 記 載 した 静 的 ファイルの 設 置 を 目 的 としたものが 多 く 自 身 が 改 ざんを 行 ったという 自 己 顕 示 欲 を 満 たすことを 目 的 とした 攻 撃 と 考 えられ ます しかし これらのサイトは 外 部 から 任 意 のファイルを 設 置 ができるため マルウェアに 感 染 させるペー ジを 設 置 することも 可 能 です 本 攻 撃 は サーバの 設 定 不 備 を 利 用 した 攻 撃 であり 管 理 中 のホストに 対 して 以 下 の 項 目 をご 確 認 いただくことを 推 奨 いたします 許 可 する HTTP メソッドおよびアクセス 権 が 適 切 に 設 定 されているか 外 部 に 公 開 する 必 要 のないサーバが 外 部 からアクセスできる 状 態 になっていないか 4.2.2 機 密 ファイルへのアクセスの 検 知 について JSOC では 日 本 国 内 で 開 発 されたブログ 作 成 ツールである Web Diary Professional( 以 下 WDP)への 認 証 情 報 を 窃 取 する 攻 撃 を 検 知 しています また Kaspersky 社 は WDP への 攻 撃 が 増 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 15
加 していることを 報 告 しています 4 WDP には 認 証 情 報 漏 えいの 脆 弱 性 があり 悪 意 のあるリクエストを 攻 撃 対 象 サーバに 送 信 するとユ ーザ 認 証 に 使 用 するパスワードハッシュ 等 が 記 載 されているファイルを 外 部 から 参 照 することが 可 能 になりま す( 図 17) このパスワードハッシュは DES ベースのアルゴリズムを 使 用 した Perl の Crypt 関 数 を 用 いて 作 成 しているため 指 定 できる 暗 号 元 の 文 字 列 長 に 制 限 ( 最 大 8 文 字 )があり 窃 取 されてしまったデ ータは 一 般 的 な PC の 環 境 でもパスワードクラックツールを 用 いて 数 秒 ~ 数 分 で 解 読 できます 図 17 悪 意 のあるリクエストによって 得 られる WDP の 認 証 情 報 攻 撃 者 に 認 証 情 報 を 窃 取 されると Web サイトに 不 正 ログインされ コンテンツの 改 ざんやスパムメール 送 信 ツール DDoS ツール バックドアプログラムを 設 置 される 等 の 恐 れがあります WDP はバージョン 4.72(2009 年 4 月 )をもって 開 発 は 終 了 しており 本 脆 弱 性 については 修 正 される 見 込 みがなく WDP の 開 発 元 は 後 継 バージョンの freo (http://freo.jp/)へ 移 行 するように 推 奨 しています JSOC では WDP の 認 証 情 報 へのアクセスだけでなく 以 下 の 機 密 ファイルへのアクセスを 試 みる 攻 撃 通 信 も 定 常 的 に 検 知 しております OS の 認 証 ファイル(passwd や shadow のファイル) Apache でアクセス 制 限 の 設 定 を 記 載 する.htaccess ファイル オペレーションシステムの 起 動 オプションの 設 定 を 記 載 する boot.ini ファイル コマンド 実 行 履 歴 が 記 載 されているファイル(.history や.bash_history のファイル) 6 月 末 に コマンド 実 行 履 歴 が 記 載 されているファイルの 参 照 を 試 みる 攻 撃 が 学 術 系 機 関 で 多 数 検 知 され SOC 全 体 の 重 要 インシデント 数 増 加 の 一 因 になりました( 図 18) 4 日 本 独 自 のブログ 作 成 ツールが 攻 撃 者 の 標 的 に! http://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/3856/ Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 16
図 18 コマンド 実 行 履 歴 ファイルの 参 照 を 試 みる 攻 撃 件 数 の 推 移 図 19 外 部 から 参 照 可 能 な.bash_history ファイル 攻 撃 者 にコマンド 実 行 履 歴 を 見 られてしまうと ファイル 名 やアカウント 情 報 が 次 の 攻 撃 へのヒントとな ってしまう 可 能 性 があります 本 攻 撃 は サーバの 設 定 不 備 が 原 因 であるため 対 策 としては 以 下 の 項 目 を 確 認 いただくことを 推 奨 いたします Web サーバで 公 開 するコンテンツディレクトリに 対 して 適 切 なアクセス 権 限 が 設 定 されているか ディレクトリトラバーサルなどの 脆 弱 性 が 存 在 していないか Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 17
4.2.3 特 定 の User-Agent を 含 む PHP-CGI の 急 増 JSOC では CGI 環 境 で 動 作 する PHP の 脆 弱 性 (CVE-2012-1823)を 悪 用 した 攻 撃 を 定 常 的 に 検 知 しております 毎 日 相 当 な 数 の 攻 撃 を 検 知 しておりますが 7 月 16 日 から 21 日 にかけて 攻 撃 検 知 件 数 が 急 増 し( 図 20) 翌 22 日 には 減 少 しました 図 20 PHP-CGI の 脆 弱 性 を 悪 用 した 攻 撃 件 数 の 推 移 この 攻 撃 は 対 象 ホスト 上 で 一 時 ディレクトリに 不 審 なファイルの 設 置 および 実 行 を 試 みる 攻 撃 です 本 脆 弱 性 を 悪 用 す る 攻 撃 手 法 に 注 目 す べ き ポ イ ン ト は 見 受 け ら れ ま せ ん で し た が 今 回 は User-Agent に 特 徴 的 な 文 字 列 が 含 まれていました 本 期 間 中 特 定 の IP アドレスを 送 信 元 とした 攻 撃 ではなく 多 数 の IP アドレスから 特 徴 的 な 文 字 列 を 含 んだ 攻 撃 を 検 知 していることから 共 通 のボット などに 感 染 したホストが 攻 撃 を 行 ったことが 考 えられます 図 21 に 上 記 期 間 中 JSOC で 検 知 した 攻 撃 例 を 示 します 図 21 User-Agent に 特 徴 的 な 文 字 列 が 含 まれている 攻 撃 通 信 の 例 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 18
本 攻 撃 が 成 功 した 場 合 被 害 ホストは 以 下 のドメインへのアクセスを 試 みます linuxupdatejappy.servepics.com jappyupdate.servehttp.com twelfe12root.servepics.com elecen11root.servepics.com 被 害 ホストは 以 下 のファイル 名 で 不 正 なファイルをダウンロードを 試 みます 但 し 現 在 は 上 記 サイトが 閉 鎖 されているため ファイルをダウンロードすることはできません index.html index.htm e.html t.html pimp.html p1mp.html まだJSOCの 検 知 事 例 はありませんが 同 様 の 攻 撃 により 以 下 のファイルをダウンロードする 事 例 もあるよ うです 5 excel.html gimp.html 本 攻 撃 は 不 正 な 実 行 形 式 ファイルを 設 置 してそのファイルを 対 象 ホスト 上 で 実 行 することにより ボッ トなどに 感 染 させ 悪 用 することが 目 的 として 考 えられます 本 期 間 での 攻 撃 増 加 の 理 由 として マルウェアに 感 染 したホストが 同 じ 脆 弱 性 を 悪 用 してワームのよう にさらに 感 染 ホストを 増 やす 目 的 で 大 量 の 攻 撃 を 行 ったことが 考 えられます その 後 攻 撃 検 知 数 が 減 少 とした 理 由 としては アンチウイルスソフトウェアなどによる 対 応 が 進 んだためと 考 えられます 攻 撃 が 成 功 した 場 合 にはボットに 感 染 することで 新 たな 攻 撃 ホストとして 悪 用 されるため 影 響 のある バージョンの PHP(5.4.3 5.3.13 以 前 )を 利 用 していないかの 確 認 を 行 い 本 脆 弱 性 に 対 して 脆 弱 であるバージョンであった 場 合 には 早 急 にバージョンアップすることを 推 奨 いたします 5 Skanowanie w poszukiwaniu luki w php-cgi (CVE-2012-1823) http://www.cert.pl/news/8860 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 19
4.3 外 部 委 託 サービス 経 由 の 公 式 サイト 改 ざん 被 害 事 案 について 4.3.1 外 部 委 託 サービス 経 由 の 公 式 サイト 改 ざん 被 害 事 案 の 概 要 2014 年 5 月 Contents Delivery Network サービス( 以 下 CDN サービス)を 提 供 する 企 業 が 配 信 していた 一 部 コンテンツが 何 者 かによって 改 ざんされ 当 該 サービスを 利 用 していた 複 数 の 企 業 の Web サイトに 改 ざんされたコンテンツが 表 示 される 事 例 が 発 生 しました 6 Contents Delivery Network とは Web サイトやサービスに 対 するアクセスの 負 荷 や 集 中 を 避 けつつ ユーザが 快 適 にサービスを 利 用 する ことができるようにコンテンツ 配 信 の 最 適 化 を 行 うための 仕 組 みです 画 像 や 動 画 などの 大 容 量 ファイルを 配 信 するサービスでよく 利 用 されています 多 くの 企 業 では コンテンツ 配 信 の 最 適 化 を 行 うために CDN サービスを 利 用 しておりますが 委 託 先 の CDN サービスに 対 する 不 正 アクセスが 行 われるといった 事 例 が 発 生 しました 更 に Web サイトの 管 理 者 が 不 正 アクセスによりコンテンツが 改 ざんされていたことに 気 づいておらず コンテンツを 閲 覧 したユーザから CDN サービス 運 用 会 社 に 通 報 が 行 われ 被 害 を 受 けていたことが 後 から 判 明 したという 事 例 が 多 く 発 生 しております CDN サービスはコンテンツ 配 信 の 最 適 化 と 運 用 費 用 軽 減 を 目 的 として 外 部 サービスを 利 用 されること が 多 く 適 切 なセキュリティが 保 たれているのか 確 認 しないまま 利 用 されていることが 懸 念 されます 自 組 織 のセキュリティと 同 様 に 外 部 サービスを 利 用 する 際 には 脆 弱 性 公 開 時 の 対 応 や 定 期 的 な 脆 弱 性 診 断 などサービス 運 用 会 社 のセキュリティ 体 制 の 確 認 や インシデント 発 生 時 の 対 応 方 法 を 明 確 にした 上 で 利 用 する 必 要 があります 大 手 企 業 や 人 気 サービスであるほど CDN サービスを 利 用 して 最 適 化 を 図 る 傾 向 にあり 大 手 企 業 が 採 用 しているから 大 丈 夫 というだけで 安 全 性 を 信 用 することが 出 来 なくなって きています 4.3.2 改 ざんされた Web サイトを 閲 覧 した 際 の 影 響 度 検 証 今 回 のコンテンツ 改 ざん 事 件 を 受 けて Web サイトを 利 用 するユーザが 改 ざんされたコンテンツを 実 行 し た 際 にどのような 影 響 を 受 けるのかを 確 認 するため 改 ざんされたサイトにアクセスした 結 果 ダウンロードされ た 不 審 なファイルを 実 行 し その 時 に 発 生 する 通 信 を 調 査 しました 図 22 に 改 ざんされた Web サイトを 閲 覧 した 際 の 概 略 図 を 示 します 6 外 部 サービス が 原 因 公 式 サイトの 改 ざん 被 害 相 次 ぐ http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 20
図 22 ファイル 実 行 の 流 れ 改 ざんされた Web サイトを 閲 覧 した 利 用 者 は 悪 意 のあるファイルによって 2014 年 4 月 に 公 開 され た Flash Player の 脆 弱 性 (CVE-2014-0515)を 悪 用 したドライブバイダウンロード 攻 撃 を 受 けました その 際 にダウンロードされるファイルの 一 部 を 表 3 に 示 します 表 3 改 ざんされたコンテンツを 閲 覧 した 結 果 ダウンロードされるファイル( 一 部 ) ファイル 名 MD5 527.gif 1aa4240e1f5a6011bd79bcc79e7706a1 jp.gif 636f504aa14f1221502e4221e9727676 ja523.jpg 9c4f5f894b4c0b0c4216603b0e41eaba ダウンロードされたファイル(527.gif)は 何 らかの 形 で 難 読 化 されたテキスト 形 式 のファイルであり フ ァイルヘッダが AZ から 始 まるデータでした 1 バイト 目 以 降 は 通 常 の exe ファイルのようであったため exe ファイルであることを 示 す MZ から 始 まるデータに 変 更 すると exe ファイルとして 実 行 できました 527.gif を exe ファイルとして 実 行 したホストは GET メソッドや POST メソッドで 端 末 の 情 報 を 外 部 へ 送 信 します ( 図 24 図 25 表 4) Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 21
図 23 527.gif の 難 読 化 されたデータ 図 24 527.gif(527.exe) 実 行 時 に 発 生 する HTTP 通 信 (GET) 図 25 527.gif(527.exe) 実 行 時 に 発 生 する HTTP 通 信 (POST) 表 4 527.gif(527.exe) 実 行 時 に 発 生 する HTTP 通 信 の 送 信 データ(POST) 送 信 種 別 含 まれるデータ 内 容 a3= OS のバージョン a12= 感 染 端 末 の NIC の MAC アドレス また 527.gif ファイルと 同 様 に jp.gif についても 中 身 は Win32 の 実 行 ファイルとなっており 感 染 ホ ストの 情 報 を 外 部 へ 送 信 する 機 能 を 有 していました 送 信 先 の URL やパラメータは 異 なっていたものの GET リクエストを 用 いてと 同 様 に 外 部 へ 感 染 ホストの 情 報 を 送 信 する 動 きが 見 受 けられました ( 図 26 表 5) 図 26 jp.gif 実 行 時 に 発 生 する HTTP 通 信 Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 22
表 5 jp.gif 実 行 時 の 送 信 データ 種 別 送 信 種 別 含 まれるデータ 内 容 m= 感 染 端 末 の NIC の MAC アドレス os= OS のバージョン ie= IE のバージョン 図 26 の 通 信 が 発 生 してから 数 分 経 過 の 後 感 染 ホストからは ja523.jpg のダウンロードを 試 みる 通 信 が 発 生 します その 際 の 挙 動 に 特 徴 があり ダウンロードの 試 みを 1 度 実 施 した 後 1 分 程 度 待 機 をし た 後 に 別 のホストへ 接 続 を 試 みる 動 きを 繰 り 返 し 多 数 の 接 続 先 に 対 して 通 信 が 発 生 しました 接 続 先 となったドメインの 大 半 は 有 名 サイトであり( 表 6) ja523.jpg ファイルが 存 在 しないドメインが 多 数 を 占 めていため おそらく 攻 撃 者 がマルウェアを 置 いたサーバ 情 報 を 隠 すことを 目 的 として 接 続 先 の 偽 装 を 行 っていたと 推 測 できます 表 6 ja523.jpg の 接 続 先 に 指 定 された 有 名 サイト 接 続 先 ドメイン 提 供 サービス update.ncook.net ポータルサイト www.nanki-pg.co.jp オンラインショッピング www.pluspoint.jp ポイントサービス snsdate.gndot.com SNS サービス www.nate.com オンラインゲームサービス www.srhan.co.kr オンラインゲームサービス www.tistory.com オンラインゲームサービス www.yahoo.co.jp ポータルサイト www.msn.com ポータルサイト www.hangame.com オンラインゲームサービス www.gizmode.jp ニュースサイト www.joinsmsn.com ポータルサイト www.plaync.jp オンラインゲームサービス www.nexon.com オンラインゲームサービス www.netmarble.net オンラインゲームサービス 4.3.3 推 測 できる 攻 撃 者 の 目 的 527.gif ファイルをバイナリ 情 報 から 推 測 し.exe へ 書 き 換 えた 際 アンチウイルスソフトによってオンライ ンゲームに 関 連 するマルウェアとして 検 知 したことから 本 攻 撃 はオンラインゲーム 関 連 のアカウント 搾 取 を Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 23
目 的 とした 攻 撃 であると 推 測 されます ただし 本 攻 撃 に 用 いられた Flash Player の 脆 弱 性 (CVE-2014-0515)は 日 本 のユーザを 狙 ったオンラインバンキングアカウント 搾 取 を 目 的 とした 攻 撃 に 悪 用 される 事 例 が 多 数 を 占 めるという 情 報 7 や 同 様 に 改 ざんされた 他 の Web サイトからは オンラインバ ンキングの 情 報 を 窃 取 するウイルスがダウンロードされた 8 との 情 報 も 見 受 けられることから 攻 撃 者 は 攻 撃 対 象 となったコンテンツに 応 じてマルウェアを 使 い 分 けていた 可 能 性 も 考 えられます ブログサイトであればオンラインゲームのアカウントを 狙 い 旅 行 サイトであればオンラインバンクのアカウン トを 狙 うなど 攻 撃 者 によりマルウェアの 使 い 分 けがなされると 被 害 を 受 けたときの 影 響 度 が 悪 い 意 味 で 最 適 化 され 大 きな 被 害 に 直 結 することが 懸 念 されます 4.3.4 Web サイトの 利 用 者 として 実 施 すべき 対 策 JSOC INSIGHT Vol.4 9 や LAC 社 の 注 意 喚 起 10 でも 触 れておりますが 2014 年 1 月 に 正 規 の ソフトウェアにおけるアップデート(バージョンアップ)の 仕 組 みを 悪 用 した 新 たな 標 的 型 攻 撃 として アップデ ート 設 定 ファイルの 入 手 の 際 正 規 サイト ではなく 全 く 別 の 踏 み 台 サイト に 転 送 接 続 するよう 仕 掛 けられていた 事 件 がありました また コンテンツの 配 信 に 限 らず ユーザが 良 く 目 にする 広 告 配 信 サービスを 悪 用 した 被 害 も 発 生 してお り 注 意 が 必 要 です 広 告 配 信 サービスは 利 用 するユーザの 行 動 に 最 適 化 して 配 信 されているため メ ールを 用 いた 標 的 型 攻 撃 とは 異 なるアプローチでユーザを 狙 い 撃 ちしてくる 危 険 性 も 考 えられます さらに 感 染 対 象 を 絞 り 込 み 様 々な 手 法 を 組 み 合 わせて 攻 撃 を 巧 妙 化 するなど ユーザが 気 付 きにくい 攻 撃 を 今 後 も 仕 掛 けてくるものと 考 えられます 攻 撃 の 多 くは 既 知 の 脆 弱 性 を 複 数 組 み 合 わせて 悪 用 することが 考 えられるため OS アプリケーショ ン アンチウィルスソフトウェアを 最 新 状 態 に 保 つことが 非 常 に 有 効 であり これまでの 対 策 を 適 切 に 運 用 し 続 けることが 重 要 です 7 Adobe Flash の 脆 弱 性 を 悪 用 して 日 本 のユーザの 銀 行 口 座 情 報 を 狙 う 攻 撃 http://www.symantec.com/connect/ja/blogs/adobe-flash-2http://www.symantec.com/connect/ja/blogs/ad obe-flash-2 8 外 部 サービス が 原 因 公 式 サイトの 改 ざん 被 害 相 次 ぐ http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html 9 JSOC INSIGHT vol.4 http://www.lac.co.jp/security/report/2014/07/22_jsoc_01.html 10 正 規 のソフトウェアのアップデートで 不 正 なプログラムが 実 行 される 事 案 について http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 24
5 終 わりに JSOC INSIGHT は INSIGHT が 表 す 通 り その 時 々に JSOC のセキュリティアナリストが 肌 で 感 じ た 注 目 すべき 脅 威 に 関 する 情 報 提 供 を 行 うことを 重 視 しています これまでもセキュリティアナリストは 日 々お 客 様 の 声 に 接 しながら より 適 切 な 情 報 をご 提 供 できるよう 努 めてまいりました この JSOC INSIGHT では 多 数 の 検 知 が 行 われた 流 行 のインシデントに 加 え 現 在 ま た 将 来 において 大 きな 脅 威 となりうるインシデントに 焦 点 を 当 て 適 時 情 報 提 供 を 目 指 しています JSOC が 安 全 安 心 を 提 供 できるビジネスシーンの 支 えとなることができれば 幸 いです JSOC INSIGHT vol.5 執 筆 天 野 一 輝 / 賀 川 亮 / 品 川 亮 太 郎 / 村 上 正 太 郎 ( 五 十 音 順 ) LAC ラック ラックロゴは 株 式 会 社 ラックの 登 録 商 標 です 本 ドキュメントに 記 載 されている 企 業 名 および 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 本 ドキュメントに 記 載 されている 情 報 は 2014 年 10 月 末 現 在 のものです ラックロゴは 株 式 会 社 ラック 2010 年 9 月 現 在 のものです Copyright 2014 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.5 25