ISOG-J 主 催 セミナー 事 例 から 学 ぶ!ウェブ 改 ざんの 実 態 と 対 策 ウェブ 改 ざんによる 被 害 とその 対 策 2013 年 12 月 12 日 独 立 行 政 法 人 情 報 処 理 推 進 機 構 技 術 本 部 セキュリティセンター 岡 野 裕 樹
本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 1
本 日 の 講 演 内 容 ウェブ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 2
ウェブ 改 ざん 届 出 件 数 の 推 移 これまでにウェブ 改 ざん 届 出 の 多 かった 時 期 2010 年 第 1 四 半 期 :ガンブラーの 流 行 2012 年 第 3 四 半 期 : 一 部 島 しょの 領 有 権 に 関 する 近 隣 国 からの 抗 議 行 動 の 一 環 によるものと 推 測 される 改 ざん 3
改 ざん 事 例 (いわゆる 主 義 主 張 ) 特 徴 など ウェブ 改 ざんを 行 い 何 かしらの 考 えや 主 義 などを 主 張 することが 目 的 である 文 章 や 国 旗 などの 画 像 が 挿 入 され アクセスすると 明 らかに 正 常 な 状 態 ではないこと がわかる 4
改 ざん 事 例 ( 閲 覧 者 へのウイルス 感 染 を 狙 ったもの) 特 徴 など 閲 覧 者 のパソコンをウイルス 感 染 させ 何 かしらの 利 益 を 得 ることが 目 的 である ブラウザ 上 での 表 示 を 見 ただけでは 改 ざんされていることに 気 づけない 挿 入 されるコードが 難 読 化 されていることもある 実 際 の 内 容 改 ざん 箇 所 ( 難 読 化 されている) 5
ウェブ 改 ざん 被 害 の 内 訳 ウェブ 改 ざん 被 害 の 特 徴 閲 覧 者 のウイルス 感 染 を 目 的 とした 改 ざんが 目 立 っている 2012 年 第 3 四 半 期 には 一 部 島 しょの 領 有 権 に 関 する 近 隣 国 から の 抗 議 行 動 の 一 環 によるものと 推 測 される 主 義 主 張 を 目 的 とした 改 ざんが 多 く 報 告 された 6
閲 覧 者 にとっての 脅 威 ウイルス 感 染 の 危 険 性 (drive-by download) セキュリティ 対 策 が 不 十 分 なパソコンでは サイトを 閲 覧 しただけで ウイルスに 感 染 させられてしまい かつ ウイルスに 感 染 したことが 見 た 目 には 全 く 分 からない 場 合 がある 怪 しいサイトを 見 なくても 感 染 有 名 企 業 のサイトが 攻 撃 に 使 われる 場 合 があるため 不 審 なサイ トを 閲 覧 しない といった 回 避 策 が 有 効 とならず 日 常 的 に 利 用 して いるサイトが 突 然 危 険 なサイトとなる 可 能 性 もある 様 々なウイルスへの 感 染 悪 意 あるサイトに 仕 掛 けられるウイルスは 攻 撃 者 が 任 意 にコントロ ールできるため 閲 覧 者 はどのようなウイルスに 感 染 させられるの か 予 測 できない 7
閲 覧 者 の 被 害 事 例 drive-by downloadによる 多 種 多 様 なウイルスへの 感 染 偽 セキュリティ 対 策 ソフト 型 ウイルス ウイルスが 発 見 されたという 偽 の 表 示 を 行 い 駆 除 するために 偽 のセキュリティ 対 策 ソフトの 有 償 版 の 購 入 を 迫 るウイルス ftpのid/パスワードを 盗 むウイルス( 更 なるウェブ 改 ざんの 被 害 ) その 他 のサービスのID/パスワード 情 報 を 盗 むウイルス 攻 撃 者 の 目 的 に 合 わせた 様 々なウイルスへの 感 染 の 危 険 性 8
ガンブラーでのウイルス 感 染 の 仕 組 み <script> 悪 意 あるウェブサイトへ 行 け!! </script> 悪 意 あるウェブサイト gumblar.cn でも 裏 では 悪 意 あるコードが 挿 入 されている 見 た 目 はいつも 通 り 自 動 転 送 改 ざんされた 正 規 ウェブサイト アクセス 脆 弱 性 を 悪 用 して 感 染! 一 般 利 用 者 9
ガンブラーの 典 型 的 な 手 口 10
最 近 の 手 口 基 本 的 な 攻 撃 の 流 れはガンブラーと 同 様 盗 難 したID/パスワードを 利 用 するだけでは なく 様 々な 手 段 でウェブ 改 ざんを 試 みる 11
本 日 の 講 演 内 容 ウェブページ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 12
改 ざんの 原 因 (サーバ 側 ) 脆 弱 性 悪 用 サーバ 上 のミドルウェア CMS(プラグインを 含 む)の 脆 弱 性 を 悪 用 Apache Struts 2 Parallels Plesk Panel WordPress Movable Type Drupal Joomla! JCE(Joomla! プラグイン) ID パスワードの 管 理 不 備 2013 年 6 月 の 呼 びかけ ウェブ 改 ざんの 原 因 による 分 類 (2012 年 1 月 ~2013 年 5 月 ) ftp サイト 管 理 画 面 などの 推 測 され 易 いパスワード 13
改 ざんの 原 因 (サーバ 側 ) サーバ 上 のソフトウェア 等 の 脆 弱 性 に 関 する 注 意 喚 起 等 2013.10.18(IPA) 脆 弱 性 対 策 情 報 データベースJVN ipediaの 登 録 状 況 [2013 年 第 3 四 半 期 (7 月 ~9 月 )] http://www.ipa.go.jp/security/vuln/report/jvnipedia2013q3.html 昨 今 悪 用 が 多 発 しているソフトウェア 等 の 脆 弱 性 の 登 録 件 数 の 年 別 推 移 絶 えず 脆 弱 性 が 発 見 されている CVSS 基 本 値 による 脆 弱 性 の 深 刻 度 のレベル 分 けにおいて 危 険 に 分 類 されている 脆 弱 性 も 発 見 されており 対 策 は 必 須 と 言 える 昨 今 悪 用 が 多 発 しているソフトウェア 等 の 脆 弱 性 の 深 刻 度 別 件 数 14
改 ざんの 原 因 (サーバ 側 ) サーバ 上 のソフトウェア 等 の 脆 弱 性 に 関 する 注 意 喚 起 等 2013.04.08 (JPCERT/CC) 旧 バージョンの Parallels Plesk Panel の 利 用 に 関 する 注 意 喚 起 http://www.jpcert.or.jp/at/2013/at130018.html 2013.09.13(IPA) WordPressやMovable Typeの 古 いバージョンを 利 用 しているウェブ サイトへの 注 意 喚 起 http://www.ipa.go.jp/security/topics/alert20130913.html 特 に 改 ざんの 原 因 につながる などの 深 刻 な 脆 弱 性 が 存 在 す るソフトウェアについては 個 別 の 注 意 喚 起 などが 発 せられて いる 15
改 ざんの 原 因 (ftpクライアント 側 ) ftpアカウント 盗 用 原 因 はわからないが ftpアカウントを 不 正 に 利 用 され 改 ざんが 行 われた ftpクライアント 端 末 のウイルス 感 染 によりftpの アカウントが 盗 用 された 10 大 脅 威 では クライアントソフトの 脆 弱 性 を 突 いた 攻 撃 が 上 位 再 掲 2013 年 6 月 の 呼 びかけ ウェブ 改 ざんの 原 因 による 分 類 (2012 年 1 月 ~2013 年 5 月 ) http://www.ipa.go.jp/security/vuln/10threats2013.html 16
本 日 の 講 演 内 容 ウェブページ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 17
改 ざんを 防 ぐための 管 理 (サーバ 側 ) 推 測 されにくいパスワードの 設 定 ftpやその 他 サイト 管 理 画 面 などのパスワードは 推 測 されにくいパ スワードを 設 定 する アクセス 制 限 ftpなどへの 接 続 制 限 を 行 う( 接 続 元 IPアドレス VPN) 万 が 一 ID/ パスワードが 盗 み 取 られてしまっても 外 部 からのアクセスを 防 ぐ サーバ 上 のソフトウェア 等 の 脆 弱 性 への 対 応 最 新 版 にアップデートを 行 う プラグインも 忘 れずに 脆 弱 性 情 報 の 収 集 JVN ipedia セキュリティベンダーなど 有 事 の 際 の 対 応 を 事 前 に 検 討 連 絡 体 制 対 応 手 順 18
改 ざんを 防 ぐための 管 理 (サーバ 側 ) JVN ipedia(http://jvndb.jvn.jp) 国 内 外 問 わず 日 々 公 開 される 脆 弱 性 対 策 情 報 を 収 集 蓄 積 するこ とを 目 的 とした 脆 弱 性 対 策 情 報 データベース 19
改 ざんを 防 ぐための 管 理 (ftpクライアント 側 ) アップデートを 行 う ウイルスによるftpのアカウント 情 報 等 の 漏 えいを 防 ぐ(drive-by downloadによるウイルス 感 染 を 防 ぐ) Windows Update 各 種 ソフ トウェア( 特 にAdobe Flash Player Adobe Reader Javaなど)の アップデート ウイルス 対 策 ソフトを 最 新 の 状 態 で 利 用 する MyJVN バージョンチェッカの 利 用 自 動 アップデートの 設 定 更 新 専 用 パソコンの 導 入 ftpクライアント 専 用 の 端 末 を 用 意 する ウェブやメールの 閲 覧 などを 原 因 とするウイルスの 感 染 を 防 ぐことが 可 能 アカウントを 共 有 しない 万 が 一 インシデントが 発 生 してしまった 際 の 原 因 の 特 定 に 有 効 20
改 ざんを 防 ぐための 管 理 (ftpクライアント 側 ) MyJVNバージョンチェッカ(http://jvndb.jvn.jp/apis/myjvn/) 利 用 者 のコンピュータにインストールされているソフトウェア 製 品 の バージョンが 最 新 であるか 簡 単 な 操 作 で 確 認 するツールです Adobe Flash Player Adobe Reader Adobe Shockwave Player JRE Lhaplus Mozilla Firefox Mozilla Thunderbird QuickTime Lunascape Becky! Internet Mail OpenOffice.org VMware Player 21
改 ざんを 防 ぐための 管 理 (まとめ) パスワードの 強 化 アップデート VPN 接 続 元 による アクセス 許 可 アップデート 外 部 のウェブサイト 管 理 者 22
本 日 の 講 演 内 容 ウェブページ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 23
改 ざんに 気 づくための 運 用 管 理 バックアップデータとサーバ 上 のデータの 比 較 サーバにコンテンツ(.htaccess 等 を 含 む)をアップロードする 際 には そのコピーを 保 管 しておき 定 期 的 にサーバ 上 のファイルと 比 較 を 行 う アクセスログの 定 期 的 な 確 認 ( 万 が 一 インターネットへ 公 開 するのであれば )ftp サイト 管 理 画 面 等 へのアクセスログを 定 期 的 に 確 認 する 認 証 試 行 のログはないか? 不 審 なIPアドレスの 認 証 成 功 のログはないか? 問 い 合 わせ 先 の 掲 載 ウェブサイト 上 にメールアドレスなどの 連 絡 先 を 掲 載 し 外 部 からの 連 絡 を 受 けられる 体 制 を 整 える ウェブサイト 改 ざん 検 知 サービスなどを 利 用 する 24
改 ざんに 気 づくための 運 用 管 理 sshへの 大 量 の 認 証 試 行 のログ この 後 sshのパスワードが 破 られ ウェブ 改 ざんの 被 害 に 25
本 日 の 講 演 内 容 ウェブページ 改 ざんの 事 例 改 ざんの 原 因 (サーバ 側 ftpクライアント 側 ) 防 ぐための 管 理 (サーバ 側 ftpクライアント 側 ) 気 づくための 管 理 改 ざん 被 害 発 生 時 の 対 処 26
改 ざん 被 害 発 生 時 の 対 処 早 急 なウェブサイトの 公 開 停 止 加 害 者 にならないために 安 全 なマシンからftp 等 のパスワードの 変 更 改 ざん 箇 所 の 洗 い 出 し 原 因 の 特 定 等 の 調 査 バックアップデータとの 比 較 公 開 ディレクトリ 内 ファイル 群 の 再 アップロード 各 種 サービスの 関 連 ログの 確 認 ウェブコンテンツのソースファイルのウイルススキャン 27
改 ざん 被 害 発 生 時 の 対 処 ウェブサイトを 再 公 開 する 場 合 の 注 意 点 サイト 閲 覧 者 へ 向 けた 事 実 告 知 が 重 要 a. 改 ざんの 事 実 の 説 明 b. 改 ざんされていた 箇 所 c. 改 ざんされていた 期 間 d. ウェブサイト 利 用 者 が 改 ざんされていた 箇 所 を 閲 覧 した 場 合 に 想 定 される 被 害 (ウイルス 感 染 など)の 説 明 e. ウイルスのチェック 方 法 の 説 明 ( 必 要 に 応 じてオンラインスキャ ンサイトの 紹 介 など) f. 問 い 合 わせ 窓 口 の 連 絡 先 28
Windows XP サポート 終 了 について 2014 年 4 月 9 日 ( 日 本 時 間 ) にWindows XPのサポートが 終 了 します これにより 新 たな 脆 弱 性 が 発 見 されてもセキュリティ 更 新 プログラム が 提 供 されなくなり ウイルスや 不 正 アクセスの 脅 威 にさらされたまま の 状 態 になる 可 能 性 が 高 まります ウイルス 感 染 による 被 害 例 PCの 乗 っ 取 りや 遠 隔 操 作 重 要 な 情 報 が 盗 まれる サポート 終 了 OS を 家 にたとえた 場 合 のイメージ 図 詳 しくは Windows XPのサポート 終 了 について(IPA) http://www.ipa.go.jp/security/announce/winxp_eos.html 29
<PR> http://www.jitec.ipa.go.jp/ip/ 30
セキュリティセンター(IPA/ISEC) http://www.ipa.go.jp/security/ 情 報 セキュリティ 安 心 相 談 窓 口 : TEL:03(5978)7509 ( 平 日 10:00-12:00 13:30-17:00) FAX :03(5978)7518 E-mail: anshin@ipa.go.jp 31