暴 露 型 ウイルスやスパイウェア による 情 報 漏 えい 2007 年 2 月 14 日 株 式 会 社 セキュアブレイン 星 澤 裕 二
暴 露 型 ウイルスとは 暴 露 型 ウイルスとは PC 内 の 情 報 をP2Pネットワー クやインターネット 上 に 公 開 するマルウェアの 総 称 次 のような 情 報 が 公 開 されてしまう 公 開 される 情 報 はマ ルウェアにより 異 なる マイドキュメントやデスクトップ 上 のファイル デスクトップのスクリーンショット Officeファイル OutlookやOutlook Expressのメール IEのお 気 に 入 りや 履 歴 Winnyの 検 索 履 歴 ハードディスク 内 の 全 データ データが 流 出 してしまった 場 合 完 全 に 回 収 するこ とは 不 可 能
WinnyやShareを 悪 用 するマルウェア ワーム W32.Antinny.AX, W32.Antinny.BF, W32.Antinny.K, W32.Antinny.Q, W32.HLLW.Antinny, W32.HLLW.Antinny.E, W32.HLLW.Antinny.G, W32.Yawmo トロイの 木 馬 Backdoor.Doroku, Backdoor.Hesive.F, Infostealer.Kurofoo, Infostealer.Kurofoo.B, PWSteal.Kurofoo, Trojan.Deoplive, Trojan.Exponny, Trojan.Exponny.B, Trojan.Upbit, Trojan.Leega, Trojan.Upchan, Trojan.Kakkeys, Trojan.Kakkeys.B, Trojan.Kakkeys.C, Trojan.Kakkeys.D, Trojan.Nullpos, Trojan.Nullpos.B, Trojan.Welomoch, Trojan.Remojin ハッキングツール Hacktool.YMDSearch 出 典 : 株 式 会 社 シマンテック Winny による 機 密 情 報 漏 えいについて (2006/8/16) http://www.symantec.com/region/jp/winny/
Winnyノード 数
2006 年 Winnyによる 情 報 流 出 事 件 の 一 部 (1/2) 北 陸 電 力 12 月 15 日 富 山 新 港 火 力 発 電 所 の 燃 料 貯 蔵 量 に 関 する 情 報 など http://www.rikuden.co.jp/press/attach/06121502.pdf NTT 西 日 本 12 月 5 日 鹿 児 島 支 店 と 宮 崎 支 店 が 持 つ 顧 客 情 報 3,140 件 および 電 話 番 号 約 21 万 件 http://www.ntt-west.co.jp/news/0612/061205a.html 東 北 電 力 10 月 6 日 送 電 業 務 総 合 支 援 システム 開 発 に 関 わるシステム 設 計 書 およびレビュー 報 告 書 の 一 部 http://www.tohoku-epco.co.jp/whats/news/2006/10/06.html 中 部 電 力 8 月 31 日 四 日 市 LNGセンターの 点 検 記 録 のフォーマットと 記 録 の 一 部 など http://www.chuden.co.jp/corpo/publicity/press2006/0831_2.html 三 菱 重 工 業 8 月 23 日 関 西 電 力 の 原 子 力 2 次 系 配 管 の 情 報 http://www.mhi-ir.jp/frmpage/060823_genshi.html
2006 年 Winnyによる 情 報 流 出 事 件 の 一 部 (2/2) 仙 台 市 水 道 局 8 月 8 日 水 道 メーターの 交 換 業 務 委 託 に 関 する 書 類 水 道 メーター 交 換 台 帳 集 合 住 宅 代 表 者 リスト 予 算 関 係 書 などの 行 政 情 報 440ファイル この 中 には 2,011 人 分 の 氏 名 住 所 電 話 番 号 のほか 189 社 分 の 法 人 名 所 在 地 電 話 番 号 が 含 まれていた http://internet.watch.impress.co.jp/cda/news/2006/08/08/12939.html JR 北 海 道 8 月 2 日 青 函 トンネル 工 務 所 管 内 における 過 去 の 道 床 交 換 工 事 の 工 事 関 係 書 類 見 積 査 定 書 (2004 年 度 分 2 件 2005 年 度 分 2 件 )と 2006 年 9 月 に 発 注 を 予 定 していた 作 成 中 の 工 事 関 係 書 類 (2 件 ) http://www.jrhokkaido.co.jp/press/2006/060803.pdf 東 京 電 力 5 月 18 日 原 子 力 発 電 所 の 運 転 員 がプラントの 運 転 管 理 を 行 なうための 研 修 用 資 料 http://www.tepco.co.jp/cc/press/06051803-j.html ANA 3 月 15 日 空 港 施 設 に 入 るための 暗 証 番 号 など http://internet.watch.impress.co.jp/cda/news/2006/03/15/11258.html
Winnyと 暴 露 型 ウイルス Winnyネットワーク 3Winny 利 用 者 が 個 人 情 報 を 含 むファイルをダウンロード 1ダウンロードしたファイル から 暴 露 型 ウイルスに 感 染 感 染 PC 2 収 集 したデータを 公 開 フォ ルダにコピー
Winny 以 外 を 利 用 する 暴 露 型 山 田 ウイルス 感 染 PCをWebサーバとして 動 作 させ スクリーンショット を 含 むハードディスクの 内 容 をインターネットに 公 開 する アクセスのためのアドレスを 2ちゃんねる などのインター ネット 上 の 掲 示 板 に 書 き 込 む 山 田 オルタナティブ 感 染 PCがWebサーバとして 動 作 させ ハードディスクの すべての 内 容 を 公 開 W32.Antinny.BF (WORM_ANTINNY.AW) OfficeドキュメントやOutlook Expressの 関 連 ファイルなど をアップロードフォルダに 格 納 し WinnyやShareのネット ワーク 上 に 公 開
スパイウェアとは 現 在 スパイウェアの 業 界 標 準 的 な 定 義 はな い 利 用 者 や 管 理 者 の 意 図 に 反 してインストール され 利 用 者 の 個 人 情 報 やアクセス 履 歴 など の 情 報 を 収 集 するプログラム 等 (IPAとJNSA スパイウェア 対 策 啓 発 WGによる 共 同 の 定 義 ) 広 義 のスパイウェアに 分 類 されるPhishingbased Trojanによる 逮 捕 者 も
Phishing-based Trojan
スパイウェア 事 件 元 インターネットカフェ 従 業 員 を 不 正 アクセス 行 為 で 逮 捕 (2006/6/13) 被 疑 者 は インターネットカフェ 従 業 員 の 立 場 を 利 用 し 店 内 のパソコンに キーロガー を 仕 掛 け 他 人 のID パスワードを 不 正 に 取 得 した 上 その 入 手 したID パスワードを 利 用 して オークションサイトにおいて 数 十 回 不 正 アク セス 行 為 を 繰 り 返 していました 警 視 庁 ハイテク 事 件 簿 http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm#180613 スパイウェアを 使 用 したインターネットバンキングに 対 する 不 正 アクセス 禁 止 法 違 反 等 被 疑 者 を 逮 捕 (2006/1/16) 被 疑 者 らは スパイウェアを 作 成 の 上 某 会 社 のネットバンキング 用 のID パ スワードを 不 正 に 入 手 して 他 人 の 住 居 等 の 無 線 LANアクセスポイントを 利 用 し 入 手 したID パスワードを 使 い 銀 行 のサーバに 不 正 アクセスして 他 人 名 義 の 口 座 等 から 自 己 が 管 理 する 口 座 に 約 1500 万 円 を 送 金 しました 警 視 庁 ハイテク 事 件 簿 http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm#180116
PWSteal.Jginko (1/3) PWSteal.Jginko(TSPY_BANCOS.ANM, PWS-Jginko)は HTTPパケットを 監 視 し 東 京 三 菱 銀 行 イーバンク 銀 行 りそな 銀 行 三 井 住 友 銀 行 などのWebサイトで 入 力 された ユーザ 名 パスワードなどの 情 報 を 収 集 する 収 集 したデータとアクセスしたURLのリストを 特 定 のWebサイトに 送 信 する
PWSteal.Jginko (2/3) 次 のWebサイトへのアクセスを 監 視 する resonabank.anser.or.jp, btm.co.jp, ebank.co.jp, japannetbank.co.jp, smbc.co.jp, ebank.co.jp, yu-cho.japanpost.jp, ufjbank.co.jp, mizuhobank.co.jp, shinseibank.co.jp, iy-bank.co.jp, shinkinbanking.com, shinkin-webfb-hokkaido.jp, shinkin-webfb.jp, paweb.anser.or.jp, caweb.anser.or.jp, hokugin.co.jp, webfb.com, gunmabank.co.jp, 105bank.com, okbnetplaza.com, suitebank.finemax.net, ib-center.gr.jp, cyber-biz.ne.jp Webページ 内 で 次 の 文 字 をtext 入 力 フィールドのname 属 性 として 見 つけると 入 力 されたデータ 等 を 収 集 する Pw, Ransu1, FurikomiKin, PASSWORD, PASSWD2_1, CHK_PASSWORD, password, recognitionpassword, passwordold, LOGIN_PASSWORD, USER_PASSWORD, OLD_PASSWORD, log_pass, PWD_PASSWORD, EWF_ENTRY_InputValiable1, AG00010, fldusernumid, LgnPwd, i_pwd, BPW0020, i_aconetime1, i_acfstcodenum, dat_0, S023, i_pwd, Pwd1, S007, WGLI020, Password, PIN, loginpassword, passwd, loginpwd, pw, logonpwd, KeiyakuNo, Anshu2, PWD_PINNUMBER, tb_conf, BPW0010 出 典 : @police PWSteal.Jginkoウイルス 解 析 報 告 書 http://www.cyberpolice.go.jp/server/virus/pdf/pwsteal_jginko.pdf
PWSteal.Jginko (3/3) 1 銀 行 サイトへのアクセスを 監 視 2 送 信 データを 蓄 積 ブラウザ PWSteal.Jginko 銀 行 のWebサイト 3 収 集 した 情 報 を 特 定 のWebサイトに 送 信 攻 撃 者 の Webサイト
ボットやPhishingにも 注 意 ボット 遠 隔 操 作 により 様 々な 情 報 を 収 集 することができる DOSコマンドの 実 行 キーボード 入 力 の 記 録 コンピュータゲームのCDキーを 盗 む メールアドレスの 収 集 システム 情 報 の 表 示 トロイの 木 馬 の 更 新 版 も 含 む ファイルのダウンロードと 実 行 プロキシサーバとして 動 作 バックドアの 管 理 ネットワークに 関 する 情 報 を 送 信 ファイルのダウンロードと 実 行 Phishing 人 の 心 理 を 突 き うっかり 個 人 情 報 を 漏 らしてしまうように 仕 向 けるテ クニック ソーシャルエンジニアリング を 使 う
しかし Winnyの 使 用 をやめ ウイルス 対 策 やスパイ ウェア 対 策 をきちんとやったとしても 情 報 が 漏 えいしてしまうことがある
その 他 の 情 報 漏 えい 事 件 (2/3)
その 他 の 情 報 漏 えい 事 件 (3/3) 紛 失 置 忘 れ: 42.1% 電 車 飲 食 店 など 外 部 の 場 所 に PC 情 報 媒 体 等 を 紛 失 または 置 き 忘 れてしまった 盗 難 : 25.8% 車 上 荒 らし 事 務 所 荒 らしなどにより PC 等 の 情 報 媒 体 とともに 機 密 情 報 が 盗 難 された 誤 操 作 : 12.4% あて 先 間 違 いによって 電 子 メール FAX 郵 便 の 誤 送 信 が 発 生 した その 他 : 19.7% 管 理 ミス 不 正 な 情 報 持 ち 出 し 設 定 ミス 内 部 犯 罪 内 部 不 正 行 為 目 的 外 使 用 など Winnyに 起 因 する 情 報 漏 えいについては 一 部 を 除 き 管 理 ミス や 不 正 な 情 報 持 ち 出 し に 分 類
情 報 漏 えい 対 策 情 報 漏 えいを 完 全 に 防 止 することは 難 しい データ 持 ち 出 し 禁 止 セキュリティポリシー 物 理 セキュリティ 暗 号 化 パスワード 次 のことを 前 提 に 対 策 を 講 じる すべての 攻 撃 を 防 御 できるセキュリティ 対 策 ソフ トはない PCやデータは 盗 まれるもの 万 全 なセキュリティ 対 策 はない
ご 清 聴 ありがとうございました 株 式 会 社 セキュアブレイン 星 澤 裕 二 Email: yuji_hoshizawa@securebrain.co.jp Web: http://www.securebrain.co.jp/
参 考 情 報 IPA Winny 緊 急 相 談 窓 口 (Winny119 番 ) http://www.ipa.go.jp/security/announce/20060320.html JNSA スパイウェア 対 策 啓 発 WG http://www.jnsa.org/spyware/index.html JNSA 2005 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 http://www.jnsa.org/result/2005/20060803_pol01/index.html トレンドマイクロ Winnyによる 情 報 漏 えい 対 策 http://www.trendmicro.co.jp/security/winny/ シマンテック Winnyによる 機 密 情 報 漏 えいについて http://www.symantec.com/region/jp/winny/index.html