2009 年 度 卒 業 研 究 発 表 会 国 内 外 からのスパムメールの 調 査 分 析 に 関 する 研 究 指 導 教 員 石 井 啓 之 情 報 理 工 学 部 情 報 通 信 電 子 工 学 科 6ADJ2209 藤 田 聡 美 2010 年 2 月 19 日 1
発 表 の 流 れ 1. 研 究 背 景 2. 研 究 目 的 3. 実 験 方 法 4. 実 験 結 果 5. 今 後 の 検 討 課 題 6.まとめ 2
1. 研 究 背 景 迷 惑 メールが 増 加 してい る 理 由 インターネットの 普 及 コストがかからないため 利 益 率 が 高 い 迷 惑 メールプログラム(Botnet)の 進 化 3
アドレス 収 集 BOTの 仕 組 み 掲 示 板 1 掲 示 板 2 掲 示 板 3 掲 示 板 n アドレス 1 アドレス 2 アドレス 3 アドレス n Herder 4
2. 研 究 目 的 実 際 に 迷 惑 メールを 収 集 してみて どのような 傾 向 があり 対 策 がとれるのか 検 討 した 5
3. 実 験 方 法 satomix.orgというドメインを 取 得 し 無 限 にメールアドレスを 作 れるようにした 国 内 外 の 掲 示 板 ブログに 一 意 な メールアドレスを 貼 り 付 け 迷 惑 メールを 収 集 した (この 方 法 により どのサイトから 迷 惑 メールが 送 信 されている のかが 分 かる) 6
3. 実 験 方 法 収 集 期 間 2009 年 9 月 23 日 ~2010 年 2 月 4 日 貼 り 付 けたサイト 数 日 本 30サイト( 主 に 出 会 い 系 サイト) 海 外 約 150サイト ( 主 に 個 人 がやっているプライベートBlog) 7
4. 実 験 結 果 日 本 語 のメールは 外 国 語 のメールと 比 較 して 貼 り 付 け 件 数 が 少 なかったとは 言 え かなり 少 なかった(わずか23 件 ) 日 本 のサーバからアドレスを 収 集 する 迷 惑 メールプログラム(Bot)が 少 ないと 思 われる 8
迷 惑 メールの 種 類 グラフ 日 本 出 会 い 目 的 21 件 3% 警 告 メール 2 件 0.3% 寄 付 関 連 48 件 7% 広 告 169 件 26% 迷 惑 メール 受 信 総 数 658 件 フィッシング 418 件 64% 9
迷 惑 メールの 種 類 詳 細 Web 広 告 86 通 (50.8%) ビジネス 広 告 23 通 (13.6%) 物 販 販 売 21 通 (12.4%) 医 者 リスト 販 売 15 通 (8.9%) 広 告 関 係 169 通 音 楽 配 信 8 通 (4.7%) ソフトウェア 販 売 4 通 (2.3%) 学 会 招 待 4 通 (2.3%) ダイエット 薬 品 2 通 (1.2%) 弁 護 士 リスト 販 売 2 通 (1.2%) ミステリーショッパー 2 通 (1.2%) 怪 しい 添 付 ファイル 付 メール 66 通 ( 広 告 メール 全 体 の39%) 10
ビジネスを 称 したフィッシング 詐 欺 メール 11
音 楽 配 信 の 広 告 メール( 外 国 ) 12
広 告 をうたってウィルスサイトへ 誘 導 させるメール 13
各 アドレスに 対 する 迷 惑 メール 宛 先 件 数 順 位 lala 49 2 sachiko5 8 16 dion11 42 3 lala3 32 5 satoko 5 17 dion13 22 12 lala4 26 10 satoko4 2 20 dion21 17 13 lala9 10 15 satoko5 2 20 dion26 2 20 lala11 32 5 satoko7 2 20 dion29 52 1 dion30 2 20 don16 25 11 lala19 29 8 lala21 27 9 lala24 2 20 satoko8 2 20 kiddy3 11 14 kiddy6 3 19 kitty4 2 20 gaga8 4 18 lala26 30 7 kitty6 36 4 14
5.まとめ メールを 収 集 した 結 果 貼 り 付 けたサイトのジャンルと 来 た 迷 惑 メールのジャンルに 関 係 性 は 認 められなかった 受 信 したメールの 内 実 に6 割 がフィッシングメールだった 広 告 メールも 怪 しいサイトに 繋 がってしまう 可 能 性 があ る 悲 しいエピソードを 載 せて 寄 付 を 募 るメールも 出 回 ってい る 手 口 が 複 雑 化 しているため 気 をつける 必 要 がある セキュリティソフトをインストールする こまめにパソコンを 最 新 状 態 にする 15
6. 今 後 の 検 討 課 題 サイトの 規 模 と 迷 惑 メールの 関 係 性 の 明 確 化 送 信 元 アドレス 偽 装 の 解 析 プログラムの 作 成 実 験 規 模 の 拡 大 16
ご 清 聴 ありがとうございました 17
2010/2/19 2009 年 度 卒 業 論 文 合 同 発 表 会 不 正 アクセスの 可 視 化 システムの 構 築 に 関 する 研 究 情 報 理 工 学 部 情 報 通 信 電 子 工 学 科 杉 山 祐 介 野 村 隆 弘 原 田 優 貴 高 野 覚 指 導 教 授 石 井 啓 之
目 次 研 究 背 景 不 正 アクセスの 概 要 問 題 点 と 目 的 要 求 条 件 システム 仕 様 Syslogとの 比 較 まとめ 検 討 課 題 19
研 究 背 景 インターネットの 普 及 により 遠 隔 からネットワークを 経 由 して 攻 撃 対 象 となるサーバへの 侵 入 行 為 やサービス 停 止 を 目 的 とする 不 正 アクセス が 増 えている 1500 被 害 を 受 けた 特 定 電 子 計 算 機 の アクセス 管 理 者 の 推 移 1000 500 0 平 成 15 年 平 成 16 年 平 成 17 年 平 成 18 年 平 成 19 年 プロバイダ 一 般 企 業 大 学 研 究 機 関 など その 他 プロバイダ とは インターネットに 接 続 する 機 能 を 提 供 する 電 気 通 信 事 業 者 20
不 正 アクセスの 手 順 1アドレススキャン 2ポートスキャン 3パスワードクラッキング 4 不 正 実 行 21
1アドレススキャン 対 象 となるサーバを 探 す 作 業 22
2ポートスキャン 侵 入 する 入 り 口 を 探 す 作 業 23
3パスワードクラッキング 侵 入 を 試 みる 作 業 24
4 不 正 実 行 実 際 に 不 正 を 行 う 25
サーバにかかる 負 荷 SSHによる 不 正 アクセスが システムにどのように 影 響 を 与 えるか 26
不 正 アクセスについて 管 理 者 がサーバを 守 るために 何 が 知 りたいのか? 攻 撃 があるのか? 傾 向 はどうなのか? 対 策 は 何 が 有 効 なのか? Syslog 各 種 のUNIXが 備 わってるシステム ログ 出 力 機 能 システムメッセージをファイルに 保 存 する 仕 組 み 27
Syslogの 詳 細 Jul 29 18:43:13 localhost sshd[800]: pam_succeed_if(sshd:auth): error retrieving information about user sales Jul 29 18:43:15 localhost sshd[800]: Failed password for invalid user sales from 222.211.67.60 port 42758 ssh2 Jul 29 09:43:15 localhost sshd[801]: Received disconnect from 222.211.67.60: 11: Bye Bye Jul 29 18:43:19 localhost sshd[802]: Invalid user recruit from 222.211.67.60 Jul 29 09:43:19 localhost sshd[803]: input_userauth_request: invalid user recruit Jul 29 18:43:19 localhost sshd[802]: pam_unix(sshd:auth): check pass; user unknown Jul 29 18:43:19 localhost sshd[802]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.211.67.60 28
研 究 目 的 正 規 ユーザのアクセスか 不 正 ユーザのアクセスかわかりにくい 攻 撃 の 総 数 がわかりにくい 文 字 の 羅 列 で 情 報 を 見 落 としがちになってしまう 管 理 者 が 知 りたい 情 報 がわかりにくい 管 理 者 の 手 間 を 削 減 するために 不 正 アクセス 可 視 化 システムを 構 築 する 29
要 求 条 件 不 正 アクセス 可 視 化 システムの 要 件 ( 要 件 1) 攻 撃 かどうか 瞬 時 に 判 別 可 能 ( 要 件 2) 総 攻 撃 回 数 のカウントに 時 間 がかからない ( 要 件 3) 攻 撃 元 の 特 定 が 瞬 時 に 可 能 なもの ( 要 件 4) ユーザにとって 視 覚 的 にわかりやすいもの 30
システム 仕 様 アクセスログを 集 計 し 世 界 地 図 と 順 位 表 で 不 正 アクセス 情 報 を 確 認 で きるシステム プログラミング 言 語 はJavaを 使 用 動 作 環 境 研 究 室 サーバ Fedoracore8,Celeron CPU2.53GHz,メモリ メモリ1GB Syslogで で 記 録 されているsshサーバを 対 象 31
システム 概 要 図 サ ー バ ログ 1 読 込 3ログの 集 計 国 名 ユーザ 名 IPアト レス 各 集 計 項 目 各 アクセス 総 数 連 続 アクセス 数 割 合 csv,html 形 式 で 保 存 2 国 の 判 別 4 読 込 RIR 5 可 視 化 Webブラウザで 閲 覧 可 能 インターネット 集 計 結 果 は 地 図 と 順 位 表 で 可 視 化 *RIR: 地 域 インターネットレジストリ 32
システム 仕 様 実 装 した 機 能 集 計 総 攻 撃 回 数 のカウント 使 用 された 各 ユーザ 名 の 特 定 と 使 用 回 数 攻 撃 元 IPアドレスの 特 定 とアクセス 数 攻 撃 元 の 国 名 の 判 別 とアクセス 数 可 視 化 Webブラウザ 上 で 表 示 できるようにする 各 集 計 結 果 は 順 位 表 で 表 示 国 ごとのアクセス 推 移 を 色 分 けして 地 図 表 示 33
不 正 アクセス 可 視 化 システムの 概 要 図 読 込 国 ごとのアクセス 数 サ ー バ ログ 集 計 プログラム 地 図 作 成 アプレット 国 の 判 別 順 位 表 データ 地 図 データ RIR インターネット Webブラウザで 閲 覧 可 能
集 計 プログラム Syslogの 作 成 したログ 情 報 を 読 み 込 み 必 要 な 情 報 をカウントするプロ グラム 1. Syslogのログ 情 報 の 読 み 込 み 不 正 アクセスしてきたユーザ 情 報 (IPアドレス 使 用 ユーザ 名 ) のみ 読 み 込 み( 正 規 ユーザは 除 外 ) 2. 不 正 アクセスもとのIPアドレスをRIRに 問 い 合 わせ 国 を 判 別 する 3. 不 正 アクセスしてきたユーザ 情 報 のカウント 個 別 IPアドレスと 国 ごとの 総 攻 撃 回 数 使 用 ユーザ 名 4. 集 計 結 果 を 出 力 Webブラウザで 順 位 表 示 するためのファイル(html) 地 図 作 成 アプレットにカウントの 結 果 を 渡 すファイル(csv) 35
地 図 作 成 アプレット 集 計 プログラムのカウント 結 果 を 読 み 込 み 世 界 地 図 を 作 成 するプロ グラム 世 界 地 図 の 色 から 国 あたりのアクセス 数 集 計 期 間 総 攻 撃 回 数 36
Syslogとの 比 較 攻 撃 が あるかどうか 総 攻 撃 回 数 攻 撃 元 の 特 定 わかりやすさ 可 視 化 システム 不 正 アクセスのみ 集 計 事 前 に 集 計 済 み 地 図 表 示 順 位 表 地 図 表 示 順 位 表 Syslog わかりにくい 手 間 と 時 間 がかかる 手 間 と 時 間 がかかる わかりにくい 39
まとめ Syslog 攻 撃 かどうかわかりにくい 総 攻 撃 回 数 のカウントに 時 間 がかかる 攻 撃 元 の 特 定 に 時 間 がかかる ユーザにとってわかりにくい 可 視 化 システムの 構 築 総 件 数 をカウントし 地 図 や 順 位 表 で 表 示 できるシステム 時 間 の 短 縮 情 報 の 簡 略 が 可 能 になった 40
検 討 課 題 集 計 プログラムの 自 動 化 対 策 の 自 動 化 (IPアドレスのアクセス 拒 否 など) 41
御 清 聴 ありがとうございました 42
43
Botnetの 対 策 OP25B(Outbound Port 25 Blocking) OP25 対 応 前 44
Botnetの 対 策 OP25 対 応 後 45
考 察 1 年 間 で 約 35 万 件 のアクセスがあったのがわかった 同 じIPアドレスから 何 回 もアクセスしてくる 3 回 認 証 に 失 敗 したら その 日 は 入 れないようにする 全 体 の9 割 は 海 外 から 来 てる 海 外 からのアクセスをシャットアウトする 初 期 設 定 のユーザ 名 を 使 用 してくる 不 正 アクセスが 多 い root,admin,test etc 人 名 のアクセスも 多 い なるべく 初 期 設 定 や 人 名 は 使 用 しない 46
仕 組 み 任 意 のフォルダ Webブラウザで 閲 覧 集 計 プ ロ グ ラ ム 出 力 Ranking.html CSV index.html 地 図 作 成 アプレット Country_all 国 名 アクセス 件 数 読 込 47