Webサーバの脆弱性を狙った攻撃

Similar documents
JSOCマネージド・セキュリティ・サービス(MSS) インシデントご報告・セキュリティ動向

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

OP2

ログを活用したActive Directoryに対する攻撃の検知と対策

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

なぜIDSIPSは必要なのか?(v1.1).ppt

JSOC INSIGHT vol.16 1 はじめに エグゼクティブサマリ JSOC におけるインシデント傾向 重要インシデントの傾向 発生した重要インシデントに関する分析 多数検知した通信について 今号のトピ

Trend Micro Cloud App Security ご紹介資料

マルウェアレポート 2018年1月度版

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

中小企業向け サイバーセキュリティ対策の極意

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

中小企業向け サイバーセキュリティ対策の極意

NOSiDEパンフレット

マルウェアレポート 2017年9月度版

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

PowerPoint プレゼンテーション

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

マルウェアレポート 2017年12月度版

サイバー攻撃者による不正な仮想通貨マイニングの実態

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

Microsoft PowerPoint ラック 村上様.ppt

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W

目次 1 はじめに 本資料について 用語の説明 サービス概要 シマンテッククラウド型 WAF について ウェブアプリケーションファイアウォール機能 ブロック モニタリング機能

ログ分析によるサイバー攻撃検知システムの構築

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

日立の「NX NetMonitor」と米国ファイア・アイの「FireEye NX」を連携させた標的型サイバー攻撃対策ソリューションを提供開始

PowerPoint プレゼンテーション

Webアプリケーションを守るための対策

SiteLock操作マニュアル

LCV-Net セットアップガイド macOS

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

ログ取得についてのお願い お客様のご都合でログの内容を修正してご提供いただいた場合には 正確な調査ができかねる場合が ございます ログの内容は修正をせずにそのままお送りいただけますようお願い致します LifeKeeper ログ取得方法 ログ採取にはサーバへの多少の負荷が予想されますので 比較的に負荷

マルウェアレポート 2018年3月度版

1 はじめに はじめに 本マニュアルは アルファメールプラチナをご利用のお客様が 新 Web サーバー環境 に移行する手順と設定方法をご案内しております 新 Web サーバー環境ご利用開始までの手順について お客様 弊社 新 Web サーバー切替の申し込み P.3 新 Web サーバー切替のお申し込

FutureWeb3サーバー移管マニュアル

目次 1. はじめに... 3 メールデータの移行 Thunderbird のインストールと Gmail の追加 Office365 のアカウントの追加 Gmail から Office365 へのメールデータの移行

PowerPoint Presentation

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

Sample 5

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

マルウェアレポート 2017年10月度版

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

FIREWALLstaff製品紹介

これだけは知ってほしいVoIPセキュリティの基礎

アルファメールプレミア 移行設定の手引き

製品概要

目次 はじめに サービス内容 管理者機能 利用者機能

サイバー攻撃の現状

Transcription:

Web サーバの脆弱性を狙った攻撃 攻撃事例とトレンドの変化 2015年11月17日 株式会社ラック サイバーセキュリティ本部 MSS統括部 JSOC サイバーセキュリティアナリシスグループ 森久 和昭, SSCP

自己紹介 名前 : 森久和昭 株式会社ラック入社 5 年目 (2013 年 2 月 ~ JSOC アナリスト ) 主業務 お客様機器で検知したログの脅威分析 脆弱性検証およびマルウェアの解析 JSOC オリジナルシグネチャの作成 趣味はハニーポット観察 2

株式会社ラックのサービスとセキュリティ監視 株式会社ラック サービス 製品 http://www.lac.co.jp/service/ 3

JSOC (Japan Security Operation Center) 4

JSOC のマネージドセキュリティサービス (MSS) 24 時間 365 日のリアルタイムセキュリティ監視 10 年以上に渡る セキュリティ監視サービスの継続実績 契約顧客は約 850 ユーザ (2015 年 4 月時点 ) 監視センサー数は 1500 台以上, 1 日のログ件数は約 8 億件 セキュリティ監視機器にマルチ対応 ファイアウォール (FW) Check Point Firewall-1/VPN-1, Cisco ASA, FWSM, Juniper Netscreen, SSG, Palo Alto, Forinet ForiGate など IDS/IPS McAfee Network Security Platform, Cisco ASA, IPS, IBM Security Network IPS, FirePower, SecureSoft Sniper IPS など サンドボックス FireEye WebMPS/MailMPS 5

2014 年の攻撃のキーワード ( 攻撃者の狙い ) 情報資産を狙った攻撃 計算 通信リソースを 狙った攻撃 6

2014年度に特に騒がれた Web サーバ関連の脆弱性 OpenSSL Heartbleed, CCS Injection, POODLE Apache Struts 情報資産を狙う ClassLoader 脆弱性を悪用 Bash リソースを狙う ShellShock CMS(プラグイン)の脆弱性 WordPress, Drupal SQL インジェクション 7

Heartbleed の脆弱性おさらい OpenSSL の Heartbeat 機能における脆弱性 脆弱なホストに攻撃を受けると メモリ上の データ(ID パスワード/秘密鍵等)が漏えいする危険性 情報資産を狙った 悪意ある攻撃 http://heartbleed.com/ 8

Heartbleed の脆弱性の攻撃検知件数 JSOC Insight Vol.5 (2014 年 11 月 12 日発行 ) http://www.lac.co.jp/security/report/2014/11/12_jsoc_01.html 9

Heartbleed の攻撃者は何人いたか 情報公開直後は約1,500個の IP アドレスから攻撃を検知 10

Heartbleed の攻撃者は攻撃を続けているか 多い日で約100個の IP アドレス 11

もし脆弱性が攻撃者に見つかると Heartbleed に脆弱なサーバ宛が発見された場合 異なる攻撃者から24時間以内に数百件の攻撃 1回の攻撃で漏えいするメモリは最大64KB 500回の攻撃を受けたときの想定 64KB * 500回 = 約31MB 漏えい 脆弱性が公開されてから 1年経過しても攻撃は衰えない 2015年7月22-23日の24時間以内の検知事例 12

Heartbleed の脆弱性まとめ 脆弱性公開直後は攻撃を大量に検知 その後 件数は少なくなるが攻撃は継続 脆弱性があることを攻撃者に知られると攻撃回数が急増する 13

ShellShock の脆弱性おさらい Bash における OS コマンドインジェクションの脆弱性 脆弱なホストに攻撃を受けると 任意の OS コマンドを実行 される危険性 マルウェア感染 効果的な DoS 攻撃 大量の通信が必要 (通信リソース) DoS 攻撃への加担 14

ShellShock の衝撃 ~2014~ NAS 製品を狙う 攻撃が急増* 約1,000 IP 攻撃手法が 確立されてきたころ 約800 IP 参考 JSOC Insight Vol.7 (2015年05月19日発行) http://www.lac.co.jp/security/report/2015/05/19_jsoc_01.html 15

ShellShock の衝撃 ~2015~ 16

攻撃者の狙い 1. 脆弱性有無の調査 文字列を表示させる 数式を計算させる wget の実行可能性確認 2. マルウェア感染 3. バックコネクト 17

Bash の脆弱性を狙って感染するマルウェア IRC ボットが大半を占める Bash の脆弱性を突かれてマルウェア感染する 攻撃者の IRC サーバへ接続 攻撃者から攻撃の指令を受け取る DoS 攻撃を開始 18

マルウェア(IRC ボット)の例 perl プログラム IRC ボットの共通点 通信リソースを盗み 攻撃に利用 tcpflood のIRC命令 C&C サーバのIP(ドイツ) udpflood のIRC命令 接続先ポート番号 19

IRC ボットではない別のマルウェア感染は Mayhem マルウェア(*) CMS(WordPress や Joomla! 等)のログイン ブルート攻撃や再帰問合せ可能な DNS サーバ の探査など幅広い攻撃機能を持つ 通信リソースが目的 ビットコインのマイニングをするマルウェア 計算によって仮想通貨(ビットコイン)を発掘 攻撃者に送金 計算リソースが目的 * Mayhemに首を突っ込む(エフセキュアブログ) http://blog.f-secure.jp/archives/50732011.html 20

Bash の脆弱性まとめ 脆弱性が公開されると攻撃件数が急増 脆弱を突かれてマルウェア感染すると IRC ボットの場合では DoS 攻撃に加担する可能性 高機能なマルウェアや 計算リソースを狙うマルウェアの場合もある 21

2015 年のトレンド CMS の脆弱性を狙った ファイルアップロード攻撃 特に WordPress を狙った 攻撃が急増中 22

WordPress を狙ったファイルアップロード攻撃件数 2015年5月末から 8月にかけて急増 (最大1,600件程度) 複数の脆弱性を同時に 狙う攻撃が多発 脆弱性ごとに重要インシデント(攻撃失敗)としてお客様へ通知した件数 23

よく狙われる WordPress プラグイン / テーマの脆弱性 Slider Revolution Showbiz Pro WP All Import Simple ADS Manager N Media Website Contact Form Gravity Forms Reflex Gallery DZS ZoomSounds Work The Flow Ultimate Product Catalogue Pagelines MailPoet InBoundio Marketing Wpshop ecommerce WP-Symposium Uploadify など多数 24

脆弱性を突いてアップロードされるもの Web Shell(*)が大多数を占める OS コマンド実行欄 ファイルアップロード欄 * Web Shell Web サーバを外部から操作する機能を持ったプログラムのこと 25

ファイルアップロードを試みる攻撃者の狙い ( 推測 ) 明確な根拠を示すことができないが マルウェアに感染させる過程で Web サーバを利用している可能性 マルウェアに感染させる過程での悪用例 エクスプロイトキットの設置 マルウェアの設定情報の設置 2 次感染や誘導先へのリンク マルウェア本体 26

マルウェア事例1 Bartalex マルウェア 2015年4月ごろに流行した Microsoft Office の マクロを悪用して感染するマルウェア(*) 暗号化したマルウェアの 設定ファイルを設置 *マクロを利用した不正プログラム BARTALEX 企業を攻撃対象に(トレンドマイクロ http://blog.trendmicro.co.jp/archives/11397 27 セキュリティブログ)

マルウェア事例2 標的型攻撃 2015年6月に受信した標的型メールに添付されて いた Word ファイルから感染するマルウェア Pony(別名:Fareit)マルウェア ブラウザや FTP クライアントソフトから アカウント パスワードを窃取する機能 28

2015 年のトレンドまとめ WordPress の脆弱性を狙った攻撃が急増 Web Shell のような不正なファイルがアップロードされる事例が多い サーバをのっとり マルウェアの配布や感染に不正利用される恐れがある 29

発表まとめ 2014 年に公開された脆弱性は 2015 年になっても継続して攻撃を検知している 脆弱なことが攻撃者に知られると短時間で大量に攻撃を受ける可能性がある 攻撃を受けた際にすばやく気づくために ネットワーク帯域の使用量や CPU 使用率などのリソース監視を実施 定期的なウイルススキャンとファイルの改ざんチェックを実施 30

Thank you. Any Questions? 本資料は 2015 年 11 月現在の情報に基づいて作成しており 記載内容は予告なく変更される場合があります 本資料に掲載の図は 資料作成用のイメージカットであり 実際とは異なる場合があります 本資料は 弊社が提供するサービスや製品などの導入検討のためにご利用いただき 他の目的のためには利用しないようご注意ください LAC ラック JSOC サイバー救急センターは株式会社ラックの登録商標です その他記載されている会社名 製品名は一般に各社の商標または登録商標です 株式会社ラック 102-0093 東京都千代田区平河町 2-16-1 平河町森タワー Tel 03-6757-0113 Fax 03-6757-0193 sales@lac.co.jp www.lac.co.jp

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック