• Like
最近の事例におけるサイバー攻撃の傾向と対策
Upcoming SlideShare
Loading in...5
×

最近の事例におけるサイバー攻撃の傾向と対策

  • 3,709 views
Uploaded on

地方自治組織における危機管理【サイバー攻撃対応編】 …

地方自治組織における危機管理【サイバー攻撃対応編】

最近の事例におけるサイバー攻撃の傾向と対策 情報連携の役割と取り組みの紹介。

一般社団法人JPCERTコーディネーションセンター 常務理事 有村 浩一

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
3,709
On Slideshare
0
From Embeds
0
Number of Embeds
5

Actions

Shares
Downloads
18
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 地方自治組織における危機管理【サイバー攻撃対応編】一般社団法人 JPCERTコーディネーションセン ター 常務理事 有村 浩一 2012年12月5日
  • 2. JPCERT/CCとは Japan Computer Emergency Response Team Coordination Center ジェーピーサート・コーディネンションセンター コンピュータ・セキュリティ・インシデントに関する調整・連携など の活動 国内組織や海外組織との連携活動 情報収集・分析・発信活動 「コーディネーションセンター(仲介機関)」としての役割 経済産業省からの業務委託として政策事業を遂行 コンピュータ・セキュリティ・インシデ ント:  コンピュータ・セキュリティに関係する人為的事象  意図的および偶発的なもの(その疑いがある場合)Copyright©2012 JPCERT/CC All rights reserved. 1
  • 3. コンピュータネットワークセキュリティの脅威変遷 1996 1998 2000 2002 2004 2006 2008 2010 2012 ▼カスケード ▼Laroux ▼Happy99/Melissa ▼CodeRed ▼Slammer ▼Mydoom/Netsky ▼Zotob/Bobax ▼Conficker ▼STUXNET ▼SpyEye マ ・LoveLetter/Sircam /Nimda /Blaster/Sasser /Bagle ▼Antinny ▼Silly/Autorun ▼Gumblar ▼Geimini ル ウ ェ FDなど媒体経 Officeファイル メール添付型 ファイル共有型 脆弱性を利用した マスメール型 P2P型 ボット型 USB型 Web感染型 Android 『 ア 由のウイルス マクロウイルス ・マスメール型 ネットワークワーム ・トロイの木馬 ウイルス 脅 威 攻 ▼ DoS攻撃 ▼ サーバへの不正アクセス ▼ DDoS攻撃 ▼ ボットネット ▼ ドライブ・バイ・ダウンロード攻撃 』 撃 手 ▼ パスワードクラッキング ▼ SPAMメール ▼ スパイウェア ▼ DNSキャッシュポイズニング の 法 ・ ▼ フィッシング詐欺 ▼ SQLインジェクション ゼロデイ攻撃 ▼ 変 事 ▼ ウォードライビング ▼ Web改ざん ▼ 偽AVソフト ▼ 標的型攻撃 遷 例 標 ● 個人 ● 組織 ● 重要インフラ ● 国家? ・的 目 ○ 愉快犯 ○ 金銭目的 ○ 個人情報窃取 ○ 機密情報窃取 ○ 組織活動妨害 ○ サイバーテロ 的脅威の変遷傾向・・・新型脅威の出現+過去の事象の蓄積  技術の変遷・・・巧妙、高度化、システマティックに  標的の変遷・・・個人 →組織 →重要インフラ →国家  目的の変遷・・・個人的興味・趣味 →研究者テーマ →愉快犯 →金儲け(大規模妨害、 個人情報詐取) →基幹・高度技術産業攻撃(機密情報詐取、経済戦争) → サイバーエスピオナージ(ネットワーク越し電子諜報活動) →国家安全保障侵害Copyright©2012 JPCERT/CC All rights reserved. 2
  • 4. JPCERT/CCの活動目的 不正アクセス等情報セキュリティ上の脅威となる行為は、経 済的な利得を目的として、組織化・分業化が高度に進んだ体 現在のモデル = 経済的、政治的動機 制で行われるようになってきている。 インテリジェンス目的 High — 攻撃者の意図を隠蔽するための様ざまな工夫が行われていた り、攻撃に用いられる手法も短期間のうちに変化 — 悪意ある攻撃を行う攻撃者は、攻撃用のツールの作成、攻撃 対象となる組織等の弱点の調査、ボットネット等の攻撃用の 盗み取る 大規模ネットワークの提供等をビジネス化し、国境を越えて、 利益 分業化・専門家が高度に進んだ、効率化された体制を整えて いる また、アジア太平洋地域におけるIT利用の急激な拡大により 情報セキュリティに関する脅威の源が地域的・量的に拡大し ている。 Low 攻撃者のコスト・リスク 攻撃者にとっての資産価値このような状況下において、安全なIT利用環境を確保するためJPCERTコーディネーションセンターでは、 攻撃者のコストを引き上げ、攻撃を抑止する  迅速な攻撃の検知及び攻撃元等に対する対応依頼等の調整 抑止,  攻撃者の狙いをより早いタイミングで把握して事前の予防策 High 社会全体での一貫した対応 を講 資産保有者に対する啓発 じるための脅威情報の収集、分析、迅速かつ適切な範囲で 迅速な検知、復旧 の共有 効果的なインシデントレスポンス  攻撃の対象となる問題個所が発見された合の迅速な修正等の ソフトウエアの脆弱性低減, 調整、関係情報のコントロール 脆弱性分析、脆弱性ハンドリング  セキュアなシステム構築・運用の推進 資産保有者への情報提供 リスク対象となる資産価値を減尐させる 等、脅威の変化に応じ、攻撃者側のコストを引き上げるためのあ low 攻撃者のコスト・リスク 攻撃者にとっての資産価値 らゆる施策を、有機的に組み合わせ、関係機関とも連携しつつ、 実施する。Copyright©2012 JPCERT/CC All rights reserved. 3
  • 5. JPCERT/CCの活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 情報収集・分析・発信 インシデントハンドリング 定点観測(ISDAS/TSUBAME) (インシデント対応調整支援)  未公開の脆弱性関連情報を製品開発者へ  マルウエアの接続先等の攻撃関連サイト  ネットワークトラフィック情報の収集分 提供し、対応依頼 等の閉鎖等による被害最小化 析  関係機関と連携し、国際的に情報公開日  攻撃手法の分析支援による被害可能性の  セキュリティ上の脅威情報の収集、分析、 を調整 確認、拡散抑止 必要とする組織への提供  セキュアなコーディング手法の普及  再発防止に向けた関係各関の情報交換及 全センサーのポートスキャン合計 ポートスキャンの上位 5 位を表示 ポートスキャンの平均値 = (単位:時間) 30 センサー合計 ( M P は常に表示、 o t h e r はその他合計) IC  制御システムに関する脆弱性関連情報の び情報共有 IC M P 25 TCP 1 35 適切な流通 20 TCP 4 4 5 UDP 1 37 15 TCP 1 39 TCP 1 02 5 10 o t h er 5 0 12/9 12/ 10 12/11 12/12 12/ 13 12/14 Data 早期警戒情報 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 CSIRT構築支援 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 アーティファクト分析 マルウエア(不正プログラム)等の攻撃手法の分析、解析 国際連携 各種業務を円滑に行うための海外関係機関との連携Copyright©2012 JPCERT/CC All rights reserved. 4
  • 6. 地方自治体の情報セキュリティ担当の皆様とJPCERT/CCとの接点 1. 内容 1.1 早期警戒情報の受信 1.2 インシデントハンドリングにおける対策支援 DDoS攻撃トラヒック停止要請、 Web改ざん通知、標的型攻撃メール受信対 応、ウイルス感染対処支援、悪意あるサーバーのテイクダウンなど 1.3 啓発活動 座学・セミナ-、メディア露出、実習実施、ITセキュリティ予防接種 2. JPCERT/CCへのコンタクトスタイル 2.1 直接コンタクト型 2.2 LASDEC【財団法人 地方自治情報センター】殿を経由したスタイル これまでにJPCERT/CCとの接点があったでしょうか。 これまでに情報セキュリティにかかる問題に直面した経験をお持ちでしょう か。Copyright©2012 JPCERT/CC All rights reserved. 5
  • 7. JPCERT/CCからの情報発信 早期警戒情報などの紹介 【セキュリティリスク低減の観点から早期に共有すべ きと判断した対策を含む脅威情報の発信】Copyright©2012 JPCERT/CC All rights reserved. 6
  • 8. 情報発信の種別 発行 カテゴリ 名称 説明 対象 配信方法 間隔 主に脆弱性、脅威情報などから、国内へ大き な影響を与えたり、重要インフラ事業者へ影 重要インフラな WAISE 早期警戒情報 響を与えると考えられるものについて、その 適宜 概要と対策などをまとめた情報。注意喚起と ど + e-mail Alert 異なり、即時性に重点。 主に脆弱性、脅威情報などから、国内へ大き 企業、一般ユー Webサイト 注意喚起情報 な影響を与えると考えられるものについて、 適宜 その概要ととるべき対策などをまとめた情報。 ザ + ML 日々収集する「脆弱性情報」、「脅威情報」、 「セキュリティ関連情報」のうち、重要な情 海外CSIRT,重要 WAISE 報をセレクトし、アナリストのコメントをつ Analyst Note けて編集。「アナリストのメモ」的位置づけ 毎日 インフラなど +e-mail Reference の参考情報。 企業、組織のシステム管理者を対象として、 企業、一般ユー Webサイト Weekly Report 過去1、2週間に公開された重要な脆弱性情 毎週 報とそのサマリーをまとめた情報。 ザ + MLCopyright©2012 JPCERT/CC All rights reserved. 7
  • 9. 早期警戒情報発信ポリシー、提供先組織数  ポリシー ① 即時性優位の原則 JPCERT/CCに集約される情報は速やかに情報共有の必要な組織に提供 ② 対策情報付加の原則 脅威情報に対する対策情報・有効な回避情報がある場合に発信 ③ 発信先決定権の保持 共有先は、情報の機密性・内容をかんがみ、JPCERT/CCが判断 ④ 登録者情報非公開の原則 共有先は非公開  提供組織数【2012.7現在】 重要インフラ等組織 約60 製品ベンダ 約10 その他(Sier、Hosting事業者) 約40 配信実数は2,3万のオーダーCopyright©2012 JPCERT/CC All rights reserved. 8
  • 10. Operation Flow:情報収集から発信まで 収集先 提供先  公開情報(パブリックモニタリング) 重要インフラ事業者、システム管理者、  未公開情報 一般ユーザ、企業内CERT、通信  定点観測システムにおける観測情報 事業者、製品開発者、インシデント  有料情報 対応依頼先など 収集実績【2010年度】・・・ 11,671件 ① 情報収集 ③ 情報発信 ② 脅威分析 脅威分析にて考慮する頄目例 インシデントの発生状況、国内での利用 状況、攻撃用ツールの公開状況、攻撃 成功時の影響、遠隔攻撃容易性Copyright©2012 JPCERT/CC All rights reserved. 9
  • 11. 早期警戒情報の例 WW-2008-0801 標的型攻撃に関する検知情報(2008年8月22日) WW-2008-0901 CitectSCADA の脆弱性攻撃コードの公開について WW-2009-0603 TCP/IP を使用したシステムのサービス妨害攻撃の可能 性に関する情報 WW-2009-0702 [参考情報] 韓国に対する同時多発サイバー攻撃につ いて WW-2010-0902 日本に対するサイバー攻撃予告に関する早期警戒情報 WW-2011-0404 原子力関連企業に対するサイバー攻撃に関する早期警 戒情報 WW-2011-0908 2011年9月18日の日本に対するサイバー攻撃に関して WW-2012-0604 Anonymous による日本の政府機関に対する攻撃予告に ついてCopyright©2012 JPCERT/CC All rights reserved. 10
  • 12. インシデント対応支援 【国内外からのコンピュータセキュリティインシデントの 報告受付と対応支援】 以下のスライド作成にあたり、株式会社サイバーディフェンス研究所 情報分析部長、名和氏の知見を引用させて頂きました。Copyright©2012 JPCERT/CC All rights reserved. 11
  • 13. 対応支援の例・対応実績  インシデント対応支援例  DDoS攻撃トラヒック停止要請  改ざんされたwebサイトの通知  標的型攻撃メール受信対応 など  対処事例紹介  2011年度実績 8485件  9・18 尖閣諸島問題に関連した 内訳 サイバー攻撃【DoS攻撃、Web改ざ ん】 コンタクト先 報告元 【被害者】 国内 海外 国内 21% 38% 海外 36% 5%Copyright©2012 JPCERT/CC All rights reserved. 12
  • 14. 歴史的攻撃特異日  サイバー攻撃のきっかけとなりやすい日  多数の攻撃参加者が共感を得やすい 歴史的記念日 中国 韓国 旧正月(1月、2月) 春節 2月11日 建国記念日 2月22日 竹島の日 3月1日 独立運動開始日 5月4日 5・4運動記念日 5月9日 二十一ヶ条の要求(国恥記念日) 7月7日 7・7抗戦記念日(盧溝橋事件) 8月15日 光復節 9月3日 抗日戦争記念日 9月18日 柳条湖事件(満州事変) 10月初旬 国慶節 しかし、特異日という理由だけで大規模攻撃は起きないCopyright©2012 JPCERT/CC All rights reserved. 13
  • 15. DDoS攻撃の日常的な発生状況 http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol14.pdf  観測期間:2011.10 ~2011.12  対処件数総数:450件(4.9件/日)  攻撃種類 回線容量に対する攻撃(1%) サーバーに対する攻撃(72%) 複合攻撃(27%)  最大攻撃量:275,000 pps(1.4Gpps)  攻撃継続時間 30分未満(60%) 30分~24時間未満(20%)  最大継続時間:12日間(12万pps、670Mbps)Copyright©2012 JPCERT/CC All rights reserved. 14
  • 16. DDoS攻撃への備え 有効な対策が無いのが実情 相手は、遠隔操作可能なウイルスに感染したPC、リソースは莫大 サーバー管理者・運用担当・技術者向け ① 対策方針の策定  サーバー停止による業務影響の評価  サーバー機能回復の目標設定 ①全面停止(工事中表示)、②通信範囲(国内のみ、業務上の提携相手のみなど)の制限、 ③通品品質の低下(接続数制限、全体帯域制限など)  サーバー耐性の向上 ①ハード・ソフト能力の向上DDoS対策専用装置・専用サービスの導入、②通常のアクセス殺到時の耐 性レベルの検討 ② 異常検出の仕組み構築  大量ログデータの保管、迅速な利用、適切時間内の分析能力の保有 ③ 他組織(契約ISP、LASDEC、JPCERT/CCなど)への協力要請の事前準備 全般的な留意点 DDoS攻撃には攻撃者の意図が強く表れるので、  世間動向への注目  所属組織に関わるニュースへの注目(いさかい前兆の早期発見のため)  攻撃対象の手がかり情報のインターネット上への露出具合に注意Copyright©2012 JPCERT/CC All rights reserved. 15
  • 17. 特異日攻撃の発生モデル(仮説) 特異日という理由だけでは、大規模攻撃は起きない  攻撃特異日  炎上を誘発できそうな時事的なネタがある 大々的報道  コミュニティ内でキャンペーン  そして盛り上がって・・・ 攻撃先選定検討、攻撃ツール配布、攻撃練習  気合いがため XX日YY時に攻撃開始・・・ 決行Copyright©2012 JPCERT/CC All rights reserved. 16
  • 18. 中国における大々的な報道【2010年】 日本巡逻船冲撞我国渔船 - 日本巡逻舰冲撞 中国渔船 - 优酷视频 http://news.youku.com/rbxlcczzgycCopyright©2012 JPCERT/CC All rights reserved. Copyright © 2012 Cyber Defense Institute, Inc. All rights reserved. 17
  • 19. その他の情報収集  9/12 「中国红客联盟」 の動き  共有されている攻撃ツールに関する情報  攻撃参加希望者への訓練風景Copyright©2012 JPCERT/CC All rights reserved. 18
  • 20. 今年度、9・11事案にかかるサイト応答時間低下および改ざん発見の件数 WEBサイト サイト 観測期間 応答時間遅延 発見件数 09.08 - 09.10 0 0 09.11 – 09.13 1 0 09.14 – 09.16 10 41 09.17 - 09.19 11 24 09.20 – 09.22 0 1 09.23 – 09.25 0 1 09.26 – 09.28 0 10 09.29 – 10.01 0 1 10.02 - 0 1 合計数 22 79Copyright©2012 JPCERT/CC All rights reserved. 19
  • 21. 最近注目の話題 標的型攻撃メール 東日本大震災に便乗した攻撃 【実例】 ドキュメントが表示された裏 ではマルウエアが実行されて います。 原発事故に便乗した不正なメールを確認 – Tokyo SOC Report 添付ファイルを開いた際に表示されるダミーのエクセルファ [出典] https://www-950.ibm.com/blogs/tokyo- イル soc/entry/spam_jp_20110330Copyright©2012 JPCERT/CC All rights reserved. 20
  • 22. 標的型攻撃の特徴 ソーシャルエンジニアリング的手法 なんとか感染させようとする • 時事ネタ(興味をひく)  新型インフルエンザ  震災関連情報 • 私的情報(信用させる)  自分が送ったメールに対する返信  上司や顧客、ビジネスパートナー等からのメール • 機密情報(孤立させる)  異動通知 未修正の脆弱性の悪用 • アプリケーションの脆弱性 悪用される脆弱  文書ファイル型(doc, xls, pdf, …) 性 • OSの脆弱性 “ゼロディ”  実行ファイル型(exe, dll, …) とは限らない!!Copyright©2012 JPCERT/CC All rights reserved. 21
  • 23. 日本国内の潜伏標的型攻撃事例 ※攻撃の仕掛け(入口)、攻撃に気づく端緒、潜伏期間には違いがあるが、 現在分かっている範囲では、情報窃取型の攻撃に共通する流れ。 1日目 2日目~ 1.5ヶ月 標的型メールとは 開封後も気付 ファイルサーバ 思わず開封 かず がリブート PDF 初動 PDF PDF PDF 気付く PDF PDF PDF PDF 対応 PDF PDF A社 数人に 全社員 リモートにて 機密情報 仕込んでいた メール にメール 管理者権 ID,パスワード 窃取 作業中失敗 限のID,パス を用いて ワード窃取 物色行動 情報 作業 仕掛け 侵入 窃取 失敗 攻撃者Copyright©2012 JPCERT/CC All rights reserved. 22
  • 24. 攻撃分析 侵入のステップ ① ⑪ ② 攻撃中継 • 攻撃のための調査…① 管理・中継 ステージ • 攻撃環境の準備…② サーバ サーバ (メール, ウェブ Ⅰ (C&Cサーバ) 等) • マルウエア添付メールの送信…③ • エクスプロイト・インストール…④⑤ ⑩ ⑥ ③ ステージ • 管理・中継サーバ(C&C)への接続…⑥ 感染・侵入口 Ⅱ 蓄積・送信 ⑨ PC PC (複数の場合 • 感染PCを経由してネットワークを探索…⑦ ④ も) ステージ • 他のPCに侵入…⑧ ⑤ Ⅲ ⑦ • 管理・中継サーバ(C&C)への接続…⑨ ⑧ • 収集した情報の送信…⑩ ステージ • 攻撃者による情報回収…⑪ Ⅳ 対象組織のネットワークCopyright©2012 JPCERT/CC All rights reserved. 23
  • 25. 組織における対策 攻撃フェーズ ① Target Discovery ① ⑪ 攻撃対象の調査 ② Attack Tool Tailoring 管理・中継 攻撃中継 ② 攻撃環境・ツールの組み立て サーバ サーバ 入口・出口対策 Delivery (C&Cサーバ) (メール, ウェブ等) ユーザのリテラシ向 ③ メール等による配布 上 Exploit ④ ⑩ ⑥ ③ 各サーバ・PCにおけ 脆弱性の悪用 る基本対策と証跡保 ⑤ Installation ⑨ 管 マルウエアのインストール Command and Control ④ 堅牢なシステム構成 ⑥⑨ 外部との通信 と安全な運用 Action on Objectives ⑤ ⑦⑧ 本来の目的の遂行 ⑦ ⑧ 対象組織のネッ ワーク ト 【参考】 『新しいタイプの攻撃』の対策に向けた設計・運用ガイド、 IPA http://www.ipa.go.jp/security/vuln/documents/newattack.pCopyright©2012 JPCERT/CC All rights reserved. df 24
  • 26. 標的型攻撃対処に向けた情報共有への期待 メールや添付ファイル等に関する情 マルウエア感染後に発生する通信に関する 報が活用できないか? 情報が活用できないか? • メール等によりLAN内 • マルウエア(RAT等)に感染 へ到達する したPCから、攻撃者 の管理するサーバに接 続する 脆弱性に関する情報の流通  「ソフトウエア等脆弱性関連情報取扱基準」に 従った調整業務(IPA, JPCERT/CC) マルウエアの通信に関する情報の活用  組織内CERT間の情報連携により展開 マルウエアの通信に関する情報の活用  事業者・開発者との情報共有 • 添付ファイルの開 攻撃者の メールや添付ファイル等に関する情報の活用 封によりマルウエ サーバ アに感染する  ユーザに近い領域での情報共有 脆弱性に関す る情報の流通  【参考】 自治体セプターの取り組み LASDEC ステージⅠ ステージⅡ https://www.lasdec.or.jp/cms/12,1279.htmlCopyright©2012 JPCERT/CC All rights reserved. 25
  • 27. 啓発事例 ITセキュリティ予防接種の紹介 【不審メールに対するユーザ 啓発】 「電子メールを用いた受動型攻撃に対するエンドユーザのセキュリティ意識の向上を目的とする調 査・訓練の手法で、対象者に不審メールを模した無害なメールを送付し、適切な取扱いを行えるか を試すもの メールの内容 添付ファイルの内容 [差出人] 組織内の人間を騙る [内容]2007年度からJPCERT/CCにお 業務に関連する情報いて、IT予防接種の効果及び効率的な実施方法を調査するため、国内企業に対して実施。2008年度は、14組 [添付ファイル]織 2600名 (8業種)を対象に Word ファイルを添付実施 見えない画像ファイルへのリンクを埋め込む http://targeted.example.co.jp/user1.jpg  ツールは無償配布。入手されたい方は、JPCERT/CCにメールにてご連絡ください。  ただし諸藩事情でサポートは行っていません。ご了承ください。Copyright©2012 JPCERT/CC All rights reserved. 26
  • 28. 予防接種による効果 開封率の現象 開 封 率 ほとんどの人は、受信してから開 封までそれほど時間を書けない メール送信からの経過時間 【参考】 メール依存度が高い業種では、最初の1時間でほとんどの人がメールを確認する。システム管理者が気づいてから アラートを発しても間に合わない。 日頃のトレーニングが必要 2011年10月-12月に内閣官房情報セキュリティセンター(NISC)が実施した、「標的型メール攻撃訓 練」の中間報告では、1回目の開封率10.1%、2回目の開封率3.1%となっており、開封率に変化が見 られている。 「標的型不審メール攻撃訓練」結果の中間報告 http://www.nisc.go.jp/active/general/pdf/hyoutekigata_120119.pdfCopyright©2012 JPCERT/CC All rights reserved. 27
  • 29. 仲介機関としての役割: 【CERT連携】がないとCopyright©2012 JPCERT/CC All rights reserved. 28
  • 30. お問い合わせ、インシデント対応のご相談は ‒ Email:office@jpcert.or.jp ‒ Tel:03-3518-4600 ‒ Web: https://www.jpcert.or.jp/ インシデント報告 ‒ Email:info@jpcert.or.jp ‒ Web: https://www.jpcert.or.jp/form/ ご清聴ありがとうございました。Copyright©2012 JPCERT/CC All rights reserved. 29