SlideShare a Scribd company logo

「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai

OWASP Kansai
OWASP Kansai

OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaでご発表いただいた JPCERT/CC 早期警戒グループ 平岡佑一朗さんの資料です

Technology
1 of 21
Download to read offline
日本を取り巻く 最新の脅威情報と JPCERT/CC の活動 2017年9月2日 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 平岡 佑一朗
みなさん 知ってますか? 1
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※)」として活動 ※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援 脆弱性情報ハンドリング  未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼  関係機関と連携し、国際的に情報公開日を 調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携国際連携 インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携  マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性の確 認、拡散抑止  再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集・分析・発信 定点観測(TSUBAME)  ネットワークトラフィック情報の収集分析  セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで — JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開 国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの) を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch) — C:¥Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2. CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 — 対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない — むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア — GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16
Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策 利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC 早期警戒グループ 早期警戒情報登録受付窓口 ww-info@jpcert.or.jp JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
Copyright ©2017 JPCERT/CC All rights reserved.19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター — Email:pr@jpcert.or.jp — Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form
Copyright ©2017 JPCERT/CC All rights reserved.20 ご静聴ありがとうございました

Recommended

標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...satoru koyama
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?Tomohiro Nakashima
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-Tomohiro Nakashima
 
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲 IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲akira sakaino
 
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナー
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナーIoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナー
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナーHAPPY PROJECT LLC/ Kyoto University of Foreign Studies/ Yokohama National University
 

Recommended

標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...satoru koyama
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?「グローバルプラットフォーマー問題」なにそれ?おいしいの?
「グローバルプラットフォーマー問題」なにそれ?おいしいの?Tomohiro Nakashima
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-Tomohiro Nakashima
 
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲 IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲
IoT/M2Mが切り拓く未来と課題 NTTコミュニケーションズ IoT・エバンジェリスト 境野 哲akira sakaino
 
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナー
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナーIoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナー
IoT emergency 2018.02.03/ 第23回日本集団災害医学会総会・学術集会ランチョンセミナーHAPPY PROJECT LLC/ Kyoto University of Foreign Studies/ Yokohama National University
 
B2-4 DNS でいま起きていること
B2-4 DNS でいま起きていることB2-4 DNS でいま起きていること
B2-4 DNS でいま起きていることJPAAWG (Japan Anti-Abuse Working Group)
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくるJPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)JPCERT Coordination Center
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティgree_tech
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aPresentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aTakeo Sakaguchi ,CISSP,CISA
 
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発HealthcareBitStation
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会 IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会 IoTビジネス共創ラボ
 
組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについてTetsuo Furuichi
 
IoT時代のビジネスチャンスのとらえ方
IoT時代のビジネスチャンスのとらえ方IoT時代のビジネスチャンスのとらえ方
IoT時代のビジネスチャンスのとらえ方Japan External Trade Oragnization, Switzerland
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)Uniadex Ltd.
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptxtest_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptxTrainocate Japan, Ltd.
 
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件Hibino Hisashi
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかグローバルセキュリティエキスパート株式会社(GSX)
 
IoT時代のソフトウェアエンジニアリング
IoT時代のソフトウェアエンジニアリングIoT時代のソフトウェアエンジニアリング
IoT時代のソフトウェアエンジニアリングJapan External Trade Oragnization, Switzerland
 
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptxssuserbefd24
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance
 

More Related Content

Similar to 「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai

Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)JPCERT Coordination Center
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティgree_tech
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aPresentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aTakeo Sakaguchi ,CISSP,CISA
 
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発HealthcareBitStation
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会 IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会 IoTビジネス共創ラボ
 
組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについてTetsuo Furuichi
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデルシスコシステムズ合同会社
 
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)Uniadex Ltd.
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptxtest_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptxTrainocate Japan, Ltd.
 
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件Hibino Hisashi
 

Similar to 「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai (20)

B2-4 DNS でいま起きていること
B2-4 DNS でいま起きていることB2-4 DNS でいま起きていること
B2-4 DNS でいま起きていること
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
 
"フルスタック"セキュリティ
"フルスタック"セキュリティ"フルスタック"セキュリティ
"フルスタック"セキュリティ
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon aPresentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
Presentation sakaguti@[nca 10th anniversary conference]24,aug 2017 luncheon a
 
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
(実績報告版)病院管理職向けサイバーセキュリティ机上演習シナリオの開発
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprint
 
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会 IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
IoT & AI を活用したビジネスのつくり方と実践事例_IoTビジネス共創ラボ 第10回 勉強会
 
組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて組込み(IoT)機器開発者目線の情報セキュリティについて
組込み(IoT)機器開発者目線の情報セキュリティについて
 
IoT時代のビジネスチャンスのとらえ方
IoT時代のビジネスチャンスのとらえ方IoT時代のビジネスチャンスのとらえ方
IoT時代のビジネスチャンスのとらえ方
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
IoT を活用したビジネス創生のシナリオ (石川・金沢IoTビジネス共創ラボ 第二回勉強会)
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
test_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptxtest_アンケート案内_securityliteracy0907.pptx
test_アンケート案内_securityliteracy0907.pptx
 
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
【JAWS-UGコンテナ#14】ETL処理をServerlessにしてみた件
 
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのかなぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
 
IoT時代のソフトウェアエンジニアリング
IoT時代のソフトウェアエンジニアリングIoT時代のソフトウェアエンジニアリング
IoT時代のソフトウェアエンジニアリング
 

Recently uploaded

2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptxssuserbefd24
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptxyassun7010
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizesatsushi061452
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...atsushi061452
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。iPride Co., Ltd.
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matchingharmonylab
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルCRI Japan, Inc.
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)NTT DATA Technology & Innovation
 
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance
 

Recently uploaded (14)

2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
2024年5月25日Serverless Meetup大阪 アプリケーションをどこで動かすべきなのか.pptx
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
論文紹介: Exploiting semantic segmentation to boost reinforcement learning in vid...
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
 
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
 

「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai

  • 3. Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
  • 4. Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※)」として活動 ※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
  • 5. Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援 脆弱性情報ハンドリング  未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼  関係機関と連携し、国際的に情報公開日を 調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携国際連携 インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携  マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性の確 認、拡散抑止  再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集・分析・発信 定点観測(TSUBAME)  ネットワークトラフィック情報の収集分析  セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
  • 6. Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで — JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
  • 7. Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
  • 8. Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
  • 9. Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開 国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
  • 10. Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの) を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
  • 11. Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch) — C:¥Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
  • 12. Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2. CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
  • 13. Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 — 対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
  • 14. Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない — むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
  • 15. Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
  • 16. Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア — GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
  • 17. Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16
  • 18. Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策 利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
  • 19. Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC 早期警戒グループ 早期警戒情報登録受付窓口 ww-info@jpcert.or.jp JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
  • 20. Copyright ©2017 JPCERT/CC All rights reserved.19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター — Email:pr@jpcert.or.jp — Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form
  • 21. Copyright ©2017 JPCERT/CC All rights reserved.20 ご静聴ありがとうございました