Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
Search
OWASP Kansai
September 15, 2017
Technology
1
260
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaでご発表いただいた
JPCERT/CC 早期警戒グループ 平岡佑一朗さんの資料です
OWASP Kansai
September 15, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
74
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
480
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.1k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
380
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
510
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
200
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
250
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
410
Other Decks in Technology
See All in Technology
トヨタ生産方式(TPS)入門
recruitengineers
PRO
3
240
ZOZOTOWNフロントエンドにおけるディレクトリの分割戦略
zozotech
PRO
18
5.4k
Figma + Storybook + PlaywrightのMCPを使ったフロントエンド開発
yug1224
9
2.7k
Gaze-LLE: Gaze Target Estimation via Large-Scale Learned Encoders
kzykmyzw
0
320
「守る」から「進化させる」セキュリティへ ~AWS re:Inforce 2025参加報告~ / AWS re:Inforce 2025 Participation Report
yuj1osm
1
130
実践アプリケーション設計 ①データモデルとドメインモデル
recruitengineers
PRO
3
260
Oracle Base Database Service:サービス概要のご紹介
oracle4engineer
PRO
2
20k
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
yanzm
0
270
見てわかるテスト駆動開発
recruitengineers
PRO
5
360
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
tascj
12
1.8k
夢の印税生活 / Life on Royalties
tmtms
0
280
R-SCoRe: Revisiting Scene Coordinate Regression for Robust Large-Scale Visual Localization
takmin
0
430
Featured
See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
BBQ
matthewcrist
89
9.8k
Side Projects
sachag
455
43k
Code Reviewing Like a Champion
maltzj
525
40k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
The Invisible Side of Design
smashingmag
301
51k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.5k
Typedesign – Prime Four
hannesfritz
42
2.8k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
Fireside Chat
paigeccino
39
3.6k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3k
Transcript
日本を取り巻く 最新の脅威情報と JPCERT/CC の活動 2017年9月2日 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 平岡
佑一朗
みなさん 知ってますか? 1
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター
Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※) 」として活動
※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援
脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼 関係機関と連携し、国際的に情報公開日を 調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析 アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携 国際連携 インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信 制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携 マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確 認、拡散抑止 再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集・分析・発信 定点観測(TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで —
JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開
国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの)
を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB 既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch)
— C:¥Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2.
CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 —
対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない —
むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill
Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア —
GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16
Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策
利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC
早期警戒グループ 早期警戒情報登録受付窓口
[email protected]
JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
Copyright ©2017 JPCERT/CC All rights reserved. 19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター —
Email:
[email protected]
— Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:
[email protected]
— https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:
[email protected]
— https://www.jpcert.or.jp/ics/ics-form
Copyright ©2017 JPCERT/CC All rights reserved. 20 ご静聴ありがとうございました