Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
Search
OWASP Kansai
September 15, 2017
Technology
1
260
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaでご発表いただいた
JPCERT/CC 早期警戒グループ 平岡佑一朗さんの資料です
OWASP Kansai
September 15, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
48
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
390
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
970
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
350
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
960
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
440
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
180
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
230
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
380
Other Decks in Technology
See All in Technology
Spring Bootで実装とインフラをこれでもかと分離するための試み
shintanimoto
7
860
【Λ(らむだ)】最近のアプデ情報 / RPALT20250422
lambda
0
110
LLM as プロダクト開発のパワードスーツ
layerx
PRO
1
240
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
aeonpeople
2
340
クォータ監視、AWS Organizations環境でも楽勝です✌️
iwamot
PRO
1
320
Linuxのパッケージ管理とアップデート基礎知識
go_nishimoto
0
390
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
6.3k
C++26アップデート 2025-03
faithandbrave
0
780
The Tale of Leo: Brave Lion and Curious Little Bug
canalun
1
130
DETR手法の変遷と最新動向(CVPR2025)
tenten0727
2
1.4k
SDカードフォレンジック
su3158
1
630
Classmethod AI Talks(CATs) #21 司会進行スライド(2025.04.17) / classmethod-ai-talks-aka-cats_moderator-slides_vol21_2025-04-17
shinyaa31
0
600
Featured
See All Featured
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Agile that works and the tools we love
rasmusluckow
328
21k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
13
1.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
Making the Leap to Tech Lead
cromwellryan
133
9.2k
Building Adaptive Systems
keathley
41
2.5k
Raft: Consensus for Rubyists
vanstee
137
6.9k
Designing for Performance
lara
608
69k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
5
530
How GitHub (no longer) Works
holman
314
140k
Music & Morning Musume
bryan
47
6.5k
Optimizing for Happiness
mojombo
377
70k
Transcript
日本を取り巻く 最新の脅威情報と JPCERT/CC の活動 2017年9月2日 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 平岡
佑一朗
みなさん 知ってますか? 1
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター
Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※) 」として活動
※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援
脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼 関係機関と連携し、国際的に情報公開日を 調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析 アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携 国際連携 インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信 制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携 マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確 認、拡散抑止 再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集・分析・発信 定点観測(TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで —
JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開
国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの)
を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB 既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch)
— C:¥Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2.
CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 —
対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない —
むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill
Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア —
GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16
Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策
利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC
早期警戒グループ 早期警戒情報登録受付窓口
[email protected]
JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
Copyright ©2017 JPCERT/CC All rights reserved. 19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター —
Email:
[email protected]
— Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:
[email protected]
— https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:
[email protected]
— https://www.jpcert.or.jp/ics/ics-form
Copyright ©2017 JPCERT/CC All rights reserved. 20 ご静聴ありがとうございました