Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
Search
OWASP Kansai
September 15, 2017
Technology
1
260
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaでご発表いただいた
JPCERT/CC 早期警戒グループ 平岡佑一朗さんの資料です
OWASP Kansai
September 15, 2017
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
11
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
260
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
760
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
310
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
880
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
330
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
150
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
200
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
340
Other Decks in Technology
See All in Technology
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
230
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1.8k
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
1.1k
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
750
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
140
Android 15 でウィジェットピッカーのプレビュー画像をGlanceで魅せたい/nikkei-tech-talk-27-1
nikkei_engineer_recruiting
0
100
TypeScript100%で作るMovable Typeプラグイン
usualoma
2
100
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
1
250
SSMRunbook作成の勘所_20241120
koichiotomo
3
190
SDN の Hype Cycle を一通り経験してみて思うこと / Going through the Hype Cycle of SDN
mshindo
3
270
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
330
LLMの気持ちになってRAGのことを考えてみよう
john_smith
0
130
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
180
21k
Docker and Python
trallard
40
3.1k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
Designing the Hi-DPI Web
ddemaree
280
34k
VelocityConf: Rendering Performance Case Studies
addyosmani
326
24k
Facilitating Awesome Meetings
lara
50
6.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
How STYLIGHT went responsive
nonsquared
95
5.2k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Side Projects
sachag
452
42k
Transcript
日本を取り巻く 最新の脅威情報と JPCERT/CC の活動 2017年9月2日 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 平岡
佑一朗
みなさん 知ってますか? 1
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター
Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※) 」として活動
※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援
脆弱性情報ハンドリング 未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼 関係機関と連携し、国際的に情報公開日を 調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析 アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携 国際連携 インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信 制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携 マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性の確 認、拡散抑止 再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集・分析・発信 定点観測(TSUBAME) ネットワークトラフィック情報の収集分析 セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで —
JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開
国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの)
を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB 既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch)
— C:¥Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2.
CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 —
対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない —
むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill
Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア —
GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16
Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策
利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC
早期警戒グループ 早期警戒情報登録受付窓口
[email protected]
JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
Copyright ©2017 JPCERT/CC All rights reserved. 19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター —
Email:
[email protected]
— Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:
[email protected]
— https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:
[email protected]
— https://www.jpcert.or.jp/ics/ics-form
Copyright ©2017 JPCERT/CC All rights reserved. 20 ご静聴ありがとうございました