インターネット治安情勢 ~インターネット観測結果...
TRANSCRIPT
インターネット治安情勢~インターネット観測結果から
警察庁情報通信局情報技術解析課
サイバーテロ対策技術室牧野 浩之
講演内容
• 情報セキュリティマネジメントシステム
• インターネット観測結果
• 事例紹介
• 対策
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステム
• 情報セキュリティを維持するために方針を
確立し、その目的を達成するシステム(しくみ)
利害関係者利害関係者利害関係者利害関係者 利害関係者利害関係者利害関係者利害関係者
情報情報情報情報セキュリティセキュリティセキュリティセキュリティ
要求事項要求事項要求事項要求事項及及及及びびびび期待期待期待期待
運営管理運営管理運営管理運営管理されたされたされたされた情報情報情報情報セキュリティセキュリティセキュリティセキュリティ
PlanPlanPlanPlanISMSの確
立
DoDoDoDoISMSの導入及び運用
ActActActActISMSの維持及び改善
CheckCheckCheckCheckISMSの監視及び見直
し
ISMSISMSISMSISMSのののの運用運用運用運用サイクルサイクルサイクルサイクル
顧客顧客顧客顧客やややや利用者利用者利用者利用者のののの気持気持気持気持ちちちち
顧客顧客顧客顧客やややや利用者利用者利用者利用者にににに応応応応えるえるえるえる
情報セキュリティ
• 資産、対策、脆弱性、脅威の関係
資資資資 産産産産・可用性・完全性・機密性
人人人人((((管理管理管理管理))))的対策的対策的対策的対策
物理的対策物理的対策物理的対策物理的対策 技術的対策技術的対策技術的対策技術的対策
脅威脅威脅威脅威
脅威脅威脅威脅威
脆弱
性脆
弱性
脆弱
性脆
弱性
脆弱性脆弱性脆弱性脆弱性
脅威の分類例
• 人的脅威
意図的脅威(Deliberate)
DoS攻撃、なりすまし、改ざん、侵入、盗難
偶発的脅威(Accidental)
停電、断水、人的リソース(スタッフ)不足
• 環境的脅威
環境的脅威(Environmental)
落雷、地震、台風
脅威の分類例
• 人的脅威
意図的脅威(Deliberate)
DoS攻撃、なりすまし、改ざん、侵入、盗難
偶発的脅威(Accidental)
停電、断水、人的リソース(スタッフ)不足
• 環境的脅威
環境的脅威(Environmental)
落雷、地震、台風
H22年インターネット観測結果
検知ネットワークシステム
• 全国の警察施設にセンサーを設置、無差別に行われる攻撃の予兆等を定点観測により把握
サイバーフォースセンターサイバーフォースセンターサイバーフォースセンターサイバーフォースセンター
センサーに対するアクセス
• H22年は、1日に1IPアドレス当たり316.3
件のアクセスを観測(4分34秒に1回)
438.4
361.8
310.5339.0
316.3
0
100
200
300
400
500
H18 H19 H20 H21 H22
(件/日・IP)
(年)
宛先ポート別検知件数上位
• ウイルスや悪意のあるツールによるものと思われるアクセスが上位を占める
順位順位順位順位 ポートポートポートポート 件件件件 数数数数(1111日日日日・・・・1111IPIPIPIP当当当当たりたりたりたり)
備備備備 考考考考
1111位位位位 445/TCP 152152152152....8888件件件件 Windows共有ネットワーク(RPC)等
2222位位位位 1433/TCP 20202020....9999件件件件 Microsoft SQL Server等
3333位位位位 135/TCP 19191919....8888件件件件 Windows共有ネットワーク(RPC)等
4444位位位位 8/ICMP 19191919....6666件件件件 Ping等
5555位位位位 22/TCP 10101010....9999件件件件 SSHサービス等
そのそのそのその他他他他 92929292....3333件件件件
国別検知件数上位
• Confickerワームによるものと思われるアクセ
スが多くの国で活発
順位順位順位順位 国国国国・・・・地域地域地域地域 件件件件 数数数数(1111日日日日・・・・1111IPIPIPIP当当当当たりたりたりたり)
備備備備 考考考考
1111位位位位 中国中国中国中国 64646464....1111件件件件 攻撃ツールによるスキャン行為
2222位位位位 日本日本日本日本 52525252....3333件件件件 Confickerワーム
3333位位位位 米国米国米国米国 29292929....7777件件件件 BitTorrent探索
4444位位位位 ロシアロシアロシアロシア 16161616....6666件件件件
5555位位位位 台湾台湾台湾台湾 16161616....5555件件件件 オープンリレーメールサーバ探索
そのそのそのその他他他他 137137137137....1111件件件件
シグネチャを用いた不正侵入等の検知
• VoIP/SIP機器の探索と考えられる通信が増加
• スキャンやワームによるものと思われる活動も活発
新システムによる観測旧システムによる観測
11.5 10.8 9.3 9.3
16.4 14.1
0
4
8
12
16
20
H18 H19 H20 H21(1~2月) H21(3~12月) H22
(件/日・IP)
(年)
Worm Scan Scan(P2P) UDP spam VoIP DNS その他
DoS攻撃
• 単一または多数のコンピュータから攻撃対象のコンピュータのサービスを妨害する目的で不正なパケットを送りつける攻撃
送信元IPアドレス詐称パケット
詐称されたIPアドレスと同一アドレスのセンサ
(CFCでは「跳ね返りパケット」と呼んでいる)
攻撃者攻撃者攻撃者攻撃者
センサセンサセンサセンサ 攻撃攻撃攻撃攻撃されたされたされたされたサーバサーバサーバサーバ
DoS攻撃被害状況
• 発信ポート80/TCPからの跳ね返りパケットの観測からWebサーバへの攻撃状況を把握
0
50
100
150
200
1月
1日
1月
15日
1月
29日
2月
12日
2月
26日
3月
12日
3月
26日
4月
9日
4月
23日
5月
7日
5月
21日
6月
4日
6月
18日
7月
2日
7月
16日
7月
30日
8月
13日
8月
27日
9月
10日
9月
24日
10月
8日
10月
22日
11月
5日
11月
19日
12月
3日
12月
17日
12月
31日
(個/日)
米国 中国 トルコ ドイツ 韓国 その他・不明
日本国内のDoS攻撃被害状況
• 日本国内からのパケット検知件数は、1日当たり12.2件(1.5IPアドレス)
76.4%
10.4%
1.7%1.4%
0.8% 9.3%
80/TCP 11/ICMP 6667/TCP
3/ICMP 5654/TCP その他
事例紹介
参参参参 考考考考事例の詳細や個々の対策等については、「「「「情報技術解析平成情報技術解析平成情報技術解析平成情報技術解析平成22年報年報年報年報 ~~~~平成平成平成平成22
年中年中年中年中ののののインターネットインターネットインターネットインターネット観測結果等観測結果等観測結果等観測結果等~」~」~」~」で公開しています。
上記報告書は、警察庁セキュリティポータルサイト「@Police」(URLhttp://www.npa.go.jp/cyberpolice/index.html )のインターネット治安情勢のページまたは以下のURLから直接ダウンロードできます。http://www.npa.go.jp/cyberpolice/detect/pdf/H22_nenpo.pdf
DoS攻撃
DoS攻撃事例1
• H22年9月 日本政府機関日本の政府機関等に対するサイバー攻撃予告
複数の日本政府機関等のウェブサイトへのアクセスが集中
0
2
4
6
8
10
12
14
9月16
日12
時
9月16
日15
時
9月16
日18
時
9月16
日21
時
9月17
日00
時
9月17
日03
時
9月17
日06
時
9月17
日09
時
9月17
日12
時
9月17
日15
時
9月17
日18
時
9月17
日21
時
9月18
日00
時
9月18
日03
時
9月18
日06
時
9月18
日09
時
9月18
日12
時
9月18
日15
時
9月18
日18
時
9月18
日21
時
9月19
日00
時
9月19
日03
時
9月19
日06
時
9月19
日09
時
(件/時間)
観測観測観測観測されたされたされたされた攻撃予告前後攻撃予告前後攻撃予告前後攻撃予告前後ののののDoS攻撃跳攻撃跳攻撃跳攻撃跳ねねねね返返返返りりりりパケットパケットパケットパケット
DoS攻撃事例2
• H22年12月 内部告発サイト「WikiLeaks」
WikiLeaksの支持グループと支持しないグループとの間で、相互にDoS攻撃が行われたとの報道
0
4
8
12
16
20
11月
16日
11月
19日
11月
22日
11月
25日
11月
28日
12月
1日
12月
4日
12月
7日
12月
10日
12月
13日
(件/日)
WikiLeaks 取引停止サイトA 取引停止サイトB
観測観測観測観測されたされたされたされたWikiLeaks関連関連関連関連サイトサイトサイトサイトののののDoS攻撃跳攻撃跳攻撃跳攻撃跳ねねねね返返返返りりりりパケットパケットパケットパケット
不正プログラムStuxnet
不正プログラムStuxnet
• 標的は、Windowsで動作するドイツのシーメ
ンス社製の監視制御ソフト
外部記録媒体を経由してコンピュータに感染しネットワーク経由で他のコンピュータに感染
感染したコンピュータのシーメンス社製の監視制御ソフトを書き換え、制御装置に不正な命令を指示、制御システムの正しい動作を妨害
不正な命令 異常動作
Stuxnetに感染したコンピュータ 制御装置
基幹システム
動作を妨害
SIPサーバへの不正接続
SIPサーバへの不正接続
• H22年7月に、5060/UDPに対するアクセスの
急激な増加を検知5060/UDPは、IP電話機等のVoIP/SIP機器の通信プロトコル
であるSIP(Session Initiation Protocol)で利用
インターネット上にあるSIPサーバの探索を目的としたもの
と思われる
0
2
4
6
8
10
12
14
1月1日
1月15
日
1月29
日
2月12
日
2月26
日
3月12
日
3月26
日
4月9日
4月23
日
5月7日
5月21
日
6月4日
6月18
日
7月2日
7月16
日
7月30
日
8月13
日
8月27
日
9月10
日
9月24
日
10月
8日
10月
22日
11月
5日
11月
19日
12月
3日
12月
17日
12月
31日
(件/日・IP)
中国 米国 その他・不明
5060/UDPに対するアクセスの検知件数
SIPサーバの調査ツール
• 5060/UDPの通信内容の特徴から、複数のグ
ループに分類、グループの一つは、インターネット上で配布されている、SIPサーバを調査
するツールと特徴が一致
SIPサーバ調査ツールの機能
指定した範囲内のIPアドレスに対する、SIPサーバの有無の
調査
対象のSIPサーバに対し、指定した範囲のユーザ名の有効/
無効の調査
対象のSIPサーバ、ユーザ名に対し、パスワードの総当たり
攻撃及び辞書攻撃によるパスワードの調査
標的型メール攻撃
標的型メール攻撃
• 標的型メール攻撃とは、特定の組織や個人に標的を絞って、電子メールを送信する手法による攻撃
• メールに不正なプログラムを添付、不正プログラムを感染させるような悪意のあるサイトへ誘導するリンクが記載されている等
• スピア(槍)のように、標的を絞って攻撃することから、「スピアメール攻撃」とも呼ばれている
標的型メール攻撃の目的
• 目的は、政府関係者や企業関係者のコンピュータに不正プログラムを感染させて、政府機関や企業の機密情報、個人情報等を盗み出すことであると考えられる
件名:会議資料
XXX様
△△△です。
来月の会議資料を添付いたします。確認よろしくお願いします。
会場の場所は以下のURLで確認願います。
http://xxx.xxxx.com/xxx.pdf
○○○部 △△△電話番号 XXXX-XXXX
添付資料: 会議資料.exe
悪意のあるサイトに誘導するURL
実体は不正プログラム
受信者(被害者)
攻撃者
標的型メール攻撃の手口
• 受信者の業務に関連する情報や関心を示すような政治的なニュースや国際的なニュース等がタイトルに用いられる(「東日本大震災~」「福島原発~」等)
• メールの本文に「添付ファイルを確認してください」のように、受信者に添付ファイルを開かせ、不正プログラムを実行させるように仕向けた手法が多く用いられている
• 実行ファイルやPDFファイルが多く、その他にも様々
なファイル形式が用いられている
• ゼロデイ攻撃を用いたものがありこれらは、ウイルス対策ソフトで検知されない
標的型メール攻撃の関連技術1
• ファイル種別の偽装添付ファイルのアイコンや拡張子を、Wordファイル
やPDFファイルに偽装
標的型メール攻撃の関連技術2
• 「RLO(Right-to-Left Override)」
文章を右読みから左読みに変える機能を利用しファイル名「fdp.exe」を「exe.pdf」と表示させ実行ファイルをPDFファイルのように偽装
ファイル名の途中からも可能「ancod. exe」を「 anexe.doc 」と表示 ファイルのプロパティ表示に矛盾
標的型メール攻撃の関連技術3
• 代替データストリーム
(ADS:Alternate Data Streams)
一つのファイルやフォルダが複数のストリームを持つことができるWindowsの機能の一つ
代替データストリームを使用したファイルやフォルダは、Windowsのバージョンによってはエクスプロー
ラやタスクマネージャに表示されず、発見や駆除が非常に困難
代替データストリームADS:Alternate Data Streams
• NTFSの機能の一つ
• ファイルやフォルダにテキストやバイナリデータをストリームとして個別に保存できる機能
• 「ファイル名:データストリーム名」で記述
ファイル/フォルダ
データストリーム1
データストリーム2
表示される
表示されず
代替データストリーム(ADS )
• Windowsのエクスプローラでは表示されない
e:>dir /r adstest.txtドライブ E のボリューム ラベルは OS_TOOLS ですボリューム シリアル番号は 4A23-43BA です
E:¥ のディレクトリ
2010/11/15 13:41 426 ADSTest.txt16 ADSTest.txt:stream1.txt:$DATA17 ADSTest.txt:stream2.txt:$DATA
1 個のファイル 426 バイト0 個のディレクトリ 1,428,496,384 バイトの空き領域
ファイルファイルファイルファイル
ADS
ADS
VistaVistaVistaVista以降以降以降以降「「「「dir /r」」」」コマンドコマンドコマンドコマンド・・・・オプションオプションオプションオプション
またはまたはまたはまたは専用専用専用専用ツールツールツールツールでででで表示可能表示可能表示可能表示可能
標的型メール攻撃の関連技術4
• ヒープスプレー(heap spray)
Windowsが持っている不正プログラムの実行防止
機能を回避し、攻撃成功率を高めるための手法
ヒープと呼ばれるメモリ領域に対して不正なプログラムをスプレーで塗りつぶすように大量に書き込み不正プログラムが実行される可能性を高めるもの
セキュリティ更新プログラム公開
セキュリティ更新プログラム公開
• セキュリティ更新プログラム公開直後から悪意のある活動が発生
対 策
悪意のある攻撃に対する配意
• 扱っている情報(資産)の価値の認識
• インターネット上の脅威の認識
• 被害発生防止対策に加えて、被害拡大防止対策の実施
• たとえクラウドが対象となっても基本的な防御姿勢は変わらない
被害拡大防止対策
• 被害発生防止対策に加えて、被害拡大防止対策の実施
被害発生の原因やメカニズムの分析結果が広く知られるにつれ、被害発生を完全に押さえることは不可能ということが認識されてきた
被害が発生したときにその被害規模や深刻度があまりに大きいものが多くみられた
リスク管理の問題として捉えられるようになってきている。最近では、事業継続性についても考慮されるようになっている
最低限実施すべき対策
• OSやアプリケーションの更新プログラムの適
切な適用
• ウイルス対策ソフトやファイアウォールソフト等の適切な運用
• メールに添付されたファイルや、メール中のリンク先を不用意に閲覧しない
コンピュータの利用状況によって有効な対策
• パソコンやユーザ・アカウント等の使い分け
• 使用していないパソコン等のシャットダウン
• 不要な機能を導入しない、又は使用不可にする
• パスワード等の秘密データを安易にパソコン等へ保存しない
• セキュリティ更新プログラムが提供されなくなったソフトウェアの適切な更新
企業等の情報セキュリティ担当者が考慮すべき対策例
• パソコン、ウェブサーバ等の機器の適正な設定
• データベースを運用している場合は、外部からのデータベースへの不正な命令を遮断するといった、データベースを不正に操作されないような対策についての検証
• ログ等の定期的な確認による、異常の早期発見と必要な措置
• 対策の実施前に不具合の発生等を検証するため、各種ソフトウェアやコンピュータ機器の販売元等から提供されているセキュリティ情報の確認やシステムの不具合等が発生しないことを確認する等配意が必要
おわり
警察庁情報通信局情報技術解析課
サイバーテロ対策技術室牧野 浩之