「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
?
1 like?347 views
OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in Osakaでご発表いただいた JPCERT/CC 早期警戒グループ 平岡佑一朗さんの資料です
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
- 3. Copyright ?2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム?制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています
- 4. Copyright ?2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※)」として活動 ※CSIRT:Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する (例:米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC) 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3
- 5. Copyright ?2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築?運用支援CSIRT構築支援 脆弱性情報ハンドリング ? 未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼 ? 関係機関と連携し、国際的に情報公開日を 調整 ? セキュアなコーディング手法の普及 ? 制御システムに関する脆弱性関連情報の適 切な流通 マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携国際連携 インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集?分析発信制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携 ? マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化 ? 攻撃手法の分析支援による被害可能性の確 認、拡散抑止 ? 再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング (インシデント対応調整支援) JPCERT/CCの活動 4 情報収集?分析?発信 定点観測(TSUBAME) ? ネットワークトラフィック情報の収集分析 ? セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供
- 6. Copyright ?2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで — JPCERT/CC では、インシデントや、その原因?背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5
- 7. Copyright ?2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6
- 8. Copyright ?2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7
- 9. Copyright ?2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開 国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やJRでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8
- 10. Copyright ?2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの) を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9
- 11. Copyright ?2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認(Kill Switch) — C:?Windows 直下にファイルの作成を試みる (要:管理者権限) 2. 感染端末外への感染活動(CVE-2017-0147の悪用) — LAN内のIPアドレス — 外部IPアドレス(ランダム) 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10
- 12. Copyright ?2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2. CVE-2017-0147の脆弱性により侵入 — %WinDir%?mssecsvc.exeを作成 ? mssecsvc.exeは本体検体のコピー — lsass.exe(システム権限)を通して実行 ? 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11
- 13. Copyright ?2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 — 対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認
- 14. Copyright ?2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない — むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15
- 15. Copyright ?2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の1つにある特徴 — Kill Switchが無効化されている Kill Switchの通信が発生しないわけではない ?通信の成否を問わず処理が続行されるようになった — 暗号化はしない(つまりランサムウエアとは言えない) データに影響ないから大したことない???わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある
- 16. Copyright ?2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア — GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体) https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア
- 17. Copyright ?2017 JPCERT/CC All rights reserved. おわりに 16
- 18. Copyright ?2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策 利用製品の定期的なバージョンアップ 通信の制限(ポートや通信先) — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視(MSイベント、プロキシ、FW、DNS) — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17
- 19. Copyright ?2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC 早期警戒グループ 早期警戒情報登録受付窓口 ww-info@jpcert.or.jp JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/
- 20. Copyright ?2017 JPCERT/CC All rights reserved.19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター — Email:pr@jpcert.or.jp — Tel:03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email:info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form
- 21. Copyright ?2017 JPCERT/CC All rights reserved.20 ご静聴ありがとうございました