1

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデント対応チームの必要性～守るだけがセキュリティではない～

JPCERT コーディネーションセンター

山賀正人

office@jpcert.or.jp

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC の紹介

2

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC とは

• Japan Computer Emergency Response Team Coordination Center

• 1996年10月設立の民間の非営利団体1992年ころにボランティアではじまったグループを起源とするエンジニア集団

• 日本で最初に FIRST に加盟した CSIRT国際的に認知されている組織

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

CSIRT とはComputer Security Incident Response Team– 1988年11年 「Morris worm 事件」– 米国カーネギーメロン大学の CERT/CC (Computer Emergency

Response Team Coordination Center)• CERT という単語は CERT/CC の登録商標

– 現在では世界中に多数の組織• CERTCC-KR (韓国)• AusCERT (オーストラリア)• CERT-Renater (フランス)……………………………

– 組織によって形態・対応内容は様々– RFC 2350 参照

3

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

FIRST とはhttp://www.first.org/

• Forum of Incident Response and Security Teams• 1990年 CERT/CC などが中心となって設立

• 世界中の CSIRT 同士の交流を目的にした組織

http://www.first.org/team-info/– 情報の共有

– インシデント対応 (Incident Response) の国際協力

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

Computer Security Incident とは

• コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの

• 弱点探索、リソースの不正使用、サービス運用妨害行為など

• 『不正アクセス (行為)』 は狭義に規定された

4

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC の業務• 窓口対応

– 情報提供の受付– 一般的な技術情報の紹介– 関連組織への連絡

国内と国外との間の連絡など

• 技術情報の日本語による発信– 注意喚起、緊急報告、技術メモ、メールマガジン、統計情報など

メーリングリストと Web による公開

– ベンダなどとの連携– セミナーなどによる啓発活動

• 国際連携– FIRST に加盟し、日本を代表して国際的に活動している組織

– アジア太平洋地域におけるセキュリティ対策組織を集めた国際会議を主催(APSIRC: Asia Pacific Security Incident Response Coordination Conference)

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

APCERThttp://www.apcert.org/

• Asia Pacific Computer Emergency Response Team– アジア太平洋地域の CSIRT フォーラム

– Steering Committee Member– Secretariat– 年次定例会議としての APSIRC

5

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

関連サイト

報告された情報のゆくえ

IPアドレスドメイン名

ベンダ関連サイト

セキュリティ関連文書

統計情報

脆弱性情報

件数

報告者

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

技術文書の情報源

• 関係組織が公開している情報– CSIRT (CERT/CC, CIAC, AusCERT など)– ベンダなど

• 独自に調査研究した情報

• 窓口に届いた情報

6

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC ではできないこと

• 個別サイトに対する監視やコンサルティング

• 個々のアプリケーションについてのコンサルティング

• 非技術的な支援

– 紛争の調停、対応の強制

– 捜査、犯人追及、証拠物件の押収

– 法律面での支援 (損害賠償請求など)

強制力のある組織ではない

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

最近の統計情報から

7

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

http://www.jpcert.or.jp/stat/reports.html

JPCERT/CC へのインシデント報告件数の推移

0

200

400

600

800

1000

1200

96/10-

96/12

97/01-

97/03

97/04-

97/06

97/07-

97/09

97/10-

97/12

98/01-

98/03

98/04-

98/06

98/07-

98/09

98/10-

98/12

99/01-

99/03

99/04-

99/06

99/07-

99/09

99/10-

99/12

00/01-

00/03

00/04-

00/06

00/07-

00/09

00/10-

00/12

01/01-

01/03

01/04-

01/06

01/07-

01/09

01/10-

01/12

02/01-

02/03

02/04-

02/06

02/07-

02/09

02/10-

02/12

03/01-

03/03

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC へのインシデント報告件数の推移

0

500

1000

1500

2000

2500

3000

1996Q4 1997 1998 1999 2000 2001 2002

8

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

米国 CERT/CC へのインシデント報告件数の推移

http://www.cert.org/stats/cert_stats.html

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

80,000

90,000

1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

報告しない（しなくなった）理由

21.6%

13.5%

12.4%

11.7%

10.8%

10.4%

9.7%

9.5%

9.5%

5.5%

4.2%

27.8%

0% 5% 10% 15% 20% 25% 30%

セキュリティポリシー等の制約で情報を出しにくいから

顧客のシステムについての情報は出しにくいから

JPCERT／CCに情報を提供しても有効に活用されているとは思えないから

他の組織に報告するから

自分はネットワーク等の管理に関係していないから

JPCERT／CCに情報を提供してもフィードバックがないから

（インシデントが頻発するので）面倒だから

JPCERT／CCの報告様式が使いにくいから

他の組織に情報が漏れる懸念があるから

（報告の）担当から外れたから

JPCERT／CCのスタッフが大変そうだから

その他

(%)(N=547)

9

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

参考資料GAO (The United States General Accounting Office) の文書

INFORMATION SECURITY:Computer Attacks at Department of Defense Pose Increasing Risks

http://www.gao.gov/archive/1996/ai96084.pdf

38,000Attacks

13,300Blocked

24,700Succeed

988Detected

23,712Undetected

267Reported

721Not Reported

Ｐ

ｒｏｔ

ｅｃｔ

ｉ

ｏｎ

Ｄ

ｅｔ

ｅｃｔ

ｉ

ｏ

ｎ

Ｒｅａｃｔｉｏｎ

GAO/AIMD-96-84 Defense Information Security

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデントタイプ別分類

10

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデントの分類報告者の視点で分類

• サービス運用妨害 (DoS: Denial of Service)– 分散型サービス運用妨害 (DDoS: Distributed Denial of Service)

• 詐称 (電子メール)• サービスの悪用、不正中継

• 侵入、無権限アクセス

• 弱点探索 (スキャン、プローブ)• その他 (JPCERT/CC で扱えないものなど)

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

2002年インシデントタイプ別分類

弱点探索1160 (79.9%)

その他176 (12%)

侵入 57 (3.9%)

詐称 39サービス運用妨害 20

11

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

弱点探索は、より深刻なインシデントの発生を示している。

弱点探索のアクセス元は多くの場合、踏み台として悪用されている。

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

報告件数および通知件数の推移

0

50

100

150

200

250

300

350

400

1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月

報告

通知

12

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

各インシデントタイプについて

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

サービス運用妨害 (DoS)ネットワーク帯域などの資源を消費させ、サービス不能に導く。一般的に攻撃元は詐称されている。

例) SYN Flood 攻撃、UDP Flood 攻撃、Smurf 攻撃など

完全に防ぐ方法はない

• ルータなどによるパケットフィルタリング

• ネットワークの監視など

13

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

分散型サービス運用妨害 (DDoS)第三者の複数のコンピュータ に Agent と呼ばれるプログラムを侵入させ、それらを使って大量のデータを一斉に攻撃対象のコンピュータやネットワークに送信することでサービスを妨害する。

完全に防ぐ方法はない

• Agent を侵入させられないために– 最新のパッチの適用– 不必要なサービスの停止または削除

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

詐称

• 電子メールの From: 欄の偽造

– 他人へのなりすまし

– 返答メールが偽造されたアドレスに送付

完全に防ぐ方法はない

メールアドレスを必要以上に公にしない

14

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

サービスの悪用

• メールサーバプログラムの不正中継

SPAM メールの配送に使われ、送信元と見なされてしまう。

• プロクシサーバの不正利用– なりすまし (アクセス元アドレスの隠蔽など)– BBS, チャット などへの書き込み

単なるサーバプログラムの設定ミス

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

侵入• パスワード管理の甘さ

• 主にバッファオーバーフローの脆弱性を悪用

– 配列の大きさをチェックせずにデータを格納してしまう、プログラム上のミスが原因

例) C言語の関数 strcpy(), strcat(), sprintf() など

– プログラムの異常停止を伴う

– 挿入したマシン語の実行• 管理者権限の取得

• データ改ざん

• バックドアの設置など

15

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

侵入を防ぐには

• 最新のパッチを適用

• 不必要なサービスを停止または削除

• ルータなどによるパケットフィルタリング

• サービスを提供する相手の制限 (アクセス制御)

– IP spoofing からの防御も重要自ネットワークのアドレスを詐称したパケットの外部からの侵入を防ぐ

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

スキャン、プローブ(弱点探索)

• ほとんどの場合実害はない

• インシデントの兆候 (?)– 侵入の試み (?)– 新たな脆弱性の発見の兆し (?)– バックドア設置の確認 (?)

16

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

2002年度スキャン報告の推移

0

50

100

150

200

250

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月

80(http)

137(netbios-ns)

1433(ms-sql-s)

443(https)

445(microsoft-ds)

22(ssh)

53(domain)

25(smtp)

21(ftp)

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

スキャン報告の件数と脆弱性情報の公開やワームなどの

広まりには相関がある。

スキャン情報の、より効率的な

収集方法については現在検討中

17

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデント対応チームの必要性

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

守るだけがセキュリティではない。

• 人為的ミス (パッチの適用忘れなど)• 未知 (公知になっていない) の脆弱性の悪用

「100% 安全」はありえない。

いかに素早くインシデントに気づき、

対応できるか、が重要

18

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデントを発見する手順の明確化

• ログの取得内容の整理

• ログの確認

• 異常事態発生時の報告の仕組み

など

管理者のためのセキュリティ推進室インシデントレスポンス入門

http://www.jpcert.or.jp/magazine/atmarkit/

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

万が一の事態が起こった後の対応手順の明確化

• 連絡体制

• 原因の究明

• 復旧

• 再発防止

• 関連サイトとの連絡

など

19

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

報告元サイト JPCERT/CC

インシデント報告

転送内容の確認 (初回のみ)

受領確認

JPCERT/CC によるインシデント対応の流れ

関連サイト(アクセス元など)

WHOIS DB技術連絡担当者宛

他の CSIRT など

ご回答(状況説明など)

状況のご説明など

より適切な担当者など

ご転送

結果報告

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

インシデント関連情報の共有

20

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

何故情報を共有すべきなのか?• 世の中で一体何が被害を広めているのか?

– この不審なアクセスは自分のところだけ?– 意図的なもの? それとも単なる操作ミス?

• 未知の脆弱性の発見

– 被害の拡大を未然に防げる

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

CSIRT 間の連携の必要性

・ 情報共有 (インシデント対応) を円滑に

‐ 情報管理ポリシーは組織ごとに異なる

‐ 違いを相互に認め合った上での情報交換

・ sensitive な情報のやり取りには信頼が第一

21

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

世界的な動き

• 業界ごとに ISAC (Information Sharing and Analysis Center) 設立

– 米国 IT-ISAC http://www.it-isac.org/– 日本でも Telecom-ISAC などの設立の動き

http://www.soumu.go.jp/s-news/2003/pdf/030210_2.pdf

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

最後に

22

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

最近の特徴• 手口そのものは昔から大きく変わっていない

– 複合的な攻撃

– 誰でも使えるツール (rootkit など)• 一般家庭の (高速な) 常時接続が浸透

– 被害の拡大 (広範囲、高スピード)– 誰でも攻撃の対象になってしまう

• サーバ構築が容易– セットアップしたまま放置 (試験運用したサーバなどに多く見られる)– 標準で様々なサービスが有効

– ルータなどのネットワーク機器も同じ

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

被害者＝加害者？

• ワーム

• DDoS の Agent• MTA やプロクシサーバの不正中継

‐ SPAM メールの送信元に悪用

‐ なりすましによる誹謗中傷の書き込み

‐ などなど…

• 本当に「悪い奴」は捕まらない

– 踏み台にされたサイトに損害賠償請求????

23

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

攻撃から守るには

• 不要なサービスの停止– 使わないものはアンインストールするなど

• 最新のセキュリティ情報の入手– セキュリティ関連のパッチの適用

• ネットワークの監視

• サービスの運用ポリシー (アクセス制御など)• その他 (IP spoofing からの防御など)

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC 発行の技術メモ

http://www.jpcert.or.jp/ed/

コンピュータセキュリティインシデントに対する一般的な対応方法についての説明

サイトごとのポリシー策定などの参考に

24

2003/07/10 © 2003 JPCERT/CC

Japan Computer Emergency Response TeamCoordination Center

JPCERT/CC へのアクセス

E-mail: info@jpcert.or.jpWeb: http://www.jpcert.or.jp/報告様式: http://www.jpcert.or.jp/form/ﾒｰﾘﾝｸﾞﾘｽﾄ: http://www.jpcert.or.jp/announce.html

ﾌｧｯｸｽ: 03-3518-2177 (変更されました)

※ 電話によるインシデント報告は受け付けておりません。