Upload
lekhue
View
217
Download
1
Embed Size (px)
Citation preview
1
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデント対応チームの必要性~守るだけがセキュリティではない~
JPCERT コーディネーションセンター
山賀正人
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC の紹介
2
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC とは
• Japan Computer Emergency Response Team Coordination Center
• 1996年10月設立の民間の非営利団体1992年ころにボランティアではじまったグループを起源とするエンジニア集団
• 日本で最初に FIRST に加盟した CSIRT国際的に認知されている組織
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
CSIRT とはComputer Security Incident Response Team– 1988年11年 「Morris worm 事件」– 米国カーネギーメロン大学の CERT/CC (Computer Emergency
Response Team Coordination Center)• CERT という単語は CERT/CC の登録商標
– 現在では世界中に多数の組織• CERTCC-KR (韓国)• AusCERT (オーストラリア)• CERT-Renater (フランス)……………………………
– 組織によって形態・対応内容は様々– RFC 2350 参照
3
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
FIRST とはhttp://www.first.org/
• Forum of Incident Response and Security Teams• 1990年 CERT/CC などが中心となって設立
• 世界中の CSIRT 同士の交流を目的にした組織
http://www.first.org/team-info/– 情報の共有
– インシデント対応 (Incident Response) の国際協力
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
Computer Security Incident とは
• コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの
• 弱点探索、リソースの不正使用、サービス運用妨害行為など
• 『不正アクセス (行為)』 は狭義に規定された
4
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC の業務• 窓口対応
– 情報提供の受付– 一般的な技術情報の紹介– 関連組織への連絡
国内と国外との間の連絡など
• 技術情報の日本語による発信– 注意喚起、緊急報告、技術メモ、メールマガジン、統計情報など
メーリングリストと Web による公開
– ベンダなどとの連携– セミナーなどによる啓発活動
• 国際連携– FIRST に加盟し、日本を代表して国際的に活動している組織
– アジア太平洋地域におけるセキュリティ対策組織を集めた国際会議を主催(APSIRC: Asia Pacific Security Incident Response Coordination Conference)
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
APCERThttp://www.apcert.org/
• Asia Pacific Computer Emergency Response Team– アジア太平洋地域の CSIRT フォーラム
– Steering Committee Member– Secretariat– 年次定例会議としての APSIRC
5
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
関連サイト
報告された情報のゆくえ
IPアドレスドメイン名
ベンダ関連サイト
セキュリティ関連文書
統計情報
脆弱性情報
件数
報告者
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
技術文書の情報源
• 関係組織が公開している情報– CSIRT (CERT/CC, CIAC, AusCERT など)– ベンダなど
• 独自に調査研究した情報
• 窓口に届いた情報
6
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC ではできないこと
• 個別サイトに対する監視やコンサルティング
• 個々のアプリケーションについてのコンサルティング
• 非技術的な支援
– 紛争の調停、対応の強制
– 捜査、犯人追及、証拠物件の押収
– 法律面での支援 (損害賠償請求など)
強制力のある組織ではない
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
最近の統計情報から
7
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
http://www.jpcert.or.jp/stat/reports.html
JPCERT/CC へのインシデント報告件数の推移
0
200
400
600
800
1000
1200
96/10-
96/12
97/01-
97/03
97/04-
97/06
97/07-
97/09
97/10-
97/12
98/01-
98/03
98/04-
98/06
98/07-
98/09
98/10-
98/12
99/01-
99/03
99/04-
99/06
99/07-
99/09
99/10-
99/12
00/01-
00/03
00/04-
00/06
00/07-
00/09
00/10-
00/12
01/01-
01/03
01/04-
01/06
01/07-
01/09
01/10-
01/12
02/01-
02/03
02/04-
02/06
02/07-
02/09
02/10-
02/12
03/01-
03/03
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC へのインシデント報告件数の推移
0
500
1000
1500
2000
2500
3000
1996Q4 1997 1998 1999 2000 2001 2002
8
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
米国 CERT/CC へのインシデント報告件数の推移
http://www.cert.org/stats/cert_stats.html
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
80,000
90,000
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
報告しない(しなくなった)理由
21.6%
13.5%
12.4%
11.7%
10.8%
10.4%
9.7%
9.5%
9.5%
5.5%
4.2%
27.8%
0% 5% 10% 15% 20% 25% 30%
セキュリティポリシー等の制約で情報を出しにくいから
顧客のシステムについての情報は出しにくいから
JPCERT/CCに情報を提供しても有効に活用されているとは思えないから
他の組織に報告するから
自分はネットワーク等の管理に関係していないから
JPCERT/CCに情報を提供してもフィードバックがないから
(インシデントが頻発するので)面倒だから
JPCERT/CCの報告様式が使いにくいから
他の組織に情報が漏れる懸念があるから
(報告の)担当から外れたから
JPCERT/CCのスタッフが大変そうだから
その他
(%)(N=547)
9
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
参考資料GAO (The United States General Accounting Office) の文書
INFORMATION SECURITY:Computer Attacks at Department of Defense Pose Increasing Risks
http://www.gao.gov/archive/1996/ai96084.pdf
38,000Attacks
13,300Blocked
24,700Succeed
988Detected
23,712Undetected
267Reported
721Not Reported
P
rot
ect
i
on
D
et
ect
i
o
n
Reaction
GAO/AIMD-96-84 Defense Information Security
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデントタイプ別分類
10
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデントの分類報告者の視点で分類
• サービス運用妨害 (DoS: Denial of Service)– 分散型サービス運用妨害 (DDoS: Distributed Denial of Service)
• 詐称 (電子メール)• サービスの悪用、不正中継
• 侵入、無権限アクセス
• 弱点探索 (スキャン、プローブ)• その他 (JPCERT/CC で扱えないものなど)
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
2002年インシデントタイプ別分類
弱点探索1160 (79.9%)
その他176 (12%)
侵入 57 (3.9%)
詐称 39サービス運用妨害 20
11
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
弱点探索は、より深刻なインシデントの発生を示している。
弱点探索のアクセス元は多くの場合、踏み台として悪用されている。
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
報告件数および通知件数の推移
0
50
100
150
200
250
300
350
400
1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
報告
通知
12
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
各インシデントタイプについて
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
サービス運用妨害 (DoS)ネットワーク帯域などの資源を消費させ、サービス不能に導く。一般的に攻撃元は詐称されている。
例) SYN Flood 攻撃、UDP Flood 攻撃、Smurf 攻撃など
完全に防ぐ方法はない
• ルータなどによるパケットフィルタリング
• ネットワークの監視など
13
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
分散型サービス運用妨害 (DDoS)第三者の複数のコンピュータ に Agent と呼ばれるプログラムを侵入させ、それらを使って大量のデータを一斉に攻撃対象のコンピュータやネットワークに送信することでサービスを妨害する。
完全に防ぐ方法はない
• Agent を侵入させられないために– 最新のパッチの適用– 不必要なサービスの停止または削除
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
詐称
• 電子メールの From: 欄の偽造
– 他人へのなりすまし
– 返答メールが偽造されたアドレスに送付
完全に防ぐ方法はない
メールアドレスを必要以上に公にしない
14
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
サービスの悪用
• メールサーバプログラムの不正中継
SPAM メールの配送に使われ、送信元と見なされてしまう。
• プロクシサーバの不正利用– なりすまし (アクセス元アドレスの隠蔽など)– BBS, チャット などへの書き込み
単なるサーバプログラムの設定ミス
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
侵入• パスワード管理の甘さ
• 主にバッファオーバーフローの脆弱性を悪用
– 配列の大きさをチェックせずにデータを格納してしまう、プログラム上のミスが原因
例) C言語の関数 strcpy(), strcat(), sprintf() など
– プログラムの異常停止を伴う
– 挿入したマシン語の実行• 管理者権限の取得
• データ改ざん
• バックドアの設置など
15
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
侵入を防ぐには
• 最新のパッチを適用
• 不必要なサービスを停止または削除
• ルータなどによるパケットフィルタリング
• サービスを提供する相手の制限 (アクセス制御)
– IP spoofing からの防御も重要自ネットワークのアドレスを詐称したパケットの外部からの侵入を防ぐ
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
スキャン、プローブ(弱点探索)
• ほとんどの場合実害はない
• インシデントの兆候 (?)– 侵入の試み (?)– 新たな脆弱性の発見の兆し (?)– バックドア設置の確認 (?)
16
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
2002年度スキャン報告の推移
0
50
100
150
200
250
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
80(http)
137(netbios-ns)
1433(ms-sql-s)
443(https)
445(microsoft-ds)
22(ssh)
53(domain)
25(smtp)
21(ftp)
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
スキャン報告の件数と脆弱性情報の公開やワームなどの
広まりには相関がある。
スキャン情報の、より効率的な
収集方法については現在検討中
17
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデント対応チームの必要性
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
守るだけがセキュリティではない。
• 人為的ミス (パッチの適用忘れなど)• 未知 (公知になっていない) の脆弱性の悪用
「100% 安全」はありえない。
いかに素早くインシデントに気づき、
対応できるか、が重要
18
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデントを発見する手順の明確化
• ログの取得内容の整理
• ログの確認
• 異常事態発生時の報告の仕組み
など
管理者のためのセキュリティ推進室インシデントレスポンス入門
http://www.jpcert.or.jp/magazine/atmarkit/
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
万が一の事態が起こった後の対応手順の明確化
• 連絡体制
• 原因の究明
• 復旧
• 再発防止
• 関連サイトとの連絡
など
19
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
報告元サイト JPCERT/CC
インシデント報告
転送内容の確認 (初回のみ)
受領確認
JPCERT/CC によるインシデント対応の流れ
関連サイト(アクセス元など)
WHOIS DB技術連絡担当者宛
他の CSIRT など
ご回答(状況説明など)
状況のご説明など
より適切な担当者など
ご転送
結果報告
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
インシデント関連情報の共有
20
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
何故情報を共有すべきなのか?• 世の中で一体何が被害を広めているのか?
– この不審なアクセスは自分のところだけ?– 意図的なもの? それとも単なる操作ミス?
• 未知の脆弱性の発見
– 被害の拡大を未然に防げる
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
CSIRT 間の連携の必要性
・ 情報共有 (インシデント対応) を円滑に
‐ 情報管理ポリシーは組織ごとに異なる
‐ 違いを相互に認め合った上での情報交換
・ sensitive な情報のやり取りには信頼が第一
21
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
世界的な動き
• 業界ごとに ISAC (Information Sharing and Analysis Center) 設立
– 米国 IT-ISAC http://www.it-isac.org/– 日本でも Telecom-ISAC などの設立の動き
http://www.soumu.go.jp/s-news/2003/pdf/030210_2.pdf
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
最後に
22
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
最近の特徴• 手口そのものは昔から大きく変わっていない
– 複合的な攻撃
– 誰でも使えるツール (rootkit など)• 一般家庭の (高速な) 常時接続が浸透
– 被害の拡大 (広範囲、高スピード)– 誰でも攻撃の対象になってしまう
• サーバ構築が容易– セットアップしたまま放置 (試験運用したサーバなどに多く見られる)– 標準で様々なサービスが有効
– ルータなどのネットワーク機器も同じ
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
被害者=加害者?
• ワーム
• DDoS の Agent• MTA やプロクシサーバの不正中継
‐ SPAM メールの送信元に悪用
‐ なりすましによる誹謗中傷の書き込み
‐ などなど…
• 本当に「悪い奴」は捕まらない
– 踏み台にされたサイトに損害賠償請求????
23
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
攻撃から守るには
• 不要なサービスの停止– 使わないものはアンインストールするなど
• 最新のセキュリティ情報の入手– セキュリティ関連のパッチの適用
• ネットワークの監視
• サービスの運用ポリシー (アクセス制御など)• その他 (IP spoofing からの防御など)
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC 発行の技術メモ
http://www.jpcert.or.jp/ed/
コンピュータセキュリティインシデントに対する一般的な対応方法についての説明
サイトごとのポリシー策定などの参考に
24
2003/07/10 © 2003 JPCERT/CC
Japan Computer Emergency Response TeamCoordination Center
JPCERT/CC へのアクセス
E-mail: [email protected]: http://www.jpcert.or.jp/報告様式: http://www.jpcert.or.jp/form/メーリングリスト: http://www.jpcert.or.jp/announce.html
ファックス: 03-3518-2177 (変更されました)
※ 電話によるインシデント報告は受け付けておりません。