脆弱性がが社会社会にににに与与与えるええるるえ...
39
脆弱性 脆弱性 脆弱性 脆弱性が が が社会 社会 社会 社会に に に与 与 与える える える える インパクト インパクト インパクト インパクトの の の変遷 変遷 変遷 変遷と と と今後 今後 今後 今後の の の取組 取組 取組 取組み み み ー ー ーISPから から から から見 見 見た た たー ー ー KDDI 株式会社 株式会社 株式会社 株式会社 運用統轄部 運用統轄部 運用統轄部 運用統轄部 情報 情報 情報 情報セキュリティフェロー セキュリティフェロー セキュリティフェロー セキュリティフェロー 中尾 中尾 中尾 中尾 康二 康二 康二 康二
Transcript of 脆弱性がが社会社会にににに与与与えるええるるえ...
脆弱性脆弱性脆弱性脆弱性がががが社会社会社会社会にににに与与与与えるえるえるえるインパクトインパクトインパクトインパクトのののの変遷変遷変遷変遷とととと今後今後今後今後のののの取組取組取組取組みみみみ
ーーーーISPからからからから見見見見たたたたーーーー
KDDI株式会社株式会社株式会社株式会社
運用統轄本部運用統轄本部運用統轄本部運用統轄本部 情報情報情報情報セキュリティフェローセキュリティフェローセキュリティフェローセキュリティフェロー
中尾中尾中尾中尾 康二康二康二康二
脆弱性対応脆弱性対応脆弱性対応脆弱性対応 ISPからのからのからのからの視点視点視点視点脆弱性対応脆弱性対応脆弱性対応脆弱性対応 ISPからのからのからのからの視点視点視点視点
・・・・通信事業者通信事業者通信事業者通信事業者((((ISP)におけるにおけるにおけるにおける設備設備設備設備のののの脆弱性対応脆弱性対応脆弱性対応脆弱性対応
メールサーバ、Webサーバなど管理設備のセキュリティ確保
*脆弱性監査
*脆弱性対応(例としてWebサーバ/アプリ対応)
・・・・おおおお客様設備客様設備客様設備客様設備のためののためののためののための脆弱性対応脆弱性対応脆弱性対応脆弱性対応
「通信の秘密」により、通信データから直接的な介入は無し
お客様へのセキュリティ情報提供、知識啓蒙(各社で提供、SPREAD等活用)
Telecom-ISAC Japanを通じたマルウェア駆除対策
◆網羅的な監査の実施
・セキュリティ上、クリティカルなホストの早期発見・対処が可能
◆リスクの数値化
・ホスト及びシステム全体のセキュリティ管理状況を、定量的に管理する事が可能
・適切なパッチマネジメントが可能
◆時系列比較
・監査前と監査後のリスク値を比較する事による、対処の効果の把握
ISP事業者設備事業者設備事業者設備事業者設備をををを対象対象対象対象としたとしたとしたとした脆弱性監査脆弱性監査脆弱性監査脆弱性監査システムシステムシステムシステムのののの導入導入導入導入((((例例例例))))1111ISP事業者設備事業者設備事業者設備事業者設備をををを対象対象対象対象としたとしたとしたとした脆弱性監査脆弱性監査脆弱性監査脆弱性監査システムシステムシステムシステムのののの導入導入導入導入((((例例例例))))1111
■ 事業用設備(グローバルIP)の脆弱性検査を定期的に実施し、セキュリティ上危険なシステムの早期発見・対処、および適切なパッチマネジメントに利用する。また、サービス開始前のセキュリティチェックにも使用し、おおおお客様客様客様客様へへへへ安全安全安全安全ななななサービスサービスサービスサービスをををを提供提供提供提供するするするする。。。。
導入目的導入目的導入目的導入目的
期待期待期待期待するするするする効果効果効果効果
脆弱性監査脆弱性監査脆弱性監査脆弱性監査ツールツールツールツール脆弱性監査脆弱性監査脆弱性監査脆弱性監査ツールツールツールツール
監査監査監査監査イメージイメージイメージイメージ監査監査監査監査イメージイメージイメージイメージ
■■ 監査の対象監査の対象
-- 事業用設備(サーバーシステムおよび付帯するネットワーク機器)事業用設備(サーバーシステムおよび付帯するネットワーク機器)
-- 上記設備のグローバル上記設備のグローバルIPIPセグメントセグメント
■■ 実施頻度実施頻度
-- 11ヶ月にヶ月に11度を想定(検証後に関連部門と協議)度を想定(検証後に関連部門と協議) ------ ISPISP事業者によって事業者によって
異なる異なる
■■ 実施部門実施部門
-- SOCSOCにて深夜帯にて深夜帯を中心に実施を中心に実施
運用部門運用部門情報セキュリティ情報セキュリティ監査担当監査担当
脆弱性監査脆弱性監査脆弱性監査脆弱性監査システムシステムシステムシステムのののの導入導入導入導入((((例例例例))))2222脆弱性監査脆弱性監査脆弱性監査脆弱性監査システムシステムシステムシステムのののの導入導入導入導入((((例例例例))))2222
Webサーバサーバサーバサーバ脆弱性対応脆弱性対応脆弱性対応脆弱性対応 事例事例事例事例Webサーバサーバサーバサーバ脆弱性対応脆弱性対応脆弱性対応脆弱性対応 事例事例事例事例
WebWebWebWebアプリアプリアプリアプリのののの事故事故事故事故・・・・事件例事件例事件例事件例----「「「「価格価格価格価格.com.com.com.com」」」」事件事件事件事件
2005年5月に発生。SQLインジェクションをついた攻撃により、一時的にサイトが閉鎖に追い込まれ、2万件のメールアドレスも流出した。犯人は学生で、ツールを用いて攻撃していた。最近では、SQLインジェクション攻撃が可能なサイトを調べるツールや、そういったサイトを簡単に攻撃できるツールなどが出回っており、誰もがさほど高い知識がなくても攻撃できてしまう。
出典:http://www.itmedia.co.jp/news/articles/0511/20/news001.html
2005年11月に発生。SQLインジェクションをついた攻撃により、顧客のクレジットカード情報などが流出した。実際にクレジットカードの不正利用が起こったことで調査し初めて発覚した。このように、データベース内のデータを取得するだけであれば、よほど注意を払っていない限り、攻撃を受けているのに、全く気づかないケースもありうる。
WebWebWebWebアプリアプリアプリアプリのののの事故事故事故事故・・・・事件例事件例事件例事件例----「「「「ワコールワコールワコールワコール」」」」事件事件事件事件
脆弱性概要脆弱性概要脆弱性概要脆弱性概要----ディレクトリトラバーサルディレクトリトラバーサルディレクトリトラバーサルディレクトリトラバーサル
【【【【ディレクトリトラバーサルディレクトリトラバーサルディレクトリトラバーサルディレクトリトラバーサル】】】】相対パス記法を利用して、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定
するソフトウェアの攻撃手法。
【【【【SQLSQLSQLSQLインジェクションインジェクションインジェクションインジェクション】】】】2005年5月の「価格.Com」事件が記憶に新しい。IPAセキュリティ白書 2005年10大脆弱性被害の1
位であり、当社の高危険度の脆弱性検出数の1位でもある。悪意のSQL文を入力することで、データベースを不正操作することができる脆弱性で、機密情報の
閲覧、取得、改ざん、破壊等が行われてしまう可能性がある。利用者からの入力値からデータベースへの命令文を組み立てるとき、この組み立て方法に問題が
あると発生する。
脆弱性概要脆弱性概要脆弱性概要脆弱性概要----SQLSQLSQLSQLインジェクションインジェクションインジェクションインジェクション
脆弱性攻撃例脆弱性攻撃例脆弱性攻撃例脆弱性攻撃例----SQLSQLSQLSQLインジェクションインジェクションインジェクションインジェクションによるなりすましによるなりすましによるなりすましによるなりすまし
ログイン画面
ログイン後の画面へ
' OR 'A'='A' OR 'A'='A' OR 'A'='A' OR 'A'='A
パスワードパスワードパスワードパスワードをををを知知知知らなくてもらなくてもらなくてもらなくてもログインログインログインログインできてしまうできてしまうできてしまうできてしまう
ログイン画面で他人のアカウントを入力し、
パスワード入力欄には悪意のSQL文を入力します
SELECTSELECTSELECTSELECT COUNT(COUNT(COUNT(COUNT(****)))) FROMFROMFROMFROM USERSUSERSUSERSUSERS WHEREWHEREWHEREWHEREID = 'admin' AND PASSWORD = ID = 'admin' AND PASSWORD = ID = 'admin' AND PASSWORD = ID = 'admin' AND PASSWORD = '' OR 'A' = 'A' OR 'A' = 'A' OR 'A' = 'A' OR 'A' = 'A'
入力値より組み立てられたSQL文↓
SELECTSELECTSELECTSELECT COUNT(COUNT(COUNT(COUNT(****)))) FROMFROMFROMFROM USERSUSERSUSERSUSERS WHEREWHEREWHEREWHEREID = ID = ID = ID = ‘‘‘‘adminadminadminadmin’’’’ AND PASSWORD =AND PASSWORD =AND PASSWORD =AND PASSWORD =‘‘‘‘adminadminadminadmin_pass_pass_pass_pass’’’’
通常の入力の場合↓
【【【【OSOSOSOSコマンドコマンドコマンドコマンドインジェクションインジェクションインジェクションインジェクション】】】】OSのコマンドを含む悪意のデータを入力し、本来意図しなかった操作をシステムに実行させる攻撃
手法。サーバ内情報の漏洩、ファイルの改ざん・削除、OSのシャットダウン、管理者権限乗っ取り、OSのユーザアカウント(ユーザID・パスワード)の変更などが実行される恐れがある。
脆弱性概要脆弱性概要脆弱性概要脆弱性概要----OSOSOSOSコマンドインジェクションコマンドインジェクションコマンドインジェクションコマンドインジェクション
脆弱性攻撃例脆弱性攻撃例脆弱性攻撃例脆弱性攻撃例----OSOSOSOSコマンドインジェクションコマンドインジェクションコマンドインジェクションコマンドインジェクション
;cat /etc/;cat /etc/;cat /etc/;cat /etc/passwdpasswdpasswdpasswd
パスワードファイルパスワードファイルパスワードファイルパスワードファイルのののの中身中身中身中身がががが全全全全てててて表示表示表示表示されてしまうされてしまうされてしまうされてしまう
↑サーバ側スクリプト言語の上記関数は、引数に設定したシェル(コマンド)を実行できる。
入力値入力値入力値入力値をそのままをそのままをそのままをそのまま引数引数引数引数にににに設定設定設定設定するようなするようなするようなするような作作作作りりりりになっているとになっているとになっているとになっていると、、、、ユーザユーザユーザユーザがががが入力入力入力入力したしたしたしたコマンドコマンドコマンドコマンドがががが実行実行実行実行できてしまいできてしまいできてしまいできてしまい、、、、サーバサーバサーバサーバをををを外部外部外部外部からからからから操作操作操作操作すすすすることができるることができるることができるることができる。。。。
【【【【シェルシェルシェルシェルをををを起動起動起動起動できるできるできるできる関数関数関数関数((((クラスクラスクラスクラス))))のののの例例例例】】】】
【【【【クロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティング】】】】XSSと表記されることもある。当社の高危険度の脆弱性検出数の第2位。利用者からの入力値を
Webページに出力するような場合に、出力処理に問題があると(入力値・出力値の未チェック)、悪意のスクリプトを埋め込まれる恐れがある。この脆弱性を悪用した攻撃手法を「クロスサイトスクリプティング」といい、利用者が悪意のサイトを閲覧した際に気付かずに不正なスクリプトを埋め込まれ、ブラウザ上で実行させられてしまう。Cookie内のセッションIDを盗まれ、正規のユーザになりすまされる恐れがある。
脆弱性概要脆弱性概要脆弱性概要脆弱性概要----クロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティング
【【【【セッションハイジャックセッションハイジャックセッションハイジャックセッションハイジャック】】】】悪意のある人が、利用者のセッション管理情報を推測・盗聴などによって不正取得し、利用者に
なりすますこと。セッションハイジャックが成立した場合、利用者本人に許可されている全ての操作を不正に行われるおそれがある。セッションIDは推測されにくい値を使用し、盗聴されないよう配慮する必要がある。
脆弱性概要脆弱性概要脆弱性概要脆弱性概要----セッションハイジャックセッションハイジャックセッションハイジャックセッションハイジャック
脆弱性対策例脆弱性対策例脆弱性対策例脆弱性対策例----入力値入力値入力値入力値ののののチェックチェックチェックチェックのののの原則原則原則原則
■■■■SQLSQLSQLSQLインジェクションインジェクションインジェクションインジェクション、、、、クロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティングクロスサイトスクリプティングなどはなどはなどはなどは、、、、不正不正不正不正なななな値値値値をををを入力入力入力入力されることによりされることによりされることによりされることにより起起起起こるこるこるこる。。。。入力値入力値入力値入力値をををを漏漏漏漏れなくれなくれなくれなくチェックチェックチェックチェックしししし、、、、正正正正しくしくしくしく処理処理処理処理していればしていればしていればしていれば脆弱性脆弱性脆弱性脆弱性はははは発生発生発生発生しないしないしないしない。。。。
【【【【入力値入力値入力値入力値チェックチェックチェックチェックのののの原則原則原則原則 】】】】①①①①全全全全てのてのてのての項目項目項目項目((((テキストボックステキストボックステキストボックステキストボックス、、、、テキストエリアテキストエリアテキストエリアテキストエリアだけでなくだけでなくだけでなくだけでなく、、、、ラジオボタンラジオボタンラジオボタンラジオボタン、、、、
チェックボックスチェックボックスチェックボックスチェックボックス、、、、セレクトボックスセレクトボックスセレクトボックスセレクトボックス、、、、hiddenhiddenhiddenhiddenフィールドフィールドフィールドフィールド等値等値等値等値をををを送信送信送信送信できるできるできるできる全全全全てのてのてのての箇所箇所箇所箇所))))でででで実施実施実施実施することすることすることすること
②②②②必必必必ずずずずサーバサーバサーバサーバ側側側側でででで実施実施実施実施するするするすることことことこと③③③③仕様上仕様上仕様上仕様上、、、、不正不正不正不正なななな文字文字文字文字ははははエラーエラーエラーエラーとしとしとしとし入力入力入力入力をををを認認認認めないめないめないめないことことことこと④④④④仕様上仕様上仕様上仕様上、、、、危険危険危険危険なななな特殊記号特殊記号特殊記号特殊記号をををを許容許容許容許容するするするする必要必要必要必要があるがあるがあるがある場合場合場合場合ははははエスケープエスケープエスケープエスケープ処理処理処理処理
をすることをすることをすることをすること
■■■■hiddenhiddenhiddenhiddenフィールドフィールドフィールドフィールド、、、、radioradioradioradioボタンボタンボタンボタンなどもなどもなどもなども容易容易容易容易にににに改竄改竄改竄改竄できるのでできるのでできるのでできるので、、、、不正不正不正不正なななな値値値値をををを入力入力入力入力できてしまうできてしまうできてしまうできてしまう。。。。
「「「「表示表示表示表示」」」」→→→→「「「「ソースソースソースソース」」」」をををを選択選択選択選択ででででソースコードソースコードソースコードソースコードをををを表示表示表示表示できるできるできるできる valuevaluevaluevalue をををを不正不正不正不正なななな値値値値にににに変更変更変更変更してしてしてして、、、、
サーバサーバサーバサーバにににに送信送信送信送信できてしまうできてしまうできてしまうできてしまう
対策例対策例対策例対策例----原則原則原則原則①①①① 全全全全てのてのてのての入力項目入力項目入力項目入力項目ををををチェックチェックチェックチェック
【入力項目】・テキストボックス・テキストエリア・ラジオボタン・チェックボックス・セレクトボックス、・hiddenフィールド
など
■■■■JavaScriptJavaScriptJavaScriptJavaScriptははははブラウザブラウザブラウザブラウザのののの設定設定設定設定でででで無効無効無効無効にできるのでにできるのでにできるのでにできるので、、、、ポップアップポップアップポップアップポップアップをををを利用利用利用利用したしたしたした入力入力入力入力チェックチェックチェックチェックはははは迂迂迂迂回回回回できてしまうできてしまうできてしまうできてしまう。。。。そのためそのためそのためそのため、、、、入力入力入力入力チェックチェックチェックチェックはははは必必必必ずずずずサーバサーバサーバサーバ側側側側でででで行行行行わなければならないわなければならないわなければならないわなければならない。。。。
脆弱性対策例脆弱性対策例脆弱性対策例脆弱性対策例----原則原則原則原則②②②② サーバサーバサーバサーバ側側側側でのでのでのでの入力入力入力入力チェックチェックチェックチェック
メールアドレスメールアドレスメールアドレスメールアドレスのののの入力入力入力入力チェックチェックチェックチェックををををブラウザブラウザブラウザブラウザ上上上上でででで動作動作動作動作するするするする
「「「「JavaScriptJavaScriptJavaScriptJavaScript」」」」でででで実施実施実施実施するするするするサイトサイトサイトサイト不正不正不正不正なななな入力入力入力入力のののの場合場合場合場合、、、、
ポップアップポップアップポップアップポップアップでででで知知知知らせるらせるらせるらせる
【【【【IEIEIEIEでのでのでのでの手順手順手順手順】】】】「「「「ツールツールツールツール」」」」→→→→「「「「インターネットオプシインターネットオプシインターネットオプシインターネットオプションョンョンョン」」」」→→→→「「「「セキュリティセキュリティセキュリティセキュリティ」」」」→→→→「「「「レベルレベルレベルレベルののののカスタマイズカスタマイズカスタマイズカスタマイズ」」」」
↓JavaScriptでの入力チェック ↓JavaScriptを無効に設定できる
「「「「アクティブスクリプトアクティブスクリプトアクティブスクリプトアクティブスクリプト」」」」「「「「無効無効無効無効にするにするにするにする」」」」ににににチェックチェックチェックチェックをつけるをつけるをつけるをつける
脆弱性対策例脆弱性対策例脆弱性対策例脆弱性対策例----原則原則原則原則③③③③ 不正文字入力不正文字入力不正文字入力不正文字入力をををを許可許可許可許可しないしないしないしない
■■■■「「「「郵便番号郵便番号郵便番号郵便番号」「」「」「」「電話番号電話番号電話番号電話番号」」」」やややや「「「「メールアドレスメールアドレスメールアドレスメールアドレス」」」」などなどなどなど入力値入力値入力値入力値ののののフォーマットフォーマットフォーマットフォーマットがががが仕様上規定仕様上規定仕様上規定仕様上規定されていされていされていされているるるる場合場合場合場合、、、、規定外規定外規定外規定外のののの入力値入力値入力値入力値ははははサーバサーバサーバサーバ側側側側ででででエラーエラーエラーエラーとしとしとしとし、、、、入力入力入力入力をををを認認認認めないこととしますめないこととしますめないこととしますめないこととします。。。。
文字種文字種文字種文字種::::半角数字半角数字半角数字半角数字のみのみのみのみ文字長文字長文字長文字長::::4444桁桁桁桁以外以外以外以外のののの入力入力入力入力ははははエラーエラーエラーエラー
脆弱性対策例脆弱性対策例脆弱性対策例脆弱性対策例----原則原則原則原則④④④④ 危険危険危険危険なななな特殊記号特殊記号特殊記号特殊記号ののののエスケープエスケープエスケープエスケープ処理処理処理処理
■■■■「「「「<<<<」「」「」「」「>>>>」「」「」「」「””””」「」「」「」「’’’’」「&」」「&」」「&」」「&」⇒⇒⇒⇒「「「「&&&<ltltlt;;;;」「」「」「」「&&&&ggggtttt;;;;」「」「」「」「&&&"quotquotquot;;;;」「」「」「」「''''」「」「」「」「&&&&」」」」にににに変換変換変換変換するするするする((((HTMLHTMLHTMLHTMLエンコードエンコードエンコードエンコード))))
↓スクリプトとして解釈されず、文字として表示される
SELECTSELECTSELECTSELECT COUNT(COUNT(COUNT(COUNT(****)))) FROMFROMFROMFROM USERSUSERSUSERSUSERS WHEREWHEREWHEREWHEREID = 'admin' AND PASSWORD = 'ID = 'admin' AND PASSWORD = 'ID = 'admin' AND PASSWORD = 'ID = 'admin' AND PASSWORD = '''OR ''A'' = ''A''OR ''A'' = ''A''OR ''A'' = ''A''OR ''A'' = ''A''''
■■■■SQLSQLSQLSQLインジェクションインジェクションインジェクションインジェクション対策対策対策対策:「:「:「:「’’’’」」」」がががが入力入力入力入力されたらされたらされたらされたら「「「「’’’’’’’’」」」」にににに置置置置きききき換換換換えるえるえるえる
testtesttesttest ⇒⇒⇒⇒ <<<<uuuu>test</>test</>test</>test</uuuu>>>>
※ 危険な特殊文字はユーザに入力を許可している以上、削除するのではなく、特殊文字として認識されないように処理する。
脆弱性対策例脆弱性対策例脆弱性対策例脆弱性対策例----セッションハイジャックセッションハイジャックセッションハイジャックセッションハイジャック
利用者利用者利用者利用者
Webサイトサイトサイトサイト①セッションIDのやり取りにはすべてSSLを使う
⇒⇒⇒⇒盗聴盗聴盗聴盗聴のののの防御防御防御防御
■■■■XSSXSSXSSXSS以外以外以外以外にににに、、、、セッションハイジャックセッションハイジャックセッションハイジャックセッションハイジャック対策対策対策対策としてとしてとしてとして、、、、以下以下以下以下のののの点点点点にににに注意注意注意注意がががが必要必要必要必要ですですですです。。。。
②URLにセッションIDを埋めこんでやりとりしない⇒⇒⇒⇒RefereRefereRefereRefere情報情報情報情報でのでのでのでの漏洩対策漏洩対策漏洩対策漏洩対策
③セッションIDには容易に推測されないものを使う⇒⇒⇒⇒ユーザユーザユーザユーザIDIDIDIDなどはなどはなどはなどは推測推測推測推測してしてしてして
成成成成りすまされてりすまされてりすまされてりすまされてしまうしまうしまうしまう
④セッションIDの有効期限・送出範囲を限定する。⇒⇒⇒⇒不正不正不正不正アクセスアクセスアクセスアクセスのののの可能性可能性可能性可能性をををを低低低低くするくするくするくする
g6oL9pDFQg6oL9pDFQg6oL9pDFQg6oL9pDFQ
事業設備事業設備事業設備事業設備のののの脆弱性監査脆弱性監査脆弱性監査脆弱性監査、、、、対応対応対応対応にににに加加加加ええええ、、、、以上以上以上以上のようなのようなのようなのような個個個個々々々々のののの脆弱性対策脆弱性対策脆弱性対策脆弱性対策をまとめをまとめをまとめをまとめ、、、、「「「「WebWebWebWebサーバサーバサーバサーバ、、、、WebWebWebWebアプリケーションアプリケーションアプリケーションアプリケーション構築構築構築構築・・・・運用運用運用運用ののののガイドラインガイドラインガイドラインガイドライン」」」」をををを制定制定制定制定しししし、、、、そのそのそのその準拠準拠準拠準拠にににに努努努努めているめているめているめている。。。。
SPREADのののの活動活動活動活動のののの紹介紹介紹介紹介
http://www.spread-j.org/
おおおお客様設備客様設備客様設備客様設備のためののためののためののための脆弱性対応脆弱性対応脆弱性対応脆弱性対応としてとしてとしてとして、、、、SPREADとととと連携連携連携連携
SPREAD の位置づけ�民の連携による、セキュリティ啓発、対策推進
�企業と個:地域コミュニティの連携
�個:地域コミュニティを支援
SPREAD の目的
�セキュリティ対策をわかりやすく伝える。
�セキュリティ情報を、迅速に、確実に提供する。
�地域で活動されているサポータ活動と連携し、全国的な連絡組織を作り、情報共有や情報交換、機能向上を支援する。
政府政府政府政府
重要重要重要重要インフラインフラインフラインフラ
企業企業企業企業
個人個人個人個人
SPREAD
�SPREAD
• 実際にパソコンの設定や操作を支援する�インターネット安全教室
•一般市民へ対する啓発活動を全国展開�Check PC!
•あまねく国民向けのキャンペーン
SPREADの活動環境
地域取りまとめ組織
組織
教育/研修
意見吸い上げ
緊急情報
サポータ育成コンテンツ
スーパーマスター
マスター
講師
被サポータ=ユーザ
SPREAD
ハイパー研育成方式
サポータ
IT知識
緊急対策
…
SPREAD レポートレポートレポートレポートSPREAD速報速報速報速報
SPREAD Web情報情報情報情報
各地の活動組織の交流の場としてのSPREAD
SPREAD
活動組織
ユーザ
●●●●●●●●SPREADSPREADSPREADSPREADSPREADSPREADSPREADSPREADはははは、、、、既既既既にににに地域地域地域地域にににに根根根根ざしてざしてざしてざして活動活動活動活動しているしているしているしている団体組織団体組織団体組織団体組織のののの連携連携連携連携ををををはははは、、、、既既既既にににに地域地域地域地域にににに根根根根ざしてざしてざしてざして活動活動活動活動しているしているしているしている団体組織団体組織団体組織団体組織のののの連携連携連携連携をををを図図図図りりりり、、、、問題解決問題解決問題解決問題解決のののの情報交換情報交換情報交換情報交換やややや情報共有情報共有情報共有情報共有をををを行行行行うううう。。。。図図図図りりりり、、、、問題解決問題解決問題解決問題解決のののの情報交換情報交換情報交換情報交換やややや情報共有情報共有情報共有情報共有をををを行行行行うううう。。。。
①
②
ウィルスに感染したのかな?マニュアル見ても良く分からん
OSの再インストールが必要です。作業時間は現地で2時間程度です。
今度の日曜日ならお伺いしてお手伝いできますが、いかがですか。私はボランティアなので無料です。
③
サポータ団体一覧リンク集
SPREADサポータブランド
このような作業で出たトラブルなどをメーカーに報告し、情報共有を行うのがSPREADサポータの交流の場
Telecom-ISAC Japanごごごご紹介紹介紹介紹介--- 概要概要概要概要, 活動紹介活動紹介活動紹介活動紹介 ---
(((( Cyber Clean Centerの説明を中心に)
Telecom-ISAC Japan
おおおお客様設備客様設備客様設備客様設備のためののためののためののための脆弱性対応脆弱性対応脆弱性対応脆弱性対応としてとしてとしてとして、、、、Telecom-ISACとととと連携連携連携連携
設立目的• Telecom-ISAC Japanは、インターネットその他の情報通信ネッ
トワークが世界的規模で社会経済構造の基盤を形成し、情報セ
キュリティの確保が社会経済生活において喫緊の課題になって
いることに鑑み、わが国の情報通信事業者を中心とする幅広い
会員間の相互連携を図り、情報共有をはじめとする情報セキュリ
ティ対策に資する活動を行うことにより、情報セキュリティの向上
を促し、もって、高度情報通信ネットワーク社会の形成に寄与す
ることを目的とする。
• 健全健全健全健全ななななCOMPETITIONはははは、、、、高邁高邁高邁高邁なななな
COLLABORATIONからからからから
ポリシーTT--ISACISAC--JJ会員会員会員会員会員会員会員会員ののののスタンススタンススタンススタンスののののスタンススタンススタンススタンス
• ”Our security depends on your security”をををを信信信信じじじじ、、、、win-winのののの関係構築関係構築関係構築関係構築
にににに貢献貢献貢献貢献するするするする意図意図意図意図をもっていることをもっていることをもっていることをもっていること。。。。
• 1111事業者事業者事業者事業者ではではではでは手手手手にににに負負負負えないえないえないえない大規模大規模大規模大規模なななな脅威脅威脅威脅威にににに一致団結一致団結一致団結一致団結してしてしてして対処対処対処対処するするするすることことことこと。。。。
TT--ISACISAC--JJのののの運営運営運営運営スタイルスタイルスタイルスタイルのののの運営運営運営運営スタイルスタイルスタイルスタイル
• 独立独立独立独立したしたしたした信頼信頼信頼信頼あるあるあるある組織運営組織運営組織運営組織運営をををを目指目指目指目指すすすす。。。。
• 会員会員会員会員をををを指揮命令指揮命令指揮命令指揮命令するするするするトップダウントップダウントップダウントップダウン的的的的ななななガバナンスガバナンスガバナンスガバナンス権限権限権限権限はははは指向指向指向指向しないしないしないしない。。。。
• 会員会員会員会員にににに共通共通共通共通なななな脅威脅威脅威脅威にににに対処対処対処対処するするするする為為為為のののの会員連携会員連携会員連携会員連携にににに必要必要必要必要なななな情報共有情報共有情報共有情報共有をををを行行行行うううう。。。。
• 会員間連携会員間連携会員間連携会員間連携ののののコーディネートコーディネートコーディネートコーディネートならびにならびにならびにならびに連携連携連携連携のののの促進促進促進促進にににに徹徹徹徹するするするする。。。。
沿革
ネットワーク感染型ワーム
ボットネット
ISP運用を
損なう深刻な脅威
連携のための情報共有
情報共有のための連携
1社では手に負えない規模
2002 2003 2004 2005 2006 2007
ISP7社で任意団体として
発足
5社入会日本日本日本日本データデータデータデータ通信協会通信協会通信協会通信協会
に編入会員は18社
TINY モニタリング
nicter
トレース・バック研究
Antinny対応
アビューズ間連携
ボット調査
BGP 経路情報監視
機能イメージ図機能イメージ図
会員会員会員会員会員会員会員会員ISPISP
オブザーバーオブザーバーオブザーバーオブザーバーオブザーバーオブザーバーオブザーバーオブザーバー
一般一般一般一般一般一般一般一般
国国内内外外関連情報関連情報
サイトサイト
会員会員
基本情報基本情報基本情報基本情報・・・・組織紹介組織紹介組織紹介組織紹介・・・・News・・・・セミナーセミナーセミナーセミナー情報情報情報情報
緊急情報緊急情報緊急情報緊急情報交換交換交換交換
((((6)))) 外部機関連携外部機関連携外部機関連携外部機関連携
((((1))))ポータルサイトポータルサイトポータルサイトポータルサイト
(3)センターセンターセンターセンター運用運用運用運用
広域広域広域広域モニタリングモニタリングモニタリングモニタリング・・・・アドバイザリィーアドバイザリィーアドバイザリィーアドバイザリィー・・・・レポートレポートレポートレポート・・・・プロテクトアドバイスプロテクトアドバイスプロテクトアドバイスプロテクトアドバイス
内部情報内部情報内部情報内部情報・・・・活動情報活動情報活動情報活動情報・・・・会議資料会議資料会議資料会議資料
Malware対策対策対策対策・・・・アドバイザリィーアドバイザリィーアドバイザリィーアドバイザリィー・・・・駆除駆除駆除駆除ツールツールツールツール・・・・対策結果対策結果対策結果対策結果
経路情報監視経路情報監視経路情報監視経路情報監視・・・・経路情報経路情報経路情報経路情報・・・・解析解析解析解析ツールツールツールツール・・・・障害情報障害情報障害情報障害情報
((((5))))組織運営組織運営組織運営組織運営・・・・基盤整備基盤整備基盤整備基盤整備
JPCERT/CC
NiCT
JPNIC
Malware
対策対策対策対策センターセンターセンターセンター
モニタリングモニタリングモニタリングモニタリングセンターセンターセンターセンター
経路情報経路情報経路情報経路情報監視監視監視監視センターセンターセンターセンター
((((2))))広報広報広報広報・・・・セミナーセミナーセミナーセミナー
JPCERT/CCオペレーションオペレーションオペレーションオペレーション
センターセンターセンターセンター
会員ISP
ネットワーク
Malware系データ
モニタリング用
データ
経路情報
インシデント情報
(4)
情情情情報報報報収収収収集集集集・・・・管管管管理理理理
構成メンバー (2007.6.25現在)
企画調整部企画調整部企画調整部企画調整部
システムシステムシステムシステム運用部運用部運用部運用部
会長会長会長会長:::: KDDIKDDIKDDIKDDI副副副副会長会長会長会長:::: NTTNTTNTTNTTコミュニケーションズコミュニケーションズコミュニケーションズコミュニケーションズ、、、、構成会社構成会社構成会社構成会社::::ニフティニフティニフティニフティ、、、、日本日本日本日本テレコムテレコムテレコムテレコム、、、、IIJIIJIIJIIJ、、、、日本電気日本電気日本電気日本電気、、、、日立製作所日立製作所日立製作所日立製作所
松下電器産業松下電器産業松下電器産業松下電器産業、、、、沖電気工業沖電気工業沖電気工業沖電気工業、、、、ソフトバンクソフトバンクソフトバンクソフトバンクBBBBBBBB、、、、横河電機横河電機横河電機横河電機松下電工松下電工松下電工松下電工、、、、NTTNTTNTTNTTナビスペースナビスペースナビスペースナビスペース、、、、東日本電信電話株式会社東日本電信電話株式会社東日本電信電話株式会社東日本電信電話株式会社西日本電信電話株式会社西日本電信電話株式会社西日本電信電話株式会社西日本電信電話株式会社、、、、日本電信電話株式会社日本電信電話株式会社日本電信電話株式会社日本電信電話株式会社、、、、NTTNTTNTTNTTビジュアルビジュアルビジュアルビジュアル通信株式会社通信株式会社通信株式会社通信株式会社、、、、KDDIKDDIKDDIKDDI研究所研究所研究所研究所
ラックラックラックラック、、、、インテックインテックインテックインテック・・・・ネットコアネットコアネットコアネットコア、、、、トレンドマイクロトレンドマイクロトレンドマイクロトレンドマイクロインターネットセキュリティシステムズインターネットセキュリティシステムズインターネットセキュリティシステムズインターネットセキュリティシステムズ
委員長委員長委員長委員長:::: NTTNTTNTTNTTコミュニケーションズコミュニケーションズコミュニケーションズコミュニケーションズ副委員長副委員長副委員長副委員長::::KDDIKDDIKDDIKDDI構成会社構成会社構成会社構成会社::::横河電機横河電機横河電機横河電機、、、、日立製作所日立製作所日立製作所日立製作所、、、、ニフティニフティニフティニフティ、、、、IIJIIJIIJIIJ
ソフトバンクソフトバンクソフトバンクソフトバンクBBBBBBBB、、、、日本電気日本電気日本電気日本電気
総務省総務省総務省総務省、、、、独立行政法人情報通信研究機構独立行政法人情報通信研究機構独立行政法人情報通信研究機構独立行政法人情報通信研究機構((((社社社社))))電気通信事業者協会電気通信事業者協会電気通信事業者協会電気通信事業者協会、(、(、(、(社社社社))))テレコムサービステレコムサービステレコムサービステレコムサービス協会協会協会協会((((社社社社))))日本日本日本日本インターネットプロバイダーインターネットプロバイダーインターネットプロバイダーインターネットプロバイダー協会協会協会協会
アライアンスアライアンスアライアンスアライアンスメンバーメンバーメンバーメンバー
オブザーバーオブザーバーオブザーバーオブザーバー
ステアリングステアリングステアリングステアリング・・・・コミッティコミッティコミッティコミッティ
NTTNTTNTTNTTコミュニケーションズコミュニケーションズコミュニケーションズコミュニケーションズ、、、、KDDIKDDIKDDIKDDI、、、、横河電機横河電機横河電機横河電機
横河電機横河電機横河電機横河電機、、、、日立製作所日立製作所日立製作所日立製作所
18社
4社
WGWGWGWG
WGWGWGWG2007 WG2007 WG
NACNAC--WG, AMGWG, AMG--WGWG
BGPBGP--WGWG,TB,TB--WGWG
TT--CEPTOAR WGCEPTOAR WG
nicternicter supportsupport
活動紹介 (1) DDoS攻撃対策
ターゲット・ポータル・DDoS攻撃AntinnyワームによるACCS攻撃、など・フィッシングサイトペルーにおける日本銀行、など
ISP
ISPISP
1. Telecom-ISACは、会員ISPへ、攻撃パケット対応を指示します。2. T-ISAC-Jの会員ISPは、攻撃パケットを破棄します。
DDoS攻撃攻撃攻撃攻撃ややややフィッシングフィッシングフィッシングフィッシング
サイトサイトサイトサイトへのへのへのへのパケットパケットパケットパケットをををを、、、、破棄破棄破棄破棄させるさせるさせるさせるDNS情報情報情報情報をををを配給配給配給配給するするするする。。。。
対策対策サイトサイト
スーパーハニーポット
ボット感染PC
・・ ・・
・ ・
アクセス
対策情報CCCクリーナー
②動的静的分析
感染 IPリスト④啓発メール発信
③感染PC検知
!!
活動紹介 (2) Cyber Clean Center
②´駆除ツール作成CCCクリーナークリーナークリーナークリーナー
⑤
ISP
www.ccc.go.jp
DDoSDDoS
Spam eSpam e--mailmailBotBot programprogram
①
活動紹介 (3) BGP経路情報監視
ISP-A ISP-B ISP-C ISP-D
AS-X
BGP Full-Route
経路ハイジャック
Alert Mail
あなたの経路をAS-X が
ハイジャックしてるよ!
CheckConfigurationConfigurationConfigurationConfiguration
DBDBDBDB
経路異常監視
・BGP 経路ハイジャックは、ISPにとって真の脅威.-今出来る技術で、経路異常への迅速な対応を目指す。
活動紹介 (4) トレースバック研究
T-ISAC-Jのののの役割役割役割役割
・適法な運用モデルの策定・ISP間契約等の雛形提示・実環境での実証実験実施 (FY2008~FY2009)
トレースバックシステム概要(研究目的で開発中)
0. ハッシュハッシュハッシュハッシュ化化化化したしたしたしたデータデータデータデータをををを取得取得取得取得.
各プローブは、自動的にパケットを
ハッシュ化し、自らのキャッシュに一時保管する。
1. 疑疑疑疑わしきわしきわしきわしき情報情報情報情報をををを保管保管保管保管.
IDSが攻撃を認知したら自動的に、
TBマネージャーは攻撃パケットのハッシュ値を計算し、隣接ASへ再帰的に問い合わせ、攻撃パケットが通過した経路ASマップを作成し、TB-DBに格納する。
2. 真真真真のののの攻撃者攻撃者攻撃者攻撃者のののの所在所在所在所在をををを確定確定確定確定インシデントが認知された後、TBオ
ペレーターは、攻撃パケットのハッシュ値を元にTB-DBを検索し、攻撃パケットの経路ASマップを確定する。
真真真真のののの攻撃者攻撃者攻撃者攻撃者のののの所在所在所在所在(ASマップマップマップマップ)
ISP(a) ISP(b) ISP(c)
IDS
TB-DB
TBマネージャーマネージャーマネージャーマネージャー
Probe
真真真真のののの攻撃者攻撃者攻撃者攻撃者
TBオペレーターオペレーターオペレーターオペレーター
IncidentIPアドレスアドレスアドレスアドレスをををを偽装偽装偽装偽装したしたしたした見見見見かけのかけのかけのかけの攻撃者攻撃者攻撃者攻撃者
可視化エンジン
マクロマクロマクロマクロ・・・・ミクロミクロミクロミクロ協調分析協調分析協調分析協調分析マクロマクロマクロマクロ・・・・ミクロミクロミクロミクロ協調分析協調分析協調分析協調分析
ネットワークネットワークネットワークネットワーク上上上上のののの攻撃攻撃攻撃攻撃をををを観測観測観測観測
攻撃攻撃攻撃攻撃コードコードコードコードをををを収集収集収集収集
政府機関
一般人
静的解析静的解析 動的解析動的解析
Virus
Bot
Worm
Honey pot
活動紹介 (5) nicter 支援(Network Incident analysis Center for Tactical Emergency Response)
ISP
事象
原因
分析エンジン
3D Display3D Display
World mapWorld map
オペレーターによるインシデント・ハンドリング
相関分析エンジン
相関分析エンジン
インシデントインシデントインシデントインシデント報告報告報告報告
Report
------------
------------
------------
!
!
!
マクロマクロマクロマクロ分析分析分析分析システムシステムシステムシステムマクロマクロマクロマクロ分析分析分析分析システムシステムシステムシステム (MacS)(MacS)
ミクロミクロミクロミクロ分析分析分析分析システムシステムシステムシステムミクロミクロミクロミクロ分析分析分析分析システムシステムシステムシステム (MicS)(MicS)
http://www.nict.go.jp/index.html
DesignImplement & use
Monitor & review
Maintain & improve
