隠れたインシデントを見つけ出す！SECCON大阪大会結果からみるCSIRT対応について

1/30/2016 1

SECCON 実行委員伊藤彰嗣

SECCON 2015 大阪大会

CSIRT におけるインシデント対応に求められるスキルを学び、競う大会

1/30/2016 2

http://2015.seccon.jp/osaka-csirt-challenge.html

SECCON 大阪大会 - 予選 -

1/30/2016 3

申込み人数 ３６チーム１０５名

概要 CSIRT の窓口対応における初動対応について、具体事例に関する回答を提出いただきました。

サイト改ざん 情報漏えい PC 紛失

不正な通信 リスト型攻撃

課題の審査結果

点数 評価 チーム数

５ 回答内容が必要十分である 6

４ 回答内容に不足が無く、誤りもない 7

３ 回答内容が不足している。もしくは、回答に誤りがある。

15

２ 回答内容が不足し、回答に誤りがある。 5

１ 回答内容がフォーマットにあっていない。 3

1/30/2016 4

上位チームの解答例（サイト改ざん）

1/30/2016 5

原因

• 内部犯行

• 第三者の攻撃

• フィッシングサイト

• マルバタイジング

• ドメイン乗っ取り

• 誤報告

初動対応

• ヒアリング

• 安全な環境から

サイトにアクセス

• Virustotal の活用

• エスカレーション

• 関係機関への連絡

調査

• 他サイトの調査

• アクセスログの調査

• マルウェア設置方法

• マルウェア解析

• 情報漏えい有無確認

上位チームの回答

1/30/2016 6

• 効率良く初動対応することができる

断片的な事実から多様な原因を想定

• 同時並行的に実行する作業について優先順位付けが明確

• 自社の CSIRT を想定した実践的な内容

「初動対応」と「調査」対応を分離

• お客様データへの被害、個人情報流出有無など

「連絡基準」が明確に定められている

SECCON 大阪大会 - 本選 -

1/30/2016 7

開催日時 2015 年 11 月 8 日（日）

会場 グランフロント大阪 ナレッジキャピタル（タワーC 10 F慶應大阪シティキャンパス）

参加人数 １５チーム５９名

主催 SECCON 実行委員会日本ネットワークセキュリティ協会（JNSA）

協力 奈良先端科学技術大学院大学トレンドマイクロ株式会社

概要 CSIRT演習をテーマにしたオフラインの競技大会- インシデント体験ボードゲーム

プレーヤーの目的

8

ある企業内で発生する情報セキュリティインシデントを解決すること

断片的な事実

1/30/2016 9

有効な対策を選択

1/30/2016 10

ゲームの流れ

11

• ３ラウンド終了後、会社を存続させることが出来れば勝利となります。

ゲーム終了後に、インシデント対応に関するプレゼンを実施いただき、優勝チームを決定

当日の様子

1/30/2016 12

最終プレゼンの様子

1/30/2016 13

最終審査結果

順位 チーム名 分析 対策 プレゼン 総合点

1 nw 8 6 6 20

2 Binja 6 3 7 16

3 bremen 2 6 2 10

4 GTJ 4 0 5 9

5 indo8 2 0 3 5

1/30/2016 14

優勝チーム nw

1/30/2016 15

WriteUP：http://d.hatena.ne.jp/ozakira/20151108

参加者へのアンケート結果

アンケート項目 点数（５点満点）

総合満足度 4.12

ゲームのできばえ 3.75

自分がファシリテータをやってみたいと思うか

3.24

自社でやってみたいか 3.86

優勝チームの選出方法に納得感はあったか

4.36

1/30/2016 16

全体としては参加者の方に満足いただけた

まとめ

1/30/2016 17

• CSIRT演習をテーマにしたオフラインの競技大会を開催

SECCON 2015 大阪大会

• 普段からチーム内で訓練することが重要

断片的な事実から全体を推測する