インシデント対応チームの必要性 ~守るだけがセキュリティではない

Japan Computer Emergency Response Team
Coordination Center
インシデント対応チームの必要性
∼守るだけがセキュリティではない∼
JPCERT コーディネーションセンター
山賀正人
office@jpcert.or.jp
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC の紹介
2003/07/10
© 2003 JPCERT/CC
1
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC とは
• Japan Computer Emergency Response Team
Coordination Center
• 1996年10月設立の民間の非営利団体
1992年ころにボランティアではじまったグループを起源と
するエンジニア集団
• 日本で最初に FIRST に加盟した CSIRT
国際的に認知されている組織
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
CSIRT とは
Computer Security Incident Response Team
– 1988年11年 「Morris worm 事件」
– 米国カーネギーメロン大学の CERT/CC (Computer Emergency
Response Team Coordination Center)
• CERT という単語は CERT/CC の登録商標
– 現在では世界中に多数の組織
• CERTCC-KR (韓国)
• AusCERT (オーストラリア)
• CERT-Renater (フランス)
……………………………
– 組織によって形態・対応内容は様々
– RFC 2350 参照
2003/07/10
© 2003 JPCERT/CC
2
Japan Computer Emergency Response Team
Coordination Center
FIRST とは
http://www.first.org/
• Forum of Incident Response and Security Teams
• 1990年 CERT/CC などが中心となって設立
• 世界中の CSIRT 同士の交流を目的にした組織
http://www.first.org/team-info/
– 情報の共有
– インシデント対応 (Incident Response) の国際協力
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
Computer Security Incident とは
• コンピュータセキュリティに関係する人為的
事象で、意図的および偶発的なもの
• 弱点探索、リソースの不正使用、サービス運
用妨害行為など
• 『不正アクセス (行為)』 は狭義に規定された
2003/07/10
© 2003 JPCERT/CC
3
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC の業務
• 窓口対応
– 情報提供の受付
– 一般的な技術情報の紹介
– 関連組織への連絡
国内と国外との間の連絡など
• 技術情報の日本語による発信
– 注意喚起、緊急報告、技術メモ、メールマガジン、統計情報など
メーリングリストと Web による公開
– ベンダなどとの連携
– セミナーなどによる啓発活動
• 国際連携
– FIRST に加盟し、日本を代表して国際的に活動している組織
– アジア太平洋地域におけるセキュリティ対策組織を集めた国際会議を主催
(APSIRC: Asia Pacific Security Incident Response Coordination Conference)
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
APCERT
http://www.apcert.org/
• Asia Pacific Computer Emergency Response Team
– アジア太平洋地域の CSIRT フォーラム
– Steering Committee Member
– Secretariat
– 年次定例会議としての APSIRC
2003/07/10
© 2003 JPCERT/CC
4
Japan Computer Emergency Response Team
Coordination Center
報告された情報のゆくえ
報告者
件数
脆弱性情報
IPアドレス
ドメイン名
統計情報
関連サイト
セキュリティ関連文書
ベンダ
2003/07/10
関連サイト
© 2003 JPCERT/CC
Japan Computer Emergency Response Team
Coordination Center
技術文書の情報源
• 関係組織が公開している情報
– CSIRT (CERT/CC, CIAC, AusCERT など)
– ベンダなど
• 独自に調査研究した情報
• 窓口に届いた情報
2003/07/10
© 2003 JPCERT/CC
5
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC ではできないこと
• 個別サイトに対する監視やコンサルティング
• 個々のアプリケーションについてのコンサルティング
• 非技術的な支援
– 紛争の調停、対応の強制
– 捜査、犯人追及、証拠物件の押収
– 法律面での支援 (損害賠償請求など)
強制力のある組織ではない
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
最近の統計情報から
2003/07/10
© 2003 JPCERT/CC
6
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC へのインシデント報告件数の推移
1200
http://www.jpcert.or.jp/stat/reports.html
1000
800
600
400
200
0
96/10- 97/01- 97/04- 97/07- 97/10- 98/01- 98/04- 98/07- 98/10- 99/01- 99/04- 99/07- 99/10- 00/01- 00/04- 00/07- 00/10- 01/01- 01/04- 01/07- 01/10- 02/01- 02/04- 02/07- 02/10- 03/0196/12
97/03
97/06
97/09
97/12
98/03
98/06
98/09
98/12
99/03
99/06
99/09
99/12
00/03
00/06
00/09
00/12
01/03
01/06
01/09
01/12
02/03
02/06
02/09
02/12
03/03
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC へのインシデント報告件数の推移
3000
2500
2000
1500
1000
500
0
1996Q4
2003/07/10
1997
1998
1999
2000
2001
2002
© 2003 JPCERT/CC
7
Japan Computer Emergency Response Team
Coordination Center
米国 CERT/CC へのインシデント報告件数の推移
90,000
80,000
http://www.cert.org/stats/cert_stats.html
70,000
60,000
50,000
40,000
30,000
20,000
10,000
0
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
報告しない(しなくなった)理由
(%)
(N=547)
0%
5%
10%
15%
12.4%
JPCERT/CCに情報を提供しても有効に活用されているとは思えないから
11.7%
他の組織に報告するから
10.8%
自分はネットワーク等の管理に関係していないから
10.4%
JPCERT/CCに情報を提供してもフィードバックがないから
(インシデントが頻発するので)面倒だから
9.7%
JPCERT/CCの報告様式が使いにくいから
9.5%
9.5%
他の組織に情報が漏れる懸念があるから
その他
2003/07/10
30%
13.5%
顧客のシステムについての情報は出しにくいから
JPCERT/CCのスタッフが大変そうだから
25%
21.6%
セキュリティポリシー等の制約で情報を出しにくいから
(報告の)担当から外れたから
20%
5.5%
4.2%
27.8%
© 2003 JPCERT/CC
8
Japan Computer Emergency Response Team
Coordination Center
参考資料
GAO (The United States General Accounting Office) の文書
INFORMATION SECURITY:
Computer Attacks at Department of Defense Pose Increasing Risks
http://www.gao.gov/archive/1996/ai96084.pdf
988
Detected
R eacti on
24,700
Succeed
D et ect i on
13,300
Blocked
P rot ect i on
38,000
Attacks
267
Reported
721
Not Reported
23,712
Undetected
GAO/AIMD-96-84 Defense Information Security
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
インシデントタイプ別分類
2003/07/10
© 2003 JPCERT/CC
9
Japan Computer Emergency Response Team
Coordination Center
インシデントの分類
報告者の視点で分類
• サービス運用妨害 (DoS: Denial of Service)
– 分散型サービス運用妨害 (DDoS: Distributed Denial of Service)
• 詐称 (電子メール)
•
•
•
•
サービスの悪用、不正中継
侵入、無権限アクセス
弱点探索 (スキャン、プローブ)
その他 (JPCERT/CC で扱えないものなど)
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
2002年インシデントタイプ別分類
その他
176 (12%)
詐称 39
サービス運用妨害 20
侵入 57 (3.9%)
弱点探索
1160 (79.9%)
2003/07/10
© 2003 JPCERT/CC
10
Japan Computer Emergency Response Team
Coordination Center
弱点探索は、より深刻な
インシデントの発生を示している。
弱点探索のアクセス元は多くの場合、
踏み台として悪用されている。
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
報告件数および通知件数の推移
400
350
300
250
報告
通知
200
150
100
50
0
1月
2003/07/10
2月
3月
4月
5月
6月
7月
8月
9月
10月
11月
12月
1月
2月
3月
© 2003 JPCERT/CC
11
Japan Computer Emergency Response Team
Coordination Center
各インシデントタイプについて
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
サービス運用妨害 (DoS)
ネットワーク帯域などの資源を消費させ、
サービス不能に導く。一般的に攻撃元は詐
称されている。
例) SYN Flood 攻撃、UDP Flood 攻撃、Smurf 攻撃など
完全に防ぐ方法はない
• ルータなどによるパケットフィルタリング
• ネットワークの監視など
2003/07/10
© 2003 JPCERT/CC
12
Japan Computer Emergency Response Team
Coordination Center
分散型サービス運用妨害 (DDoS)
第三者の複数のコンピュータ に Agent と呼ばれるプログラ
ムを侵入させ、それらを使って大量のデータを一斉に攻撃対
象のコンピュータやネットワークに送信することでサービスを
妨害する。
完全に防ぐ方法はない
• Agent を侵入させられないために
– 最新のパッチの適用
– 不必要なサービスの停止または削除
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
詐称
• 電子メールの From: 欄の偽造
– 他人へのなりすまし
– 返答メールが偽造されたアドレスに送付
完全に防ぐ方法はない
メールアドレスを必要以上に公にしない
2003/07/10
© 2003 JPCERT/CC
13
Japan Computer Emergency Response Team
Coordination Center
サービスの悪用
• メールサーバプログラムの不正中継
SPAM メールの配送に使われ、送信元と見なされてしまう。
• プロクシサーバの不正利用
– なりすまし (アクセス元アドレスの隠蔽など)
– BBS, チャット などへの書き込み
単なるサーバプログラムの設定ミス
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
侵入
• パスワード管理の甘さ
• 主にバッファオーバーフローの脆弱性を悪用
– 配列の大きさをチェックせずにデータを格納してしまう、プ
ログラム上のミスが原因
例) C言語の関数 strcpy(), strcat(), sprintf() など
– プログラムの異常停止を伴う
– 挿入したマシン語の実行
• 管理者権限の取得
• データ改ざん
• バックドアの設置など
2003/07/10
© 2003 JPCERT/CC
14
Japan Computer Emergency Response Team
Coordination Center
侵入を防ぐには
•
•
•
•
最新のパッチを適用
不必要なサービスを停止または削除
ルータなどによるパケットフィルタリング
サービスを提供する相手の制限 (アクセス制御)
– IP spoofing からの防御も重要
自ネットワークのアドレスを詐称したパケットの外部からの侵入を防ぐ
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
スキャン、プローブ
(弱点探索)
• ほとんどの場合実害はない
• インシデントの兆候 (?)
– 侵入の試み (?)
– 新たな脆弱性の発見の兆し (?)
– バックドア設置の確認 (?)
2003/07/10
© 2003 JPCERT/CC
15
Japan Computer Emergency Response Team
Coordination Center
2002年度スキャン報告の推移
250
200
80(http)
137(netbios-ns)
1433(ms-sql-s)
443(https)
445(microsoft-ds)
22(ssh)
53(domain)
25(smtp)
21(ftp)
150
100
50
0
4月
5月
6月
7月
8月
9月
10月
11月
12月
1月
2月
3月
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
スキャン報告の件数と
脆弱性情報の公開やワームなどの
広まりには相関がある。
スキャン情報の、より効率的な
収集方法については現在検討中
2003/07/10
© 2003 JPCERT/CC
16
Japan Computer Emergency Response Team
Coordination Center
インシデント対応チームの必要性
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
守るだけがセキュリティではない。
• 人為的ミス (パッチの適用忘れなど)
• 未知 (公知になっていない) の脆弱性の悪用
「100% 安全」はありえない。
いかに素早くインシデントに気づき、
対応できるか、が重要
2003/07/10
© 2003 JPCERT/CC
17
Japan Computer Emergency Response Team
Coordination Center
インシデントを発見する手順の明確化
• ログの取得内容の整理
• ログの確認
• 異常事態発生時の報告の仕組み
など
管理者のためのセキュリティ推進室
インシデントレスポンス入門
http://www.jpcert.or.jp/magazine/atmarkit/
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
万が一の事態が起こった後の
対応手順の明確化
• 連絡体制
• 原因の究明
• 復旧
• 再発防止
• 関連サイトとの連絡
など
2003/07/10
© 2003 JPCERT/CC
18
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC によるインシデント
対応の流れ
インシデント報告
受領確認
報告元サイト
他の CSIRT など
転送内容の確認 (初回のみ)
JPCERT/CC
結果報告
WHOIS DB
技術連絡担当者宛
状況のご説明など
より適切な担当者など
ご転送
ご回答
(状況説明など)
関連サイト
(アクセス元など)
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
インシデント関連情報の共有
2003/07/10
© 2003 JPCERT/CC
19
Japan Computer Emergency Response Team
Coordination Center
何故情報を共有すべきなのか?
• 世の中で一体何が被害を広めているのか?
– この不審なアクセスは自分のところだけ?
– 意図的なもの? それとも単なる操作ミス?
• 未知の脆弱性の発見
– 被害の拡大を未然に防げる
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
CSIRT 間の連携の必要性
・ 情報共有 (インシデント対応) を円滑に
‐ 情報管理ポリシーは組織ごとに異なる
‐ 違いを相互に認め合った上での情報交換
・ sensitive な情報のやり取りには信頼が第一
2003/07/10
© 2003 JPCERT/CC
20
Japan Computer Emergency Response Team
Coordination Center
世界的な動き
• 業界ごとに ISAC (Information Sharing and
Analysis Center) 設立
– 米国 IT-ISAC http://www.it-isac.org/
– 日本でも Telecom-ISAC などの設立の動き
http://www.soumu.go.jp/s-news/2003/pdf/030210_2.pdf
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
最後に
2003/07/10
© 2003 JPCERT/CC
21
Japan Computer Emergency Response Team
Coordination Center
最近の特徴
• 手口そのものは昔から大きく変わっていない
– 複合的な攻撃
– 誰でも使えるツール (rootkit など)
• 一般家庭の (高速な) 常時接続が浸透
– 被害の拡大 (広範囲、高スピード)
– 誰でも攻撃の対象になってしまう
• サーバ構築が容易
– セットアップしたまま放置 (試験運用したサーバなどに多く見られる)
– 標準で様々なサービスが有効
– ルータなどのネットワーク機器も同じ
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
被害者=加害者?
• ワーム
• DDoS の Agent
• MTA やプロクシサーバの不正中継
‐ SPAM メールの送信元に悪用
‐ なりすましによる誹謗中傷の書き込み
‐ などなど…
• 本当に「悪い奴」は捕まらない
– 踏み台にされたサイトに損害賠償請求????
2003/07/10
© 2003 JPCERT/CC
22
Japan Computer Emergency Response Team
Coordination Center
攻撃から守るには
• 不要なサービスの停止
– 使わないものはアンインストールするなど
• 最新のセキュリティ情報の入手
– セキュリティ関連のパッチの適用
• ネットワークの監視
• サービスの運用ポリシー (アクセス制御など)
• その他 (IP spoofing からの防御など)
© 2003 JPCERT/CC
2003/07/10
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC 発行の技術メモ
http://www.jpcert.or.jp/ed/
コンピュータセキュリティインシデントに対する
一般的な対応方法についての説明
サイトごとのポリシー策定などの参考に
2003/07/10
© 2003 JPCERT/CC
23
Japan Computer Emergency Response Team
Coordination Center
JPCERT/CC へのアクセス
E-mail:
Web:
報告様式:
メーリングリスト:
ファックス:
info@jpcert.or.jp
http://www.jpcert.or.jp/
http://www.jpcert.or.jp/form/
http://www.jpcert.or.jp/announce.html
03-3518-2177 (変更されました)
※ 電話によるインシデント報告は受け付けておりません。
2003/07/10
© 2003 JPCERT/CC
24