文部科学省科学技術振興調整費
中央大学研究開発機構
情報セキュリティ・情報保証 人材育成拠点
平成18年度情報セキュリティ人材育成公開講座
2006年8月19日(土)∼23日(水)
HIRT Hitachi
2006.08.18 01:30:26 +09'00'
脆弱性データベース
侵害活動の変遷と対策のための情報収集
2006/08/19
株式会社日立製作所
Hitachi Incident Response Team
寺田真敏
http://www.hitachi.co.jp/hirt/
http://www.hitachi.com/hirt/
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
Opening
近年、急激にインシデントも多様化し、かつその変化
も早くなってきています。このような変化は、インシデ
ントの対処にも変化をもたらしました。
本講座では、まず、過去と現在の侵害活動を概観す
ると共に、侵害活動の手法の技術的詳細を解説する
ことで、侵害活動に関する理解を深めます。
次に、脆弱性対応とインシデント対応を行う上で、ど
ういった情報源を参考にすれば良いか、国内外のサ
イトを紹介します。またそれらの情報の見方と活用方
法について紹介します。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
Contents
1. 攻撃手法の変遷
2. インシデントオペレーション
付録A. 脆弱性対策情報の提供サイト
付録B. インシデント情報提供サイト
付録C. 感染先探索特性
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
1. 攻撃手法の変遷
攻撃手法の多様化とツールの高機能化により、高度な
技術力がなくても多彩な侵害活動が可能となってきてい
ます。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
1.1
攻撃手法の変遷
攻撃手法の多様化とツールの高機能化により、
高度な技術力がなくても多彩な侵害活動が可能となってきた。
④
③
⑥
①
⑤
②
⑥
Computer Security Issues that Affect Federal, State, and Local Governments and the Code Red Worm
http://www.cert.org/congressional_testimony/Carpenter_testimony_Aug29.html
© Hitachi Incident Resposen Team. 2006.
4
1.2
攻撃手法の変遷
歴史は繰り返す: 脆弱性を悪用したワームの流布
サーバの脆弱性を攻略するネットワークワームは15年以上も前に発生
1988年12月
①
インターネットワーム事件
⇒バッファオーバーフロー攻撃などサーバの脆弱性を攻略
2001年05月
sadmind/IIS ワーム
⇒sadmindのバッファオーバーフロー、IIS(MS01-026)の脆弱性を攻略
2001年07,08月
CodeRed ワーム
⇒IISのバッファオーバーフロー問題(MS01-033)を攻略
2001年09月
Nimda ワーム
⇒IIS(MS00-078,MS01-026)とIE(MS01-020)の脆弱性を攻略
2002年07月
Apache/mod_ssl ワーム
⇒OpenSSLのバッファオーバーフロー問題(CA-2002-23)を攻略
2003年02月
SQL Slammer ワーム
⇒MSSQLのバッファオーバーフロー問題(MS02-061)を攻略
2003年08月
Blaster, Welchiaワーム
⇒RPC DCOMのバッファオーバーフロー問題(MS03-016)を攻略
2004年03月
Wittyワーム
⇒RealSecureのICQ解析処理のバッファオーバーフロー問題を攻略
2004年05月
Sasserワーム
⇒LSASSのバッファオーバーフロー問題(MS04-011)を攻略
© Hitachi Incident Resposen Team. 2006.
5
1.2
攻撃手法の変遷
歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布
CodeRed: 数時間のうちに20万台以上の計算機が感染した。
2001年06月18日
2001年07月18日
2001年08月06日
マイクロソフト「MS01-033: Index Server ISAPI エクステンションの
未チェックのバッファにより Web サーバーが攻撃される」を公表
CodeRed I ワーム発生
CodeRed II ワーム発生
Code Red
Code Red, Code Red II
CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Worm
http://www.cert.org/advisories/CA-2001-23.html
http://www.security.nl/misc/codered-stats/ [x]
© Hitachi Incident Resposen Team. 2006.
6
1.2
攻撃手法の変遷
歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布
Slammer: 感染動作自体がインターネットをDoS状態に陥れる。
2002年07月25日
2003年01月25日
マイクロソフト「MS02-039: SQL Server 2000 解決サービスのバッファの
オーバーランにより、コードが実行される」を公表
Slammer ワーム発生
10分間のうちに脆弱性のあるホストのう
ち90%が感染したといわれている。
Sat Jan 25 05: 29: 00
僅か30分
Cooperative Association for Internet Data Analysis
http://www.caida.org/
Sat Jan 25 06: 00: 00
© Hitachi Incident Resposen Team. 2006.
7
1.2
攻撃手法の変遷
歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布
Witty: セキュリティ製品も例外ではない。
2004年03月18日
2004年03月20日
日時 (JST)
ISS 製品における ICQ 解析の脆弱点を公表
Witty ワーム発生
僅か2日後
内容
2004-03-19 11: 17
ISSKK ISS 製品における ICQ 解析の脆弱点
を Web 公開
2004-03-20 14: 00
ISC 発信元ポート番号 4000/UDP トラフィック
の増加 ("Witty" worm attacks BlackICE
firewall) を確認
2004-03-20
(米国日付)
トレンドマイクロ WORM_WITTY.A
シマンテック W32.Witty.Worm
日本ネットワークアソシエーツ
W32/Witty.worm
2004-03-20
(米国日付)
US-CERT Current Activity として Witty
Worm を報告
2004-03-20 22: 16
@police UDP4000番ポートを発信元ポートと
するトラフィックの増加について(3/20) を Web
公開
2004-03-20 22: 40
ISS AlertCon ① => ②
2004-03-21
ISSKK BlackICE Wittyワーム を Web 公開
2004-03-21 23: 24
@police ISS製品の脆弱性及びWittyワーム
の発生について(3/21) を Web 公開
2004-03-23 18: 01
ISSKK BlackICE Wittyワーム を更新
2004-03-24 00: 20
ISS AlertCon ② => ①
Cooperative Association for Internet Data Analysis
http://www.caida.org/
Sat Mar 20 04: 45: 36
2時間後
Sat Mar 20 06: 41: 40
© Hitachi Incident Resposen Team. 2006.
8
1.2
攻撃手法の変遷
歴史は繰り返す: ネットワークモニタリング
有線から無線へ、そして利用シーンの拡大へ
1994年02月
②
パスワード大量盗難
⇒ネットワークモニタリングによる認証情報の盗聴
2000年以降
無線LANの普及
無線LANの電波の届く範囲内にいれば、誰でもデータを受信することができてしまう。
⇒通信内容の盗聴や無線LANの不正利用
The WorldWide WarDrive
WWWD(The WorldWide WarDrive)とは、世界中の参加者がPCを抱えて、
自分たちの周囲の無線LANのセキュリティ状況をチェックするイベントである。
その調査報告によれば、
第1回
第2回
第3回
アクセスポイント数
9,374
24,958
88,122
WEP使用
2,825(30.1%)
6,970(28.0%)
28,427(32.3%)
WEP未使用
6,549(69.9%)
17,988(72.1%) 59,695(67.7%)
SSIDデフォルト
2,768(29.5%)
8,802(35.2%)
24,525(27.8%)
SSIDデフォルト・WEP未使用
2,497(26.6%)
7,847(31.4%)
21,822(24.7%)
第1回 2002年8月31日から9月7日
第2回 2002年10月26日から11月2日
第3回 2003年6月28日から7月5日
第4回 2004年7月12日から7月19日
6ケ国&2大陸 22エリア
7ケ国&4大陸 32エリア
11ケ国&4大陸 52エリア
第4回
228,537
87,647(38.3%)
140,890(61.6%)
71,805(31.4%)
62,859(27.5%)
100人で調査
200人で調査
300人で調査
インターネット完備ホテルの普及
シェアードHUB(リピータHUB)、デュアルスピードHUBで
構成されていた場合、ネットワークモニタリングは容易である。
⇒通信内容の盗聴
The Official WorldWide WarDrive
http://www.worldwidewardrive.org/
© Hitachi Incident Resposen Team. 2006.
9
1.2
攻撃手法の変遷
歴史は繰り返す: ネットワークモニタリング
有線から無線へ、そして利用シーンの拡大へ
無線LANのアクセスポイントに関する観測結果を登録する
サイトの報告によれば、
アクセスポイント数
WEP使用
WEP未使用
WEP不明
SSIDデフォルト
WiGLE(2006/08/16)
7,455,049
2,855,280 (38.2%)
3,288,921 (44.1%)
1,310,848 (17.5%)
1,647,197 (22.0%)
WiGLE - Wireless Geographic Logging Engine - Plotting WiFi on Maps
http://www.wigle.net/
© Hitachi Incident Resposen Team. 2006.
10
1.2
攻撃手法の変遷
歴史は繰り返す: ソーシャルエンジニアリング
電子メールが攻撃の起点となっている。
1991年04月
CERT Advisory CA-1991-03
Unauthorized Password Change Requests Via Mail Messages
③
⇒ソーシャルエンジニアリング攻撃
SAMPLE MAIL MESSAGE as received by the CERT (including spelling errors, etc.)
:
{mail header which may or may not be local}
:
This is the system administration:
Because of security faults, we request that you change your password to "systest001". This change is MANDATORY
and should be done IMMEDIATLY. You can make this change by typing "passwd" at the shell prompt. Then, follow the
directions from there on.
Again, this change should be done IMMEDIATLY. We will inform you when to change your password back to normal,
which should not be longer than ten minutes.
Thank you for your cooperation,
The system administration (root)
END OF SAMPLE MAIL MESSAGE
2004年∼
2005年07月
Phishing (フィッシング) 詐欺
US-CERT Technical Cyber Security Alert TA05-189A
Targeted Trojan Email Attacks (スピアメール)
⇒特定の組織や個人を標的にした攻撃活動へ
http://www.cert.org/advisories/CA-1991-03.html
http://www.us-cert.gov/cas/techalerts/TA05-189A.html
AntiPhishingJapan フィッシング対策協議会
http://antiphishing.jp/
© Hitachi Incident Resposen Team. 2006.
11
1.3
攻撃手法の変遷
技術は活用される: 進化するウイルス
良くも悪くも技術は継承されている。
ウイルス名称
ウイルス名称
④
特徴
特徴
Melissa(1999-03)
Melissa(1999-03)
アドレス帳に登録されているアドレスに自身をメール送信する。
アドレス帳に登録されているアドレスに自身をメール送信する。
LoveLetter
LoveLetter (2000-05)
(2000-05)
電子メールとIRC(Internet
電子メールとIRC(Internet Relay
Relay Chat)を経由して流布する。
Chat)を経由して流布する。
MTX
MTX (2000-09)
(2000-09)
添付ファイル名として数種類のバリエーションを提供する。
添付ファイル名として数種類のバリエーションを提供する。
指定したWebサイトからプラグインをダウンロードする。
指定したWebサイトからプラグインをダウンロードする。
Hybris
Hybris (2000-09)
(2000-09)
メールの内容と添付ファイル名はシステムの言語設定によって変更する。
メールの内容と添付ファイル名はシステムの言語設定によって変更する。
Sircam
Sircam (2001-07)
(2001-07)
電子メールとWindowsネットワークを経由して感染する。
電子メールとWindowsネットワークを経由して感染する。
本文と件名はランダムに作成する。
本文と件名はランダムに作成する。
ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイル
ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイル
を外部に送信する。
を外部に送信する。
Nimda(2001-09)
Nimda(2001-09)
MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。
MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。
Badtrans.B(2001-11)
Badtrans.B(2001-11)
キー操作のログを作成し、外部に送信する。
キー操作のログを作成し、外部に送信する。
Klez(2001-11)
Klez(2001-11)
送信元メールアドレスを偽装する。
送信元メールアドレスを偽装する。
ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。
ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。
Fbound
Fbound (2002-03)
(2002-03)
件名を日本語化する。
件名を日本語化する。
Sobig.E
Sobig.E (2003-06)
(2003-06)
自己機能更新機能を持つ。
自己機能更新機能を持つ。
Mimail.C
Mimail.C (2003-08)
(2003-08)
特定サイトに攻撃を仕掛けるDDoS機能を持つ。
特定サイトに攻撃を仕掛けるDDoS機能を持つ。
Magistr(2001-03)
Magistr(2001-03)
注:メール大量送信型のウイルスを対象にリストアップ
© Hitachi Incident Resposen Team. 2006.
12
1.3
攻撃手法の変遷
技術は活用される: 送信元の偽装
IPアドレス、電子メールアドレス、、、
1995年01月
⑤
ケビン・ミトニック事件
送信元IPアドレス偽装の
事例が知れ渡る
⇒送信元IPアドレス偽装によるコネクションハイジャック
1996年09月
米国プロバイダPANIXへのDoS攻撃
⇒送信元IPアドレスを偽装したDoS(Denial of Service)攻撃
2000年02月
米国有名サイトへのDDoS攻撃
偽装は問題解決
を妨げる技術
⇒送信元IPアドレスを偽装した
DDoS(Distributed Denial of Service)攻撃
2001年11月
Klezの流布
⇒ウイルスも送信元メールアドレスを偽装
送信元IPアドレスに比べ、送信元メールアドレスの偽装は容易である。
2003年08月
Blasterの流布
⇒送信元IPアドレスを偽装し、windowsupdate.comサイトに
DDoS攻撃を仕掛ける機能を装備
注: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とする
windowsupdate.com ドメインのIPアドレスをDNSから削除した。
これにより、BlasterワームのDDoS攻撃が機能せず、DDoS攻撃の回避を
図ることができた。
© Hitachi Incident Resposen Team. 2006.
13
1.3
攻撃手法の変遷
技術は活用される: 進化するパケットレベルのDoS攻撃
進化の歴史
1996年
∼1998年
パケットレベルのDoS攻撃を実現可能とする脆弱性の発見
CA-96: 01 UDP Port Denial-of-Service Attack
CA-96: 21 TCP SYN Flooding and IP Spoofing Attacks
CA-96: 26 Denial-of-Service Attack via ping
CA-97: 28 IP Denial-of-Service Attacks
CA-98: 01 “smurf” IP Denial-of-Service Attacks
1996年09月
米国プロバイダPANIXへのDoS(TCP SYN Flooding)攻撃
1999年
パケットレベルのDDoS攻撃ツールの出現
Trin00, TFN, TFN2K, Stacheldraht, Mstream など
米国有名サイトへのDDoS攻撃
2000年02月
⑥
攻撃者ひとり
攻撃者の分身
⇒2月7日: Yahoo!!,Buy.com,eBay,Amazon.com,CNN.com
⇒2月8日: MSN,
⇒2月9日: E*TRADE,ZDNet
2001年07月
ワーム
CodeRed Iの流布
⇒特定IPアドレスへのDDoS攻撃 (注1)
2003年08月
Blasterの流布
⇒windowsupdate.comサイトへのDDoS攻撃 (注2)
注1: WebサイトのIPアドレスを変更することでDDoS攻撃を回避した。
注2: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とする
windowsupdate.com ドメインのIPアドレスをDNSから削除した。これにより、Blasterワームの
DDoS攻撃が機能せず、DDoS攻撃の回避を図ることができた。
© Hitachi Incident Resposen Team. 2006.
14
1.3
攻撃手法の変遷
技術は活用される: 進化するDDoS攻撃
攻撃管理形態: 階層型
名称
Trin00
TFN
TFN2K
Stacheldraht
1999年
Sobig.F
2003年09月
特徴
攻撃管理形態: 階層型
攻撃エージェントのインストール: 侵入時に手作業でインストール
攻撃対象指定: IPアドレス
攻撃トリガ: 攻撃者からの指示
攻撃エージェント
攻撃機能更新: なし
攻撃者
攻撃管理システム
(master)
(daemon)
攻撃対象
攻撃管理形態: 階層型
攻撃エージェントのインストール: 電子メール型ワームを利用したインストール
攻撃対象指定: 不明
攻撃トリガ: 不明
攻撃エージェント
攻撃機能更新: あり
攻撃管理システム
攻撃対象
⇒ボットネット: 攻撃指示管理系に活用
© Hitachi Incident Resposen Team. 2006.
15
1.3
攻撃手法の変遷
技術は活用される: 進化するDDoS攻撃
攻撃管理形態: 水平型
名称
Blaster
2003年8月
Doomjuice
2004年2月
特徴
攻撃管理形態: 水平型
攻撃エージェントのインストール: 脆弱性の利用した自動インストール
攻撃対象指定: ドメイン名
攻撃エージェント
攻撃トリガ: 時刻
攻撃機能更新: なし
攻撃対象
攻撃管理形態: 水平型
攻撃エージェントのインストール: バックドアを利用した自動インストール
攻撃対象指定: ドメイン名
攻撃エージェント
攻撃トリガ: 時刻
攻撃対象
攻撃機能更新: なし
⇒ボットネット: 攻撃エージェント(ボット)配備系に活用
© Hitachi Incident Resposen Team. 2006.
16
1.3
攻撃手法の変遷
技術は活用される: 進化するDDoS攻撃
組織化された攻撃態勢へと進化: ボットネット(Botnet)
ボット: 外部からの命令に従って何らかの悪質な動作をするプログラム
ボットネット: IRC(Internet Relay Chat)などの通信チャネルにより制御されたボット群
攻撃指示管理系(攻撃者分身)+攻撃エージェント配備系(ワーム)を備えた集積技術
アンダーグランドビジネスとの連携
(≒犯罪の領域)
攻撃者
= 攻撃エージェント(ボット)配備系 =
秘
IRCへの接続機能を
個人情報等収集 DoS攻撃
持ったボットを配備する。
スパム送信
Worm配布
攻撃管理システム
= 攻撃指示管理系 =
IRCを使ってボットを制御
(攻撃指示、機能更新、
情報収集など)する。
ボットネット
IRCサーバ
@police: ボットネット(botnet)に注意
http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdf
Telecom-ISAC Japan
https://www.telecom-isac.jp/
© Hitachi Incident Resposen Team. 2006.
17
1.4
攻撃手法の変遷
インシデントの移り変わり
1990年以前∼1990年代前半:インターネット商用化前
1981年
1984年
1986年
1987年
1987年
1988年
1988年12月
最初のコンピュータウイルス「Elk Cloner」
Fred Cohen、コンピュータウイルスの定義提唱
パキスタンブレインウイルス
最初のトロイの木馬「PC-Write」
エルサレムウイルス
国内最初のコンピュータウイルス
インターネットワーム事件
⇒バッファオーバーフロー攻撃などサーバの脆弱性を利用
1991年01月
1992年
1992年
1994年
1994年02月
Berferd事件 (AT&T研究所)
ミケランジェロウイルス
ポリモーフィックウイルス
最初のHOAXウイルス「Goodtimes」
パスワード大量盗難
インシデントの多くは、
学術系サイトで発生
⇒パケットモニタリングによる認証情報の盗聴
1995年01月
ケビン・ミトニック事件
⇒IPアドレスの偽造によるコネクションハイジャック
1995年
最初のマクロウイルス「Concept」
© Hitachi Incident Resposen Team. 2006.
18
1.4
攻撃手法の変遷
インシデントの移り変わり
1990年代後半∼2000年代前半:Melissaウイルス出現後から時差なしの世代へ
1996年08月
米国司法省Webページの書き換え
⇒WWWの普及に伴うセキュリティホールの顕在化
1996年09月
PANIXへのDoS攻撃
⇒パケットレベルのDoS攻撃の出現
1997年08月
Web cgi-binプログラムへの攻撃
脆弱性公開に伴う
インシデントが日本で
多発するまでに時差
あり
⇒脆弱性探査ツールの高度化
1999年03月
Melissaウイルス
⇒ソシアルエンジニアリング攻撃の併用
1999年05月
2000年01月
2000年02月
米政府関連Webサイトの書き換え
官公庁関連Webサイトの書き換え
米国有名サイトへのDDoS攻撃
⇒DDoS(Distributed Denial of Service)攻撃の出現
2000年05月
2001年02月
2001年05月
LoveLetterウイルス
国内複数Webサイトの書き換え
sadmind/IISワーム
⇒サーバの脆弱性を攻略する
2001年07,08月
CodeRed ワーム
⇒サーバの脆弱性を攻略する
2001年07月
2001年09月
Sircumウイルス
Nimdaワーム
マルウェア
(不正アクセス型
ウイルス)の世代へ
時差なしの世代へ
⇒サーバ/クライアントの脆弱性を攻略する
© Hitachi Incident Resposen Team. 2006.
19
1.4
攻撃手法の変遷
インシデントの変遷
2005年∼:新たなインシデント形態へ
2003年01月
2003年08月
2003年08月
2004年05月
2005年08月
Slammerワーム
ネットワークワーム全盛期
Blasterワーム
(均一的かつ広範囲に渡る被害)
Welchiaワーム
Sasserワーム
Zotobワーム [ ワームからボットへの転換期 ]
⇒サーバの脆弱性を攻略する
2005年∼
フィッシング
スパイウェア
⇒ソーシャルエンジニアリング攻撃の併用
金銭を目的とした犯罪活動
(類似した局所的な被害)
Winnyによる情報流出
⇒ソーシャルエンジニアリング攻撃の併用
スピアフィッシング
スピアメール
⇒対象絞込み型の
ソーシャルエンジニアリング攻撃の併用
2006年08月
スパイ型犯罪活動
(局所的な被害)
W32/Graweg (別名:W32.Wargbot,
WORM_IRCBOT.JK/JL, IRC-Mocbot!MS06-040)
⇒サーバの脆弱性を攻略する
⇒大規模感染 (均一的かつ広範囲に渡る被害) 型ワームはいずこに。。。
© Hitachi Incident Resposen Team. 2006.
20
2. インシデントオペレーション
脆弱性から重大なインシデントへの発展を可能な限り
早期に弁別するために実施する6つの段階 (準備、
警戒、予兆、対処、監視、収束) について概説します。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
2.1
インシデント対処の変化
インシデントレスポンスからインシデントオペレーションへ
項目
インターネットの利用度
(依存度)
2000年前後
インシデントレスポンス
2003年以降
インシデントオペレーション
ビジネスでの使い始め
社会インフラ
代表的なインシデント
サイトへの不正侵入
Webページの書き換え
電子メール型ワーム
ネットワークワーム
DDoS攻撃
悪性スパム
フィッシングなど
インシデント発生に伴う影響
局所的な被害
経済活動等への影響小
広範囲に渡る被害
各種業務等全般に関わるため
経済活動への影響大
単独組織での対応
複数組織での共同対応
事後処理を中心とした対応
インシデントに伴う被害を予測ならび
に予防し、インシデント発生後は被害
の拡大を低減する対応
インシデントの対処体制
インシデント対処の考え方
© Hitachi Incident Resposen Team. 2006.
26
2.1
インシデント対処の変化
被害が発生することを想定した対応体制を整備する。
時間軸の広がり: ①脆弱性対策活動、②インシデント対応活動
脆弱性を悪用しない
侵害活動が発生した
場合(例: Sobig)
公開された脆弱性を
悪用した侵害活動が
発生しない場合
侵害活動の発生
侵害活動の沈静化
インシデント対応期間
脆弱性XXの
発見
脆弱性XXの
情報公開
脆弱性対策期間
公開された脆弱性を
悪用した侵害活動が
発生した場合
(例: SQL Slammer)
脆弱性ZZの
発見
脆弱性ZZの
情報公開
脆弱性ZZを悪用した
侵害活動の発生
脆弱性対策期間
脆弱性ZZを悪用した
侵害活動の沈静化
インシデント対応期間
時間軸
脆弱性対策活動
インシデント対応活動
セキュリティに関するなんらかの
問題を引き起こす脆弱性を除去
するための活動
実際に発生している侵害活動の
回避やセキュリティに関する問題
事象を解決するための活動
注1: 上記では除外しているが、「zero-day attack」という、セキュリティ上の脆弱性が
広く公表される前にその脆弱性を悪用して行なわれる侵害活動も存在するので留意のこと。
注2: ここでのインシデント対応には、流布しているワームによる侵害活動などを回避する予防措置的な対応を含んでいる。
© Hitachi Incident Resposen Team. 2006.
27
2.1
インシデント対処の変化
被害が発生することを想定した対応体制を整備する。
時間軸の広がり: ①脆弱性対策活動、②インシデント対応活動
インシデントオペレーションにおいては、脆弱性から重大なインシデントへの発展を可
能な限り早期に弁別し事前対応することが、インシデント発生後の被害拡大の低減に
つながるというアプローチをとる。
対応活動は、インシデント発生以降から始まるのではなく、脆弱性の発見 あるいは、
脆弱性ならびに修正プログラムの公開以降から始まる。
脆弱性ZZの
発見
脆弱性ZZの
情報公開
脆弱性ZZを悪用した
侵害活動の発生
脆弱性対策期間
脆弱性ZZを悪用した
侵害活動の沈静化
インシデント対応期間
時間軸
脆弱性対策活動
インシデント対応活動
インシデントオペレーション
インシデントレスポンス
「インシデントを予防し、インシデント発生後は被害の拡大を
低減する」ために実施する一連のセキュリティ対策の総称
「事後処理を中心とした対応 」
© Hitachi Incident Resposen Team. 2006.
28
2.2
ネットワークワーム/ボット対応
脆弱性を悪用した侵害活動の再考
MS Blaster、Sasser、Zotob、Grawegの比較
悪用する脆弱性(公表日)
攻撃検証コード(公表日)
MS Blaster
MS03-026
2003-07-17
dcom.c
2003-07-27
Sasser.A
Zotob.A
MS04-011
MS05-039
2004-04-14
2005-08-10
HOD-ms04011-lsasrv-expl.c HOD-ms05039-pnp-expl.c
2004-04-29
2005-08-12
Graweg
MS06-040
2006-08-09
netapi_ms06_040.pm
2006-08-10
ベース
−
−
Mytob
Mocbot
発生日
2003-08-11
2004-04-30
2005-08-14
2006-08-12
探査方法:探索比率加味
アドレスブロック
探索比率加味型
アドレスブロック
探索比率加味型
アドレスブロック
探索比率加味型
?
探査方法:探索形態
スイープ探索型
ランダム探索型
ランダム探索型
?
探査方法:探索範囲
限定なし(グローバル)
限定なし(グローバル)
同一ネット
?
・DoS攻撃日付がある条件
の場合、
"windowsupdate.com" に
対してDoS攻撃を開始
バックドア活動
−
バックドア活動
バックドア活動の主体が、DDoS攻撃で
はなく、侵害活動のインフラ構築、すな
わち、ボットネット構築に移行している。
攻撃検証コードの取り込み期間の短縮化
Sasser、Zotob、Grawebのいずれも、攻略コードが公
開されてから取り込まれるまでの期間は2日間ほどで
あり、マルウェアの作成が手順化ならびにモジュール
化されつつあると類推される。
・プロセスの終了
・DoS攻撃
・特定のIRCサーバに接続
・インターネットからファイル
のダウンロード
・特定のWebサイトを訪問
・自身のコピーのアンインス
トール
・システム情報の収集(CPU
速度、メモリ容量)
・自身のアップデートファイ
ルのダウンロード
・ポート8888番を介してリモー
トコマンドシェルを作成
・プロセスの終了
・特定のIRCサーバに接続
・不正リモートユーザからの
コマンドを待機
・スパムメール発信のため
の踏み台
・プロキシ構築
・SYN フラッド、DDoS 攻撃
・MS06-040の脆弱性を利
用した他のコンピュータへ
の感染活動
・自身のアップデートファイ
ルのダウンロード
© Hitachi Incident Resposen Team. 2006.
29
2.2
ネットワークワーム/ボット対応
脆弱性を悪用した侵害活動の再考
MS Blaster、Sasser、Zotobの探索方法の比較
Zotobの感染活動に伴う探索範囲は、同一ネット(上位2オクテットが同一)に限定されており、こ
のような動作は探索範囲に制限を設けずに流布する既存ネットワークワームCodeRed、Nimda、
Slammer、MS Blaster、Sasserとの大きな違いとなっている。
感染先探索活動
感染活動は、探索範囲
に制限を設けずに流布
する形態ではなく、探索
範囲を限定して流布する
傾向にある。これは、
US-CERTから報告され
ているTargeted Trojan
Email Attacksやスピア
フィッシングと同様であり、
侵害活動がより見えにく
くなって行くことが 予想
される。
探索範囲
同一ネット
Zotob
あり
探索形態
ランダム
探索型
アドレスブロック
探索比率加味
スイープ
探索型
CodeRed, Nimda
Sasser
なし
MS Blaster
Slammer
限定なし
グローバル
C.1∼C.6参照
C.1∼C.6参照
© Hitachi Incident Resposen Team. 2006.
30
2.2
ネットワークワーム/ボット対応
ネットワークワーム出現までの過程:Sasser
脆弱性の 脆弱性ならびに修正
攻撃検証
発見
プログラムの公開 コードの公開
ネットワーク
ワームの出現
脆弱性対策活動
準備
警戒
予兆
インシデント対応活動
対処
監視
収束
▲2003年10月8日: eEye Digital Security 「LSASS の脆弱性」を確認
▲ 2004年4月14日: マイクロソフト 2004 年 4 月修正プログラム提供開始
▲2004年4月17日: 攻撃検証コードの公開
Billybastard.c
▲2004年4月26日: 攻撃検証コードの公開
04252004.ms04011lsass.c
▲2004年4月29日: 攻撃検証コードの公開
HOD-ms04011-lsasrv-expl.c
ネットワークワーム/ボット
ネットワークワーム/ボット
出現までの過程
出現までの過程
⇒脆弱性の発見
⇒脆弱性の発見
⇒脆弱性・修正プログラムの公開
⇒脆弱性・修正プログラムの公開
⇒攻撃検証コードの公開
⇒攻撃検証コードの公開
⇒ネットワークワーム/ボットの出現
⇒ネットワークワーム/ボットの出現
▲2004年4月30日: Sasser.A
攻撃検証
▲2004年5月1日: Sasser.B
コードの悪用
▲2004年5月2日: Sasser.C
▲2004年5月3日: Sasser.D
▲2004年5月8日: Sasser.E
▲2004年5月10日: Sasser.F
© Hitachi Incident Resposen Team. 2006.
31
2.2
ネットワークワーム/ボット対応
ボット出現までの過程:Graweg
脆弱性の 脆弱性ならびに修正
攻撃検証
発見
プログラムの公開 コードの公開
ボットの出現
脆弱性対策活動
準備
警戒
予兆
インシデント対応活動
対処
監視
収束
▲: US-CERT, SANS 「Server サービスの脆弱性」を確認
▲ 2006年8月9日: マイクロソフト 2006年8月修正プログラム提供開始
▲2006年8月10日: 攻撃検証コードの公開
ms06-040.tgz
▲2006年8月10日: 攻撃検証コードの公開
netapi_ms06_040.pm
ネットワークワーム/ボット
ネットワークワーム/ボット
出現までの過程
出現までの過程
⇒脆弱性の発見
⇒脆弱性の発見
⇒脆弱性・修正プログラムの公開
⇒脆弱性・修正プログラムの公開
⇒攻撃検証コードの公開
⇒攻撃検証コードの公開
⇒ネットワークワーム/ボットの出現
⇒ネットワークワーム/ボットの出現
▲2006年8月12日: Win32/Graweg
攻撃検証
コードの悪用
© Hitachi Incident Resposen Team. 2006.
32
2.3
インシデントオペレーションにおける6つの段階
準備段階、警戒、予兆、対処、監視、収束
準備段階
発見された脆弱性の解析をおこなうことにより、脆弱性が与える影響、脆弱性への攻撃容易性を検
討すると共に、脆弱性を悪用された場合のインシデントシナリオを想定作成する。なお、準備段階の
実施事項は、脆弱性ならびに修正プログラムの公開以降に開始しなければならない場合もある。
脆弱性の解析
脆弱性が与える影響 (DoS、任意のコード実行、権限昇格など)、脆弱性への攻撃容易性 (攻撃に必要な権
限、攻撃に利用できるネットワークサービスポート、攻撃コードへの制約有無、攻撃コードの作成難易度など)
を検討することにより、攻撃検証コードの公開や脆弱性の亜種公開を警戒すべきかを判断する。
インシデントシナリオの作成
脆弱性の解析結果から、考えうる攻撃コードを想定すると共に、攻撃検証コードの公開可能性と脆弱性を悪
用した最悪シナリオ (ワーム化の可能性など) を想定する。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
Sasserの攻略対象としたMS04-011のLSASS
Sasserの攻略対象としたMS04-011のLSASS (Local
(Local Security
Security Authority
Authority Subsystem
Subsystem Service)
Service) の脆弱
の脆弱
性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻
性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻
度は“緊急”であった。
度は“緊急”であった。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
Grawegの攻略対象としたMS06-040のServer
Grawegの攻略対象としたMS06-040のServer サービスの脆弱性は、リモートから任意のコードを実行可
サービスの脆弱性は、リモートから任意のコードを実行可
能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。
能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。
© Hitachi Incident Resposen Team. 2006.
33
2.3
準備段階
侵害形態の分類
①攻撃対象別、②攻撃段階別、③攻撃形態別
脆弱性が与える影響、脅威や対処方法を把握するには、TCP/IPの通信層、
アプリケーションプログラム、データやユーザなどの攻撃対象毎に分類したり、
情報収集、攻撃、占領段階のように侵害活動のフェーズ毎に分類したり、
コンピュータに侵入することを必要とする侵害活動か否かの攻撃形態毎に
分類し、検討すると良い。
①攻撃対象別
物理的な装置、TCP/IP、アプリケーション、データ、ユーザなど
対象毎に有効な攻撃手法と関連付ける。
攻撃対象
データ
ソーシャル
エンジニアリング攻撃
不正アクセス型ウィルス
クロスサイトスクリプティング
アプリケーション
バッファオーバーフロー攻撃
ユーザ
TCP/UDP
DoS/DDoS攻撃
IP/ICMP
IPアドレス偽造
データリンク
物理的な装置
パケットモニタリング
盗難
© Hitachi Incident Resposen Team. 2006.
34
2.3
準備段階
侵害形態の分類
①攻撃対象別、②攻撃段階別、③攻撃形態別
②攻撃段階別
「情報収集」「攻撃」「占領」の各フェーズと関連付ける。
(a) 情報収集: 攻撃対象に関する情報を得る。
情報提供サービスの利用(whois, DNS, finger, Webページなど)
探査(ホストスキャン, ポートスキャン, OS識別, 脆弱性)
ソーシャルエンジニアリング など
(b) 攻撃: 実際に侵入活動を行う。
パスワードの盗聴、パスワードクラッキング
プログラムの仕様や実装の脆弱性への攻撃
システム設定環境不整合の悪用
マルウェア(トロイの木馬など)の利用 など
空き巣にたとえると。。。
家の物色
ドア・窓の鍵の調査
留守宅かどうかの確認
ドア・窓のこじ開け
(c) 占領: 侵害の目的を実行する。
機能阻害: コンピュータやネットワークの機能を阻害する
盗み、破壊
機能破壊: コンピュータやネットワークを破壊する
機能利用: 他のコンピュータやネットワークの機能阻害、機能破壊等を行う
情報盗取: コンピュータやネットワーク上にある情報を盗取する
情報改竄: コンピュータやネットワーク上にある情報を改竄する
情報破壊: コンピュータ上にある情報を破壊する
利用行為: コンピュータやネットワークを利用する
© Hitachi Incident Resposen Team. 2006.
35
2.3
準備段階
侵害形態の分類
①攻撃対象別、②攻撃段階別、③攻撃形態別
③攻撃形態別
3つの分類と関連付ける。
(a) 「ローカル攻撃」 vs 「リモート攻撃」
攻撃者の立場から、攻撃対象となるコンピュータへの攻撃形態を分類する。
ローカル攻撃 コンソールを使用した攻略など該当するシステムや装置を
目の前にして攻撃活動を行う。
リモート攻撃 ネットワークや他の通信手段を用いて遠隔から攻撃活動を行う。
(b) 「内部型攻撃」 vs 「外部型攻撃」
リモート攻撃の攻撃形態を細分化する。
コンピュータ内部になんらかの方法で侵入した後、攻撃活動を行う。
内部型攻撃
外部型攻撃
提供されているサービスに対して攻撃活動を行う。
攻撃者自身が正規のユーザとしてサービスを利用することを前提とし、
コンピュータ内部に侵入しなくても外部から攻撃活動の可能である。
(c) 「能動型攻撃」 vs 「受動型攻撃」
攻撃活動の引き金となる主体により分類する。
能動型攻撃
攻撃活動の引き金を制御する主体が攻撃者自身である。
=>攻撃者は攻撃活動の引き金を制御できる。
受動型攻撃
攻撃活動の引き金を制御する主体が攻撃対象となるコンピュータの利用者
=>攻撃者は攻撃活動の引き金を制御できない。
=>スピア型は、攻撃者側に引き金の制御を持たせるための手段
© Hitachi Incident Resposen Team. 2006.
36
準備段階
侵害形態の分類
③攻撃形態別 (a) 「ローカル攻撃」vs「リモート攻撃」
2.3
分類
ローカル攻撃
コンソールを使用した攻略など該当する
システムや装置を目の前にして攻撃活動を
行う。
リモート攻撃
ネットワークや他の通信手段を用いて遠隔から
攻撃活動を行う。
計算機への侵入
事例
サービス運用妨害
攻撃!!
対策
・計算機単体のセキュリティ強化
+アカウント管理
+脆弱性対策の実施
攻撃!!
・ネットワーク系のセキュリティ強化
+ファイアウォール技術の適用
+脆弱性対策の実施
ただし、サービス不能攻撃については、
サービスを提供/利用している限り効果的な
妨害対策は難しい。
A.3,A.5,A.7参照
A.3,A.5,A.7参照
© Hitachi Incident Resposen Team. 2006.
37
準備段階
侵害形態の分類
③攻撃形態別 (b) 「内部型攻撃」vs「外部型攻撃」
2.3
分類
事例
内部型攻撃 (計算機内部からの不正)
第1段階 (計算機への侵入)
・パスワードの盗聴
・他の計算機や人へのなりすまし
・システム設定環境不整合の攻撃
・プログラムの脆弱性攻撃
・マルウェアの利用 など
第2段階 (計算機内部での不正)
・メモリ、ディスクの浪費
・マルウェアの稼動
・他の計算機侵入のための踏み台
・管理者権限の獲得 など
①計算機への侵入
外部型攻撃 (計算機外部からの不正)
サービス運用妨害
(DoS: Denial of Service)
・大量のデータ(IPパケット、電子メールなど)
の送付
・大きなデータ(電子メールなど)の送付
・誤動作または、通信障害を引き
起こす不正なパケットの送付 など
①サービス運用妨害
③攻撃!!
②計算機内部での不正
データ削除
②攻撃!!
他の計算機への侵入
対策
・ファイアウォール技術の適用
・脆弱性対策の実施
・サービスを提供/利用している
限り効果的な妨害対策は難しい。
© Hitachi Incident Resposen Team. 2006.
38
準備段階
侵害形態の分類
③攻撃形態別 (c) 「能動型攻撃」vs「受動型攻撃」
2.3
分類
能動型攻撃
・パスワードの盗聴による他人へのなりすまし
・サーバのセキュリティホールの攻撃
・サーバのシステム設定環境不整合の攻撃
など
①計算機への侵入
事例
②攻撃!!
①サービス運用妨害
②攻撃!!
攻撃者の試みた攻略が成功した
=攻撃活動の活性化
対策
サーバでのセキュリティ対策
・ファイアウォール技術の適用
・脆弱性対策の実施
受動型攻撃
人手の介在を必要とするマルウェア
・Melissa, LoveLetter などのマルウェア
人手の介在を必要としないマルウェア
・Nimda などのマルウェア
・CERT Advisory CA-2001-06, CA-2000-16,
CA-2000-14, CA-2000-12 などの脆弱性を
攻撃するマルウェア
②実行
①マルウェアの受信
(メール添付ファイル)
③攻撃!!
メール添付ファイルを
ユーザが実行すると
攻撃活動が活性化してしまう。
実行しないと活性化しない。
クライアントでのセキュリティ対策
・脆弱性対策の実施
・ウイルス対策
・ユーザ教育
A.7参照
A.7参照
© Hitachi Incident Resposen Team. 2006.
39
2.4
インシデントオペレーションにおける6つの段階
準備、警戒段階、予兆、対処、監視、収束
警戒段階
修正プログラムの実機検証をおこなうと共に、脆弱性公開に伴う各組織の対応を把握することに
より、現時点でとりうる脆弱性の対策を判断する。
修正プログラムの実機検証
修正プログラムによる脆弱性除去の実機検証、修正プログラムに伴う不具合状況確認を通して、現時点
でとりうる脆弱性の修正あるいは脆弱性の回避策を再確認する。
修正プログラムの適用とその適用状況把握
修正プログラムの適用による脆弱性除去の推進と共に、修正プログラムの適用状況を把握する。
各組織の対応の把握
警戒段階において調査対象となる情報を幅広く調査し、動向を把握する。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム(
MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム(LSASS)
LSASS)の脆弱性対策に関
の脆弱性対策に関
する注意喚起がなされた。
する注意喚起がなされた。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策
MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策
に関する注意喚起がなされた。
に関する注意喚起がなされた。
© Hitachi Incident Resposen Team. 2006.
40
2.4
警戒段階
警戒段階において調査対象となる情報
分類
脆弱性情報
脅威レベル情報
脆弱性検査
ツール情報
情報源
US-CERT Vulnerability Notes Database、
SecurityFocus Vulnerability Database、
X-Force Database、BugTraq、Full-Disclosure など
ALERTCON、ThreatCon など
マイクロソフト、eEye Digital Security、
ISS、Foundstone など
定点観測情報
@police、ISDAS(JPCERT/CC)、Dshield(SANS) など
アラート情報
JPCERT/CC、IPA、官公庁、セキュリティベンダなどが
発行する注意喚起など
メディア情報
ニュース記事、解説など
A.1∼A.8参照
A.1∼A.8参照
© Hitachi Incident Resposen Team. 2006.
41
2.4
警戒段階
警戒段階において調査対象となる情報
<Grawegの場合の対応状況>
日時 (JST)
警戒
段階
予兆
段階
2006-08-09
マイクロソフト MS06-AUG: 2006 年 8 月のセキュリティ情報
2006-08-09
Department of Homeland Security DHS Recommends Security Patch to Protect Against a Vulnerability
Found In Windows Operating Systems
2006-08-09 05:00
ISS AlertCon (1) => (2)
2006-08-09 06:07
US-CERT TA06-220A: Microsoft Products Contain Multiple Vulnerabilities
2006-08-09 06:27
@police @police-マイクロソフト社のセキュリティ修正プログラムについて(MS06-040, 041, 042, 043, 044,
045, 046, 047, 048, 049, 050, 051)(8/9)
2006-08-09 11:38
JPCERT/CC JPCERT-AT-2006-0011: Microsoft 製品に含まれる脆弱性に関する注意喚起
2006-08-10 15:19
eEye Digital Security Retina MS06-040 NetApi32 Scanner
脆弱性 (CVE-2006-3439,MS06-040) 検査ツールリリース
2006-08-10 15:53
IPA/ISEC Microsoft Windows の Serverサービスの脆弱性(MS06-040)について
2006-08-10 16:57
Full-disclosure RE: [Full-disclosure] Exploit for MS06-040 Out?
脆弱性 (CVE-2006-3439,MS06-040) 検証コードに関する報告
2006-08-11 00:48
NISCC 20060810-00546: Exploit for MS06-040 (vulnerability in the Server service) publicly available
2006-08-12 05:57
2006-08-12
対処
段階
内容
2006-08-14 12:42
2006-08-15 02:48
マイクロソフト マイクロソフト セキュリティ アドバイザリ (922437)
Server サービスに影響を及ぼす公開された悪用コードについて報告
マカフィー IRC-Mocbot!MS06-040
シマンテック W32.Wargbot
トレンドマイクロ WORM_IRCBOT.JK, WORM_IRCBOT.JL
マイクロソフト マイクロソフト セキュリティ アドバイザリ (922437)
Win32/Graweg に関する情報を追加
SANS MS06-040: BOLO -- Be On the LookOut
脆弱性 (CVE-2006-3439,MS06-040) の探索活動について報告
B1,B2,B.3参照
B1,B2,B.3参照
© Hitachi Incident Resposen Team. 2006.
42
2005/06/19_00:30
2005/07/20_00:30
2005/08/19_00:30
2005/09/18_00:30
2005/10/18_00:30
2005/11/18_00:30
2005/12/18_00:30
2006/01/17_00:30
2006/02/17_12:30
2006/03/19_12:30
2005/06/19_00:30
2005/07/20_00:30
2005/08/19_00:30
2005/09/18_00:30
2005/10/18_00:30
2005/11/18_00:30
2005/12/18_00:30
2006/01/17_00:30
2006/02/17_12:30
2006/03/19_12:30
2005/03/19_12:30
2005/02/17_00:30
2005/01/18_00:30
2004/12/18_12:30
2004/11/18_12:30
2004/10/19_00:30
2004/09/18_12:30
2004/08/19_12:30
2004/07/20_12:30
2004/06/17_12:30
2004/05/18_12:30
2004/04/10_00:30
2004/03/11_00:30
2004/02/10_00:30
2004/01/11_00:30
2003/12/12_00:30
2003/11/12_12:30
2003/10/13_12:30
2003/09/13_12:30
2003/08/14_00:30
2003/07/15_00:30
2003/06/14_12:10
2003/05/14_00:10
2003/04/14_00:10
2003/03/14_12:10
2005/05/20_00:30
http://www.symantec.com/avcenter/threatcon/learnabout.html
2005/05/20_00:30
1
2005/04/19_00:30
2
2005/04/19_00:30
2005/03/19_12:30
2005/02/17_00:30
2005/01/18_00:30
2004/12/18_12:30
2004/11/18_12:30
2004/10/19_00:30
2004/09/18_12:30
2004/08/19_12:30
2004/07/20_12:30
2004/06/17_12:30
2004/05/18_12:30
2004/04/10_00:30
2004/03/11_00:30
2004/02/10_00:30
2004/01/11_00:30
2003/12/12_00:30
2003/11/12_12:30
2003/10/13_12:30
2003/09/13_12:30
2003/08/14_00:30
2003/07/15_00:30
2003/06/14_12:10
2003/05/14_00:10
2003/04/14_00:10
0
2003/03/14_12:10
3
2003/02/12_01:20
4
2003/02/12_01:20
2.4
警戒段階
脅威レベル情報:ALERTCON、ThreatCon
<Sasserの場合の対応状況>
脅威レベル
4
3
2
1
0
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp
B.4,B.5参照
B.4,B.5参照
© Hitachi Incident Resposen Team. 2006.
43
2.4
警戒段階
脅威レベル情報:ALERTCON、ThreatCon
<Grawegの場合の対応状況>
脅威レベル
http://isc.sans.org/infocon.html
http://www.frsirt.com/english/
http://www.symantec.com/avcenter/threatcon/learnabout.html
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp
B.3,B.4,B.5参照
B.3,B.4,B.5参照
© Hitachi Incident Resposen Team. 2006.
44
2.5
インシデントオペレーションにおける6つの段階
準備、警戒、予兆段階、対処、監視、収束
予兆段階
攻撃検証コードの公開を監視する期間であり、攻撃検証コードが公開された場合には、攻撃検
証コードの解析により、実際に発生する影響 (DoS、任意のコード実行、権限昇格など)、動作適
用範囲 (OS、言語、バージョンやサービスパック依存性など) と転用の可能性 (インシデントシナ
リオの修正) を検討すると共に、脆弱性への攻撃容易性を再検討する。
攻撃検証コードを利用したセキュリティ侵害を検出するために、攻撃検証コードを検出可能なウ
イルス定義ファイルの作成/更新ならびに、侵入検知用シグニチャの作成/更新をおこなう。こ
れにより、対処段階において、侵害活動の影響範囲などを判断する際の材料となる観測データ
の収集を実施する。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
予兆段階において、MS04-011のPCT
予兆段階において、MS04-011のPCT (Private
(Private Communications
Communications Transport)
Transport) の脆弱性に関する攻撃検
の脆弱性に関する攻撃検
証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の
証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の
攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同で
攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同で
Windowsシステム脆弱性対策に関する注意喚起を発行した。
Windowsシステム脆弱性対策に関する注意喚起を発行した。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。
マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。
© Hitachi Incident Resposen Team. 2006.
45
2.6
インシデントオペレーションにおける6つの段階
準備、警戒、予兆、対処段階、監視、収束
対処段階
攻撃検証コードから派生した侵害活動ならびにネットワークワーム/ボットなどの出現期間であ
る。侵害活動痕跡の調査ならびにネットワークワーム/ボットの挙動解析により、これら侵害活
動が与える影響、動作適用範囲 (言語依存性、サービスパックやバージョン依存性など) の確認
をおこなうと共に、侵害活動発生に伴う観測データを分析する。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
2004年4月29日(米国時間)に
2004年4月29日(米国時間)に “houseofdabus”によって公開された攻撃検証コードを利用していた。この
“houseofdabus”によって公開された攻撃検証コードを利用していた。この
攻撃検証コードは英語版とロシア語版Windows
攻撃検証コードは英語版とロシア語版Windows 2000
2000 ProfessionalとWindows
ProfessionalとWindows 2000
2000 Server、そして
Server、そして
Windows
Windows XP
XP Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows
Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows
2000に対しては攻撃が失敗することと、他言語版のWindows
2000に対しては攻撃が失敗することと、他言語版のWindows 2000においても同様に攻撃は失敗する可
2000においても同様に攻撃は失敗する可
能性があることが確認された。これにより、Sasserが日本語版Windows
能性があることが確認された。これにより、Sasserが日本語版Windows 2000を介して感染拡大する可
2000を介して感染拡大する可
能性がないと判断するに至った。
能性がないと判断するに至った。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
マイクロソフトのWin32/Graweg
マイクロソフトのWin32/Graweg の初期調査では、MS06-040
の初期調査では、MS06-040 の更新プログラムを適用していない
の更新プログラムを適用していない
Windows
Windows 2000
2000 を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プ
を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プ
ロセス
ロセス (Emergency
(Emergency response
response process)
process) に従い、継続的にこの問題を調査。
に従い、継続的にこの問題を調査。
eEye Digital Security. "ANALYSIS: Sasser Worm"
http://www.eeye.com/html/research/advisories/AD20040501.html
マイクロソフト セキュリティ アドバイザリ (922437)
Server サービスに影響を及ぼす公開された悪用コード
http://www.microsoft.com/japan/technet/security/advisory/922437.mspx
© Hitachi Incident Resposen Team. 2006.
46
2.6
対処段階
ネットワークワームの挙動解析
ネットワークワームの挙動解析
ネットワークワームの挙動解析に関する公開情報については、提供側 (ウイルス対策ベンダ、
IDS製品ベンダ、侵害活動の影響を受ける製品開発ベンダなど) の立場によって提供される情報
の有効範囲が異なり、また、対策側 (インターネットユーザ、イントラネット管理者、インターネット
サイト管理者、ISPなど) の立場によって対策検討に必要とする情報が異なる。
ネットワークワームの挙動解析にあたっては、公開情報、コード解析結果と実機検証結果とを組
合せて影響、動作適用範囲を確認することが情報の確度ならびに範囲を広げる意味で有効とな
る。
ネットワークワームの挙動解析のポイントとしては、次の通りである。
9
9
9
9
ネットワークワームの探索IPアドレスの選択方法
ネットワークワームが悪用する脆弱性の特徴 (OS、言語、バージョンやサービスパック依存性など)
ネットワークワームが攻略に使用するネットワークサービスポート
DNSへの問合せ頻度や通信トラフィック量など、ルータ、スイッチ、DNSサーバなど
ネットワークインフラに与える影響
C.1∼C.6参照
C.1∼C.6参照
© Hitachi Incident Resposen Team. 2006.
47
2.6
対処段階
ネットワークワームの挙動解析
攻撃検証コードとネットワークワーム送出パケットの照合
Sasserの送出パケット
TCP
TCP
TCP
SMB
SMB
SMB
SMB
1034 > 445 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460
445 > 1034 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460
1034 > 445 [ACK] Seq=1 Ack=1 Win=17520 Len=0
Negotiate Protocol Request
Negotiate Protocol Response
Session Setup AndX Request, NTLMSSP_NEGOTIATE
Session Setup AndX Response, NTLMSSP_CHALLENGE,
Error: STATUS_MORE_PROCESSING_REQUIRED
SMB
Session Setup AndX Request, NTLMSSP_AUTH
SMB
Session Setup AndX Response
SMB
Tree Connect AndX Request, Path: ¥¥131.113.208.226¥ipc$
SMB
Tree Connect AndX Response
SMB
NT Create AndX Request, Path: ¥lsarpc
/* HOD-ms04011-lsasrv-expl.c:
SMB
NT Create AndX Response, FID: 0x4000
*
* MS04011 Lsasrv.dll RPC buffer overflow remote exploit DCERPC Bind: call_id: 1 UUID: DSSETUP
DCERPC Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280
* Version 0.1 coded by
DSSETUP DsRoleUpgradeDownlevelServer request[Long frame (3208 bytes)]
*
TCP
[Continuation to #34] 1034 > 445 [ACK] Seq=2352 Ack=885 Win=16636 Len=1460
*
TCP
[Continuation to #34] 1034 > 445 [PSH, ACK] Seq=3812 Ack=885 Win=16636 Len=400
*
.::[ houseofdabus ]::.
TCP
445 > 1034 [ACK] Seq=885 Ack=3812 Win=17520 Len=0
*
TCP
445 > 1034 [ACK] Seq=885 Ack=4212 Win=17120 Len=0
TCP
1034 > 445 [FIN, ACK] Seq=4212 Ack=885 Win=16636 Len=0
0140 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90
TCP
445 > 1034 [FIN, ACK] Seq=885 Ack=4213 Win=17120 Len=0
0150 90 90 eb 10 5a 4a 33 c9 66 b9 7d 01 80 34 0a 99
TCP
1034 > 445 [ACK] Seq=4213 Ack=886 Win=16636 Len=0
// bind shellcode
0160 e2 fa eb 05 e8 eb ff ff ff 70 95 98 99 99 c3 fd
unsigned char bindshell[] =
0170 38 a9 99 99 99 12 d9 95 12 e9 85 34 12 d9 91 12
"¥xEB¥x10¥x5A¥x4A¥x33¥xC9¥x66¥xB9¥x7D¥x01¥x80¥x34¥x0A¥x99¥xE2¥xFA"
0180 41 12 ea a5 12 ed 87 e1 9a 6a 12 e7 b9 9a 62 12
"¥xEB¥x05¥xE8¥xEB¥xFF¥xFF¥xFF"
照合
: :
"¥x70¥x95¥x98¥x99¥x99¥xC3¥xFD¥x38¥xA9¥x99¥x99¥x99¥x12¥xD9¥x95¥x12"
"¥xE9¥x85¥x34¥x12¥xD9¥x91¥x12¥x41¥x12¥xEA¥xA5¥x12¥xED¥x87¥xE1¥x9A"
"¥x6A¥x12¥xE7¥xB9¥x9A¥x62¥x12¥xD7¥x8D¥xAA¥x74¥xCF¥xCE¥xC8¥x12¥xA6"
"¥x9A¥x62¥x12¥x6B¥xF3¥x97¥xC0¥x6A¥x3F¥xED¥x91¥xC0¥xC6¥x1A¥x5E¥x9D"
"¥xDC¥x7B¥x70¥xC0¥xC6¥xC7¥x12¥x54¥x12¥xDF¥xBD¥x9A¥x5A¥x48¥x78¥x9A"
"¥x58¥xAA¥x50¥xFF¥x12¥x91¥x12¥xDF¥x85¥x9A¥x5A¥x58¥x78¥x9B¥x9A¥x58"
攻撃検証コード
© Hitachi Incident Resposen Team. 2006.
48
2.6
対処段階
観測データの分析
観測データの分析
SOC、ISP、定点観測などでのネットワークワーム/ボットの検知状況に基づき、影響範囲の確
認、感染拡大の危険性を検討する。なお、観測データを分析する際には、国内とワールドワイド
での検知数の弁別、観測データの観測箇所 (観測IPアドレス範囲、観測箇所数) と観測方法 (ファ
イアウォール、IDSなど) による依存性を加味し、複数の状況を確認して局所的な現象か全体的
な現象か、パケットや検体解析と関連付けた検知推移の判断をおこなう必要がある。
<Sasserの場合:WORM_SASSER.A>
Distributed Intrusion Detection System
http://www.dshield.org/
Trend Micro
http://wtc.trendmicro.com/
B2,B3,B4参照
B2,B3,B4参照
© Hitachi Incident Resposen Team. 2006.
49
対処段階
観測データの分析
<Grawegの場合:WORM_IRCBOT.JK>
SANS: MS06-040: BOLO -- Be On the LookOut
http://isc.sans.org/diary.php?storyid=1597
2.6
Over the weekend there was a botnet doing fairly wide scale scanning for hosts affected by the
vulnerabilities in the MS06-040 advisory.
LURHQ: MS06-040 Exploit: More Hype Than Threat
http://www.lurhq.com/ms06040exploit.html
Based on the current numbers of IP addresses on the Internet scanning for TCP port 445 (presumably
vulnerable and infected with some other worm), shown in the graph below, we'd say the total number of
worldwide infections of such a worm would be on the order of 20,000 to 50,000. Zotob at its peak was
probably 100,000 to 200,000, based on DShield data.
侵害活動の
被害も見えに
くくなっている。
© Hitachi Incident Resposen Team. 2006.
50
2.7
インシデントオペレーションにおける6つの段階
準備、警戒、予兆、対処、監視段階、収束
監視段階
ネットワークワーム/ボットの亜種出現の兆候に関する監視強化、観測データの状況推移に関
する監視強化をおこなう。また、急速な被害拡大を防止するための機能やシステムの稼動確認
をおこない、緊急時に備えた体制を準備する。
ネットワークワームの亜種は、動作不良の解決、動作適用範囲の拡大、機能拡張などがおこな
われている場合もあるため、亜種出現時には対処段階と同様、ネットワークワームの挙動解析を
おこなう必要がある。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
2004年4月30日のSasser.Aに続き、Sasser.B
2004年4月30日のSasser.Aに続き、Sasser.B (5月1日)、Sasser.C
(5月1日)、Sasser.C (5月2日)、Sasser.D
(5月2日)、Sasser.D (5月3日)、
(5月3日)、
Sasser.E
Sasser.E (5月8日)、Sasser.F
(5月8日)、Sasser.F (5月10日)
(5月10日) と亜種の出現が続いた。いずれも、“houseofdabus”によって
と亜種の出現が続いた。いずれも、“houseofdabus”によって
公開された攻撃検証コードをベースとしていた。
公開された攻撃検証コードをベースとしていた。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
侵害活動ならびにその被害も見えにくくなっている。
侵害活動ならびにその被害も見えにくくなっている。
いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。
いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。
=>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。
=>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。
Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを
Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを
含む
含む 8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。
8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。
© Hitachi Incident Resposen Team. 2006.
51
2.8
インシデントオペレーションにおける6つの段階
準備、警戒、予兆、対処、監視、収束段階
収束段階
ネットワークワームの出現に伴い実施した一連の活動内容を関連組織間で整理し、課題を確認
し、その結果を次回以降のインシデントオペレーションにフィードバックする。
<Sasserの場合の対応状況>
<Sasserの場合の対応状況>
2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F
2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F (5月10
(5月10
日)
日) の亜種の出現後にほぼ収束した。
の亜種の出現後にほぼ収束した。
<Grawegの場合の対応状況>
<Grawegの場合の対応状況>
侵害活動ならびにその被害も見えにくくなっている。
侵害活動ならびにその被害も見えにくくなっている。
=>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。
=>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。
脆弱性対策活動における注意喚起の工夫
脆弱性対策活動における注意喚起の工夫
脆弱性対策管理の改善など
脆弱性対策管理の改善など
© Hitachi Incident Resposen Team. 2006.
52
Ending
インシデントは、予兆や被害が表面化しない新たな
フェーズに入っています。このような新たな脅威に対
しても、各組織が保有する観測機能、状況分析機能
ならびに対処機能を連携させることによって問題事
象の解決を図ることができると考えています。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
項目
2003年∼2005年
インシデントオペレーション
2006年以降
組織相互連携オペレーション
インターネットの利用度
(依存度)
社会インフラ
同左
代表的なインシデント
インシデント発生に伴う影響
インシデントの予測
ならびに
予防の対処体制
(警戒、予兆、対処)
インシデント発生後の
対処体制
(対処、監視、収束)
インシデント対処の考え方
電子メール型ワーム
ネットワークワーム
DDoS攻撃
悪性スパム
フィッシング
均一的かつ広範囲に渡る被害
各種業務等全般に関わるため
経済活動への影響大
類似した局所的な被害
各種業務等全般に関わるため
経済活動への影響大 (予兆や被
害が見えにくくなる傾向大)
予兆に基づく
単独組織での対応
複数組織で局所的な予兆を
共有しながら対応
複数組織の協力により均一的か
つ
広範囲に渡る被害に対応
複数組織の協力により類似した
局所的な被害を大局的な被害
として捕らえ対応
インシデントに伴う被害を予測なら
びに予防し、インシデント発生後
は被害の拡大を低減する対応
組織相互連携を用いてインシデン
トに伴う被害を予測ならびに予防
し、インシデント発生後は被害の
拡大を低減する対応
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
JVN関連研究サイトのご紹介
http://jvnrss.ise.chuo-u.ac.jp/jtg/
2006年6月30日、情報共有に関する研究活動の一環として、
JVNRSS (JP Vendor Status Notes RSS) の利活用と普及促進
を目的とした研究サイトを立ち上げました。
ご意見など頂ければ幸いです。
¾ CVE+: CVE 番号に対応する国内のセキュリティ情報一覧の作成
¾ TRnotes: Status Tracking Notes の JVNRSS 化
¾ XSL_swf: XSL を用いた JVNRSS 表示ツールの緊急度表記
¾ RSS_dir: JVNRSS チャンネルのためのチャンネル
¾ SIG_rdf: JVNRSS への署名と検証
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
付録A. 脆弱性対策情報の提供サイト
脆弱性対策活動を推進する際の参考となるサイトを紹介し
ます。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
A.1
対策のための情報収集
①脆弱性対応活動
JPCERT/CC
注意喚起ならびに緊急報告
JPCERT/CC 緊急報告
http://www.jpcert.or.jp/at/
「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの
発生を防止するための情報」を提供
製品開発者の対応情報
JVN: JP Vendor Status Notes
http://jvn.jp/
情報セキュリティ早期警戒パートナーシップにおける対策情報ポータルサイト
製品開発者の情報公表の支援ならびに、システム導入支援者ならびにユーザへの対策情報提供を
目的としている。
CERT/CC, NISCCの発行した脆弱性対策情報の国内対応状況も提供
製品開発者の対応情報
注意喚起・緊急報告
概要
影響範囲
製品開発者情報
製品開発者リスト
株式会社○○ 該当製品あり
××ソリューション 該当製品なし
© Hitachi Incident Resposen Team. 2006.
57
A.1
対策のための情報収集
①脆弱性対応活動
JPCERT/CC: JP Vendor Status Notes
報告された脆弱性に関して、「脆弱性の影響を受け
報告された脆弱性に関して、「脆弱性の影響を受け
る製品は?」「その製品開発者の対策情報?」という
る製品は?」「その製品開発者の対策情報?」という
脆弱性対策情報
脆弱性対策情報
提供情報(ステータス)
提供情報(ステータス)
該当製品あり
該当製品あり
脆弱性該当製品がある場合
脆弱性該当製品がある場合
該当製品あり:調査中
該当製品あり:調査中
脆弱性該当製品があり、継続して製品の調査
脆弱性該当製品があり、継続して製品の調査
を行っている場合
を行っている場合
該当製品なし
該当製品なし
脆弱性該当製品がない場合
脆弱性該当製品がない場合
該当製品なし:調査中
該当製品なし:調査中
脆弱性該当製品は見つかっていないが、継続
脆弱性該当製品は見つかっていないが、継続
して製品の調査を行っている場合
して製品の調査を行っている場合
不明
不明
脆弱性に関する対応状況の連絡がない場合
脆弱性に関する対応状況の連絡がない場合
© Hitachi Incident Resposen Team. 2006.
58
A.2
対策のための情報収集
①脆弱性対応活動
CERT/CC (≒US-CERT)
注意喚起ならびに緊急報告
US-CERT Technical Cyber Security Alert
http://www.us-cert.gov/cas/techalerts
「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの
発生を防止するための情報」を提供
製品開発者の対応情報
US-CERT Vulnerability Notes DB
脆弱性ならびにその対策に関する詳細と製品開発者の対応情報を提供
http://www.kb.cert.org/vuls/
週単位のサマリ情報
US-CERT Cyber Security Bulletins
脆弱性、攻略コード、ウイルスなどの公表状況を提供
http://www.us-cert.gov/cas/bulletins/
US-CERT Vulnerability Notes DB
US-CERT Technical
Cyber Security Alert
概要
影響範囲
製品開発者情報
製品開発者リスト
株式会社○○ 該当製品あり
××ソリューション 該当製品なし
© Hitachi Incident Resposen Team. 2006.
59
A.2
対策のための情報収集
①脆弱性対応活動
CERT/CC (=US-CERT): Vulnerability Note
VU#はVulnerability
VU#はVulnerability Note
Note の略称として広く利用され
の略称として広く利用され
ている。
ている。
VU#652278
VU#652278
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
Other
Other Informationにおいて、CERT/CCにおいて判
Informationにおいて、CERT/CCにおいて判
定した脆弱性の深刻度「Metric」を提供している。数
定した脆弱性の深刻度「Metric」を提供している。数
値が
値が 40
40 以上の場合、CERT
以上の場合、CERT Advisoryの候補対象と
Advisoryの候補対象と
している。
している。
© Hitachi Incident Resposen Team. 2006.
60
A.2
対策のための情報収集
①脆弱性対応活動
CERT/CC (=US-CERT): Vulnerability Note
VU#で提供する脆弱性の深刻度:
VU#で提供する脆弱性の深刻度: Metric
Metric
脆弱性の深刻度に対して
脆弱性の深刻度に対して “metric”
“metric” をいう
をいう 00 ∼
∼ 180
180
の数値を割当てており、以下のような指針に基づい
の数値を割当てており、以下のような指針に基づい
て算出している。
て算出している。
脆弱性に関する情報は広く知られているものか?
脆弱性への攻撃は、CERT/CC にインシデントとし
て報告されているものか?
脆弱性は、インターネット全体を脅威に陥れるような
ものか?
インターネット上のどのくらいのシステムが、脆弱性
の影響を受けるか?
脆弱性への攻撃に伴う影響は、どのようなものか?
脆弱性への攻撃の容易さは、どの程度か?
脆弱性を攻撃するにあたり必要とされる前提条件と
はどのようなものか?
あくまでも、深刻な脆弱性なのか、それとも軽微な脆
あくまでも、深刻な脆弱性なのか、それとも軽微な脆
弱性なのかを区別するための目安となる数値であり、
弱性なのかを区別するための目安となる数値であり、
metric
metric 値と深刻度は比例はしていない
値と深刻度は比例はしていない (指針の重付
(指針の重付
けは同一ではないため)。例えば、metric値が40だか
けは同一ではないため)。例えば、metric値が40だか
らといって、metric値20の2倍の深刻度であるという
らといって、metric値20の2倍の深刻度であるという
わけではない。
わけではない。
US-CERT Vulnerability Note Field Descriptions
https://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/html/fieldhelp#metric
© Hitachi Incident Resposen Team. 2006.
61
A.3
対策のための情報収集
①脆弱性対応活動
SecurityFocus: Bubtraq Vulnerabilities Information
bidは、bugtraq
bidは、bugtraq id
id の略称として広く利用されている。
の略称として広く利用されている。
bid9182
bid9182
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
Remote
Remote
脆弱性は、ネットワークや他の通信手段を用いてリモー
脆弱性は、ネットワークや他の通信手段を用いてリモー
トから攻略することのできる脆弱性である。
トから攻略することのできる脆弱性である。
(受動態攻撃も含まれる場合があるので注意要)
(受動態攻撃も含まれる場合があるので注意要)
Local
Local
コンソールなどを使用することにより攻略することの
コンソールなどを使用することにより攻略することの
できる脆弱性
できる脆弱性
下記脆弱性関連情報を提供
下記脆弱性関連情報を提供
+概要(info)
+概要(info)
+解説(discussion)
+解説(discussion)
+脆弱性の攻略に関する情報(exploit)
+脆弱性の攻略に関する情報(exploit)
+対策情報(solution)
+対策情報(solution)
+謝辞(credit)
+謝辞(credit)
Bubtraq Vulnerablities Information
http://www.securityfocus.com/bid/
© Hitachi Incident Resposen Team. 2006.
62
A.3
対策のための情報収集
①脆弱性対応活動
SecurityFocus: Bubtraq Vulnerabilities Information
Class
Class (脆弱性の分類)
(脆弱性の分類)
Boundary
Boundary Condition
Condition Error
Error (境界条件エラー)
(境界条件エラー)
Access
Access Validation
Validation Error
Error (不正アクセスエラー)
(不正アクセスエラー)
Input
Input Validation
Validation Error
Error (不正入力エラー)
(不正入力エラー)
Origin
Origin Validation
Validation Error
Error (不正発信元エラー)
(不正発信元エラー)
Failure
Failure to
to Handle
Handle Exceptional
Exceptional Conditions
Conditions
(例外条件エラー)
(例外条件エラー)
Race
Race Condition
Condition Errors
Errors (競合条件によるエラー)
(競合条件によるエラー)
Serialization
Serialization Errors
Errors (連続性によるエラー)
(連続性によるエラー)
Atomicity
Atomicity Errors
Errors (原子性によるエラー)
(原子性によるエラー)
Environment
Environment Errors
Errors (環境によるエラー)
(環境によるエラー)
Configuration
Errors
Configuration Errors (設定によるエラー)
(設定によるエラー)
セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発
http://www.ipa.go.jp/security/fy12/contents/crack/policy/format_def.pdf
© Hitachi Incident Resposen Team. 2006.
63
A.4
対策のための情報収集
①脆弱性対応活動
ISS: X-Force Database
XFは、X-Force
XFは、X-Force Database
Database id
id の略称として広く利用
の略称として広く利用
されている。
されている。
XF13935
XF13935
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
下記脆弱性関連情報を提供
下記脆弱性関連情報を提供
+概要(Description)
+概要(Description)
+影響(Platforms
+影響(Platforms Affected)
Affected)
+対策(Remedy)
+対策(Remedy)
+参考情報(References)
+参考情報(References)
+標準となる参考情報
+標準となる参考情報
(Standards
(Standards associated
associated with
with this
this entry)
entry)
ISS X-Force Database
http://xforce.iss.net/
© Hitachi Incident Resposen Team. 2006.
64
A.4
対策のための情報収集
①脆弱性対応活動
ISS: X-Force Database
Severity(深刻度)
Severity(深刻度)
評価
定義
● 高 (High)
特権アクセスやファイアーウォールの回避などへつながり,攻撃
者にホストへ直接的に侵入する手段を与えてしまう脆弱性 例) 侵
入者にメールサーバ上でのコマンド実行を許してしまう,
Sendmail 8.6.5 の脆弱性
● 中 (Medium)
不正なシステムアクセスにつながる高い可能性をもつ情報を,攻
撃者に与えてしまう脆弱性
例) アカウントパスワードの推測に継がるパスワードファイルの入
手を,侵入者へ許してしまうTFTPの誤設定やNISサーバの脆弱
性
● 低 (Low)
不正なシステムアクセスにつながる高い可能性をもつ情報を,攻
撃者に与えてしまう脆弱性
例) オンラインであるアカウントを示し, ブルートフォース攻撃(総
当り攻撃)により パスワードを破りを行う潜在的なアカウントを 攻
撃者に伝えてしまう,fingerコマンド
© Hitachi Incident Resposen Team. 2006.
65
A.5
対策のための情報収集
①脆弱性対応活動
Secunia: Advisory
SA10395
SA10395
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
Where(侵害可能形態)
Where(侵害可能形態)
Local
Local system
system
From
From local
local network
network
From
From remote
remote
Criticality(重要度/深刻度)
Criticality(重要度/深刻度)
Extremely
Extremely Critical
Critical
Highly
Highly Critical
Critical
Moderately
Moderately Critical
Critical
Less
Less Critical
Critical
Not
Critical
Not Critical
Secunia
http://secunia.com/
About Secunia Advisories
http://secunia.com/about_secunia_advisories/
© Hitachi Incident Resposen Team. 2006.
66
A.6
対策のための情報収集
①脆弱性対応活動
脆弱性関連情報同士のつながり
CAN-2003-1025:<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱
性であり、phishing に利用(ドメイン名の詐称)される可能性がある。
CERT/CC
Microsoft
TA04-033A
CERT/CC
MS04-004
CVE
VU#784102
CAN-2003-1026
Travel Log のクロス ドメインの脆弱性
VU#413886
CAN-2003-1027
関数ポインタのドラッグ アンド ドロップ操作の脆弱性
VU#652278
CAN-2003-1025
不適切な URL の正規化の脆弱性
Secunia
SA10395
JVNTA04-033A
JVN
SecurityFocus
BID-9182
ISS X-force
ie-domain-url-spoofing (13935)
© Hitachi Incident Resposen Team. 2006.
67
A.6
対策のための情報収集
①脆弱性対応活動
CVE: Common Vulnerabilities and Exposures
CAN-2003-1025
CAN-2003-1025
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
脆弱性に対して一意の識別子を付与する。
脆弱性に対して一意の識別子を付与する。
Ex.
Ex. CAN-2003-1025
CAN-2003-1025
脆弱性情報同士を関連付けをおこなう。
脆弱性情報同士を関連付けをおこなう。
識別子で付与した脆弱性について
識別子で付与した脆弱性について
取り扱っている情報源をポイントする。
取り扱っている情報源をポイントする。
Ex.
Ex. VU#652278,
VU#652278, MS04-004,
MS04-004, XF13935
XF13935 など
など
Common Vulnerabilities and Exposures
http://cve.mitre.org/
© Hitachi Incident Resposen Team. 2006.
68
A.6
対策のための情報収集
①脆弱性対応活動
CVE: Common Vulnerabilities and Exposures
脆弱性に対して一意の識別子を付与することで、脆弱性情報同士の関連付けを行う。
付与される識別子は、“CVE−西暦−連番” or “CAN−西暦−連番” から構成される。
脆弱性の一意の識別子である CVE は、cve.mitre.org で管理されており、以下のような過程
を経て識別子の付与 (The CVE Naming Process) が行われている。
脆弱性の発見: 脆弱性が発見された、脆弱性が公開されたという情報の確認を行う。また、脆弱性
(Vulnerability)を、“Universal Vulnerabilitiy(攻撃者により発生しうる脅威を最小限とするために適用
している一般的なセキュリティポリシーを侵害するような脆弱性)”, “Exposure(個別のセキュリティポリ
シーを侵害するような脆弱性)” の 2 種類にわけ、定義付けをする。
脆弱性に対する識別子候補の割当て: CVE Editorial Board において、脆弱性に対する識別子の割
当て要否を決定する。割当てが必要と判断した場合には、Candidate Numbering Authority におい
て割当る。ただし、割当てられる識別子は識別子候補であり、CVE Candidate Number と呼ばれ、
CAN-2002-1142 の形式をとる。
脆弱性の判定: CVE Editorial Board において、CVE Candidate Number を割当てた脆弱性を、
CVE として発行するか否かを検討する。
CVE の発行: CVE として発行すると決定した識別子候補 (CAN-yyyy-nnnn) に識別子 (CVE-yyyynnnn) を割り当てる。例えば、CVE-1999-1011 のように、プレフィックとして CVE が割当てられる。
ただし、2005/10/19より識別子の付与方式が変更され、新規で付与される識別子のプレフィックとして
CANではなく、最初からCVEが割り当てられる。ステータスが「Candidate」から「Entry」に変更される
のみ。(CANが割り当てられている過去の脆弱性は、CAN→CVEに変更される。)
The CVE Naming Process
http://cve.mitre.org/docs/docs2000/naming_process.html
© Hitachi Incident Resposen Team. 2006.
69
A.7
対策のための情報収集
①脆弱性対応活動
NVD: National Vulnerability Database
Severity(深刻度)
Severity(深刻度)
評価
定義
● 高 (High)
リモートの攻撃者にシステムを侵害されてしまう(特権や管理者権
限の取得)。ローカルの攻撃者にシステムを完全に制御されてし
まう。脆弱性が CERT アドバイザリに取り上げられている。
● 中 (Medium)
High, Low のいずれにも当てはまらない脆弱性
● 低 (Low)
重要な情報の漏えいあるいは、システム制御権限の略奪などを
伴わないが、脆弱性を見つけ出したり、攻撃するための手段を与
えてしまう。
CAN-2003-1025
CAN-2003-1025
<userinfo>@<host>:<port>の形式のURLを適切に
<userinfo>@<host>:<port>の形式のURLを適切に
表示しない脆弱性であり、phishing
表示しない脆弱性であり、phishing に利用(ドメイン
に利用(ドメイン
名の詐称)される可能性がある。
名の詐称)される可能性がある。
Range(侵害可能形態)
Range(侵害可能形態)
Remotely
Remotely exploitable
exploitable
Locally
Locally exploitable
exploitable
Victim
Victim must
must access
access attacker's
attacker's resource
resource
National Vulnerability Database
http://nvd.nist.gov/
Impact
Impact Type(影響)
Type(影響)
Allows
Allows disruption
disruption of
of service
service
Allows
Allows unauthorized
unauthorized disclosure
disclosure of
of information
information
Allows
Allows unauthorized
unauthorized modification
modification
Provides
Provides unauthorized
unauthorized access
access
© Hitachi Incident Resposen Team. 2006.
70
A.7
対策のための情報収集
①脆弱性対応活動
NVD: National Vulnerability Database
Vulnerability
Vulnerability Type
Type (脆弱性の分類)
(脆弱性の分類)
Input
Input Validation
Validation Error
Error (不正入力エラー)
(不正入力エラー)
Access
Access Validation
Validation Error
Error (不正アクセスエラー)
(不正アクセスエラー)
Exceptional
Exceptional Conditions
Conditions Error
Error (例外条件エラー)
(例外条件エラー)
Environment
Environment Errors
Errors (環境によるエラー)
(環境によるエラー)
Configuration
Error
(設定によるエラー)
Configuration Error (設定によるエラー)
Race
Race Condition
Condition Error
Error (競合条件によるエラー)
(競合条件によるエラー)
Design
Design Error
Error (設計に関わるエラー)
(設計に関わるエラー)
Boundary
Boundary Condition
Condition Error
Error (境界条件エラー)
(境界条件エラー)
Other
Other Error
Error
© Hitachi Incident Resposen Team. 2006.
71
A.7
対策のための情報収集
①脆弱性対応活動
脆弱性の深刻度: CVSS (Common Vulnerability Scoring System)
脆弱性の深刻度評価を標準化するレーティングシステムの試み
分類
Base Metrics
脆弱性問題そのものの性
質により決まるスコア
Temporal Metrics 脆弱
性情報の公開、Exploitの
公開など日々変化する状
況によって決まるスコア
Environmental Metrics
サイトに起因するスコア
評価項目
加点
Access Vector
ローカル/リモート
local: 0.7 remote: 1.0
Access Complexity
脆弱性攻略の容易さ
high: 0.8 low: 1.0
Authentication
攻略に伴う認証の要不要
required: 0.6 not-required: 1.0
Confidentially Impact
秘匿性が脅かされる
none: 0 partial: 0.7 complete: 1.0
Integrity Impact
完全性が脅かされる
none: 0 partial: 0.7 complete: 1.0
Availability Impact
可用性が脅かされる
none: 0 partial: 0.7 complete: 1.0
Impact Bias
秘匿性/完全性/可用性への影響度
Exploitability
攻略コードの存在可能性
Remediation Level
パッチの公開状況
Report Confidence
レポートの信頼度
Collateral Damage
Potential
他システムへの拡散・影響度
Target Distribution
該当製品の普及度
normal: 0.333 CNFDNTLTY: 0.5
INTGRTY: 0.25 AVLBLTY: 0.25
unproven: 0.85 proof-of-concept: 0.9
functional: 0.95 high: 1.00
official-fix: 0.87 temporary-fix: 0.90
workaround: 0.95 unavail: 1.00
unconfirmed: 0.90
uncorroborated: 0.95 confirmed: 1.00
none: 0 low: 0.1 medium: 0.3
high: 0.5
none: 0 low: 0.25 medium: 0.75
high: 1.00
The Common Vulnerability Scoring System
http://www.first.org/cvss/
© Hitachi Incident Resposen Team. 2006.
72
A.7
対策のための情報収集
①脆弱性対応活動
脆弱性の深刻度: CVSS (Common Vulnerability Scoring System)
Temporal Metrics 脆弱性情報の公開、
Exploitの公開など日々
変化する状況によって
決まるスコア
Base Metrics
脆弱性問題そのものの性
質により決まるスコア
Environmental
Metrics
サイトに起因するスコ
ア
© Hitachi Incident Resposen Team. 2006.
73
A.8
対策のための情報収集
①脆弱性対応活動
脆弱性の深刻度: SANS
以下のような指針に重み付けをして 4 段階評価(Critical, High, Moderate, Low)を行っている。
脆弱性の影響を受ける製品は、広く利用されているものですか?
サーバあるいはクライアントのいずれに影響を与えるものですか? 権限のレベルは?
重要なシステム(データベース,Eコマースサーバなど)が影響を受けますか?
ネットワークインフラ(DNS,ルータ,ファイアウォールなど)が影響を受けますか?
脆弱性の攻略コードは公開されていますか?
脆弱性への攻撃の容易さは、どの程度ですか(リモートorローカルのいずれか 認証は必要か
物理的なアクセスは必要か)?
脆弱性の攻略を考える攻撃者にとって、どの程度の価値があるものですか?
脆弱性性に関する技術詳細情報がありますか?
攻略にあたりソシアルエンジニアリング(リンクのクリック,サイト訪問,サーバへの接続作業など
をユーザに強要する)を必要としますか?
脆弱性の攻略活動は活発ですか?
About the CVA Process and CVA Priority Ratings
http://www.sans.org/newsletters/cva/
© Hitachi Incident Resposen Team. 2006.
74
A.8
対策のための情報収集
①脆弱性対応活動
脆弱性の深刻度: SANS
評価
定義
対応時間の指標
● 緊急 (Critical)
広く利用されているソフトウェア(デフォルト設定)に影響を与える脆弱性で、サー
バあるはインフラ機器の管理者権限の取得につながる。
脆弱性を攻略するための情報(例えば攻略コード)が広く知れ渡っている。
脆弱性そのものの攻略が簡単である(認証が不要、攻略対象に関する予備知識
が不要、ソシアルエンジニアリングを用いたユーザへの操作強要が不要など)
48 時間
● 高 (High)
脆弱性は「緊急」になる可能性を持っているが、攻略活動を活発化させない要
因を持っている。例えば、「緊急」相当の特徴を持つが、アクセス権限の昇格を
引き起こすことが難しかったり、攻略対象範囲が限定されてしまう脆弱性が該当
する。
5日
(business days)
● 中 (Moderate)
攻略対象への侵害を伴わない、DoSに関する脆弱性が該当する。
脆弱性を攻略するための前提条件がある(攻略対象と同一のネットワークに接
続している、非標準の設定を対象とする、ソシアルエンジニアリングを必要とす
るなど)。
15 日
(business days)
● 低 (Low)
組織のインフラにほとんど影響を与えない脆弱性である。
ローカルユーザ権限や物理的なアクセスを必要としたり、クライアントでのプライ
バシーや DoS 問題、組織体制/システム構成/バージョン/ネットワーク構成など
の情報漏えいを伴う脆弱性が該当する。
管理者の判断による
© Hitachi Incident Resposen Team. 2006.
75
付録B. インシデント情報提供サイト
インシデント対応活動を推進する際の参考となるサイトを
紹介します。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
B.1
対策のための情報収集
②インシデント対応活動
CERT/CC (≒US-CERT): Current Activity
注意喚起ならびに緊急報告
注意喚起ならびに緊急報告
US-CERT
US-CERT Technical
Technical Cyber
Cyber Security
Security Alert
Alert
http://www.us-cert.gov/cas/techalerts
http://www.us-cert.gov/cas/techalerts
「深刻且つ影響範囲の広い脆弱性に関する情報」
「深刻且つ影響範囲の広い脆弱性に関する情報」
「インシデント報告に基づき、同種のインシデントの発
「インシデント報告に基づき、同種のインシデントの発
生を防止するための情報」を提供
生を防止するための情報」を提供
現時点での注目すべき情報
現時点での注目すべき情報
US-CERT
US-CERT Current
Current Activity
Activity
http://www.us-cert.gov/current/
http://www.us-cert.gov/current/
注意すべき脆弱性、攻略コードの公開有無、侵害活
注意すべき脆弱性、攻略コードの公開有無、侵害活
動の発生有無など、現時点で注目すべきトピックスを
動の発生有無など、現時点で注目すべきトピックスを
提供
提供
US-CERT Current Activity
http://www.us-cert.gov/current/
© Hitachi Incident Resposen Team. 2006.
77
B.2
対策のための情報収集
②インシデント対応活動
JPCERT/CC: Status Tracking Notes
注意喚起ならびに緊急報告
注意喚起ならびに緊急報告
JPCERT/CC
JPCERT/CC 緊急報告
緊急報告
http://www.jpcert.or.jp/at/
http://www.jpcert.or.jp/at/
「深刻且つ影響範囲の広い脆弱性に関する情報」
「深刻且つ影響範囲の広い脆弱性に関する情報」
「インシデント報告に基づき、同種のインシデントの発
「インシデント報告に基づき、同種のインシデントの発
生を防止するための情報」を提供
生を防止するための情報」を提供
経過情報
経過情報
Status
Status Tracking
Tracking Notes
Notes
http://jvn.jp/
http://jvn.jp/
「いつ攻略コードが公開されたのか?」「脆弱性を悪
「いつ攻略コードが公開されたのか?」「脆弱性を悪
用したインシデントは何があったのか?」「インシデン
用したインシデントは何があったのか?」「インシデン
トに伴いどのような対応がとられたのか?」という脆
トに伴いどのような対応がとられたのか?」という脆
弱性に関わる状況変化
弱性に関わる状況変化 (Status
(Status Tracking
Tracking Notes)
Notes) を
を
提供することにより対策を支援する試み
提供することにより対策を支援する試み
Status Tracking Notes
http://jvn.jp/tr/
© Hitachi Incident Resposen Team. 2006.
78
B.2
対策のための情報収集
②インシデント対応活動
JPCERT/CC: Internet Scan Data Acquisition System (ISDAS)
観測統計情報
観測統計情報
宛先ポート別にカウントしたスキャンログ総計を提供
宛先ポート別にカウントしたスキャンログ総計を提供
三ヶ月グラフ(アクセス先ポート別グラフ)
三ヶ月グラフ(アクセス先ポート別グラフ)
一年グラフ(アクセス先ポート別グラフ)
一年グラフ(アクセス先ポート別グラフ)
インターネット定点観測システム Internet Scan Data Acquisition System (ISDAS)
http://www.jpcert.or.jp/isdas/
© Hitachi Incident Resposen Team. 2006.
79
B.3
対策のための情報収集
②インシデント対応活動
SANS: Internet Storm Center
経過情報
経過情報
Handlers
Handlers Diary
Diary
http://isc.sans.org/
http://isc.sans.org/
注意すべき脆弱性、攻略コードの公開有無、侵害活
注意すべき脆弱性、攻略コードの公開有無、侵害活
動の発生有無など、日々の注目すべきトピックスを
動の発生有無など、日々の注目すべきトピックスを
提供
提供
脅威レベル
脅威レベル
評価
green
通常の状態であり、特に重大な脅威は発生し
ていない。
yellow
重大な脅威を追跡中である。影響は未定、あ
るいは予想できない状況にはあるが、インフラ
の影響は小さい。ローカルの影響は大きいの
で、ユーザは、影響を軽減するための対応を
すぐに実施すべきである。例えば、MSBlaster
の流布が該当する。
orange
接続性に関わる大きな混乱が差し迫っている、
あるいは進行中である。例えば、Code Red,
SQL Slammer ワームの発生初日が該当す
る。
red
SANS: Internet Storm Center
http://isc.sans.org/
INFOCon
http://isc.sans.org/infocon.html
定義
インターネット全体の接続性が失われた。
© Hitachi Incident Resposen Team. 2006.
80
B.3
対策のための情報収集
②インシデント対応活動
Distributed Intrusion Detection System (=Internet Storm Center)
観測統計情報
観測統計情報
Internet
Internet Storm
Storm Centerと連動
Centerと連動
http://isc.sans.org/
http://isc.sans.org/
ポート別
ポート別
発信元別
発信元別
Distributed Intrusion Detection System
http://www.dshield.org/
http://isc.sans.org/port_report.php
http://isc.sans.org/port_report.php
http://isc.sans.org/source_report.php
http://isc.sans.org/source_report.php
© Hitachi Incident Resposen Team. 2006.
81
B.4
対策のための情報収集
②インシデント対応活動
SecurityFocus (=symantec): DeepSight Analyzer
観測統計情報
観測統計情報
IDS,
IDS, ファイアウォールログに基づくイベント総計を提供
ファイアウォールログに基づくイベント総計を提供
脅威レベル
脅威レベル
評価
DeepSight Analyzer
http://analyzer.securityfocus.com/
定義
Level 1
Low
一般的なネットワーク状態: 識別できるような
ネットワークインシデントはない
Level 2
Medium
警戒を必要とする状態: まだインシデントは発
生してはいないが侵害活動を予想できる(脆
弱性に対するポートスキャンの活発化など)
Level 3
High
予見範囲の脅威状態: ネットワークインフラに
おいても部分的なインシデントに留まっている
(Nimda などの大規模な感染をもたらすウイ
ルスなど)
Level 4
Extreme
警戒態勢の状態: グローバルネットワークに
対するインシデントが進行中である(現在まで
のところ、過去に該当する事例はない)
© Hitachi Incident Resposen Team. 2006.
82
B.5
対策のための情報収集
②インシデント対応活動
ISS: AlertCon
脅威レベル
脅威レベル
評価
Current Internet Threat Level
https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp
定義
AlertCon 1
対処方法が公開されている既知の攻撃を
検出
AlertCon 2
警戒を必要とする攻撃の増加を検出
AlertCon 3
早急に対応が必要な、特定の脆弱性を悪
用した攻撃の増加を検出(I Love You ウイ
ルス、Code Red、Nimda などの大規模な
感染をもたらすウイルス、ワームおよび
DoS 攻撃など)
AlertCon 4
緊急に対応が必要な、極めて重大な脆弱
性を悪用した大規模な攻撃を検出(システ
ムデータの破壊、漏洩、使用不能、管理者
権限の取得、Web 改ざんが大規模に行わ
れる可能性あり)
© Hitachi Incident Resposen Team. 2006.
83
B.6
対策のための情報収集
②インシデント対応活動
DHS: Homeland Security Advisory System
米国の Homeland Security の一環で「脅威に対する防衛」を目的として脅威レベル(Threat
Condition)を提示している。
評価
定義
Level 1
Low
事前に計画された保護手段を実行する。
Homeland Security Advisory System と事前に計画された機関の保護手段に基づく適切な訓練を行なう。
テロリズムに対する脆弱性を定期的に評価し、脆弱性を緩和するための対応方法を検討する。
Level 2
Guarded
計画的な緊急対応あるいは指令に従ったコミュニケーションの確認を行なう。
緊急対応手順のレビューと見直しを行なう。
適切に行動するために必要となる情報を公開する。
Level 3
Elevated
重要な拠点の監視を強化する。
緊急計画を調整する。
事前に計画された保護手段、緊急対応計画を見直す必要があるかどうかを検討する。
Level 4
High
Level 5
Severe
連邦政府、州および地域法施行機関などの組織と調整を行なう。
公的なイベントについては警戒を強化し、開催地の代替や取り消しを検討する。
場所を移動する、労力を分散するなど、万一の場合を想定し、実行ための準備を行なう。
影響を受ける設備についてはアクセス可能な人員を制限する。
緊急対応に対処するため、人員の増員あるいは、移動させる。
緊急対応人員、訓練されたチームあるいはリソースの動員を行なう。
輸送システムを監視し、振替輸送、抑制を行なう。
公的ならびに政府機関の設備を閉鎖する。
Homeland Security Advisory System
http://www.dhs.gov/dhspublic/display?theme=29
Chronology of Changes to the Homeland Security Advisory System
http://www.dhs.gov/dhspublic/interapp/editorial/editorial_0844.xml
© Hitachi Incident Resposen Team. 2006.
84
付録C. 感染先探索特性
代表的なネットワークの探索動作について紹介します。
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
C.1
脆弱性を悪用した侵害活動の再考
感染先探索特性:CodeRed3 検証結果
実機検証
コード解析
上位2オクテット同一(同.同.異.異)
37.7%
37.5%
上位1オクテット同一(同.異.異.異)
50.8%
50.0%
上記以外(異.異.異.異)
11.5%
12.5%
試行3回,観測開始から10,000パケットを対象とした平均値
探索IPアドレスの発生分布グラフ
観測開始から10,000パケットを対象にプロット
感染した端末のIPアドレス
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x)
© Hitachi Incident Resposen Team. 2006.
86
C.2
脆弱性を悪用した侵害活動の再考
感染先探索特性:Nimda.E 検証結果
実機検証
コード解析
上位2オクテット同一(同.同.異.異)
50.9%
50%
上位1オクテット同一(同.異.異.異)
38.8%
25%
上記以外(異.異.異.異)
10.3%
25%
試行3回,観測開始から10,000パケットを対象とした平均値
探索IPアドレスの発生分布グラフ
観測開始から51,261パケットを対象にプロット
感染した端末のIPアドレス
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x)
© Hitachi Incident Resposen Team. 2006.
87
C.3
脆弱性を悪用した侵害活動の再考
感染先探索特性:Sasser.B 検証結果
実機検証
コード解析
上位2オクテット同一(同.同.異.異)
27.2%
25%
上位1オクテット同一(同.異.異.異)
24.6%
23%
上記以外(異.異.異.異)
48.2%
52%
試行3回,観測開始から3,000パケットを対象とした平均値
探索IPアドレスの発生分布グラフ
観測開始から3,757パケットを対象にプロット
感染した端末のIPアドレス
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x)
© Hitachi Incident Resposen Team. 2006.
88
C.4
脆弱性を悪用した侵害活動の再考
感染先探索特性:Sasser.C 検証結果
実機検証
コード解析
上位2オクテット同一(同.同.異.異)
27.1%
25%
上位1オクテット同一(同.異.異.異)
24.8%
23%
上記以外(異.異.異.異)
48.1%
52%
試行3回,観測開始から10,000パケットを対象とした平均値
探索IPアドレスの発生分布グラフ
観測開始から13,602パケットを対象にプロット
感染した端末のIPアドレス
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x)
© Hitachi Incident Resposen Team. 2006.
89
C.5
脆弱性を悪用した侵害活動の再考
感染先探索特性:Blaster 検証結果
探索開始IPアドレスの決定方法
完全にランダム(異.異.異.0):60%
上位2オクテットが同一(同.同.異.0):40%
上記で計算したIPアドレスの4オクテット目の値である0に1を加算し、そのIPアドレスを探索先と
する。さらにこの操作を繰り返す。
探索IPアドレスの発生分布グラフ
観測開始から7,500パケットを対象にプロット
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(153.75.20 ∼ 153.75.50)
© Hitachi Incident Resposen Team. 2006.
90
C.6
脆弱性を悪用した侵害活動の再考
感染先探索特性:Slammer 検証結果
GetTickCount関数の結果をシードとして探索IPアドレスを生成し、アドレスブロック探索比率を加
味せず常に探索IPアドレスをランダムに選択する。
探索IPアドレスの発生分布グラフ
観測開始から10,000パケットを対象にプロット
感染した端末のIPアドレス
横軸:経過時間 (秒)
縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x)
© Hitachi Incident Resposen Team. 2006.
91
END
脆弱性データベース
侵害活動の変遷と対策のための情報収集
2006/08/19
株式会社日立製作所
Hitachi Incident Response Team
寺田真敏
Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
© Copyright 2024 Paperzz
