文部科学省科学技術振興調整費 中央大学研究開発機構 情報セキュリティ・情報保証 人材育成拠点 平成18年度情報セキュリティ人材育成公開講座 2006年8月19日(土)∼23日(水) HIRT Hitachi 2006.08.18 01:30:26 +09'00' 脆弱性データベース 侵害活動の変遷と対策のための情報収集 2006/08/19 株式会社日立製作所 Hitachi Incident Response Team 寺田真敏 http://www.hitachi.co.jp/hirt/ http://www.hitachi.com/hirt/ Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. Opening 近年、急激にインシデントも多様化し、かつその変化 も早くなってきています。このような変化は、インシデ ントの対処にも変化をもたらしました。 本講座では、まず、過去と現在の侵害活動を概観す ると共に、侵害活動の手法の技術的詳細を解説する ことで、侵害活動に関する理解を深めます。 次に、脆弱性対応とインシデント対応を行う上で、ど ういった情報源を参考にすれば良いか、国内外のサ イトを紹介します。またそれらの情報の見方と活用方 法について紹介します。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. Contents 1. 攻撃手法の変遷 2. インシデントオペレーション 付録A. 脆弱性対策情報の提供サイト 付録B. インシデント情報提供サイト 付録C. 感染先探索特性 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. 1. 攻撃手法の変遷 攻撃手法の多様化とツールの高機能化により、高度な 技術力がなくても多彩な侵害活動が可能となってきてい ます。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. 1.1 攻撃手法の変遷 攻撃手法の多様化とツールの高機能化により、 高度な技術力がなくても多彩な侵害活動が可能となってきた。 ④ ③ ⑥ ① ⑤ ② ⑥ Computer Security Issues that Affect Federal, State, and Local Governments and the Code Red Worm http://www.cert.org/congressional_testimony/Carpenter_testimony_Aug29.html © Hitachi Incident Resposen Team. 2006. 4 1.2 攻撃手法の変遷 歴史は繰り返す: 脆弱性を悪用したワームの流布 サーバの脆弱性を攻略するネットワークワームは15年以上も前に発生 1988年12月 ① インターネットワーム事件 ⇒バッファオーバーフロー攻撃などサーバの脆弱性を攻略 2001年05月 sadmind/IIS ワーム ⇒sadmindのバッファオーバーフロー、IIS(MS01-026)の脆弱性を攻略 2001年07,08月 CodeRed ワーム ⇒IISのバッファオーバーフロー問題(MS01-033)を攻略 2001年09月 Nimda ワーム ⇒IIS(MS00-078,MS01-026)とIE(MS01-020)の脆弱性を攻略 2002年07月 Apache/mod_ssl ワーム ⇒OpenSSLのバッファオーバーフロー問題(CA-2002-23)を攻略 2003年02月 SQL Slammer ワーム ⇒MSSQLのバッファオーバーフロー問題(MS02-061)を攻略 2003年08月 Blaster, Welchiaワーム ⇒RPC DCOMのバッファオーバーフロー問題(MS03-016)を攻略 2004年03月 Wittyワーム ⇒RealSecureのICQ解析処理のバッファオーバーフロー問題を攻略 2004年05月 Sasserワーム ⇒LSASSのバッファオーバーフロー問題(MS04-011)を攻略 © Hitachi Incident Resposen Team. 2006. 5 1.2 攻撃手法の変遷 歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布 CodeRed: 数時間のうちに20万台以上の計算機が感染した。 2001年06月18日 2001年07月18日 2001年08月06日 マイクロソフト「MS01-033: Index Server ISAPI エクステンションの 未チェックのバッファにより Web サーバーが攻撃される」を公表 CodeRed I ワーム発生 CodeRed II ワーム発生 Code Red Code Red, Code Red II CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Worm http://www.cert.org/advisories/CA-2001-23.html http://www.security.nl/misc/codered-stats/ [x] © Hitachi Incident Resposen Team. 2006. 6 1.2 攻撃手法の変遷 歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布 Slammer: 感染動作自体がインターネットをDoS状態に陥れる。 2002年07月25日 2003年01月25日 マイクロソフト「MS02-039: SQL Server 2000 解決サービスのバッファの オーバーランにより、コードが実行される」を公表 Slammer ワーム発生 10分間のうちに脆弱性のあるホストのう ち90%が感染したといわれている。 Sat Jan 25 05: 29: 00 僅か30分 Cooperative Association for Internet Data Analysis http://www.caida.org/ Sat Jan 25 06: 00: 00 © Hitachi Incident Resposen Team. 2006. 7 1.2 攻撃手法の変遷 歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布 Witty: セキュリティ製品も例外ではない。 2004年03月18日 2004年03月20日 日時 (JST) ISS 製品における ICQ 解析の脆弱点を公表 Witty ワーム発生 僅か2日後 内容 2004-03-19 11: 17 ISSKK ISS 製品における ICQ 解析の脆弱点 を Web 公開 2004-03-20 14: 00 ISC 発信元ポート番号 4000/UDP トラフィック の増加 ("Witty" worm attacks BlackICE firewall) を確認 2004-03-20 (米国日付) トレンドマイクロ WORM_WITTY.A シマンテック W32.Witty.Worm 日本ネットワークアソシエーツ W32/Witty.worm 2004-03-20 (米国日付) US-CERT Current Activity として Witty Worm を報告 2004-03-20 22: 16 @police UDP4000番ポートを発信元ポートと するトラフィックの増加について(3/20) を Web 公開 2004-03-20 22: 40 ISS AlertCon ① => ② 2004-03-21 ISSKK BlackICE Wittyワーム を Web 公開 2004-03-21 23: 24 @police ISS製品の脆弱性及びWittyワーム の発生について(3/21) を Web 公開 2004-03-23 18: 01 ISSKK BlackICE Wittyワーム を更新 2004-03-24 00: 20 ISS AlertCon ② => ① Cooperative Association for Internet Data Analysis http://www.caida.org/ Sat Mar 20 04: 45: 36 2時間後 Sat Mar 20 06: 41: 40 © Hitachi Incident Resposen Team. 2006. 8 1.2 攻撃手法の変遷 歴史は繰り返す: ネットワークモニタリング 有線から無線へ、そして利用シーンの拡大へ 1994年02月 ② パスワード大量盗難 ⇒ネットワークモニタリングによる認証情報の盗聴 2000年以降 無線LANの普及 無線LANの電波の届く範囲内にいれば、誰でもデータを受信することができてしまう。 ⇒通信内容の盗聴や無線LANの不正利用 The WorldWide WarDrive WWWD(The WorldWide WarDrive)とは、世界中の参加者がPCを抱えて、 自分たちの周囲の無線LANのセキュリティ状況をチェックするイベントである。 その調査報告によれば、 第1回 第2回 第3回 アクセスポイント数 9,374 24,958 88,122 WEP使用 2,825(30.1%) 6,970(28.0%) 28,427(32.3%) WEP未使用 6,549(69.9%) 17,988(72.1%) 59,695(67.7%) SSIDデフォルト 2,768(29.5%) 8,802(35.2%) 24,525(27.8%) SSIDデフォルト・WEP未使用 2,497(26.6%) 7,847(31.4%) 21,822(24.7%) 第1回 2002年8月31日から9月7日 第2回 2002年10月26日から11月2日 第3回 2003年6月28日から7月5日 第4回 2004年7月12日から7月19日 6ケ国&2大陸 22エリア 7ケ国&4大陸 32エリア 11ケ国&4大陸 52エリア 第4回 228,537 87,647(38.3%) 140,890(61.6%) 71,805(31.4%) 62,859(27.5%) 100人で調査 200人で調査 300人で調査 インターネット完備ホテルの普及 シェアードHUB(リピータHUB)、デュアルスピードHUBで 構成されていた場合、ネットワークモニタリングは容易である。 ⇒通信内容の盗聴 The Official WorldWide WarDrive http://www.worldwidewardrive.org/ © Hitachi Incident Resposen Team. 2006. 9 1.2 攻撃手法の変遷 歴史は繰り返す: ネットワークモニタリング 有線から無線へ、そして利用シーンの拡大へ 無線LANのアクセスポイントに関する観測結果を登録する サイトの報告によれば、 アクセスポイント数 WEP使用 WEP未使用 WEP不明 SSIDデフォルト WiGLE(2006/08/16) 7,455,049 2,855,280 (38.2%) 3,288,921 (44.1%) 1,310,848 (17.5%) 1,647,197 (22.0%) WiGLE - Wireless Geographic Logging Engine - Plotting WiFi on Maps http://www.wigle.net/ © Hitachi Incident Resposen Team. 2006. 10 1.2 攻撃手法の変遷 歴史は繰り返す: ソーシャルエンジニアリング 電子メールが攻撃の起点となっている。 1991年04月 CERT Advisory CA-1991-03 Unauthorized Password Change Requests Via Mail Messages ③ ⇒ソーシャルエンジニアリング攻撃 SAMPLE MAIL MESSAGE as received by the CERT (including spelling errors, etc.) : {mail header which may or may not be local} : This is the system administration: Because of security faults, we request that you change your password to "systest001". This change is MANDATORY and should be done IMMEDIATLY. You can make this change by typing "passwd" at the shell prompt. Then, follow the directions from there on. Again, this change should be done IMMEDIATLY. We will inform you when to change your password back to normal, which should not be longer than ten minutes. Thank you for your cooperation, The system administration (root) END OF SAMPLE MAIL MESSAGE 2004年∼ 2005年07月 Phishing (フィッシング) 詐欺 US-CERT Technical Cyber Security Alert TA05-189A Targeted Trojan Email Attacks (スピアメール) ⇒特定の組織や個人を標的にした攻撃活動へ http://www.cert.org/advisories/CA-1991-03.html http://www.us-cert.gov/cas/techalerts/TA05-189A.html AntiPhishingJapan フィッシング対策協議会 http://antiphishing.jp/ © Hitachi Incident Resposen Team. 2006. 11 1.3 攻撃手法の変遷 技術は活用される: 進化するウイルス 良くも悪くも技術は継承されている。 ウイルス名称 ウイルス名称 ④ 特徴 特徴 Melissa(1999-03) Melissa(1999-03) アドレス帳に登録されているアドレスに自身をメール送信する。 アドレス帳に登録されているアドレスに自身をメール送信する。 LoveLetter LoveLetter (2000-05) (2000-05) 電子メールとIRC(Internet 電子メールとIRC(Internet Relay Relay Chat)を経由して流布する。 Chat)を経由して流布する。 MTX MTX (2000-09) (2000-09) 添付ファイル名として数種類のバリエーションを提供する。 添付ファイル名として数種類のバリエーションを提供する。 指定したWebサイトからプラグインをダウンロードする。 指定したWebサイトからプラグインをダウンロードする。 Hybris Hybris (2000-09) (2000-09) メールの内容と添付ファイル名はシステムの言語設定によって変更する。 メールの内容と添付ファイル名はシステムの言語設定によって変更する。 Sircam Sircam (2001-07) (2001-07) 電子メールとWindowsネットワークを経由して感染する。 電子メールとWindowsネットワークを経由して感染する。 本文と件名はランダムに作成する。 本文と件名はランダムに作成する。 ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイル ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイル を外部に送信する。 を外部に送信する。 Nimda(2001-09) Nimda(2001-09) MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。 MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。 Badtrans.B(2001-11) Badtrans.B(2001-11) キー操作のログを作成し、外部に送信する。 キー操作のログを作成し、外部に送信する。 Klez(2001-11) Klez(2001-11) 送信元メールアドレスを偽装する。 送信元メールアドレスを偽装する。 ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。 ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。 Fbound Fbound (2002-03) (2002-03) 件名を日本語化する。 件名を日本語化する。 Sobig.E Sobig.E (2003-06) (2003-06) 自己機能更新機能を持つ。 自己機能更新機能を持つ。 Mimail.C Mimail.C (2003-08) (2003-08) 特定サイトに攻撃を仕掛けるDDoS機能を持つ。 特定サイトに攻撃を仕掛けるDDoS機能を持つ。 Magistr(2001-03) Magistr(2001-03) 注:メール大量送信型のウイルスを対象にリストアップ © Hitachi Incident Resposen Team. 2006. 12 1.3 攻撃手法の変遷 技術は活用される: 送信元の偽装 IPアドレス、電子メールアドレス、、、 1995年01月 ⑤ ケビン・ミトニック事件 送信元IPアドレス偽装の 事例が知れ渡る ⇒送信元IPアドレス偽装によるコネクションハイジャック 1996年09月 米国プロバイダPANIXへのDoS攻撃 ⇒送信元IPアドレスを偽装したDoS(Denial of Service)攻撃 2000年02月 米国有名サイトへのDDoS攻撃 偽装は問題解決 を妨げる技術 ⇒送信元IPアドレスを偽装した DDoS(Distributed Denial of Service)攻撃 2001年11月 Klezの流布 ⇒ウイルスも送信元メールアドレスを偽装 送信元IPアドレスに比べ、送信元メールアドレスの偽装は容易である。 2003年08月 Blasterの流布 ⇒送信元IPアドレスを偽装し、windowsupdate.comサイトに DDoS攻撃を仕掛ける機能を装備 注: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とする windowsupdate.com ドメインのIPアドレスをDNSから削除した。 これにより、BlasterワームのDDoS攻撃が機能せず、DDoS攻撃の回避を 図ることができた。 © Hitachi Incident Resposen Team. 2006. 13 1.3 攻撃手法の変遷 技術は活用される: 進化するパケットレベルのDoS攻撃 進化の歴史 1996年 ∼1998年 パケットレベルのDoS攻撃を実現可能とする脆弱性の発見 CA-96: 01 UDP Port Denial-of-Service Attack CA-96: 21 TCP SYN Flooding and IP Spoofing Attacks CA-96: 26 Denial-of-Service Attack via ping CA-97: 28 IP Denial-of-Service Attacks CA-98: 01 “smurf” IP Denial-of-Service Attacks 1996年09月 米国プロバイダPANIXへのDoS(TCP SYN Flooding)攻撃 1999年 パケットレベルのDDoS攻撃ツールの出現 Trin00, TFN, TFN2K, Stacheldraht, Mstream など 米国有名サイトへのDDoS攻撃 2000年02月 ⑥ 攻撃者ひとり 攻撃者の分身 ⇒2月7日: Yahoo!!,Buy.com,eBay,Amazon.com,CNN.com ⇒2月8日: MSN, ⇒2月9日: E*TRADE,ZDNet 2001年07月 ワーム CodeRed Iの流布 ⇒特定IPアドレスへのDDoS攻撃 (注1) 2003年08月 Blasterの流布 ⇒windowsupdate.comサイトへのDDoS攻撃 (注2) 注1: WebサイトのIPアドレスを変更することでDDoS攻撃を回避した。 注2: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とする windowsupdate.com ドメインのIPアドレスをDNSから削除した。これにより、Blasterワームの DDoS攻撃が機能せず、DDoS攻撃の回避を図ることができた。 © Hitachi Incident Resposen Team. 2006. 14 1.3 攻撃手法の変遷 技術は活用される: 進化するDDoS攻撃 攻撃管理形態: 階層型 名称 Trin00 TFN TFN2K Stacheldraht 1999年 Sobig.F 2003年09月 特徴 攻撃管理形態: 階層型 攻撃エージェントのインストール: 侵入時に手作業でインストール 攻撃対象指定: IPアドレス 攻撃トリガ: 攻撃者からの指示 攻撃エージェント 攻撃機能更新: なし 攻撃者 攻撃管理システム (master) (daemon) 攻撃対象 攻撃管理形態: 階層型 攻撃エージェントのインストール: 電子メール型ワームを利用したインストール 攻撃対象指定: 不明 攻撃トリガ: 不明 攻撃エージェント 攻撃機能更新: あり 攻撃管理システム 攻撃対象 ⇒ボットネット: 攻撃指示管理系に活用 © Hitachi Incident Resposen Team. 2006. 15 1.3 攻撃手法の変遷 技術は活用される: 進化するDDoS攻撃 攻撃管理形態: 水平型 名称 Blaster 2003年8月 Doomjuice 2004年2月 特徴 攻撃管理形態: 水平型 攻撃エージェントのインストール: 脆弱性の利用した自動インストール 攻撃対象指定: ドメイン名 攻撃エージェント 攻撃トリガ: 時刻 攻撃機能更新: なし 攻撃対象 攻撃管理形態: 水平型 攻撃エージェントのインストール: バックドアを利用した自動インストール 攻撃対象指定: ドメイン名 攻撃エージェント 攻撃トリガ: 時刻 攻撃対象 攻撃機能更新: なし ⇒ボットネット: 攻撃エージェント(ボット)配備系に活用 © Hitachi Incident Resposen Team. 2006. 16 1.3 攻撃手法の変遷 技術は活用される: 進化するDDoS攻撃 組織化された攻撃態勢へと進化: ボットネット(Botnet) ボット: 外部からの命令に従って何らかの悪質な動作をするプログラム ボットネット: IRC(Internet Relay Chat)などの通信チャネルにより制御されたボット群 攻撃指示管理系(攻撃者分身)+攻撃エージェント配備系(ワーム)を備えた集積技術 アンダーグランドビジネスとの連携 (≒犯罪の領域) 攻撃者 = 攻撃エージェント(ボット)配備系 = 秘 IRCへの接続機能を 個人情報等収集 DoS攻撃 持ったボットを配備する。 スパム送信 Worm配布 攻撃管理システム = 攻撃指示管理系 = IRCを使ってボットを制御 (攻撃指示、機能更新、 情報収集など)する。 ボットネット IRCサーバ @police: ボットネット(botnet)に注意 http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdf Telecom-ISAC Japan https://www.telecom-isac.jp/ © Hitachi Incident Resposen Team. 2006. 17 1.4 攻撃手法の変遷 インシデントの移り変わり 1990年以前∼1990年代前半:インターネット商用化前 1981年 1984年 1986年 1987年 1987年 1988年 1988年12月 最初のコンピュータウイルス「Elk Cloner」 Fred Cohen、コンピュータウイルスの定義提唱 パキスタンブレインウイルス 最初のトロイの木馬「PC-Write」 エルサレムウイルス 国内最初のコンピュータウイルス インターネットワーム事件 ⇒バッファオーバーフロー攻撃などサーバの脆弱性を利用 1991年01月 1992年 1992年 1994年 1994年02月 Berferd事件 (AT&T研究所) ミケランジェロウイルス ポリモーフィックウイルス 最初のHOAXウイルス「Goodtimes」 パスワード大量盗難 インシデントの多くは、 学術系サイトで発生 ⇒パケットモニタリングによる認証情報の盗聴 1995年01月 ケビン・ミトニック事件 ⇒IPアドレスの偽造によるコネクションハイジャック 1995年 最初のマクロウイルス「Concept」 © Hitachi Incident Resposen Team. 2006. 18 1.4 攻撃手法の変遷 インシデントの移り変わり 1990年代後半∼2000年代前半:Melissaウイルス出現後から時差なしの世代へ 1996年08月 米国司法省Webページの書き換え ⇒WWWの普及に伴うセキュリティホールの顕在化 1996年09月 PANIXへのDoS攻撃 ⇒パケットレベルのDoS攻撃の出現 1997年08月 Web cgi-binプログラムへの攻撃 脆弱性公開に伴う インシデントが日本で 多発するまでに時差 あり ⇒脆弱性探査ツールの高度化 1999年03月 Melissaウイルス ⇒ソシアルエンジニアリング攻撃の併用 1999年05月 2000年01月 2000年02月 米政府関連Webサイトの書き換え 官公庁関連Webサイトの書き換え 米国有名サイトへのDDoS攻撃 ⇒DDoS(Distributed Denial of Service)攻撃の出現 2000年05月 2001年02月 2001年05月 LoveLetterウイルス 国内複数Webサイトの書き換え sadmind/IISワーム ⇒サーバの脆弱性を攻略する 2001年07,08月 CodeRed ワーム ⇒サーバの脆弱性を攻略する 2001年07月 2001年09月 Sircumウイルス Nimdaワーム マルウェア (不正アクセス型 ウイルス)の世代へ 時差なしの世代へ ⇒サーバ/クライアントの脆弱性を攻略する © Hitachi Incident Resposen Team. 2006. 19 1.4 攻撃手法の変遷 インシデントの変遷 2005年∼:新たなインシデント形態へ 2003年01月 2003年08月 2003年08月 2004年05月 2005年08月 Slammerワーム ネットワークワーム全盛期 Blasterワーム (均一的かつ広範囲に渡る被害) Welchiaワーム Sasserワーム Zotobワーム [ ワームからボットへの転換期 ] ⇒サーバの脆弱性を攻略する 2005年∼ フィッシング スパイウェア ⇒ソーシャルエンジニアリング攻撃の併用 金銭を目的とした犯罪活動 (類似した局所的な被害) Winnyによる情報流出 ⇒ソーシャルエンジニアリング攻撃の併用 スピアフィッシング スピアメール ⇒対象絞込み型の ソーシャルエンジニアリング攻撃の併用 2006年08月 スパイ型犯罪活動 (局所的な被害) W32/Graweg (別名:W32.Wargbot, WORM_IRCBOT.JK/JL, IRC-Mocbot!MS06-040) ⇒サーバの脆弱性を攻略する ⇒大規模感染 (均一的かつ広範囲に渡る被害) 型ワームはいずこに。。。 © Hitachi Incident Resposen Team. 2006. 20 2. インシデントオペレーション 脆弱性から重大なインシデントへの発展を可能な限り 早期に弁別するために実施する6つの段階 (準備、 警戒、予兆、対処、監視、収束) について概説します。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. 2.1 インシデント対処の変化 インシデントレスポンスからインシデントオペレーションへ 項目 インターネットの利用度 (依存度) 2000年前後 インシデントレスポンス 2003年以降 インシデントオペレーション ビジネスでの使い始め 社会インフラ 代表的なインシデント サイトへの不正侵入 Webページの書き換え 電子メール型ワーム ネットワークワーム DDoS攻撃 悪性スパム フィッシングなど インシデント発生に伴う影響 局所的な被害 経済活動等への影響小 広範囲に渡る被害 各種業務等全般に関わるため 経済活動への影響大 単独組織での対応 複数組織での共同対応 事後処理を中心とした対応 インシデントに伴う被害を予測ならび に予防し、インシデント発生後は被害 の拡大を低減する対応 インシデントの対処体制 インシデント対処の考え方 © Hitachi Incident Resposen Team. 2006. 26 2.1 インシデント対処の変化 被害が発生することを想定した対応体制を整備する。 時間軸の広がり: ①脆弱性対策活動、②インシデント対応活動 脆弱性を悪用しない 侵害活動が発生した 場合(例: Sobig) 公開された脆弱性を 悪用した侵害活動が 発生しない場合 侵害活動の発生 侵害活動の沈静化 インシデント対応期間 脆弱性XXの 発見 脆弱性XXの 情報公開 脆弱性対策期間 公開された脆弱性を 悪用した侵害活動が 発生した場合 (例: SQL Slammer) 脆弱性ZZの 発見 脆弱性ZZの 情報公開 脆弱性ZZを悪用した 侵害活動の発生 脆弱性対策期間 脆弱性ZZを悪用した 侵害活動の沈静化 インシデント対応期間 時間軸 脆弱性対策活動 インシデント対応活動 セキュリティに関するなんらかの 問題を引き起こす脆弱性を除去 するための活動 実際に発生している侵害活動の 回避やセキュリティに関する問題 事象を解決するための活動 注1: 上記では除外しているが、「zero-day attack」という、セキュリティ上の脆弱性が 広く公表される前にその脆弱性を悪用して行なわれる侵害活動も存在するので留意のこと。 注2: ここでのインシデント対応には、流布しているワームによる侵害活動などを回避する予防措置的な対応を含んでいる。 © Hitachi Incident Resposen Team. 2006. 27 2.1 インシデント対処の変化 被害が発生することを想定した対応体制を整備する。 時間軸の広がり: ①脆弱性対策活動、②インシデント対応活動 インシデントオペレーションにおいては、脆弱性から重大なインシデントへの発展を可 能な限り早期に弁別し事前対応することが、インシデント発生後の被害拡大の低減に つながるというアプローチをとる。 対応活動は、インシデント発生以降から始まるのではなく、脆弱性の発見 あるいは、 脆弱性ならびに修正プログラムの公開以降から始まる。 脆弱性ZZの 発見 脆弱性ZZの 情報公開 脆弱性ZZを悪用した 侵害活動の発生 脆弱性対策期間 脆弱性ZZを悪用した 侵害活動の沈静化 インシデント対応期間 時間軸 脆弱性対策活動 インシデント対応活動 インシデントオペレーション インシデントレスポンス 「インシデントを予防し、インシデント発生後は被害の拡大を 低減する」ために実施する一連のセキュリティ対策の総称 「事後処理を中心とした対応 」 © Hitachi Incident Resposen Team. 2006. 28 2.2 ネットワークワーム/ボット対応 脆弱性を悪用した侵害活動の再考 MS Blaster、Sasser、Zotob、Grawegの比較 悪用する脆弱性(公表日) 攻撃検証コード(公表日) MS Blaster MS03-026 2003-07-17 dcom.c 2003-07-27 Sasser.A Zotob.A MS04-011 MS05-039 2004-04-14 2005-08-10 HOD-ms04011-lsasrv-expl.c HOD-ms05039-pnp-expl.c 2004-04-29 2005-08-12 Graweg MS06-040 2006-08-09 netapi_ms06_040.pm 2006-08-10 ベース − − Mytob Mocbot 発生日 2003-08-11 2004-04-30 2005-08-14 2006-08-12 探査方法:探索比率加味 アドレスブロック 探索比率加味型 アドレスブロック 探索比率加味型 アドレスブロック 探索比率加味型 ? 探査方法:探索形態 スイープ探索型 ランダム探索型 ランダム探索型 ? 探査方法:探索範囲 限定なし(グローバル) 限定なし(グローバル) 同一ネット ? ・DoS攻撃日付がある条件 の場合、 "windowsupdate.com" に 対してDoS攻撃を開始 バックドア活動 − バックドア活動 バックドア活動の主体が、DDoS攻撃で はなく、侵害活動のインフラ構築、すな わち、ボットネット構築に移行している。 攻撃検証コードの取り込み期間の短縮化 Sasser、Zotob、Grawebのいずれも、攻略コードが公 開されてから取り込まれるまでの期間は2日間ほどで あり、マルウェアの作成が手順化ならびにモジュール 化されつつあると類推される。 ・プロセスの終了 ・DoS攻撃 ・特定のIRCサーバに接続 ・インターネットからファイル のダウンロード ・特定のWebサイトを訪問 ・自身のコピーのアンインス トール ・システム情報の収集(CPU 速度、メモリ容量) ・自身のアップデートファイ ルのダウンロード ・ポート8888番を介してリモー トコマンドシェルを作成 ・プロセスの終了 ・特定のIRCサーバに接続 ・不正リモートユーザからの コマンドを待機 ・スパムメール発信のため の踏み台 ・プロキシ構築 ・SYN フラッド、DDoS 攻撃 ・MS06-040の脆弱性を利 用した他のコンピュータへ の感染活動 ・自身のアップデートファイ ルのダウンロード © Hitachi Incident Resposen Team. 2006. 29 2.2 ネットワークワーム/ボット対応 脆弱性を悪用した侵害活動の再考 MS Blaster、Sasser、Zotobの探索方法の比較 Zotobの感染活動に伴う探索範囲は、同一ネット(上位2オクテットが同一)に限定されており、こ のような動作は探索範囲に制限を設けずに流布する既存ネットワークワームCodeRed、Nimda、 Slammer、MS Blaster、Sasserとの大きな違いとなっている。 感染先探索活動 感染活動は、探索範囲 に制限を設けずに流布 する形態ではなく、探索 範囲を限定して流布する 傾向にある。これは、 US-CERTから報告され ているTargeted Trojan Email Attacksやスピア フィッシングと同様であり、 侵害活動がより見えにく くなって行くことが 予想 される。 探索範囲 同一ネット Zotob あり 探索形態 ランダム 探索型 アドレスブロック 探索比率加味 スイープ 探索型 CodeRed, Nimda Sasser なし MS Blaster Slammer 限定なし グローバル C.1∼C.6参照 C.1∼C.6参照 © Hitachi Incident Resposen Team. 2006. 30 2.2 ネットワークワーム/ボット対応 ネットワークワーム出現までの過程:Sasser 脆弱性の 脆弱性ならびに修正 攻撃検証 発見 プログラムの公開 コードの公開 ネットワーク ワームの出現 脆弱性対策活動 準備 警戒 予兆 インシデント対応活動 対処 監視 収束 ▲2003年10月8日: eEye Digital Security 「LSASS の脆弱性」を確認 ▲ 2004年4月14日: マイクロソフト 2004 年 4 月修正プログラム提供開始 ▲2004年4月17日: 攻撃検証コードの公開 Billybastard.c ▲2004年4月26日: 攻撃検証コードの公開 04252004.ms04011lsass.c ▲2004年4月29日: 攻撃検証コードの公開 HOD-ms04011-lsasrv-expl.c ネットワークワーム/ボット ネットワークワーム/ボット 出現までの過程 出現までの過程 ⇒脆弱性の発見 ⇒脆弱性の発見 ⇒脆弱性・修正プログラムの公開 ⇒脆弱性・修正プログラムの公開 ⇒攻撃検証コードの公開 ⇒攻撃検証コードの公開 ⇒ネットワークワーム/ボットの出現 ⇒ネットワークワーム/ボットの出現 ▲2004年4月30日: Sasser.A 攻撃検証 ▲2004年5月1日: Sasser.B コードの悪用 ▲2004年5月2日: Sasser.C ▲2004年5月3日: Sasser.D ▲2004年5月8日: Sasser.E ▲2004年5月10日: Sasser.F © Hitachi Incident Resposen Team. 2006. 31 2.2 ネットワークワーム/ボット対応 ボット出現までの過程:Graweg 脆弱性の 脆弱性ならびに修正 攻撃検証 発見 プログラムの公開 コードの公開 ボットの出現 脆弱性対策活動 準備 警戒 予兆 インシデント対応活動 対処 監視 収束 ▲: US-CERT, SANS 「Server サービスの脆弱性」を確認 ▲ 2006年8月9日: マイクロソフト 2006年8月修正プログラム提供開始 ▲2006年8月10日: 攻撃検証コードの公開 ms06-040.tgz ▲2006年8月10日: 攻撃検証コードの公開 netapi_ms06_040.pm ネットワークワーム/ボット ネットワークワーム/ボット 出現までの過程 出現までの過程 ⇒脆弱性の発見 ⇒脆弱性の発見 ⇒脆弱性・修正プログラムの公開 ⇒脆弱性・修正プログラムの公開 ⇒攻撃検証コードの公開 ⇒攻撃検証コードの公開 ⇒ネットワークワーム/ボットの出現 ⇒ネットワークワーム/ボットの出現 ▲2006年8月12日: Win32/Graweg 攻撃検証 コードの悪用 © Hitachi Incident Resposen Team. 2006. 32 2.3 インシデントオペレーションにおける6つの段階 準備段階、警戒、予兆、対処、監視、収束 準備段階 発見された脆弱性の解析をおこなうことにより、脆弱性が与える影響、脆弱性への攻撃容易性を検 討すると共に、脆弱性を悪用された場合のインシデントシナリオを想定作成する。なお、準備段階の 実施事項は、脆弱性ならびに修正プログラムの公開以降に開始しなければならない場合もある。 脆弱性の解析 脆弱性が与える影響 (DoS、任意のコード実行、権限昇格など)、脆弱性への攻撃容易性 (攻撃に必要な権 限、攻撃に利用できるネットワークサービスポート、攻撃コードへの制約有無、攻撃コードの作成難易度など) を検討することにより、攻撃検証コードの公開や脆弱性の亜種公開を警戒すべきかを判断する。 インシデントシナリオの作成 脆弱性の解析結果から、考えうる攻撃コードを想定すると共に、攻撃検証コードの公開可能性と脆弱性を悪 用した最悪シナリオ (ワーム化の可能性など) を想定する。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> Sasserの攻略対象としたMS04-011のLSASS Sasserの攻略対象としたMS04-011のLSASS (Local (Local Security Security Authority Authority Subsystem Subsystem Service) Service) の脆弱 の脆弱 性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻 性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻 度は“緊急”であった。 度は“緊急”であった。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> Grawegの攻略対象としたMS06-040のServer Grawegの攻略対象としたMS06-040のServer サービスの脆弱性は、リモートから任意のコードを実行可 サービスの脆弱性は、リモートから任意のコードを実行可 能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。 能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。 © Hitachi Incident Resposen Team. 2006. 33 2.3 準備段階 侵害形態の分類 ①攻撃対象別、②攻撃段階別、③攻撃形態別 脆弱性が与える影響、脅威や対処方法を把握するには、TCP/IPの通信層、 アプリケーションプログラム、データやユーザなどの攻撃対象毎に分類したり、 情報収集、攻撃、占領段階のように侵害活動のフェーズ毎に分類したり、 コンピュータに侵入することを必要とする侵害活動か否かの攻撃形態毎に 分類し、検討すると良い。 ①攻撃対象別 物理的な装置、TCP/IP、アプリケーション、データ、ユーザなど 対象毎に有効な攻撃手法と関連付ける。 攻撃対象 データ ソーシャル エンジニアリング攻撃 不正アクセス型ウィルス クロスサイトスクリプティング アプリケーション バッファオーバーフロー攻撃 ユーザ TCP/UDP DoS/DDoS攻撃 IP/ICMP IPアドレス偽造 データリンク 物理的な装置 パケットモニタリング 盗難 © Hitachi Incident Resposen Team. 2006. 34 2.3 準備段階 侵害形態の分類 ①攻撃対象別、②攻撃段階別、③攻撃形態別 ②攻撃段階別 「情報収集」「攻撃」「占領」の各フェーズと関連付ける。 (a) 情報収集: 攻撃対象に関する情報を得る。 情報提供サービスの利用(whois, DNS, finger, Webページなど) 探査(ホストスキャン, ポートスキャン, OS識別, 脆弱性) ソーシャルエンジニアリング など (b) 攻撃: 実際に侵入活動を行う。 パスワードの盗聴、パスワードクラッキング プログラムの仕様や実装の脆弱性への攻撃 システム設定環境不整合の悪用 マルウェア(トロイの木馬など)の利用 など 空き巣にたとえると。。。 家の物色 ドア・窓の鍵の調査 留守宅かどうかの確認 ドア・窓のこじ開け (c) 占領: 侵害の目的を実行する。 機能阻害: コンピュータやネットワークの機能を阻害する 盗み、破壊 機能破壊: コンピュータやネットワークを破壊する 機能利用: 他のコンピュータやネットワークの機能阻害、機能破壊等を行う 情報盗取: コンピュータやネットワーク上にある情報を盗取する 情報改竄: コンピュータやネットワーク上にある情報を改竄する 情報破壊: コンピュータ上にある情報を破壊する 利用行為: コンピュータやネットワークを利用する © Hitachi Incident Resposen Team. 2006. 35 2.3 準備段階 侵害形態の分類 ①攻撃対象別、②攻撃段階別、③攻撃形態別 ③攻撃形態別 3つの分類と関連付ける。 (a) 「ローカル攻撃」 vs 「リモート攻撃」 攻撃者の立場から、攻撃対象となるコンピュータへの攻撃形態を分類する。 ローカル攻撃 コンソールを使用した攻略など該当するシステムや装置を 目の前にして攻撃活動を行う。 リモート攻撃 ネットワークや他の通信手段を用いて遠隔から攻撃活動を行う。 (b) 「内部型攻撃」 vs 「外部型攻撃」 リモート攻撃の攻撃形態を細分化する。 コンピュータ内部になんらかの方法で侵入した後、攻撃活動を行う。 内部型攻撃 外部型攻撃 提供されているサービスに対して攻撃活動を行う。 攻撃者自身が正規のユーザとしてサービスを利用することを前提とし、 コンピュータ内部に侵入しなくても外部から攻撃活動の可能である。 (c) 「能動型攻撃」 vs 「受動型攻撃」 攻撃活動の引き金となる主体により分類する。 能動型攻撃 攻撃活動の引き金を制御する主体が攻撃者自身である。 =>攻撃者は攻撃活動の引き金を制御できる。 受動型攻撃 攻撃活動の引き金を制御する主体が攻撃対象となるコンピュータの利用者 =>攻撃者は攻撃活動の引き金を制御できない。 =>スピア型は、攻撃者側に引き金の制御を持たせるための手段 © Hitachi Incident Resposen Team. 2006. 36 準備段階 侵害形態の分類 ③攻撃形態別 (a) 「ローカル攻撃」vs「リモート攻撃」 2.3 分類 ローカル攻撃 コンソールを使用した攻略など該当する システムや装置を目の前にして攻撃活動を 行う。 リモート攻撃 ネットワークや他の通信手段を用いて遠隔から 攻撃活動を行う。 計算機への侵入 事例 サービス運用妨害 攻撃!! 対策 ・計算機単体のセキュリティ強化 +アカウント管理 +脆弱性対策の実施 攻撃!! ・ネットワーク系のセキュリティ強化 +ファイアウォール技術の適用 +脆弱性対策の実施 ただし、サービス不能攻撃については、 サービスを提供/利用している限り効果的な 妨害対策は難しい。 A.3,A.5,A.7参照 A.3,A.5,A.7参照 © Hitachi Incident Resposen Team. 2006. 37 準備段階 侵害形態の分類 ③攻撃形態別 (b) 「内部型攻撃」vs「外部型攻撃」 2.3 分類 事例 内部型攻撃 (計算機内部からの不正) 第1段階 (計算機への侵入) ・パスワードの盗聴 ・他の計算機や人へのなりすまし ・システム設定環境不整合の攻撃 ・プログラムの脆弱性攻撃 ・マルウェアの利用 など 第2段階 (計算機内部での不正) ・メモリ、ディスクの浪費 ・マルウェアの稼動 ・他の計算機侵入のための踏み台 ・管理者権限の獲得 など ①計算機への侵入 外部型攻撃 (計算機外部からの不正) サービス運用妨害 (DoS: Denial of Service) ・大量のデータ(IPパケット、電子メールなど) の送付 ・大きなデータ(電子メールなど)の送付 ・誤動作または、通信障害を引き 起こす不正なパケットの送付 など ①サービス運用妨害 ③攻撃!! ②計算機内部での不正 データ削除 ②攻撃!! 他の計算機への侵入 対策 ・ファイアウォール技術の適用 ・脆弱性対策の実施 ・サービスを提供/利用している 限り効果的な妨害対策は難しい。 © Hitachi Incident Resposen Team. 2006. 38 準備段階 侵害形態の分類 ③攻撃形態別 (c) 「能動型攻撃」vs「受動型攻撃」 2.3 分類 能動型攻撃 ・パスワードの盗聴による他人へのなりすまし ・サーバのセキュリティホールの攻撃 ・サーバのシステム設定環境不整合の攻撃 など ①計算機への侵入 事例 ②攻撃!! ①サービス運用妨害 ②攻撃!! 攻撃者の試みた攻略が成功した =攻撃活動の活性化 対策 サーバでのセキュリティ対策 ・ファイアウォール技術の適用 ・脆弱性対策の実施 受動型攻撃 人手の介在を必要とするマルウェア ・Melissa, LoveLetter などのマルウェア 人手の介在を必要としないマルウェア ・Nimda などのマルウェア ・CERT Advisory CA-2001-06, CA-2000-16, CA-2000-14, CA-2000-12 などの脆弱性を 攻撃するマルウェア ②実行 ①マルウェアの受信 (メール添付ファイル) ③攻撃!! メール添付ファイルを ユーザが実行すると 攻撃活動が活性化してしまう。 実行しないと活性化しない。 クライアントでのセキュリティ対策 ・脆弱性対策の実施 ・ウイルス対策 ・ユーザ教育 A.7参照 A.7参照 © Hitachi Incident Resposen Team. 2006. 39 2.4 インシデントオペレーションにおける6つの段階 準備、警戒段階、予兆、対処、監視、収束 警戒段階 修正プログラムの実機検証をおこなうと共に、脆弱性公開に伴う各組織の対応を把握することに より、現時点でとりうる脆弱性の対策を判断する。 修正プログラムの実機検証 修正プログラムによる脆弱性除去の実機検証、修正プログラムに伴う不具合状況確認を通して、現時点 でとりうる脆弱性の修正あるいは脆弱性の回避策を再確認する。 修正プログラムの適用とその適用状況把握 修正プログラムの適用による脆弱性除去の推進と共に、修正プログラムの適用状況を把握する。 各組織の対応の把握 警戒段階において調査対象となる情報を幅広く調査し、動向を把握する。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム( MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム(LSASS) LSASS)の脆弱性対策に関 の脆弱性対策に関 する注意喚起がなされた。 する注意喚起がなされた。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策 MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策 に関する注意喚起がなされた。 に関する注意喚起がなされた。 © Hitachi Incident Resposen Team. 2006. 40 2.4 警戒段階 警戒段階において調査対象となる情報 分類 脆弱性情報 脅威レベル情報 脆弱性検査 ツール情報 情報源 US-CERT Vulnerability Notes Database、 SecurityFocus Vulnerability Database、 X-Force Database、BugTraq、Full-Disclosure など ALERTCON、ThreatCon など マイクロソフト、eEye Digital Security、 ISS、Foundstone など 定点観測情報 @police、ISDAS(JPCERT/CC)、Dshield(SANS) など アラート情報 JPCERT/CC、IPA、官公庁、セキュリティベンダなどが 発行する注意喚起など メディア情報 ニュース記事、解説など A.1∼A.8参照 A.1∼A.8参照 © Hitachi Incident Resposen Team. 2006. 41 2.4 警戒段階 警戒段階において調査対象となる情報 <Grawegの場合の対応状況> 日時 (JST) 警戒 段階 予兆 段階 2006-08-09 マイクロソフト MS06-AUG: 2006 年 8 月のセキュリティ情報 2006-08-09 Department of Homeland Security DHS Recommends Security Patch to Protect Against a Vulnerability Found In Windows Operating Systems 2006-08-09 05:00 ISS AlertCon (1) => (2) 2006-08-09 06:07 US-CERT TA06-220A: Microsoft Products Contain Multiple Vulnerabilities 2006-08-09 06:27 @police @police-マイクロソフト社のセキュリティ修正プログラムについて(MS06-040, 041, 042, 043, 044, 045, 046, 047, 048, 049, 050, 051)(8/9) 2006-08-09 11:38 JPCERT/CC JPCERT-AT-2006-0011: Microsoft 製品に含まれる脆弱性に関する注意喚起 2006-08-10 15:19 eEye Digital Security Retina MS06-040 NetApi32 Scanner 脆弱性 (CVE-2006-3439,MS06-040) 検査ツールリリース 2006-08-10 15:53 IPA/ISEC Microsoft Windows の Serverサービスの脆弱性(MS06-040)について 2006-08-10 16:57 Full-disclosure RE: [Full-disclosure] Exploit for MS06-040 Out? 脆弱性 (CVE-2006-3439,MS06-040) 検証コードに関する報告 2006-08-11 00:48 NISCC 20060810-00546: Exploit for MS06-040 (vulnerability in the Server service) publicly available 2006-08-12 05:57 2006-08-12 対処 段階 内容 2006-08-14 12:42 2006-08-15 02:48 マイクロソフト マイクロソフト セキュリティ アドバイザリ (922437) Server サービスに影響を及ぼす公開された悪用コードについて報告 マカフィー IRC-Mocbot!MS06-040 シマンテック W32.Wargbot トレンドマイクロ WORM_IRCBOT.JK, WORM_IRCBOT.JL マイクロソフト マイクロソフト セキュリティ アドバイザリ (922437) Win32/Graweg に関する情報を追加 SANS MS06-040: BOLO -- Be On the LookOut 脆弱性 (CVE-2006-3439,MS06-040) の探索活動について報告 B1,B2,B.3参照 B1,B2,B.3参照 © Hitachi Incident Resposen Team. 2006. 42 2005/06/19_00:30 2005/07/20_00:30 2005/08/19_00:30 2005/09/18_00:30 2005/10/18_00:30 2005/11/18_00:30 2005/12/18_00:30 2006/01/17_00:30 2006/02/17_12:30 2006/03/19_12:30 2005/06/19_00:30 2005/07/20_00:30 2005/08/19_00:30 2005/09/18_00:30 2005/10/18_00:30 2005/11/18_00:30 2005/12/18_00:30 2006/01/17_00:30 2006/02/17_12:30 2006/03/19_12:30 2005/03/19_12:30 2005/02/17_00:30 2005/01/18_00:30 2004/12/18_12:30 2004/11/18_12:30 2004/10/19_00:30 2004/09/18_12:30 2004/08/19_12:30 2004/07/20_12:30 2004/06/17_12:30 2004/05/18_12:30 2004/04/10_00:30 2004/03/11_00:30 2004/02/10_00:30 2004/01/11_00:30 2003/12/12_00:30 2003/11/12_12:30 2003/10/13_12:30 2003/09/13_12:30 2003/08/14_00:30 2003/07/15_00:30 2003/06/14_12:10 2003/05/14_00:10 2003/04/14_00:10 2003/03/14_12:10 2005/05/20_00:30 http://www.symantec.com/avcenter/threatcon/learnabout.html 2005/05/20_00:30 1 2005/04/19_00:30 2 2005/04/19_00:30 2005/03/19_12:30 2005/02/17_00:30 2005/01/18_00:30 2004/12/18_12:30 2004/11/18_12:30 2004/10/19_00:30 2004/09/18_12:30 2004/08/19_12:30 2004/07/20_12:30 2004/06/17_12:30 2004/05/18_12:30 2004/04/10_00:30 2004/03/11_00:30 2004/02/10_00:30 2004/01/11_00:30 2003/12/12_00:30 2003/11/12_12:30 2003/10/13_12:30 2003/09/13_12:30 2003/08/14_00:30 2003/07/15_00:30 2003/06/14_12:10 2003/05/14_00:10 2003/04/14_00:10 0 2003/03/14_12:10 3 2003/02/12_01:20 4 2003/02/12_01:20 2.4 警戒段階 脅威レベル情報:ALERTCON、ThreatCon <Sasserの場合の対応状況> 脅威レベル 4 3 2 1 0 https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp B.4,B.5参照 B.4,B.5参照 © Hitachi Incident Resposen Team. 2006. 43 2.4 警戒段階 脅威レベル情報:ALERTCON、ThreatCon <Grawegの場合の対応状況> 脅威レベル http://isc.sans.org/infocon.html http://www.frsirt.com/english/ http://www.symantec.com/avcenter/threatcon/learnabout.html https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp B.3,B.4,B.5参照 B.3,B.4,B.5参照 © Hitachi Incident Resposen Team. 2006. 44 2.5 インシデントオペレーションにおける6つの段階 準備、警戒、予兆段階、対処、監視、収束 予兆段階 攻撃検証コードの公開を監視する期間であり、攻撃検証コードが公開された場合には、攻撃検 証コードの解析により、実際に発生する影響 (DoS、任意のコード実行、権限昇格など)、動作適 用範囲 (OS、言語、バージョンやサービスパック依存性など) と転用の可能性 (インシデントシナ リオの修正) を検討すると共に、脆弱性への攻撃容易性を再検討する。 攻撃検証コードを利用したセキュリティ侵害を検出するために、攻撃検証コードを検出可能なウ イルス定義ファイルの作成/更新ならびに、侵入検知用シグニチャの作成/更新をおこなう。こ れにより、対処段階において、侵害活動の影響範囲などを判断する際の材料となる観測データ の収集を実施する。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> 予兆段階において、MS04-011のPCT 予兆段階において、MS04-011のPCT (Private (Private Communications Communications Transport) Transport) の脆弱性に関する攻撃検 の脆弱性に関する攻撃検 証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の 証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の 攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同で 攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同で Windowsシステム脆弱性対策に関する注意喚起を発行した。 Windowsシステム脆弱性対策に関する注意喚起を発行した。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。 マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。 © Hitachi Incident Resposen Team. 2006. 45 2.6 インシデントオペレーションにおける6つの段階 準備、警戒、予兆、対処段階、監視、収束 対処段階 攻撃検証コードから派生した侵害活動ならびにネットワークワーム/ボットなどの出現期間であ る。侵害活動痕跡の調査ならびにネットワークワーム/ボットの挙動解析により、これら侵害活 動が与える影響、動作適用範囲 (言語依存性、サービスパックやバージョン依存性など) の確認 をおこなうと共に、侵害活動発生に伴う観測データを分析する。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> 2004年4月29日(米国時間)に 2004年4月29日(米国時間)に “houseofdabus”によって公開された攻撃検証コードを利用していた。この “houseofdabus”によって公開された攻撃検証コードを利用していた。この 攻撃検証コードは英語版とロシア語版Windows 攻撃検証コードは英語版とロシア語版Windows 2000 2000 ProfessionalとWindows ProfessionalとWindows 2000 2000 Server、そして Server、そして Windows Windows XP XP Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows 2000に対しては攻撃が失敗することと、他言語版のWindows 2000に対しては攻撃が失敗することと、他言語版のWindows 2000においても同様に攻撃は失敗する可 2000においても同様に攻撃は失敗する可 能性があることが確認された。これにより、Sasserが日本語版Windows 能性があることが確認された。これにより、Sasserが日本語版Windows 2000を介して感染拡大する可 2000を介して感染拡大する可 能性がないと判断するに至った。 能性がないと判断するに至った。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> マイクロソフトのWin32/Graweg マイクロソフトのWin32/Graweg の初期調査では、MS06-040 の初期調査では、MS06-040 の更新プログラムを適用していない の更新プログラムを適用していない Windows Windows 2000 2000 を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プ を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プ ロセス ロセス (Emergency (Emergency response response process) process) に従い、継続的にこの問題を調査。 に従い、継続的にこの問題を調査。 eEye Digital Security. "ANALYSIS: Sasser Worm" http://www.eeye.com/html/research/advisories/AD20040501.html マイクロソフト セキュリティ アドバイザリ (922437) Server サービスに影響を及ぼす公開された悪用コード http://www.microsoft.com/japan/technet/security/advisory/922437.mspx © Hitachi Incident Resposen Team. 2006. 46 2.6 対処段階 ネットワークワームの挙動解析 ネットワークワームの挙動解析 ネットワークワームの挙動解析に関する公開情報については、提供側 (ウイルス対策ベンダ、 IDS製品ベンダ、侵害活動の影響を受ける製品開発ベンダなど) の立場によって提供される情報 の有効範囲が異なり、また、対策側 (インターネットユーザ、イントラネット管理者、インターネット サイト管理者、ISPなど) の立場によって対策検討に必要とする情報が異なる。 ネットワークワームの挙動解析にあたっては、公開情報、コード解析結果と実機検証結果とを組 合せて影響、動作適用範囲を確認することが情報の確度ならびに範囲を広げる意味で有効とな る。 ネットワークワームの挙動解析のポイントとしては、次の通りである。 9 9 9 9 ネットワークワームの探索IPアドレスの選択方法 ネットワークワームが悪用する脆弱性の特徴 (OS、言語、バージョンやサービスパック依存性など) ネットワークワームが攻略に使用するネットワークサービスポート DNSへの問合せ頻度や通信トラフィック量など、ルータ、スイッチ、DNSサーバなど ネットワークインフラに与える影響 C.1∼C.6参照 C.1∼C.6参照 © Hitachi Incident Resposen Team. 2006. 47 2.6 対処段階 ネットワークワームの挙動解析 攻撃検証コードとネットワークワーム送出パケットの照合 Sasserの送出パケット TCP TCP TCP SMB SMB SMB SMB 1034 > 445 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 445 > 1034 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460 1034 > 445 [ACK] Seq=1 Ack=1 Win=17520 Len=0 Negotiate Protocol Request Negotiate Protocol Response Session Setup AndX Request, NTLMSSP_NEGOTIATE Session Setup AndX Response, NTLMSSP_CHALLENGE, Error: STATUS_MORE_PROCESSING_REQUIRED SMB Session Setup AndX Request, NTLMSSP_AUTH SMB Session Setup AndX Response SMB Tree Connect AndX Request, Path: ¥¥131.113.208.226¥ipc$ SMB Tree Connect AndX Response SMB NT Create AndX Request, Path: ¥lsarpc /* HOD-ms04011-lsasrv-expl.c: SMB NT Create AndX Response, FID: 0x4000 * * MS04011 Lsasrv.dll RPC buffer overflow remote exploit DCERPC Bind: call_id: 1 UUID: DSSETUP DCERPC Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280 * Version 0.1 coded by DSSETUP DsRoleUpgradeDownlevelServer request[Long frame (3208 bytes)] * TCP [Continuation to #34] 1034 > 445 [ACK] Seq=2352 Ack=885 Win=16636 Len=1460 * TCP [Continuation to #34] 1034 > 445 [PSH, ACK] Seq=3812 Ack=885 Win=16636 Len=400 * .::[ houseofdabus ]::. TCP 445 > 1034 [ACK] Seq=885 Ack=3812 Win=17520 Len=0 * TCP 445 > 1034 [ACK] Seq=885 Ack=4212 Win=17120 Len=0 TCP 1034 > 445 [FIN, ACK] Seq=4212 Ack=885 Win=16636 Len=0 0140 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 TCP 445 > 1034 [FIN, ACK] Seq=885 Ack=4213 Win=17120 Len=0 0150 90 90 eb 10 5a 4a 33 c9 66 b9 7d 01 80 34 0a 99 TCP 1034 > 445 [ACK] Seq=4213 Ack=886 Win=16636 Len=0 // bind shellcode 0160 e2 fa eb 05 e8 eb ff ff ff 70 95 98 99 99 c3 fd unsigned char bindshell[] = 0170 38 a9 99 99 99 12 d9 95 12 e9 85 34 12 d9 91 12 "¥xEB¥x10¥x5A¥x4A¥x33¥xC9¥x66¥xB9¥x7D¥x01¥x80¥x34¥x0A¥x99¥xE2¥xFA" 0180 41 12 ea a5 12 ed 87 e1 9a 6a 12 e7 b9 9a 62 12 "¥xEB¥x05¥xE8¥xEB¥xFF¥xFF¥xFF" 照合 : : "¥x70¥x95¥x98¥x99¥x99¥xC3¥xFD¥x38¥xA9¥x99¥x99¥x99¥x12¥xD9¥x95¥x12" "¥xE9¥x85¥x34¥x12¥xD9¥x91¥x12¥x41¥x12¥xEA¥xA5¥x12¥xED¥x87¥xE1¥x9A" "¥x6A¥x12¥xE7¥xB9¥x9A¥x62¥x12¥xD7¥x8D¥xAA¥x74¥xCF¥xCE¥xC8¥x12¥xA6" "¥x9A¥x62¥x12¥x6B¥xF3¥x97¥xC0¥x6A¥x3F¥xED¥x91¥xC0¥xC6¥x1A¥x5E¥x9D" "¥xDC¥x7B¥x70¥xC0¥xC6¥xC7¥x12¥x54¥x12¥xDF¥xBD¥x9A¥x5A¥x48¥x78¥x9A" "¥x58¥xAA¥x50¥xFF¥x12¥x91¥x12¥xDF¥x85¥x9A¥x5A¥x58¥x78¥x9B¥x9A¥x58" 攻撃検証コード © Hitachi Incident Resposen Team. 2006. 48 2.6 対処段階 観測データの分析 観測データの分析 SOC、ISP、定点観測などでのネットワークワーム/ボットの検知状況に基づき、影響範囲の確 認、感染拡大の危険性を検討する。なお、観測データを分析する際には、国内とワールドワイド での検知数の弁別、観測データの観測箇所 (観測IPアドレス範囲、観測箇所数) と観測方法 (ファ イアウォール、IDSなど) による依存性を加味し、複数の状況を確認して局所的な現象か全体的 な現象か、パケットや検体解析と関連付けた検知推移の判断をおこなう必要がある。 <Sasserの場合:WORM_SASSER.A> Distributed Intrusion Detection System http://www.dshield.org/ Trend Micro http://wtc.trendmicro.com/ B2,B3,B4参照 B2,B3,B4参照 © Hitachi Incident Resposen Team. 2006. 49 対処段階 観測データの分析 <Grawegの場合:WORM_IRCBOT.JK> SANS: MS06-040: BOLO -- Be On the LookOut http://isc.sans.org/diary.php?storyid=1597 2.6 Over the weekend there was a botnet doing fairly wide scale scanning for hosts affected by the vulnerabilities in the MS06-040 advisory. LURHQ: MS06-040 Exploit: More Hype Than Threat http://www.lurhq.com/ms06040exploit.html Based on the current numbers of IP addresses on the Internet scanning for TCP port 445 (presumably vulnerable and infected with some other worm), shown in the graph below, we'd say the total number of worldwide infections of such a worm would be on the order of 20,000 to 50,000. Zotob at its peak was probably 100,000 to 200,000, based on DShield data. 侵害活動の 被害も見えに くくなっている。 © Hitachi Incident Resposen Team. 2006. 50 2.7 インシデントオペレーションにおける6つの段階 準備、警戒、予兆、対処、監視段階、収束 監視段階 ネットワークワーム/ボットの亜種出現の兆候に関する監視強化、観測データの状況推移に関 する監視強化をおこなう。また、急速な被害拡大を防止するための機能やシステムの稼動確認 をおこない、緊急時に備えた体制を準備する。 ネットワークワームの亜種は、動作不良の解決、動作適用範囲の拡大、機能拡張などがおこな われている場合もあるため、亜種出現時には対処段階と同様、ネットワークワームの挙動解析を おこなう必要がある。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> 2004年4月30日のSasser.Aに続き、Sasser.B 2004年4月30日のSasser.Aに続き、Sasser.B (5月1日)、Sasser.C (5月1日)、Sasser.C (5月2日)、Sasser.D (5月2日)、Sasser.D (5月3日)、 (5月3日)、 Sasser.E Sasser.E (5月8日)、Sasser.F (5月8日)、Sasser.F (5月10日) (5月10日) と亜種の出現が続いた。いずれも、“houseofdabus”によって と亜種の出現が続いた。いずれも、“houseofdabus”によって 公開された攻撃検証コードをベースとしていた。 公開された攻撃検証コードをベースとしていた。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> 侵害活動ならびにその被害も見えにくくなっている。 侵害活動ならびにその被害も見えにくくなっている。 いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。 いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。 =>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。 =>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。 Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを 含む 含む 8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。 8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。 © Hitachi Incident Resposen Team. 2006. 51 2.8 インシデントオペレーションにおける6つの段階 準備、警戒、予兆、対処、監視、収束段階 収束段階 ネットワークワームの出現に伴い実施した一連の活動内容を関連組織間で整理し、課題を確認 し、その結果を次回以降のインシデントオペレーションにフィードバックする。 <Sasserの場合の対応状況> <Sasserの場合の対応状況> 2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F 2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F (5月10 (5月10 日) 日) の亜種の出現後にほぼ収束した。 の亜種の出現後にほぼ収束した。 <Grawegの場合の対応状況> <Grawegの場合の対応状況> 侵害活動ならびにその被害も見えにくくなっている。 侵害活動ならびにその被害も見えにくくなっている。 =>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。 =>今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。 脆弱性対策活動における注意喚起の工夫 脆弱性対策活動における注意喚起の工夫 脆弱性対策管理の改善など 脆弱性対策管理の改善など © Hitachi Incident Resposen Team. 2006. 52 Ending インシデントは、予兆や被害が表面化しない新たな フェーズに入っています。このような新たな脅威に対 しても、各組織が保有する観測機能、状況分析機能 ならびに対処機能を連携させることによって問題事 象の解決を図ることができると考えています。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. 項目 2003年∼2005年 インシデントオペレーション 2006年以降 組織相互連携オペレーション インターネットの利用度 (依存度) 社会インフラ 同左 代表的なインシデント インシデント発生に伴う影響 インシデントの予測 ならびに 予防の対処体制 (警戒、予兆、対処) インシデント発生後の 対処体制 (対処、監視、収束) インシデント対処の考え方 電子メール型ワーム ネットワークワーム DDoS攻撃 悪性スパム フィッシング 均一的かつ広範囲に渡る被害 各種業務等全般に関わるため 経済活動への影響大 類似した局所的な被害 各種業務等全般に関わるため 経済活動への影響大 (予兆や被 害が見えにくくなる傾向大) 予兆に基づく 単独組織での対応 複数組織で局所的な予兆を 共有しながら対応 複数組織の協力により均一的か つ 広範囲に渡る被害に対応 複数組織の協力により類似した 局所的な被害を大局的な被害 として捕らえ対応 インシデントに伴う被害を予測なら びに予防し、インシデント発生後 は被害の拡大を低減する対応 組織相互連携を用いてインシデン トに伴う被害を予測ならびに予防 し、インシデント発生後は被害の 拡大を低減する対応 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. JVN関連研究サイトのご紹介 http://jvnrss.ise.chuo-u.ac.jp/jtg/ 2006年6月30日、情報共有に関する研究活動の一環として、 JVNRSS (JP Vendor Status Notes RSS) の利活用と普及促進 を目的とした研究サイトを立ち上げました。 ご意見など頂ければ幸いです。 ¾ CVE+: CVE 番号に対応する国内のセキュリティ情報一覧の作成 ¾ TRnotes: Status Tracking Notes の JVNRSS 化 ¾ XSL_swf: XSL を用いた JVNRSS 表示ツールの緊急度表記 ¾ RSS_dir: JVNRSS チャンネルのためのチャンネル ¾ SIG_rdf: JVNRSS への署名と検証 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. 付録A. 脆弱性対策情報の提供サイト 脆弱性対策活動を推進する際の参考となるサイトを紹介し ます。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. A.1 対策のための情報収集 ①脆弱性対応活動 JPCERT/CC 注意喚起ならびに緊急報告 JPCERT/CC 緊急報告 http://www.jpcert.or.jp/at/ 「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの 発生を防止するための情報」を提供 製品開発者の対応情報 JVN: JP Vendor Status Notes http://jvn.jp/ 情報セキュリティ早期警戒パートナーシップにおける対策情報ポータルサイト 製品開発者の情報公表の支援ならびに、システム導入支援者ならびにユーザへの対策情報提供を 目的としている。 CERT/CC, NISCCの発行した脆弱性対策情報の国内対応状況も提供 製品開発者の対応情報 注意喚起・緊急報告 概要 影響範囲 製品開発者情報 製品開発者リスト 株式会社○○ 該当製品あり ××ソリューション 該当製品なし © Hitachi Incident Resposen Team. 2006. 57 A.1 対策のための情報収集 ①脆弱性対応活動 JPCERT/CC: JP Vendor Status Notes 報告された脆弱性に関して、「脆弱性の影響を受け 報告された脆弱性に関して、「脆弱性の影響を受け る製品は?」「その製品開発者の対策情報?」という る製品は?」「その製品開発者の対策情報?」という 脆弱性対策情報 脆弱性対策情報 提供情報(ステータス) 提供情報(ステータス) 該当製品あり 該当製品あり 脆弱性該当製品がある場合 脆弱性該当製品がある場合 該当製品あり:調査中 該当製品あり:調査中 脆弱性該当製品があり、継続して製品の調査 脆弱性該当製品があり、継続して製品の調査 を行っている場合 を行っている場合 該当製品なし 該当製品なし 脆弱性該当製品がない場合 脆弱性該当製品がない場合 該当製品なし:調査中 該当製品なし:調査中 脆弱性該当製品は見つかっていないが、継続 脆弱性該当製品は見つかっていないが、継続 して製品の調査を行っている場合 して製品の調査を行っている場合 不明 不明 脆弱性に関する対応状況の連絡がない場合 脆弱性に関する対応状況の連絡がない場合 © Hitachi Incident Resposen Team. 2006. 58 A.2 対策のための情報収集 ①脆弱性対応活動 CERT/CC (≒US-CERT) 注意喚起ならびに緊急報告 US-CERT Technical Cyber Security Alert http://www.us-cert.gov/cas/techalerts 「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの 発生を防止するための情報」を提供 製品開発者の対応情報 US-CERT Vulnerability Notes DB 脆弱性ならびにその対策に関する詳細と製品開発者の対応情報を提供 http://www.kb.cert.org/vuls/ 週単位のサマリ情報 US-CERT Cyber Security Bulletins 脆弱性、攻略コード、ウイルスなどの公表状況を提供 http://www.us-cert.gov/cas/bulletins/ US-CERT Vulnerability Notes DB US-CERT Technical Cyber Security Alert 概要 影響範囲 製品開発者情報 製品開発者リスト 株式会社○○ 該当製品あり ××ソリューション 該当製品なし © Hitachi Incident Resposen Team. 2006. 59 A.2 対策のための情報収集 ①脆弱性対応活動 CERT/CC (=US-CERT): Vulnerability Note VU#はVulnerability VU#はVulnerability Note Note の略称として広く利用され の略称として広く利用され ている。 ている。 VU#652278 VU#652278 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 Other Other Informationにおいて、CERT/CCにおいて判 Informationにおいて、CERT/CCにおいて判 定した脆弱性の深刻度「Metric」を提供している。数 定した脆弱性の深刻度「Metric」を提供している。数 値が 値が 40 40 以上の場合、CERT 以上の場合、CERT Advisoryの候補対象と Advisoryの候補対象と している。 している。 © Hitachi Incident Resposen Team. 2006. 60 A.2 対策のための情報収集 ①脆弱性対応活動 CERT/CC (=US-CERT): Vulnerability Note VU#で提供する脆弱性の深刻度: VU#で提供する脆弱性の深刻度: Metric Metric 脆弱性の深刻度に対して 脆弱性の深刻度に対して “metric” “metric” をいう をいう 00 ∼ ∼ 180 180 の数値を割当てており、以下のような指針に基づい の数値を割当てており、以下のような指針に基づい て算出している。 て算出している。 脆弱性に関する情報は広く知られているものか? 脆弱性への攻撃は、CERT/CC にインシデントとし て報告されているものか? 脆弱性は、インターネット全体を脅威に陥れるような ものか? インターネット上のどのくらいのシステムが、脆弱性 の影響を受けるか? 脆弱性への攻撃に伴う影響は、どのようなものか? 脆弱性への攻撃の容易さは、どの程度か? 脆弱性を攻撃するにあたり必要とされる前提条件と はどのようなものか? あくまでも、深刻な脆弱性なのか、それとも軽微な脆 あくまでも、深刻な脆弱性なのか、それとも軽微な脆 弱性なのかを区別するための目安となる数値であり、 弱性なのかを区別するための目安となる数値であり、 metric metric 値と深刻度は比例はしていない 値と深刻度は比例はしていない (指針の重付 (指針の重付 けは同一ではないため)。例えば、metric値が40だか けは同一ではないため)。例えば、metric値が40だか らといって、metric値20の2倍の深刻度であるという らといって、metric値20の2倍の深刻度であるという わけではない。 わけではない。 US-CERT Vulnerability Note Field Descriptions https://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/html/fieldhelp#metric © Hitachi Incident Resposen Team. 2006. 61 A.3 対策のための情報収集 ①脆弱性対応活動 SecurityFocus: Bubtraq Vulnerabilities Information bidは、bugtraq bidは、bugtraq id id の略称として広く利用されている。 の略称として広く利用されている。 bid9182 bid9182 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 Remote Remote 脆弱性は、ネットワークや他の通信手段を用いてリモー 脆弱性は、ネットワークや他の通信手段を用いてリモー トから攻略することのできる脆弱性である。 トから攻略することのできる脆弱性である。 (受動態攻撃も含まれる場合があるので注意要) (受動態攻撃も含まれる場合があるので注意要) Local Local コンソールなどを使用することにより攻略することの コンソールなどを使用することにより攻略することの できる脆弱性 できる脆弱性 下記脆弱性関連情報を提供 下記脆弱性関連情報を提供 +概要(info) +概要(info) +解説(discussion) +解説(discussion) +脆弱性の攻略に関する情報(exploit) +脆弱性の攻略に関する情報(exploit) +対策情報(solution) +対策情報(solution) +謝辞(credit) +謝辞(credit) Bubtraq Vulnerablities Information http://www.securityfocus.com/bid/ © Hitachi Incident Resposen Team. 2006. 62 A.3 対策のための情報収集 ①脆弱性対応活動 SecurityFocus: Bubtraq Vulnerabilities Information Class Class (脆弱性の分類) (脆弱性の分類) Boundary Boundary Condition Condition Error Error (境界条件エラー) (境界条件エラー) Access Access Validation Validation Error Error (不正アクセスエラー) (不正アクセスエラー) Input Input Validation Validation Error Error (不正入力エラー) (不正入力エラー) Origin Origin Validation Validation Error Error (不正発信元エラー) (不正発信元エラー) Failure Failure to to Handle Handle Exceptional Exceptional Conditions Conditions (例外条件エラー) (例外条件エラー) Race Race Condition Condition Errors Errors (競合条件によるエラー) (競合条件によるエラー) Serialization Serialization Errors Errors (連続性によるエラー) (連続性によるエラー) Atomicity Atomicity Errors Errors (原子性によるエラー) (原子性によるエラー) Environment Environment Errors Errors (環境によるエラー) (環境によるエラー) Configuration Errors Configuration Errors (設定によるエラー) (設定によるエラー) セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発 http://www.ipa.go.jp/security/fy12/contents/crack/policy/format_def.pdf © Hitachi Incident Resposen Team. 2006. 63 A.4 対策のための情報収集 ①脆弱性対応活動 ISS: X-Force Database XFは、X-Force XFは、X-Force Database Database id id の略称として広く利用 の略称として広く利用 されている。 されている。 XF13935 XF13935 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 下記脆弱性関連情報を提供 下記脆弱性関連情報を提供 +概要(Description) +概要(Description) +影響(Platforms +影響(Platforms Affected) Affected) +対策(Remedy) +対策(Remedy) +参考情報(References) +参考情報(References) +標準となる参考情報 +標準となる参考情報 (Standards (Standards associated associated with with this this entry) entry) ISS X-Force Database http://xforce.iss.net/ © Hitachi Incident Resposen Team. 2006. 64 A.4 対策のための情報収集 ①脆弱性対応活動 ISS: X-Force Database Severity(深刻度) Severity(深刻度) 評価 定義 ● 高 (High) 特権アクセスやファイアーウォールの回避などへつながり,攻撃 者にホストへ直接的に侵入する手段を与えてしまう脆弱性 例) 侵 入者にメールサーバ上でのコマンド実行を許してしまう, Sendmail 8.6.5 の脆弱性 ● 中 (Medium) 不正なシステムアクセスにつながる高い可能性をもつ情報を,攻 撃者に与えてしまう脆弱性 例) アカウントパスワードの推測に継がるパスワードファイルの入 手を,侵入者へ許してしまうTFTPの誤設定やNISサーバの脆弱 性 ● 低 (Low) 不正なシステムアクセスにつながる高い可能性をもつ情報を,攻 撃者に与えてしまう脆弱性 例) オンラインであるアカウントを示し, ブルートフォース攻撃(総 当り攻撃)により パスワードを破りを行う潜在的なアカウントを 攻 撃者に伝えてしまう,fingerコマンド © Hitachi Incident Resposen Team. 2006. 65 A.5 対策のための情報収集 ①脆弱性対応活動 Secunia: Advisory SA10395 SA10395 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 Where(侵害可能形態) Where(侵害可能形態) Local Local system system From From local local network network From From remote remote Criticality(重要度/深刻度) Criticality(重要度/深刻度) Extremely Extremely Critical Critical Highly Highly Critical Critical Moderately Moderately Critical Critical Less Less Critical Critical Not Critical Not Critical Secunia http://secunia.com/ About Secunia Advisories http://secunia.com/about_secunia_advisories/ © Hitachi Incident Resposen Team. 2006. 66 A.6 対策のための情報収集 ①脆弱性対応活動 脆弱性関連情報同士のつながり CAN-2003-1025:<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱 性であり、phishing に利用(ドメイン名の詐称)される可能性がある。 CERT/CC Microsoft TA04-033A CERT/CC MS04-004 CVE VU#784102 CAN-2003-1026 Travel Log のクロス ドメインの脆弱性 VU#413886 CAN-2003-1027 関数ポインタのドラッグ アンド ドロップ操作の脆弱性 VU#652278 CAN-2003-1025 不適切な URL の正規化の脆弱性 Secunia SA10395 JVNTA04-033A JVN SecurityFocus BID-9182 ISS X-force ie-domain-url-spoofing (13935) © Hitachi Incident Resposen Team. 2006. 67 A.6 対策のための情報収集 ①脆弱性対応活動 CVE: Common Vulnerabilities and Exposures CAN-2003-1025 CAN-2003-1025 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 脆弱性に対して一意の識別子を付与する。 脆弱性に対して一意の識別子を付与する。 Ex. Ex. CAN-2003-1025 CAN-2003-1025 脆弱性情報同士を関連付けをおこなう。 脆弱性情報同士を関連付けをおこなう。 識別子で付与した脆弱性について 識別子で付与した脆弱性について 取り扱っている情報源をポイントする。 取り扱っている情報源をポイントする。 Ex. Ex. VU#652278, VU#652278, MS04-004, MS04-004, XF13935 XF13935 など など Common Vulnerabilities and Exposures http://cve.mitre.org/ © Hitachi Incident Resposen Team. 2006. 68 A.6 対策のための情報収集 ①脆弱性対応活動 CVE: Common Vulnerabilities and Exposures 脆弱性に対して一意の識別子を付与することで、脆弱性情報同士の関連付けを行う。 付与される識別子は、“CVE−西暦−連番” or “CAN−西暦−連番” から構成される。 脆弱性の一意の識別子である CVE は、cve.mitre.org で管理されており、以下のような過程 を経て識別子の付与 (The CVE Naming Process) が行われている。 脆弱性の発見: 脆弱性が発見された、脆弱性が公開されたという情報の確認を行う。また、脆弱性 (Vulnerability)を、“Universal Vulnerabilitiy(攻撃者により発生しうる脅威を最小限とするために適用 している一般的なセキュリティポリシーを侵害するような脆弱性)”, “Exposure(個別のセキュリティポリ シーを侵害するような脆弱性)” の 2 種類にわけ、定義付けをする。 脆弱性に対する識別子候補の割当て: CVE Editorial Board において、脆弱性に対する識別子の割 当て要否を決定する。割当てが必要と判断した場合には、Candidate Numbering Authority におい て割当る。ただし、割当てられる識別子は識別子候補であり、CVE Candidate Number と呼ばれ、 CAN-2002-1142 の形式をとる。 脆弱性の判定: CVE Editorial Board において、CVE Candidate Number を割当てた脆弱性を、 CVE として発行するか否かを検討する。 CVE の発行: CVE として発行すると決定した識別子候補 (CAN-yyyy-nnnn) に識別子 (CVE-yyyynnnn) を割り当てる。例えば、CVE-1999-1011 のように、プレフィックとして CVE が割当てられる。 ただし、2005/10/19より識別子の付与方式が変更され、新規で付与される識別子のプレフィックとして CANではなく、最初からCVEが割り当てられる。ステータスが「Candidate」から「Entry」に変更される のみ。(CANが割り当てられている過去の脆弱性は、CAN→CVEに変更される。) The CVE Naming Process http://cve.mitre.org/docs/docs2000/naming_process.html © Hitachi Incident Resposen Team. 2006. 69 A.7 対策のための情報収集 ①脆弱性対応活動 NVD: National Vulnerability Database Severity(深刻度) Severity(深刻度) 評価 定義 ● 高 (High) リモートの攻撃者にシステムを侵害されてしまう(特権や管理者権 限の取得)。ローカルの攻撃者にシステムを完全に制御されてし まう。脆弱性が CERT アドバイザリに取り上げられている。 ● 中 (Medium) High, Low のいずれにも当てはまらない脆弱性 ● 低 (Low) 重要な情報の漏えいあるいは、システム制御権限の略奪などを 伴わないが、脆弱性を見つけ出したり、攻撃するための手段を与 えてしまう。 CAN-2003-1025 CAN-2003-1025 <userinfo>@<host>:<port>の形式のURLを適切に <userinfo>@<host>:<port>の形式のURLを適切に 表示しない脆弱性であり、phishing 表示しない脆弱性であり、phishing に利用(ドメイン に利用(ドメイン 名の詐称)される可能性がある。 名の詐称)される可能性がある。 Range(侵害可能形態) Range(侵害可能形態) Remotely Remotely exploitable exploitable Locally Locally exploitable exploitable Victim Victim must must access access attacker's attacker's resource resource National Vulnerability Database http://nvd.nist.gov/ Impact Impact Type(影響) Type(影響) Allows Allows disruption disruption of of service service Allows Allows unauthorized unauthorized disclosure disclosure of of information information Allows Allows unauthorized unauthorized modification modification Provides Provides unauthorized unauthorized access access © Hitachi Incident Resposen Team. 2006. 70 A.7 対策のための情報収集 ①脆弱性対応活動 NVD: National Vulnerability Database Vulnerability Vulnerability Type Type (脆弱性の分類) (脆弱性の分類) Input Input Validation Validation Error Error (不正入力エラー) (不正入力エラー) Access Access Validation Validation Error Error (不正アクセスエラー) (不正アクセスエラー) Exceptional Exceptional Conditions Conditions Error Error (例外条件エラー) (例外条件エラー) Environment Environment Errors Errors (環境によるエラー) (環境によるエラー) Configuration Error (設定によるエラー) Configuration Error (設定によるエラー) Race Race Condition Condition Error Error (競合条件によるエラー) (競合条件によるエラー) Design Design Error Error (設計に関わるエラー) (設計に関わるエラー) Boundary Boundary Condition Condition Error Error (境界条件エラー) (境界条件エラー) Other Other Error Error © Hitachi Incident Resposen Team. 2006. 71 A.7 対策のための情報収集 ①脆弱性対応活動 脆弱性の深刻度: CVSS (Common Vulnerability Scoring System) 脆弱性の深刻度評価を標準化するレーティングシステムの試み 分類 Base Metrics 脆弱性問題そのものの性 質により決まるスコア Temporal Metrics 脆弱 性情報の公開、Exploitの 公開など日々変化する状 況によって決まるスコア Environmental Metrics サイトに起因するスコア 評価項目 加点 Access Vector ローカル/リモート local: 0.7 remote: 1.0 Access Complexity 脆弱性攻略の容易さ high: 0.8 low: 1.0 Authentication 攻略に伴う認証の要不要 required: 0.6 not-required: 1.0 Confidentially Impact 秘匿性が脅かされる none: 0 partial: 0.7 complete: 1.0 Integrity Impact 完全性が脅かされる none: 0 partial: 0.7 complete: 1.0 Availability Impact 可用性が脅かされる none: 0 partial: 0.7 complete: 1.0 Impact Bias 秘匿性/完全性/可用性への影響度 Exploitability 攻略コードの存在可能性 Remediation Level パッチの公開状況 Report Confidence レポートの信頼度 Collateral Damage Potential 他システムへの拡散・影響度 Target Distribution 該当製品の普及度 normal: 0.333 CNFDNTLTY: 0.5 INTGRTY: 0.25 AVLBLTY: 0.25 unproven: 0.85 proof-of-concept: 0.9 functional: 0.95 high: 1.00 official-fix: 0.87 temporary-fix: 0.90 workaround: 0.95 unavail: 1.00 unconfirmed: 0.90 uncorroborated: 0.95 confirmed: 1.00 none: 0 low: 0.1 medium: 0.3 high: 0.5 none: 0 low: 0.25 medium: 0.75 high: 1.00 The Common Vulnerability Scoring System http://www.first.org/cvss/ © Hitachi Incident Resposen Team. 2006. 72 A.7 対策のための情報収集 ①脆弱性対応活動 脆弱性の深刻度: CVSS (Common Vulnerability Scoring System) Temporal Metrics 脆弱性情報の公開、 Exploitの公開など日々 変化する状況によって 決まるスコア Base Metrics 脆弱性問題そのものの性 質により決まるスコア Environmental Metrics サイトに起因するスコ ア © Hitachi Incident Resposen Team. 2006. 73 A.8 対策のための情報収集 ①脆弱性対応活動 脆弱性の深刻度: SANS 以下のような指針に重み付けをして 4 段階評価(Critical, High, Moderate, Low)を行っている。 脆弱性の影響を受ける製品は、広く利用されているものですか? サーバあるいはクライアントのいずれに影響を与えるものですか? 権限のレベルは? 重要なシステム(データベース,Eコマースサーバなど)が影響を受けますか? ネットワークインフラ(DNS,ルータ,ファイアウォールなど)が影響を受けますか? 脆弱性の攻略コードは公開されていますか? 脆弱性への攻撃の容易さは、どの程度ですか(リモートorローカルのいずれか 認証は必要か 物理的なアクセスは必要か)? 脆弱性の攻略を考える攻撃者にとって、どの程度の価値があるものですか? 脆弱性性に関する技術詳細情報がありますか? 攻略にあたりソシアルエンジニアリング(リンクのクリック,サイト訪問,サーバへの接続作業など をユーザに強要する)を必要としますか? 脆弱性の攻略活動は活発ですか? About the CVA Process and CVA Priority Ratings http://www.sans.org/newsletters/cva/ © Hitachi Incident Resposen Team. 2006. 74 A.8 対策のための情報収集 ①脆弱性対応活動 脆弱性の深刻度: SANS 評価 定義 対応時間の指標 ● 緊急 (Critical) 広く利用されているソフトウェア(デフォルト設定)に影響を与える脆弱性で、サー バあるはインフラ機器の管理者権限の取得につながる。 脆弱性を攻略するための情報(例えば攻略コード)が広く知れ渡っている。 脆弱性そのものの攻略が簡単である(認証が不要、攻略対象に関する予備知識 が不要、ソシアルエンジニアリングを用いたユーザへの操作強要が不要など) 48 時間 ● 高 (High) 脆弱性は「緊急」になる可能性を持っているが、攻略活動を活発化させない要 因を持っている。例えば、「緊急」相当の特徴を持つが、アクセス権限の昇格を 引き起こすことが難しかったり、攻略対象範囲が限定されてしまう脆弱性が該当 する。 5日 (business days) ● 中 (Moderate) 攻略対象への侵害を伴わない、DoSに関する脆弱性が該当する。 脆弱性を攻略するための前提条件がある(攻略対象と同一のネットワークに接 続している、非標準の設定を対象とする、ソシアルエンジニアリングを必要とす るなど)。 15 日 (business days) ● 低 (Low) 組織のインフラにほとんど影響を与えない脆弱性である。 ローカルユーザ権限や物理的なアクセスを必要としたり、クライアントでのプライ バシーや DoS 問題、組織体制/システム構成/バージョン/ネットワーク構成など の情報漏えいを伴う脆弱性が該当する。 管理者の判断による © Hitachi Incident Resposen Team. 2006. 75 付録B. インシデント情報提供サイト インシデント対応活動を推進する際の参考となるサイトを 紹介します。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. B.1 対策のための情報収集 ②インシデント対応活動 CERT/CC (≒US-CERT): Current Activity 注意喚起ならびに緊急報告 注意喚起ならびに緊急報告 US-CERT US-CERT Technical Technical Cyber Cyber Security Security Alert Alert http://www.us-cert.gov/cas/techalerts http://www.us-cert.gov/cas/techalerts 「深刻且つ影響範囲の広い脆弱性に関する情報」 「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの発 「インシデント報告に基づき、同種のインシデントの発 生を防止するための情報」を提供 生を防止するための情報」を提供 現時点での注目すべき情報 現時点での注目すべき情報 US-CERT US-CERT Current Current Activity Activity http://www.us-cert.gov/current/ http://www.us-cert.gov/current/ 注意すべき脆弱性、攻略コードの公開有無、侵害活 注意すべき脆弱性、攻略コードの公開有無、侵害活 動の発生有無など、現時点で注目すべきトピックスを 動の発生有無など、現時点で注目すべきトピックスを 提供 提供 US-CERT Current Activity http://www.us-cert.gov/current/ © Hitachi Incident Resposen Team. 2006. 77 B.2 対策のための情報収集 ②インシデント対応活動 JPCERT/CC: Status Tracking Notes 注意喚起ならびに緊急報告 注意喚起ならびに緊急報告 JPCERT/CC JPCERT/CC 緊急報告 緊急報告 http://www.jpcert.or.jp/at/ http://www.jpcert.or.jp/at/ 「深刻且つ影響範囲の広い脆弱性に関する情報」 「深刻且つ影響範囲の広い脆弱性に関する情報」 「インシデント報告に基づき、同種のインシデントの発 「インシデント報告に基づき、同種のインシデントの発 生を防止するための情報」を提供 生を防止するための情報」を提供 経過情報 経過情報 Status Status Tracking Tracking Notes Notes http://jvn.jp/ http://jvn.jp/ 「いつ攻略コードが公開されたのか?」「脆弱性を悪 「いつ攻略コードが公開されたのか?」「脆弱性を悪 用したインシデントは何があったのか?」「インシデン 用したインシデントは何があったのか?」「インシデン トに伴いどのような対応がとられたのか?」という脆 トに伴いどのような対応がとられたのか?」という脆 弱性に関わる状況変化 弱性に関わる状況変化 (Status (Status Tracking Tracking Notes) Notes) を を 提供することにより対策を支援する試み 提供することにより対策を支援する試み Status Tracking Notes http://jvn.jp/tr/ © Hitachi Incident Resposen Team. 2006. 78 B.2 対策のための情報収集 ②インシデント対応活動 JPCERT/CC: Internet Scan Data Acquisition System (ISDAS) 観測統計情報 観測統計情報 宛先ポート別にカウントしたスキャンログ総計を提供 宛先ポート別にカウントしたスキャンログ総計を提供 三ヶ月グラフ(アクセス先ポート別グラフ) 三ヶ月グラフ(アクセス先ポート別グラフ) 一年グラフ(アクセス先ポート別グラフ) 一年グラフ(アクセス先ポート別グラフ) インターネット定点観測システム Internet Scan Data Acquisition System (ISDAS) http://www.jpcert.or.jp/isdas/ © Hitachi Incident Resposen Team. 2006. 79 B.3 対策のための情報収集 ②インシデント対応活動 SANS: Internet Storm Center 経過情報 経過情報 Handlers Handlers Diary Diary http://isc.sans.org/ http://isc.sans.org/ 注意すべき脆弱性、攻略コードの公開有無、侵害活 注意すべき脆弱性、攻略コードの公開有無、侵害活 動の発生有無など、日々の注目すべきトピックスを 動の発生有無など、日々の注目すべきトピックスを 提供 提供 脅威レベル 脅威レベル 評価 green 通常の状態であり、特に重大な脅威は発生し ていない。 yellow 重大な脅威を追跡中である。影響は未定、あ るいは予想できない状況にはあるが、インフラ の影響は小さい。ローカルの影響は大きいの で、ユーザは、影響を軽減するための対応を すぐに実施すべきである。例えば、MSBlaster の流布が該当する。 orange 接続性に関わる大きな混乱が差し迫っている、 あるいは進行中である。例えば、Code Red, SQL Slammer ワームの発生初日が該当す る。 red SANS: Internet Storm Center http://isc.sans.org/ INFOCon http://isc.sans.org/infocon.html 定義 インターネット全体の接続性が失われた。 © Hitachi Incident Resposen Team. 2006. 80 B.3 対策のための情報収集 ②インシデント対応活動 Distributed Intrusion Detection System (=Internet Storm Center) 観測統計情報 観測統計情報 Internet Internet Storm Storm Centerと連動 Centerと連動 http://isc.sans.org/ http://isc.sans.org/ ポート別 ポート別 発信元別 発信元別 Distributed Intrusion Detection System http://www.dshield.org/ http://isc.sans.org/port_report.php http://isc.sans.org/port_report.php http://isc.sans.org/source_report.php http://isc.sans.org/source_report.php © Hitachi Incident Resposen Team. 2006. 81 B.4 対策のための情報収集 ②インシデント対応活動 SecurityFocus (=symantec): DeepSight Analyzer 観測統計情報 観測統計情報 IDS, IDS, ファイアウォールログに基づくイベント総計を提供 ファイアウォールログに基づくイベント総計を提供 脅威レベル 脅威レベル 評価 DeepSight Analyzer http://analyzer.securityfocus.com/ 定義 Level 1 Low 一般的なネットワーク状態: 識別できるような ネットワークインシデントはない Level 2 Medium 警戒を必要とする状態: まだインシデントは発 生してはいないが侵害活動を予想できる(脆 弱性に対するポートスキャンの活発化など) Level 3 High 予見範囲の脅威状態: ネットワークインフラに おいても部分的なインシデントに留まっている (Nimda などの大規模な感染をもたらすウイ ルスなど) Level 4 Extreme 警戒態勢の状態: グローバルネットワークに 対するインシデントが進行中である(現在まで のところ、過去に該当する事例はない) © Hitachi Incident Resposen Team. 2006. 82 B.5 対策のための情報収集 ②インシデント対応活動 ISS: AlertCon 脅威レベル 脅威レベル 評価 Current Internet Threat Level https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp 定義 AlertCon 1 対処方法が公開されている既知の攻撃を 検出 AlertCon 2 警戒を必要とする攻撃の増加を検出 AlertCon 3 早急に対応が必要な、特定の脆弱性を悪 用した攻撃の増加を検出(I Love You ウイ ルス、Code Red、Nimda などの大規模な 感染をもたらすウイルス、ワームおよび DoS 攻撃など) AlertCon 4 緊急に対応が必要な、極めて重大な脆弱 性を悪用した大規模な攻撃を検出(システ ムデータの破壊、漏洩、使用不能、管理者 権限の取得、Web 改ざんが大規模に行わ れる可能性あり) © Hitachi Incident Resposen Team. 2006. 83 B.6 対策のための情報収集 ②インシデント対応活動 DHS: Homeland Security Advisory System 米国の Homeland Security の一環で「脅威に対する防衛」を目的として脅威レベル(Threat Condition)を提示している。 評価 定義 Level 1 Low 事前に計画された保護手段を実行する。 Homeland Security Advisory System と事前に計画された機関の保護手段に基づく適切な訓練を行なう。 テロリズムに対する脆弱性を定期的に評価し、脆弱性を緩和するための対応方法を検討する。 Level 2 Guarded 計画的な緊急対応あるいは指令に従ったコミュニケーションの確認を行なう。 緊急対応手順のレビューと見直しを行なう。 適切に行動するために必要となる情報を公開する。 Level 3 Elevated 重要な拠点の監視を強化する。 緊急計画を調整する。 事前に計画された保護手段、緊急対応計画を見直す必要があるかどうかを検討する。 Level 4 High Level 5 Severe 連邦政府、州および地域法施行機関などの組織と調整を行なう。 公的なイベントについては警戒を強化し、開催地の代替や取り消しを検討する。 場所を移動する、労力を分散するなど、万一の場合を想定し、実行ための準備を行なう。 影響を受ける設備についてはアクセス可能な人員を制限する。 緊急対応に対処するため、人員の増員あるいは、移動させる。 緊急対応人員、訓練されたチームあるいはリソースの動員を行なう。 輸送システムを監視し、振替輸送、抑制を行なう。 公的ならびに政府機関の設備を閉鎖する。 Homeland Security Advisory System http://www.dhs.gov/dhspublic/display?theme=29 Chronology of Changes to the Homeland Security Advisory System http://www.dhs.gov/dhspublic/interapp/editorial/editorial_0844.xml © Hitachi Incident Resposen Team. 2006. 84 付録C. 感染先探索特性 代表的なネットワークの探索動作について紹介します。 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved. C.1 脆弱性を悪用した侵害活動の再考 感染先探索特性:CodeRed3 検証結果 実機検証 コード解析 上位2オクテット同一(同.同.異.異) 37.7% 37.5% 上位1オクテット同一(同.異.異.異) 50.8% 50.0% 上記以外(異.異.異.異) 11.5% 12.5% 試行3回,観測開始から10,000パケットを対象とした平均値 探索IPアドレスの発生分布グラフ 観測開始から10,000パケットを対象にプロット 感染した端末のIPアドレス 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x) © Hitachi Incident Resposen Team. 2006. 86 C.2 脆弱性を悪用した侵害活動の再考 感染先探索特性:Nimda.E 検証結果 実機検証 コード解析 上位2オクテット同一(同.同.異.異) 50.9% 50% 上位1オクテット同一(同.異.異.異) 38.8% 25% 上記以外(異.異.異.異) 10.3% 25% 試行3回,観測開始から10,000パケットを対象とした平均値 探索IPアドレスの発生分布グラフ 観測開始から51,261パケットを対象にプロット 感染した端末のIPアドレス 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x) © Hitachi Incident Resposen Team. 2006. 87 C.3 脆弱性を悪用した侵害活動の再考 感染先探索特性:Sasser.B 検証結果 実機検証 コード解析 上位2オクテット同一(同.同.異.異) 27.2% 25% 上位1オクテット同一(同.異.異.異) 24.6% 23% 上記以外(異.異.異.異) 48.2% 52% 試行3回,観測開始から3,000パケットを対象とした平均値 探索IPアドレスの発生分布グラフ 観測開始から3,757パケットを対象にプロット 感染した端末のIPアドレス 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x) © Hitachi Incident Resposen Team. 2006. 88 C.4 脆弱性を悪用した侵害活動の再考 感染先探索特性:Sasser.C 検証結果 実機検証 コード解析 上位2オクテット同一(同.同.異.異) 27.1% 25% 上位1オクテット同一(同.異.異.異) 24.8% 23% 上記以外(異.異.異.異) 48.1% 52% 試行3回,観測開始から10,000パケットを対象とした平均値 探索IPアドレスの発生分布グラフ 観測開始から13,602パケットを対象にプロット 感染した端末のIPアドレス 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x) © Hitachi Incident Resposen Team. 2006. 89 C.5 脆弱性を悪用した侵害活動の再考 感染先探索特性:Blaster 検証結果 探索開始IPアドレスの決定方法 完全にランダム(異.異.異.0):60% 上位2オクテットが同一(同.同.異.0):40% 上記で計算したIPアドレスの4オクテット目の値である0に1を加算し、そのIPアドレスを探索先と する。さらにこの操作を繰り返す。 探索IPアドレスの発生分布グラフ 観測開始から7,500パケットを対象にプロット 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(153.75.20 ∼ 153.75.50) © Hitachi Incident Resposen Team. 2006. 90 C.6 脆弱性を悪用した侵害活動の再考 感染先探索特性:Slammer 検証結果 GetTickCount関数の結果をシードとして探索IPアドレスを生成し、アドレスブロック探索比率を加 味せず常に探索IPアドレスをランダムに選択する。 探索IPアドレスの発生分布グラフ 観測開始から10,000パケットを対象にプロット 感染した端末のIPアドレス 横軸:経過時間 (秒) 縦軸:探索IPアドレス範囲(0.x.x.x ∼ 255.x.x.x) © Hitachi Incident Resposen Team. 2006. 91 END 脆弱性データベース 侵害活動の変遷と対策のための情報収集 2006/08/19 株式会社日立製作所 Hitachi Incident Response Team 寺田真敏 Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.
© Copyright 2024 Paperzz