Comments
Description
Transcript
インシデント対応チームの必要性 ~守るだけがセキュリティではない
Japan Computer Emergency Response Team Coordination Center インシデント対応チームの必要性 ∼守るだけがセキュリティではない∼ JPCERT コーディネーションセンター 山賀正人 [email protected] © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center JPCERT/CC の紹介 2003/07/10 © 2003 JPCERT/CC 1 Japan Computer Emergency Response Team Coordination Center JPCERT/CC とは • Japan Computer Emergency Response Team Coordination Center • 1996年10月設立の民間の非営利団体 1992年ころにボランティアではじまったグループを起源と するエンジニア集団 • 日本で最初に FIRST に加盟した CSIRT 国際的に認知されている組織 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center CSIRT とは Computer Security Incident Response Team – 1988年11年 「Morris worm 事件」 – 米国カーネギーメロン大学の CERT/CC (Computer Emergency Response Team Coordination Center) • CERT という単語は CERT/CC の登録商標 – 現在では世界中に多数の組織 • CERTCC-KR (韓国) • AusCERT (オーストラリア) • CERT-Renater (フランス) …………………………… – 組織によって形態・対応内容は様々 – RFC 2350 参照 2003/07/10 © 2003 JPCERT/CC 2 Japan Computer Emergency Response Team Coordination Center FIRST とは http://www.first.org/ • Forum of Incident Response and Security Teams • 1990年 CERT/CC などが中心となって設立 • 世界中の CSIRT 同士の交流を目的にした組織 http://www.first.org/team-info/ – 情報の共有 – インシデント対応 (Incident Response) の国際協力 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center Computer Security Incident とは • コンピュータセキュリティに関係する人為的 事象で、意図的および偶発的なもの • 弱点探索、リソースの不正使用、サービス運 用妨害行為など • 『不正アクセス (行為)』 は狭義に規定された 2003/07/10 © 2003 JPCERT/CC 3 Japan Computer Emergency Response Team Coordination Center JPCERT/CC の業務 • 窓口対応 – 情報提供の受付 – 一般的な技術情報の紹介 – 関連組織への連絡 国内と国外との間の連絡など • 技術情報の日本語による発信 – 注意喚起、緊急報告、技術メモ、メールマガジン、統計情報など メーリングリストと Web による公開 – ベンダなどとの連携 – セミナーなどによる啓発活動 • 国際連携 – FIRST に加盟し、日本を代表して国際的に活動している組織 – アジア太平洋地域におけるセキュリティ対策組織を集めた国際会議を主催 (APSIRC: Asia Pacific Security Incident Response Coordination Conference) © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center APCERT http://www.apcert.org/ • Asia Pacific Computer Emergency Response Team – アジア太平洋地域の CSIRT フォーラム – Steering Committee Member – Secretariat – 年次定例会議としての APSIRC 2003/07/10 © 2003 JPCERT/CC 4 Japan Computer Emergency Response Team Coordination Center 報告された情報のゆくえ 報告者 件数 脆弱性情報 IPアドレス ドメイン名 統計情報 関連サイト セキュリティ関連文書 ベンダ 2003/07/10 関連サイト © 2003 JPCERT/CC Japan Computer Emergency Response Team Coordination Center 技術文書の情報源 • 関係組織が公開している情報 – CSIRT (CERT/CC, CIAC, AusCERT など) – ベンダなど • 独自に調査研究した情報 • 窓口に届いた情報 2003/07/10 © 2003 JPCERT/CC 5 Japan Computer Emergency Response Team Coordination Center JPCERT/CC ではできないこと • 個別サイトに対する監視やコンサルティング • 個々のアプリケーションについてのコンサルティング • 非技術的な支援 – 紛争の調停、対応の強制 – 捜査、犯人追及、証拠物件の押収 – 法律面での支援 (損害賠償請求など) 強制力のある組織ではない © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 最近の統計情報から 2003/07/10 © 2003 JPCERT/CC 6 Japan Computer Emergency Response Team Coordination Center JPCERT/CC へのインシデント報告件数の推移 1200 http://www.jpcert.or.jp/stat/reports.html 1000 800 600 400 200 0 96/10- 97/01- 97/04- 97/07- 97/10- 98/01- 98/04- 98/07- 98/10- 99/01- 99/04- 99/07- 99/10- 00/01- 00/04- 00/07- 00/10- 01/01- 01/04- 01/07- 01/10- 02/01- 02/04- 02/07- 02/10- 03/0196/12 97/03 97/06 97/09 97/12 98/03 98/06 98/09 98/12 99/03 99/06 99/09 99/12 00/03 00/06 00/09 00/12 01/03 01/06 01/09 01/12 02/03 02/06 02/09 02/12 03/03 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center JPCERT/CC へのインシデント報告件数の推移 3000 2500 2000 1500 1000 500 0 1996Q4 2003/07/10 1997 1998 1999 2000 2001 2002 © 2003 JPCERT/CC 7 Japan Computer Emergency Response Team Coordination Center 米国 CERT/CC へのインシデント報告件数の推移 90,000 80,000 http://www.cert.org/stats/cert_stats.html 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 報告しない(しなくなった)理由 (%) (N=547) 0% 5% 10% 15% 12.4% JPCERT/CCに情報を提供しても有効に活用されているとは思えないから 11.7% 他の組織に報告するから 10.8% 自分はネットワーク等の管理に関係していないから 10.4% JPCERT/CCに情報を提供してもフィードバックがないから (インシデントが頻発するので)面倒だから 9.7% JPCERT/CCの報告様式が使いにくいから 9.5% 9.5% 他の組織に情報が漏れる懸念があるから その他 2003/07/10 30% 13.5% 顧客のシステムについての情報は出しにくいから JPCERT/CCのスタッフが大変そうだから 25% 21.6% セキュリティポリシー等の制約で情報を出しにくいから (報告の)担当から外れたから 20% 5.5% 4.2% 27.8% © 2003 JPCERT/CC 8 Japan Computer Emergency Response Team Coordination Center 参考資料 GAO (The United States General Accounting Office) の文書 INFORMATION SECURITY: Computer Attacks at Department of Defense Pose Increasing Risks http://www.gao.gov/archive/1996/ai96084.pdf 988 Detected R eacti on 24,700 Succeed D et ect i on 13,300 Blocked P rot ect i on 38,000 Attacks 267 Reported 721 Not Reported 23,712 Undetected GAO/AIMD-96-84 Defense Information Security © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center インシデントタイプ別分類 2003/07/10 © 2003 JPCERT/CC 9 Japan Computer Emergency Response Team Coordination Center インシデントの分類 報告者の視点で分類 • サービス運用妨害 (DoS: Denial of Service) – 分散型サービス運用妨害 (DDoS: Distributed Denial of Service) • 詐称 (電子メール) • • • • サービスの悪用、不正中継 侵入、無権限アクセス 弱点探索 (スキャン、プローブ) その他 (JPCERT/CC で扱えないものなど) © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 2002年インシデントタイプ別分類 その他 176 (12%) 詐称 39 サービス運用妨害 20 侵入 57 (3.9%) 弱点探索 1160 (79.9%) 2003/07/10 © 2003 JPCERT/CC 10 Japan Computer Emergency Response Team Coordination Center 弱点探索は、より深刻な インシデントの発生を示している。 弱点探索のアクセス元は多くの場合、 踏み台として悪用されている。 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 報告件数および通知件数の推移 400 350 300 250 報告 通知 200 150 100 50 0 1月 2003/07/10 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 © 2003 JPCERT/CC 11 Japan Computer Emergency Response Team Coordination Center 各インシデントタイプについて © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center サービス運用妨害 (DoS) ネットワーク帯域などの資源を消費させ、 サービス不能に導く。一般的に攻撃元は詐 称されている。 例) SYN Flood 攻撃、UDP Flood 攻撃、Smurf 攻撃など 完全に防ぐ方法はない • ルータなどによるパケットフィルタリング • ネットワークの監視など 2003/07/10 © 2003 JPCERT/CC 12 Japan Computer Emergency Response Team Coordination Center 分散型サービス運用妨害 (DDoS) 第三者の複数のコンピュータ に Agent と呼ばれるプログラ ムを侵入させ、それらを使って大量のデータを一斉に攻撃対 象のコンピュータやネットワークに送信することでサービスを 妨害する。 完全に防ぐ方法はない • Agent を侵入させられないために – 最新のパッチの適用 – 不必要なサービスの停止または削除 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 詐称 • 電子メールの From: 欄の偽造 – 他人へのなりすまし – 返答メールが偽造されたアドレスに送付 完全に防ぐ方法はない メールアドレスを必要以上に公にしない 2003/07/10 © 2003 JPCERT/CC 13 Japan Computer Emergency Response Team Coordination Center サービスの悪用 • メールサーバプログラムの不正中継 SPAM メールの配送に使われ、送信元と見なされてしまう。 • プロクシサーバの不正利用 – なりすまし (アクセス元アドレスの隠蔽など) – BBS, チャット などへの書き込み 単なるサーバプログラムの設定ミス © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 侵入 • パスワード管理の甘さ • 主にバッファオーバーフローの脆弱性を悪用 – 配列の大きさをチェックせずにデータを格納してしまう、プ ログラム上のミスが原因 例) C言語の関数 strcpy(), strcat(), sprintf() など – プログラムの異常停止を伴う – 挿入したマシン語の実行 • 管理者権限の取得 • データ改ざん • バックドアの設置など 2003/07/10 © 2003 JPCERT/CC 14 Japan Computer Emergency Response Team Coordination Center 侵入を防ぐには • • • • 最新のパッチを適用 不必要なサービスを停止または削除 ルータなどによるパケットフィルタリング サービスを提供する相手の制限 (アクセス制御) – IP spoofing からの防御も重要 自ネットワークのアドレスを詐称したパケットの外部からの侵入を防ぐ © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center スキャン、プローブ (弱点探索) • ほとんどの場合実害はない • インシデントの兆候 (?) – 侵入の試み (?) – 新たな脆弱性の発見の兆し (?) – バックドア設置の確認 (?) 2003/07/10 © 2003 JPCERT/CC 15 Japan Computer Emergency Response Team Coordination Center 2002年度スキャン報告の推移 250 200 80(http) 137(netbios-ns) 1433(ms-sql-s) 443(https) 445(microsoft-ds) 22(ssh) 53(domain) 25(smtp) 21(ftp) 150 100 50 0 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center スキャン報告の件数と 脆弱性情報の公開やワームなどの 広まりには相関がある。 スキャン情報の、より効率的な 収集方法については現在検討中 2003/07/10 © 2003 JPCERT/CC 16 Japan Computer Emergency Response Team Coordination Center インシデント対応チームの必要性 © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 守るだけがセキュリティではない。 • 人為的ミス (パッチの適用忘れなど) • 未知 (公知になっていない) の脆弱性の悪用 「100% 安全」はありえない。 いかに素早くインシデントに気づき、 対応できるか、が重要 2003/07/10 © 2003 JPCERT/CC 17 Japan Computer Emergency Response Team Coordination Center インシデントを発見する手順の明確化 • ログの取得内容の整理 • ログの確認 • 異常事態発生時の報告の仕組み など 管理者のためのセキュリティ推進室 インシデントレスポンス入門 http://www.jpcert.or.jp/magazine/atmarkit/ © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 万が一の事態が起こった後の 対応手順の明確化 • 連絡体制 • 原因の究明 • 復旧 • 再発防止 • 関連サイトとの連絡 など 2003/07/10 © 2003 JPCERT/CC 18 Japan Computer Emergency Response Team Coordination Center JPCERT/CC によるインシデント 対応の流れ インシデント報告 受領確認 報告元サイト 他の CSIRT など 転送内容の確認 (初回のみ) JPCERT/CC 結果報告 WHOIS DB 技術連絡担当者宛 状況のご説明など より適切な担当者など ご転送 ご回答 (状況説明など) 関連サイト (アクセス元など) © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center インシデント関連情報の共有 2003/07/10 © 2003 JPCERT/CC 19 Japan Computer Emergency Response Team Coordination Center 何故情報を共有すべきなのか? • 世の中で一体何が被害を広めているのか? – この不審なアクセスは自分のところだけ? – 意図的なもの? それとも単なる操作ミス? • 未知の脆弱性の発見 – 被害の拡大を未然に防げる © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center CSIRT 間の連携の必要性 ・ 情報共有 (インシデント対応) を円滑に ‐ 情報管理ポリシーは組織ごとに異なる ‐ 違いを相互に認め合った上での情報交換 ・ sensitive な情報のやり取りには信頼が第一 2003/07/10 © 2003 JPCERT/CC 20 Japan Computer Emergency Response Team Coordination Center 世界的な動き • 業界ごとに ISAC (Information Sharing and Analysis Center) 設立 – 米国 IT-ISAC http://www.it-isac.org/ – 日本でも Telecom-ISAC などの設立の動き http://www.soumu.go.jp/s-news/2003/pdf/030210_2.pdf © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 最後に 2003/07/10 © 2003 JPCERT/CC 21 Japan Computer Emergency Response Team Coordination Center 最近の特徴 • 手口そのものは昔から大きく変わっていない – 複合的な攻撃 – 誰でも使えるツール (rootkit など) • 一般家庭の (高速な) 常時接続が浸透 – 被害の拡大 (広範囲、高スピード) – 誰でも攻撃の対象になってしまう • サーバ構築が容易 – セットアップしたまま放置 (試験運用したサーバなどに多く見られる) – 標準で様々なサービスが有効 – ルータなどのネットワーク機器も同じ © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center 被害者=加害者? • ワーム • DDoS の Agent • MTA やプロクシサーバの不正中継 ‐ SPAM メールの送信元に悪用 ‐ なりすましによる誹謗中傷の書き込み ‐ などなど… • 本当に「悪い奴」は捕まらない – 踏み台にされたサイトに損害賠償請求???? 2003/07/10 © 2003 JPCERT/CC 22 Japan Computer Emergency Response Team Coordination Center 攻撃から守るには • 不要なサービスの停止 – 使わないものはアンインストールするなど • 最新のセキュリティ情報の入手 – セキュリティ関連のパッチの適用 • ネットワークの監視 • サービスの運用ポリシー (アクセス制御など) • その他 (IP spoofing からの防御など) © 2003 JPCERT/CC 2003/07/10 Japan Computer Emergency Response Team Coordination Center JPCERT/CC 発行の技術メモ http://www.jpcert.or.jp/ed/ コンピュータセキュリティインシデントに対する 一般的な対応方法についての説明 サイトごとのポリシー策定などの参考に 2003/07/10 © 2003 JPCERT/CC 23 Japan Computer Emergency Response Team Coordination Center JPCERT/CC へのアクセス E-mail: Web: 報告様式: メーリングリスト: ファックス: [email protected] http://www.jpcert.or.jp/ http://www.jpcert.or.jp/form/ http://www.jpcert.or.jp/announce.html 03-3518-2177 (変更されました) ※ 電話によるインシデント報告は受け付けておりません。 2003/07/10 © 2003 JPCERT/CC 24