Upload Login /
...

警察のサイバーセキュリティ施策 における技術的対応

by user

on
Category: Documents
>> Downloads: 17
124

views

Report

Comments

Description

Transcript

警察のサイバーセキュリティ施策 における技術的対応
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
コンピュータセキュリティシンポジウム 2015
警察のサイバーセキュリティ施策
における技術的対応
ー マルウェアの実装を中心に ー
2015年10月22日
警察庁情報通信局 情報技術解析課長
1
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
説 明 項 目
1 警察におけるサイバーセキュリティ施策
(1) 警察の仕組み
(2) 警察のサイバーセキュリティ体制
(3) 警察におけるサイバーセキュリティ戦略
2 警察の情報技術解析の概要とマルウェア解析
3 解析実績に見るマルウェアの実装Ⅰ(従前からの手口)
4 解析実績に見るマルウェアの実装Ⅱ(近年の手口)
5 警察におけるサイバー人材育成
2
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
1(1)警察の仕組み
内閣総理大臣
府県知事
東京都知事
(所轄)
(所轄)
(所轄)
緊密な連携
国家公安委員会
府県公安委員会
東京都公安委員会
(管理)
(管理)
(管理)
指揮監督
警察庁
府県警察本部
警視庁
(内部部局)
生活安全部
地域部
公安部
交通部
各管区警察学校
九州管区警察局
四国管区警察局
中国管区警察局
近畿管区警察局
中部管区警察局
関東管区警察局
東北管区警察局
北海道警察情報通信部
東京都警察情報通信部
刑事部
生活安全部
警備部
交番・
派出所
・駐在所
刑事部
交番・
派出所
・
駐在所
地域部
警察署
警備部
警務部
府県警察学校
交通部
総務部
警察署
(地方機関)
警務部
警視庁警察学校
皇宮警察本部
科学警察研究所
警察大学校
情報通信局
警備局
交通局
刑事局
生活安全局
長官官房
総務部
組織犯罪対策部
都道府県警察の組織(例)
府県情報通信部
3
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
1(2) 警察のサイバーセキュリティ体制 ①
政府の取組
「サイバーセキュリティ戦略」
(2014年6月10日情報セキュリティ政策会議決定)
「情報セキュリティ」確保のための取組はもとより、広くサイバー空間に係る取組を
推進する必要性と取組姿勢を明確化するため、本戦略の名称は「サイバーセキュ
リティ戦略」とした。(「はじめに」から抜粋)
警察庁の体制
司令塔
長官官房審議官(サイバーセキュリティ担当)
長官官房参事官(サイバーセキュリティ担当)
サイバーセキュリティ
研究・研修センター
警察大学校
情報技術解析課
情報管理課
情報通信局
外事情報部
警備企画課
警 備 局
組織犯罪対策企画課
組織犯罪対策部
捜査支援分析管理官
刑 事 局
情報技術犯罪対策課
生活安全局
4
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
1(2) 警察のサイバーセキュリティ体制 ②
司令塔
長官官房審議官(サイバーセキュリティ担当)
長官官房参事官(サイバーセキュリティ担当)
サイバー犯罪対策部門
情報技術犯罪対策課
サイバー攻撃対策部門
警備企画課
サイバー攻撃対策官
サイバー攻撃分析センター
情報技術解析部門
情報技術解析課
高度情報技術解析センター
サイバーテロ対策技術室
【解析の実施】
デジタル・フォレンジック、メモリ・フォレンジック
ネットワークセキュリティ技術、ライブ・フォレンジック
5
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
1(3) 警察におけるサイバーセキュリティ戦略の概要
サイバー空間における情勢の変化を踏まえ、警察が有する人的資源及び物的資源を部門横断的かつ効果的
に活用する態勢を構築し、社会情勢等の変化に的確に対応しつつ、サイバー空間の脅威に先制的かつ能動的に
対処するため、新たな戦略を制定。
サイバー空間の脅威の低減
サイバー攻撃の発生を
想定した共同対処訓練
サイバーフォースセンター
における情報収集・分析
■サイバー空間の脅威に立ち向かう
社会全体の意識の向上
■サイバー攻撃に対する緊急対処、
捜査及び実態解明の推進
■情報技術の解析を活用した捜査の
推進
等
サイバー空間の脅威に対する
対処能力の強化
犯罪の取締りへの技術支援
(一財)日本サイバー犯罪対策センター
(JC3)を結節点とする産学官連携
サイバー空間の脅威への対処に
係る組織基盤の強化
■情報収集・分析機能の強化
■サイバー攻撃に対する緊急対処
態勢の強化
■サイバー空間をめぐる取締り環境
の整備
等
■部門間の連携強化
■サイバー空間の脅威への対処に
係る人的・ 物的基盤の強化
■警察におけるより堅牢な情報
セキュリティの実現
等
【配意事項】
情勢の変化を見据えた積極的な取組
社会と一体となった対策の推進
国や組織の垣根を越えた連携の確保
6
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
説 明 項 目
1 警察におけるサイバーセキュリティ施策
2 警察の情報技術解析の概要とマルウェア解析
(1) 警察の情報技術解析部門
(2) 情報技術解析部門の業務
(3) 警察におけるマルウェア解析
3 解析実績に見るマルウェアの実装Ⅰ(従前からの手口)
4 解析実績に見るマルウェアの実装Ⅱ(近年の手口)
5 警察におけるサイバー人材育成
7
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
2(1) 警察の情報技術解析部門
警 察 庁
情報通信局
情報技術解析課
※1999年「技術対策課」設置。2004年名称変更。
高度情報技術解析センター
サイバーテロ対策技術室
管区警察局
東北・関東・中部・近畿・
中国・四国・九州
情報通信部
府県情報通信部
北海道警察情報通信部
情報技術解析課
情報技術解析課
方面情報通信部
東京都警察情報通信部
情報技術解析課
情報技術解析課
情報技術解析課
8
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
2(2) 警察の情報技術解析部門の業務 ①
デジタルフォレンジック
捜索差押え現場等での技術的支援や押収した電子機器等の解析
サイバー攻撃対策
サイバーテロ・サイバーインテリジェンス対策における技術的な支援
9
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
2(2) 警察の情報技術解析部門の業務 ②
F46ED3
F5300C
E567BB
21E8A8
電子機器等の解析
ネットワーク利用犯罪解析
破損デバイス等の解析
インターネットの観測
緊急対処活動
管理者対策(情報提供・訓練)
10
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
2(3) 警察におけるマルウェアの解析 ①
政府機関
先端科学技術保有企業
①ID・パスワードの
不正取得
被疑者
②
不正アクセス
①メール送付
(マルウェア添付)
利用権者
攻撃者
②メール開封
指令サーバ
③不正送金
ネットバンク
インターネットバンキング
不正送金
③情報の
自動送信
④
機微な情報を窃取
サイバーインテリジェンス
標的型メール攻撃
警察の情報技術解析部門は、
マルウェア悪用事案に係る、検体の解析を実施
情報通信部門では1997年からマルウェアの解析を展開
11
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
2(3) 警察におけるマルウェアの解析 ②
マルウェアの解析
ブラックボックス解析
プログラム動作の監視
マルウェアの挙動に関する動作検証
(発症条件等の確認に難点)
リバース・エンジニアリング
プログラムコード解析
開発者が企図した、動作・挙動の解析
(動作環境、バグ等の確認に難点)
12
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
説 明 項 目
1 警察におけるサイバーセキュリティ施策
2 警察の情報技術解析の概要とマルウェア解析
3 解析実績に見るマルウェアの実装Ⅰ(従前からの手口)
(1)ファイル偽装・隠蔽(RLO、ADS、レジストリ記述)
(2)マルウェアの起動(DLLプリロード攻撃、インジェクション)
4 解析実績に見るマルウェアの実装Ⅱ(近年の手口)
5 警察におけるサイバー人材育成
13
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
3(1-1) ファイル偽装・隠蔽に用いる「RLO」
RLO (Right-to-Left Override)によるファイル偽装
Unicodeにおける制御文字で、Unicode表記のファイル名の特定位置から
左右入れ替えた表示になる。
ファイルのプロパティ
ファイル名で右クリック
この位置にRLOを挿入
minpiz.exe
minexe.zip
実行ファイル名の偽装
14
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
3(1-2) ファイル偽装・隠蔽に用いる「ADS」 ①
ADS (Alternate Data Streams: NTFS代替データストリーム)
NTFSにおいて、
・ 1つのファイルに対して複数のデータ・ストリームを割り当てる
・ ストリームは、バイト単位の可変長のデータ格納領域
・ 一般的なファイルは1つのデータ・ストリーム(Main Datastream)から成る。
① 元ファイルを作成・保存
② 元ファイルの表示
③ 元ファイルにADSを作成
notepad ADS_Test.txt:SecretFile.txt
④ 新規作成確認
⑤ 隠ぺいデータの作成
⑥ 隠ぺいデータの保存
15
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
3(1-2) ファイル偽装・隠蔽に用いる「ADS」 ②
ADS (Alternate Data Streams: NTFS代替データストリーム)
⑦ Dirコマンドでは表示されない
⑨ Dir /R で表示される
エクスプローラでも
⑧ Typeコマンドでは表示されない
c:¥test のディレクトリ
notepad ADS_Test.txt:SecretFile.txt
表示可能
2012/05/02 14:28
2012/05/02 14:28
2012/05/02 14:39
<DIR>
.
<DIR>
..
18 ADS_Test.txt
52 ADS_Test.txt:SecretFile.txt:$DATA
Dir /? でオプションを表示すると、次のとおり確認できる。
/R
ファイルの代替データ ストリームを表示します。
16
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
3(1-3) ファイル偽装・隠蔽に用いる「レジストリ記述」
自動起動
レジストリへの登録
HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run
Efdyw =
C:¥Documents and Settings¥[ユーザ名]¥Application Data¥Religo¥vium.exe
プロセスではEfdywの名称は見えても、vium.exeであることが分からない
PathはWindowsXPの例。Vista以降ではPathが異なりますが同様に可能です
17
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
3(2-1) マルウェアの起動「 DLLプリロード攻撃」①
① iexplore.exe の記録場所
C:¥Program Files¥Internet Explorer¥iexplore.exe
② 同じフォルダにsxs.dllを作成し、不正なコードを書き込む
C:¥Program Files¥Internet Explorer¥sxs.dll
(実はWindowsコンポーネントと同名)
18
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
3(2-1)マルウェアの起動「 DLLプリロード攻撃」②
③ 本来のsxs.dllの記録場所
C:¥windows¥system32¥sxs.dll
④ IEを起動 LoadLibraryの対象・・・・
C:¥windows¥system32¥sxs.dll
ではなく・・・・・
C:¥Program Files¥Internet Explorer¥sxs.dll
不正コードの実行
DLL検索のPath(優先順位)
1
2
3
4
5
起動したEXEファイルが含まれているディレクトリ
プロセスのカレントディレクトリ(又は、SetDllDirectoryで指定したパス)
Windowsシステムディレクトリ
Windowsディレクトリ
環境変数PATHで指定されたディレクトリ
19
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
3(2-2)マルウェアの起動「 コード・インジェクション」①
① マルウェアの実行
svchost.exe(Suspend状態)
CreateProcess()
CREATE_SUSPENDED
で指定プログラムを実行
不正なコード
② プロセスコードへインジェクション
WriteProcessMemory()
プロセスのメモリ領域に
データを書き込み
20
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
3(2-2)マルウェアの起動「 コード・インジェクション」②
③ サスペンド状態の解放
不正なコードの実行
実 行
ResumeThread
svchost.exe(Suspend解除)
svchost.exe(Suspend状態)
不正なコード
プロセスリストでは、svchostがあるだけ
svchost:
Windows で使用される他の個別のサービス
をホストするWindows標準コンポーネント
21
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
説 明 項 目
1 警察におけるサイバーセキュリティ施策
2 警察の情報技術解析の概要とマルウェア解析
3 解析実績に見るマルウェアの実装Ⅰ(従前からの手口)
4 解析実績に見るマルウェアの実装Ⅱ(近年の手口)
(1) 解析の妨害
(2) その他
5 警察におけるサイバー人材育成
22
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-1)解析環境の検出(ダミー動作)
解析環境の検出
・モニタプログラム動作の検出
現在動作しているプロセス名を
ハッシュ値で比較し判定
(Wireshark、ProcessMonitor等)
・サンドボックスの判定
DLLを見て、現在の動作環境が、
サンドボックスか判定
(sandboxie)
Yes
No
解析環境
① 動作環境の判定
fake
② 解析環境で
あればfake動作
bot
③ 解析環境で
なければbot動作
・仮想環境の判定
ディスクドライブの情報から、現在
の動作環境が、仮想環境か判定
(Vmware、Virtualbox等)
・デバッガの判定
プログラムの実行時間差から
動作環境が、デバッガか判定
23
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-2)イベント処理を用いたアンパック(トレース妨害)
Packとイベント
Packer:実行形式ファイルを実行可能な状態で圧縮(難読化)する
マルウェア・コード
イベント
の UnPack
マルウェア実行コードの完成
ウインドウ
プログラムコード解析では・・・・・・
イベント発生による、プログラムの遷移がつかみにくい
24
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-3) 変則的BASE64(ネットワークモニタ妨害) ①
変則的なBASE64
・ BASE64の変換に標準テーブルを用いず、独自のテーブルを用いるもの
(接続先ホスト名・ 窃取するデータ等のエンコードに用いる)
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15
/
8
0
R
h
L
3
O
n
c
J
I
9
t
q
y
独自のBASE64変換テーブル(一部を抜粋)
異なるため変換不能
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
標準のBASE64変換テーブル(一部を抜粋)
標準テーブルと変換手法については次ページ
25
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-3) 変則的BASE64(ネットワークモニタ妨害) ②
本来のBASE64
データ
001100110011110000111101010011
6ビット毎に区切る
001100 110011
変換テーブルの適用
110000 111101 010011
12
51
48
61
19
M
z
w
9
T
0
A
1
B
2
C
3
D
4
E
5
F
6
G
7
H
8
I
9
J
10
K
11
L
12
M
13
N
14
O
15
P
16
Q
17
R
18
S
19
T
20
U
21
V
22
W
23
X
24
Y
25
Z
26
a
27
b
28
c
29
d
30
e
31
f
32
g
33
h
34
i
35
j
36
k
37
l
38
m
39
n
40
o
41
p
42
q
43
r
44
s
45
t
46
u
47
v
48
w
49
x
50
y
51
z
52
0
53
1
54
2
55
3
56
4
57
5
58
6
59
7
60
8
61
9
62
+
63
/
BASE64変換テーブル
復号時のビット欠落を防止
するため、桁揃えのパディ
ングに「=」を用いて埋める
26
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-4)インターネット環境の確認(仮想ネットワーク妨害)
マルウェア起動後に、インターネット接続が有効であれば発症
従前
変化
www.microsoft.com
仮想環境の
Dummy OK
③ 応答
② ネットワーク
接続確認
④ 発症
被害者
① マルウェア起動
○ HTTPSで接続し
「SSLサーバ証明書」を確認
仮想環境内でのDummy接続は無効
マルウェア内に記録されたチェック用データ
MD5
サイト
microsoft.com 181f52ff227b6cfe0dfce6ad9e9264c1
dropbox.com
9692508612d4a8eaee849189daeb29fb
twitter.com
80b22d124b58e299fb82cbd3c8c89b7c
sendspace.com ad5b948441dfe8835f33a4515cce8b40
etrade.com
c8e483f2d2850bb6d6304ff77b436fa7
facebook.com
8887704e4133ca2545c55aba896573dc
instagram.com 89ef56886aa781a42669a982952ffca2
github.com
f85342ae9840af5f88846a80472bac5d
icloud.com
4fd15e41df3e910ae9b2c1f9b46aa70e
python.org
ea885bb3263c598cf678be046fb26e74
ブラックボックス解析時には
接続確認ホストに本物のサイトが必要
(環境の構築に細心の注意が必要)
27
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-5)ダミーコード挿入(リバースアセンブル妨害) ①
ダミーコード①
実は
00402AD7
push
(Offset loc_402AD6+1)
28
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
4(1-5)ダミーコード挿入(リバースアセンブル妨害) ②
ダミーコード②
(Offset loc_402AD7)
コードが読める
29
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
4(1-6)スタックの悪用(コード解析妨害)
通常コードの例
40425A CALL
40472A
40472A ……
40472B ……
………
4047AA ret
………
4047BB ……
妨害の例
40425A CALL
スタックの値
404260
スタックの値
404260
404260 push EAX
サブルーチンの処理終了後に
スタックに記録された戻りアドレス
404260に処理は移行
40472A
スタックの値
404260
40472A ……
40472B ……
………
4047A5 push 407AB0
スタックの値
4047AA ret
407AB0
………
407AB0 [実攻撃コード]
………
407BB ……
404260 push EAX
サブルーチンの戻りアドレスを書き換え
30
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
説 明 項 目
1 警察におけるサイバーセキュリティ施策
2 警察の情報技術解析の概要とマルウェア解析
3 解析実績に見るマルウェアの実装Ⅰ(従前からの手口)
4 解析実績に見るマルウェアの実装Ⅱ(近年の手口)
5 警察におけるサイバー人材育成
31
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
5 警察におけるサイバー人材育成 ①
内閣総理大臣
府県知事
東京都知事
(所轄)
(所轄)
(所轄)
国家公安委員会
府県公安委員会
東京都公安委員会
(管理)
(管理)
(管理)
警察庁
府県警察本部
警視庁
(内部部局)
生活安全部
地域部
公安部
交通部
各管区警察学校
九州管区警察局
四国管区警察局
中国管区警察局
近畿管区警察局
中部管区警察局
関東管区警察局
東北管区警察局
北海道警察情報通信部
東京都警察情報通信部
刑事部
生活安全部
警備部
交番・
派出所
・駐在所
刑事部
交番・
派出所
・
駐在所
地域部
警察署
警備部
警務部
府県警察学校
交通部
総務部
警察署
(地方機関)
警務部
警視庁警察学校
皇宮警察本部
科学警察研究所
警察大学校
情報通信局
警備局
交通局
刑事局
生活安全局
長官官房
総務部
組織犯罪対策部
都道府県警察の組織(例)
府県情報通信部
32
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
5 警察におけるサイバー人材育成 ②
警察大学校附属警察情報通信学校(情報技術解析教養部) (1998年から)
技術職員を対象にした情報技術解析
に係る実践的な技術教養・訓練を展開
・ネットワーク利用犯罪対策
・デジタルフォレンジック
・デバイスの解析
・サイバー攻撃対策
・マルウェアの解析
33
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
5 警察におけるサイバー人材育成 ③
サイバーセキュリティ研究・研修センター(捜査研修室)
(2014年から)
警察職員に対する高度な情報技術を利用する犯罪の取締りに関する専門的な知識及び
技術に関する学術の研修並びにこれに必要な調査研究に関すること。
【サイバー捜査研修科】
・ サイバー犯罪対策応用課程
・ サイバー攻撃対策応用課程
・ サイバー応用教養課程(サイバー知見の底上げ)
・ 警察庁幹部・部外有識者による講義
・ サイバー関連要素技術の講義・デモ
・ 事例研究
・ 捜査実習
ディレクトリートラバーサル、SQLインジェクション、
ShellShock、DNSリフレクター攻撃、マルウェア、
XSRF(クロスサイトリクエストフォージェリ)
等の代表的攻撃手法を実体験し捜査手法を体得
サイバー捜査研修科
(サイバー犯罪対策応用)
第1期入所式
34
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
著作紹介
DFリテラシー教養にも最適
「デジタル・フォレンジック概論」
フォレンジックの基礎と活用ガイド
編著
奈良県警察本部長
(前警察庁情報技術解析課長)
羽室 英太郎
警察庁情報技術解析課長(情報通信局指定上席技術者)
(前サイバーセキュリティ研究・研修センター所長)
國浦
淳
共著(50音順)
好評発売中
大塚奈緒子(支援補佐)、小野将司(多摩支部長)
田村研輔(情報分析専門職)、堀田泰丸(分析1係長)
増山芳邦(埼玉県情報通信部長)、
松尾茂樹(三重県警サイバー犯罪捜査指導官)
35
Fly UP