セキュリティ情報の 収集方法について 第９回セキュリティ共有勉強会@21cafe 2017/09/15

目次 １ 自分にとって、何が目的か ２ セキュリティ情報について ３ いろんなサービスの便利機能 ４ サービスの使い分け ５ まとめ

はじめに 3 ■「お悩み相談コーナー」のアンケートに “どうやってセキュリティ情報を収集 したらよいのですか？” とありました。 今日は、収集方法のノウハウをご紹介！ セキュリティ情報とひとくちに行っても、 「脆弱性情報」「注意喚起」「不審メール」 「IoC情報」などなど様々・・・

4 １ 自分にとって、何が目的か

自分にとって、何が目的か 5 ■シンプルに２Ｗ１Ｈで整理 WHY なぜ（動機） サイバーリスクから自社のシステムを守るため 顧客にセキュリティ情報を提供するため 自己のセキュリティスキル向上のため WHAT 何を（対象） 脆弱性情報（Apache Struts、WordPress、BIND、Flash Playerなど） サイバー攻撃情報（WannaCry、NotPetya、9.18柳条湖事件に起因） IoC情報（C2サーバ、攻撃元IPアドレス、検体のハッシュ値など） 攻撃の予告（攻撃リスト、OpKillingBayなどの攻撃キャンペーン） HOW どのように （ツール・手法） SNS（Twitter、TweetDeck、Yahoo! リアルタイム検索） RSSリーダー（feedly、Google Alert、Queryfeed） キュレーションサイト（Togetter、NAVERまとめ） キュレーションメディア（Yahoo!ニュース、Google News、SmartNews Gunosy、Antenna、NewsPicks） チェッカー（代理アクセス：aguse.jp、urlquery.net 疎通確認：check-host.net 迷惑メールチェッカー：mail.meiwakucheck.com ダウンディテクター：downdetector.com） その他（Googleアプリ、Chromeのおすすめ）

ご参考：３つのインテリジェンス 6 公開情報 OSINT （オシント） Webサイトや書籍などの公開情報 （オープン・ソース・インテリジェンス） 非公開情報 HUMINT （ヒューミント） 人から情報を収集 SIGINT （シギント） 通信、電磁波、 信号等の傍受を 利用した諜報活動

7 ２ セキュリティ情報について

セキュリティ情報について 8 サイト 情報 URL IPA 重要なセキュリティ情報一覧 https://www.ipa.go.jp/security/announce/alert.html JPCERT/CC 注意喚起 https://www.jpcert.or.jp/at/2017.html JVN 脆弱性レポート一覧 https://jvn.jp/report/ 警察庁 セキュリティポータルサイト @police https://www.npa.go.jp/cyberpolice マイクロソフト セキュリティ更新プログラムガイド https://portal.msrc.microsoft.com/ja-jp/security-guidance 日本のセキュリティチーム https://blogs.technet.microsoft.com/jpsecurity/ ■注意喚起・早期警戒情報（脆弱性情報） ■DNS関連 サイト 情報 URL JPRS DNS関連技術情報 https://jprs.jp/tech/ JPNIC 2017年のトピックスとお知らせ https://www.nic.ad.jp/ja/topics/2017/

セキュリティ情報について 9 サイト 情報 URL 日本サイバー犯罪 対策センター JC3 インターネットバンキングマルウェアに感染 させるウイルス付メールに注意 https://www.jc3.or.jp/topics/virusmail.html 電気通信大学情報 基盤センター セキュリティ情報アーカイブ https://www.cc.uec.ac.jp/blogs/news/cat63/ ■不審メール情報 ■マルウェア関連 サイト 情報 URL VirusTotal - https://www.virustotal.com/# Payload Security 最近送信された検体の一覧 https://www.hybrid-analysis.com/recent- submissions?filter=file VX Vault マルウェアが蔵置されているURLの一覧 http://vxvault.net/ViriList.php MALWARE- TRAFFIC- ANALYSIS.NET マルウェア付きメールがばらまかれた キャンペーンの一覧 http://www.malware-traffic- analysis.net/2017/index.html

注意喚起・早期警戒情報（脆弱性情報） 10

11 DNS関連

12 不審メール情報

13 マルウェア関連① ※注意 CEST（中央ヨーロッパ夏時間）は、日本との時差が７時間 冬時間になると、時差は８時間 なぜか、HAの場合、詳細画面では冬時間のままなので、時差8時間と考える

14 マルウェア関連②

15 ３ いろんなサービスの便利機能

16 Twitterの便利機能（リスト、通知、検索）

17 Twitterの便利機能（TweetDeck）

RSSリーダー（feedly） ※注意 RSSフィードによっては、1週間前、１か月前、１年前の情報がポッと出てきたり するので、必ず各ページを参照して更新日を確認すること

19 RSSフィード（Google Alert）

20 RSSフィード（Queryfeed）

21 Yahoo! リアルタイム検索

22 はてなブックマーク

23 チェッカー 提供内容 提供元 URL 迷惑メール、不審メール 迷惑メールチェッカー http://mail.meiwakucheck.com/itiran Web代理アクセス メールヘッダチェック aguse （アグス） https://aguse.jp/ Web代理アクセス urlQuery https://urlquery.net/ 疎通確認 check-host https://check-host.net/ ダウンディテクター downdetector http://downdetector.jp/ BGP障害 BGPMON https://bgpstream.com/ SSLチェッカー GlobalSign https://globalsign.ssllabs.com/ SSLチェッカー Symantec https://cryptoreport.websecurity.symantec.com/checker/ メールの第三者中継チェック RBL.JP （2017年9月末終了） http://www.rbl.jp/ メールの第三者中継チェック open relay checker http://check.jippg.org/ ■いろいろなチェッカー

４ サービスの使い分け

25 セキュリティ全般の情報 ■とにかくセキュリティ全般の情報を知りたい！ セキュリティ情報全般 まとめてみた（インシデント事例） 標的型攻撃、脆弱性情報、PoC検証、 攻撃キャンペーンまとめ （#OpKillingBay） 脆弱性情報、パスワード管理 攻撃手法解説、セキュリティ対策 特に海外のセキュリティ情報が豊富 標的型攻撃、攻撃キャンペーン マルウェア解析 セキュリティ情報、脆弱性情報、注意喚起、 日本語の不審メール、フィッシングサイト 検体情報（HAリンク）、C2情報 ※当日は、Twitterの個人アカウントを紹介しましたが、 本資料からは削除しております。ご了承ください。

警視庁サイバーセキュリ ティ対策本部 @MPD_Cybersec 日本語の不審メール フィッシングメール 電気通信大学情報基盤 センター @itc_uec 日本語、英語の不審メール フィッシングメール フィッシング対策協議会 @antiphishing_jp フィッシングメール、サイトのイメージ画像 不審メール、アプリケーション脆弱性 ■他の人も受信しているばらまき型メールなのか確認したい 26 ■アプリケーションの脆弱性 SQLインジェクション、XSS、CSRF、 WordPress、PHPの脆弱性情報 XSS、CSRF 個人情報保護 ※当日は、Twitterの個人アカウントを紹介しましたが、 本資料からは削除しております。ご了承ください。

27 インシデント事案、障害系情報 ■Webサイト改ざん、DoS/DDoS攻撃 日本のWebサイト改ざん情報 Webサイト死活監視 Open Bug Bounty、まとめてみた ■DNS（BIND脆弱性）、BGP関連 BIND、DNSSEC KSKロールオーバー DNS全般 BGP全般 ※当日は、Twitterの個人アカウントを紹介しましたが、 本資料からは削除しております。ご了承ください。

28 英語の不審メールを確認 SNS不可 ■日本向け以外のばらまき型メールを確認 英語の不審メール、フィッシングメール 検体ハッシュ値、C2情報（pastbin） ばらまきキャンペーン マルウェア解析 検体ハッシュ値、C2情報 マルウェア解析 検体ハッシュ値、C2情報 ばらまきキャンペーン 海外のセキュリティ情報 マルウェア解析 バイナリ解析、C2情報 ※当日は、Twitterの個人アカウントを紹介しましたが、 本資料からは削除しております。ご了承ください。

29 フィッシングサイトの確認 ■怪しいメールの文中のリンクを安全に確認したい ⇒Aguse（アグス）かurlQueryで確認 （iOSやAndroidのデバイス利用もあり）

■ウェブが見れない、インターネットが遅い、うちだけ？ 30 インターネットがおかしい？

31 DoS攻撃受けてるみたいなんだけど・・・ ■DoS攻撃受けてて重たい・・・、外部から見えてるか確認したい ⇒check-host.netがおススメ！

32 SSLサーバ証明書の確認をしたい ■SSLサーバ証明書をチェックしたい ⇒GlobalSign提供のSSL Server Testがおススメ！

33 ◆情報は速報性と正確性が命 まとめ ◆普段から脆弱性情報やセキュリティ事故 情報を収集し、分析しよう ◆すべては追いきれない、無理するな （集めることが目的ではない） ◆ツールを駆使して効率化しよう！ ◆得た情報は共有しよう！

ご清聴ありがとうございました。 質問がありましたらどうぞ！ 34 この脆弱性情報で 対応はバッチリだ！ 公開してくれて ありがとう！