Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ情報の収集方法について

hiro
September 17, 2017
Technology
8
13k

 セキュリティ情報の収集方法について

hiro

September 17, 2017
Tweet

More Decks by hiro

See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
1k
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
890
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2.2k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
630
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1.2k
Investigating-Malware-20191030
ctrl_z3r0
4
1.1k
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.2k
AntiPortscan-20190925
ctrl_z3r0
2
840
Honeypot on GCE (Google Compute Engine)
ctrl_z3r0
1
800

Other Decks in Technology

See All in Technology
AWS CDKでインフラ、アプリを分離した際に困ったこと
smt7174
0
130
Amazon FSx for NetApp ONTAPを 利用するときに気をつけることn選 〜移行プロセスを添えて〜 #devio2023
non97
0
170
那些年我們做過的 DevOps Pipeline @ DevOpsDays Taipei 2023
cheng_wei_chen
1
110
Sansan LabsにおけるGPT活用事例 / GPT Application Case Studies at Sansan Labs
sansan_randd
0
150
備えあれば患いなし:効率的なインシデント対応を目指すSREの取り組み
kazumax55
0
260
Juliaってどんなことができるの? for JuliaTokai #16
antimon2
1
130
生活感のあるアーキテクチャ
pharma_x_tech
0
530
LLMアプリケーションの安定性を高めるための精度評価・改善
nrryuya
3
1.3k
マネージャーのためのスクラムマスターのパフォーマンスを高めるTips集
kawagoi
0
350
Kotlin Dynamic type
coe
0
140
Legacy Software: Not Really a Problem!
ewolff
2
120
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
yoshiiryo1
0
380

Featured

See All Featured
Faster Mobile Websites
deanohume
296
29k
BBQ
matthewcrist
76
8.4k
What's new in Ruby 2.0
geeforr
336
30k
Teambox: Starting and Learning
jrom
125
8.1k
Statistics for Hackers
jakevdp
787
210k
GraphQLの誤解/rethinking-graphql
sonatard
44
8.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.2k
Building Applications with DynamoDB
mza
87
5.2k
How STYLIGHT went responsive
nonsquared
89
4.4k
Art, The Web, and Tiny UX
lynnandtonic
285
18k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
30k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k

Transcript

  1. セキュリティ情報の
    収集方法について
    第9回セキュリティ共有勉強会@21cafe
    2017/09/15

    View Slide

  2. 目次
    1 自分にとって、何が目的か
    2 セキュリティ情報について
    3 いろんなサービスの便利機能
    4 サービスの使い分け
    5 まとめ

    View Slide

  3. はじめに
    3
    ■「お悩み相談コーナー」のアンケートに
    “どうやってセキュリティ情報を収集
    したらよいのですか?”
    とありました。
    今日は、収集方法のノウハウをご紹介!
    セキュリティ情報とひとくちに行っても、
    「脆弱性情報」「注意喚起」「不審メール」
    「IoC情報」などなど様々・・・

    View Slide

  4. 4
    1 自分にとって、何が目的か

    View Slide

  5. 自分にとって、何が目的か
    5
    ■シンプルに2W1Hで整理
    WHY
    なぜ(動機)
    サイバーリスクから自社のシステムを守るため
    顧客にセキュリティ情報を提供するため
    自己のセキュリティスキル向上のため
    WHAT
    何を(対象)
    脆弱性情報(Apache Struts、WordPress、BIND、Flash Playerなど)
    サイバー攻撃情報(WannaCry、NotPetya、9.18柳条湖事件に起因)
    IoC情報(C2サーバ、攻撃元IPアドレス、検体のハッシュ値など)
    攻撃の予告(攻撃リスト、OpKillingBayなどの攻撃キャンペーン)
    HOW
    どのように
    (ツール・手法)
    SNS(Twitter、TweetDeck、Yahoo! リアルタイム検索)
    RSSリーダー(feedly、Google Alert、Queryfeed)
    キュレーションサイト(Togetter、NAVERまとめ)
    キュレーションメディア(Yahoo!ニュース、Google News、SmartNews
    Gunosy、Antenna、NewsPicks)
    チェッカー(代理アクセス:aguse.jp、urlquery.net
    疎通確認:check-host.net
    迷惑メールチェッカー:mail.meiwakucheck.com
    ダウンディテクター:downdetector.com)
    その他(Googleアプリ、Chromeのおすすめ)

    View Slide

  6. ご参考:3つのインテリジェンス
    6
    公開情報
    OSINT
    (オシント)
    Webサイトや書籍などの公開情報
    (オープン・ソース・インテリジェンス)
    非公開情報
    HUMINT
    (ヒューミント)
    人から情報を収集
    SIGINT
    (シギント)
    通信、電磁波、
    信号等の傍受を
    利用した諜報活動

    View Slide

  7. 7
    2 セキュリティ情報について

    View Slide

  8. セキュリティ情報について
    8
    サイト 情報 URL
    IPA 重要なセキュリティ情報一覧 https://www.ipa.go.jp/security/announce/alert.html
    JPCERT/CC 注意喚起 https://www.jpcert.or.jp/at/2017.html
    JVN 脆弱性レポート一覧 https://jvn.jp/report/
    警察庁
    セキュリティポータルサイト
    @police
    https://www.npa.go.jp/cyberpolice
    マイクロソフト
    セキュリティ更新プログラムガイド https://portal.msrc.microsoft.com/ja-jp/security-guidance
    日本のセキュリティチーム https://blogs.technet.microsoft.com/jpsecurity/
    ■注意喚起・早期警戒情報(脆弱性情報)
    ■DNS関連
    サイト 情報 URL
    JPRS DNS関連技術情報 https://jprs.jp/tech/
    JPNIC 2017年のトピックスとお知らせ https://www.nic.ad.jp/ja/topics/2017/

    View Slide

  9. セキュリティ情報について
    9
    サイト 情報 URL
    日本サイバー犯罪
    対策センター
    JC3
    インターネットバンキングマルウェアに感染
    させるウイルス付メールに注意
    https://www.jc3.or.jp/topics/virusmail.html
    電気通信大学情報
    基盤センター
    セキュリティ情報アーカイブ https://www.cc.uec.ac.jp/blogs/news/cat63/
    ■不審メール情報
    ■マルウェア関連
    サイト 情報 URL
    VirusTotal - https://www.virustotal.com/#
    Payload Security 最近送信された検体の一覧
    https://www.hybrid-analysis.com/recent-
    submissions?filter=file
    VX Vault マルウェアが蔵置されているURLの一覧 http://vxvault.net/ViriList.php
    MALWARE-
    TRAFFIC-
    ANALYSIS.NET
    マルウェア付きメールがばらまかれた
    キャンペーンの一覧
    http://www.malware-traffic-
    analysis.net/2017/index.html

    View Slide

  10. 注意喚起・早期警戒情報(脆弱性情報)
    10

    View Slide

  11. 11
    DNS関連

    View Slide

  12. 12
    不審メール情報

    View Slide

  13. 13
    マルウェア関連①
    ※注意
    CEST(中央ヨーロッパ夏時間)は、日本との時差が7時間
    冬時間になると、時差は8時間
    なぜか、HAの場合、詳細画面では冬時間のままなので、時差8時間と考える

    View Slide

  14. 14
    マルウェア関連②

    View Slide

  15. 15
    3 いろんなサービスの便利機能

    View Slide

  16. 16
    Twitterの便利機能(リスト、通知、検索)

    View Slide

  17. 17
    Twitterの便利機能(TweetDeck)

    View Slide

  18. RSSリーダー(feedly)
    ※注意
    RSSフィードによっては、1週間前、1か月前、1年前の情報がポッと出てきたり
    するので、必ず各ページを参照して更新日を確認すること

    View Slide

  19. 19
    RSSフィード(Google Alert)

    View Slide

  20. 20
    RSSフィード(Queryfeed)

    View Slide

  21. 21
    Yahoo! リアルタイム検索

    View Slide

  22. 22
    はてなブックマーク

    View Slide

  23. 23
    チェッカー
    提供内容 提供元 URL
    迷惑メール、不審メール 迷惑メールチェッカー http://mail.meiwakucheck.com/itiran
    Web代理アクセス
    メールヘッダチェック
    aguse (アグス) https://aguse.jp/
    Web代理アクセス urlQuery https://urlquery.net/
    疎通確認 check-host https://check-host.net/
    ダウンディテクター downdetector http://downdetector.jp/
    BGP障害 BGPMON https://bgpstream.com/
    SSLチェッカー GlobalSign https://globalsign.ssllabs.com/
    SSLチェッカー Symantec https://cryptoreport.websecurity.symantec.com/checker/
    メールの第三者中継チェック RBL.JP (2017年9月末終了) http://www.rbl.jp/
    メールの第三者中継チェック open relay checker http://check.jippg.org/
    ■いろいろなチェッカー

    View Slide

  24. 4 サービスの使い分け

    View Slide

  25. 25
    セキュリティ全般の情報
    ■とにかくセキュリティ全般の情報を知りたい!
    セキュリティ情報全般
    まとめてみた(インシデント事例)
    標的型攻撃、脆弱性情報、PoC検証、
    攻撃キャンペーンまとめ
    (#OpKillingBay)
    脆弱性情報、パスワード管理
    攻撃手法解説、セキュリティ対策
    特に海外のセキュリティ情報が豊富
    標的型攻撃、攻撃キャンペーン
    マルウェア解析
    セキュリティ情報、脆弱性情報、注意喚起、
    日本語の不審メール、フィッシングサイト
    検体情報(HAリンク)、C2情報
    ※当日は、Twitterの個人アカウントを紹介しましたが、
    本資料からは削除しております。ご了承ください。

    View Slide

  26. 警視庁サイバーセキュリ
    ティ対策本部
    @MPD_Cybersec
    日本語の不審メール
    フィッシングメール
    電気通信大学情報基盤
    センター
    @itc_uec
    日本語、英語の不審メール
    フィッシングメール
    フィッシング対策協議会 @antiphishing_jp フィッシングメール、サイトのイメージ画像
    不審メール、アプリケーション脆弱性
    ■他の人も受信しているばらまき型メールなのか確認したい
    26
    ■アプリケーションの脆弱性
    SQLインジェクション、XSS、CSRF、
    WordPress、PHPの脆弱性情報
    XSS、CSRF
    個人情報保護
    ※当日は、Twitterの個人アカウントを紹介しましたが、
    本資料からは削除しております。ご了承ください。

    View Slide

  27. 27
    インシデント事案、障害系情報
    ■Webサイト改ざん、DoS/DDoS攻撃
    日本のWebサイト改ざん情報
    Webサイト死活監視
    Open Bug Bounty、まとめてみた
    ■DNS(BIND脆弱性)、BGP関連
    BIND、DNSSEC
    KSKロールオーバー
    DNS全般
    BGP全般
    ※当日は、Twitterの個人アカウントを紹介しましたが、
    本資料からは削除しております。ご了承ください。

    View Slide

  28. 28
    英語の不審メールを確認 SNS不可
    ■日本向け以外のばらまき型メールを確認
    英語の不審メール、フィッシングメール
    検体ハッシュ値、C2情報(pastbin)
    ばらまきキャンペーン
    マルウェア解析
    検体ハッシュ値、C2情報
    マルウェア解析
    検体ハッシュ値、C2情報
    ばらまきキャンペーン
    海外のセキュリティ情報
    マルウェア解析
    バイナリ解析、C2情報
    ※当日は、Twitterの個人アカウントを紹介しましたが、
    本資料からは削除しております。ご了承ください。

    View Slide

  29. 29
    フィッシングサイトの確認
    ■怪しいメールの文中のリンクを安全に確認したい
    ⇒Aguse(アグス)かurlQueryで確認 (iOSやAndroidのデバイス利用もあり)

    View Slide

  30. ■ウェブが見れない、インターネットが遅い、うちだけ?
    30
    インターネットがおかしい?

    View Slide

  31. 31
    DoS攻撃受けてるみたいなんだけど・・・
    ■DoS攻撃受けてて重たい・・・、外部から見えてるか確認したい
    ⇒check-host.netがおススメ!

    View Slide

  32. 32
    SSLサーバ証明書の確認をしたい
    ■SSLサーバ証明書をチェックしたい
    ⇒GlobalSign提供のSSL Server Testがおススメ!

    View Slide

  33. 33
    ◆情報は速報性と正確性が命
    まとめ
    ◆普段から脆弱性情報やセキュリティ事故
    情報を収集し、分析しよう
    ◆すべては追いきれない、無理するな
    (集めることが目的ではない)
    ◆ツールを駆使して効率化しよう!
    ◆得た情報は共有しよう!

    View Slide

  34. ご清聴ありがとうございました。
    質問がありましたらどうぞ!
    34
    この脆弱性情報で
    対応はバッチリだ!
    公開してくれて
    ありがとう!

    View Slide