「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai

Transcript

1. 日本を取り巻く 最新の脅威情報と JPCERT/CC の活動 2017年9月2日 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト 平岡

   佑一朗

2. みなさん 知ってますか？ 1

3. Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは 一般社団法人 JPCERT コーディネーションセンター

   Japan Computer Emergency Response Team / Coordination Center 2 コンピュータセキュリティ インシデントへの対応 国内外に置いたセンサによる インターネット定点観測 ソフトウエアや情報 システム・制御システム 機器等の脆弱性への対応 日本の 「セキュリティ向上を推進する活動」 を行っています

4. Copyright ©2017 JPCERT/CC All rights reserved. JPCERTコーディネーションセンターとは インシデント対応をはじめ、国際連携が必要なオペレーションや 情報連携に関して日本の窓口となる「CSIRT(※) 」として活動

   ※CSIRT：Computer Security Incident Response Team 各国に同様の窓口となる CSIRTが存在する （例：米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC） 主に情報セキュリティの担当者を対象としてサービス提供 — 日本国内のインターネット利用者 — セキュリティ管理担当者 — ソフトウエア製品開発者 — etc... 経済産業省からの委託事業として、サイバー攻撃等国際連携対応 調整事業を実施 3

5. Copyright ©2017 JPCERT/CC All rights reserved. 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信 早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援 CSIRT構築支援

   脆弱性情報ハンドリング  未公開の脆弱性関連情報を製品開発者へ提 供し、対応依頼  関係機関と連携し、国際的に情報公開日を 調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報の適 切な流通 マルウエア（不正プログラム）等の攻撃手法の分析、解析 アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携 国際連携 インシデントの予測と捕捉 インシデント予防 発生したインシデントへの対応 制御システムに関するインシデントハンドリング、情報収集・分析発信 制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等 国内外関係者との連携  マルウエアの接続先等の攻撃関連サイト等 の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性の確 認、拡散抑止  再発防止に向けた関係各関の情報交換及び 情報共有 インシデントハンドリング （インシデント対応調整支援） JPCERT/CCの活動 4 情報収集・分析・発信 定点観測（TSUBAME）  ネットワークトラフィック情報の収集分析  セキュリティ上の脅威情報の収集、分析、 必要とする組織への提供

6. Copyright ©2017 JPCERT/CC All rights reserved. 様々な種類のインシデントが発生 様々な要因でインシデントは発生しています サイバーインシデントがなくなるその日まで —

   JPCERT/CC では、インシデントや、その原因・背景にある脆弱性に 対する調整を行っています スキャン 46.2% Web サイト改ざ ん 21.0% フィッシング 15.0% マルウエア 6.3% DoS 1.3% 標的型攻撃 0.3% 制御システム 0.3% その他 9.6% インシデント分類別 件数の割合 (2016年度) インシデント報告対応レポート https://www.jpcert.or.jp/ir/report.html 5

7. Copyright ©2017 JPCERT/CC All rights reserved. 世間を騒がせた ランサムウエアについて 6

8. Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (WannaCry) 7

9. Copyright ©2017 JPCERT/CC All rights reserved. WannaCrypt (1/2) 2017年5月中旬ごろ、国内外にて WannaCryptに関する情報の公開

   国内の組織においてもWannaCryptによる影響と考えられる 事案が発生 Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity /2017/05/12/Multiple-Ransomware-Infections-Reported SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/ 川崎市やＪＲでサイバー攻撃被害 http://www3.nhk.or.jp/shutoken-news/20170515/3424951.html 8

10. Copyright ©2017 JPCERT/CC All rights reserved. 脆弱性 (CVE-2017-0147 / MS17-010で修正されたもの)

    を 悪用し感染拡大 — 通信ポート (445/tcp, ファイル共有) を介して感染拡大 WannaCrypt (2/2) SMB 既に感染した端末 誘導 or 侵入? (手口不明) 445/tcp インターネット接続時での感染 イントラネットへの感染拡大 攻撃者 9

11. Copyright ©2017 JPCERT/CC All rights reserved. 検体を実行した場合の動作 1. 通信の可否の確認（Kill Switch）

    — C:¥Windows 直下にファイルの作成を試みる (要：管理者権限) 2. 感染端末外への感染活動（CVE-2017-0147の悪用） — LAN内のIPアドレス — 外部IPアドレス（ランダム） 3. ランサムウエアの動作 — レジストリを書き換え、再起動を行った際にも感染活動が行われる 10

12. Copyright ©2017 JPCERT/CC All rights reserved. ネットワーク経由での感染時の動作 1. CVE-2017-0147の脆弱性を悪用したスキャンの受信 2.

    CVE-2017-0147の脆弱性により侵入 — %WinDir%¥mssecsvc.exeを作成 • mssecsvc.exeは本体検体のコピー — lsass.exe（システム権限）を通して実行 ⇒ 以降、管理者権限で動作 3. 前ページ「2.」以降の動作と同じ ※DoublePulsarと呼ばれるバックドア経由での攻撃も組み込まれ ている 11

13. Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年5月分統計 WannaCryptの感染が確認され始める直前からグラフが上昇 —

    対策がされて一時的に降下 — のちに緩やかに再上昇を始める 12 0 200 400 600 800 1000 1200 2017/5/1 2017/5/3 2017/5/5 2017/5/7 2017/5/9 2017/5/11 2017/5/13 2017/5/15 2017/5/17 2017/5/19 2017/5/21 2017/5/23 2017/5/25 2017/5/27 2017/5/29 2017/5/31 5/12 WannaCrypt 活動確認

14. Copyright ©2017 JPCERT/CC All rights reserved. 445/TCPに対するスキャンの観測 TSUBAME観測データの2017年8月上旬分統計 騒がれなくなった一方、脅威が去っているわけではない —

    むしろ増えている — 5月の終わりで無地 13 0 500 1000 1500 2000 2500 2017/8/1 2017/8/2 2017/8/3 2017/8/4 2017/8/5 2017/8/6 2017/8/7 2017/8/8 2017/8/9 2017/8/10 2017/8/11 2017/8/12 2017/8/13 2017/8/14 2017/8/15

15. Copyright ©2017 JPCERT/CC All rights reserved. ランサムウエアじゃないWannaCrypt WannaCryptの亜種の１つにある特徴 — Kill

    Switchが無効化されている Kill Switchの通信が発生しないわけではない ⇒通信の成否を問わず処理が続行されるようになった — 暗号化はしない（つまりランサムウエアとは言えない） データに影響ないから大したことない・・・わけではない この亜種が危ない理由 — 感染したことが表面に現れない — Kill Switchに通信できてるから以降の処理が進んでいないと勘違い — バックドアをしかけるワームの機能は残っている 14 無意識に感染を広げている可能性がある

16. Copyright ©2017 JPCERT/CC All rights reserved. ONIランサムウエア GlobeImposter の亜種といわれているランサムウエア —

    GlobeImposter は、2017年5月ごろからヨーロッパなどでの被害が 確認されている比較的最近のランサムウエア 標的型メール攻撃を利用 警告画面が日本語表示のみ 仮想通貨の要求をしていない 15 日本をターゲットにしたGlobeImposterの亜種（”ONI”の正体） https://www.cylance.com/ja_jp/blog/jp-oni-ransomware-globeimposter.html 日本のターゲットに 特化したランサムウエア

17. Copyright ©2017 JPCERT/CC All rights reserved. おわりに 16

18. Copyright ©2017 JPCERT/CC All rights reserved. 侵入を完全に防ぐことはできない 対策を多段に設ける — 攻撃されないようにする対策

    利用製品の定期的なバージョンアップ 通信の制限（ポートや通信先） — 攻撃されたことを見つける対策 アンチウイルスソフト ログ監視（MSイベント、プロキシ、FW、DNS） — 攻撃された際のリカバリー方法 バックアップ方法の検討 アンテナを広く — インシデントや脆弱性に関する情報収集 17

19. Copyright ©2017 JPCERT/CC All rights reserved. JPCERT/CCも早期警戒情報を発信しています 18 お問い合わせ窓口 JPCERT/CC

    早期警戒グループ 早期警戒情報登録受付窓口 [email protected] JPCERT/CC 早期警戒情報ページより https://www.jpcert.or.jp/wwinfo/

20. Copyright ©2017 JPCERT/CC All rights reserved. 19 お問合せ、インシデント対応のご依頼は JPCERTコーディネーションセンター —

    Email：[email protected] — Tel：03-3518-4600 — https://www.jpcert.or.jp/ インシデント報告 — Email：[email protected] — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email：[email protected] — https://www.jpcert.or.jp/ics/ics-form

21. Copyright ©2017 JPCERT/CC All rights reserved. 20 ご静聴ありがとうございました