脆弱性データベース - 中央大学 ·...

Copyright © Hitachi Incident Resposen Team. 2006. All rights reserved.

脆弱性データベース侵害活動の変遷と対策のための情報収集

株式会社日立製作所Hitachi Incident Response Team寺田真敏

http://www.hitachi.co.jp/hirt/http://www.hitachi.com/hirt/

2006/08/19

文部科学省科学技術振興調整費中央大学研究開発機構情報セキュリティ・情報保証人材育成拠点平成18年度情報セキュリティ人材育成公開講座2006年8月19日(土)～23日(水)


近年、急激にインシデントも多様化し、かつその変化

も早くなってきています。このような変化は、インシデ

ントの対処にも変化をもたらしました。

本講座では、まず、過去と現在の侵害活動を概観す

ると共に、侵害活動の手法の技術的詳細を解説する

ことで、侵害活動に関する理解を深めます。

次に、脆弱性対応とインシデント対応を行う上で、ど

ういった情報源を参考にすれば良いか、国内外のサ

イトを紹介します。またそれらの情報の見方と活用方

法について紹介します。

Opening


1. 攻撃手法の変遷

2. インシデントオペレーション

付録A. 脆弱性対策情報の提供サイト付録B. インシデント情報提供サイト付録C. 感染先探索特性

Contents


1. 攻撃手法の変遷

攻撃手法の多様化とツールの高機能化により、高度な技術力がなくても多彩な侵害活動が可能となってきています。

4© Hitachi Incident Resposen Team. 2006.

1.1

①

②

④

③⑤

⑥

⑥

Computer Security Issues that Affect Federal, State, and Local Governments and the Code Red Wormhttp://www.cert.org/congressional_testimony/Carpenter_testimony_Aug29.html

攻撃手法の変遷攻撃手法の多様化とツールの高機能化により、高度な技術力がなくても多彩な侵害活動が可能となってきた。


1988年12月インターネットワーム事件⇒バッファオーバーフロー攻撃などサーバの脆弱性を攻略

2001年05月 sadmind/IIS ワーム⇒sadmindのバッファオーバーフロー、IIS(MS01-026)の脆弱性を攻略

2001年07,08月 CodeRed ワーム⇒IISのバッファオーバーフロー問題（MS01-033）を攻略

2001年09月 Nimda ワーム⇒IIS(MS00-078,MS01-026)とIE(MS01-020)の脆弱性を攻略

2002年07月 Apache/mod_sslワーム⇒OpenSSLのバッファオーバーフロー問題（CA-2002-23）を攻略

2003年02月 SQL Slammer ワーム⇒MSSQLのバッファオーバーフロー問題（MS02-061）を攻略

2003年08月 Blaster, Welchiaワーム⇒RPC DCOMのバッファオーバーフロー問題（MS03-016）を攻略

2004年03月 Wittyワーム⇒RealSecureのICQ解析処理のバッファオーバーフロー問題を攻略

2004年05月 Sasserワーム⇒LSASSのバッファオーバーフロー問題（MS04-011）を攻略

1.2

①

攻撃手法の変遷歴史は繰り返す: 脆弱性を悪用したワームの流布サーバの脆弱性を攻略するネットワークワームは15年以上も前に発生


Code RedCode Red, Code Red II

1.2

2001年06月18日マイクロソフト「MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」を公表

2001年07月18日 CodeRed I ワーム発生2001年08月06日 CodeRed II ワーム発生

CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Wormhttp://www.cert.org/advisories/CA-2001-23.htmlhttp://www.security.nl/misc/codered-stats/ [x]

攻撃手法の変遷歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布CodeRed: 数時間のうちに20万台以上の計算機が感染した。

7© Hitachi Incident Resposen Team. 2006.Cooperative Association for Internet Data Analysishttp://www.caida.org/

1.2

2002年07月25日マイクロソフト「MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される」を公表

2003年01月25日 Slammer ワーム発生

Sat Jan 25 05: 29: 00

Sat Jan 25 06: 00: 00

僅か30分

10分間のうちに脆弱性のあるホストのうち90％が感染したといわれている。

攻撃手法の変遷歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布Slammer: 感染動作自体がインターネットをDoS状態に陥れる。

8© Hitachi Incident Resposen Team. 2006.Cooperative Association for Internet Data Analysishttp://www.caida.org/

1.2

2004年03月18日 ISS 製品における ICQ 解析の脆弱点を公表2004年03月20日 Witty ワーム発生僅か2日後

ISSKK BlackICE Wittyワームを更新2004-03-23 18: 01

ISS AlertCon② => ①2004-03-24 00: 20

ISSKK BlackICE WittyワームをWeb 公開2004-03-21

@police ISS製品の脆弱性及びWittyワームの発生について(3/21) をWeb 公開

2004-03-21 23: 24

ISS AlertCon① => ②2004-03-20 22: 40

ISSKK ISS 製品における ICQ 解析の脆弱点をWeb 公開

2004-03-19 11: 17

内容日時 (JST)

@police UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20) をWeb 公開

2004-03-20 22: 16

US-CERT Current Activity としてWitty Worm を報告

2004-03-20 (米国日付)

トレンドマイクロWORM_WITTY.AシマンテックW32.Witty.Worm日本ネットワークアソシエーツW32/Witty.worm

2004-03-20(米国日付)

ISC 発信元ポート番号 4000/UDP トラフィックの増加 ("Witty" worm attacks BlackICEfirewall) を確認

2004-03-20 14: 00

Sat Mar 20 04: 45: 36

Sat Mar 20 06: 41: 40

2時間後

攻撃手法の変遷歴史は繰り返す: 脆弱性を悪用したネットワークワームの流布Witty: セキュリティ製品も例外ではない。


1994年02月パスワード大量盗難⇒ネットワークモニタリングによる認証情報の盗聴

　

2000年以降無線LANの普及無線LANの電波の届く範囲内にいれば、誰でもデータを受信することができてしまう。⇒通信内容の盗聴や無線LANの不正利用

　

The WorldWide WarDriveWWWD(The WorldWide WarDrive)とは、世界中の参加者がPCを抱えて、自分たちの周囲の無線LANのセキュリティ状況をチェックするイベントである。その調査報告によれば、

インターネット完備ホテルの普及シェアードHUB(リピータHUB)、デュアルスピードHUBで構成されていた場合、ネットワークモニタリングは容易である。

　　　　　 ⇒通信内容の盗聴

1.2

②

The Official WorldWide WarDrivehttp://www.worldwidewardrive.org/

アクセスポイント数

WEP使用

WEP未使用

SSIDデフォルト

SSIDデフォルト・WEP未使用

第1回9,374

2,825(30.1%)6,549(69.9%)2,768(29.5%)2,497(26.6%)

第2回24,958

6,970(28.0%)17,988(72.1%)8,802(35.2%)7,847(31.4%)

第3回88,122

28,427(32.3%)59,695(67.7%)24,525(27.8%)21,822(24.7%)

第4回228,537

87,647(38.3%)140,890(61.6%)71,805(31.4%)62,859(27.5%)

第1回 2002年8月31日から9月7日 6ケ国&2大陸 22エリア 100人で調査第2回 2002年10月26日から11月2日 7ケ国&4大陸 32エリア 200人で調査第3回 2003年6月28日から7月5日 11ケ国&4大陸 52エリア 300人で調査第4回 2004年7月12日から7月19日

攻撃手法の変遷歴史は繰り返す: ネットワークモニタリング有線から無線へ、そして利用シーンの拡大へ


1.2攻撃手法の変遷歴史は繰り返す: ネットワークモニタリング有線から無線へ、そして利用シーンの拡大へ

WiGLE - Wireless Geographic Logging Engine - Plotting WiFi on Mapshttp://www.wigle.net/

WiGLE(2006/08/16)7,455,049

2,855,280 (38.2%)3,288,921 (44.1%)

1,647,197 (22.0%)

アクセスポイント数

WEP使用

WEP未使用

SSIDデフォルト

1,310,848 (17.5%)WEP不明

無線LANのアクセスポイントに関する観測結果を登録するサイトの報告によれば、


1991年04月 CERT Advisory CA-1991-03Unauthorized Password Change Requests Via Mail Messages⇒ソーシャルエンジニアリング攻撃

2004年～ Phishing (フィッシング) 詐欺2005年07月 US-CERT Technical Cyber Security Alert TA05-189A

Targeted Trojan Email Attacks (スピアメール)⇒特定の組織や個人を標的にした攻撃活動へ

1.2

③

SAMPLE MAIL MESSAGE as received by the CERT (including spelling errors, etc.) :{mail header which may or may not be local} :This is the system administration:Because of security faults, we request that you change your password to "systest001". This change is MANDATORY and should be done IMMEDIATLY. You can make this change by typing "passwd" at the shell prompt. Then, follow the directions from there on.

Again, this change should be done IMMEDIATLY. We will inform you when to change your password back to normal, which should not be longer than ten minutes.

Thank you for your cooperation,

The system administration (root)

END OF SAMPLE MAIL MESSAGE

http://www.cert.org/advisories/CA-1991-03.htmlhttp://www.us-cert.gov/cas/techalerts/TA05-189A.htmlAntiPhishingJapan　フィッシング対策協議会http://antiphishing.jp/

攻撃手法の変遷歴史は繰り返す: ソーシャルエンジニアリング電子メールが攻撃の起点となっている。


ウイルス名称ウイルス名称

Melissa(1999-03)Melissa(1999-03)

LoveLetter (2000-05)LoveLetter (2000-05)

MTX (2000-09)MTX (2000-09)

Hybris (2000-09)Hybris (2000-09)

Magistr(2001-03)Magistr(2001-03)

Sircam (2001-07)Sircam (2001-07)

Nimda(2001-09)Nimda(2001-09)

Badtrans.B(2001-11)Badtrans.B(2001-11)

Klez(2001-11）Klez(2001-11）

Fbound (2002-03)Fbound (2002-03)

Sobig.E (2003-06)Sobig.E (2003-06)

Mimail.C (2003-08)Mimail.C (2003-08)

特徴特徴

1.3

④

注：メール大量送信型のウイルスを対象にリストアップ

アドレス帳に登録されているアドレスに自身をメール送信する。アドレス帳に登録されているアドレスに自身をメール送信する。

電子メールとIRC(Internet Relay Chat)を経由して流布する。電子メールとIRC(Internet Relay Chat)を経由して流布する。

添付ファイル名として数種類のバリエーションを提供する。指定したWebサイトからプラグインをダウンロードする。添付ファイル名として数種類のバリエーションを提供する。指定したWebサイトからプラグインをダウンロードする。

メールの内容と添付ファイル名はシステムの言語設定によって変更する。メールの内容と添付ファイル名はシステムの言語設定によって変更する。

電子メールとWindowsネットワークを経由して感染する。本文と件名はランダムに作成する。

電子メールとWindowsネットワークを経由して感染する。本文と件名はランダムに作成する。

ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイルを外部に送信する。

ワーム本体にハードディスクからランダムに選択したドキュメントを付加し、そのファイルを外部に送信する。

MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。MS01-020のセキュリティホールを利用し、メールプレビューのみで感染する。

キー操作のログを作成し、外部に送信する。キー操作のログを作成し、外部に送信する。

送信元メールアドレスを偽装する。ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。

送信元メールアドレスを偽装する。ファイルやアドレス帳に登録されているアドレスに自身をメール送信する。

件名を日本語化する。件名を日本語化する。

自己機能更新機能を持つ。自己機能更新機能を持つ。

特定サイトに攻撃を仕掛けるDDoS機能を持つ。特定サイトに攻撃を仕掛けるDDoS機能を持つ。

攻撃手法の変遷技術は活用される: 進化するウイルス良くも悪くも技術は継承されている。


1995年01月ケビン・ミトニック事件⇒送信元IPアドレス偽装によるコネクションハイジャック

1996年09月米国プロバイダPANIXへのDoS攻撃⇒送信元IPアドレスを偽装したDoS（Denial of Service）攻撃

2000年02月米国有名サイトへのDDoS攻撃⇒送信元IPアドレスを偽装した

DDoS(Distributed Denial of Service)攻撃

2001年11月 Klezの流布⇒ウイルスも送信元メールアドレスを偽装送信元IPアドレスに比べ、送信元メールアドレスの偽装は容易である。

2003年08月 Blasterの流布⇒送信元IPアドレスを偽装し、windowsupdate.comサイトに

DDoS攻撃を仕掛ける機能を装備

1.3

⑤

注: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とするwindowsupdate.com ドメインのIPアドレスをDNSから削除した。これにより、BlasterワームのDDoS攻撃が機能せず、DDoS攻撃の回避を図ることができた。

攻撃手法の変遷技術は活用される: 送信元の偽装IPアドレス、電子メールアドレス、、、

送信元IPアドレス偽装の事例が知れ渡る

偽装は問題解決を妨げる技術


1.3

1996年パケットレベルのDoS攻撃を実現可能とする脆弱性の発見～1998年 CA-96: 01 UDP Port Denial-of-Service Attack

CA-96: 21 TCP SYN Flooding and IP Spoofing AttacksCA-96: 26 Denial-of-Service Attack via pingCA-97: 28 IP Denial-of-Service AttacksCA-98: 01 “smurf” IP Denial-of-Service Attacks

1996年09月米国プロバイダPANIXへのDoS(TCP SYN Flooding)攻撃

1999年パケットレベルのDDoS攻撃ツールの出現Trin00, TFN, TFN2K, Stacheldraht, Mstreamなど

2000年02月米国有名サイトへのDDoS攻撃⇒2月7日: Yahoo!!,Buy.com,eBay,Amazon.com,CNN.com⇒2月8日: MSN,⇒2月9日: E*TRADE,ZDNet

2001年07月 CodeRed Iの流布⇒特定IPアドレスへのDDoS攻撃 (注1)

2003年08月 Blasterの流布⇒windowsupdate.comサイトへのDDoS攻撃 (注2)

⑥

注1: WebサイトのIPアドレスを変更することでDDoS攻撃を回避した。注2: 8月15日夕刻、マイクロソフト社において、Blasterワームが攻撃対象とするwindowsupdate.com ドメインのIPアドレスをDNSから削除した。これにより、BlasterワームのDDoS攻撃が機能せず、DDoS攻撃の回避を図ることができた。

攻撃手法の変遷技術は活用される: 進化するパケットレベルのDoS攻撃進化の歴史

攻撃者ひとり

攻撃者の分身

ワーム


1.3

攻撃管理形態: 階層型攻撃エージェントのインストール: 電子メール型ワームを利用したインストール攻撃対象指定: 不明攻撃トリガ: 不明攻撃機能更新: ありSobig.F

2003年09月

Trin00TFN

TFN2KStacheldraht

1999年

攻撃管理形態: 階層型攻撃エージェントのインストール: 侵入時に手作業でインストール攻撃対象指定: IPアドレス攻撃トリガ: 攻撃者からの指示攻撃機能更新: なし

攻撃者

攻撃管理システム(master)

攻撃エージェント(daemon)

攻撃対象

攻撃対象攻撃管理システム

名称特徴

攻撃エージェント

⇒ボットネット: 攻撃指示管理系に活用

攻撃手法の変遷技術は活用される: 進化するDDoS攻撃攻撃管理形態: 階層型


1.3

攻撃管理形態: 水平型攻撃エージェントのインストール: バックドアを利用した自動インストール攻撃対象指定: ドメイン名攻撃トリガ: 時刻攻撃機能更新: なしDoomjuice

2004年2月

Blaster2003年8月

攻撃管理形態: 水平型攻撃エージェントのインストール: 脆弱性の利用した自動インストール攻撃対象指定: ドメイン名攻撃トリガ: 時刻攻撃機能更新: なし

名称特徴

攻撃対象


攻撃対象


⇒ボットネット: 攻撃エージェント(ボット)配備系に活用

攻撃手法の変遷技術は活用される: 進化するDDoS攻撃攻撃管理形態: 水平型


ボット: 外部からの命令に従って何らかの悪質な動作をするプログラムボットネット: IRC(Internet Relay Chat)などの通信チャネルにより制御されたボット群攻撃指示管理系(攻撃者分身)＋攻撃エージェント配備系(ワーム)を備えた集積技術

スパム送信 Worm配布

秘

個人情報等収集

= 攻撃エージェント(ボット)配備系 =IRCへの接続機能を持ったボットを配備する。

ボットネット

= 攻撃指示管理系 =IRCを使ってボットを制御(攻撃指示、機能更新、　情報収集など)する。 IRCサーバ

アンダーグランドビジネスとの連携(≒犯罪の領域)

1.3

DoS攻撃

攻撃管理システム

攻撃者

@police: ボットネット（botnet）に注意http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdfTelecom-ISAC Japanhttps://www.telecom-isac.jp/

攻撃手法の変遷技術は活用される: 進化するDDoS攻撃組織化された攻撃態勢へと進化: ボットネット(Botnet)


1981年最初のコンピュータウイルス「Elk Cloner」1984年 Fred Cohen、コンピュータウイルスの定義提唱1986年パキスタンブレインウイルス1987年最初のトロイの木馬「PC-Write」1987年エルサレムウイルス1988年国内最初のコンピュータウイルス1988年12月インターネットワーム事件

⇒バッファオーバーフロー攻撃などサーバの脆弱性を利用

1991年01月 Berferd事件 (AT&T研究所)1992年ミケランジェロウイルス1992年ポリモーフィックウイルス1994年最初のHOAXウイルス「Goodtimes」1994年02月パスワード大量盗難

⇒パケットモニタリングによる認証情報の盗聴

1995年01月ケビン・ミトニック事件⇒IPアドレスの偽造によるコネクションハイジャック

1995年最初のマクロウイルス「Concept」

1.4攻撃手法の変遷インシデントの移り変わり1990年以前～1990年代前半:インターネット商用化前

インシデントの多くは、学術系サイトで発生


1996年08月米国司法省Webページの書き換え⇒WWWの普及に伴うセキュリティホールの顕在化

1996年09月 PANIXへのDoS攻撃⇒パケットレベルのDoS攻撃の出現

1997年08月 Web cgi-binプログラムへの攻撃⇒脆弱性探査ツールの高度化

1999年03月 Melissaウイルス⇒ソシアルエンジニアリング攻撃の併用

1999年05月米政府関連Webサイトの書き換え2000年01月官公庁関連Webサイトの書き換え2000年02月米国有名サイトへのDDoS攻撃

⇒DDoS(Distributed Denial of Service)攻撃の出現2000年05月 LoveLetterウイルス2001年02月国内複数Webサイトの書き換え2001年05月 sadmind/IISワーム

⇒サーバの脆弱性を攻略する

2001年07,08月 CodeRed ワーム⇒サーバの脆弱性を攻略する

2001年07月 Sircumウイルス2001年09月 Nimdaワーム

⇒サーバ/クライアントの脆弱性を攻略する

マルウェア(不正アクセス型ウイルス)の世代へ

時差なしの世代へ

1.4

脆弱性公開に伴うインシデントが日本で多発するまでに時差あり

攻撃手法の変遷インシデントの移り変わり1990年代後半～2000年代前半：Melissaウイルス出現後から時差なしの世代へ


2003年01月 Slammerワーム2003年08月 Blasterワーム2003年08月 Welchiaワーム2004年05月 Sasserワーム2005年08月 Zotobワーム [ ワームからボットへの転換期 ]

⇒サーバの脆弱性を攻略する

2005年～フィッシングスパイウェア⇒ソーシャルエンジニアリング攻撃の併用

Winnyによる情報流出⇒ソーシャルエンジニアリング攻撃の併用

スピアフィッシングスピアメール⇒対象絞込み型の　　ソーシャルエンジニアリング攻撃の併用

2006年08月 W32/Graweg (別名：W32.Wargbot, WORM_IRCBOT.JK/JL, IRC-Mocbot!MS06-040)⇒サーバの脆弱性を攻略する⇒大規模感染 (均一的かつ広範囲に渡る被害) 型ワームはいずこに。。。

1.4攻撃手法の変遷インシデントの変遷2005年～：新たなインシデント形態へ

ネットワークワーム全盛期(均一的かつ広範囲に渡る被害)

金銭を目的とした犯罪活動(類似した局所的な被害)

スパイ型犯罪活動(局所的な被害)


2. インシデントオペレーション

脆弱性から重大なインシデントへの発展を可能な限り早期に弁別するために実施する6つの段階 (準備、警戒、予兆、対処、監視、収束) について概説します。


インシデント対処の変化インシデントレスポンスからインシデントオペレーションへ2.1

項目2000年前後

インシデントレスポンス

2003年以降インシデントオペレーション

インターネットの利用度(依存度) ビジネスでの使い始め社会インフラ

代表的なインシデントサイトへの不正侵入Webページの書き換え

電子メール型ワームネットワークワームDDoS攻撃悪性スパムフィッシングなど

インシデント発生に伴う影響局所的な被害経済活動等への影響小

広範囲に渡る被害各種業務等全般に関わるため経済活動への影響大

インシデントの対処体制単独組織での対応複数組織での共同対応

インシデント対処の考え方事後処理を中心とした対応インシデントに伴う被害を予測ならびに予防し、インシデント発生後は被害の拡大を低減する対応


2.1

時間軸

脆弱性ZZの情報公開

脆弱性ZZを悪用した侵害活動の発生

脆弱性ZZを悪用した侵害活動の沈静化

脆弱性対策期間インシデント対応期間

公開された脆弱性を悪用した侵害活動が発生しない場合

公開された脆弱性を悪用した侵害活動が発生した場合(例: SQL Slammer)

脆弱性を悪用しない侵害活動が発生した場合(例: Sobig)

脆弱性XXの情報公開

脆弱性対策期間

侵害活動の発生侵害活動の沈静化

インシデント対応期間

注1: 上記では除外しているが、「zero-day attack」という、セキュリティ上の脆弱性が　　　広く公表される前にその脆弱性を悪用して行なわれる侵害活動も存在するので留意のこと。注2: ここでのインシデント対応には、流布しているワームによる侵害活動などを回避する予防措置的な対応を含んでいる。

脆弱性XXの発見

脆弱性ZZの発見

インシデント対処の変化被害が発生することを想定した対応体制を整備する。時間軸の広がり： ①脆弱性対策活動、②インシデント対応活動

脆弱性対策活動インシデント対応活動

セキュリティに関するなんらかの問題を引き起こす脆弱性を除去するための活動

実際に発生している侵害活動の回避やセキュリティに関する問題事象を解決するための活動


インシデントオペレーションにおいては、脆弱性から重大なインシデントへの発展を可能な限り早期に弁別し事前対応することが、インシデント発生後の被害拡大の低減につながるというアプローチをとる。

対応活動は、インシデント発生以降から始まるのではなく、脆弱性の発見あるいは、

脆弱性ならびに修正プログラムの公開以降から始まる。

インシデント対応活動脆弱性対策活動

2.1

脆弱性ZZの情報公開

脆弱性ZZを悪用した侵害活動の発生

脆弱性ZZを悪用した侵害活動の沈静化

脆弱性対策期間インシデント対応期間

脆弱性ZZの発見

インシデント対処の変化被害が発生することを想定した対応体制を整備する。時間軸の広がり： ①脆弱性対策活動、②インシデント対応活動

時間軸

インシデントレスポンス「事後処理を中心とした対応」

インシデントオペレーション「インシデントを予防し、インシデント発生後は被害の拡大を低減する」ために実施する一連のセキュリティ対策の総称


2.2ネットワークワーム／ボット対応脆弱性を悪用した侵害活動の再考MS Blaster、Sasser、Zotob、Grawegの比較

悪用する脆弱性(公表日)

攻撃検証コード(公表日)

ベース

発生日

探査方法：探索比率加味

探査方法：探索形態

探査方法：探索範囲

バックドア活動

MS BlasterMS03-0262003-07-17

dcom.c2003-07-27

－

2003-08-11

アドレスブロック探索比率加味型

スイープ探索型

限定なし(グローバル)

・DoS攻撃日付がある条件の場合、"windowsupdate.com" に対してDoS攻撃を開始

Sasser.AMS04-0112004-04-14

HOD-ms04011-lsasrv-expl.c2004-04-29

－

2004-04-30


ランダム探索型

限定なし(グローバル)

－

Zotob.AMS05-0392005-08-10

HOD-ms05039-pnp-expl.c2005-08-12

Mytob

2005-08-14



同一ネット

・プロセスの終了・DoS攻撃・特定のIRCサーバに接続・インターネットからファイルのダウンロード・特定のWebサイトを訪問・自身のコピーのアンインストール・システム情報の収集(CPU速度、メモリ容量)・自身のアップデートファイルのダウンロード・ポート8888番を介してリモートコマンドシェルを作成・プロセスの終了

GrawegMS06-0402006-08-09

netapi_ms06_040.pm2006-08-10

Mocbot

2006-08-12

?

?

?

・特定のIRCサーバに接続・不正リモートユーザからのコマンドを待機・スパムメール発信のための踏み台・プロキシ構築・SYN フラッド、DDoS 攻撃・MS06-040の脆弱性を利用した他のコンピュータへの感染活動・自身のアップデートファイルのダウンロード

バックドア活動バックドア活動の主体が、DDoS攻撃ではなく、侵害活動のインフラ構築、すなわち、ボットネット構築に移行している。

攻撃検証コードの取り込み期間の短縮化Sasser、Zotob、Grawebのいずれも、攻略コードが公開されてから取り込まれるまでの期間は2日間ほどであり、マルウェアの作成が手順化ならびにモジュール化されつつあると類推される。


2.2ネットワークワーム／ボット対応脆弱性を悪用した侵害活動の再考MS Blaster、Sasser、Zotobの探索方法の比較

MS BlasterCodeRed, Nimda

Sasser


アドレスブロック探索比率加味

探索形態スイープ探索型

あり

なし

探索範囲

限定なしグローバル

同一ネット

Zotob

Slammer

Zotobの感染活動に伴う探索範囲は、同一ネット(上位2オクテットが同一)に限定されており、このような動作は探索範囲に制限を設けずに流布する既存ネットワークワームCodeRed、Nimda、Slammer、MS Blaster、Sasserとの大きな違いとなっている。

感染先探索活動感染活動は、探索範囲に制限を設けずに流布する形態ではなく、探索範囲を限定して流布する傾向にある。これは、US-CERTから報告されているTargeted Trojan Email Attacksやスピアフィッシングと同様であり、侵害活動がより見えにくくなって行くことが　予想される。

C.1～C.6参照C.1～C.6参照


脆弱性の発見

脆弱性ならびに修正プログラムの公開

攻撃検証コードの公開

ネットワークワームの出現


準備警戒予兆対処監視収束

▲2003年10月8日: eEye Digital Security 「LSASS の脆弱性」を確認▲ 2004年4月14日: マイクロソフト 2004 年 4 月修正プログラム提供開始

▲2004年4月17日:攻撃検証コードの公開Billybastard.c▲2004年4月26日:攻撃検証コードの公開

04252004.ms04011lsass.c▲2004年4月29日:攻撃検証コードの公開

HOD-ms04011-lsasrv-expl.c

▲2004年4月30日: Sasser.A攻撃検証コードの悪用

▲2004年5月1日: Sasser.B▲2004年5月2日: Sasser.C▲2004年5月3日: Sasser.D

▲2004年5月8日: Sasser.E▲2004年5月10日: Sasser.F

ネットワークワーム／ボット対応ネットワークワーム出現までの過程：Sasser2.2

ネットワークワーム／ボット出現までの過程

⇒脆弱性の発見⇒脆弱性・修正プログラムの公開⇒攻撃検証コードの公開⇒ネットワークワーム／ボットの出現




脆弱性の発見

脆弱性ならびに修正プログラムの公開

攻撃検証コードの公開

ボットの出現


準備警戒予兆対処監視収束

▲: US-CERT, SANS 「Server サービスの脆弱性」を確認▲ 2006年8月9日: マイクロソフト 2006年8月修正プログラム提供開始

▲2006年8月10日:攻撃検証コードの公開ms06-040.tgz

▲2006年8月10日:攻撃検証コードの公開netapi_ms06_040.pm

▲2006年8月12日: Win32/Graweg攻撃検証コードの悪用

ネットワークワーム／ボット対応ボット出現までの過程：Graweg2.2






準備段階

発見された脆弱性の解析をおこなうことにより、脆弱性が与える影響、脆弱性への攻撃容易性を検

討すると共に、脆弱性を悪用された場合のインシデントシナリオを想定作成する。なお、準備段階の実施事項は、脆弱性ならびに修正プログラムの公開以降に開始しなければならない場合もある。

脆弱性の解析

脆弱性が与える影響 (DoS、任意のコード実行、権限昇格など)、脆弱性への攻撃容易性 (攻撃に必要な権限、攻撃に利用できるネットワークサービスポート、攻撃コードへの制約有無、攻撃コードの作成難易度など) を検討することにより、攻撃検証コードの公開や脆弱性の亜種公開を警戒すべきかを判断する。

インシデントシナリオの作成

脆弱性の解析結果から、考えうる攻撃コードを想定すると共に、攻撃検証コードの公開可能性と脆弱性を悪用した最悪シナリオ (ワーム化の可能性など) を想定する。

インシデントオペレーションにおける6つの段階準備段階、警戒、予兆、対処、監視、収束2.3

＜Sasserの場合の対応状況＞Sasserの攻略対象としたMS04-011のLSASS (Local Security Authority Subsystem Service) の脆弱性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻度は“緊急”であった。

＜Sasserの場合の対応状況＞Sasserの攻略対象としたMS04-011のLSASS (Local Security Authority Subsystem Service) の脆弱性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS04-011で提示した深刻度は“緊急”であった。

＜Grawegの場合の対応状況＞Grawegの攻略対象としたMS06-040のServer サービスの脆弱性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。

＜Grawegの場合の対応状況＞Grawegの攻略対象としたMS06-040のServer サービスの脆弱性は、リモートから任意のコードを実行可能な脆弱性であり、マイクロソフトがMS06-040で提示した深刻度は“緊急”であった。


脆弱性が与える影響、脅威や対処方法を把握するには、TCP/IPの通信層、アプリケーションプログラム、データやユーザなどの攻撃対象毎に分類したり、情報収集、攻撃、占領段階のように侵害活動のフェーズ毎に分類したり、コンピュータに侵入することを必要とする侵害活動か否かの攻撃形態毎に分類し、検討すると良い。

①攻撃対象別物理的な装置、TCP/IP、アプリケーション、データ、ユーザなど対象毎に有効な攻撃手法と関連付ける。

2.3準備段階侵害形態の分類①攻撃対象別、②攻撃段階別、③攻撃形態別

データリンク

IP/ICMP

TCP/UDP

アプリケーション

データ

ユーザ

物理的な装置

攻撃対象ソーシャルエンジニアリング攻撃

バッファオーバーフロー攻撃

DoS/DDoS攻撃

盗難

IPアドレス偽造

パケットモニタリング

クロスサイトスクリプティング不正アクセス型ウィルス


(a) 情報収集: 攻撃対象に関する情報を得る。情報提供サービスの利用(whois, DNS, finger, Webページなど)探査(ホストスキャン, ポートスキャン, OS識別, 脆弱性)ソーシャルエンジニアリング　など

(b) 攻撃: 実際に侵入活動を行う。パスワードの盗聴、パスワードクラッキング

プログラムの仕様や実装の脆弱性への攻撃システム設定環境不整合の悪用マルウェア(トロイの木馬など)の利用　など

(c) 占領: 侵害の目的を実行する。機能阻害: コンピュータやネットワークの機能を阻害する機能破壊: コンピュータやネットワークを破壊する機能利用: 他のコンピュータやネットワークの機能阻害、機能破壊等を行う情報盗取: コンピュータやネットワーク上にある情報を盗取する情報改竄: コンピュータやネットワーク上にある情報を改竄する情報破壊: コンピュータ上にある情報を破壊する利用行為: コンピュータやネットワークを利用する

空き巣にたとえると。。。

家の物色

ドア・窓の鍵の調査

留守宅かどうかの確認

ドア・窓のこじ開け

盗み、破壊


②攻撃段階別「情報収集」「攻撃」「占領」の各フェーズと関連付ける。


(a) 「ローカル攻撃」 vs 「リモート攻撃」攻撃者の立場から、攻撃対象となるコンピュータへの攻撃形態を分類する。ローカル攻撃コンソールを使用した攻略など該当するシステムや装置を

目の前にして攻撃活動を行う。リモート攻撃ネットワークや他の通信手段を用いて遠隔から攻撃活動を行う。

(b) 「内部型攻撃」 vs 「外部型攻撃」リモート攻撃の攻撃形態を細分化する。内部型攻撃コンピュータ内部になんらかの方法で侵入した後、攻撃活動を行う。外部型攻撃提供されているサービスに対して攻撃活動を行う。

攻撃者自身が正規のユーザとしてサービスを利用することを前提とし、コンピュータ内部に侵入しなくても外部から攻撃活動の可能である。

(c) 「能動型攻撃」 vs 「受動型攻撃」攻撃活動の引き金となる主体により分類する。能動型攻撃攻撃活動の引き金を制御する主体が攻撃者自身である。

＝＞攻撃者は攻撃活動の引き金を制御できる。受動型攻撃攻撃活動の引き金を制御する主体が攻撃対象となるコンピュータの利用者

＝＞攻撃者は攻撃活動の引き金を制御できない。＝＞スピア型は、攻撃者側に引き金の制御を持たせるための手段


③攻撃形態別 3つの分類と関連付ける。


ネットワークや他の通信手段を用いて遠隔から攻撃活動を行う。

ローカル攻撃リモート攻撃

コンソールを使用した攻略など該当するシステムや装置を目の前にして攻撃活動を行う。

事例

分類

・計算機単体のセキュリティ強化　＋アカウント管理　＋脆弱性対策の実施

・ネットワーク系のセキュリティ強化　＋ファイアウォール技術の適用　＋脆弱性対策の実施　ただし、サービス不能攻撃については、　サービスを提供／利用している限り効果的な　妨害対策は難しい。

対策

計算機への侵入

サービス運用妨害

攻撃!!攻撃!!

2.3準備段階侵害形態の分類③攻撃形態別 (a) 「ローカル攻撃」vs「リモート攻撃」

A.3,A.5,A.7参照A.3,A.5,A.7参照


内部型攻撃 (計算機内部からの不正) 外部型攻撃 (計算機外部からの不正)

サービス運用妨害(DoS: Denial of Service)・大量のデータ(IPパケット、電子メールなど)　の送付・大きなデータ(電子メールなど)の送付・誤動作または、通信障害を引き起こす不正なパケットの送付　など

第1段階 (計算機への侵入)・パスワードの盗聴・他の計算機や人へのなりすまし・システム設定環境不整合の攻撃・プログラムの脆弱性攻撃・マルウェアの利用　など第2段階 (計算機内部での不正)・メモリ、ディスクの浪費・マルウェアの稼動・他の計算機侵入のための踏み台・管理者権限の獲得　など

事例

分類

・ファイアウォール技術の適用・脆弱性対策の実施

・サービスを提供／利用している限り効果的な妨害対策は難しい。対策

①サービス運用妨害

②攻撃!!②計算機内部での不正

データ削除

①計算機への侵入

他の計算機への侵入

③攻撃!!

2.3準備段階侵害形態の分類③攻撃形態別 (b) 「内部型攻撃」vs「外部型攻撃」


能動型攻撃受動型攻撃

人手の介在を必要とするマルウェア・Melissa, LoveLetter などのマルウェア人手の介在を必要としないマルウェア・Nimda などのマルウェア・CERT Advisory CA-2001-06, CA-2000-16,　CA-2000-14, CA-2000-12 などの脆弱性を　攻撃するマルウェア

・パスワードの盗聴による他人へのなりすまし・サーバのセキュリティホールの攻撃・サーバのシステム設定環境不整合の攻撃　など

事例

分類

サーバでのセキュリティ対策・ファイアウォール技術の適用・脆弱性対策の実施

クライアントでのセキュリティ対策・脆弱性対策の実施・ウイルス対策・ユーザ教育

対策

①マルウェアの受信(メール添付ファイル)

メール添付ファイルをユーザが実行すると攻撃活動が活性化してしまう。実行しないと活性化しない。

③攻撃!!

②実行

①計算機への侵入

①サービス運用妨害

攻撃者の試みた攻略が成功した＝攻撃活動の活性化

②攻撃!!

②攻撃!!

2.3準備段階侵害形態の分類③攻撃形態別 (c) 「能動型攻撃」vs「受動型攻撃」

A.7参照A.7参照


警戒段階

修正プログラムの実機検証をおこなうと共に、脆弱性公開に伴う各組織の対応を把握することに

より、現時点でとりうる脆弱性の対策を判断する。

修正プログラムの実機検証

修正プログラムによる脆弱性除去の実機検証、修正プログラムに伴う不具合状況確認を通して、現時点

でとりうる脆弱性の修正あるいは脆弱性の回避策を再確認する。

修正プログラムの適用とその適用状況把握

修正プログラムの適用による脆弱性除去の推進と共に、修正プログラムの適用状況を把握する。

各組織の対応の把握

警戒段階において調査対象となる情報を幅広く調査し、動向を把握する。

インシデントオペレーションにおける6つの段階準備、警戒段階、予兆、対処、監視、収束2.4

＜Sasserの場合の対応状況＞MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム(LSASS)の脆弱性対策に関する注意喚起がなされた。

＜Sasserの場合の対応状況＞MS04-011の公開に伴い、CERT/CC、IPA、@policeからWindowsシステム(LSASS)の脆弱性対策に関する注意喚起がなされた。

＜Grawegの場合の対応状況＞MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策に関する注意喚起がなされた。

＜Grawegの場合の対応状況＞MS06-040の公開に伴い、CERT/CC、JPCERT/CC、IPA、@policeからServerサービスの脆弱性対策に関する注意喚起がなされた。


警戒段階警戒段階において調査対象となる情報2.4

分類情報源

脆弱性情報

US-CERT Vulnerability Notes Database、SecurityFocus Vulnerability Database、X-Force Database、BugTraq、Full-Disclosure など

脆弱性検査ツール情報

マイクロソフト、eEye Digital Security、ISS、Foundstone など

定点観測情報 @police、ISDAS(JPCERT/CC)、Dshield(SANS) など

アラート情報JPCERT/CC、IPA、官公庁、セキュリティベンダなどが発行する注意喚起など

メディア情報ニュース記事、解説など

脅威レベル情報 ALERTCON、ThreatCon など

A.1～A.8参照A.1～A.8参照


警戒段階警戒段階において調査対象となる情報＜Grawegの場合の対応状況＞

2.4

2006-08-15 02:48 SANS MS06-040: BOLO -- Be On the LookOut脆弱性 (CVE-2006-3439,MS06-040) の探索活動について報告

日時 (JST) 内容

2006-08-14 12:42 マイクロソフトマイクロソフトセキュリティアドバイザリ (922437)Win32/Graweg に関する情報を追加

2006-08-12 05:57 マイクロソフトマイクロソフトセキュリティアドバイザリ (922437)Server サービスに影響を及ぼす公開された悪用コードについて報告

2006-08-12マカフィー IRC-Mocbot!MS06-040シマンテック W32.Wargbotトレンドマイクロ WORM_IRCBOT.JK, WORM_IRCBOT.JL

2006-08-11 00:48 NISCC 20060810-00546: Exploit for MS06-040 (vulnerability in the Server service) publicly available

2006-08-10 15:53 IPA/ISEC Microsoft Windows の Serverサービスの脆弱性(MS06-040)について

2006-08-10 16:57 Full-disclosure RE: [Full-disclosure] Exploit for MS06-040 Out?脆弱性 (CVE-2006-3439,MS06-040) 検証コードに関する報告

2006-08-10 15:19 eEye Digital Security Retina MS06-040 NetApi32 Scanner脆弱性 (CVE-2006-3439,MS06-040) 検査ツールリリース

2006-08-09 06:27 @police @police-マイクロソフト社のセキュリティ修正プログラムについて(MS06-040, 041, 042, 043, 044, 045, 046, 047, 048, 049, 050, 051)(8/9)

2006-08-09 マイクロソフト MS06-AUG: 2006 年 8 月のセキュリティ情報

2006-08-09 Department of Homeland Security DHS Recommends Security Patch to Protect Against a Vulnerability Found In Windows Operating Systems

2006-08-09 05:00 ISS AlertCon (1) => (2)

2006-08-09 06:07 US-CERT TA06-220A: Microsoft Products Contain Multiple Vulnerabilities

2006-08-09 11:38 JPCERT/CC JPCERT-AT-2006-0011: Microsoft 製品に含まれる脆弱性に関する注意喚起

警戒段階

対処段階

予兆段階

B1,B2,B.3参照B1,B2,B.3参照


0

1

2

3

4

2003/02/12_01:20

2003/03/14_12:10

2003/04/14_00:10

2003/05/14_00:10

2003/06/14_12:10

2003/07/15_00:30

2003/08/14_00:30

2003/09/13_12:30

2003/10/13_12:30

2003/11/12_12:30

2003/12/12_00:30

2004/01/11_00:30

2004/02/10_00:30

2004/03/11_00:30

2004/04/10_00:30

2004/05/18_12:30

2004/06/17_12:30

2004/07/20_12:30

2004/08/19_12:30

2004/09/18_12:30

2004/10/19_00:30

2004/11/18_12:30

2004/12/18_12:30

2005/01/18_00:30

2005/02/17_00:30

2005/03/19_12:30

2005/04/19_00:30

2005/05/20_00:30

2005/06/19_00:30

2005/07/20_00:30

2005/08/19_00:30

2005/09/18_00:30

2005/10/18_00:30

2005/11/18_00:30

2005/12/18_00:30

2006/01/17_00:30

2006/02/17_12:30

2006/03/19_12:30

警戒段階脅威レベル情報：ALERTCON、ThreatCon＜Sasserの場合の対応状況＞

2.4

脅威レベル

0

1

2

3

4

2003/02/12_01:20

2003/03/14_12:10

2003/04/14_00:10

2003/05/14_00:10

2003/06/14_12:10

2003/07/15_00:30

2003/08/14_00:30

2003/09/13_12:30

2003/10/13_12:30

2003/11/12_12:30

2003/12/12_00:30

2004/01/11_00:30

2004/02/10_00:30

2004/03/11_00:30

2004/04/10_00:30

2004/05/18_12:30

2004/06/17_12:30

2004/07/20_12:30

2004/08/19_12:30

2004/09/18_12:30

2004/10/19_00:30

2004/11/18_12:30

2004/12/18_12:30

2005/01/18_00:30

2005/02/17_00:30

2005/03/19_12:30

2005/04/19_00:30

2005/05/20_00:30

2005/06/19_00:30

2005/07/20_00:30

2005/08/19_00:30

2005/09/18_00:30

2005/10/18_00:30

2005/11/18_00:30

2005/12/18_00:30

2006/01/17_00:30

2006/02/17_12:30

2006/03/19_12:30

https://gtoc.iss.net/issEn/delivery/gtoc/index.jsp

http://www.symantec.com/avcenter/threatcon/learnabout.html

B.4,B.5参照B.4,B.5参照


警戒段階脅威レベル情報：ALERTCON、ThreatCon＜Grawegの場合の対応状況＞

2.4

脅威レベル

http://isc.sans.org/infocon.htmlhttp://www.frsirt.com/english/http://www.symantec.com/avcenter/threatcon/learnabout.htmlhttps://gtoc.iss.net/issEn/delivery/gtoc/index.jsp

B.3,B.4,B.5参照B.3,B.4,B.5参照


予兆段階

攻撃検証コードの公開を監視する期間であり、攻撃検証コードが公開された場合には、攻撃検

証コードの解析により、実際に発生する影響 (DoS、任意のコード実行、権限昇格など)、動作適用範囲 (OS、言語、バージョンやサービスパック依存性など) と転用の可能性 (インシデントシナリオの修正) を検討すると共に、脆弱性への攻撃容易性を再検討する。

攻撃検証コードを利用したセキュリティ侵害を検出するために、攻撃検証コードを検出可能なウ

イルス定義ファイルの作成／更新ならびに、侵入検知用シグニチャの作成／更新をおこなう。これにより、対処段階において、侵害活動の影響範囲などを判断する際の材料となる観測データの収集を実施する。

インシデントオペレーションにおける6つの段階準備、警戒、予兆段階、対処、監視、収束2.5

＜Sasserの場合の対応状況＞予兆段階において、MS04-011のPCT (Private Communications Transport) の脆弱性に関する攻撃検証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同でWindowsシステム脆弱性対策に関する注意喚起を発行した。

＜Sasserの場合の対応状況＞予兆段階において、MS04-011のPCT (Private Communications Transport) の脆弱性に関する攻撃検証コードが先に公開されたために、LSASSの脆弱性への注目度が少し低下した。また、PCTの脆弱性の攻撃検証コードが公開されたことと、大型連休を控えていたことから、経産省、総務省、警察庁合同でWindowsシステム脆弱性対策に関する注意喚起を発行した。

＜Grawegの場合の対応状況＞マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。＜Grawegの場合の対応状況＞マイクロソフト、CERT/CC、NISCC、IPAなどから、攻撃検証コードの存在が報告された。


対処段階

攻撃検証コードから派生した侵害活動ならびにネットワークワーム／ボットなどの出現期間であ

る。侵害活動痕跡の調査ならびにネットワークワーム／ボットの挙動解析により、これら侵害活動が与える影響、動作適用範囲 (言語依存性、サービスパックやバージョン依存性など) の確認をおこなうと共に、侵害活動発生に伴う観測データを分析する。

インシデントオペレーションにおける6つの段階準備、警戒、予兆、対処段階、監視、収束2.6

＜Sasserの場合の対応状況＞2004年4月29日(米国時間)に “houseofdabus”によって公開された攻撃検証コードを利用していた。この攻撃検証コードは英語版とロシア語版Windows 2000 ProfessionalとWindows 2000 Server、そしてWindows XP Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows 2000に対しては攻撃が失敗することと、他言語版のWindows 2000においても同様に攻撃は失敗する可能性があることが確認された。これにより、Sasserが日本語版Windows 2000を介して感染拡大する可能性がないと判断するに至った。

＜Sasserの場合の対応状況＞2004年4月29日(米国時間)に “houseofdabus”によって公開された攻撃検証コードを利用していた。この攻撃検証コードは英語版とロシア語版Windows 2000 ProfessionalとWindows 2000 Server、そしてWindows XP Professionalに対して攻撃を成功させることが確認された。一方、日本語版Windows 2000に対しては攻撃が失敗することと、他言語版のWindows 2000においても同様に攻撃は失敗する可能性があることが確認された。これにより、Sasserが日本語版Windows 2000を介して感染拡大する可能性がないと判断するに至った。

＜Grawegの場合の対応状況＞マイクロソフトのWin32/Graweg の初期調査では、MS06-040 の更新プログラムを適用していないWindows 2000 を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プロセス (Emergency response process) に従い、継続的にこの問題を調査。

＜Grawegの場合の対応状況＞マイクロソフトのWin32/Graweg の初期調査では、MS06-040 の更新プログラムを適用していないWindows 2000 を使用しているユーザのみが影響を受けることを確認。マイクロソフトは、緊急時対応プロセス (Emergency response process) に従い、継続的にこの問題を調査。

eEye Digital Security. "ANALYSIS: Sasser Worm"http://www.eeye.com/html/research/advisories/AD20040501.htmlマイクロソフトセキュリティアドバイザリ (922437)Server サービスに影響を及ぼす公開された悪用コードhttp://www.microsoft.com/japan/technet/security/advisory/922437.mspx


対処段階ネットワークワームの挙動解析2.6

ネットワークワームの挙動解析

ネットワークワームの挙動解析に関する公開情報については、提供側 (ウイルス対策ベンダ、IDS製品ベンダ、侵害活動の影響を受ける製品開発ベンダなど) の立場によって提供される情報の有効範囲が異なり、また、対策側 (インターネットユーザ、イントラネット管理者、インターネットサイト管理者、ISPなど) の立場によって対策検討に必要とする情報が異なる。

ネットワークワームの挙動解析にあたっては、公開情報、コード解析結果と実機検証結果とを組

合せて影響、動作適用範囲を確認することが情報の確度ならびに範囲を広げる意味で有効となる。

ネットワークワームの挙動解析のポイントとしては、次の通りである。ネットワークワームの探索IPアドレスの選択方法ネットワークワームが悪用する脆弱性の特徴 (OS、言語、バージョンやサービスパック依存性など)ネットワークワームが攻略に使用するネットワークサービスポート

DNSへの問合せ頻度や通信トラフィック量など、ルータ、スイッチ、DNSサーバなどネットワークインフラに与える影響

C.1～C.6参照C.1～C.6参照


対処段階ネットワークワームの挙動解析攻撃検証コードとネットワークワーム送出パケットの照合

2.6

/* HOD-ms04011-lsasrv-expl.c:** MS04011 Lsasrv.dll RPC buffer overflow remote exploit* Version 0.1 coded by*** .::[ houseofdabus ]::.*

// bind shellcodeunsigned char bindshell[] ="¥xEB¥x10¥x5A¥x4A¥x33¥xC9¥x66¥xB9¥x7D¥x01¥x80¥x34¥x0A¥x99¥xE2¥xFA""¥xEB¥x05¥xE8¥xEB¥xFF¥xFF¥xFF""¥x70¥x95¥x98¥x99¥x99¥xC3¥xFD¥x38¥xA9¥x99¥x99¥x99¥x12¥xD9¥x95¥x12""¥xE9¥x85¥x34¥x12¥xD9¥x91¥x12¥x41¥x12¥xEA¥xA5¥x12¥xED¥x87¥xE1¥x9A""¥x6A¥x12¥xE7¥xB9¥x9A¥x62¥x12¥xD7¥x8D¥xAA¥x74¥xCF¥xCE¥xC8¥x12¥xA6""¥x9A¥x62¥x12¥x6B¥xF3¥x97¥xC0¥x6A¥x3F¥xED¥x91¥xC0¥xC6¥x1A¥x5E¥x9D""¥xDC¥x7B¥x70¥xC0¥xC6¥xC7¥x12¥x54¥x12¥xDF¥xBD¥x9A¥x5A¥x48¥x78¥x9A""¥x58¥xAA¥x50¥xFF¥x12¥x91¥x12¥xDF¥x85¥x9A¥x5A¥x58¥x78¥x9B¥x9A¥x58"

TCP 1034 > 445 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460TCP 445 > 1034 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460TCP 1034 > 445 [ACK] Seq=1 Ack=1 Win=17520 Len=0SMB Negotiate Protocol RequestSMB Negotiate Protocol ResponseSMB Session Setup AndX Request, NTLMSSP_NEGOTIATESMB Session Setup AndX Response, NTLMSSP_CHALLENGE,

Error: STATUS_MORE_PROCESSING_REQUIREDSMB Session Setup AndX Request, NTLMSSP_AUTHSMB Session Setup AndX ResponseSMB Tree Connect AndX Request, Path: ¥¥131.113.208.226¥ipc$SMB Tree Connect AndX ResponseSMB NT Create AndX Request, Path: ¥lsarpcSMB NT Create AndX Response, FID: 0x4000DCERPC Bind: call_id: 1 UUID: DSSETUPDCERPC Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280DSSETUP DsRoleUpgradeDownlevelServer request[Long frame (3208 bytes)]TCP [Continuation to #34] 1034 > 445 [ACK] Seq=2352 Ack=885 Win=16636 Len=1460TCP [Continuation to #34] 1034 > 445 [PSH, ACK] Seq=3812 Ack=885 Win=16636 Len=400TCP 445 > 1034 [ACK] Seq=885 Ack=3812 Win=17520 Len=0TCP 445 > 1034 [ACK] Seq=885 Ack=4212 Win=17120 Len=0TCP 1034 > 445 [FIN, ACK] Seq=4212 Ack=885 Win=16636 Len=0TCP 445 > 1034 [FIN, ACK] Seq=885 Ack=4213 Win=17120 Len=0TCP 1034 > 445 [ACK] Seq=4213 Ack=886 Win=16636 Len=0

0140 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 900150 90 90 eb 10 5a 4a 33 c9 66 b9 7d 01 80 34 0a 990160 e2 fa eb 05 e8 eb ff ff ff 70 95 98 99 99 c3 fd0170 38 a9 99 99 99 12 d9 95 12 e9 85 34 12 d9 91 120180 41 12 ea a5 12 ed 87 e1 9a 6a 12 e7 b9 9a 62 12　　　　　　　　　：　　　　　　　　　：

Sasserの送出パケット

攻撃検証コード

照合


対処段階観測データの分析2.6

観測データの分析

SOC、ISP、定点観測などでのネットワークワーム／ボットの検知状況に基づき、影響範囲の確認、感染拡大の危険性を検討する。なお、観測データを分析する際には、国内とワールドワイドでの検知数の弁別、観測データの観測箇所 (観測IPアドレス範囲、観測箇所数) と観測方法 (ファイアウォール、IDSなど) による依存性を加味し、複数の状況を確認して局所的な現象か全体的な現象か、パケットや検体解析と関連付けた検知推移の判断をおこなう必要がある。

＜Sasserの場合：WORM_SASSER.A＞

Distributed Intrusion Detection Systemhttp://www.dshield.org/Trend Microhttp://wtc.trendmicro.com/

B2,B3,B4参照B2,B3,B4参照


対処段階観測データの分析＜Grawegの場合：WORM_IRCBOT.JK＞

2.6SANS：　MS06-040: BOLO -- Be On the LookOuthttp://isc.sans.org/diary.php?storyid=1597

Over the weekend there was a botnet doing fairly wide scale scanning for hosts affected by the vulnerabilities in the MS06-040 advisory.

LURHQ: MS06-040 Exploit: More Hype Than Threathttp://www.lurhq.com/ms06040exploit.html

Based on the current numbers of IP addresses on the Internet scanning for TCP port 445 (presumably vulnerable and infected with some other worm), shown in the graph below, we'd say the total number of worldwide infections of such a worm would be on the order of 20,000 to 50,000. Zotob at its peak was probably 100,000 to 200,000, based on DShield data.

侵害活動の被害も見えにくくなっている。


インシデントオペレーションにおける6つの段階準備、警戒、予兆、対処、監視段階、収束2.7

監視段階

ネットワークワーム／ボットの亜種出現の兆候に関する監視強化、観測データの状況推移に関

する監視強化をおこなう。また、急速な被害拡大を防止するための機能やシステムの稼動確認をおこない、緊急時に備えた体制を準備する。

ネットワークワームの亜種は、動作不良の解決、動作適用範囲の拡大、機能拡張などがおこな

われている場合もあるため、亜種出現時には対処段階と同様、ネットワークワームの挙動解析をおこなう必要がある。

＜Sasserの場合の対応状況＞2004年4月30日のSasser.Aに続き、Sasser.B (5月1日)、Sasser.C (5月2日)、Sasser.D (5月3日)、Sasser.E (5月8日)、Sasser.F (5月10日) と亜種の出現が続いた。いずれも、“houseofdabus”によって公開された攻撃検証コードをベースとしていた。

＜Sasserの場合の対応状況＞2004年4月30日のSasser.Aに続き、Sasser.B (5月1日)、Sasser.C (5月2日)、Sasser.D (5月3日)、Sasser.E (5月8日)、Sasser.F (5月10日) と亜種の出現が続いた。いずれも、“houseofdabus”によって公開された攻撃検証コードをベースとしていた。

＜Grawegの場合の対応状況＞侵害活動ならびにその被害も見えにくくなっている。いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。

＝＞今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを含む 8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。

＜Grawegの場合の対応状況＞侵害活動ならびにその被害も見えにくくなっている。いつでも、インターネット全域に自己複製を行う様なワームが発生してもおかしくはない。

＝＞今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。Grawegを含む、今後発生しうるインシデントを防ぐためにも、MS06-040のセキュリティ更新プログラムを含む 8月度のセキュリティ更新プログラムを可能な限り速やかに適用すべき。


＜Sasserの場合の対応状況＞2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F (5月10日) の亜種の出現後にほぼ収束した。

＜Sasserの場合の対応状況＞2004年5月8日にSasser作成の容疑者が逮捕された。Sasserに関する一連の活動は、Sasser.F (5月10日) の亜種の出現後にほぼ収束した。

＜Grawegの場合の対応状況＞侵害活動ならびにその被害も見えにくくなっている。

＝＞今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。脆弱性対策活動における注意喚起の工夫脆弱性対策管理の改善など

＜Grawegの場合の対応状況＞侵害活動ならびにその被害も見えにくくなっている。

＝＞今後のインシデントオペレーションでは、脆弱性対策活動が重要となる。脆弱性対策活動における注意喚起の工夫脆弱性対策管理の改善など

インシデントオペレーションにおける6つの段階準備、警戒、予兆、対処、監視、収束段階2.8

収束段階

ネットワークワームの出現に伴い実施した一連の活動内容を関連組織間で整理し、課題を確認

し、その結果を次回以降のインシデントオペレーションにフィードバックする。


インシデントは、予兆や被害が表面化しない新たな

フェーズに入っています。このような新たな脅威に対

しても、各組織が保有する観測機能、状況分析機能

ならびに対処機能を連携させることによって問題事

象の解決を図ることができると考えています。

Ending


項目2003年～2005年

インシデントオペレーション

2006年以降組織相互連携オペレーション

インターネットの利用度(依存度) 社会インフラ同左

代表的なインシデント電子メール型ワームネットワークワームDDoS攻撃

悪性スパムフィッシング

インシデント発生に伴う影響均一的かつ広範囲に渡る被害各種業務等全般に関わるため経済活動への影響大

類似した局所的な被害各種業務等全般に関わるため経済活動への影響大 (予兆や被害が見えにくくなる傾向大)

インシデントの予測ならびに

予防の対処体制(警戒、予兆、対処)

予兆に基づく単独組織での対応

複数組織で局所的な予兆を共有しながら対応

インシデント対処の考え方インシデントに伴う被害を予測ならびに予防し、インシデント発生後は被害の拡大を低減する対応

組織相互連携を用いてインシデントに伴う被害を予測ならびに予防し、インシデント発生後は被害の拡大を低減する対応

インシデント発生後の対処体制

(対処、監視、収束)

複数組織の協力により均一的かつ広範囲に渡る被害に対応

複数組織の協力により類似した局所的な被害を大局的な被害として捕らえ対応


JVN関連研究サイトのご紹介http://jvnrss.ise.chuo-u.ac.jp/jtg/2006年6月30日、情報共有に関する研究活動の一環として、JVNRSS (JP Vendor Status Notes RSS) の利活用と普及促進を目的とした研究サイトを立ち上げました。

ご意見など頂ければ幸いです。

　CVE+: CVE 番号に対応する国内のセキュリティ情報一覧の作成　TRnotes: Status Tracking Notes の JVNRSS 化　XSL_swf: XSL を用いた JVNRSS 表示ツールの緊急度表記　RSS_dir: JVNRSS チャンネルのためのチャンネル　SIG_rdf: JVNRSS への署名と検証


付録A. 脆弱性対策情報の提供サイト

脆弱性対策活動を推進する際の参考となるサイトを紹介します。


A.1

注意喚起ならびに緊急報告JPCERT/CC 緊急報告 http://www.jpcert.or.jp/at/「深刻且つ影響範囲の広い脆弱性に関する情報」「インシデント報告に基づき、同種のインシデントの

発生を防止するための情報」を提供

製品開発者の対応情報JVN: JP Vendor Status Notes http://jvn.jp/情報セキュリティ早期警戒パートナーシップにおける対策情報ポータルサイト

製品開発者の情報公表の支援ならびに、システム導入支援者ならびにユーザへの対策情報提供を目的としている。

CERT/CC, NISCCの発行した脆弱性対策情報の国内対応状況も提供

製品開発者の対応情報

製品開発者リスト株式会社○○ 　該当製品あり

××ソリューション　該当製品なし

注意喚起・緊急報告

概要影響範囲製品開発者情報

対策のための情報収集①脆弱性対応活動JPCERT/CC


A.1

報告された脆弱性に関して、「脆弱性の影響を受ける製品は？」「その製品開発者の対策情報？」という脆弱性対策情報

報告された脆弱性に関して、「脆弱性の影響を受ける製品は？」「その製品開発者の対策情報？」という脆弱性対策情報

提供情報(ステータス)　該当製品あり

脆弱性該当製品がある場合

　該当製品あり：調査中脆弱性該当製品があり、継続して製品の調査を行っている場合

　該当製品なし脆弱性該当製品がない場合

　該当製品なし：調査中脆弱性該当製品は見つかっていないが、継続して製品の調査を行っている場合

　不明脆弱性に関する対応状況の連絡がない場合

提供情報(ステータス)　該当製品あり

脆弱性該当製品がある場合

　該当製品あり：調査中脆弱性該当製品があり、継続して製品の調査を行っている場合

　該当製品なし脆弱性該当製品がない場合

　該当製品なし：調査中脆弱性該当製品は見つかっていないが、継続して製品の調査を行っている場合

　不明脆弱性に関する対応状況の連絡がない場合

対策のための情報収集①脆弱性対応活動JPCERT/CC: JP Vendor Status Notes


A.2

注意喚起ならびに緊急報告US-CERT Technical Cyber Security Alert http://www.us-cert.gov/cas/techalerts「深刻且つ影響範囲の広い脆弱性に関する情報」「インシデント報告に基づき、同種のインシデントの

発生を防止するための情報」を提供

製品開発者の対応情報US-CERT Vulnerability Notes DB http://www.kb.cert.org/vuls/脆弱性ならびにその対策に関する詳細と製品開発者の対応情報を提供

週単位のサマリ情報US-CERT Cyber Security Bulletins http://www.us-cert.gov/cas/bulletins/脆弱性、攻略コード、ウイルスなどの公表状況を提供

US-CERT Vulnerability Notes DB

製品開発者リスト株式会社○○ 　該当製品あり

××ソリューション　該当製品なし

US-CERT Technical Cyber Security Alert概要影響範囲製品開発者情報

対策のための情報収集①脆弱性対応活動CERT/CC (≒US-CERT)


Other Informationにおいて、CERT/CCにおいて判定した脆弱性の深刻度「Metric」を提供している。数値が 40 以上の場合、CERT Advisoryの候補対象としている。

Other Informationにおいて、CERT/CCにおいて判定した脆弱性の深刻度「Metric」を提供している。数値が 40 以上の場合、CERT Advisoryの候補対象としている。

VU#652278<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

VU#652278<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

A.2

VU#はVulnerability Note の略称として広く利用されている。

VU#はVulnerability Note の略称として広く利用されている。

対策のための情報収集①脆弱性対応活動CERT/CC (=US-CERT): Vulnerability Note


脆弱性の深刻度に対して “metric” をいう 0 ～ 180 の数値を割当てており、以下のような指針に基づいて算出している。

あくまでも、深刻な脆弱性なのか、それとも軽微な脆弱性なのかを区別するための目安となる数値であり、metric 値と深刻度は比例はしていない (指針の重付けは同一ではないため)。例えば、metric値が40だからといって、metric値20の2倍の深刻度であるというわけではない。

脆弱性の深刻度に対して “metric” をいう 0 ～ 180 の数値を割当てており、以下のような指針に基づいて算出している。

あくまでも、深刻な脆弱性なのか、それとも軽微な脆弱性なのかを区別するための目安となる数値であり、metric 値と深刻度は比例はしていない (指針の重付けは同一ではないため)。例えば、metric値が40だからといって、metric値20の2倍の深刻度であるというわけではない。

A.2

US-CERT Vulnerability Note Field Descriptionshttps://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/html/fieldhelp#metric

脆弱性に関する情報は広く知られているものか？

脆弱性への攻撃は、CERT/CC にインシデントとして報告されているものか？

脆弱性は、インターネット全体を脅威に陥れるようなものか？

インターネット上のどのくらいのシステムが、脆弱性の影響を受けるか？

脆弱性への攻撃に伴う影響は、どのようなものか？

脆弱性への攻撃の容易さは、どの程度か？

脆弱性を攻撃するにあたり必要とされる前提条件とはどのようなものか？

VU#で提供する脆弱性の深刻度: MetricVU#で提供する脆弱性の深刻度: Metric

対策のための情報収集①脆弱性対応活動CERT/CC (=US-CERT): Vulnerability Note


A.3

下記脆弱性関連情報を提供　＋概要(info)　＋解説(discussion)　＋脆弱性の攻略に関する情報(exploit)　＋対策情報(solution)　＋謝辞(credit)

下記脆弱性関連情報を提供　＋概要(info)　＋解説(discussion)　＋脆弱性の攻略に関する情報(exploit)　＋対策情報(solution)　＋謝辞(credit)

bid9182<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

bid9182<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

Bubtraq Vulnerablities Informationhttp://www.securityfocus.com/bid/

bidは、bugtraq id の略称として広く利用されている。bidは、bugtraq id の略称として広く利用されている。

Remote脆弱性は、ネットワークや他の通信手段を用いてリモートから攻略することのできる脆弱性である。(受動態攻撃も含まれる場合があるので注意要)Localコンソールなどを使用することにより攻略することのできる脆弱性

Remote脆弱性は、ネットワークや他の通信手段を用いてリモートから攻略することのできる脆弱性である。(受動態攻撃も含まれる場合があるので注意要)Localコンソールなどを使用することにより攻略することのできる脆弱性

対策のための情報収集①脆弱性対応活動SecurityFocus: Bubtraq Vulnerabilities Information


A.3

セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発http://www.ipa.go.jp/security/fy12/contents/crack/policy/format_def.pdf

Class (脆弱性の分類)　Boundary Condition Error (境界条件エラー)　Access Validation Error (不正アクセスエラー)　Input Validation Error (不正入力エラー)　Origin Validation Error (不正発信元エラー)　Failure to Handle Exceptional Conditions 　　　　　　　　　　　　　　　　　　　　(例外条件エラー)　Race Condition Errors (競合条件によるエラー)　Serialization Errors (連続性によるエラー)　Atomicity Errors (原子性によるエラー)　Environment Errors (環境によるエラー)　Configuration Errors (設定によるエラー)

Class (脆弱性の分類)　Boundary Condition Error (境界条件エラー)　Access Validation Error (不正アクセスエラー)　Input Validation Error (不正入力エラー)　Origin Validation Error (不正発信元エラー)　Failure to Handle Exceptional Conditions 　　　　　　　　　　　　　　　　　　　　(例外条件エラー)　Race Condition Errors (競合条件によるエラー)　Serialization Errors (連続性によるエラー)　Atomicity Errors (原子性によるエラー)　Environment Errors (環境によるエラー)　Configuration Errors (設定によるエラー)

対策のための情報収集①脆弱性対応活動SecurityFocus: Bubtraq Vulnerabilities Information


A.4

ISS X-Force Databasehttp://xforce.iss.net/

下記脆弱性関連情報を提供　＋概要(Description)　＋影響(Platforms Affected)　＋対策(Remedy)　＋参考情報(References)　＋標準となる参考情報　　　(Standards associated with this entry)

下記脆弱性関連情報を提供　＋概要(Description)　＋影響(Platforms Affected)　＋対策(Remedy)　＋参考情報(References)　＋標準となる参考情報　　　(Standards associated with this entry)

XFは、X-Force Database id の略称として広く利用されている。

XFは、X-Force Database id の略称として広く利用されている。

XF13935<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

XF13935<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

対策のための情報収集①脆弱性対応活動ISS: X-Force Database


A.4

Severity(深刻度)Severity(深刻度)評価定義

●高 (High)

特権アクセスやファイアーウォールの回避などへつながり，攻撃者にホストへ直接的に侵入する手段を与えてしまう脆弱性例) 侵入者にメールサーバ上でのコマンド実行を許してしまう，Sendmail 8.6.5 の脆弱性

●中 (Medium)

不正なシステムアクセスにつながる高い可能性をもつ情報を，攻撃者に与えてしまう脆弱性例) アカウントパスワードの推測に継がるパスワードファイルの入手を，侵入者へ許してしまうTFTPの誤設定やNISサーバの脆弱性

●低 (Low)

不正なシステムアクセスにつながる高い可能性をもつ情報を，攻撃者に与えてしまう脆弱性例) オンラインであるアカウントを示し，ブルートフォース攻撃(総当り攻撃)によりパスワードを破りを行う潜在的なアカウントを攻撃者に伝えてしまう，fingerコマンド

対策のための情報収集①脆弱性対応活動ISS: X-Force Database


A.5

Secuniahttp://secunia.com/About Secunia Advisories http://secunia.com/about_secunia_advisories/

SA10395<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

SA10395<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

Where(侵害可能形態)　Local system　From local network　From remote

Criticality(重要度/深刻度)　Extremely Critical　Highly Critical　Moderately Critical　Less Critical　Not Critical

Where(侵害可能形態)　Local system　From local network　From remote

Criticality(重要度/深刻度)　Extremely Critical　Highly Critical　Moderately Critical　Less Critical　Not Critical

対策のための情報収集①脆弱性対応活動Secunia: Advisory


TA04-033A

VU#784102

CERT/CC

CERT/CC

VU#413886VU#652278

CAN-2003-1026CAN-2003-1027CAN-2003-1025

CVE

ie-domain-url-spoofing (13935)

BID-9182

MS04-004

Microsoft

SecurityFocus

ISS X-force

JVNTA04-033AJVN

A.6

CAN-2003-1025:<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。

SA10395Secunia

Travel Log のクロスドメインの脆弱性

関数ポインタのドラッグアンドドロップ操作の脆弱性

不適切な URL の正規化の脆弱性

対策のための情報収集①脆弱性対応活動脆弱性関連情報同士のつながり


A.6

CAN-2003-1025<userinfo>@<host>:<port>の形式のURLを適切に表示しない脆弱性であり、phishing に利用(ドメイン名の詐称)される可能性がある。


Common Vulnerabilities and Exposureshttp://cve.mitre.org/

脆弱性に対して一意の識別子を付与する。　　Ex. CAN-2003-1025脆弱性に対して一意の識別子を付与する。　　Ex. CAN-2003-1025

脆弱性情報同士を関連付けをおこなう。　　識別子で付与した脆弱性について　　取り扱っている情報源をポイントする。　　Ex. VU#652278, MS04-004, XF13935 など

脆弱性情報同士を関連付けをおこなう。　　識別子で付与した脆弱性について　　取り扱っている情報源をポイントする。　　Ex. VU#652278, MS04-004, XF13935 など

対策のための情報収集①脆弱性対応活動CVE: Common Vulnerabilities and Exposures


A.6

脆弱性に対して一意の識別子を付与することで、脆弱性情報同士の関連付けを行う。

付与される識別子は、“CVE－西暦－連番” or “CAN－西暦－連番”から構成される。脆弱性の一意の識別子である CVE は、cve.mitre.org で管理されており、以下のような過程を経て識別子の付与 (The CVE Naming Process) が行われている。

脆弱性の発見:　脆弱性が発見された、脆弱性が公開されたという情報の確認を行う。また、脆弱性(Vulnerability)を、“Universal Vulnerabilitiy(攻撃者により発生しうる脅威を最小限とするために適用している一般的なセキュリティポリシーを侵害するような脆弱性)”, “Exposure(個別のセキュリティポリシーを侵害するような脆弱性)”の 2 種類にわけ、定義付けをする。脆弱性に対する識別子候補の割当て:　CVE Editorial Board において、脆弱性に対する識別子の割当て要否を決定する。割当てが必要と判断した場合には、Candidate Numbering Authority において割当る。ただし、割当てられる識別子は識別子候補であり、CVE Candidate Number と呼ばれ、CAN-2002-1142 の形式をとる。脆弱性の判定:　CVE Editorial Board において、CVE Candidate Number を割当てた脆弱性を、CVE として発行するか否かを検討する。CVE の発行:　CVE として発行すると決定した識別子候補 (CAN-yyyy-nnnn) に識別子 (CVE-yyyy-nnnn) を割り当てる。例えば、CVE-1999-1011 のように、プレフィックとして CVE が割当てられる。ただし、2005/10/19より識別子の付与方式が変更され、新規で付与される識別子のプレフィックとしてCANではなく、最初からCVEが割り当てられる。ステータスが「Candidate」から「Entry」に変更されるのみ。（CANが割り当てられている過去の脆弱性は、CAN→CVEに変更される。）

The CVE Naming Processhttp://cve.mitre.org/docs/docs2000/naming_process.html

対策のための情報収集①脆弱性対応活動CVE: Common Vulnerabilities and Exposures


A.7Severity(深刻度)Severity(深刻度)評価定義

●高 (High)リモートの攻撃者にシステムを侵害されてしまう(特権や管理者権限の取得)。ローカルの攻撃者にシステムを完全に制御されてしまう。脆弱性が CERT アドバイザリに取り上げられている。

● 中 (Medium) High, Low のいずれにも当てはまらない脆弱性

●低 (Low)重要な情報の漏えいあるいは、システム制御権限の略奪などを伴わないが、脆弱性を見つけ出したり、攻撃するための手段を与えてしまう。



National Vulnerability Databasehttp://nvd.nist.gov/

Range(侵害可能形態)　Remotely exploitable　Locally exploitable　Victim must access attacker's resource

Impact Type(影響)　Allows disruption of service　Allows unauthorized disclosure of information　Allows unauthorized modification　Provides unauthorized access

Range(侵害可能形態)　Remotely exploitable　Locally exploitable　Victim must access attacker's resource

Impact Type(影響)　Allows disruption of service　Allows unauthorized disclosure of information　Allows unauthorized modification　Provides unauthorized access

対策のための情報収集①脆弱性対応活動NVD: National Vulnerability Database


A.7

Vulnerability Type (脆弱性の分類)　Input Validation Error (不正入力エラー)　Access Validation Error (不正アクセスエラー)　Exceptional Conditions Error (例外条件エラー)　Environment Errors (環境によるエラー)　Configuration Error (設定によるエラー)　Race Condition Error (競合条件によるエラー)　Design Error (設計に関わるエラー)　Boundary Condition Error (境界条件エラー)　Other Error

Vulnerability Type (脆弱性の分類)　Input Validation Error (不正入力エラー)　Access Validation Error (不正アクセスエラー)　Exceptional Conditions Error (例外条件エラー)　Environment Errors (環境によるエラー)　Configuration Error (設定によるエラー)　Race Condition Error (競合条件によるエラー)　Design Error (設計に関わるエラー)　Boundary Condition Error (境界条件エラー)　Other Error

対策のための情報収集①脆弱性対応活動NVD: National Vulnerability Database


分類

Base Metrics脆弱性問題そのものの性質により決まるスコア

Access Vector

Temporal Metrics　脆弱性情報の公開、Exploitの公開など日々変化する状況によって決まるスコア

Environmental Metricsサイトに起因するスコア

A.7

Access Complexity

ローカル／リモート

脆弱性攻略の容易さ

Authentication 攻略に伴う認証の要不要

Confidentially Impact 秘匿性が脅かされる

Integrity Impact 完全性が脅かされる

Availability Impact 可用性が脅かされる

Impact Bias 秘匿性／完全性／可用性への影響度

評価項目

Exploitability 攻略コードの存在可能性

Remediation Level パッチの公開状況

Report Confidence レポートの信頼度

Collateral Damage Potential 他システムへの拡散・影響度

Target Distribution 該当製品の普及度

local: 0.7 remote: 1.0

high: 0.8 low: 1.0

required: 0.6 not-required: 1.0

none: 0 partial: 0.7 complete: 1.0



normal: 0.333 CNFDNTLTY: 0.5 INTGRTY: 0.25 AVLBLTY: 0.25unproven: 0.85 proof-of-concept: 0.9 functional: 0.95 high: 1.00official-fix: 0.87 temporary-fix: 0.90 workaround: 0.95 unavail: 1.00unconfirmed: 0.90 uncorroborated: 0.95 confirmed: 1.00none: 0 low: 0.1 medium: 0.3 high: 0.5none: 0 low: 0.25 medium: 0.75 high: 1.00

加点

脆弱性の深刻度評価を標準化するレーティングシステムの試み

The Common Vulnerability Scoring Systemhttp://www.first.org/cvss/

対策のための情報収集①脆弱性対応活動脆弱性の深刻度: CVSS (Common Vulnerability Scoring System)


A.7対策のための情報収集①脆弱性対応活動脆弱性の深刻度: CVSS (Common Vulnerability Scoring System)

Base Metrics脆弱性問題そのものの性質により決まるスコア

Temporal Metrics　脆弱性情報の公開、Exploitの公開など日々変化する状況によって決まるスコア

Environmental Metricsサイトに起因するスコア


A.8

About the CVA Process and CVA Priority Ratingshttp://www.sans.org/newsletters/cva/

以下のような指針に重み付けをして 4 段階評価(Critical, High, Moderate, Low)を行っている。脆弱性の影響を受ける製品は、広く利用されているものですか？

サーバあるいはクライアントのいずれに影響を与えるものですか？　権限のレベルは？

重要なシステム(データベース,Eコマースサーバなど)が影響を受けますか？ネットワークインフラ(DNS,ルータ,ファイアウォールなど)が影響を受けますか？脆弱性の攻略コードは公開されていますか？

脆弱性への攻撃の容易さは、どの程度ですか(リモートorローカルのいずれか　認証は必要か物理的なアクセスは必要か)？脆弱性の攻略を考える攻撃者にとって、どの程度の価値があるものですか？

脆弱性性に関する技術詳細情報がありますか？

攻略にあたりソシアルエンジニアリング(リンクのクリック,サイト訪問,サーバへの接続作業などをユーザに強要する)を必要としますか？脆弱性の攻略活動は活発ですか？

対策のための情報収集①脆弱性対応活動脆弱性の深刻度: SANS


評価定義

●緊急 (Critical)

広く利用されているソフトウェア(デフォルト設定)に影響を与える脆弱性で、サーバあるはインフラ機器の管理者権限の取得につながる。脆弱性を攻略するための情報(例えば攻略コード)が広く知れ渡っている。脆弱性そのものの攻略が簡単である(認証が不要、攻略対象に関する予備知識が不要、ソシアルエンジニアリングを用いたユーザへの操作強要が不要など)

●高 (High)脆弱性は「緊急」になる可能性を持っているが、攻略活動を活発化させない要因を持っている。例えば、「緊急」相当の特徴を持つが、アクセス権限の昇格を引き起こすことが難しかったり、攻略対象範囲が限定されてしまう脆弱性が該当する。

● 中 (Moderate)攻略対象への侵害を伴わない、DoSに関する脆弱性が該当する。脆弱性を攻略するための前提条件がある(攻略対象と同一のネットワークに接続している、非標準の設定を対象とする、ソシアルエンジニアリングを必要とするなど)。

● 低 (Low)組織のインフラにほとんど影響を与えない脆弱性である。ローカルユーザ権限や物理的なアクセスを必要としたり、クライアントでのプライバシーや DoS 問題、組織体制/システム構成/バージョン/ネットワーク構成などの情報漏えいを伴う脆弱性が該当する。

対応時間の指標

48 時間

5 日(business days)

15 日(business days)

管理者の判断による

A.8対策のための情報収集①脆弱性対応活動脆弱性の深刻度: SANS


付録B. インシデント情報提供サイト

インシデント対応活動を推進する際の参考となるサイトを紹介します。


B.1

注意喚起ならびに緊急報告US-CERT Technical Cyber Security Alerthttp://www.us-cert.gov/cas/techalerts「深刻且つ影響範囲の広い脆弱性に関する情報」

「インシデント報告に基づき、同種のインシデントの発生を防止するための情報」を提供

注意喚起ならびに緊急報告US-CERT Technical Cyber Security Alerthttp://www.us-cert.gov/cas/techalerts「深刻且つ影響範囲の広い脆弱性に関する情報」


現時点での注目すべき情報US-CERT Current Activityhttp://www.us-cert.gov/current/注意すべき脆弱性、攻略コードの公開有無、侵害活動の発生有無など、現時点で注目すべきトピックスを提供

現時点での注目すべき情報US-CERT Current Activityhttp://www.us-cert.gov/current/注意すべき脆弱性、攻略コードの公開有無、侵害活動の発生有無など、現時点で注目すべきトピックスを提供

US-CERT Current Activityhttp://www.us-cert.gov/current/

対策のための情報収集②インシデント対応活動CERT/CC (≒US-CERT): Current Activity


B.2

Status Tracking Noteshttp://jvn.jp/tr/

注意喚起ならびに緊急報告JPCERT/CC 緊急報告http://www.jpcert.or.jp/at/「深刻且つ影響範囲の広い脆弱性に関する情報」


注意喚起ならびに緊急報告JPCERT/CC 緊急報告http://www.jpcert.or.jp/at/「深刻且つ影響範囲の広い脆弱性に関する情報」


経過情報Status Tracking Noteshttp://jvn.jp/「いつ攻略コードが公開されたのか？」「脆弱性を悪用したインシデントは何があったのか？」「インシデントに伴いどのような対応がとられたのか？」という脆弱性に関わる状況変化 (Status Tracking Notes) を提供することにより対策を支援する試み

経過情報Status Tracking Noteshttp://jvn.jp/「いつ攻略コードが公開されたのか？」「脆弱性を悪用したインシデントは何があったのか？」「インシデントに伴いどのような対応がとられたのか？」という脆弱性に関わる状況変化 (Status Tracking Notes) を提供することにより対策を支援する試み

対策のための情報収集②インシデント対応活動JPCERT/CC: Status Tracking Notes


B.2

インターネット定点観測システム Internet Scan Data Acquisition System (ISDAS)http://www.jpcert.or.jp/isdas/

観測統計情報宛先ポート別にカウントしたスキャンログ総計を提供

三ヶ月グラフ(アクセス先ポート別グラフ)一年グラフ(アクセス先ポート別グラフ)

観測統計情報宛先ポート別にカウントしたスキャンログ総計を提供

三ヶ月グラフ(アクセス先ポート別グラフ)一年グラフ(アクセス先ポート別グラフ)

対策のための情報収集②インシデント対応活動JPCERT/CC: Internet Scan Data Acquisition System (ISDAS)


脅威レベル脅威レベル

B.3

SANS: Internet Storm Centerhttp://isc.sans.org/INFOConhttp://isc.sans.org/infocon.html

経過情報Handlers Diaryhttp://isc.sans.org/注意すべき脆弱性、攻略コードの公開有無、侵害活動の発生有無など、日々の注目すべきトピックスを提供

経過情報Handlers Diaryhttp://isc.sans.org/注意すべき脆弱性、攻略コードの公開有無、侵害活動の発生有無など、日々の注目すべきトピックスを提供

定義

通常の状態であり、特に重大な脅威は発生していない。

重大な脅威を追跡中である。影響は未定、あるいは予想できない状況にはあるが、インフラの影響は小さい。ローカルの影響は大きいので、ユーザは、影響を軽減するための対応をすぐに実施すべきである。例えば、MSBlasterの流布が該当する。

接続性に関わる大きな混乱が差し迫っている、あるいは進行中である。例えば、Code Red, SQL Slammer ワームの発生初日が該当する。

インターネット全体の接続性が失われた。

評価

green

yellow

orange

red

対策のための情報収集②インシデント対応活動SANS: Internet Storm Center


B.3

Distributed Intrusion Detection Systemhttp://www.dshield.org/

観測統計情報Internet Storm Centerと連動http://isc.sans.org/

ポート別 http://isc.sans.org/port_report.php発信元別 http://isc.sans.org/source_report.php

観測統計情報Internet Storm Centerと連動http://isc.sans.org/

ポート別 http://isc.sans.org/port_report.php発信元別 http://isc.sans.org/source_report.php

対策のための情報収集②インシデント対応活動Distributed Intrusion Detection System (=Internet Storm Center)


B.4

観測統計情報IDS, ファイアウォールログに基づくイベント総計を提供観測統計情報IDS, ファイアウォールログに基づくイベント総計を提供

DeepSight Analyzerhttp://analyzer.securityfocus.com/


定義評価

Level 1Low

Level 2Medium

Level 3High

Level 4Extreme

予見範囲の脅威状態: ネットワークインフラにおいても部分的なインシデントに留まっている（Nimda などの大規模な感染をもたらすウイルスなど）

警戒を必要とする状態: まだインシデントは発生してはいないが侵害活動を予想できる（脆弱性に対するポートスキャンの活発化など）

一般的なネットワーク状態: 識別できるようなネットワークインシデントはない

警戒態勢の状態: グローバルネットワークに対するインシデントが進行中である（現在までのところ、過去に該当する事例はない）

対策のための情報収集②インシデント対応活動SecurityFocus (=symantec): DeepSight Analyzer


B.5


定義

対処方法が公開されている既知の攻撃を検出

警戒を必要とする攻撃の増加を検出

早急に対応が必要な、特定の脆弱性を悪用した攻撃の増加を検出（I Love You ウイルス、Code Red、Nimda などの大規模な感染をもたらすウイルス、ワームおよびDoS 攻撃など）

緊急に対応が必要な、極めて重大な脆弱性を悪用した大規模な攻撃を検出（システムデータの破壊、漏洩、使用不能、管理者権限の取得、Web 改ざんが大規模に行われる可能性あり）

評価

AlertCon 1

AlertCon 2

AlertCon 3

AlertCon 4

Current Internet Threat Levelhttps://gtoc.iss.net/issEn/delivery/gtoc/index.jsp

対策のための情報収集②インシデント対応活動ISS: AlertCon


評価定義

Level 1Low

事前に計画された保護手段を実行する。Homeland Security Advisory System と事前に計画された機関の保護手段に基づく適切な訓練を行なう。テロリズムに対する脆弱性を定期的に評価し、脆弱性を緩和するための対応方法を検討する。

Level 2Guarded

計画的な緊急対応あるいは指令に従ったコミュニケーションの確認を行なう。緊急対応手順のレビューと見直しを行なう。適切に行動するために必要となる情報を公開する。

Level 3Elevated

重要な拠点の監視を強化する。緊急計画を調整する。事前に計画された保護手段、緊急対応計画を見直す必要があるかどうかを検討する。

Level 4High

連邦政府、州および地域法施行機関などの組織と調整を行なう。公的なイベントについては警戒を強化し、開催地の代替や取り消しを検討する。場所を移動する、労力を分散するなど、万一の場合を想定し、実行ための準備を行なう。影響を受ける設備についてはアクセス可能な人員を制限する。

Level 5Severe

緊急対応に対処するため、人員の増員あるいは、移動させる。緊急対応人員、訓練されたチームあるいはリソースの動員を行なう。輸送システムを監視し、振替輸送、抑制を行なう。公的ならびに政府機関の設備を閉鎖する。

米国の Homeland Security の一環で「脅威に対する防衛」を目的として脅威レベル(Threat Condition)を提示している。

B.6

Homeland Security Advisory Systemhttp://www.dhs.gov/dhspublic/display?theme=29Chronology of Changes to the Homeland Security Advisory System http://www.dhs.gov/dhspublic/interapp/editorial/editorial_0844.xml

対策のための情報収集②インシデント対応活動DHS: Homeland Security Advisory System


付録C. 感染先探索特性

代表的なネットワークの探索動作について紹介します。


脆弱性を悪用した侵害活動の再考感染先探索特性：CodeRed3 検証結果

横軸：経過時間 (秒)縦軸：探索IPアドレス範囲(0.x.x.x ～ 255.x.x.x)

探索IPアドレスの発生分布グラフ観測開始から10,000パケットを対象にプロット

上位2オクテット同一(同.同.異.異)

上位1オクテット同一(同.異.異.異)

上記以外(異.異.異.異)

実機検証

37.7%

50.8%

11.5%

コード解析

37.5%

50.0%

12.5%

試行3回，観測開始から10,000パケットを対象とした平均値

C.1

感染した端末のIPアドレス


脆弱性を悪用した侵害活動の再考感染先探索特性：Nimda.E 検証結果






実機検証

50.9%

38.8%

10.3%

コード解析

50%

25%

25%


C.2



脆弱性を悪用した侵害活動の再考感染先探索特性：Sasser.B 検証結果






実機検証

27.2%

24.6%

48.2%

コード解析

25%

23%

52%


C.3



脆弱性を悪用した侵害活動の再考感染先探索特性：Sasser.C 検証結果







実機検証

27.1%

24.8%

48.1%

コード解析

25%

23%

52%


C.4


探索開始IPアドレスの決定方法完全にランダム(異.異.異.0)：60%上位2オクテットが同一(同.同.異.0)：40%

上記で計算したIPアドレスの4オクテット目の値である0に1を加算し、そのIPアドレスを探索先とする。さらにこの操作を繰り返す。

脆弱性を悪用した侵害活動の再考感染先探索特性：Blaster 検証結果C.5


横軸：経過時間 (秒)縦軸：探索IPアドレス範囲(153.75.20 ～ 153.75.50)


GetTickCount関数の結果をシードとして探索IPアドレスを生成し、アドレスブロック探索比率を加味せず常に探索IPアドレスをランダムに選択する。

脆弱性を悪用した侵害活動の再考感染先探索特性：Slammer 検証結果C.6





株式会社日立製作所

Hitachi Incident Response Team

寺田真敏

2006/08/19

脆弱性データベース

侵害活動の変遷と対策のための情報収集

END

脆弱性データベース - 中央大学 ·...

Documents