情報資産・リスク・インシデント78 virus information professionals pc viruses...

Copyright © 2004 独立行政法人情報処理推進機構

情報セキュリティセミナー 2004

情報セキュリティセミナー - Advanced IT Security Seminar 2004 -

情報資産・リスク・インシデント

2Copyright © 2004 独立行政法人情報処理推進機構情報セキュリティセミナー - Advanced IT Security Seminar 2004 -

そこにある情報資産

◆ 情報（紙、電子媒体、ネットワーク上）

財務情報、人事情報、顧客情報、戦略情報、技術情報業務を遂行するために必要な様々な情報

◆ 情報システムコンピュータ（PC、サーバ、汎用機）、ネットワーク、通信設備

様々な形態の情報資産

個人および組織には多くの情報資産が蓄えられている

ITの普及に伴い、情報の価値は非常に高くなっている

情報資産を守るための対策 → 情報セキュリティ対策情報やシステムの「機密性」「完全性」「可用性」を確保すること


脅威：情報の機密性・完全性・可用性を阻害する要因リスク：脅威によって情報資産が損なわれる可能性

インシデント：実際に情報資産が損なわれてしまった状態

◆外部からの要因・侵入、サービス妨害・ウイルス感染・盗難、輸送中の紛失・停電

◆内在する要因・ソフトの脆弱性・ソフト及びハードの信頼性・運用ルール違反、設定ミス

脅威（要因）

◆運用停止（業務停止）

◆情報消失・破壊◆不正アクセス

（改ざん、盗聴、なりすまし、踏み台）

◆情報漏洩

インシデント（現象）

脅威・リスク・インシデント

脅威の顕在化

リスク


守るべき情報資産と脅威－基本的考え方～何から何を守るか？

◆ 情報（紙、電子媒体、ネットワーク上）財務情報、人事情報、顧客情報、戦略情報、技術情報等

◆ 情報システムコンピュータ（パソコン、サーバー、汎用機）、ネットワーク、通信設備

◆ 社会的信用

弱点（脅威）守るべきもの

情報資産・システム・ネットワーク・ハードウエア・ソフトウエア・データ・ノウハウ等

内在する要因・ソフトウエアの脆弱性・セキュリティ機能の欠如・セキュリティモラルの欠如等

組織

外部からの要因・ウィルス等・侵入・サービス妨害


◆ 企業財産の保護情報の価値は思っている以上に高い

◆ 社会的責任（個人情報の保護）顧客データ等プライバシー情報を守る社会的責任がある

◆ 企業の社会的信用の向上、維持情報の流出、加害者への加担は企業の信頼を失墜させる

◆ セキュリティ対策はビジネス上必須に情報セキュリティ対策に不安のある企業とは… …

情報セキュリティ対策の意義

Copyright © 2004 独立行政法人情報処理推進機構情報セキュリティセミナー - Advanced IT Security Seminar 2004 -


コンピュータウイルスの種類と対策方法

１．コンピュータウイルスとは２．届出に見るウイルス被害の現状３．対策（感染防止対策、復旧対策、ケーススタディ）


1. コンピュータウイルスとは

・対策の重要性

・コンピュータウイルスの定義

・最近のウイルスの傾向

内容


知らない間に加害者になってしまう

・ウイルス付きのメールを知らない間に大量発信している！

・Pingや攻撃コードを知らない間に大量に発信している！

・知らない間にDDoS攻撃の踏み台になっている！

・知らない間にスパムメール発信の踏み台になっている！

・知らない間に情報が漏洩している!

情報システムを安全で快適に利用するために

未対策では容易に被害に遭ってしまう

対策の重要性


感染するとどうなるのか？（１）

再起動を繰り返すインターネットを停止させるDoS攻撃を仕掛ける情報漏洩を引き起こすフィッシング詐欺を働く目に見えないところで大きな被害

ユーザが気づかないところで大量のウイルス付きメールを送信

最近のウイルスの感染症状


感染するとどうなるのか？（２）

その他の感染症状

■ファイル、フォルダが削除される例:W32/Klez(クレズ)

アプリケーションソフトが使えなくなる例:W32/Navidad（ナビダッド）

Webページが改ざんされる例:W32/Nimda(ニムダ)

遠隔地からのアクセスを可能にしてしまう例:W32/Mydoom (マイドーム) 他多数

画面に画像が表示される例:W32/Hybris (ハイブリス)


ウイルス遭遇経験の有無の推移

1996～2003年国内ウイルス被害アンケート調査結果より

38.6

17.9

70

80.3

74.8

49.3

44.1

39.8

61.4

82.1

60.2

30

19.7

25.2

50.7

55.9

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2003年

2002年

2001年

2000年

1999年

1998年

1997年

1996年

遭遇経験あり遭遇経験なし

(n=1377）

(n=1250）

(n=1541）

(n=1500）

(n=1673）

(n=1757）

(n=1789）

(n=1128）


「コンピュータウイルス対策基準」第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内１つ以上を有するもの。【経済産業省（通商産業省）告示】

(1)自己伝染機能自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用し自らを他のシステムにコピーすることにより、他のシステムに伝染する機能

(2)潜伏機能発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

(3)発病機能プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

コンピュータに対して、数々の悪さをする不正プログラムコンピュータに対して、数々の悪さをする不正プログラム

コンピュータウイルスの定義


コンピュータウイルスの種類

Windows、DOSのウイルス（８万種以上）

Macintoshのウイルス（数十種類）

汎用機、ＵＮＩＸのウイルス（数十種類）

Linuxのウイルスの発生も

ブートセクタ感染型ウイルス（80年代後半～90年代前半）

ファイル感染型ウイルス（80年代後半～）

マクロ感染型ウイルス（90年代半ば～）

トロイの木馬型ウイルス（90年代～）

ネットワーク感染型ウイルス（01年～）


In the Wild

The WildList Organization International（http://www.wildlist.org/）

78 virus information professionalsPC Viruses In-the-Wild - April, 2004 Total for top list: 314

毎月実環境で発見されるウイルスの種類は

１５０～３００種類（亜種別）程度

IPAへの届出種類数（亜種含む）は

６０～８０種類程度（2004年）


なぜウイルスに感染してしまうのか?

(1) ファイルを開くと感染するメールの添付ファイルを開くと感染Webからダウンロードしたファイルから感染P2Pアプリケーションにより入手したファイルから感染USBメモリなどの媒体より入手したファイルから感染

(2) メールをプレビューしただけで感染

(3) Webページを閲覧しただけで感染

(4) ネットワークに繋いだだけで感染

(2)(3)(4)(2)(3)(4)は脆弱性は脆弱性((セキュリティホールセキュリティホール))を悪用を悪用→→ 脆弱性を解消すれば基本的に被害は防げる脆弱性を解消すれば基本的に被害は防げる


１．メール機能を悪用して感染（添付ファイル実行による感染）

＋セキュリティホール悪用による感染

メールのプレビューで感染（Netsky, Bugbear など）

Webページ閲覧による感染（Redlof など）

２．セキュリティホールを悪用して感染

ネットワークに接続するだけで感染（CodeRed, Slammer, MSBlaster, Sasser など）

３．共有フォルダ経由により感染（Nimda, Bugbear など）

４．P2Pアプリケーションによる感染 (Fizzer, Antinny など)

多様化する感染経路


送信者を詐称 → 本当の感染者に連絡がとれない→ 知り合いからのメールと思いファイルを開く→ 有名な会社やサポートセンターを騙る

大量にウイルスメールを送信 → 感染被害拡大

アドレス詐称メールを大量に送りつけるウイルス

Netsky IPAへの届出 2004年2月亜種が次々に出現し届出が多数寄せられる

Sobig.F IPAへの届出 2003年8月2003年度届出件数第2位

Klez IPAへの届出 2001年11月2002年、2003年ともIPAへの届出件数第１位

巧妙化するウイルスの手口（１）


送信者を詐称してウイルスメールを送信

・怪しい添付ファイルには注意・感染の警告が来てもあわてずに

感染したパソコンより取得したアドレスへ大量にウイルスメールを送信


W32/Sasser IPAへの届出 2004年5月1日・ Windows の複数の脆弱性(MS04-011)の「LSASSの脆弱性」を悪用・ 445/TCPへアクセス・感染すると再起動、動作が遅くなる・ W32/MSBlaster に似たメカニズムで感染を拡大

IPAの緊急対策情報にW32/Sasserワームの情報を公開5月5日

IPA ネットワーク観測システムよりW32/Sasserによると考えられるスキャン(TCP445番)を検知

5月1日

MS04-011の脆弱性のLSASSの脆弱性を悪用したワームが出現5月1日

MS04-011の脆弱性を攻略する攻撃コードがメーリングリストやインターネット上に公開され始める

4月25日頃～

Microsoft Windows のセキュリティ修正プログラム(MS04-011) 公開(Windows製品群における14件の脆弱性と修正プログラムを公開）

2004年4月13日

経過時間

インターネットに繋いだだけで感染


アイコンを偽装する偽装したアイコンに該当するプログラムを立ち上げる

テキストファイルを開くプログラムを立ち上げて騙しつつ、見えないところでウイルスも動作を開始している。

フォルダやテキストファイルに見せかけたウイルスファイル

ダブルクリック偽装したアイコンに該当するプログラム（メモ帳）を立ち上げる

巧妙化するウイルスの手口（２）


ワクチンソフトを停止するPC内のファイアウォールの機能を停止するワクチンソフトベンダーのサイトにアクセスさせない

例：例： W32/KlezW32/Klez W32/NetskyW32/Netsky W32/BagleW32/Bagle

検知・駆除されないためのウイルスの手口

感染するとワクチンソフトを停止する

ワクチンソフトがそのウイルスに対応している場合ワクチンソフトを停止される前にウイルスを駆除してくれる

→ ワクチンソフトを更新しておらず、そのウイルスを検出・駆除できない場合に被害に遭う

ワクチンソフトの更新は（毎日）定期的に行う！


ウイルスによる情報漏洩

情報漏洩を引き起すウイルス

(1)ウイルスメールに任意のファイルを添付して外部へ送信

W32/Klez(2001年11月）W32/Sircam(2001年7月）

(2)キー入力情報を外部へ送信（キーロガーを仕込む）

W32/Bugbear (亜種) （2003年 6月）

W32/Fizzer (2003年5月)

(3)ファイル交換ソフトのユーザが感染して情報漏洩

W32/Antinny (2003年8月)

(4)フィッシング詐欺の手口で個人情報を搾取

W32/Mimail (亜種)（2003年11月）


情報漏洩を引き起こすウイルス（１）

W32/Klez (亜種) （2001年11月届出)

【特徴】・情報漏洩（任意のファ

イルを添付し外部に送信）・大量メール一斉送信・差出人を詐称・件名と本文に工夫・セキュリティ製品を停止・特定の日に、Cドライブの

ファイルを破壊（亜種）


・キーロガーによる情報漏洩

・銀行をターゲットとしたウイルス

メール本文を見ただけでも感染送信者（From）アドレスを詐称

セキュリティ製品の機能を停止外部からの侵入口（バックドア）を作成

W32/Bugbear (亜種) （2003年 6月届出）

情報漏洩を引き起こすウイルス（２）


DoS攻撃を仕掛けるウイルス

・Netsky.Q 2004年4月8日から11日まで特定サイトへDoS攻撃・Mydoom SCO、米マイクロソフト、全米レコード協会（RIAA）

のサイトへDoS攻撃

・Mimail 反スパム団体（英国・スパムハウス）へDoS攻撃

・MSBlaster 米マイクロソフトへDoS攻撃

・CodeRed ホワイトハウスへDoS攻撃

特定対象を攻撃するウイルスによる社会不安対策をしていないと知らないうちに加害者に

DoS攻撃によるトラフィックでネットワークが麻痺する恐れ

ウイルスによるDoS攻撃


バックドア（外部へ通じる裏口）を仕掛けられると……・パソコンを遠隔操作される・パソコンの中に侵入され

ファイルを改ざんされたり、情報を外部に送信される

バックドアを仕掛けるウイルス

キーロガーを仕掛けられると……・ユーザのキー入力操作を記録

→ IDやパスワードを記録→ クレジッドカード番号を記録

・記録した情報を外部に送信


バックドアの設置バックドア

ログクリーナー（証拠隠滅）後処理

ファイルの改ざん

ホームページの改ざん（任意のコードの実行）

情報漏洩、情報暴露マシンの遠隔操作ツール

踏み台踏み台用のツール

感染したマシンを悪用した DoS 攻撃DoS 攻撃加担ツール

不正実行

バッファオーバーフローによる権限の強奪

（キーロガーの埋め込み）キーロガー

パスワードの盗聴パスワードクラッキングツール

権限取得

ポートスキャンによるシステム情報の事前調査ポートスキャナー事前調査

特徴的なウイルスの不正行為不正アクセスツール

不正アクセスツールとウイルスの不正行為比較表


ウイルスの特徴一覧表

出典：情報セキュリティ読本


2. 届出に見るウイルス被害の現状IPA届出状況より

・届出件数の年別推移

・感染被害の推移

・届出ウイルスTOP１０

内容


2004年のウイルス届出件数は、昨年１年間の届出件数を大きく上回る

ウイルス届出件数の年別推移

14 57 253 897 1 ,127 668 755

2 ,391 2 ,0 353 ,645

11 ,1 09

24 ,261

20 ,352

17 ,425

31 ,8 80

(1-8月合計)

10 ,791

(1-8月合計)

0

5000

10000

15000

20000

25000

30000

35000

1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004年

(件数)

独立行政法人情報処理推進機構セキュリティセンター(IPA/ ISEC)

メール機能悪用ウイルス（Hybr is、MTX、Sircam)猛威

セキュリティホール悪用ウイルス（Nimda、Badtran s）出現

セキュリティホール悪用ウイルス（K lez亜種）猛威

日本語Subjec t（Fbound）出現

セキュリティホールを悪用するMSBlaste r、We lch ia が

出現し、猛威を振るう

Netsky ウイルスの亜種が次々に登場

セキュリティホールを悪用する亜種も出現

（1-8月）

高水準で推移するウイルス被害


届出の感染被害別割合の推移

0%

20%

40%

60%

80%

100%

1998 1999 2000 2001 2002 2003 2004

パソコンに感染する前に発見したケース

パソコンに感染したケース

20%

54%

80%

年

2,035件 3,645件 11,109件 24,261件

19%8%

20,352件

7%

17,425件

2%

31,880件


2004年（1～8）届出ウイルスTOP10

2004年1月～2004年8月に届出された主なウイルス

備考：件数には亜種の届出を含む

31,880合計

7,006その他のｳｲﾙｽ

●●2003年5月665W32/Fizzer10

●●2003年8月783VBS/Redlof9

●●2002年5月1,110W32/Mimail8

●●2002年10月1,173W32/Bugbear7

●●2003年9月1,279W32/Swen6

●●2003年3月1,359W32/Lovgate5

●●2001年11月2,391W32/Klez4

●●2004年1月2,681W32/Bagle3

●●2004年1月2,840W32/Mydoom2

●●2004年2月10,593W32/Netsky1

ｾｷｭﾘﾃｨﾎｰﾙ悪用

ﾒｰﾙ機能悪用

初届出月届出件数ウイルス名称順位


ウイルス届出件数 5,091件

1,617件31.8%

169件3.3%

252件4.9% 277件

5.4%347件6.8%

496件9.7%

502件9.9%

1,431件28.1%

W32/Netsky W32/Bagle W32/Mydoom W32/Lovgate

W32/Klez W32/Zafi W32/Mabutu その他

ウイルス検出数　327万3千個

2,586,119個79.0%

212,422個6.5%

92,604個2.8%

100,373個3.1%123,123個

3.8%

158,479個 4.8%

W32/Netsky W32/Zafi W32/Mydoom W32/Bagle W32/Lovgate その他

IPAに寄せられたウイルスの検出数は約327万3千個（‘04年8月度）

そのうちの8割をW32/Netskyが

占める結果となっている

ウイルスの届出状況（2004/8）


3. 対策

・感染防止対策

・復旧対策

・ケーススタディ

内容


対策の基本的考え方

セキュリティ対策の基本抑止・防止：セキュリティ事故を予防する検知：セキュリティ事故を発見する回復：セキュリテ事故からの復旧・回復

ウイルス対策の基本予防：ウイルスに感染しないように対策する発見：（感染前に）ウイルスを検知する駆除：ウイルスを検知したら駆除・削除する復旧：ウイルス感染から復旧する


・サーバーインターネットの入口・出口でのチェックメール(smtp)、ダウンロード(http)

・クライアントファイルのやり取りをチェック

・社外へ持ち出し可能なノートパソコン感染したパソコンの持ち込みをチェック検疫システムの利用

感染防止対策（１）

◆ワクチンソフトの導入（必須）


ワクチンサーバーの導入

外部セグメントルータ

ファイアウォール

ＤＭＺ

公開サーバー(web等）

インターネット

ｸﾗｲｱﾝﾄｸﾗｲｱﾝﾄ

外部メ－ルサーバー

内部メ－ルサーバー

ワクチンサーバー


感染防止対策（２）

◆ワクチンソフトのアップデートの管理

・サーバー：

・クライアントへの更新案内の自動通知

・クライアントへの定義ファイルの自動配信

・クライアント：（セキュリティポリシーによる管理）

・スケジューラによる定義ファイルの自動更新

・リアルタイムチェック機能の活用


感染防止対策（３）

◆最小権限

・ノーパスワード＋フルアクセスは不可→ PCをAdmin権限で利用しないことも有効

◆安易な共有の禁止

・イントラネット内のセキュリティは案外脆い→ Ｃドライブの共有は不可→ Administrator のパスワード設定


感染防止対策（４）

◆検疫ネットワーク

・PCを隔離、検査、治療するための仕組み

・パッチ、定義ファイルのアップデートの自動化

・継続的な運用維持管理が必須


感染防止対策（５）

◆検疫ネットワーク

・隔離の方式は以下の4つが一般的

DHCPサーバ方式認証スイッチ方式パーソナルファイアウォール＋認証方式IEEE802.1x方式

・用途、適用範囲、予算などに合わせて選択する


感染防止対策（６）

◆セキュリティホール対策

・サーバー：IIS、Apache

・クライアント：ブラウザ（IE）、メーラー（OE）

・定期的にベンダー等のWebサイトをチェック、最新の情報収集、セキュリティパッチの適用。

・脆弱性発見ツールの活用

※パッチを当てた後の設定も忘れないように！


ウイルス感染の早期発見

ウイルス感染の兆候を見逃さない→ 怪しいと思ったらウイルス検査

1. システムやアプリケーションが頻繁にハングアップする。システムが起動しない。再起動を繰り返す。

2. ファイルが無くなる。見知らぬファイルが作成されている。3. タスクバーなどに妙なアイコンができる。4. いきなりインターネット接続をしようとする。5. ユーザの意図しないメール送信が行われる。6. 直感的にいつもと何かが違うと感じる。

最近のウイルスは症状の無いものが多い→兆候があってもなくても、定期的にウイルス検査を


大原則：落ち着いて対処する

マシンの使用を停止し、システム管理者の指示を仰ぐ

最新のワクチンで検査を行い、ウイルス名を特定する

ウイルスにあった適切な駆除を行う

破壊されたデータ等は、バックアップから復旧する

最新のワクチンソフトで再検査を行う

再発防止のための措置を行う

● ウイルスに感染したと思われる場合（ウイルス感染の兆候を見逃さない）

ウイルスに感染したら（１）


バックアップが最後の砦

最も確実な復旧方法＝「初期化」→「再インストール」

◆ ウイルスが削除したデータは復旧できない

◆ 最近のウイルスの多くはワクチンでは修復できない

→ワクチンはウイルスを事前に発見し、感染を未然に防ぐために使うもの

・CD-R、MO等の大容量のバックアップ機器の活用

ウイルスに感染したら（２）


・社内LANが繋がりにくくなった。

・メールサーバの応答が非常に遅い。

・外部から苦情が寄せられた。

・ファイアウォールが停止した。

ケーススタディ：事例発生

ネットワークに異常発生


・LANに接続されているパソコンをワクチンソフトでチェック

・不審なパケットを送信しているマシンを特定↓ ネットワークから切り離す

マシンを特定したら動作している不審なプログラムの調査（タスクマネージャなどを利用）

・情報収集（Web、メーリングリスト等）

ケーススタディ：原因究明（1）

原因特定のため調査


ウイルス情報を参照して対処

ケーススタディ：原因究明（2）

原因特定のため調査

不審なプログラムを特定できたら

ワクチンソフトでチェック → 検出不可能

外部業者(ベンダー)に調査依頼


・原因が判明したら、対処策を実施

・侵入を許した原因の排除→ すべてのパソコンについて実施

・一連の対応フローを時系列で確認→ よかった点、悪かった点を踏まえ、

今後のノウハウとして蓄積。

ケーススタディ：復旧対策

復旧対策


被害拡大防止と早期復旧（ダウンタイム削減）

・緊急時対応計画の策定と予行演習(インシデント対応）例：ウイルス対策窓口を設置

ウイルス対策関連情報を集める

復旧手順を事前に策定しておく

→最小限の被害にとどめる →最小限の労力で復旧

★ウイルスに感染したら、ネットワークを停止する等、

一斉に、漏れがないように行うことが重要

→ 修復が確認できるまで、ネットワークにつながせない

業務継続管理→バックアップの二重化など

最終確認を兼ね、ＩＰＡへ届け出を！

システム管理者が行うべき対策システム管理者が行うべき対策


ワクチンソフトの導入・設定・更新・活用

外部から入手したファイルは安易に開かない

セキュリティホール対策の実施

安易な共有の禁止

アプリケーションの適切な設定

ウイルス対策関連情報の収集

定期的にデータのバックアップを！

まとめ

Copyright © 2004 独立行政法人情報処理推進機構


情報セキュリティセミナー - Advanced IT Security Seminar 2004 -

不正アクセス・サイバー犯罪の事例と対策方法

1．不正アクセス・サイバー犯罪とは2．なぜ被害に遭うのか3．被害対策と事例

(1）Webサイトに存在する脅威と対策(2)サーバーの不正使用－脅威と対策

4．ログの管理


1. 不正アクセス・サイバー犯罪とは


不正アクセスとは何か

システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと。

「コンピュータ不正アクセス対策基準」（平成8年8月8日付け経済産業省(旧通商産業省)告示第362号）http://www.meti.go.jp/press/past/c60806a2.html

一般的な概念

法的な定義

参照：不正アクセス行為の禁止等に関する法律

http://www.ipa.go.jp/security/ciadr/law199908.html


サイバー犯罪とは何か

「欧州評議会サイバー犯罪に関する条約」で、不正アクセス、コンピュータ関連詐欺、児童ポルノ関連犯罪などの「情報技術を悪用した犯罪」を意味する

◆ コンピューター若しくは電磁的記録を対象とした犯罪・電子計算機損壊等業務妨害罪、電子計算機使用詐欺罪などの刑法犯罪

◆ コンピューターネットワークをその手段として利用した犯罪・電子掲示板（BBS）を利用し，覚せい剤等の違法な物品を販売した場合

・インターネットオークションなどで詐欺行為により代金をだまし取る行為・ホームページ上に児童ポルノ画像を置き，公開した場合など

◆ 不正アクセス行為の禁止等に関する法律違反・他人のID，パスワードを無断で使用しコンピュータを不正に使用した場合

・不正なツールなどによりコンピュータに侵入し，不正に使用した場合


IPAが受付けた不正アクセス届出状況

0

20

40

60

80

100

120

3月 4月 5月 6月 7月 8月

その他

DoS

アドレス詐称

メール不正中継

ワーム形跡

ワーム感染

アクセス形跡（未遂）

侵入

57 55

96

5245

60

不正アクセス届出状況（2004年3月～8月）


最近の傾向

セキュリティの甘いサイトが被害に

無差別に狙われている

侵入されたサイトが踏み台に


2. なぜ被害に遭うのか


IPAが受け付けた被害原因の分類

2004年1月～8月被害届出（原因別）

設定不備25%

古いバージョン、

パッチ未導入など

35%

ID,パスワードの設定・管理不備

40%


被害原因

◆ ＩＤ・パスワードの設定、管理不備

◆ 既知の脆弱性

◆ 初歩的な設定不備

基本的な対策を実行し最善のセキュリティ情報による対策を行うことにより多くの被害を未然に防ぐことができる


3. 被害事例と対策

(1)Webサイトに存在する脅威と対策(2)サーバの不正使用ー脅威と対策


共通の不正アクセス対策

適切なＩＤ・パスワードの設定、管理

脆弱性の解消

デフォルト設定からの変更

不要なサービスの停止・削除


(1) Webサイトに存在する脅威

Webサイトを構成するシステムの脆弱性

Webサイト管理者の設定ミス

推測されやすいファイル名・拡張子、HTMLソース

パラメータの不正操作

SQLインジェクション

OSコマンドインジェクション

セッションハイジャック

クロスサイトスクリプティング脆弱性


Webサイトに存在する脅威と対策（1）

◆脅威：Webサイトを構成するシステムの脆弱性や管理者の設定ミス– ホームページが改ざんされた– ワームに感染した– サーバーがダウンした

◆対策Webサイトを構成するシステムの脆弱性の解消– OSの脆弱性の解消– Webサーバーアプリケーションの脆弱性の解消（IIS、Apacheなど）– 新しいバージョンのCGIの利用– Webサーバーと連動するサーバーの脆弱性の解消

管理者の設定ミス– 適切なID、パスワードの設定と管理– 適切なアクセス制限– 不必要なサービスの削除・停止



◆脅威：推測されやすいファイル名や拡張子、HTMLソース– ファイルやディレクトリの内容が丸見えになっていた– ファイルを改ざんされていた– HTML文書から情報が漏洩してしまっていた

◆対策– 既定のファイルを設置する– ファイル一覧の表示を禁止する– 不必要なファイルを公開サーバーに置かない– 適切なアクセス権の設定する– HTML文書のコメント欄に重要な情報を記述しない– HTMLソースを隠す


パラメータの不正操作

Webサイトに存在する脅威と対策（3-1）

<form action=“./basket.php” method=“post”><input type=“hidden” name=“item”value=“PC4869C12”><input type=“hidden” name=“price”value=“200,000”>商品名：ノートパソコン(PC4869C12)<br>販売価格：200,000円<br>注文数：<select name="units"><option value="1">1<option value="2">2<option value="3">3<option value="4">4<option value="5">5</select><br><input type="submit" value="買い物カゴに入れる"></form>


◆脅威：パラメータの不正操作

– 権限の無い情報が表示させられた

– アプリケーションの操作が不安定になった

◆対策

– パラメータとして受け付ける値を制限する

– JavaScriptやCGIで隠しパラメータのチェックをする

– 改ざんされて困るデータは、クライアントに渡さない



◆脅威：SQLインジェクション（SQLデータベースに対し、外部から不正なコマンドを

処理させてシステムに被害を及ぼすこと）– 他のユーザのデータを見られたり、パスワード情報を盗まれ

た– データベースが改ざんされたり、削除された– 不正なコマンドを実行させられた

◆対策– ユーザーが入力できる値を制限する– 実行可能なコマンドを制限する– データベースへのアクセス権限を最小限にする

参考：セキュアプログラミング講座http://www.ipa.go.jp/security/awareness/vendor/programming/index.html



◆脅威：OSコマンドインジェクション（OSに対し、外部から不正なコマンドを処理させて

システムに被害を及ぼすこと）– Webサーバーが改ざんされた– パスワードファイルが奪取された– 管理者権限が奪取された

◆対策– ユーザーが入力できる値を制限する– 開発者専用のWebページを削除する



◆脅威：セッションハイジャック– 悪意のあるユーザーに正規のユーザーがWebサーバーに

アクセスする情報を奪取され、成りすましてアクセスされた

◆対策– すべてのページをSSL/TLSを利用したページにして、

cookieにsecure属性を付与する– 2つのcookieを使ってセッション追跡する

参考：経路のセキュリティと同時にセキュアなセッション管理を

http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html




クロスサイトスクリプティングとは


◆脅威：クロスサイトスクリプティング脆弱性

– 本人になりすまして物品を購入された

– Webサイトに侵入された

◆対策

– ページ生成時のメタキャラクタのエスケープ処理を行う

– WebサーバーやWebアプリケーションのベンダー情報を

入手し対処する

参考：Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報

http://www.ipa.go.jp/security/ciadr/20011023css.html



(2) サーバーの不正使用

踏み台

– 迷惑メールの送信

– オープンプロキシ

データ格納

– ソフトウェアの交換

攻撃の幇助

– 不正プログラムの制御

– ワーム拡散


サーバーの不正使用：原因

システムの脆弱性

サーバアプリケーションの脆弱性

管理者の設定ミス

ユーザの設定ミス


サーバーの不正使用：対策

設定の見直し

稼働中のサービスのチェック

アカウント、メールアドレスの確認

トラフィックの監視

継続的なチェックの実施


サーバの不正使用－脅威と対策 (1)

◆脅威：迷惑メールの送信など– 送信制限の設定されていないメールサーバを使用された。– 迷惑メールの送信元IPアドレスの偽装に使用された。– その結果、多量のメール送信により正常な通信ができなくなり、サーバ

の処理が重くなるなどの障害が発生した。

◆対策– 設定の見直し

・第三者中継を許していないか

– メールアドレスのチェック・使用していないメールアドレスが残っていないか・不要な転送設定が残っていないか

– トラフィックの監視・異常な数のメールが送受信されていないか・特定のIPアドレスからの送信が増加していないか

– 継続的なチェックの実施



◆脅威：オープンプロキシ– ウェブアクセスなどの匿名化(IPアドレスの隠蔽)に使用される。

– 多量のウェブアクセスにより、正常な通信ができなくなる。– アクセス元IPアドレスの偽装に使用される。

◆対策– 設定の見直し

• 第三者中継を許していないか

– 不正なアカウントのチェック• 不正なアカウントを作成されていないか

– トラフィックの監視• 異常な量のトラフィックが発生していないか• 特定のIPアドレスとの通信が増加していないか

• 特定のポートへのアクセスが増加していないか




◆脅威：ソフトウェアの交換– データの交換や格納場所として使用される。– 不正にコピーされたソフトウェアの交換に使用される。– 予期せぬ多量のアクセスにより、正常な通信ができなくなる。

◆対策– サービスの確認

・動作しているはずのないプログラムが動いていないか・想定しているポートのみが開いているか

– 設定の見直し・許可しているIPアドレスのみアクセス可能になっているか

– 不正なアカウントのチェック・不正なアカウントを作成されていないか

– トラフィックの監視・異常な量のトラフィックが発生していないか・特定のIPアドレスとの通信が増加していないか・特定のポートへのアクセスが増加していないか



サーバの不正使用－脅威と対策 (4)◆脅威：プログラムの制御

– ワームなどを仕込まれたコンピュータの制御または中継用サーバとして使用される。

– 主にIRCを使って通信を行う。– 攻撃者と勘違いされる危険性がある。


・動作しているはずのないプログラムが動いていないか・想定しているポートのみが開いているか

– 設定の見直し・許可しているIPアドレスのみアクセス可能になっているか

– 不正なアカウントのチェック・不正なアカウントを作成されていないか

– トラフィックの監視・異常な量のトラフィックが発生していないか・特定のIPアドレスとの通信が増加していないか・特定のポートへのアクセスが増加していないか




◆脅威：ワームの拡散– ワームのダウンロード用サーバとして使用される(FTP/HTTP/TFTPなど)。

• Sasserは感染したホストでFTPサーバを動作させる。

– 攻撃者と勘違いされる危険性がある。


• 動作しているはずのないプログラムが動いていないか• 想定しているポートのみが開いているか

– 設定の見直し• 許可しているIPアドレスのみアクセス可能になっているか

– 不正なアカウントのチェック• 不正なアカウントを作成されていないか

– トラフィックの監視• 異常な量のトラフィックが発生していないか• 特定のIPアドレスとの通信が増加していないか• 特定のポートへのアクセスが増加していないか



4. ログの管理


ログ管理の留意点

必要な情報を収集するようにログを設定する

ログサーバーで集中管理

ログを安全に保管する

ツールを利用して分析する

詳細な監査ログ

時計の同期 (照合のため)普段からチェックし正常時を把握しておく


ログの照合

FirewallとUNIX

外部セグメント

インターネット

ルータ

ファイアウォール

内部

内部サーバー

FireWall-1

10:57:11 accept firewall-1 >SMCPWRII1 proto udp src 192.168.10.1 dst ultra7.xxx.co.jp service sunrpc s_port 772 len 84 rule 1

10:57:11 accept firewall-1 >SMCPWRII1 proto udp src 192.168.10.1 dst ultra7.xxx.co.jp service 32808 s_port 773 len 1140 rule 1

Solaris: message

Jun 29 10:57:11 ultra7 statd[122]: statd: pathname too long: /var/statmon/sm/<^1FF>OGuG~OGuG~OGuFPV6;P.ahm.rg,bsntbg.slo.sdrs-sws

Statd ***.***.***.*** touch /tmp/test.txt


まとめ

計画的な不正アクセス対策

ポリシーに基づいたセキュリティ機能の実装

継続的なチェックの実施

不必要なサービスの削除･停止

アクセス制限の最小化

多段階防御

情報資産・リスク・インシデント78 virus information professionals pc viruses...

Documents