情報資産・リスク・インシデント78 virus information professionals pc viruses...
TRANSCRIPT
![Page 1: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/1.jpg)
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報資産・リスク・インシデント
![Page 2: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/2.jpg)
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
そこにある情報資産
◆ 情報(紙、電子媒体、ネットワーク上)
財務情報、人事情報、顧客情報、戦略情報、技術情報業務を遂行するために必要な様々な情報
◆ 情報システムコンピュータ(PC、サーバ、汎用機)、 ネットワーク、通信設備
様々な形態の情報資産
個人および組織には多くの情報資産が蓄えられている
ITの普及に伴い、情報の価値は非常に高くなっている
情報資産を守るための対策 → 情報セキュリティ対策情報やシステムの「機密性」「完全性」「可用性」を確保すること
![Page 3: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/3.jpg)
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
脅威 :情報の機密性・完全性・可用性を阻害する要因リスク :脅威によって情報資産が損なわれる可能性
インシデント:実際に情報資産が損なわれてしまった状態
◆外部からの要因・侵入、サービス妨害・ウイルス感染・盗難、輸送中の紛失・停電
◆内在する要因・ソフトの脆弱性・ソフト及びハードの信頼性・運用ルール違反、設定ミス
脅威(要因)
◆運用停止(業務停止)
◆情報消失・破壊◆不正アクセス
(改ざん、盗聴、なりすまし、踏み台)
◆情報漏洩
インシデント(現象)
脅威・リスク・インシデント
脅威の顕在化
リスク
![Page 4: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/4.jpg)
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
守るべき情報資産と脅威-基本的考え方 ~ 何から何を守るか?
◆ 情報(紙、電子媒体、ネットワーク上)財務情報、人事情報、顧客情報、戦略情報、技術情報 等
◆ 情報システムコンピュータ(パソコン、サーバー、汎用機)、 ネットワーク、通信設備
◆ 社会的信用
弱点(脅威) 守るべきもの
情報資産・システム ・ネットワーク・ハードウエア ・ソフトウエア・データ ・ノウハウ等
内在する要因・ソフトウエアの脆弱性・セキュリティ機能の欠如・セキュリティモラルの欠如等
組織
外部からの要因・ウィルス等・侵入・サービス妨害
![Page 5: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/5.jpg)
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆ 企業財産の保護情報の価値は思っている以上に高い
◆ 社会的責任 (個人情報の保護)顧客データ等プライバシー情報を守る社会的責任がある
◆ 企業の社会的信用の向上、維持情報の流出、加害者への加担は企業の信頼を失墜させる
◆ セキュリティ対策はビジネス上必須に情報セキュリティ対策に不安のある企業とは… …
情報セキュリティ対策の意義
![Page 6: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/6.jpg)
Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティセミナー 2004
コンピュータウイルスの種類と対策方法
1.コンピュータウイルスとは2.届出に見るウイルス被害の現状3.対策 (感染防止対策、復旧対策、ケーススタディ)
![Page 7: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/7.jpg)
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. コンピュータウイルスとは
・ 対策の重要性
・ コンピュータウイルスの定義
・ 最近のウイルスの傾向
内 容
![Page 8: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/8.jpg)
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
知らない間に加害者になってしまう
・ウイルス付きのメールを知らない間に大量発信している!
・Pingや攻撃コードを知らない間に大量に発信している!
・知らない間にDDoS攻撃の踏み台になっている!
・知らない間にスパムメール発信の踏み台になっている!
・知らない間に情報が漏洩している!
情報システムを安全で快適に利用するために
未対策では容易に被害に遭ってしまう
対策の重要性
![Page 9: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/9.jpg)
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染するとどうなるのか?(1)
再起動を繰り返すインターネットを停止させるDoS攻撃を仕掛ける情報漏洩を引き起こすフィッシング詐欺を働く目に見えないところで大きな被害
ユーザが気づかないところで大量のウイルス付きメールを送信
最近のウイルスの感染症状
![Page 10: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/10.jpg)
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染するとどうなるのか?(2)
その他の感染症状
■ファイル、フォルダが削除される例:W32/Klez(クレズ)
アプリケーションソフトが使えなくなる例:W32/Navidad(ナビダッド)
Webページが改ざんされる例:W32/Nimda(ニムダ)
遠隔地からのアクセスを可能にしてしまう例:W32/Mydoom (マイドーム) 他多数
画面に画像が表示される例:W32/Hybris (ハイブリス)
![Page 11: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/11.jpg)
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス遭遇経験の有無の推移
1996~2003年国内ウイルス被害アンケート調査結果より
38.6
17.9
70
80.3
74.8
49.3
44.1
39.8
61.4
82.1
60.2
30
19.7
25.2
50.7
55.9
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2003年
2002年
2001年
2000年
1999年
1998年
1997年
1996年
遭遇経験あり 遭遇経験なし
(n=1377)
(n=1250)
(n=1541)
(n=1500)
(n=1673)
(n=1757)
(n=1789)
(n=1128)
![Page 12: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/12.jpg)
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
「コンピュータウイルス対策基準」第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内1つ以上を有するもの。【経済産業省(通商産業省)告示】
(1)自己伝染機能自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用し自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
コンピュータに対して、数々の悪さをする不正プログラムコンピュータに対して、数々の悪さをする不正プログラム
コンピュータウイルスの定義
![Page 13: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/13.jpg)
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
コンピュータウイルスの種類
Windows、DOSのウイルス (8万種以上)
Macintoshのウイルス (数十種類)
汎用機、UNIXのウイルス (数十種類)
Linuxのウイルスの発生も
ブートセクタ感染型ウイルス(80年代後半~90年代前半)
ファイル感染型ウイルス(80年代後半~)
マクロ感染型ウイルス(90年代半ば~)
トロイの木馬型ウイルス(90年代~)
ネットワーク感染型ウイルス(01年~)
![Page 14: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/14.jpg)
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
In the Wild
The WildList Organization International(http://www.wildlist.org/)
78 virus information professionalsPC Viruses In-the-Wild - April, 2004 Total for top list: 314
毎月実環境で発見されるウイルスの種類は
150~300種類(亜種別)程度
IPAへの届出種類数(亜種含む)は
60~80種類程度(2004年)
![Page 15: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/15.jpg)
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
なぜウイルスに感染してしまうのか?
(1) ファイルを開くと感染するメールの添付ファイルを開くと感染Webからダウンロードしたファイルから感染P2Pアプリケーションにより入手したファイルから感染USBメモリなどの媒体より入手したファイルから感染
(2) メールをプレビューしただけで感染
(3) Webページを閲覧しただけで感染
(4) ネットワークに繋いだだけで感染
(2)(3)(4)(2)(3)(4)は脆弱性は脆弱性((セキュリティホールセキュリティホール))を悪用を悪用→→ 脆弱性を解消すれば基本的に被害は防げる脆弱性を解消すれば基本的に被害は防げる
![Page 16: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/16.jpg)
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1.メール機能を悪用して感染 (添付ファイル実行による感染)
+ セキュリティホール悪用による感染
メールのプレビューで感染 (Netsky, Bugbear など)
Webページ閲覧による感染 (Redlof など)
2.セキュリティホールを悪用して感染
ネットワークに接続するだけで感染(CodeRed, Slammer, MSBlaster, Sasser など)
3.共有フォルダ経由により感染 (Nimda, Bugbear など)
4.P2Pアプリケーションによる感染 (Fizzer, Antinny など)
多様化する感染経路
![Page 17: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/17.jpg)
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
送信者を詐称 → 本当の感染者に連絡がとれない→ 知り合いからのメールと思いファイルを開く→ 有名な会社やサポートセンターを騙る
大量にウイルスメールを送信 → 感染被害拡大
アドレス詐称メールを大量に送りつけるウイルス
Netsky IPAへの届出 2004年2月亜種が次々に出現し届出が多数寄せられる
Sobig.F IPAへの届出 2003年8月2003年度届出件数第2位
Klez IPAへの届出 2001年11月2002年、2003年ともIPAへの届出件数第1位
巧妙化するウイルスの手口(1)
![Page 18: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/18.jpg)
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
送信者を詐称してウイルスメールを送信
・怪しい添付ファイルには注意 ・感染の警告が来てもあわてずに
感染したパソコンより取得したアドレスへ大量にウイルスメールを送信
![Page 19: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/19.jpg)
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
W32/Sasser IPAへの届出 2004年5月1日・ Windows の複数の脆弱性(MS04-011)の「LSASSの脆弱性」を悪用・ 445/TCPへアクセス ・ 感染すると再起動、動作が遅くなる・ W32/MSBlaster に似たメカニズムで感染を拡大
IPAの緊急対策情報にW32/Sasserワームの情報を公開5月5日
IPA ネットワーク観測システムよりW32/Sasserによると考えられるスキャン(TCP445番)を検知
5月1日
MS04-011の脆弱性のLSASSの脆弱性を悪用したワームが出現5月1日
MS04-011の脆弱性を攻略する攻撃コードがメーリングリストやインターネット上に公開され始める
4月25日頃~
Microsoft Windows のセキュリティ修正プログラム(MS04-011) 公開(Windows製品群における14件の脆弱性と修正プログラムを公開)
2004年4月13日
経過時間
インターネットに繋いだだけで感染
![Page 20: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/20.jpg)
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
アイコンを偽装する偽装したアイコンに該当するプログラムを立ち上げる
テキストファイルを開くプログラムを立ち上げて騙しつつ、見えないところでウイルスも動作を開始している。
フォルダやテキストファイルに見せかけたウイルスファイル
ダブルクリック 偽装したアイコンに該当するプログラム(メモ帳)を立ち上げる
巧妙化するウイルスの手口(2)
![Page 21: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/21.jpg)
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ワクチンソフトを停止するPC内のファイアウォールの機能を停止するワクチンソフトベンダーのサイトにアクセスさせない
例:例: W32/KlezW32/Klez W32/NetskyW32/Netsky W32/BagleW32/Bagle
検知・駆除されないためのウイルスの手口
感染するとワクチンソフトを停止する
ワクチンソフトがそのウイルスに対応している場合ワクチンソフトを停止される前にウイルスを駆除してくれる
→ ワクチンソフトを更新しておらず、そのウイルスを検出・駆除できない場合に被害に遭う
ワクチンソフトの更新は(毎日)定期的に行う!
![Page 22: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/22.jpg)
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルスによる情報漏洩
情報漏洩を引き起すウイルス
(1)ウイルスメールに任意のファイルを添付して外部へ送信
W32/Klez(2001年11月)W32/Sircam(2001年7月)
(2)キー入力情報を外部へ送信(キーロガーを仕込む)
W32/Bugbear (亜種) (2003年 6月)
W32/Fizzer (2003年5月)
(3)ファイル交換ソフトのユーザが感染して情報漏洩
W32/Antinny (2003年8月)
(4)フィッシング詐欺の手口で個人情報を搾取
W32/Mimail (亜種)(2003年11月)
![Page 23: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/23.jpg)
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報漏洩を引き起こすウイルス(1)
W32/Klez (亜種) (2001年11月届出)
【特徴】・情報漏洩(任意のファ
イルを添付し外部に送信)・大量メール一斉送信・差出人を詐称・件名と本文に工夫・セキュリティ製品を停止・特定の日に、Cドライブの
ファイルを破壊(亜種)
![Page 24: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/24.jpg)
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
・キーロガーによる情報漏洩
・銀行をターゲットとしたウイルス
メール本文を見ただけでも感染送信者(From)アドレスを詐称
セキュリティ製品の機能を停止外部からの侵入口(バックドア)を作成
W32/Bugbear (亜種) (2003年 6月届出)
情報漏洩を引き起こすウイルス(2)
![Page 25: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/25.jpg)
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
DoS攻撃を仕掛けるウイルス
・Netsky.Q 2004年4月8日から11日まで特定サイトへDoS攻撃・Mydoom SCO、米マイクロソフト、全米レコード協会(RIAA)
のサイトへDoS攻撃
・Mimail 反スパム団体(英国・スパムハウス)へDoS攻撃
・MSBlaster 米マイクロソフトへDoS攻撃
・CodeRed ホワイトハウスへDoS攻撃
特定対象を攻撃するウイルスによる社会不安対策をしていないと知らないうちに加害者に
DoS攻撃によるトラフィックでネットワークが麻痺する恐れ
ウイルスによるDoS攻撃
![Page 26: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/26.jpg)
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
バックドア(外部へ通じる裏口)を仕掛けられると……・パソコンを遠隔操作される・パソコンの中に侵入され
ファイルを改ざんされたり、情報を外部に送信される
バックドアを仕掛けるウイルス
キーロガーを仕掛けられると……・ユーザのキー入力操作を記録
→ IDやパスワード を記録→ クレジッドカード番号を記録
・記録した情報を外部に送信
![Page 27: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/27.jpg)
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
バックドアの設置バックドア
ログクリーナー(証拠隠滅)後処理
ファイルの改ざん
ホームページの改ざん(任意のコードの実行)
情報漏洩、情報暴露マシンの遠隔操作ツール
踏み台踏み台用のツール
感染したマシンを悪用した DoS 攻撃DoS 攻撃加担ツール
不正実行
バッファオーバーフローによる権限の強奪
(キーロガーの埋め込み)キーロガー
パスワードの盗聴パスワードクラッキングツール
権限取得
ポートスキャンによるシステム情報の事前調査ポートスキャナー事前調査
特徴的なウイルスの不正行為不正アクセスツール
不正アクセスツールとウイルスの不正行為比較表
![Page 28: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/28.jpg)
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルスの特徴一覧表
出典:情報セキュリティ読本
![Page 29: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/29.jpg)
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2. 届出に見るウイルス被害の現状IPA届出状況より
・ 届出件数の年別推移
・ 感染被害の推移
・ 届出ウイルスTOP10
内 容
![Page 30: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/30.jpg)
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2004年のウイルス届出件数は、昨年1年間の届出件数を大きく上回る
ウイルス届出件数の年別推移
14 57 253 897 1 ,127 668 755
2 ,391 2 ,0 353 ,645
11 ,1 09
24 ,261
20 ,352
17 ,425
31 ,8 80
(1-8月合計)
10 ,791
(1-8月合計)
0
5000
10000
15000
20000
25000
30000
35000
1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004年
(件数)
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ ISEC)
メール機能悪用ウイルス(Hybr is、MTX、Sircam)猛威
セキュリティホール悪用ウイルス(Nimda、Badtran s)出現
セキュリティホール悪用ウイルス(K lez亜種)猛威
日本語Subjec t(Fbound)出現
セキュリティホールを悪用するMSBlaste r、We lch ia が
出現し、猛威を振るう
Netsky ウイルスの亜種が次々に登場
セキュリティホールを悪用する亜種も出現
(1-8月)
高水準で推移するウイルス被害
![Page 31: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/31.jpg)
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
届出の感染被害別割合の推移
0%
20%
40%
60%
80%
100%
1998 1999 2000 2001 2002 2003 2004
パソコンに感染する前に発見したケース
パソコンに感染したケース
20%
54%
80%
年
2,035件 3,645件 11,109件 24,261件
19%8%
20,352件
7%
17,425件
2%
31,880件
![Page 32: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/32.jpg)
27Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2004年(1~8)届出ウイルスTOP10
2004年1月~2004年8月に届出された主なウイルス
備考:件数には亜種の届出を含む
31,880合 計
7,006その他のウイルス
●●2003年5月665W32/Fizzer10
●●2003年8月783VBS/Redlof9
●●2002年5月1,110W32/Mimail8
●●2002年10月1,173W32/Bugbear7
●●2003年9月1,279W32/Swen6
●●2003年3月1,359W32/Lovgate5
●●2001年11月2,391W32/Klez4
●●2004年1月2,681W32/Bagle3
●●2004年1月2,840W32/Mydoom2
●●2004年2月10,593W32/Netsky1
セキュリティホール悪用
メール機能悪用
初届出月届出件数ウイルス名称順位
![Page 33: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/33.jpg)
28Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス届出件数 5,091件
1,617件31.8%
169件3.3%
252件4.9% 277件
5.4%347件6.8%
496件9.7%
502件9.9%
1,431件28.1%
W32/Netsky W32/Bagle W32/Mydoom W32/Lovgate
W32/Klez W32/Zafi W32/Mabutu その他
ウイルス検出数 327万3千個
2,586,119個79.0%
212,422個6.5%
92,604個2.8%
100,373個3.1%123,123個
3.8%
158,479個 4.8%
W32/Netsky W32/Zafi W32/Mydoom W32/Bagle W32/Lovgate その他
IPAに寄せられたウイルスの検出数は約327万3千個(‘04年8月度)
そのうちの8割をW32/Netskyが
占める結果となっている
ウイルスの届出状況(2004/8)
![Page 34: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/34.jpg)
29Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
3. 対策
・ 感染防止対策
・ 復旧対策
・ ケーススタディ
内 容
![Page 35: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/35.jpg)
30Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
対策の基本的考え方
セキュリティ対策の基本抑止・防止: セキュリティ事故を予防する検知:セキュリティ事故を発見する回復:セキュリテ事故からの復旧・回復
ウイルス対策の基本予防:ウイルスに感染しないように対策する発見:(感染前に)ウイルスを検知する駆除:ウイルスを検知したら駆除・削除する復旧:ウイルス感染から復旧する
![Page 36: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/36.jpg)
31Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
・サーバーインターネットの入口・出口でのチェックメール(smtp)、ダウンロード(http)
・クライアントファイルのやり取りをチェック
・社外へ持ち出し可能なノートパソコン感染したパソコンの持ち込みをチェック検疫システムの利用
感染防止対策(1)
◆ワクチンソフトの導入(必須)
![Page 37: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/37.jpg)
32Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ワクチンサーバーの導入
外部セグメントルータ
ファイアウォール
DMZ
公開サーバー(web等)
インターネット
クライアント クライアント
外部メ-ルサーバー
内部メ-ルサーバー
ワクチンサーバー
![Page 38: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/38.jpg)
33Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染防止対策(2)
◆ワクチンソフトのアップデートの管理
・サーバー:
・クライアントへの更新案内の自動通知
・クライアントへの定義ファイルの自動配信
・クライアント:(セキュリティポリシーによる管理)
・スケジューラによる定義ファイルの自動更新
・リアルタイムチェック機能の活用
![Page 39: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/39.jpg)
34Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染防止対策(3)
◆最小権限
・ノーパスワード + フルアクセスは不可→ PCをAdmin権限で利用しないことも有効
◆安易な共有の禁止
・イントラネット内のセキュリティは案外脆い→ Cドライブの共有は不可→ Administrator のパスワード設定
![Page 40: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/40.jpg)
35Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染防止対策(4)
◆検疫ネットワーク
・PCを隔離、検査、治療するための仕組み
・パッチ、定義ファイルのアップデートの自動化
・継続的な運用維持管理が必須
![Page 41: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/41.jpg)
36Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染防止対策(5)
◆検疫ネットワーク
・隔離の方式は以下の4つが一般的
DHCPサーバ方式認証スイッチ方式パーソナルファイアウォール+認証方式IEEE802.1x方式
・用途、適用範囲、予算などに合わせて選択する
![Page 42: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/42.jpg)
37Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
感染防止対策(6)
◆セキュリティホール対策
・サーバー:IIS、Apache
・クライアント:ブラウザ(IE)、メーラー (OE)
・定期的にベンダー等のWebサイトをチェック、最新の情報収集、セキュリティパッチの適用。
・脆弱性発見ツールの活用
※パッチを当てた後の設定も忘れないように!
![Page 43: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/43.jpg)
38Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス感染の早期発見
ウイルス感染の兆候を見逃さない→ 怪しいと思ったらウイルス検査
1. システムやアプリケーションが頻繁にハングアップする。システムが起動しない。再起動を繰り返す。
2. ファイルが無くなる。見知らぬファイルが作成されている。3. タスクバーなどに妙なアイコンができる。4. いきなりインターネット接続をしようとする。5. ユーザの意図しないメール送信が行われる。6. 直感的にいつもと何かが違うと感じる。
最近のウイルスは症状の無いものが多い→兆候があってもなくても、定期的にウイルス検査を
![Page 44: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/44.jpg)
39Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
大原則:落ち着いて対処する
マシンの使用を停止し、システム管理者の指示を仰ぐ
最新のワクチンで検査を行い、ウイルス名を特定する
ウイルスにあった適切な駆除を行う
破壊されたデータ等は、バックアップから復旧する
最新のワクチンソフトで再検査を行う
再発防止のための措置を行う
● ウイルスに感染したと思われる場合(ウイルス感染の兆候を見逃さない)
ウイルスに感染したら(1)
![Page 45: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/45.jpg)
40Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
バックアップが最後の砦
最も確実な復旧方法=「初期化」→「再インストール」
◆ ウイルスが削除したデータは復旧できない
◆ 最近のウイルスの多くはワクチンでは修復できない
→ワクチンはウイルスを事前に発見し、感染を未然に防ぐために使うもの
・CD-R、MO等の大容量のバックアップ機器の活用
ウイルスに感染したら(2)
![Page 46: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/46.jpg)
41Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
・社内LANが繋がりにくくなった。
・メールサーバの応答が非常に遅い。
・外部から苦情が寄せられた。
・ファイアウォールが停止した。
ケーススタディ:事例発生
ネットワークに異常発生
![Page 47: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/47.jpg)
42Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
・LANに接続されているパソコンをワクチンソフトでチェック
・不審なパケットを送信しているマシンを特定↓ ネットワークから切り離す
マシンを特定したら動作している不審なプログラムの調査(タスクマネージャなどを利用)
・情報収集(Web、メーリングリスト等)
ケーススタディ:原因究明(1)
原因特定のため調査
![Page 48: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/48.jpg)
43Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス情報を参照して対処
ケーススタディ:原因究明(2)
原因特定のため調査
不審なプログラムを特定できたら
ワクチンソフトでチェック → 検出不可能
外部業者(ベンダー)に調査依頼
![Page 49: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/49.jpg)
44Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
・原因が判明したら、対処策を実施
・侵入を許した原因の排除→ すべてのパソコンについて実施
・一連の対応フローを時系列で確認→ よかった点、悪かった点を踏まえ、
今後のノウハウとして蓄積。
ケーススタディ:復旧対策
復旧対策
![Page 50: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/50.jpg)
45Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害拡大防止と早期復旧(ダウンタイム削減)
・緊急時対応計画の策定と予行演習(インシデント対応)例:ウイルス対策窓口を設置
ウイルス対策関連情報を集める
復旧手順を事前に策定しておく
→最小限の被害にとどめる →最小限の労力で復旧
★ウイルスに感染したら、ネットワークを停止する等、
一斉に、漏れがないように行うことが重要
→ 修復が確認できるまで、ネットワークにつながせない
業務継続管理→バックアップの二重化など
最終確認を兼ね、IPAへ届け出を!
システム管理者が行うべき対策システム管理者が行うべき対策
![Page 51: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/51.jpg)
46Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ワクチンソフトの導入・設定・更新・活用
外部から入手したファイルは安易に開かない
セキュリティホール対策の実施
安易な共有の禁止
アプリケーションの適切な設定
ウイルス対策関連情報の収集
定期的にデータのバックアップを!
まとめ
![Page 52: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/52.jpg)
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス・サイバー犯罪の事例と対策方法
1.不正アクセス・サイバー犯罪とは2.なぜ被害に遭うのか3.被害対策と事例
(1)Webサイトに存在する脅威と対策(2)サーバーの不正使用-脅威と対策
4.ログの管理
![Page 53: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/53.jpg)
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. 不正アクセス・サイバー犯罪とは
![Page 54: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/54.jpg)
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセスとは何か
システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと。
「コンピュータ不正アクセス対策基準」(平成8年8月8日付け経済産業省(旧通商産業省)告示第362号)http://www.meti.go.jp/press/past/c60806a2.html
一般的な概念
法的な定義
参照: 不正アクセス行為の禁止等に関する法律
http://www.ipa.go.jp/security/ciadr/law199908.html
![Page 55: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/55.jpg)
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サイバー犯罪とは何か
「欧州評議会サイバー犯罪に関する条約」で、不正アクセス、コンピュータ関連詐欺、児童ポルノ関連犯罪などの「情報技術を悪用した犯罪」を意味する
◆ コンピューター若しくは電磁的記録を対象とした犯罪・電子計算機損壊等業務妨害罪、電子計算機使用詐欺罪などの刑法犯罪
◆ コンピューターネットワークをその手段として利用した犯罪・電子掲示板(BBS)を利用し,覚せい剤等の違法な物品を販売した場合
・インターネットオークションなどで詐欺行為により代金をだまし取る行為・ホームページ上に児童ポルノ画像を置き,公開した場合など
◆ 不正アクセス行為の禁止等に関する法律違反・他人のID,パスワードを無断で使用しコンピュータを不正に使用した場合
・不正なツールなどによりコンピュータに侵入し,不正に使用した場合
![Page 56: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/56.jpg)
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
IPAが受付けた不正アクセス届出状況
0
20
40
60
80
100
120
3月 4月 5月 6月 7月 8月
その他
DoS
アドレス詐称
メール不正中継
ワーム形跡
ワーム感染
アクセス形跡(未遂)
侵入
57 55
96
5245
60
不正アクセス届出状況(2004年3月~8月)
![Page 57: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/57.jpg)
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
最近の傾向
セキュリティの甘いサイトが被害に
無差別に狙われている
侵入されたサイトが踏み台に
![Page 58: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/58.jpg)
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2. なぜ被害に遭うのか
![Page 59: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/59.jpg)
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
IPAが受け付けた被害原因の分類
2004年1月~8月被害届出(原因別)
設定不備25%
古いバージョン、
パッチ未導入など
35%
ID,パスワードの設定・管理不備
40%
![Page 60: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/60.jpg)
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害原因
◆ ID・パスワードの設定、管理不備
◆ 既知の脆弱性
◆ 初歩的な設定不備
基本的な対策を実行し最善のセキュリティ情報による対策を行うことにより多くの被害を未然に防ぐことができる
![Page 61: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/61.jpg)
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
3. 被害事例と対策
(1)Webサイトに存在する脅威と対策(2)サーバの不正使用 ー 脅威と対策
![Page 62: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/62.jpg)
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
共通の不正アクセス対策
適切な ID・パスワードの設定、管理
脆弱性の解消
デフォルト設定からの変更
不要なサービスの停止・削除
![Page 63: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/63.jpg)
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
(1) Webサイトに存在する脅威
Webサイトを構成するシステムの脆弱性
Webサイト管理者の設定ミス
推測されやすいファイル名・拡張子、HTMLソース
パラメータの不正操作
SQLインジェクション
OSコマンドインジェクション
セッションハイジャック
クロスサイトスクリプティング脆弱性
![Page 64: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/64.jpg)
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
Webサイトに存在する脅威と対策(1)
◆脅威:Webサイトを構成するシステムの脆弱性や管理者の設定ミス– ホームページが改ざんされた– ワームに感染した– サーバーがダウンした
◆対策Webサイトを構成するシステムの脆弱性の解消– OSの脆弱性の解消– Webサーバーアプリケーションの脆弱性の解消(IIS、Apacheなど)– 新しいバージョンのCGIの利用– Webサーバーと連動するサーバーの脆弱性の解消
管理者の設定ミス– 適切なID、パスワードの設定と管理– 適切なアクセス制限– 不必要なサービスの削除・停止
![Page 65: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/65.jpg)
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
Webサイトに存在する脅威と対策(2)
◆脅威:推測されやすいファイル名や拡張子、HTMLソース– ファイルやディレクトリの内容が丸見えになっていた– ファイルを改ざんされていた– HTML文書から情報が漏洩してしまっていた
◆対策– 既定のファイルを設置する– ファイル一覧の表示を禁止する– 不必要なファイルを公開サーバーに置かない– 適切なアクセス権の設定する– HTML文書のコメント欄に重要な情報を記述しない– HTMLソースを隠す
![Page 66: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/66.jpg)
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パラメータの不正操作
Webサイトに存在する脅威と対策(3-1)
<form action=“./basket.php” method=“post”><input type=“hidden” name=“item”value=“PC4869C12”><input type=“hidden” name=“price”value=“200,000”>商品名:ノートパソコン(PC4869C12)<br>販売価格:200,000円<br>注文数:<select name="units"><option value="1">1<option value="2">2<option value="3">3<option value="4">4<option value="5">5</select><br><input type="submit" value="買い物カゴに入れる"></form>
![Page 67: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/67.jpg)
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆脅威:パラメータの不正操作
– 権限の無い情報が表示させられた
– アプリケーションの操作が不安定になった
◆対策
– パラメータとして受け付ける値を制限する
– JavaScriptやCGIで隠しパラメータのチェックをする
– 改ざんされて困るデータは、クライアントに渡さない
Webサイトに存在する脅威と対策(3-2)
![Page 68: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/68.jpg)
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆脅威:SQLインジェクション(SQLデータベースに対し、外部から不正なコマンドを
処理させてシステムに被害を及ぼすこと)– 他のユーザのデータを見られたり、パスワード情報を盗まれ
た– データベースが改ざんされたり、削除された– 不正なコマンドを実行させられた
◆対策– ユーザーが入力できる値を制限する– 実行可能なコマンドを制限する– データベースへのアクセス権限を最小限にする
参考:セキュアプログラミング講座http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
Webサイトに存在する脅威と対策(4)
![Page 69: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/69.jpg)
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆脅威:OSコマンドインジェクション(OSに対し、外部から不正なコマンドを処理させて
システムに被害を及ぼすこと)– Webサーバーが改ざんされた– パスワードファイルが奪取された– 管理者権限が奪取された
◆対策– ユーザーが入力できる値を制限する– 開発者専用のWebページを削除する
Webサイトに存在する脅威と対策(5)
![Page 70: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/70.jpg)
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆脅威:セッションハイジャック– 悪意のあるユーザーに正規のユーザーがWebサーバーに
アクセスする情報を奪取され、成りすましてアクセスされた
◆対策– すべてのページをSSL/TLSを利用したページにして、
cookieにsecure属性を付与する– 2つのcookieを使ってセッション追跡する
参考:経路のセキュリティと同時にセキュアなセッション管理を
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
Webサイトに存在する脅威と対策(6)
![Page 71: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/71.jpg)
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
Webサイトに存在する脅威と対策(7-1)
クロスサイトスクリプティングとは
![Page 72: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/72.jpg)
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆脅威:クロスサイトスクリプティング脆弱性
– 本人になりすまして物品を購入された
– Webサイトに侵入された
◆対策
– ページ生成時のメタキャラクタのエスケープ処理を行う
– WebサーバーやWebアプリケーションのベンダー情報を
入手し対処する
参考:Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
http://www.ipa.go.jp/security/ciadr/20011023css.html
Webサイトに存在する脅威と対策(7-2)
![Page 73: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/73.jpg)
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
(2) サーバーの不正使用
踏み台
– 迷惑メールの送信
– オープンプロキシ
データ格納
– ソフトウェアの交換
攻撃の幇助
– 不正プログラムの制御
– ワーム拡散
![Page 74: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/74.jpg)
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバーの不正使用: 原因
システムの脆弱性
サーバアプリケーションの脆弱性
管理者の設定ミス
ユーザの設定ミス
![Page 75: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/75.jpg)
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバーの不正使用: 対策
設定の見直し
稼働中のサービスのチェック
アカウント、メールアドレスの確認
トラフィックの監視
継続的なチェックの実施
![Page 76: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/76.jpg)
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバの不正使用-脅威と対策 (1)
◆脅威:迷惑メールの送信など– 送信制限の設定されていないメールサーバを使用された。– 迷惑メールの送信元IPアドレスの偽装に使用された。– その結果、多量のメール送信により正常な通信ができなくなり、サーバ
の処理が重くなるなどの障害が発生した。
◆対策– 設定の見直し
・ 第三者中継を許していないか
– メールアドレスのチェック・ 使用していないメールアドレスが残っていないか・ 不要な転送設定が残っていないか
– トラフィックの監視・ 異常な数のメールが送受信されていないか・ 特定のIPアドレスからの送信が増加していないか
– 継続的なチェックの実施
![Page 77: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/77.jpg)
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバの不正使用-脅威と対策 (2)
◆脅威:オープンプロキシ– ウェブアクセスなどの匿名化(IPアドレスの隠蔽)に使用される。
– 多量のウェブアクセスにより、正常な通信ができなくなる。– アクセス元IPアドレスの偽装に使用される。
◆対策– 設定の見直し
• 第三者中継を許していないか
– 不正なアカウントのチェック• 不正なアカウントを作成されていないか
– トラフィックの監視• 異常な量のトラフィックが発生していないか• 特定のIPアドレスとの通信が増加していないか
• 特定のポートへのアクセスが増加していないか
– 継続的なチェックの実施
![Page 78: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/78.jpg)
27Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバの不正使用-脅威と対策 (3)
◆脅威:ソフトウェアの交換– データの交換や格納場所として使用される。– 不正にコピーされたソフトウェアの交換に使用される。– 予期せぬ多量のアクセスにより、正常な通信ができなくなる。
◆対策– サービスの確認
・ 動作しているはずのないプログラムが動いていないか・ 想定しているポートのみが開いているか
– 設定の見直し・ 許可しているIPアドレスのみアクセス可能になっているか
– 不正なアカウントのチェック・ 不正なアカウントを作成されていないか
– トラフィックの監視・ 異常な量のトラフィックが発生していないか・ 特定のIPアドレスとの通信が増加していないか・ 特定のポートへのアクセスが増加していないか
– 継続的なチェックの実施
![Page 79: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/79.jpg)
28Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバの不正使用-脅威と対策 (4)◆脅威:プログラムの制御
– ワームなどを仕込まれたコンピュータの制御または中継用サーバとして使用される。
– 主にIRCを使って通信を行う。– 攻撃者と勘違いされる危険性がある。
◆対策– サービスの確認
・ 動作しているはずのないプログラムが動いていないか・ 想定しているポートのみが開いているか
– 設定の見直し・ 許可しているIPアドレスのみアクセス可能になっているか
– 不正なアカウントのチェック・ 不正なアカウントを作成されていないか
– トラフィックの監視・ 異常な量のトラフィックが発生していないか・ 特定のIPアドレスとの通信が増加していないか・ 特定のポートへのアクセスが増加していないか
– 継続的なチェックの実施
![Page 80: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/80.jpg)
29Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サーバの不正使用-脅威と対策 (5)
◆脅威:ワームの拡散– ワームのダウンロード用サーバとして使用される(FTP/HTTP/TFTPなど)。
• Sasserは感染したホストでFTPサーバを動作させる。
– 攻撃者と勘違いされる危険性がある。
◆対策– サービスの確認
• 動作しているはずのないプログラムが動いていないか• 想定しているポートのみが開いているか
– 設定の見直し• 許可しているIPアドレスのみアクセス可能になっているか
– 不正なアカウントのチェック• 不正なアカウントを作成されていないか
– トラフィックの監視• 異常な量のトラフィックが発生していないか• 特定のIPアドレスとの通信が増加していないか• 特定のポートへのアクセスが増加していないか
– 継続的なチェックの実施
![Page 81: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/81.jpg)
30Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
4. ログの管理
![Page 82: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/82.jpg)
31Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ログ管理の留意点
必要な情報を収集するようにログを設定する
ログサーバーで集中管理
ログを安全に保管する
ツールを利用して分析する
詳細な監査ログ
時計の同期 (照合のため)普段からチェックし正常時を把握しておく
![Page 83: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/83.jpg)
32Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ログの照合
FirewallとUNIX
外部セグメント
インターネット
ルータ
ファイアウォール
内部
内部サーバー
FireWall-1
10:57:11 accept firewall-1 >SMCPWRII1 proto udp src 192.168.10.1 dst ultra7.xxx.co.jp service sunrpc s_port 772 len 84 rule 1
10:57:11 accept firewall-1 >SMCPWRII1 proto udp src 192.168.10.1 dst ultra7.xxx.co.jp service 32808 s_port 773 len 1140 rule 1
Solaris: message
Jun 29 10:57:11 ultra7 statd[122]: statd: pathname too long: /var/statmon/sm/<^1FF>OGuG~OGuG~OGuFPV6;P.ahm.rg,bsntbg.slo.sdrs-sws
Statd ***.***.***.*** touch /tmp/test.txt
![Page 84: 情報資産・リスク・インシデント78 virus information professionals PC Viruses In-the-Wild - April, 2004 Total for top list: 314 毎月実環境で発見されるウイルスの種類は](https://reader033.vdocuments.pub/reader033/viewer/2022041816/5e5b3e1dac9a6945856463cd/html5/thumbnails/84.jpg)
33Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
まとめ
計画的な不正アクセス対策
ポリシーに基づいたセキュリティ機能の実装
継続的なチェックの実施
不必要なサービスの削除・停止
アクセス制限の最小化
多段階防御