1	ありがちなインシデントとその対応龍谷大学理工学部小島肇
2	今日のおはなしありがちなインシデントの種類種類別の対応予防するには発生してしまったら
3	インシデントとは? 業界用語コンピュータセキュリティ屋さんが使う場合は、コンピュータセキュリティインシデントのことソフト屋さんが使う場合はちょっと違う意味 from JPCERT/CC FAQ: コンピュータセキュリティに関係する人為的事象で、意図的および偶発的なもの (その疑いがある場合) を含みます。例えば、リソースの不正使用、サービス妨害行為、データの破壊、意図しない情報の開示や、さらにそれらに至るための行為 (事象) などがあります。
4	ありがちなインシデントコンピュータ・ウィルス感染ファイル・ディスクの破壊バックドア、トロイの木馬の設置 DoS / DDoS クライアント内部 / 外部への伝染電子メール IM, IRC ネットワーク共有直接的 IP 接続（TCP, UDP）
5	ありがちなインシデント能動的攻撃スキャンを受けている port scan, 脆弱性 scan 攻撃を受けている防衛できている場合は異常な log 出力などが観測侵入されたさらに別の機械を攻撃バックドア、トロイの木馬を仕掛けられた情報を破壊された、改ざんされた情報を盗まれた
6	ありがちなインシデント受動的攻撃電子メール経由電子メールを利用したウィルスも受動的攻撃の一種 web ページ経由 JavaScript(アクティブスクリプト)、ActiveX、plug-in を利用した攻撃詐欺的手法が多い。例: 認証だと思ったら実は ActiveX コンポーネントがインストールされ、… いきなり内側から攻撃が始まることに注意
7	ありがちなインシデント情報漏洩アクセス制御を破られたファイアウォールパスワードパーミッション、ACL 等そもそもアクセス制御がかかっていなかったかけたつもりが… 誰にも知らせていないはずの URL なのに…
8	ありがちなインシデント著作権侵害、海賊行為 net abuse（不適切なネットワークの利用） spam なりすまし誹謗、中傷
9	ありがちなインシデント物理攻撃テロ、戦争自然災害台風、地震、洪水、…
10	インシデント（質的な違い）^† 内部のみに影響 – 事故レベル Code Red / Nimda / Slammer 級の大規模事故もあるが、… 外部にも影響 – 不祥事レベルウィルスが外部に伝染外部へ攻撃外部の掲示板に誹謗、中傷外部への情報漏えい
11	インシデント（質的な違い）社会インフラに影響 – テロレベル例: 大手 ISP や Super SINET 基幹がダウンするような事態
12	各論 – 攻撃系
13	コンピュータウィルス通商産業省告示第952号^†から: 第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。 (1)自己伝染機能自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能 (2)潜伏機能発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能 (3)発病機能プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
14	コンピュータウィルス対策アンチウィルスソフトの導入ゲートウェイ（メール、web）内部への侵入を阻止外部への伝染を阻止（特にメール）クライアントサーバファイルサーバグループウェアサーバ
15	コンピュータウィルス対策ウィルスデータを常に最新にする最低でも毎日更新 ASP^† 型なら手間いらず、ただしお金がかかる最新データによる問題発生もあり得るので注意が必要。誤認識、動作異常など複数ベンダーのアンチウィルスソフトの利用が望ましい対応状況・対応速度に違いゲートウェイ・クライアント・サーバでベンダーを変える欠点: 手間とお金がかかる
16	コンピュータウィルス対策アンチウィルスソフトだけで予防しきれる? 絶対無理ウィルスは誰にでも簡単に作成できるメモリ上にのみ存在するウィルスを発見できないことがある。例: Code Red, Slammer トロイの木馬やバックドア、スパイウェア、アドウェア、怪しい「商用ソフト」「フリーソフト」を検出しないことがある検出ソフト: Ad-aware http://www.lavasoft.nu/ Spybot http://spybot.safer-networking.de/ PestPatrol http://www.pestpatrol.jp/
17	コンピュータウィルス対策（続）アンチウィルスソフトのデフォルト設定が甘い拡張子を限定したチェックしか行わないアーカイブファイルの中身がチェックされないセキュリティホールを利用したウィルスの登場メールをプレビューしただけで感染セキュリティホールはきちんとふさぐ利用されやすいソフト（IE, OE）のセキュリティホールは特に利用者自身による注意が常に必要
18	コンピュータウィルス対策怪しい兆候コンピュータの動作がおかしい、遅い、止まる、起動できない妙なプロセスが動いている異常なネットワーク接続を行っている例: 大量の接続要求、プロトコル違反の接続ファイルがなくなる、知らないファイルが増えている
19	コンピュータウィルス対策怪しい兆候があるときは… とりあえず、最新のウィルスデータを利用して全ファイルのウィルスチェック OS が変なだけかも兆候がなくても最低週 1 回程度は実施したい
20	能動的攻撃どこが狙われる? 公開しているサービス mail, WWW, DNS, … 公開していないはずのサービスいつのまにか起動していたユーザが勝手に立ち上げた侵入者が立ち上げたファイアウォールなどの設定不備で、見えないはずのものが見えた
21	能動的攻撃攻撃手口まずい設定を突く弱いパスワード誰でも読み書きできるファイル、ディレクトリセキュリティホールを突く修正 patch はすでにあったが適用していなかった脆弱性が明らかだったがベンダーが修正 patch を用意していなかった未知の脆弱性だった合わせ技小さな穴でも、組み合わせることで大きな結果が
22	能動的攻撃攻撃手順調査 port scan, 脆弱性 scan 攻撃橋頭堡の確保 – 一番弱いものを攻略証拠の隠滅裏口の設置さらに… 内部に侵入外部を攻撃
23	能動的攻撃（抑止）ファイアウォールで公開範囲を制限するホスト例: 外部からは、特定の内部計算機にしか接続できない。内部からは、特定の計算機からは外部と接続できるが、他の大多数はやはり接続できない。サービス（ポート）例: DNS と web (http) と mail だけ ICMP 例: ICMP echo は通すが、ICMP redirect は通さない
24	能動的攻撃（抑止）起動する（サーバ）サービスを制限する使わないなら起動しない起動させる場合でも、ファイアウォールや OS のパケットフィルタ等により接続元・接続先を可能な限り制限不要なオプション機能は抑止する Microsoft IIS ではデフォルトで使いもしない機能てんこもり Apache でも、OS 付属のパッケージは全機能が有効になっていることが多い
25	能動的攻撃（抑止）ログを取るログから攻撃の兆候を察知できる場合がある各所で取るホスト、ファイアウォール、プロキシサーバ、… Windows NT/2000 では、デフォルトで監査が無効 Windows Server 2003 ではちょっとだけ改善
26	能動的攻撃（抑止）ログサーバに転送する UNIX やルータ、スイッチなどのネットワーク機器では syslog の利用が一般的 RFC3164: The BSD Syslog Protocol. http://www.ietf.org/rfc/rfc3164.txt RFC3195: Reliable Delivery for syslog. http://www.ietf.org/rfc/rfc3195.txt Windows は標準では syslog 対応ではない WinSyslog http://adiscon.port139.co.jp/
27	能動的攻撃（抑止）時間を合わせる NTP（Network Time Protocol）の利用が一般的 Windows 2000 以降には SNTP 機能が付属 Windows 対応のフリーな NTP ソフト多数あり Windows XP では「日付と時刻」コントロールパネルで NTP サーバを設定可能
28	能動的攻撃（抑止）設定をより強固にする長くて推測しにくいパスワードよりセキュアなプロトコルの選択認証: LM < NTLM < NTLMv2 < Kerberos 不要なサービス・機能の停止サービス動作権限の縮小 etc, etc…
29	能動的攻撃（抑止）書籍クラッキング防衛大全第3版 http://www.shoeisha.com/book/Detail.asp?bid=1407 Linux編 http://www.shoeisha.com/book/Detail.asp?bid=1428 Windows 2000編 http://www.shoeisha.com/book/Detail.asp?bid=1487 UNIX & インターネットセキュリティ http://www.oreilly.co.jp/BOOK/puis/ ファイアウォール構築第2版 http://www.oreilly.co.jp/BOOK/firewall2v1/ web Microsoft　セキュリティ : ツールとチェックリスト http://www.microsoft.com/japan/technet/security/tools/tools.asp port139: NT セキュリティ http://www.port139.co.jp/ntsec.htm IPA: セキュアなWebサーバーの構築と運用 http://www.ipa.go.jp/security/awareness/administrator/secure-web/index.html
30	能動的攻撃（抑止）最新のセキュリティ修正プログラム（patch）を適用する最新のセキュリティ修正プログラム情報を入手するベンダーの web, mail はこまめにチェック事前テストは必要、mission critical なシステムでは特に patch による不具合発生の可能性 Windows Update に代表される（半）自動インストールシステムは便利だが… 間違った / 古いプログラムが登録されていることも
31	能動的攻撃（抑止）最新のセキュリティ情報を入手する製品ベンダー中立組織（JPCERT/CC, IPA, CERT/CC, …）（マス）メディアセキュリティ関連メーリングリスト、web ページ情報の中には、ガセや間違いもあるので注意製品ベンダーすら間違えることも
32	受動的攻撃 mail や web、データファイルを仲介して攻撃添付ファイル 2 重拡張子（.txt.exe）などを利用したごまかし拡張子は常に表示するように Exploler を設定セキュリティホールを利用して自動実行 HTML ファイル（メール）内のスクリプト、ActiveX データファイル Microsoft Office 文書（マクロ言語を利用した攻撃） Acrobat （.pdf）の Javascript いきなり内側から攻撃を開始ファイアウォールが役に立たない
33	能動的攻撃
34	受動的攻撃
35	受動的攻撃（抑止）ウィルス対策をきちんと実行受動的攻撃の多くはウィルスの攻撃手法と酷似ゲートウェイ（mail, web）での対策は有効 web ブラウザ、メールソフト（メールクライアント）のセキュリティ対策セキュリティホールをふさぐ安全な設定（= 利便性は低下）インターネットゾーンではアクティブスクリプト、ActiveX は停止安全だと判断したサイトを明示的に信頼済みサイトゾーンに追加いざという時のための代替プログラムを検討するメールソフトは困難か?
36	受動的攻撃（抑止）ゾーニングをしっかり行う内部も複数区画に分割攻撃されても被害を最小限に抑えるファイアウォールの考え方と同じパーソナルファイアウォールの導入 1 次攻撃はもちろん、2 次攻撃も防ぐまたまたコストが… 突破方法あり
37	IDS – 侵入検出システム監視カメラ、のようなものネットワークベース通信内容から検出境界地点での実行が効果的ホストベース Personal Firewall とホストベース IDS との違いは? 維持が大変無用なルールの削除無用なルールとは? 本当に削除してしまっていいの? 新たなルールの追加攻撃手法が登場してからルールが追加されるまでの時差?
38	IDS – 侵入検出システム完全ではない未知の攻撃手法による攻撃は発見できない場合がある（特にネットワーク型 IDS）関連ソフトプロトコルアナライザー Sniffer, tcpdump, Ethereal, … トラフィックロガー iplog, monyolog, syunlog tcpflow
39	やられてしまったら冷静になろうもちつけ! 　　　　　／＼⌒ヽﾍﾟﾀﾝ　　　／　／⌒)ﾉﾍﾟﾀﾝ　 ∧＿∧ ＼（(　∧＿∧ 　（； ´Д｀））'　））（・∀・；）　/　　⌒ノ　（ ⌒ヽ⊂⌒ヽ .（O　　ﾉ　)￣￣￣(）__ 　）　）_）＿）（;;;;;;;;;;;;;;;;;;;）（＿（
40	やられてしまったら – 状況の把握（被害）状況の把握ネットワーク接続・利用状況プロセス動作状況ファイル状況（ファイル正当性検査）すべてのファイルは改変されている可能性ありとして調査 rootkit やトロイの木馬、バックドアに注意 login したらドカン… reboot したらドカン… 「正常な状態」の把握が重要常日頃の監視・観測がものを言う
41	やられてしまったら – 状況の把握（被害）状況の把握（続）ログ調査ホストのログ（OS, アプリ）ファイアウォールのログプロキシサーバのログホストのログは改変されているかもしれない事前に、安全な場所（ログサーバ）へ（も）ログを配送するようにしておくのがよい UNIX では標準機能の syslog を用いて簡単に設定可能 Windows ではフリーソフトやリソースキット、市販ソフトを活用
42	やられてしまったら – 2 次攻撃重大な 2 次攻撃・ウィルス伝染が発生していることが明白ならまずは該当ホストからのアクセスを止めるファイアウォールでふさぐ、線を抜く関係方面に通報誰に報告すべきかは、2 次攻撃の内容（内部 / 外部、規模、…）によって異なるはず連絡体制・対応手順をあらかじめ決めておく決まっていないと大変、特に外部攻撃・伝染（不祥事レベル）の場合緊急対応チームの事前結成・訓練が望ましい
43	やられてしまったら – ウィルス感染ウィルスに感染していることが（ほぼ）明らかな場合ネットワークから分離（既にネットワーク経由で伝染活動をしている場合）アンチウィルスソフトによる隔離・駆除怪しいファイルをアンチウィルスベンダーに送付（未知のウィルスの場合）
44	やられてしまったら – 攻撃を受けている怪しいアクセス元に問い合わせたい場合直接コンタクト JPCERT/CC などの CSIRT を経由する（お勧め）技術メモ - 関係サイトとの情報交換 http://www.jpcert.or.jp/ed/2002/ed020001.txt whois については geektools whois proxy やSamSpade.org Tools を使うと便利 http://www.geektools.com/cgi-bin/proxy.cgi http://www.samspade.org/t/
45	やられてしまったら – 復旧リストア OS、アプリ、データバックアップから? 新規インストール? バックアップはきちんと取れている? バックアップが壊れている・汚染されている可能性は? リストアにかかる時間は? 脆弱点をきちんとふさぐ再インストール・最新 patch 適用 + データのみリストア、のほうが早い場合が多い原因調査がきちんとできていないと再発する恐れ
46	やられてしまったら – 告知状況の把握・復旧と平行して行う外部に影響が出ている場合には特に重要外部にウィルスが伝染… 外部に情報漏洩… 事前に告知方法・手順を確認しておくインシデントが発生してからでは遅い一例被害者に対して: （電子）メール、電話一般に対して: web、記者会見（（マス）メディア）（マス）メディアは情報を歪めて伝達する傾向があるので、web などで、自身による情報発信も行う誰（どの部署）がどのような判断で行うのか?
47	やられてしまったら – 外部の声外部からインシデント通知がやってきたまず調査本当だったら礼を言う対応状況を随時通知「黙っててやるから金よこせ」所属長・顧問弁護士・警察に相談ハイテク犯罪相談窓口一覧 http://www.npa.go.jp/hightech/soudan/hitech-sodan.htm
48	やられてしまったら – 参考文献書籍インシデントレスポンス（翔泳社） http://www.shoeisha.com/book/Detail.asp?bid=1406 不正アクセス調査ガイド - rootkitの検出とTCTの使い方（オライリー・ジャパン） http://www.oreilly.co.jp/BOOK/backdoor/index.htm JPCERT/CC 参考文書（技術メモ） http://www.jpcert.or.jp/ed/
49	各論 – 非直接攻撃系
50	情報漏洩原因アクセス制御を破られた設定ミスプログラムミス（セキュリティホール）そもそもアクセス制御がかかっていなかったデフォルト値の問題設定ミスプログラムミス（セキュリティホール）内部者が漏洩させた意図的に脅されてネットワーク盗聴キーロガー（キー入力記録ソフト）
51	情報漏洩経路ネットワーク（インターネット等） WWW（web ページ、ネットワークディスク（WebDAV））メール ftp, IRC, IM, … 無線 LAN、有線 LAN 偽装技術（ステガノグラフィ、情報隠蔽）足（スニーカー、革靴、…）フロッピー、MO CD-R(W)、DVD±R(W)、DVD-RAM フラッシュメモリ（USB 接続型など）ノート PC、パームトップデバイス
52	情報漏洩 – 抑止技術的対応スイッチング HUB の利用 ARP 詐称による対抗ミラーポート機能など HUB 自身の機能を利用して対抗スイッチング HUB 自身のセキュリティが重要ゲリラ無線 LAN の禁止、128bit WEP + 定期的なキー変更無差別モード（promiscuous mode）になっているネットワーク機器を検知する: PromiScan http://www.securityfriday.com/ToolDownload/PromiScan/promiscan_doc.html 暗号利用の推奨（SSH, SSL, IPsec）
53	情報漏洩 – 抑止セキュリティポリシー技術的対応には限界が厳しく事前チェック自分たちで外部の目（セキュリティ監査サービス）教育開発者、管理者、利用者
54	情報漏洩 – 対応「やられてしまったら」とあまり変わらない? 一旦外部に流出したら、回収するのはまず不可能であることを認識しておく
55	著作権侵害、海賊行為著作権侵害「引用」を超える不適切な情報利用 Copyright を削り取って自分が作ったかのように海賊行為コンピュータソフトウェア音楽映画絵画文章、論文
56	著作権侵害 – 抑止教育（学生、教職員）セキュリティポリシー特定のアレなプログラム・プロトコルは禁止する必要なものはちゃんと買う相互利用を促進する利用許諾がなされたものの活用修正 BSD ライセンス（BSD UNIX など） http://e-words.jp/w/BSDE383A9E382A4E382BBE383B3E382B9.html GNU GPL（GNU Project） http://www.gnu.org Creative Commons（レッシグ教授など） http://www.hyuki.com/trans/cc-licenses.html 自由利用マーク（文化庁） http://www.bunka.go.jp/jiyuriyo/
57	著作権侵害 – 対応プロバイダー責任法に基づいた指摘への対応「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」テレサ協†ガイドラインに基づく対応 http://www.telesa.or.jp/019kyougikai/html/01provider/index_provider.html その他 case by case だが、誠実な対応を心がける
58	net abuse（不適切なネットワークの利用） spam spam を発信してしまった spam を中継してしまった spam の From: に自組織ドメインを使われてしまったなりすまし From: 詐称メール名誉毀損、プライバシー侵害メールや web ページ、web 掲示板
59	spam – 抑止・対応発信教育、セキュリティポリシー中継メールサーバで「予期しない中継」が行われないように設定する http://www.jpcert.or.jp/ed/2001/ed010001.txt envelope from に自組織ドメインエラーメールがたくさんやってくるわかってない人からの抗議がごくまれにイメージ失墜? 打つ手なし?
60	なりすまし – 抑止・対応教育（学生、教職員）セキュリティポリシー PKI（公開鍵インフラ）を利用した認証? お金と手間がかかる相手（メール受信者）が対応していない（鶏卵問題）
61	名誉毀損、プライバシー侵害 – 抑止・対応抑止教育（学生、教職員）セキュリティポリシー可能な限りの log を取っておく最低 3 か月対応 log で事実を確認する末端での確認が困難である場合が多々あるプロバイダー責任法に基づいた指摘への対応名誉毀損・プライバシー侵害は判断が難しい
62	log の話
63	物理攻撃、自然災害 – 抑止・対応抑止鍵管理危険物管理抑止・対応教育・訓練（学生、教職員）セキュリティポリシー
64	Appendix
65	セキュリティ情報の入手などについてセキュリティ情報の入手などについては、Developers Summit 2003 の発表資料「Windows は危険? Linux なら安全?～安全性に関する真実と現実的なつきあい方」を参照してください http://www.shoeisha.com/event/dev/session/session.html