IIJ Technical WEEK 2011 Day3
-
- いいね!1
doumae
@donz80
その他の攻撃として、各種脆弱性を探すような行為も続けられている。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:42:35
doumae
@donz80
内部犯行: 解雇された元社員がサーバ(仮想サーバ)を削除した事例(米)。携帯ゲームのアバターデータの改ざん(日)、携帯事業者の基地局プログラムが改ざんにより停止(日) など #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:44:15
doumae
@donz80
内部犯行時点はインターネット以前からあった。インターネットを使うことにより、その影響が大きくなった。米CERT-CCでは内部犯行に関する注意喚起、対応報告が頻繁に出されている。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:45:08
doumae
@donz80
内部犯行の日本での調査についてはIIR Vol.13にも紹介があります http://t.co/ril07xUD #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:45:47
doumae
@donz80
RAT: Remote Access Trojan horse。リモートアクセストロイの木馬。昔からあった攻撃手法。悪意のある専用ツールと、一般的なツールを悪用する場合がある。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:46:54
doumae
@donz80
最近各セキュリティベンダーから警告が出た。リモートから操作、画面キャプチャなどができてしまうようなツールがあちこちに入り込んでいる。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:47:50
doumae
@donz80
RATで何ができるか(例) 侵入したPCの中でアプリケーションを起動、マウスやキーボードの操作。任意ファイルのuploadやdownload。キーロガー、Webカメラ、マイクを操作して盗聴盗撮。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:49:06
doumae
@donz80
そのような機能が悪意のあるツールにデフォルトで組み込まれている。プラグインで拡張できる場合も。こういうツールが出回っている(流行している) #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:49:37
doumae
@donz80
標的型攻撃について。誤解がある場合も、過去の事例をひもときながら説明する。といっても、なかなか事例が公開されていない。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:50:11
doumae
@donz80
情報セキュリティ関係の学会、CFP(論文募集)のメールを語った偽メールがばらまかれる。論文募集の内容をそのままコピペしてそれっぽいメールを作成している。日本語としてちゃんとしたメールが作られている。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:51:21
doumae
@donz80
添付されているPDFファイルにマルウェアが隠されていた。あとで関係者から倦怠を募集したところ、某国のIPアドレスから送信されていた。日本の学会なのに。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:52:25
doumae
@donz80
添付されていたマルウェアを解析した。ゲームなどの認証情報を盗むようなプログラムだった。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:53:04
doumae
@donz80
国内で報告されている標的型攻撃の事例: 2007年、2008年「標的型攻撃に関する注意喚起」に偽装した標的型攻撃も #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:54:15
doumae
@donz80
最近は「事件」を追いかけている。新型インフルエンザ、地震、原発関連の連絡に見せかけたメールに添付されたマルウェア。中国の新幹線事故はその日のうちに似せメールが出回った。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:55:13
doumae
@donz80
海外事例: 国の官僚に対して、完了から送られたものを装っているなど。民間企業に対して送られていることも。エネルギーメジャーを標的に、株価の動きに影響するような情報を盗もううとした事例。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:57:10
doumae
@donz80
セキュリティ企業に対する侵入。それを使って、さらに軍需産業に対する攻撃も。(米) #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:58:00
doumae
@donz80
マルウェアの動作例。詳細はIIR Vol.7に http://t.co/pYQ0ZKjM #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:58:44
doumae
@donz80
アンチウイルスを回避するために、何段階にも分けて動作。最初に実行したプログラムが、不正な動作をするプログラム本体をダウンロードするなど。マルウェアの暗号化なども行われている。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 13:59:40
doumae
@donz80
偽メールが出回った場合。詐称された組織は「そのようなメールを出していない」と表明することが必要。受信した組織は通常のマルウェアと同じ対応を行う。(続きます) #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 14:00:29
doumae
@donz80
マルウェアに侵入されると、その企業と取引のある、やりとりのある企業の情報が盗まれる。その情報を使って次の企業に似せメールを送るという行動が見られる。連鎖的に攻撃が続く。 #iij_tw2011 http://t.co/cI9YMP0j
2011-11-11 14:01:24
naoya.k
@kna0ya
標的型攻撃は、数珠つなぎに連鎖するので私たちもターゲットになることがあるのを忘れないようにしないといけないのか #iij_tw2011
2011-11-11 14:02:36