忍び寄るサイバー攻撃に立ち向かうには　記事 「湯沢で語る『待ったなし』のサイバーリスク」第3回

「言いたい放題！」セキュリティチャンネル @HHNewsReports

忍び寄るサイバー攻撃に立ち向かうには ――記事「湯沢で語る『待ったなし』のサイバーリスク」第3回 サイバー攻撃　 #セキュリティ　#IoT　#M2M　#日本　#ウイルス pic.twitter.com/mlnAHJDAYe

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

1 2015年10月に行われた越後湯沢セキュリティワークショップ。JPCERTコーディネーションセンターの竹田春樹氏が基調講演を実施した。主な趣旨は以下の通りだ。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス　＃JPCERT　＃越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

2 2015年4月～6月にかけてのインシデントの対応状況を調べてみると、全インシデント件数が4,188件、なかでも標的型攻撃に関する報告が60件あがっている。これらをみると攻撃の被害のトレンドを見て取ることができる。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス

「言いたい放題！」セキュリティチャンネル @HHNewsReports

3 例えば2015年11月7日に、医療費通知を偽装した不審メールを擬装し、利用者に不正プログラムを感染させようとする攻撃が行われている。JPCERTではすでに2012年頃からこのような日本国内の組織をターゲットとした攻撃を観測している。　#セキュリティ　#IoT　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

4 特定の組織にメールを送り、送られた人がファイルを開き、ウイルスに感染する。これら一連の攻撃で代表的なものは「Emdivi」と呼ばれるものだ。日本年金機構の情報流出もこのEmdiviによるものだった。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス　#JPCERT

「言いたい放題！」セキュリティチャンネル @HHNewsReports

5 Emdiviの攻撃のやり方はまず、標的型メール、組織の関係者を語ってメールを送るといったもの。なかには情報を漏えいさせるためにAdobe Flashの脆弱性をついたものもある。侵入行為が行われたあとに、実際に一部の人がファイルを開いてしまうものだ。

「言いたい放題！」セキュリティチャンネル @HHNewsReports

6 このEmdivi自体が、外部と通信することによって、組織の侵入し、横の展開を広げていこうという動きがある。Active Directryで攻撃を試みるといったケースもある。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス pic.twitter.com/kn5konTBUz

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

7 共通のパスワードをもったアカウントがあれば、そのパスワードをつかって、ネットワーク内の別の端末に感染・攻撃するものもある。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス　#JPCERT　#越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

8 横への展開では、Active Directryでドメインの管理ユーザのアカウントがのっとられてしまった場合、そのユーザのファイル共有機能を使われて被害が拡大するケースも目立つ。内部の仕組みをかなり熟知したうえで、攻撃を仕掛ける。　#セキュリティ　#IoT　#M2M　#ウイルス

「言いたい放題！」セキュリティチャンネル @HHNewsReports

9 EmdiviはHTTPボット。ファイルのアップロード、ダウンロードをする機能が備わっている。また、リモートでコントロールされ、感染端末内での調査、ネットワーク調査なども行われる。（写真は竹田氏のスライドより）　＃セキュリティ pic.twitter.com/26PtCa6CqX

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

10 侵入につかわれるマルウェアで、Emdiviはt17というタイプがよくつかわれている。さらにt19も侵入後に送り込まれるレベルだ。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス　#JPCERT　#越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

ここで閑話休題【広告】サイバー攻撃対策といえばホワイトリストで確実にウイルスをDeP（Defense Platform）が有効です。ぜひ無償版をお試しください！→DePスマホサイト goo.gl/EML64H pic.twitter.com/FQ9RpKa0Es

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

11 一方、ドライブバイダウンロードのケースも存在する。ドライブバイダウンロードは、ウェブサイトを表示させるだけで、ウイルスに感染させるもの。具体的にはオンライン銀行詐欺ツールやランサムウェアを忍び込ませるものがある。 #セキュリティ　#IoT　#M2M　#ウイルス

「言いたい放題！」セキュリティチャンネル @HHNewsReports

12 ランサムウェアの感染事例としては、何らかの形で攻撃者が改ざんする。攻撃者はそういった攻撃用エクスプロイットキットを使う。エクスプロイットキットとは脆弱性を複数抱えたウェブ攻撃を行うものだ。 #セキュリティ　#IoT　#M2M　#日本　#ウイルス　#JPCERT　#越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

13 このキットを使うことで脆弱性の成功率はどれくらいだったのかがわかる。使用言語も英語など幅広く対応しており、支払方法もウェブマネーなどが使えるようになっている。高機能だ。 #セキュリティ　#IoT　#M2M　#ウイルス　#JPCERT　#越後湯沢　#ウイルス

「言いたい放題！」セキュリティチャンネル @HHNewsReports

14 攻撃が行われる場合、Javaスクリプトが攻撃手法に関与し、不正送金が行われるケースがある。さらにリバースリモートデスクトップによって感染したPCを不正に操作されるものもある。 #セキュリティ　#IoT　#M2M　#ウイルス　#JPCERT　#越後湯沢　#ウイルス

「言いたい放題！」セキュリティチャンネル @HHNewsReports

15 新しい攻撃も確認されている。Tsukubaというウイルスがある。2015年2月、3月頃に日本の金融機関を攻撃のターゲットしたのが確認されている。端末のプロキシ設定を変更し、感染端末を攻撃者が用意したサーバに誘導して攻撃を行っている。 #セキュリティ　#IoT　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

16 不正なプロキシサーバによって誘導されるサイトでは、攻撃者が不正なSSL証明書が設定している。攻撃ターゲットとする金融機関のサイトごとに、偽のSSL証明書を設定している。　#セキュリティ　#IoT　#M2M pic.twitter.com/1ECUF4Yrxs

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

17 ここで有効な手は、脅威の存在を知って、変化への対応を行うことだ。OS、ソフトウェアを最新の状態にすること。不要なソフトウェアを無効、削除すること。ウイルス対策ソフトウェアを導入することなどだ。 #セキュリティ　#IoT　#M2M　#ウイルス　#JPCERT　#越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

18 脅威の検知と変化に気づける体制つくりも必要だろう。必要なログの取得、セキュリティベンダの情報の収集、他の組織との連携ももちろん重要となる。　 #セキュリティ　#IoT　#M2M　#ウイルス　#JPCERT　#越後湯沢

「言いたい放題！」セキュリティチャンネル @HHNewsReports

19 JPCERTは、改ざん被害を受けているWebサイトやマルウェアの通信先などを調べている。それとともに攻撃対象となったIPアドレスを保有する組織を連絡するなど、被害拡大を防止する活動を行っている。 #セキュリティ　#IoT　#M2M　#ウイルス　#情報漏洩

「言いたい放題！」セキュリティチャンネル @HHNewsReports

20 近年のサイバー攻撃ではマルウェアや攻撃インフラが刻々と変化してきている。そのため、変化への対応が重要になってくる。その際、個別対応に限界があるので、組織の情報共有が大切だ。　#セキュリティ　#IoT　#M2M　#ウイルス　#情報漏洩 　＃マルウェア　＃サイバー攻撃