「不正アクセス対策から見たネットワークオペレータとJPCERT/CCの役割(3)」 -------------------------------- 発表者 真鍋敬士氏 (JPCERT/CC) 時間  13:00〜13:25 記録者 高橋睦美 --------------------------------  今日の内容は、(アジェンダの通り)不正アクセスの動向、JPCERT/CCの活 動内容 --- 寄せられた情報をどう取り扱っているかと皆さんへのお願いであ る。 【JPCERT/CCに寄せられた不正アクセスの動向】  JPCERT/CCでは四半期に1度、活動概要として、不正アクセスに関する報告件 数をまとめて報告している。1〜3月の傾向を見ると、攻撃の種類としては昔か ら報告されている不正アクセスが相変わらずある。ただし、「automountdを悪 用した攻撃」「mountdサーバを悪用した攻撃」のように、最近になって登場し た新しい攻撃も報告されている。  件数を見ると、去年末まではずっと増加傾向にあったが、ここ3四半期の間 は減少傾向にある。グラフの一番最後の4月〜6月の不正アクセス報告件数は、 おおまかな数字であるが、1年ほど前と同じくらいになっている。これを減っ たと考えるか戻ったと考えるかは見方にもよるだろう。不正アクセスそのもの の件数が減少しているのであればありがたいことだが、そうでない可能性もあ る。JPCERT/CCとしても、なぜ減少したのかを検討している。 【件数が減った理由は?】  実際に不正アクセスそのものが減少しているのか、それとも報告が減ってい るのか。2通りの考え方ができる。もし、不正アクセスが減っているならば、 それは喜ばしいことであるが、報告のみが減っているならば、われわれとして も検討が必要なところである。  JPCERT/CC内で検討してみたところ、不正アクセスに対するユーザーの意識 が高まり、実害がなくなったため、報告する必要がなくなったということが 1つの理由として考えられる。あるいは別の理由として、JPCERT/CCに報告して も、その後何が行われているかがわからないから報告していない、ということ も考えられる。  ということで、JPCERT/CC が頂いた報告をどのように扱っているかを紹介し たい。どのように取り扱われるかを知って頂き、実害の有無に関わらずこれか らももっともっと報告を寄せてもらいたい。 【インシデントハンドリング】  JPCERT/CCでは、報告をどのように扱っているかについて述べる。  JPCERT/CCでは、報告頂いた個々の不正アクセスや、関連する複数の不正アクセ スをまとめて「コンピュータセキュリティインシデント」と呼んでいる。これらの インシデントを取り扱うのが「インシデントハンドリング」である。  インシデントハンドリングでは一体何をしているかを説明する。 まず、報告を受け付け、報告頂いたサイトに対して解決や再発を防止するた めの技術的支援を行う。また、関連サイトへの通知や再発、拡大を防ぐための 連絡を行う。特に影響度の高い事例については、緊急報告という形で発行する。  あるホストVに対するインシデントの例を挙げてみる。侵入者の行動として 考えられるのは、 1) 自分の痕跡を消すために、ログの改ざんを行ったり、攻撃のためのツールを そろえたりする。 2) さらなるターゲットを探すためにセキュリティ上の弱点を探索する。こ こで用いられるのが、例えば、ポートスキャンである。 3) 脆弱なホストが見つかれば、次なる侵入を試みる。 このように、ホストVへの侵入が成功すれば、脆弱性のあるホストCにも侵入 が行わる可能性があり、被害が拡大してしまう。これが一つの例だ。 このような場合に、報告してもらえばJPCERT/CCとしてどのような対応がで きるかを考えてみる。 ホストA、Bには、改ざんされていない信憑性の高い情報があるため、ここか らホストVが侵入されている可能性があるという情報を得て、ホストVに通知で きる。またホストVから得た情報をもとに、ホストVに対して再発防止の支援を 行う。 さらに、プローブ先であるホストCに対して、不正アクセスが行われる可能 性を通知することができる。その時点でホストCが侵入されているかいないか は分からないが、JPCERT/CC からの通知によって、被害を未然に防ぐことがで きるかも知れない。 このように、ホストAにとっては「単なるポートスキャンの結果」かもしれ ないが、報告をいただくことにより、ホストVへの侵入の可能性を発見したり、 ホストCへの侵入を未然に防ぐことができるようになる。 【JPCERT/CCにできることとできないこと】 何ができるか ・個別のサイトに対する技術的な支援。例えば対策方法の紹介や、再発防止の 方法を紹介したりする ・危険性を減らす方法を紹介したり、注意を喚起したりする ・報告から得られた情報により、インターネットコミュニティに対して不正ア クセスの傾向等の情報を活動概要として報告したり、脆弱性について緊急報 告として公開したりすることができる。 逆にできないことは ・個々のサイトに対するリモートチェック ・報告に関係なく、セキュリティをどう改善できるかという、個別サイトに対 するコンサルティング ・法律問題、組織のポリシーに関する問題は取り扱わない ・犯人の特定や捜査は行わない 【お願いしたいこと】 とにかく報告が重要である。ポートスキャンであっても、失敗した不正アク セスであっても報告してほしい。不正アクセスと思しきものがあれば、是非 JPCERT/CCに報告してほしい。また、不正アクセスに関係するサイトに対し、 直接連絡する際には相手先への連絡メールのCc:にJPCERT/CCも加えてもらえる とうれしい。  また、インシデントに関係がなくても、JPCERT/CCに対する要望があれば、 きつい内容でも遠慮なくいただきたい。「不正アクセスはこういう方向に向かっ ているのでは」といった情報でもかまわないので報告してほしい。 【Q & A】 Q:個人的な感想として、実際にJPCERT/CCに報告を行ったりしているが、海外の メーリングリストを見たほうが、より早く情報を得ることができる。JPCERT/CC が提供する情報には、「得した」感が少ない。報告はもっと早くならないか? A:最近は、JPCERT/CC内でも、さまざまなドキュメントの執筆といった部分に も力を注いでいる。内部でもこの点を重視していて、どんどん改善していきた い。よろしくお願いします。 (以上)