日時:2019年7月24日(水) JANOG44ミーティング Day1 場所:神戸国際展示場2A会議室 URL:https://www.janog.gr.jp/meeting/janog44/program/securitybof 事前資料:https://www.janog.gr.jp/meeting/janog44/application/files/5915/6327/7250/janog44-securitybof-yamashita-01.pdf 当日スライド:https://docs.google.com/presentation/d/1pk8IdfhKGG-mxQHqmADDRCTwglv9EsKemyw_306W-48 事前アンケート結果URL:https://docs.google.com/forms/d/1fvoohit0Dd0zMozxd29ZoejGLUFzmAb3v8DUklHEe6U/viewanalytics 山下さん@さくらインターネット このBoFはマイクを使用しないで行い直接皆さんとお話をさせていただきたいと思います。 時間になりましたので、自己紹介 安部さん@一般社団法人JPCERTコーディネーションセンター 脆弱性とか注意喚起の公表、対応をしたりしています 脆弱性の検証をしたりabuseの連絡を 寺岡さん@神戸デジタル・ラボ セキュリティ運用チームいう風に書いてますが、いろいろやってますが、 最近はインシデントレスポンスやフォレンジック調査が多くて、この後、話をさせていただきます。 森川さん@株式会社KDDIウエブコミュニケーションズ ネットワーク、サーバーなどのインフラ周りをしています その傍ら、abuse等、通報が入ってきますので、対応をしています。 山下さん@さくらインターネット株式会社 ずっと運用をやるエンジニアだった abuseの事案が大変多いということで、 徐々に、お客様ま情報の参照に警察の方から捜査関係事項や差し押さえしたい話等、そういうものを扱わざるを得なくなったので、こっちの世界に、ここで話をする機会をいただいている 松中さん@株式会社NTTPCコミュニケーションズ 今はセキュリティのマネージメントを主に 4~5年前までホスティングの運用をしていたので、山下さん、もろもろと同じ対応、経験があります 今は、CSIRTという立場でabuseの業務を裏方でサポートするようなこともしている その辺も含めて皆様と話をできればと ⇒発表スライド 安部さん@一般社団法人JPCERTコーディネーションセンター 本日のテーマ、このスライドの記載の通り、インシデントレスポンスにかかわるところのお話をします abuseを受領した側の一連の対応、インシデントの検知をして、どうやって対応して、どうやって防止していくかというところの話をしていきたい ここでのabuseとは 業者が迷惑行為の通報を受けること、またはその迷惑 行為そのものとして使わせていただきます (質問)JPCERT/CCがインシデントを把握して、どうように連絡をしているか ⇒JPCERT/CCをご存じではない方⇒挙手なし 皆様ご存じということで。、用語集も公開していますので 検知には2つある。「報告による検知」と「ハプモニよる検知」 ハプモニ公開情報を探して、今だとTwitterで情報が掲載されているもの 報告でよくあるのは、被害者、何か攻撃を受けた、フィッシングメールを受けたのだけど、どうしたらいいかという相談を受けたもの リサーチャーは国内外のもの JPCERT/CCでも不審な通信を検知する JPCERT/CCへの届け出数 トップページ https://www.jpcert.or.jp/ の「JPCERT/CCに届けられた報告件数」フローボックスで公開 だいたい、1週間300件〜400件くらい インシデントは、(「詳しくはこちら」リンクから) で確認いただけますが 7月18日の週は、 ・インシデント種別上位 スキャン(行動に対して、脆弱性をさがしているとかが一番多い)、次いで、ウェブの改ざん ・フィッシングサイトの件数上位 Eコマース(amazonとか楽天とかのフィッシングメールから)、金融(三井住友銀行とか) ・フィッシングサイト停止に係る日数 フィッシングにかかわらず、対応していただいた場合は、完了まで、だいだい平均して3~4日 対応していただけない部分もあるのは、課題 ・インシデントのカテゴリ 2019年度は圧倒的にフィッシングが多い それまでは、フィッシングは10~15%、多いものではスキャンが40% 2018年の下期からフィッシング対応が増加している ・インシデントの連絡先 JPCERT/CCからWHOIS情報に登録された連絡先に連絡 連絡をしてから完了までJPCERT/CCでは見えづらい ・ねらい 気軽に何か報告を、対応に困ったことを、伺えれば 適切な情報の東郎と適切なタイミングで更新をお願いします。 ⇒発表スライド 寺岡さん@神戸デジタル・ラボ abuseの連絡やインシデント発覚の連絡を受けた側 何らかの対応をしないと 単純なシステム障害、プログラムがバグっているとか、は、そんなに難しくないが、 セキュリティ事故が発覚するとどうしていいのかわからない人が多い、何から手をつけていっていいのか、わからない だいたい事故の原因調査については、相当体力がいる 事故対応業者に、原因の究明をと、連絡を ECサイトがPCI DSS対応の場合、漏洩の可能性があれば、PCI DSSから調査業者を指定される インシデントレスポンスは、消防活動の火消し まさに今インシデントが起こっているとき フォレンジック調査は、焼け跡から出火原因調査 インシデント対応が完了している、原因や今後の対応が要 インシデントレスポンス 対応のフローは体系化されている(ここでは NIST SP 800-61 を紹介) バージョン3が最新 まだ翻訳されてない ・識別:今、起きているインシデントが何かを調べる (マルウェアなのか、改ざんなのか、DDoSを受けているとか) ・検知と解析:識別にした内容に対して、どれくらい影響がでているのか解析する (どれくらい広がっているのか、どれがアタックしているのか) ・封じ込め・根絶・復旧 :見つかったインシデントに対して、マルウエアであれば、やっつける、改ざんであれば修復していく インシデントレスポンスは、 開発サーバーだけと思っていたら本番もやられている等あるので、対応フローをぐるぐるサイクルを回して対応 ・事故後の対応: インシデントが収まってフィードバックから、報告、対策、再発防止案 発覚した状態で、何が起こっているのかわからないのも結構ある、原因となっているのを洗い出しから始まる どこまで影響を及ぼしているか、被害を拡大しないよう阻止したり 現場で、イントラクティブに連絡を取りながら対応をしていく 緊急性が高いので素早くいろいろやらないと、被害が広がらないように なんとかしないといけない フォレンジック調査は 事故の究明、情報漏洩、影響範囲の特定 の3つが多い 外向け、うち向けに報告とすることも もめたり、外注ベンダーが入っていると裁判沙汰にもなるので、報告は大事 フォレンジックのフローは大まかに4つ インシデントレスポンスよりもストーレートな対応フロー 1発生時の情報や今に至るまで状況などの確認 2証跡の保全(サーバーとかアプリとか)、関連するデータの収集の保全をする、イメージを取ったり、メモリとか変更しないように 3それら各データ読みこみを行って、調査、解析 4報告書の作成、報告書だけではわかりにくいので報告会を実施します 調査対象について 保全は大切 クラスタレベルで、メモリも、HDDイメージとがさっととってくる 発生時の事業者の対応記録も必要 構成情報=古い情報もあったりするがOK 各種ログ=サーバーのログが改ざんされる例もあるのでCDNのログなど他のものもあるといい 情報は多いほうがいい ログを取ってない業者も多い、調査が行き詰まることも多々あるので、大事 保全したデータ、HDDまるまるとか保全するのでテラバイトとかあって、解析は過酷な作業となる 削除データの復元、メモリ解析とか ログからとか、タイムスタンプ、タイムラインを作成する 被害の影響範囲を出したり、 2年くらい前からやられているなど、過去の残っているもの脅威の洗い出しをする 個人情報の漏洩件数の調査は、データベースを調査するが、意外に、HTTPログに以外に残っていたりする マルウエアの場合は、マルウエアの特定やマルウエア自体の解析もする 今後の対応についても支援 調査はなんで高い?!⇒スライドは個人的見解 タイムスタンプやログを改ざんされていたり、調査が大変 予想もしないことやゼロデイもあったりする 攻撃と防御面両方を知っていないと難しい 被害を最小限におさえるために時間との闘い サーバー1個を保全したものを解析するのに、それを上回るスぺックが必要 ツール類は有償のものがほとんど、買っているので原価がかかる 依頼者が自力で対応したことによって余計に泥沼にはまった状態で引き渡されるものもあったり 侵害を受けた開発や運用側の人もインシデントで苦悩があったり、経営層との意識の乖離で再発防止実施の理解が得られないなどもあるので、こういった面をサポートする支援も行っている ----------以下・ディスカッション------------------ 事業者の対応・通報編 https://docs.google.com/spreadsheets/d/13CREGl67p72HwgATmbA45CCrctML5zFRAhl7zI0hJIk/edit#gid=0 (事業者A)個人からの通報は内容が幅広い、 (事業者B)込み入った内容など、直接担当の方に対面した機会に会ったときに出てくる情報もある (事業者A)メールが届かないとお問い合わせで発覚 ブラックリストにIPアドレスが登録されていた (事業者C)RBLに連絡する 、励ましをいただくこともある レピュテーションは地味に影響範囲が大きい (質問)どこどこから通報が来た、すごく悩んだ 、どう処理したらいいのか悩んだ、など悩んだ事例で紹介できるものは? (事業者B)権利関係は悩みます。セキュリティ関係はエビデンスがあればなんとかなる (事業者A)悩んだのはあまりないが 詐欺サイトが公開されていると言ってくるが 情報商材系のは、abuseに言われても、、被害者なら警察に行ってもらいたい、 善意の第三者からは ありがとうございました、と返事して終わりにしたり (事業者B)お客様がクラッキングされた、クラック元は弊社の別なお客様だった 営業の裏から警察に行ってといったものもある 刑事事件になる例、通信で ECで情報提供もらっても警察に 止めたいなら、クレジットカードのチャージバックがかかったのは、通信元事業者への連絡はする (事業者B) スプレットシートに記載のこと、 お客さまからIPアドレスのレピュテーションが低いというお問い合わせはある 動的IPというだけで載せてしまうリストもある DHCPのリストだけで、これはブラックリストではない お客様から解除依頼をしても窓口がわからない場合がある spamhausいけるが、有料のところは連絡していない (事業者A) 登録解除にお金かかるところは放置 (会場) お客様が 通報されたと、乗り込んでくる時がある、どう対処していいか、 (事業者B) セキュリティ系では乗り込まれたことはない (事業者A) 電話だとある (会場) 2時間くらい電話で話したりしたことある (JPCERT/CC)個人から電話かかってきてたりする 事業者の対応・対応編 (事業者A) 認証ログ、メールアドレスがソートされてたりする いろんなアカウントから認証されていると、スパムであると判断できる ソースの中に明らかに怪しいものがあるとみている (会場) ブラックリストによって、いろいろあって、有料だったり、初犯だから戻すとか、 登録基準をつくってほしい (事業者A) 統一すると、向こうの食いぶちがなくなってしまうかも (事業者B) ブラックリストを見て、自社のIPがあるかどうか調べる、初動 マルウエアとか、セキュリティ関係のリストと対比させたりはするが 公開されているブラックリストでないと、その方が使いやすいというお客様もいる ベンダーが持っている非公開のリストをみたいがabuseはお金持っているわけではない (会場) サービス精神 (事業者A) IPアドレスやパスワードを変更する 事業者側でもパスワードの基準をきめているが、基準の中でどれだけ緩いパスワードを使うか「そっちじゃない!」方向を努力するお客さんも居る エンドユーザー、制作会社、たまに同じパスワードを使うところ、のきなみやられちゃう WEB系なら、改ざんされているなどは即停止して、お客さんに直してもらう (事業者C) 規約に抵触をしている場合、アカウントの停止してること、理解いただきたい (会場) パスワード、リセットかけた事例がある 昨年、システム移行のタイミングで、取り組み事例がある (事業者C) 単純にみつけてする方法があればできると思う (事業者B) 共有型サービスはできると思う フィッシングメールなどの強制変更は、 (事業者A) ISPの管理先の場合は、電話で対応 メールアカウントは人間だけが使っている訳ではない、たとえばfax, 複合機についているのがある。 このパスワードが漏洩してメールサーバ側のパスワードを強制変更しても、複合機のパスワードは保守作業員に来てもらわないと変えれないとなると、メールサーバ側を漏洩したパスワードに戻してしまうお客さんもいる (事業者C) スパムの配信は即日対応している ホスティング事業者側に権限があるものは早いが root権限渡しのサービスなど、お客様にて対応をしてもらうものは、時間がかかる 特に、中小のお客様でサーバー管理者が、元はいたが、今は不在 パスワードとIDは知っているが、現担当者はできませんというのが 以前より増えてきている (JPCERT/CC) こんな連絡きたとか、こんな情報があるといいとか、意見を伺いたい (事業者B) 対応の確認事項 セキュリティインシデントの通報については、通報元が誰であるかは調べてはない 通報をいただく場合、闇通報でも大丈夫 (事業者A) 書いてる名前が本名かどうかわからない 内容が事実であればOK 確認できれば対応するし、確認できなければ見当たりませんでしたと返信するのみ CMSのパスワードは、事業者側で管理しているわけではない CMSを改ざんされると、Webshellをおかれる FTPアカウント取られていると変わらない (事業者D) CMSのアカウント、相当数ある 特殊なケースとしては、脆弱性が絡んでくると、管理者ユーザーを作って侵入するケースもあったり、 WordPress、弱いパスワードでも登録できるのも、気になる ドメイン名や会社名でパスワードを探ってくる攻撃も観測している 件数だけで考えると、辞書攻撃が多い (JPCERT/CC) すべてのサービスを止めてしまうのも可能? (事業者C) 可能 (事業者A) 可能だが、やるかどうか、 全部落とすと、改善ができない、元に戻すこともできない 事業者側で初期化しましたは、相当難しい 警告を何度も続けてて、どうしようもない場合のみになる (事業者C) 虚偽の登録情報で、明らかに不正の場合、サービス停止する 同一か2〜3グループと、繰り返し戦いをしている 事業者の対応・対応のノウハウについて (事業者A) 通報からも、あるし /tmp配下に実行ファイルが置かれ、cronに登録されている、/tmp 以下のファイルをcron登録するとかマトモにやることじゃない、だいたいやられている (事業者C) パスワードなどの、変更基準は、弊社のウェブサイトで公開しています。 (事業者B) 深刻度緊急度を伝えるのが難しい Google Safe Browsing に登録されますよ、御社のサイト閲覧できなくなりますよ、と言うと効く 情報漏洩しちゃっても知らないよと言う、脅すノウハウ (事業者D) 検索のランクは、みな気にしているので、ささるのではないかと思う (JPCERT/CC) 改善判断・終息判断はどのようにする? (事業者A) 通報した内容に、ものがなくなっている、コンテンツがなくなっていれば、パッとみた判断で コンテンツの中をすべて精査してというのは、できるものではない あきらかにあやしいものがないか程度 (事業者C) 対応しましたという連絡があれば、クローズの判断としている (JPCERT/CC) (質問)お客様の中ではどれくらいの割合でしょうか 挙手でお願いします。 ⇒連絡だけで0人 ⇒確認しています 4〜5人 日々の啓発活動 について (事業者A) 啓発、注意喚起、効いているのか、効果測定をしたことあるのか、素朴な疑問 啓発活動のメール、読んでくれている人は元々ちゃんとしている、ほんとに聞いてほしい人は読んでくれていないのではないか (事業者C) わかってくれるお客様に届かない 中途半端だと問い合わせが発生して、説明の手間が発生する 効果測定したい (事業者B) 啓発活動がどれだけ効かなかったかは、計っている 見えてわかっている人からすると、 どれくらい悩みが深いのが測定しないと エビデンスにならないかと思っている (JPCERT/CC) 事例を紹介することをしているか? (事業者A) していない 大量に、やられやすい時期がきたときに、こういうのがあるので、ということはしていない (事業者C) 迷惑メールに対する取り組みについてを公開、種類とか説明している (事業者B) ホワイトペーパーを出したいと思っている 注意喚起、権利侵害(著作権等)どのくらい停止しているか、どれだけ警察来ているかも出したい 去年以降、サイバーセキュリティ関係、警察対してのご理解いただきたいので、出したいと思っている 被害者への助言 (事業者A) 一長一短で、対処すべき対象を提示すると、それしか直してくれない 何も書かないと、何がどうかわからないと言われる 上手い伝え方があるといいなと思っている (事業者D) ウイルススキャンみたいなことができれば (事業者A) お金を取っているオプションサービスがあったりするので、競合するのではないかという説が やらかしている常連さんにはどうする? (事業者A) 半年ごと、1年ごとなど、微妙なスパンではなかなかつよく言いづらい 先月とかなら言いやすい (JPCERT/CC) 事前アンケートに 43件解答 初めて参加の方73% 事後アンケートで、詳しく感想聞きたい 外国語対応 ナショナルサイトへ (事業者A) 経路ハイジャック (事業者B) 英語が母国語じゃないところは連絡はしやすい、相手も英語母語でないので分かりやすい返事くれる ⇒アンケート 信じてもらえない フォレンジックサービスお高い ハードディスクの押収 (事業者A) 差し押さえは、イメージをわたすこともある 事後アンケート お願いします この後、この場で話しづらいこと、お酒を交わしながらでも みなさんで片付けお手伝いいただけますとありがたいです。