Internet Watch logo
記事検索
最新ニュース

重要インフラ運営企業に未公開の脆弱性対策情報の提供も〜JPCERT/CC


2006年には10周年を迎えるというJPCERT/CCだが、その役割は拡大している
 JPCERTコーディネーションセンター(JPCERT/CC)は7日、2005年第3四半期(7月〜9月)の活動報告を行なった。

 1996年に発足し、2006年には10周年を迎えるというJPCERT/CCだが、その役割は拡大している。当初は国内外のCSIRT(Computer Security Incident Response Team)間での情報共有を目的に、インシデント情報を収集し、提供するという「インシデントハンドリング」が主な役割だったが、2003年からはISDAS(Internet Scan Data Acquisition System)を稼働して「インターネット定点観測」事業を開始。2004月7月からは「脆弱性情報ハンドリング」事業の一環として、情報提供サイト「JVN(JP Vendor Status Notes)」の運用も開始している。2005年9月からは未公開の脆弱性情報に対応するために「早期警戒」事業も正式にスタートした。


ID「ドラえもん」も見破る“日本語対応”のブルートフォースアタックが増加

JPCERT/CC運用グループマネージャの伊藤求氏
 2005年第3四半期にJPCERT/CCに対して報告があった667件のインシデントのうち、230件を占めたのが、SSHサービスに関するものだ。SSHサービス(TCP 22番ポート)に対するスキャン攻撃は2005年第1四半期に52件だったのが、第2四半期には162件と急増。「第3四半期の230件も、SSHサービスへのスキャン攻撃が増加傾向にあることを示している」(JPCERT/CC運用グループマネージャの伊藤求氏)という。

 このSSHサービスに対するスキャン攻撃では、辞書ツールを使ってIDとパスワードを探し出し、サーバーなどにログインする「ブルートフォースアタック」が増加している。第3四半期における特徴は、この辞書ツールが強化されていることだ。日本語の辞書ツールを使用した攻撃もあり、「例えば『ドラえもん』など日本語のIDでも探し当てられてしまう」。また、「これまで比較的安全とされていた記号によるIDにも対応した辞書ツールが出現しつつある。SHIFTキーを押して『123456』と入力するようなパスワードだと、すぐに見破られてしまう可能性が高い」という。

 SSHサービスに対するブルートフォースアタックで乗っ取られたサーバーは、フィッシング詐欺のサイトに悪用されるケースも少なくない。JPCERT/CCで報告を受けたWebサイトの偽装などによるフィッシングの件数は75件。ほぼすべてがUNIX系のサーバーで運用されており、伊藤求氏は「断定はできないが、SSHサービスに対する攻撃によってフィッシングに悪用されるケースが多いのではないだろうか」と分析した。

 ポートごとのスキャン攻撃では、TCP 135番や445番ポートへの攻撃が減少する一方で、マイクロソフトのSQLサーバーで使用するTCP 1433番ポートへの攻撃が増加。また、国別では日本からの攻撃が減少傾向にある反面、中国からの攻撃が増加傾向になった。


SSHサービスに対するスキャン攻撃が増加している 「フィッシングにも繋がっているのではないか」と伊藤求氏

ポートごとのスキャン攻撃では、TCP 135番や445番ポートへの攻撃が減少する一方で、マイクロソフトのSQLサーバーで使用するTCP 1433番ポートへの攻撃が増加 国別では中国からの攻撃が増加傾向になった

Webアプリケーションの脆弱性が目立つ

JPCERT/CC情報流通対策グループマネージャの椎木孝斉氏
 第3四半期に公開した脆弱性関連情報は国内の届出14件、海外CSIRT組織との連携によるものが17件の合計31件。「国際的なコーディネーション案件が増加したことが第3四半期の特徴になった」と椎木孝斉氏(JPCERT/CC情報流通対策グループマネージャ)。特に国内から海外へのコーディネーション案件が増加し、「今後も増加するのではないか」と予想した。

 国内の届出のうち6件はWebアプリケーションの脆弱性を指摘するもので、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)といった脆弱性が目立った。また、海外CSIRT組織との連携によるもののうち7件がシステム管理ソフトの脆弱性を指摘。「VERITAS Backup Exec」などバックアップ製品に関連する脆弱性が多かったという。

 なお、JVNに登録している製品開発者は第3四半期で99社/者。11月7日現在ではおよそ110社/者に達する。「大手ソフトウェアベンダーからオープンソースで開発している小規模なベンダーまで幅広く登録してもらっている」(椎木氏)という。


国内の届出のうち6件はWebアプリケーションの脆弱性を指摘するもので、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)といった脆弱性が目立った 海外CSIRT組織との連携によるもののうち7件がシステム管理ソフトの脆弱性を指摘

未公開の脆弱性に対しては既知の回避策で対策

“早期警戒”を呼び掛ける伊藤友里恵氏(JPCERT/CCの早期警戒グループマネージャ)
 「ITがビジネスのインフラに幅広く利用されるようになってきた。インシデントが与えるインパクトは深刻」とインシデントに対する“早期警戒”を呼び掛けるのは、伊藤友里恵氏(JPCERT/CC経営企画室業務統括早期警戒グループマネージャ)だ。

 2005年9月から正式に開始したという「早期警戒」事業では、重要なシステムを運用している管理者に対して「脅威度の高い未公開の脆弱性情報に関する既知の回避策がある場合、条件によっては共有する」ほか、大規模な範囲を対象とした攻撃予告や一般に公開された脆弱性情報に関する注意喚起と対策情報の共有を目的としている。

 具体的な事例は明らかにされなかったが、内閣官房情報セキュリティセンター(NISC)によって重要インフラと指定された電気・通信など10分野の企業や機関に向けて情報を発信する。伊藤友里恵氏は「実際に情報を提供しても、提供しっぱなしでは意味がない。必要とされる情報については情報提供先の企業などと話し合い、必要なだけの情報を提供し、対策してもらうことになる」と説明する。

 また、「早期警戒」事業ではインシデントの発生をシミュレートする「サイバーセキュリティ演習」も実施する。演習する組織における情報を連絡する体制や手段といった情報共有機能を検証し、インシデントへの対応や復旧体制を見極める。JPCERT/CCでは海外のサイバーセキュリティ演習にも参加し、演習の企画からシナリオ作成、実施に至るまでを提供する。

 伊藤友里恵氏は最後に「ボットはIRCサーバー経由で感染し、ネットワークを広げるケースが多いが、防御する側もIRCサーバーからのアクセスを塞ぐようになってきた。これに対応してP2Pネットワークで直接クライアントPCを操作するボットも現われているようだ」と指摘。攻撃側と防御側のイタチごっこになりがちなセキュリティ対策ではあるが、「早期警戒」事業でも脅威の分析に努めるとコメントした。


関連情報

URL
  JPCERT/CCの2005年第3四半期活動報告(PDF)
  http://www.jpcert.or.jp/press/2005/1107.pdf
  JPCERT/CC
  http://www.jpcert.or.jp/

関連記事
IPA、2005年第3四半期の脆弱性届出状況を発表(2005/10/12)
JVN、脆弱性情報のRSS配信を開始。ティッカー表示が可能なツールなども公開(2005/09/09)
国内ユーザーの2〜2.5%がボットネットに、防御側も組織的な対応が必須(2005/07/27)
政府のセキュリティ対策拠点「内閣官房情報セキュリティセンター」開設(2005/04/25)


( 鷹木 創 )
2005/11/07 16:01

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.