 |
 |
記事検索 |
最新ニュース |
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
重要インフラ運営企業に未公開の脆弱性対策情報の提供も~JPCERT/CC |
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
1996年に発足し、2006年には10周年を迎えるというJPCERT/CCだが、その役割は拡大している。当初は国内外のCSIRT(Computer Security Incident Response Team)間での情報共有を目的に、インシデント情報を収集し、提供するという「インシデントハンドリング」が主な役割だったが、2003年からはISDAS(Internet Scan Data Acquisition System)を稼働して「インターネット定点観測」事業を開始。2004月7月からは「脆弱性情報ハンドリング」事業の一環として、情報提供サイト「JVN(JP Vendor Status Notes)」の運用も開始している。2005年9月からは未公開の脆弱性情報に対応するために「早期警戒」事業も正式にスタートした。 ● ID「ドラえもん」も見破る“日本語対応”のブルートフォースアタックが増加
このSSHサービスに対するスキャン攻撃では、辞書ツールを使ってIDとパスワードを探し出し、サーバーなどにログインする「ブルートフォースアタック」が増加している。第3四半期における特徴は、この辞書ツールが強化されていることだ。日本語の辞書ツールを使用した攻撃もあり、「例えば『ドラえもん』など日本語のIDでも探し当てられてしまう」。また、「これまで比較的安全とされていた記号によるIDにも対応した辞書ツールが出現しつつある。SHIFTキーを押して『123456』と入力するようなパスワードだと、すぐに見破られてしまう可能性が高い」という。 SSHサービスに対するブルートフォースアタックで乗っ取られたサーバーは、フィッシング詐欺のサイトに悪用されるケースも少なくない。JPCERT/CCで報告を受けたWebサイトの偽装などによるフィッシングの件数は75件。ほぼすべてがUNIX系のサーバーで運用されており、伊藤求氏は「断定はできないが、SSHサービスに対する攻撃によってフィッシングに悪用されるケースが多いのではないだろうか」と分析した。 ポートごとのスキャン攻撃では、TCP 135番や445番ポートへの攻撃が減少する一方で、マイクロソフトのSQLサーバーで使用するTCP 1433番ポートへの攻撃が増加。また、国別では日本からの攻撃が減少傾向にある反面、中国からの攻撃が増加傾向になった。
● Webアプリケーションの脆弱性が目立つ
国内の届出のうち6件はWebアプリケーションの脆弱性を指摘するもので、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)といった脆弱性が目立った。また、海外CSIRT組織との連携によるもののうち7件がシステム管理ソフトの脆弱性を指摘。「VERITAS Backup Exec」などバックアップ製品に関連する脆弱性が多かったという。 なお、JVNに登録している製品開発者は第3四半期で99社/者。11月7日現在ではおよそ110社/者に達する。「大手ソフトウェアベンダーからオープンソースで開発している小規模なベンダーまで幅広く登録してもらっている」(椎木氏)という。
● 未公開の脆弱性に対しては既知の回避策で対策
2005年9月から正式に開始したという「早期警戒」事業では、重要なシステムを運用している管理者に対して「脅威度の高い未公開の脆弱性情報に関する既知の回避策がある場合、条件によっては共有する」ほか、大規模な範囲を対象とした攻撃予告や一般に公開された脆弱性情報に関する注意喚起と対策情報の共有を目的としている。 具体的な事例は明らかにされなかったが、内閣官房情報セキュリティセンター(NISC)によって重要インフラと指定された電気・通信など10分野の企業や機関に向けて情報を発信する。伊藤友里恵氏は「実際に情報を提供しても、提供しっぱなしでは意味がない。必要とされる情報については情報提供先の企業などと話し合い、必要なだけの情報を提供し、対策してもらうことになる」と説明する。 また、「早期警戒」事業ではインシデントの発生をシミュレートする「サイバーセキュリティ演習」も実施する。演習する組織における情報を連絡する体制や手段といった情報共有機能を検証し、インシデントへの対応や復旧体制を見極める。JPCERT/CCでは海外のサイバーセキュリティ演習にも参加し、演習の企画からシナリオ作成、実施に至るまでを提供する。 伊藤友里恵氏は最後に「ボットはIRCサーバー経由で感染し、ネットワークを広げるケースが多いが、防御する側もIRCサーバーからのアクセスを塞ぐようになってきた。これに対応してP2Pネットワークで直接クライアントPCを操作するボットも現われているようだ」と指摘。攻撃側と防御側のイタチごっこになりがちなセキュリティ対策ではあるが、「早期警戒」事業でも脅威の分析に努めるとコメントした。 関連情報 ■URL JPCERT/CCの2005年第3四半期活動報告(PDF) http://www.jpcert.or.jp/press/2005/1107.pdf JPCERT/CC http://www.jpcert.or.jp/ ■関連記事 ・ IPA、2005年第3四半期の脆弱性届出状況を発表(2005/10/12) ・ JVN、脆弱性情報のRSS配信を開始。ティッカー表示が可能なツールなども公開(2005/09/09) ・ 国内ユーザーの2~2.5%がボットネットに、防御側も組織的な対応が必須(2005/07/27) ・ 政府のセキュリティ対策拠点「内閣官房情報セキュリティセンター」開設(2005/04/25)
( 鷹木 創 )
- ページの先頭へ-
|
