JPCERT/CC、2012年度第1四半期の「インシデント報告対応レポート」と「活動概要」公開

本日、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、2012年第1四半期[2012年4月1日～6月30日]に受け付けたインシデント報告の統計及び事例をまとめた「インシデント報告対応レポート」と、早期警戒、脆弱性関連情報流通促進、国際連携活動などJPCERT/CCの活動状況をまとめた「活動概要」を公開いたしました。

詳細は以下URLをご覧ください。

■インシデント報告対応レポート [2012年4月1日 ～ 2012年6月30日]
https://www.jpcert.or.jp/ir/report.html
https://www.jpcert.or.jp/pr/2012/IR_Report20120712.pdf

■活動概要 [2012年4月1日 ～ 2012年6月30日]
https://www.jpcert.or.jp/pr/index.html
https://www.jpcert.or.jp/pr/2012/PR20120712.pdf

インシデント報告対応レポート、活動概要の内容を一部抜粋してご紹介します。詳しい内容は各資料をご参照ください。

【インシデント報告対応レポート】

本四半期(2012年4月1日～2012年6月30日)に、JPCERT/CCに寄せられたインシデント報告件数は 4072件でした。このうち、JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 756 件でした。前四半期と比較して、総報告件数は 51% 増加し、調整件数は 0.3% 増加しました。また、前年同期と比較すると、総報告数で 160% 増加し、調整件数は 16% 増加しました。

インシデントのカテゴリ割合は、スキャンに分類される、システムの弱点を探索するインシデントは 59.5% と大きな割合を占めています。フィッシングサイトに分類されるインシデントが 9.6% 、Web サイト改ざんに分類されるインシデントは 3.6% でした。

◇フィッシングサイト
本四半期に報告が寄せられたフィッシングサイトの件数は 367 件で、前四半期の 324 件から 13% 増加しました。また、前年度同期（325 件）との比較では、13% の増加となりました。
国内のブランドを装ったフィッシングサイトの件数が 68 件と、前四半期の58件から 17% 増加しました。国外ブランドを装ったフィッシングサイトの件数は225件と、前四半期の 221件から 2%増加しました。
JPCERT/CCで報告を受領したフィッシングサイトについては、金融機関のサイトを装ったものが60.8%を占めています。

本四半期の国内金融機関を装ったフィッシングサイトは、前四半期と同様にダイナミックDNSサービスのドメインを使用したものが大半であり、それ以外に短縮URLやCDNなどのサービスを使用した事例の報告も受けています。フィッシングサイトの標的となるブランドは、大手の銀行に限らず、様々なブランドのインターネットバンキングを装ったサイトを確認しています。

フィッシングサイトの調整先の割合は、国内が50%、国外が50%と、前四半期の割合（国内65%、国外35%）と比較して、国外への調整が増えました。

◇Web改ざん
本四半期に報告が寄せられたWeb Webサイト改ざんの件数は、139件でした。前四半期の142件から2%減少しています。

本四半期には、マルウエア配布サイトへの誘導ページを作りこまれたとの報告を多数受領しました。これらの誘導サイトの多くは、ルートディレクトリ下にランダムな英数字6～8文字の名前を持つディレクトリが作成され、そのディレクトリ下にマルウエア配布サイトへ誘導するJavaScriptを含んだhtmlファイルが設置されていました。
誘導先のマルウエア配布サイトは、2012年2月に公開されたJavaの脆弱性(CVE-2012-0507)など、複数の脆弱性を使用して誘導したPCをマルウエアに感染させます。古いJavaを使用している場合には危険性があります。

◇マルウエアサイト
本四半期に報告が寄せられたマルウエアサイトの件数は、209件でした。前四半期の 162件から 29%増加しています。

◇スキャン
本四半期に報告が寄せられたスキャンの件数は、2281件でした。前四半期の1823件から25%増加しています。

・・インシデント報告対応レポートの詳細は以下URLをご覧ください・・

httphttps://www.jpcert.or.jp/ir/report.html
https://www.jpcert.or.jp/pr/2012/IR_Report20120712.pdf

　　　　　　　　　　　　　　　　・・

【活動概要】

―トピック 1 ―
DNS Changerマルウエア感染確認サイトを開設

JPCERT/CCは、5月22日にDNS Changerに感染したPCを簡単にチェックできる検査サイトを開設しました。

DNS Changerの問題については、前四半期より感染PCの確認方法や感染が確認された場合の対処方法などの情報提供や注意喚起を行ってきましたが、日本にもまだ相当数の感染PCが存在していることが、この問題に取り組むDCWG（DNS Changer Working Group）により確認されています。その多くは利用者が感染に気付いていないPCであると思われ、この状態を放置しておくと、暫定ネームサーバが停止される7月9日以降、多数の感染PCがインターネットへアクセスができなくなり、混乱を生じる可能性があります。

こうした事態を回避するため、JPCERT/CCでは、アクセスするだけでDNS Changer感染の有無をチェックできるサイトを開設し、広く検査を呼び掛けています。さらに、国内大手ポータルサイトであるYahoo! Japanにも周知と当該サイトへの誘導をお願いするなど、暫定ネームサーバ停止後のインターネット接続の混乱の軽減に努めています。

DNS Changer マルウエア感染確認サイト
http://www.dns-ok.jpcert.or.jp/
DNS 設定を書き換えるマルウエア(DNS Changer) 感染に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120008.html
DNS Changer マルウエア感染確認サイト公開のお知らせ
https://www.jpcert.or.jp/pr/2012/pr120002.html
今一度、DNS Changer マルウエア感染の確認を
https://www.jpcert.or.jp/present/#year2012

―トピック 2 ―
Javaセキュアコーディングセミナーを海外初展開

JPCERT/CCは、タイのバンコクおよびインドネシアのバンドンにて、Java/Androidに関するセキュアコーディングセミナーを開催しました。

タイのバンコクでのセミナーは、ThaiCERTとマヒドン大学の協力のもと、4月26日、27日の2日間の日程で開催されました。JPCERT/CCが実施するJavaおよびAndroidに関するセキュアコーディングセミナーとしては、初の海外開催でした。現地では、スマートフォン等のアプリケーション開発が増えていることからAndroidプログラミングに対する注目度が高く、定員を超える応募があり、およそ60名の方に受講いただきしました。

インドネシアのバンドンのセミナーは、現地の大学生に向けて企画されたもので、インドネシア国内40の大学が参加するAcademic CSIRTおよびMaranatha Christian Universityの協力を得て、5月31日から6月2日までの3日間の日程で開催されました。インドネシアではJavaを学ぶ学生の比率が非常に高く、こちらも定員を超える応募があり、100名以上の受講者が集まりました。

Javaのセキュアコーディングに関するセミナーは、両国にとって過去にあまり例がないもので、主催者、受講者からも高い評価を得ることができました。JPCERT/CCでは、C/C++に続いて、Java/Androidについてもセキュアコーディングスタンダードを国内外へ広めていくことで、アジア地域全体のセキュリティ向上につなげたいと考えています。

―トピック 3 ―
FIRST年次総会に参加

国際的なCSIRT組織で構成されるFIRST (Forum of Incident Response and
Security Teams) の年次総会とカンファレンスが開催されました（開催地マルタ：6月17日～22日）。

FIRSTカンファレンスでの講演内容は例年各国の情報セキュリティ上の課題を反映したものとなります。本年のカンファレンスは、‘Security is not an island’ をテーマに、主にセキュリティとインシデント対応に関する実務的な側面に焦点をあてて行われ、“APT”に対する各組織での対策や攻撃に使用されたマルウエアや手法を紹介するセッションや、情報共有連携に関するセッションがそれぞれ複数あり、注目を集めていたことが特徴的でした。

JPCERT/CCはCSIRT連携のあり方を考えるパネルディスカッションに参加し、また災害時のBCPとセキュリティの問題に関する事例報告を行いました。

"Global and Regional CERT Collaboration to Reduce Cyber Conflict Risk Pane"と題したパネルでは国際部部長伊藤友里恵がモデレータを担当しました。サイバー攻撃などの脅威が増大する中で、CSIRTが緊密な連携により未然に衝突を回避する役割を果たすことの重要性が話し合われました。

"What we found about BCP on 3/11"と題した事例報告では早期警戒グループの満永拓邦が登壇し、2011年の東日本大震災の経験についてヒアリングした結果から企業活動の継続性を高めるため対策の有効性について発表しました。

JPCERT/CCは、山口英国際担当理事が継続的にFIRSTの運営委員としてその活動に深く関わっており、年次総会や技術部会の会合などでも積極的に研究成果の発表や情報共有を行うなど、その活動を支援しています。このような活動は、インシデント対応時における各国CSIRTとの国際連携のための下地作りとなっています。

24th Annual FIRST Conference
http://conference.first.org/index.aspx

―トピック 4 ―
JPCERT/CCホームページをモバイル端末向けに拡張

JPCERT/CCは、4月3日にモバイル端末向けのホームページを公開しました。

旧来のPCのメールやWebブラウザに加えて、モバイルデバイスやソーシャルメディアの普及に伴い、これらの新メディアを通じた情報入手の機会が増えています。JPCERT/CCでも、モバイル端末向けホームページを開設し、新しいデバイスや情報メディアを通じても、提供情報をご利用いただけるようにいたしました。

モバイル端末向けホームページでは、注意喚起や脆弱性対策情報（JVN）といった即時性の高いコンテンツや、セキュアコーディングスタンダードを始めとする各種公開資料などを中心に情報を編集しています。スマートフォンやタブレットは、タッチスクリーンによる操作などPCとは異なるユーザインタフェースを持つため、これらに適した情報のレイアウトを工夫しています。

また、SNSなどの新しいメディアの情報発信機能を活用するために、公開情報をTwitterやメールに投稿・転送しやすくするソーシャルメディアとの連携、およびコンテンツ共有の利便性を向上させる機能も強化いたしました。

JPCERT/CCモバイル端末向けホームページ
https://www.jpcert.or.jp/m

・・活動概要の詳細は以下URLをご覧ください・・

https://www.jpcert.or.jp/pr/index.html
https://www.jpcert.or.jp/pr/2012/PR20120712.pdf