インシデント調査のための攻撃ツール等の実行痕跡調査に関する 報告書 一般社団法人 JPCERT コーディネーションセンター 2016 年 6 月 28 日 Japan Computer Emergency Response Team Coordination Center : Japan Computer Emergency Response Team Coordination Center DN : c=JP, st=Tokyo, l=Chiyoda-ku, email=office@jpcert.or.jp, o=Japan Computer Emergency Response Team Coordination Center, cn=Japan Computer Emergency Response Team Coordination Center : 2016.06.28 11:
1. 概要 JPCERT/CCでは、Web サイトに対する被害の報告を複数受けています。特に、Web サイトの改ざんや、情報窃取などの被害が発生した場合は、サービスの停止や顧客への補償など、事業に直結する影響を受ける可能性があります。そのため、Web サイトへのサイバー攻撃に備えて、自身が運営するWeb サイトに対して定期的な点検を行うことを推奨いたします。 図1. Web サイト改ざん件数の推移 ( JPCERT/CC インシデント報告対応レポートhttps://www.jpcert.or.jp/ir/report.htmlより) 2.Web サイトへのサイバー攻撃の事例 以下は、JPCERT/CCが確認した、代表的な Web サイトへの攻撃です。 (1) CMS で構築した Web サイトへの侵入と改ざん 図2. 「CMS で構築した Web サイトへの侵入と改ざん」の例 2018年3
JPCERT-AT-2018-0009 JPCERT/CC 2018-02-27(新規) 2018-02-28(更新) I. 概要JPCERT/CC では、2018年2月21日ごろから 11211/udp の通信ポートに対するアクセスが増加していることを、外部組織からの情報提供、およびインターネット定点観測システム (TSUBAME) の観測データから確認しています。TSUBAME にて観測されたスキャンは、当該通信ポートへのスキャンパケットから、memcachedに対して行われている可能性が考えられます。memcached の設定によっては、意図せずインターネットからアクセス可能な状態になっており、スキャンに応答している可能性があります。このような場合に攻撃の踏み台にされたり、memcached が保持する情報へアクセスされたりする可能性があります。JPCERT/CCでは、memcach
Japan Security Analyst Conference 2018 は終了いたしました。 ご参加いただきまして、誠にありがとうございました。 日々発生するサイバー攻撃は、刻々と変化しており、そのようなインシデントの分析・対応を行う技術者もそれに応じてスキルアップが求められています。一方で、このような技術や知見は国内において共有される場が多くない現状において、日本国内のセキュリティアナリストの底上げ行うためには、国内のセキュリティアナリスト同士が共有し、日本全体でサイバー攻撃に対抗する必要があると考えます。 JPCERT/CCでは、セキュリティインシデントを日々対応する現場のセキュリティアナリストが集い高度化するサイバー攻撃に対抗するための情報を共有することを目的にセキュリティインシデント分析・対応のための技術情報共有カンファレンス「Japan Security Analyst C
近年のサイバー攻撃では、マルウエアに感染したマシンを侵入の起点として、他のマシンへの感染拡大や、内部サーバへの侵入など、組織内の至るところを侵害する事例が多く確認されています。こうした事案においては調査対象ポイントが多数になるので、それらを重大な事象を見落とすことなく迅速に調査して、できる限り正確に被害の全体像を掌握し、善後策の立案に必要な事実を収集するための手立てが求められています。 一方、攻撃対象であるネットワークの構成は組織によって様々ですが、攻撃の手口にはよく見られる共通したパターンが存在し、同じツールが使用されることが多く見受けられます。 攻撃者によって使われることが多い代表的なツールがどのようなものか、さらに、それらが使用されると、どこにどのような痕跡が残るのかを把握していれば、多数の調査対象ポイントを体系的かつ迅速に調査できるようになると考えられます。本報告書は、実際の攻撃に
JPCERT/CCでは、Active Directoryが侵害されることによって被害が拡大する高度サイバー攻撃の事例を多数確認しており、これらの事例のなかには、脆弱性に対処していなかったり、ログが適切に保存されていなかったりしたために、被害状況の調査が困難なケースが多くみられました。 高度サイバー攻撃においてActive Directoryへの攻撃の検知は、深く侵害されるか否かの分岐点となります。検知が遅れると被害拡大の一途をたどるため、早期に検知し攻撃の流れを断つことが重要です。 本文書は、Active Directoryへの攻撃を効果的に検知するための方法と、そのために理解しておくべき攻撃手法の概略について記述した解説書です。これまでJPCERT/CCが数多くの高度サイバー攻撃の対応支援をとおして得られた知見を次のようなポイントでまとめています。 - Active Directoryへ
高度サイバー攻撃への対処におけるログの活用と分析方法 組織を標的とした「高度サイバー攻撃」は、国内においても多くの組織で表面化しており、新たなセキュリティ脅威となっています。高度サイバー攻撃は、従来型の攻撃に対する防御・検出だけでは完全に防ぐことができず、攻撃を受けて侵入されることも想定した上で、いかに早く異常に気づき対処できるかが成否の分かれ目となります。 JPCERTコーディネーションセンターでは、高度サイバー攻撃に関する様々な調査研究を行ってきました。その成果の一つとして、複数のサーバや機器等に記録される特徴的なログを適切に採取し分析することにより、侵入や攻撃の影響範囲を捉えられる可能性があることがわかりました。 インシデント対応におけるログ採取の重要性は多くの組織で認識されています。一方で、実際に必要なログを見定めて採取し、分析調査をしている組織は多くありません。さらに、インシデン
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く