悪夢の「APT宣告」、その時組織が取るべき行動とは
セキュリティ担当者がなるべく聞きたくないものの一つがインシデント(事故)の発生報告だ。情報漏洩やサイバー攻撃被害に対する政府と世間の関心が高まるなか、APT(アドバンスト・パーシスタント・スレット)や標的型攻撃のインシデントの報告は、組織にとって経営層まで巻き込んだ判断や対応が必要な「一刻を争う事態」といえる。今回はAPTや標的型攻撃の被害に遭っている事態が判明したことを「APT宣告」と定義して、APT宣告を受けた時に組織が取るべき行動を説明していく。 APT宣告を受けるパターンとしては、自組織では気付かずに外部から「貴組織のIPアドレスから不審な通信が出ている」という指摘で宣告を受けるケースが増えている。外部機関とは監督官庁や内閣サイバーセキュリティセンター(NISC)、警察、JPCERTコーディネーションセンター、情報処理推進機構(IPA)などだ。 こうした外部機関はAPTや標的型攻撃
第16回 標的型攻撃が生んだセキュリティビジネスの“光と影”
セキュリティ業界が活況だ。APT攻撃とも呼ばれる2011年の事件をきっかけに、新たな光が射したが、その分だけ影も色濃く出てしまった。標的型攻撃からセキュリティビジネスの本質について述べる。 セキュリティの主流になった“標的型”攻撃対策 ここ数年、セキュリティ市場が言う対策とは、「標的型攻撃対策そのもの」と言っても過言ではない状況だった(それが正しいかは置くとして)。標的型攻撃とその他の攻撃との違いは何か。“標的型”攻撃とは、不特定多数を狙うのではなく、攻撃者が必ず手に入れたいと思っている貴重な機密情報を持つ相手を標的にして、その標的だけをしつこく狙う。その1点だけだ。 “標的型”以外の攻撃は、不特定多数を対象とした“無差別”攻撃といえる。ただし、現在の攻撃の目的はそのほとんどが金銭であり、完全な無差別攻撃ではない。つまり、“お金になりそうな情報なら手当たり次第”の攻撃だ。「お金を狙う」とい
プログラムの通信履歴を残す - @port139 Blog
皆さんの組織では、マルウェア感染したWindows PCが(組織内の)何処と通信したか?、を追跡できるログを取っていますでしょうか? 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねw」と Haruyama さんから突っ込みをいただいたので、Sysmon を利用したプログラムの通信履歴保存についてです(笑) プログラムの実行履歴はWindowsの監査機能を利用する事でセキュリティログに記録する事ができますが、プログラムが何処と通信したかは記録されていません。 いわゆる標的型攻撃、APT攻撃と呼ばれる攻撃では、マルウェア感染した機器を踏み台として、組織内の広い範囲への侵入や情報の搾取が行われます。 この為、被害範囲が広がっているのかを確認するには、マルウェア感染した端末が、何処と通信を行っていたのか?が重要な手がかりになります。 プログラムが何処
第1回 分析が暴いた標的型攻撃メールの特性
2012年10月から2013年12月の期間において、標的型攻撃メールについて情報処理推進機構の標的型サイバー攻撃特別相談窓口へ81件※1の情報提供があり、合計215件※2の攻撃メール情報が集まった。このうち、メールヘッダなどが含まれ、文面や差出人情報、添付ファイルの重複していないメール124種類と、入手可能であったウイルス105件について分析を行った。 ※1 1件の情報提供には複数のメールが含まれているケースがある。 ※2 いくつかのメールは文面や差出人情報、添付ファイルが同一で少々の着信時間と宛先が異なるのみであった 「会社」と「省庁」の割合が高い詐称元 図1はそれぞれのメールで攻撃者が詐称したメール送信元組織を分類したものである。一般にメール受信者はメールの差出人に表示される表示名、件名、本文及び署名から、送信元がどこかを総合的に判断すると考えられる。本統計では、これらの情報を総合した
新手の標的型サイバー攻撃、官庁や大企業狙う : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
農林水産省など中央省庁や大手企業の少なくとも20機関を狙った標的型サイバー攻撃が8月から9月にかけてあり、このうち一部が情報を盗み取るタイプのウイルスに感染していたことが分かった。 ウェブサイトにウイルスを仕込み、標的の組織から閲覧した場合だけ感染するように細工がされていた。内閣官房情報セキュリティセンター(NISC)は「日本の機密を狙った新たな手口」として警戒感を強めている。 NISCや読売新聞の調べによると、標的となったとみられるのはこのほか、外務省、経済産業省、財務省などの中央官庁や、国立病院機構などの独立行政法人、テレビ局、防衛産業など少なくとも20機関。このうち感染が判明した農水省では「攻撃者に弱みをみせたくないので、感染したかどうか言えない」と説明。その他の機関も現在調査を進めている。 NISCなどによると、攻撃者は共同通信社や熊本日日新聞社が運営するニュースサイトなど、行政機
APT攻撃対策、ネットワーク内を動き回る脅威を検出するには
出典:ITpro 2013/08/05 (記事は執筆時の情報に基づいており、現在では異なる場合があります) 今回はまず、高度で執拗かつ継続的な攻撃(APT攻撃)の検出方法についてのブログを紹介する。トレンドマイクロが、APT攻撃の後半過程「Lateral Movement」について、概要を解説している。 Lateral Movementは、最初に入り口となるコンピュータのセキュリティを侵害(Attack)し、マルウエアが攻撃者との通信を確立(Command & Control)したあとの段階を指す。Lateral Movementでは、攻撃者は通常、コンピュータの標準機能を使って、気づかれないようにネットワーク内を動き回る。 APT攻撃が深く進むほど、ネットワークが受ける影響は大きくなる。Lateral Movementの段階に達すると、従来のセキュリティ機能ではほぼ検知できない。こうなる
隣国のセキュリティ事案を教訓とするために TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
韓国への大規模サイバーテロ事件について | snowwalker's blog
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
Comment Groupのこれまでの活動 - セキュリティは楽しいかね? Part 2
(3/6 追記あり) 昨日、米国のセキュリティ会社 Mandiantが APTに関する詳細なレポート(APT1: Exposing One of China's Cyber Espionage Units)を公開しました。 このレポートの中で Mandiantは 2006年から観測されている一連のサイバースパイ活動(彼らは APT1と呼称しています)の実態を明らかにし、その活動主体が人民解放軍のある部隊と考えられるとの結論を示しています。またこれまでに報道されている類似の事例のうち、Comment Crew および Comment Group*1として知られているものは、APT1と同一であるとの見解も示しました。 非常に興味深い内容のレポートなので、「Mandiantのレポートはおもしろいかね?」という記事を書こうと思っていたのですが、まずはその前にこれまで Comment Group (
標的型攻撃に備える! いまできる対策のヒント(1/2) - @IT
@IT 情報漏えい対策セミナーレポート 標的型攻撃に備える! いまできる対策のヒント 谷崎朋子 2012/7/23 すでに最新のセキュリティ対策を導入している企業であっても、情報漏えいのリスクを完全に排除することは難しいのが現状だ。そんな中、いま取り組める対策とは何なのか――6月19日に@ITが開催したセミナー「だから情報は狙われる――これからの情報漏えい対策とは」の講演から、そのヒントを探る。(編集部) 最新のセキュリティ対策を導入済みの大企業でも、情報漏えいのリスクを完全に排除することは難しい。特に、最新技術と戦術で執拗かつ長期的に活動する標的型攻撃は、事前対策だけでは不十分だ。 また、情報漏えいを防ぐことだけに主眼を置くと、万一緊急事態が起こってしまったときに思考停止し、事態を悪化させてしまう。事後対策も含め、いかに効果的にリスクを押さえ込むかを検討することが急務だ。 6月19日に東
Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
APT攻撃を正しく理解するために
今回は標的型攻撃についてのブログを紹介しよう。IBMのセキュリティ部門Internet Security Systems(ISS)は、APT(Advanced Persistent Threats)について正しい理解を深めるために役立ててほしいとして、ラスベガスで開催されたセキュリティ関連会議「IBM Pulse」で行ったAPTに関する講演のビデオをブログで公開した。 複数の手法を組み合わせた高度な攻撃を執拗に続けるAPTは、インターネットセキュリティにおいて最も重大な問題の一つ。ただ同時に、最も誤解されている手口の一つであり、一般ユーザーだけでなく、専門家でも誤って解釈する人もあるとISSは指摘。様々な意味に取れる曖昧な名称が、論じるべき主題の誤解や過度の簡略化を招いているとする。民間企業が攻撃の原因を特定するのが困難であることも関係している。 APTは、世界中の広範なネットワークに影響
出口対策を過信しない、真の標的型攻撃対策とは
これまで(第1回/第2回)の解説で、標的型攻撃の流れと手口をご理解いただけたと思います。 中でもAPTという標的型攻撃の特殊なケースでは、豊富な開発資金と、強い動機により、各フェーズで用いられるカスタマイズテクニックは非常に高度であり、簡単にはあきらめない執拗(しつよう)さが特徴としてみられます。このテクニックのレベルと執拗さに違いは見られるものの、一般の標的型攻撃においても、基本的に攻撃や感染に気付かれないように工夫を凝らしている点では共通しています。 情報をなるべく多く窃取するために、隠密に事を運ぶ、この行動形態に着目しながら、標的型攻撃対策の勘所について考えたいと思います。 脆弱性が利用されると・・・? 前回、侵入リスクを減らす手段を解説する中で、脆弱性対策の重要性を説明しましたが、それ補足する形で、脆弱性が利用された場合の様子を紹介するビデオを用意しました。 ビデオは2010年の初
[対策1]「出口」を見張って止める、押さえるべき三つの手法
「標的型攻撃が台頭してきた背景の一つは、企業のマルウエア対策などがある程度強固になったこと。だから攻撃者はシステムの脆弱性ではなく、人の脆弱性を狙うよう方針を変えてきた」(サイバーディフェンス研究所の名和上級分析官)。攻撃側が変わったのなら、防御側も変わらなければならない。標的型攻撃は従来対策だけでは不十分。ここで紹介する新しい対策も含めて、“複数の対策を組み合わせ、情報が盗まれる確率をできるだけ下げる”というアプローチが必要になる。 ところが、本誌読者モニターへの調査によると、標的型攻撃への対策を実施済みとした回答は全体の4分の1程度。今後対策予定とした回答を合わせても半分に満たない(図1)。さらに対策済み、対策予定とした回答企業でも、実施対策については、半数近くがスパム対策やウイルス対策、Webフィルタリングなど従来型対策を挙げる。 「標的型攻撃を一発で解決できる銀の弾丸はない」(セキ
農水省:職員メール外部流出か…ウイルス感染なし - 毎日jp(毎日新聞)
農林水産省は2日、職員同士で業務上のやりとりをした電子メールの一部が外部に流出した可能性があると発表した。このメール情報を悪用し、何者かがウイルスを仕込んだメールを同省職員らに送ったが、ウイルス対策ソフトで駆除し、感染はしなかったという。同省は「この情報に国民の個人情報は含まれていない」としている。 同省によると職員の一人が昨年12月19日、職員延べ約70人分のアドレスにメモが添付されたメールを送信。1月10日に送信先のアドレスの一つから同様の内容のメールが複数の職員に返信され、このメールにウイルスが仕込まれていた。海外から送信されたとみられる。【曽田拓】
標的型サイバー攻撃の事例分析と対策レポートを公開:IPA 独立行政法人 情報処理推進機構
2011年は、国内の大手重工メーカーや衆議院・参議院が情報窃取型の標的型サイバー攻撃を受け、社会の関心を集めました。これらの攻撃では、標的型攻撃メールにより送付されたコンピューターウイルスがシステム内部に侵入し、スパイ活動をすることで、システム内部の組織情報や個人情報が抜き取られました。 IPAは、このような被害の大きい標的型サイバー攻撃について典型的な事例を分析し、標的型攻撃に対応する上での課題の考察や、総合的な対策をレポートとしてまとめました。 このような標的型サイバー攻撃では、特定の情報窃取を目的として、同業種や業界に狙いを定め巧みで執拗(しつよう)な攻撃が行われることが想定されます。そのようなケースでは、ある組織が検知した攻撃情報を迅速に共有することで、全体の被害の低減や早期の対応を実現することが可能であると考えられます。 それを実現する仕組みとして、2011年10月25日に経済産
JAXAのウィルス感染事案をまとめてみた。 - piyolog
JAXAが1月13日付で発表したウィルス感染事案について、JAXA発表、及び報道情報を元に概要をまとめました。 概要 JAXAが1月13日付で去年8月にウィルス感染していた事実を発表しました。*1以下はJAXAが1月13日付で発表した情報の引用です。また、調査結果については3月27日付で機微情報の漏えいがなかったことをJAXAが発表しています。*2 宇宙航空研究開発機構(JAXA)において、職員の端末1台がコンピュータウイルスに感染し、当該端末内の情報及び当該職員がアクセス可能なシステムに関する情報が外部に漏洩していたことが本年1月6日に判明しました。 現在、JAXAでは漏洩した情報内容の特定および原因究明に取り組んでおります。 http://www.jaxa.jp/press/2012/01/20120113_security_j.html 被害状況 感染場所 宇宙航空研究開発機構 筑波
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
初めてのAPT攻撃にあわてないための秘伝の書、JPCERT/CCが一般にも公開 
年金機構は氷山の一角、少なくとも300カ所に侵入済み、報道機関にもクラウド事業者にも “日本全体”が標的のAPT攻撃「Blue Termite」とは
はてなブログ | 無料ブログを作成しよう
