第2回 セキュリティリサーチャーズナイト

tsuji: 標的型攻撃

negishi: リーク情報の影響評価

piyokango: 情報の見極め方

最近の標的型攻撃

日本学術振興会を語った標的型攻撃メール

  • 明治大学の注意喚起(学術振興会)
  • 添付ファイルがパスワード付きzip
  • メールの件名
  • 中央大の注意喚起が細かい

パスワード付きZip

  • パスワード解析
  • ツイートしていた人に接触した(パスワードは知らず)

ブルートフォース: 0cA5p8

https://goo.gl/cpT1NW

  • 上ブロックはExcel
  • 下ブロックはバックドアchchesのコード
  • ファイル自体はlnk

数字を変えてみると検体が多数設置されていた。

デコイファイル(Decoy File) -> 本物にソックリ

特定失踪者問題に関する標的型メール

  • VirusTotalで検索してダウンロード
  • lnkファイルがある

goo.gl/KwjOFi

DNSの過去の正引き情報など -> passive total

  • 過去のドメインやIPアドレス帯が攻撃に再利用される可能性は十分に存在する

  • 同一犯と思われるものは手法から注意喚起が出来る

  • 攻撃の対象になる可能性がある組織は。

  • 通信先を伏せる理由→伏せてしまっては役に立たない

  • システム担当者は聞かれる「大丈夫か?」

  • 細かく書けば プロキシのログで監査が可能

★攻撃グループの推測は必要か?

  • 報道「A国の攻撃者グループ」と報道バラエティ「ロシアを装う〜」

  • 攻撃グループは本質ではないのでは?

  • ハッシュ値やファイル情報を活かさなければならない.

  • セキュリティアプライアンスに頼れない環境に対して役立てる意味で詳細を書くのが大事.

  • 特定の人に情報を届けるのではなく、広い人に届ける。

  • フィードバックはモチベーションにつながる。

1次情報は自ら集めるのは難しい.

情報大漏洩時代

  • Yahoo USの漏洩

  • Adobeの情報漏洩

  • Edward Snowden (NSA)

  • The Shadown Brokers (NSA)

  • WikiLeakes Vault 7

リーク情報の分析

★情報を見る時に着目すべき点

  • 誰が
  • どういった目的
  • どこから
  • 何が漏洩しているか
  • 信憑性は高いか(検体が手に入らない時にどう判断するか)
  • どういう影響があるか
  • 対応として何をすべきか(大きなリークに対する報道、組織内で聞かれた時に)
  • わかっていないことは何か(何が起きているのか把握、理解する)

リーク情報の入手 -> スノーデンは生データを整形して公開(小出し)

★ The Shadow Brokersのリークは影響範囲が小さいと思われた。

Hacking Teamの活動 http://blog.trendmicro.co.jp/?s=Hacking+Team

Equation Group(NSAと繋がりがある可能性)のマルウェアをThe Shadow Brokersがリーク

NSA TAO(攻撃専門の部署・部門)

単発の情報や組織の出しているレポートを読んでみないとハッキリは分からない。分析し続けていないと判断できない。

自組織への影響は?

  • 脆弱性

  • 攻撃ツール、エクスプロイト-> PoCかIn the wildか?

  • すぐに攻撃に利用可能なエクスプロイトか?

  • 過去に同様の攻撃が発生していないか

  • 自組織の情報は無いのか?

リーク情報の分析はデータ量やバックグラウンド、内部情報が理解できないと厳しい。まとめたり見たりするのも大変。 -> 影響の有無や注意喚起の必要性の判断をして終了

自ら検証してみないと正しいとは分からない。信頼性の高い情報源でも検証してみないと分からない。 The Shadow Brokersが来月からまた公開するらしい。

いつだってあると思うな便利なまとめ 情報源に頼るのではなく自ら調べて判断する材料にする。

情報の見極め方

情報が溢れた時どうする?

取捨選択も選択肢の1つ

  • 1人でやろうと頑張りすぎない
  • 誰かに頼るのも手
  • テレビ新聞だけでもなんとかなる(定期的に報道される)
  • 体は大事にする

ジョーク「ミサイルが飛ばなければ流れます」

表現は良くないが、セキュリティは埋め合わせに使われるような印象ある。 テレビや新聞だけでも概要や流れはつかめる。

記事で目をつけるところ

  • 日付
  • ソース(これ大事)
  • 署名(余裕あれば)
  • 数字(数字の独り歩き、何を指しているのか)
  • 拡散具合

一次情報は現地において信頼されている情報ソースなのか分からない。 -> 継続してみているとわかってくることはある。

ソースだけを読むだけにするという読み方もある。

頭の中だけでの整理は大変

大量の濃密な記事だと特に。

図で整理してみるのも有り。文字だけだと辛い。 -> 後から図にしておくと分かりやすい。理解が伴わないと出来ない。

コツコツ情報収集していくとスピードも上がるかも。図にして整理することは良い。