1. JPNIC・JPCERT/CC
Security Seminar2004
ホストレベル、セグメントレベル、企業レベル、
グローバルレベルでの不正侵入の発見手法とは？
(Windows版)
インターネットセキュリティシステムズ株式会社
セキュリティオペレーションセンター スーパーバイザー
シニアセキュリティエンジニア
守屋 英一
2005年02月04日
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

2. 目次
はじめに
不正侵入の現状
不正侵入の発見手法
ホストレベル
セグメントレベル
企業レベル
グローバルレベル
2
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

3. トップ１０(2004年)
∼はじめに∼
3
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

4. 現在も観測されるワーム
∼はじめに∼
想定される原因のひとつ
未管理サーバの存在 不正侵入検知・防御（IDS/IPS）などセキュリティ
感染に気が付いていない 対策がとられていない
ワーム発生日時
ISS東京SOC観測（2004年7月） 2004/5/01 Sasser_Worm
2003/8/22 Agobot_Worm
2003/8/11 Blaster_Worm
2003/1/25 Slammer_Worm
2001/9/18 Nimda_Worm
2001/8/04 Code_Rad II
2001/7/19 Code_Rad v2
2001/7/12 Code_Red v1
4
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

5. 脆弱性の発見からワーム発生まで
∼はじめに∼
メーカ / セキュリティベンダ / 他 公開活動 攻撃側 （非公開活動）
セキュリティ関連サイトで 悪性プログラム作成
悪性プログラム作成
セキュリティホールの発見 セキュリティ関連サイトで
情報交換 情報交換
情報交換
情報交換
パッチの解析
パッチの解析
参照
メーカー等への通知 脆弱性証明プログラム
非 脆弱性証明プログラム ワームの作成
ワームの作成
公 作成
作成
開
亜
パッチの作成 種
発
亜種の拡散 生 ワームの拡散
亜種の拡散 サ ワームの拡散
イ
ク
パッチの未適用
パッチの未適用 ル
サーバ
サーバ
ワームの改良
ワームの改良
パッチの適用 •ワーム作者、ハッカー
パッチの適用
•動機ある者
5
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

6. 攻撃のサイクル
∼はじめに∼
攻撃側
メーカ / セキュリティベンダ / 他
悪性プログラム作成
悪性プログラム作成
セキュリティホールの発見 情報交換
情報交換
パッチの解析
パッチの解析
メーカー等への通知 侵入行為
非 侵入行為
公 攻
開 撃
パッチの作成 サ
イ
スキャン行為
スキャン行為 ク 悪性プログラムの
悪性プログラムの
次のターゲットへ ル ダウロード
次のターゲットへ ダウロード
パッチの未適用
パッチの未適用
サーバ
サーバ
レジストリ修正
レジストリ修正
バックドア作成
バックドア作成
パッチの適用
パッチの適用 •ワーム作者、ハッカー
•動機ある者
6
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

7. 監視範囲
∼ホストレベル∼
REMOTE/MOBILE
- ActivePorts COMPUTING
- IRCR
- Tripwire
- Event log
REMOTE OFFICE
CORPORATE INTRANET
PARTNER EXTRANET
7
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

8. 発見事例
∼ホストレベル∼
REMOTE/MOBILE
- ActivePorts COMPUTING
- IRCR
- Tripwire
- Event log
REMOTE OFFICE
CORPORATE INTRANET ■環境
日時：2004年11月20日(0:00∼8:30)
PARTNER EXTRANET
OS：Windows2000(IIS)
IP：192.168.221.180
▼事例
ワーム感染(多重感染)事例
8
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

9. 時系列
∼ホストレベル∼
①
① ②
② ③
③ ④④
Webへの
Webへの ログの確認
ログの確認 ポートと
ポートと ファイルや
ファイルや 対応
対応
アクセスが
アクセスが プロセス
プロセス ディレクトリ
ディレクトリ
が重い
が重い の確認
の確認 のチェック
のチェック
(ActivePorts)
(ActivePorts) (Tripwire)
(Tripwire)
(IRCR)
(IRCR)
9
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

10. ①セキュリティログでの確認
∼ホストレベル∼
セキュリティログのイベントID
ID592：新規プロセスが作成された。
ID593：プロセスが終了した。
詳細：http://download.microsoft.com/download/technetpluscd/Update/100/NT5/JA/w2000msgs.exe(日本語)
10
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

11. ①セキュリティログでの確認
∼ホストレベル∼
2004年11月20日 0:01
ID592：新規プロセスとしてTFTP
が起動されている。
悪性プログラムがダウロードされ
た可能性がある。
11
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

12. ①セキュリティログでの確認
∼ホストレベル∼
2004年11月20日 0:01
ID592：新規プロセスとして、Msbb.exe
という不明なプロセスが起動されている。
12
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

13. ActivePortsによる解析
∼ホストレベル∼
ActivePorts (http://www.protect-me.com/）
ポートとプロセス関連付けて表示する
13
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

14. ②ActivePortsでの確認
∼ホストレベル∼
ActivePortsで表示させた結果、
C:￥WINNT￥system32￥Winregs32.exeという
不明なプロセスを多数確認する。
Process State Path
Msbb.exe LISTEN C:WINNTSystem32Msbb.exe
Win32Fixr.exe CLOSE_WAIT C:WINNTSystem32Win32Fixr.exe
Win32Fixr.exe LISTEN C:WINNTSystem32Win32Fixr.exe
Winregs32.exe LISTEN C:WINNTSystem32Winregs32.exe
wilogon32.exe LISTEN C:WINNTSystem32wilogon32.exe
14
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

15. ②IRCRによる解析
∼ホストレベル∼
IRCR(http://www.Incident-reponse.org/IRCR.html）
TCT(The Coroner’s Toolkit)に類似した機能がある。
NETコマンド,ARPテーブルなどの各種情報を収集する。
15
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

16. ②IRCRによる解析
∼ホストレベル∼
TCP 192.168.221.180:3079 192.168.130.231:135 SYN_SENT
TCP 192.168.221.180:3080 192.168.131.105:135 SYN_SENT
TCP 192.168.221.180:3081 192.168.91.100:135 SYN_SENT
TCP 192.168.221.180:3082 192.168.248.26:135 SYN_SENT
TCP 192.168.221.180:3083 192.168.255.35:135 SYN_SENT
TCP 192.168.221.180:3084 192.168.112.178:135 SYN_SENT
TCP 192.168.221.180:3085 192.168.57.236:135 SYN_SENT
TCP 192.168.221.180:3086 218.18.21.232:135 SYN_SENT
TCP 192.168.221.180:3087 218.221.53.234:135 SYN_SENT
TCP 192.168.221.180:3088 192.168.139.85:135 SYN_SENT
TCP 192.168.221.180:3089 218.63.86.146:135 SYN_SENT
TCP 192.168.221.180:3090 192.168.126.37:445 SYN_SENT
TCP 192.168.221.180:3091 192.168.62.73:445 SYN_SENT
TCP 192.168.221.180:3092 192.168.222.141:445 SYN_SENT
TCP 192.168.221.180:3093 192.168.84.67:445 SYN_SENT
TCP 192.168.221.180:3094 192.168.108.118:445 SYN_SENT
TCP 192.168.221.180:3095 192.168.224.10:445 SYN_SENT
TCP 192.168.221.180:3096 192.168.122.46:135 SYN_SENT
TCP 192.168.221.180:3097 192.168.169.113:135 SYN_SENT
対象ホストから複数のホストに対
して、Port135,445へのアクセスを
確認する。
16
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

17. ③Tripwireによる解析
∼ホストレベル∼
Tripwire(http://www.tripwire.co.jp/）
ファイルやディレクトリの改竄を検知する
Tripwire 整合性チェックレポート バージョン 4.0.0
Tripwire(R) for Servers バージョン 4.5.0.178
レポート生成者 : Administrator
レポート作成日付 : 2004年11月20日 08:01:15
データベース最終更新日付 : 未更新
===============================================================================
レポート要約 :
===============================================================================
ホスト名 : ISS001
ホスト IP アドレス : 192.168.221.180
ホスト ID : S-1-5-21-1390067357-362288127-839522115
使用ポリシーファイル : C:¥Program Files¥Tripwire¥TFS¥policy¥tw.pol
使用設定ファイル : C:¥Program Files¥Tripwire¥TFS¥bin¥tw.cfg
使用データベースファイル : C:¥Program Files¥Tripwire¥TFS¥db¥database.twd
使用コマンドライン : tripwire -m c
17
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

18. ③Tripwireでの確認
∼ホストレベル∼
-------------------------------------------------------------------------------
セクション : Windows File System
-------------------------------------------------------------------------------
ルール名 重要度レベル 追加 削除 変更
--------- -------------- ----- ------- --------
* Critical System Startup files 1000 0 0 1
(C:¥)
* OS Support Files 35 0 0 1
* System32 Folder 100 15 0 15
* Network Configuration Files 100 0 0 2
Critical Drivers 35 0 0 0
System Folder 35 0 0 0
(C:¥WINNT¥System)
Program Files Folder 35 0 0 0
(C:¥Program Files)
* Tripwire for Servers Configuration Files System32 Folderの
1000 1 0 0
Tripwire for Servers Executables 下に新規に追加された
1000 0 0 0 15個のファイルを確認
Tripwire for Servers Log and Support Files
1000 0 0 0
Temporary Files Folder 15 0 0 0
スキャン済みオブジェクト総数 : 6,408
発見された総侵害箇所 : 35
18
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

19. ③Tripwireでの確認
∼ホストレベル∼
-------------------------------------------------------------------------------
セクション : Windows Registry
-------------------------------------------------------------------------------
Service Registry
ルール名 重要度レベル 追加 削除 変更 25個の追加を確認
--------- -------------- ----- ------- --------
Hardware keys 35 0 0 0
* Service Registry Keys 100 25 0 10
Critical Tripwire Registry keys 1000 0 0 0
* Critical Security Account Keys 1000 0 0 1
* Security Information keys 100 0 0 1
Local Admin Activity 1000 0 0 0
(HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4)
* Local Admin Login 1000 0 0 1
(HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4¦F)
Local Admin Password Change 1000 0 0 0
(HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F4¦V) System Startup
* Guest Account Activity 1000 0 0 1 11個の追加を確認
(HKEY_LOCAL_MACHINE¥SAM¥SAM¥Domains¥Account¥Users¥000001F5)
* System Startup Executables 1000 11 0 0
Critical System Registry Keys 100 0 0 0
Software keys 35 0 0 0
Current User Registry keys 15 0 0 0
Class keys 35 0 0 0
スキャン済みオブジェクト総数 : 27,467
発見された総侵害箇所 : 50
19
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

20. まとめ
∼ホストレベル∼
ホストレベルの場合は、影響が表面化し
た段階で発見される。
攻撃手法がわからない
20
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

21. 監視範囲
∼セグメントレベル∼
セグメント単位 REMOTE/MOBILE
ID/PS
COMPUTING
- IDS/IPS
REMOTE OFFICE
ID/PS ID/PS
Management
ID/PS
ID/PS ID/PS
Firewall
Management
CORPORATE INTRANET
ID/PS
PARTNER EXTRANET
ID/PS
ID/PS
21
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

22. 発見事例
∼セグメントレベル∼
セグメント単位 REMOTE/MOBILE
ID/PS
COMPUTING
FW
- IDS/IPS
REMOTE OFFICE
ID/PS FW
ID/PS
Management FW
ID/PS
ID/PS ID/PS
Firewall
Management
FW
CORPORATE INTRANET ■環境
日時：2005年01月1日∼3日
FW
ID/PS
PARTNER EXTRANET
ID/PS OS：Windows2000(IISサーバ)
ID/PS IP：192.168.221.180
▼事例
Blasterワームの感染事例
22
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

23. IDS/IPS
∼セグメントレベル∼
SiteProtector(http://www.isskk.co.jp/product/SiteProtector.html）
ネットワーク、サーバ、デスクトップそれぞれに導入されている防御システムの管
理を一元化し、セキュリティ管理作業にすばやく優先順位をつけ、危険度が高く、
実際に影響があるイベント対応を最優先させることが可能な統合管理ツール
23
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

24. 侵入検知システムによる確認
∼セグメントレベル∼
2005年1月1日∼3日間の侵入検知シ
ステムよる検知状況である。
不正侵入を発見するには、検知件数
が多く、判別が困難である。
24
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

25. 不正侵入を発見するポイント
∼セグメントレベル∼
攻撃側
メーカ / セキュリティベンダ / 他
効率的に不正侵入を発見するには、 悪性プログラム作成
情報交換
①∼④の挙動を確認する事が重要で
セキュリティホールの発見
パッチの解析
ある。確認するには、Analysis
Viewを利用すると良い。
メーカー等への通知 ①攻撃
非 ①攻撃
公 攻
開 撃
パッチの作成 サ
イ
ク ②悪性プログラム
②悪性プログラム
④スキャン
④スキャン ル のダウロード
のダウロード
パッチの未適用
サーバ
③レジストリ修正
③レジストリ修正
バックドアの作成
バックドアの作成
パッチの適用 •ワーム作者、ハッカー
•動機ある者
25
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

26. Analysis Viewの活用
∼セグメントレベル∼
「Advanced Filter」の項目で、フィルタすべき条件項目を指定することをAnalysis Viewという。
カスタマイズの方法としてはSite Managerのメニューから[ Analysis ] --> [ Add / Remove Data Columns... ] を選択します。
表示している項目を更に追加／削除したり、フィルタイリングの条件を指定することができる。
Analysis View
26
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

27. ①攻撃(Analysis View)
∼セグメントレベル∼
攻撃側
①のポイントでは、不正侵入が
メーカ / セキュリティベンダ / 他
成功したか判断できない。 悪性プログラム作成
情報交換
判断するには、②∼④の挙動を
セキュリティホールの発見
パッチの解析
確認する必要がある。
但し、監視ネットワークを送信
①攻撃
元とした攻撃が発生している場
メーカー等への通知
非
①攻撃
(ワーム)
(ワーム)
合は、既に不正侵入が成功した 公 攻
開 撃
可能性がある。 サ
パッチの作成
イ
ク ②悪性プログラム
④スキャン ル のダウロード
パッチの未適用
サーバ
③レジストリ修正
バックドアの作成
パッチの適用 •ワーム作者、ハッカー
•動機ある者
27
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

28. ①攻撃(Analysis View)
∼セグメントレベル∼
危険際の高い攻撃を確認するには、
Tag Nameに[*Bo][*Overflow]を追加する。
28
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

29. Analysis Viewによる表示
∼セグメントレベル∼
危険性の高い攻撃のみをレポートす
る事ができる。
29
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

30. Analysis Viewによる表示
∼セグメントレベル∼
監視セグメントが明確な場合は、
SourceIPの一覧を表示させる。
そして、リストの中に監視セグメントの
IPアドレスが含まれていないか確認を
行う。
30
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

31. ワーム(Analysis View)
∼セグメントレベル∼
ワームの活動を確認するには、Tag Nameに
[MSRPC_LSASS_Bo][SQL_SSRP_Slammer_Worm]
[MSRPC_RemoteActivate_Bo]などを追加する。
31
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

32. Analysis Viewによる表示
∼セグメントレベル∼
Source Countより、Target Countの方が
多く検知されている場合は、ワームなどに
感染した可能性がある。
その為、管理者がホストレベルでの調
査を行う必要がある。
32
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

33. Analysis Viewによる表示
∼セグメントレベル∼
33
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

34. 不正侵入を発見するポイント
∼セグメントレベル∼
攻撃側
メーカ / セキュリティベンダ / 他
悪性プログラム作成
情報交換
セキュリティホールの発見
パッチの解析
②のポイントでは、脆弱性を利用さ
れ、任意のコマンドが実行された可
メーカー等への通知 ①攻撃
能性がある。 非
公 攻
開 撃
パッチの作成 サ
イ
ク ②悪性プログラム
②悪性プログラム
④スキャン ル のダウロード
のダウロード
パッチの未適用
サーバ
③レジストリ修正
バックドアの作成
パッチの適用 •ワーム作者、ハッカー
•動機ある者
34
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

35. ②ダウロード(Analysis View)
∼セグメントレベル∼
悪性プログラムのダウンロードを確認するには、
Tag Nameに[FTP_Get][TFTP_Get]などを
追加する。
35
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

36. Analysis Viewによる表示
∼セグメントレベル∼
TFTP経由でダウロードが行われて
いる事がわかる。
現状では、TFTPを利用した感染が
一般的である。しかし、UNIX系の
侵入事例などでは、昨年からHTTP
を利用した事例が増えている。
36
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

37. 不正侵入を発見するポイント
∼セグメントレベル∼
攻撃側
メーカ / セキュリティベンダ / 他
悪性プログラム作成
情報交換
セキュリティホールの発見
パッチの解析
③のポイントでは、不正アクセスが
既に成功した可能性がある。
メーカー等への通知 ①攻撃
非
公 攻
開 撃
パッチの作成 サ
イ
ク ②悪性プログラム
④スキャン ル のダウロード
パッチの未適用
サーバ
③レジストリ修正
③レジストリ修正
バックドアの作成
バックドアの作成
パッチの適用 •ワーム作者、ハッカー
•動機ある者
37
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

38. ③バックドア(Analysis View)
∼セグメントレベル∼
バックドアなどのリモートからのアクセスを確認す
るには、Tag Nameに[*Request][*Response]
[SSH*][Telnet*]を追加する。
38
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

39. ③バックドア(Analysis View)
∼セグメントレベル∼
リモートアクセスが実行されている場合
は、送信先、送信元について調査を行う
必要がある。意図した通信でない場合は、
管理者がホストレベルでの調査を行う必
要がある。但し、一般的に管理者がすべ
ての通信を把握している事は稀である為、
発見は難しい。
39
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

40. 不正侵入を発見するポイント
∼セグメントレベル∼
攻撃側
メーカ / セキュリティベンダ / 他
悪性プログラム作成
情報交換
セキュリティホールの発見
パッチの解析
④のポイントでは、被害者か
ら加害者になる。ネットワー
メーカー等への通知 ①攻撃
非
ク回線が重いなど、影響が表
公 攻
面化する。 開 撃
パッチの作成 サ
イ
ク ②悪性プログラム
④スキャン
④スキャン ル のダウロード
パッチの未適用
サーバ
③レジストリ修正
バックドアの作成
パッチの適用 •ワーム作者、ハッカー
•動機ある者
40
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

41. ④スキャン(Analysis View)
∼セグメントレベル∼
スキャン行為を解析するには、Tag Nameに
[TCP_Network_Scan][TCP_Service_Sweep]
[Telnet_Abuse]を追加する。
41
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

42. ④スキャン(Analysis View)
∼セグメントレベル∼
Source Countより、Target Countの方が多
く検知されている場合は、送信元ホストで
ワームなどに感染した可能性がある。
その為、管理者がホストレベルでの調査を
行う必要がある。スキャンは、検知件数に
ピークが発生する為、安易に発見できる。
42
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

43. 疑問
∼セグメントレベル∼
UNIXの場合はどうなの？
ワーム以外の攻撃は？
43
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

44. Case Study1
∼セグメントレベル∼
セグメント単位 REMOTE/MOBILE
ID/PS
COMPUTING
- Firewalls
FW
- IDS/IPS
REMOTE OFFICE
ID/PS ID/PS FW
ID/PS
Management FW
ID/PS
ID/PS ID/PS
Firewall
Management
FW
■監視環境
CORPORATE INTRANET
日時：2004年12月21日∼28日
FW
ID/PS
PARTNER EXTRANET
ID/PS OS：RedHat(Apacheサーバ)
ID/PS IP：192.168.221.180
▼事例
攻撃からフィッシングサイト構築まで
44
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

45. Case Study1
∼セグメントレベル∼
2004年12月21日∼28日
の侵入検知システムに
よる検知状況である。
45
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

46. Case Study1(時系列１)
∼セグメントレベル∼
①攻撃
12/23 0:11∼0:13
経過時間 2分
②ダウンロード
12/23 0:14∼0:14
経過時間 3分
46
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

47. Case Study1(時系列１)
∼セグメントレベル∼
悪性プログラムが
保存されている
サイト
47
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

48. Case Study1(時系列２)
∼セグメントレベル∼
③バックドア
12/23 0:25∼
経過時間 14分
メール送信を確認
12/23 0:26∼0:26
経過時間 15分
48
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

49. Case Study1(時系列２)
∼セグメントレベル∼
ユーザのパスワード情報
などをフリーメールへ転送
49
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

50. Case Study1(時系列３)
∼セグメントレベル∼
④スパムメール
12/24 21:45∼
経過時間 45:34
50
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

51. Case Study1(時系列３)
∼セグメントレベル∼
フィッシングメール
51
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

52. 実践偏
∼セグメントレベル∼
とりあえず発見手法を試してみよう
でも不安
52
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

53. Case Study1(①攻撃)
∼セグメントレベル∼
検知した攻撃は、監視セグメントの
IPアドレスは含まれていなかった。
53
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

54. Case Study1(②ダウロード)
∼セグメントレベル∼
悪性プログラムのダウロードを確認
3.txt 2.txt Pulamea.tgz Armand.tgz
電子メール ルートキット フィッシングサイト
54
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

55. Case Study1(③バックドア)
∼セグメントレベル∼
このアクセスは、攻撃者がバックド
ア(SSH)へ接続している様子である。
Port121は、攻撃者によって作成され
たバックドアである。
55
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

56. Case Study1(④スキャン)
∼セグメントレベル∼
このアクセスは、攻撃者
が複数のアドレスに対し
て、メールを送信してい
る様子である。
56
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

57. まとめ
∼セグメントレベル∼
セグメントレベルの場合は、攻撃の初期
段階から発見することができる。
57
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

58. 監視範囲
∼企業レベル∼
企業単位 REMOTE/MOBILE
ID/PS
COMPUTING
- Firewalls
- ID/PS 24×365
FW
REMOTE OFFICE
ID/PS FW
ID/PS
Management FW
ID/PS
ID/PS ID/PS
Firewall
Management
FW
CORPORATE INTRANET
FW
ID/PS
PARTNER EXTRANET
ID/PS
ID/PS
58
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

59. まとめ
∼企業レベル∼
脆弱性情報やワーム情報などの情報収集
が必要である。
攻撃の初期段階で迅速に対応する必要が
ある。
24時間365日の対応が必要である。
59
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

60. 監視範囲
∼グローバルレベル∼
REMOTE/MOBILE
COMPUTING
REMOTE OFFICE
CORPORATE INTRANET
PARTNER EXTRANET
60
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

61. インターネット上の脅威分析
∼グローバルレベル∼
宣伝です
総合分析
社会動性
US SOC
テロや紛争など インターネットリスクレベル
GTOC X-Force Global Threat Analysis Center
分析情報配信
X-Force
監視・防御シグネチャを提供
SOC
新しい脆弱性の発見
世界 5 箇所のSOCで検知されたイベント状況により連動
新しい攻撃手法、ツール
X-FORCEは常に最新のシグネチャをリアルタイムに提供
ハッカーの動性
日本語・英語によるオペレータ対応ー海外拠点を持つ企業
High Risk Advisories 1998-2003
各国のSOC 61
© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.