林永熙日本電腦網路危機處理暨協調中心

日本近期資安事件 

林永熙 

日本電腦網路危機處理暨協調中心

主題 

中心簡介 

資料庫注射攻擊 

網域名稱伺服器快取毒害 

資料外洩事件 

釣魚網站 

目標式攻擊 

韓國七月網路攻擊事件 

Copyright® 2009 JPCERT/CC All rights reserved. 3

中心簡介

成立歷史 

1996 

1992 

1998 

開始自願性 ( 自發 ) 事件處理活動 

2003 

2004 

2006 


成立歷史 

1996 

1992 

1998 

以下列名稱成立 

日本電腦網路危機處理暨協調中心 ” 

2003 

2004 

2006 


成立歷史 

1996 

1992 

1998 

加入國際組織 “ 

2003 

2004 

2006 


成立歷史 

1996 

1992 

1998 

正式註冊登記法源根據 

擔任 

秘書處執行局 

2003 

2004 

2006 


成立歷史 

1996 

1992 

1998 

日本經濟產業省正式指定為 

“ 軟體漏洞處理協調機關 ” 

2003 

2004 

2006 


成立歷史 

1996 

1992 

1998 

日本總務省經濟產業省合作計劃 

擔任僵屍網路分析 

2003 

2004 

2006 


組織 

殭屍網路 

1996 - 2003 - 2004 - 2005 - 

2006 - 

預防工作 

觀察及警報 

漏洞處理 

即時處理 

事後處理 

流量監測 

ISDAS 

事件處理 


運作模式 

國際 

CSIRT community 

FIRST 

・資訊共享 

・協同處理 

APCERT 

外國 CSIRT 

國內 

軟體廠商 

政府機關 

網路服務商 

業界團體 

・事件處理 

・漏洞處理 

・警報發訊 

・培訓課程 

・工具開發 

執法機關 

傳播媒體 

國內 CSIRT 

末端用戶 

Copyright® 2009 JPCERT/CC All rights reserved. 

12

網路用戶人口 

總人口 :1 億 2 千萬 

網際網路用戶 

9 千萬 

24.7% 

75.3% 

非用戶 

2 千 9 百萬 

Copyright® 2009 JPCERT/CC All rights reserved. 出處 : 総務省 

13 

平成年版情報通信白書

網路用戶數與普及率 


出處 : 総務省 

平成年版情報通信白書 

14

寬頻用戶 

26.6% 

窄頻 

73.4% 

寬頻 

61% 

其他 

39% 

光纖 


16

平均連接速度 

羅馬尼亞 

香港 

日本 

7.6 M 

8 M 

韓國 

11M 

瑞典 

5.8 M 


6.9 M 

世界國平均 : 

參考 :Akamai 調査 

http://internet.watch.impress.co.jp/docs/news/20091002_319252.html 

17

頻寬月費比較 - 

東京 A 

東京 B 

紐約 

倫敦 

巴黎 

斯德哥爾摩 

杜塞爾多夫 

首爾 


参考 : 総務省平成 20 年度電気通信サービスに係る内外価格差に関する調査 

http://www.soumu.go.jp/main_content/000033579.pdf#2 

18

平均月費 - 

價格 

東京 A 

東京 B 

紐約 

倫敦 

巴黎 



首爾 




19

月費 - 有線電視 

東京 

紐約 

倫敦 

巴黎 



首爾 




20

月費 - 光纖 

東京 A 

東京 B 

紐約 

巴黎 



首爾 




21

光纖與 

消長 




22

網際網路總流量 : 超過 




23

連網方式 

行動電話 , 

百萬 

百萬 


遊戲機 , 電視 

百萬 


http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h21/index.html 

24

資料庫注射攻擊

資料庫注射攻擊原理 

攻擊 

網站伺服器 

資料庫伺服器 

輸入文字 

網站軟體程式 

資料庫引擎 

攻擊手法 

文字組合 

命令 

解釋執行 

資料庫 

入侵 

參考 :IPA ( 情報處理推進機構 ) 

Copyright® 2009 JPCERT/CC All rights reserved. 26 

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c908.html

典型資料庫注射攻擊 

資料外洩 

http://www.victim.com/index.asp?a=1; 

DROP TABLE ImportantTable・・ 

攻擊者 

受害者 


27

最近的資料庫注射攻擊第一階段 

資料庫被修改 , 

植入惡意腳本 

攻擊者 

受害站 


28

最近的資料庫注射攻擊第二階段 

1 連接受害者 

2 執行惡意腳本 

受害站 

受害者 

3 下載惡意代碼 

4 執行惡意代碼 


惡意站 

29

年傾向 

• 輸入不被允許之 

SQL 語言指令 

• 竊取資料庫資料 

攻擊應用程式 

漏洞 

攻擊目標 

•99.99% 資料庫 ( 

用戶資料 ) 

• 單純竊取資料庫 

• 竄改網頁 

• 植入惡意聯結 

• 感染惡意程式碼 

• 網站訪客 

攻擊目標 

攻擊應用程式 

漏洞 


參考 

第四頁 

31

參考數據 

資料庫注射攻擊事件 

攻擊工具 

工具改良 

應用搜索引擎 


參考 

32

攻擊來源 

參考 


33

更加進化之攻擊 

利用 cookie ( 暫存資訊 ) 

設計模糊化攻擊程式碼 

• 迴避入侵檢測系統 (IDS) 與入侵防禦系統 (IPS) 之檢測 

• 系統管理者不易察覺 

攻擊來源 

• 木馬 , 網路機器人 

攻擊對象 

• 使用微軟伺服器 IIS/ASP/ASP.NET 之網站 

竄改資料庫 

利用漏洞 

•RealPlayer 或 MDAC 漏洞 (MS06-014) 

參考 


第四頁

因應對策 

許多網站連結資料庫運作 

以提供更多服務 

亮然有多數網站 

未採取防範措施 

系統管理端 ( 應用程式撰寫者 ) 

• 設計階段即講求對策 

• 亮然有多數網站未採取防範措施 

• 實施漏洞掃瞄 

• 客戶端不顯示資料庫系統訊息 

客戶端 

• 操作系統 / 軟體保持更新 

• 裝設新版防毒軟體 


案例 : 

年月 

音響器材 

網上購物 

網站公開 

道歉函 

音響屋 

資料庫注 

射攻擊 

・ 

・ 

・日幣用戶 

・所有個人資料可能外漏對象 

公司賠償 

[ 現金劵 ] 

用戶信用 

卡號遭竊 

・用戶 

・” 現實金錢交易 ” 


網域名稱伺服器快取毒害

毒害原理 

用戶端 

快取伺服器 

攻擊者 

2 

1 

3 

偽造網站 

× 

1 謊稱正規網站 → 偽造網站 ” 

2 用戶查詢上述網站得到假資訊 

3 用戶被導至偽造網站而不自知 

正規網站 


參考 :IPA ( 情報處理推進機構 )

實質受害 

美國 ISP 2008/08 ? 

日本 

~ 

2009/01 

報告 :792 

• 修正完畢 :108 


毒害漏洞報告數 

69 64 62 

參考 :IPA ( 情報處理推進機構 ) 


因應對策 

採用 

補 

・尚未普及 

漏洞 

・指定任意通訊埠 

・留意設定是否正確 

停止 ” 遞迴查詢 ” 

・ 

・快取伺服器利用防火牆以侷限查詢 

・迴避來自外部攻擊 


42

資料外洩事件

資料外洩 

2008 年 

2009/04/17 

外洩 

723 萬 2763 人資料 

事件數 1373 件 

•( 平均 5668 人 / 件 ) 

預測損失 2,367 億 

2,529 萬日幣 

2008/11/13 

日本 IBM 關係企 

業 

高中學生資料外 

洩 

神奈川縣 

三菱 UFJ 証券 

帶出 148 萬人資料 

名單 

販售至相關業者 

• 近 80 個業者 

擅自帶出 

P2P:Share 


情報外洩報告書 

44

Winny 

•WinMX 下一個世代 

•2002 年開始下載 

• 軟體製作者 : 東京大學助理 

採取完全的 P2P 方式 

• 不需要中央伺服器 

• 非常堅牢 

• 傳輸數據時經由多節點以庫存暫存資訊 

• 一旦開始運作即幾乎無法予以停止 

通訊加密處理 

資訊轉移機能 

• 加到下載清單及自動開始 


病毒 

蓄意資訊外洩病毒 

•“ 暴露病毒 ” 

•2004 年出現一系列「山田病毒」、「欄検眼段」等 

• 將原本非公開公佈之個人檔案夾惡意公開 

外洩內容 

• 企業之商業機密 , 個人聊天 , 郵件記錄 , 數位相機照片 

• 螢幕擷取 ( 含正在非法傳輸資訊畫面 ), 桌面個人檔案 

自動安裝網站伺服器 

• 定時公開 : 桌面螢幕擷取 , 及用戶硬碟所有內容 

用戶幾乎無法察覺 

• 縱使察覺為時已晚 

已外洩檔案無法刪除或停止散播 


作者、病毒作者 

法律追訴 

Winny 作者 

•2006/12 一審京都地裁 

• 判 150 万円罰金 ( 求刑懲役 1 年 ) 

•2009/10/08 大阪高等裁判所 

• 無罪 

P2P 病毒作者 

•2008/01 逮捕 - 大阪府大學研究所學生 

• 違反著作權 : 卡通『CLANNAD』 


波及外洩事件組織 

公家機關 

警察 

自衛隊 

郵政公社 

監獄 , 法院 

核能發電所 

民間組織 

初高中大學 

醫院 

電話公司 

保險公司 

報社 

消防隊 


釣魚網站

網站報告數量 


50

釣魚網站之處置 

釣魚網站目標 ( 帳號 / 密碼 ) 

• 本地銀行 ( 外國網站被入侵 ) 

• 外國銀行 ( 本地網站被入侵 ) 

•ISP 網路服務提供商 

•SNS 社群網站 

與本地 ISP 服務提供商合作 

• 聯絡網管 ,ISP 服務提供商 

• 大多數皆理解活動宗旨 

• 協助應對釣魚網站 

• 移除有害網頁 


51

近來大量國內釣魚信件 


52

目標式社交工程攻擊

目標式社交工程攻擊 

手法 

• 亭裝郵件帶有敏感內容 , 來自特定組織 

• 鎖定特定收信族群 

• 植入惡意程式木馬 , 進行鍵盤輸入側錄 , 收集用戶相關資料上傳給遠端攻擊者 

• 收件者開啟惡意程式附件後被植入惡意後門程式 

添附檔案 pdf, word, ppt 

• 利用漏洞植入惡意程式 

2007 年調査 

•6.4 % 受訪者表示曾遭受到攻擊 


54

近幾次攻擊事件 

2006 

• 靶標 : 警察「如何應對醜聞」 

• 靶標 : 防衛廳「下一期防衛計劃書」 

• 靶標 : 企業「對日 AD 情報」(AD = 反傾銷 ) 

2007 

• 偽稱 : 「2007 年度計畫」 

• 偽稱 : 國際協力機構 (JiCA) 

2008 

※ 5/1 豬流感 

• 偽稱 : 情報處理推進機構 (IPA) 

•「網路安全調查報告 ,[ 惡意檔案 ] 調查報告書 .pdf」 

• 偽稱 : 社団法人情報処理学会 , 徵稿論文 pdf 檔案 


55

因應方案 

郵件確認 

注意郵件標頭 

• 機關組織內部聯絡郵件 , 不應發送自內網之外 

•SPF (Sender Policy Framework) 發送方策略框架 

• 防止偽裝網域發信 

•DKIM(DomainKeys Identified Mail) 名密鑰識別郵件 

• 監視網域通信 

•PGP, s/mine 加密簽名 

員工教育 

操練演習 ( 預防接種 ) 

社交工程 


56

預防接種演習測試 

方法 

• 郵件添附無害執行檔 

• 統計檔案被執行率 

目的 

• 養成組織員工習慣 

• 不打開可疑信件 

演習 

對象 

• 研究機關 

• 網站公司 

• 網路安全公司 

• 地方政府 

成效 


57

郵件例 


58

內部員工檢測結果 

第一次檢測 

•2/25 人 (8%) 

• 文章難易度 : 簡單 

第二次檢測 

•5/25 人 (20%) 

• 文章難易度 : 難 

第四次檢測 

•1/25 人 (4%) 

• 文章難易度 : 艱難 

第三次檢測 

•2/25 人 (8%) 

• 文章難易度 : 艱難 


60

測試總結 

事實 

收穫 


61

參考文件 

年十大威脅 

出版 

獨立行政法人情報處理推進機構 

資訊安全檢討會 

相關人員名組成 

企業研究所學術代表政府官員 

三大類 

對於機關之威脅事件 

對於個人之威脅事件 

對於系統管理者之威脅事件 


謝謝各位 

與我連絡 

林永熙 

網路安全分析 

觀察及警報小組 

日本電腦網路危機處理暨協調中心

林永熙日本電腦網路危機處理暨協調中心

Create successful ePaper yourself

Delete template?

Save as template?