林永熙日本電腦網路危機處理暨協調中心
林永熙日本電腦網路危機處理暨協調中心
林永熙日本電腦網路危機處理暨協調中心
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
日 本 近 期 資 安 事 件<br />
林 永 熙<br />
日 本 電 腦 網 路 危 機 處 理 暨 協 調 中 心
主 題<br />
中 心 簡 介<br />
資 料 庫 注 射 攻 擊<br />
網 域 名 稱 伺 服 器 快 取 毒 害<br />
資 料 外 洩 事 件<br />
釣 魚 網 站<br />
目 標 式 攻 擊<br />
韓 國 七 月 網 路 攻 擊 事 件<br />
Copyright® 2009 JPCERT/CC All rights reserved. 3
中 心 簡 介
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
開 始 自 願 性 ( 自 發 ) 事 件 處 理 活 動<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 5
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
以 下 列 名 稱 成 立<br />
日 本 電 腦 網 路 危 機 處 理 暨 協 調 中 心 ”<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 6
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
加 入 國 際 組 織 “<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 7
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
正 式 註 冊 登 記 法 源 根 據<br />
擔 任<br />
秘 書 處 執 行 局<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 8
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
日 本 經 濟 產 業 省 正 式 指 定 為<br />
“ 軟 體 漏 洞 處 理 協 調 機 關 ”<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 9
成 立 歷 史<br />
1996<br />
1992<br />
1998<br />
日 本 總 務 省 經 濟 產 業 省 合 作 計 劃<br />
擔 任 僵 屍 網 路 分 析<br />
2003<br />
2004<br />
2006<br />
Copyright® 2009 JPCERT/CC All rights reserved. 10
組 織<br />
殭 屍 網 路<br />
1996 - 2003 - 2004 - 2005 -<br />
2006 -<br />
預 防 工 作<br />
觀 察 及 警 報<br />
漏 洞 處 理<br />
即 時 處 理<br />
事 後 處 理<br />
流 量 監 測<br />
ISDAS<br />
事 件 處 理<br />
Copyright® 2009 JPCERT/CC All rights reserved. 11
運 作 模 式<br />
國 際<br />
CSIRT community<br />
FIRST<br />
・ 資 訊 共 享<br />
・ 協 同 處 理<br />
APCERT<br />
外 國 CSIRT<br />
國 內<br />
軟 體 廠 商<br />
政 府 機 關<br />
網 路 服 務 商<br />
業 界 團 體<br />
・ 事 件 處 理<br />
・ 漏 洞 處 理<br />
・ 警 報 發 訊<br />
・ 培 訓 課 程<br />
・ 工 具 開 發<br />
執 法 機 關<br />
傳 播 媒 體<br />
國 內 CSIRT<br />
末 端 用 戶<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
12
網 路 用 戶 人 口<br />
總 人 口 :1 億 2 千 萬<br />
網 際 網 路 用 戶<br />
9 千 萬<br />
24.7%<br />
75.3%<br />
非 用 戶<br />
2 千 9 百 萬<br />
Copyright® 2009 JPCERT/CC All rights reserved. 出 處 : 総 務 省<br />
13<br />
平 成 年 版 情 報 通 信 白 書
網 路 用 戶 數 與 普 及 率<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
出 處 : 総 務 省<br />
平 成 年 版 情 報 通 信 白 書<br />
14
寬 頻 用 戶<br />
26.6%<br />
窄 頻<br />
73.4%<br />
寬 頻<br />
61%<br />
其 他<br />
39%<br />
光 纖<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
16
平 均 連 接 速 度<br />
羅 馬 尼 亞<br />
香 港<br />
日 本<br />
7.6 M<br />
8 M<br />
韓 國<br />
11M<br />
瑞 典<br />
5.8 M<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
6.9 M<br />
世 界 國 平 均 :<br />
參 考 :Akamai 調 査<br />
http://internet.watch.impress.co.jp/docs/news/20091002_319252.html<br />
17
頻 寬 月 費 比 較 -<br />
東 京 A<br />
東 京 B<br />
紐 約<br />
倫 敦<br />
巴 黎<br />
斯 德 哥 爾 摩<br />
杜 塞 爾 多 夫<br />
首 爾<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
参 考 : 総 務 省 平 成 20 年 度 電 気 通 信 サービスに 係 る 内 外 価 格 差 に 関 する 調 査<br />
http://www.soumu.go.jp/main_content/000033579.pdf#2<br />
18
平 均 月 費 -<br />
價 格<br />
東 京 A<br />
東 京 B<br />
紐 約<br />
倫 敦<br />
巴 黎<br />
斯 德 哥 爾 摩<br />
杜 塞 爾 多 夫<br />
首 爾<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
参 考 : 総 務 省 平 成 20 年 度 電 気 通 信 サービスに 係 る 内 外 価 格 差 に 関 する 調 査<br />
http://www.soumu.go.jp/main_content/000033579.pdf#2<br />
19
月 費 - 有 線 電 視<br />
東 京<br />
紐 約<br />
倫 敦<br />
巴 黎<br />
杜 塞 爾 多 夫<br />
斯 德 哥 爾 摩<br />
首 爾<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
参 考 : 総 務 省 平 成 20 年 度 電 気 通 信 サービスに 係 る 内 外 価 格 差 に 関 する 調 査<br />
http://www.soumu.go.jp/main_content/000033579.pdf#2<br />
20
月 費 - 光 纖<br />
東 京 A<br />
東 京 B<br />
紐 約<br />
巴 黎<br />
杜 塞 爾 多 夫<br />
斯 德 哥 爾 摩<br />
首 爾<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
参 考 : 総 務 省 平 成 20 年 度 電 気 通 信 サービスに 係 る 内 外 価 格 差 に 関 する 調 査<br />
http://www.soumu.go.jp/main_content/000033579.pdf#2<br />
21
光 纖 與<br />
消 長<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
出 處 : 総 務 省<br />
平 成 年 版 情 報 通 信 白 書<br />
22
網 際 網 路 總 流 量 : 超 過<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
出 處 : 総 務 省<br />
平 成 年 版 情 報 通 信 白 書<br />
23
連 網 方 式<br />
行 動 電 話 ,<br />
百 萬<br />
百 萬<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
遊 戲 機 , 電 視<br />
百 萬<br />
参 考 : 総 務 省 平 成 20 年 度 電 気 通 信 サービスに 係 る 内 外 価 格 差 に 関 する 調 査<br />
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h21/index.html<br />
24
資 料 庫 注 射 攻 擊
資 料 庫 注 射 攻 擊 原 理<br />
攻 擊<br />
網 站 伺 服 器<br />
資 料 庫 伺 服 器<br />
輸 入 文 字<br />
網 站 軟 體 程 式<br />
資 料 庫 引 擎<br />
攻 擊 手 法<br />
文 字 組 合<br />
命 令<br />
解 釋 執 行<br />
資 料 庫<br />
入 侵<br />
參 考 :IPA ( 情 報 處 理 推 進 機 構 )<br />
Copyright® 2009 JPCERT/CC All rights reserved. 26<br />
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c908.html
典 型 資 料 庫 注 射 攻 擊<br />
資 料 外 洩<br />
http://www.victim.com/index.asp?a=1;<br />
DROP TABLE ImportantTable・・<br />
攻 擊 者<br />
受 害 者<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
27
最 近 的 資 料 庫 注 射 攻 擊 第 一 階 段<br />
資 料 庫 被 修 改 ,<br />
植 入 惡 意 腳 本<br />
攻 擊 者<br />
受 害 站<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
28
最 近 的 資 料 庫 注 射 攻 擊 第 二 階 段<br />
1 連 接 受 害 者<br />
2 執 行 惡 意 腳 本<br />
受 害 站<br />
受 害 者<br />
3 下 載 惡 意 代 碼<br />
4 執 行 惡 意 代 碼<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
惡 意 站<br />
29
年 傾 向<br />
• 輸 入 不 被 允 許 之<br />
SQL 語 言 指 令<br />
• 竊 取 資 料 庫 資 料<br />
攻 擊 應 用 程 式<br />
漏 洞<br />
攻 擊 目 標<br />
•99.99% 資 料 庫 (<br />
用 戶 資 料 )<br />
• 單 純 竊 取 資 料 庫<br />
• 竄 改 網 頁<br />
• 植 入 惡 意 聯 結<br />
• 感 染 惡 意 程 式 碼<br />
• 網 站 訪 客<br />
攻 擊 目 標<br />
攻 擊 應 用 程 式<br />
漏 洞<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
參 考<br />
第 四 頁<br />
31
參 考 數 據<br />
資 料 庫 注 射 攻 擊 事 件<br />
攻 擊 工 具<br />
工 具 改 良<br />
應 用 搜 索 引 擎<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
參 考<br />
32
攻 擊 來 源<br />
參 考<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
33
更 加 進 化 之 攻 擊<br />
利 用 cookie ( 暫 存 資 訊 )<br />
設 計 模 糊 化 攻 擊 程 式 碼<br />
• 迴 避 入 侵 檢 測 系 統 (IDS) 與 入 侵 防 禦 系 統 (IPS) 之 檢 測<br />
• 系 統 管 理 者 不 易 察 覺<br />
攻 擊 來 源<br />
• 木 馬 , 網 路 機 器 人<br />
攻 擊 對 象<br />
• 使 用 微 軟 伺 服 器 IIS/ASP/ASP.NET 之 網 站<br />
竄 改 資 料 庫<br />
利 用 漏 洞<br />
•RealPlayer 或 MDAC 漏 洞 (MS06-014)<br />
參 考<br />
Copyright® 2009 JPCERT/CC All rights reserved. 35<br />
第 四 頁
因 應 對 策<br />
許 多 網 站 連 結 資 料 庫 運 作<br />
以 提 供 更 多 服 務<br />
亮 然 有 多 數 網 站<br />
未 採 取 防 範 措 施<br />
系 統 管 理 端 ( 應 用 程 式 撰 寫 者 )<br />
• 設 計 階 段 即 講 求 對 策<br />
• 亮 然 有 多 數 網 站 未 採 取 防 範 措 施<br />
• 實 施 漏 洞 掃 瞄<br />
• 客 戶 端 不 顯 示 資 料 庫 系 統 訊 息<br />
客 戶 端<br />
• 操 作 系 統 / 軟 體 保 持 更 新<br />
• 裝 設 新 版 防 毒 軟 體<br />
Copyright® 2009 JPCERT/CC All rights reserved. 36
案 例 :<br />
年 月<br />
音 響 器 材<br />
網 上 購 物<br />
網 站 公 開<br />
道 歉 函<br />
音 響 屋<br />
資 料 庫 注<br />
射 攻 擊<br />
・<br />
・<br />
・ 日 幣 用 戶<br />
・ 所 有 個 人 資 料 可 能 外 漏 對 象<br />
公 司 賠 償<br />
[ 現 金 劵 ]<br />
用 戶 信 用<br />
卡 號 遭 竊<br />
・ 用 戶<br />
・” 現 實 金 錢 交 易 ”<br />
Copyright® 2009 JPCERT/CC All rights reserved. 37
網 域 名 稱 伺 服 器 快 取 毒 害
毒 害 原 理<br />
用 戶 端<br />
快 取 伺 服 器<br />
攻 擊 者<br />
2<br />
1<br />
3<br />
偽 造 網 站<br />
×<br />
1 謊 稱 正 規 網 站 → 偽 造 網 站 ”<br />
2 用 戶 查 詢 上 述 網 站 得 到 假 資 訊<br />
3 用 戶 被 導 至 偽 造 網 站 而 不 自 知<br />
正 規 網 站<br />
Copyright® 2009 JPCERT/CC All rights reserved. 39<br />
參 考 :IPA ( 情 報 處 理 推 進 機 構 )
實 質 受 害<br />
美 國 ISP 2008/08 ?<br />
日 本<br />
~<br />
2009/01<br />
報 告 :792<br />
• 修 正 完 畢 :108<br />
Copyright® 2009 JPCERT/CC All rights reserved. 40
毒 害 漏 洞 報 告 數<br />
69 64 62<br />
參 考 :IPA ( 情 報 處 理 推 進 機 構 )<br />
Copyright® 2009 JPCERT/CC All rights reserved. 41
因 應 對 策<br />
採 用<br />
補<br />
・ 尚 未 普 及<br />
漏 洞<br />
・ 指 定 任 意 通 訊 埠<br />
・ 留 意 設 定 是 否 正 確<br />
停 止 ” 遞 迴 查 詢 ”<br />
・<br />
・ 快 取 伺 服 器 利 用 防 火 牆 以 侷 限 查 詢<br />
・ 迴 避 來 自 外 部 攻 擊<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
42
資 料 外 洩 事 件
資 料 外 洩<br />
2008 年<br />
2009/04/17<br />
外 洩<br />
723 萬 2763 人 資 料<br />
事 件 數 1373 件<br />
•( 平 均 5668 人 / 件 )<br />
預 測 損 失 2,367 億<br />
2,529 萬 日 幣<br />
2008/11/13<br />
日 本 IBM 關 係 企<br />
業<br />
高 中 學 生 資 料 外<br />
洩<br />
神 奈 川 縣<br />
三 菱 UFJ 証 券<br />
帶 出 148 萬 人 資 料<br />
名 單<br />
販 售 至 相 關 業 者<br />
• 近 80 個 業 者<br />
擅 自 帶 出<br />
P2P:Share<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
情 報 外 洩 報 告 書<br />
44
Winny<br />
•WinMX 下 一 個 世 代<br />
•2002 年 開 始 下 載<br />
• 軟 體 製 作 者 : 東 京 大 學 助 理<br />
採 取 完 全 的 P2P 方 式<br />
• 不 需 要 中 央 伺 服 器<br />
• 非 常 堅 牢<br />
• 傳 輸 數 據 時 經 由 多 節 點 以 庫 存 暫 存 資 訊<br />
• 一 旦 開 始 運 作 即 幾 乎 無 法 予 以 停 止<br />
通 訊 加 密 處 理<br />
資 訊 轉 移 機 能<br />
• 加 到 下 載 清 單 及 自 動 開 始<br />
Copyright® 2009 JPCERT/CC All rights reserved. 45
病 毒<br />
蓄 意 資 訊 外 洩 病 毒<br />
•“ 暴 露 病 毒 ”<br />
•2004 年 出 現 一 系 列 「 山 田 病 毒 」、「 欄 検 眼 段 」 等<br />
• 將 原 本 非 公 開 公 佈 之 個 人 檔 案 夾 惡 意 公 開<br />
外 洩 內 容<br />
• 企 業 之 商 業 機 密 , 個 人 聊 天 , 郵 件 記 錄 , 數 位 相 機 照 片<br />
• 螢 幕 擷 取 ( 含 正 在 非 法 傳 輸 資 訊 畫 面 ), 桌 面 個 人 檔 案<br />
自 動 安 裝 網 站 伺 服 器<br />
• 定 時 公 開 : 桌 面 螢 幕 擷 取 , 及 用 戶 硬 碟 所 有 內 容<br />
用 戶 幾 乎 無 法 察 覺<br />
• 縱 使 察 覺 為 時 已 晚<br />
已 外 洩 檔 案 無 法 刪 除 或 停 止 散 播<br />
Copyright® 2009 JPCERT/CC All rights reserved. 46
作 者 、 病 毒 作 者<br />
法 律 追 訴<br />
Winny 作 者<br />
•2006/12 一 審 京 都 地 裁<br />
• 判 150 万 円 罰 金 ( 求 刑 懲 役 1 年 )<br />
•2009/10/08 大 阪 高 等 裁 判 所<br />
• 無 罪<br />
P2P 病 毒 作 者<br />
•2008/01 逮 捕 - 大 阪 府 大 學 研 究 所 學 生<br />
• 違 反 著 作 權 : 卡 通 『CLANNAD』<br />
Copyright® 2009 JPCERT/CC All rights reserved. 47
波 及 外 洩 事 件 組 織<br />
公 家 機 關<br />
警 察<br />
自 衛 隊<br />
郵 政 公 社<br />
監 獄 , 法 院<br />
核 能 發 電 所<br />
民 間 組 織<br />
初 高 中 大 學<br />
醫 院<br />
電 話 公 司<br />
保 險 公 司<br />
報 社<br />
消 防 隊<br />
Copyright® 2009 JPCERT/CC All rights reserved. 48
釣 魚 網 站
網 站 報 告 數 量<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
50
釣 魚 網 站 之 處 置<br />
釣 魚 網 站 目 標 ( 帳 號 / 密 碼 )<br />
• 本 地 銀 行 ( 外 國 網 站 被 入 侵 )<br />
• 外 國 銀 行 ( 本 地 網 站 被 入 侵 )<br />
•ISP 網 路 服 務 提 供 商<br />
•SNS 社 群 網 站<br />
與 本 地 ISP 服 務 提 供 商 合 作<br />
• 聯 絡 網 管 ,ISP 服 務 提 供 商<br />
• 大 多 數 皆 理 解 活 動 宗 旨<br />
• 協 助 應 對 釣 魚 網 站<br />
• 移 除 有 害 網 頁<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
51
近 來 大 量 國 內 釣 魚 信 件<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
52
目 標 式 社 交 工 程 攻 擊
目 標 式 社 交 工 程 攻 擊<br />
手 法<br />
• 亭 裝 郵 件 帶 有 敏 感 內 容 , 來 自 特 定 組 織<br />
• 鎖 定 特 定 收 信 族 群<br />
• 植 入 惡 意 程 式 木 馬 , 進 行 鍵 盤 輸 入 側 錄 , 收 集 用 戶 相 關 資 料 上 傳 給 遠 端 攻 擊 者<br />
• 收 件 者 開 啟 惡 意 程 式 附 件 後 被 植 入 惡 意 後 門 程 式<br />
添 附 檔 案 pdf, word, ppt<br />
• 利 用 漏 洞 植 入 惡 意 程 式<br />
2007 年 調 査<br />
•6.4 % 受 訪 者 表 示 曾 遭 受 到 攻 擊<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
54
近 幾 次 攻 擊 事 件<br />
2006<br />
• 靶 標 : 警 察 「 如 何 應 對 醜 聞 」<br />
• 靶 標 : 防 衛 廳 「 下 一 期 防 衛 計 劃 書 」<br />
• 靶 標 : 企 業 「 對 日 AD 情 報 」(AD = 反 傾 銷 )<br />
2007<br />
• 偽 稱 : 「2007 年 度 計 畫 」<br />
• 偽 稱 : 國 際 協 力 機 構 (JiCA)<br />
2008<br />
※ 5/1 豬 流 感<br />
• 偽 稱 : 情 報 處 理 推 進 機 構 (IPA)<br />
•「 網 路 安 全 調 查 報 告 ,[ 惡 意 檔 案 ] 調 查 報 告 書 .pdf」<br />
• 偽 稱 : 社 団 法 人 情 報 処 理 学 会 , 徵 稿 論 文 pdf 檔 案<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
55
因 應 方 案<br />
郵 件 確 認<br />
注 意 郵 件 標 頭<br />
• 機 關 組 織 內 部 聯 絡 郵 件 , 不 應 發 送 自 內 網 之 外<br />
•SPF (Sender Policy Framework) 發 送 方 策 略 框 架<br />
• 防 止 偽 裝 網 域 發 信<br />
•DKIM(DomainKeys Identified Mail) 名 密 鑰 識 別 郵 件<br />
• 監 視 網 域 通 信<br />
•PGP, s/mine 加 密 簽 名<br />
員 工 教 育<br />
操 練 演 習 ( 預 防 接 種 )<br />
社 交 工 程<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
56
預 防 接 種 演 習 測 試<br />
方 法<br />
• 郵 件 添 附 無 害 執 行 檔<br />
• 統 計 檔 案 被 執 行 率<br />
目 的<br />
• 養 成 組 織 員 工 習 慣<br />
• 不 打 開 可 疑 信 件<br />
演 習<br />
對 象<br />
• 研 究 機 關<br />
• 網 站 公 司<br />
• 網 路 安 全 公 司<br />
• 地 方 政 府<br />
成 效<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
57
郵 件 例<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
58
內 部 員 工 檢 測 結 果<br />
第 一 次 檢 測<br />
•2/25 人 (8%)<br />
• 文 章 難 易 度 : 簡 單<br />
第 二 次 檢 測<br />
•5/25 人 (20%)<br />
• 文 章 難 易 度 : 難<br />
第 四 次 檢 測<br />
•1/25 人 (4%)<br />
• 文 章 難 易 度 : 艱 難<br />
第 三 次 檢 測<br />
•2/25 人 (8%)<br />
• 文 章 難 易 度 : 艱 難<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
60
測 試 總 結<br />
事 實<br />
收 穫<br />
Copyright® 2009 JPCERT/CC All rights reserved.<br />
61
參 考 文 件<br />
年 十 大 威 脅<br />
出 版<br />
獨 立 行 政 法 人 情 報 處 理 推 進 機 構<br />
資 訊 安 全 檢 討 會<br />
相 關 人 員 名 組 成<br />
企 業 研 究 所 學 術 代 表 政 府 官 員<br />
三 大 類<br />
對 於 機 關 之 威 脅 事 件<br />
對 於 個 人 之 威 脅 事 件<br />
對 於 系 統 管 理 者 之 威 脅 事 件<br />
Copyright® 2009 JPCERT/CC All rights reserved. 72
謝 謝 各 位<br />
與 我 連 絡<br />
林 永 熙<br />
網 路 安 全 分 析<br />
觀 察 及 警 報 小 組<br />
日 本 電 腦 網 路 危 機 處 理 暨 協 調 中 心<br />
Copyright® 2009 JPCERT/CC All rights reserved. 73