telecom-isac japanの活動を通じて 得られた知見 …// 会員企業 会長:...
TRANSCRIPT
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
Telecom-ISAC Japanの活動を通じて得られた知見と情報共有の必要性
一般財団法人日本データ通信協会
テレコム・アイザック推進会議
シニアリサーチャー
則武 智
IPA重要インフラ情報セキュリティシンポジウム2013
2013年2月22日(ベルサール飯田橋駅前)
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
● 2002年7月に日本で最初のISACとして発足
● 通信事業者の商用サービスの安全かつ安心な運用の確立を目的に、テレコム通信事業者を含む会員が関連情報を共有分析し、業界横断的な問題に対してタイムリーな対策をとる場を提供する活動を行う
● 世界に広がるサイバー空間の中で、「日本(jpドメイン)」が消失しないようサイバー脅威からネットワークを守る
● 事業者単独では手に負えない大規模なサイバー脅威に共同で立ち向かう「互助会型」の通信事業者連携
● ビジネス競合関係にある国内大手ISPが、会社の壁を越えて協力・連携するための会費会員制の民間組織
https://www.telecom-isac.jp/
会員企業
会長: NECビッグローブ株式会社
副会長: NTT コミュニケ―ションズ株式会社、ニフティ株式会社、一般財団法人日本データ通信協会
会員企業: 日本電気株式会社 、NTTコミュニケーションズ株式会社 、KDDI株式会社 、株式会社NTTドコモ、
株式会社インターネットイニシアティブ 、ニフティ株式会社、株式会社日立製作所、沖電気工業株式会社 、
ソフトバンクBB株式会社、東日本電信電話株式会社、西日本電信電話株式会社、日本電信電話株式会社、
株式会社KDDI研究所 、NECビッグローブ株式会社 、富士通株式会社 、インターネットマルチフィード株式会社 、
NTTコムテクノロジー株式会社 、エヌ・ティ・ティ・データ先端技術株式会社 、ソネットエンタテインメント株式会社
アライアンスメンバー: 株式会社ラック 、日本アイ・ビー・エム株式会社、トレンドマイクロ株式会社 、
マイクロソフト株式会社 、株式会社サイバーディフェンス研究所 、
株式会社フォティーンフォティ技術研究所 、
社団法人日本ネットワークインフォメーションセンター 、BBIX株式会社 、
日本インターネットエクスチェンジ株式会社、NRIセキュアテクノロジーズ株式会社
オブザーバー:総務省、独立行政法人情報通信研究機構(NiCT) 、社団法人日本インターネットプロバイダ協会(JAIPA)、
一般社団法人テレコムサービス協会、社団法人電気通信事業者協会(TCA)
Telecom-ISAC Japanの概要
緑文字はISPor通信事業者を示す
J-0-1
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
マルウェアに関する昨今の活動
2
総務省・経済産業省連携ボット対策プロジェクト「サイバークリーンセンター」
国際連携によるサイバー攻撃予知・即応技術の研究開発
RDB
2006
2007
2008
2009
2010
2011
2012
2013
総務省 マルウェア配布等危害サイト回避システムの実証実験
年度
ボット感染PCを検知し、注意喚起
Web感染型マルウェア対策
国際連携等による様々なサイバー攻撃情報収集・解析と即応
(高度解析と情報共有が重要)
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
参考)各施策(CCCとRDB)概要
3
サイバークリーンセンター(CCC)
RDB
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
サイバークリーンセンターで得られた知見と課題①
4
日本のボットは減少したが、マルウェアの多くは海外から来ている
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
サイバークリーンセンターで得られた知見と課題②
5
マルウェアの感染手法がネットワーク感染型からWeb感染型等様々な手法にシフトしている
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
RDBで得られた知見と課題
• マルウェア配布サイトを網羅的に見つけてリストアップすることは難しい
– シードリストの問題
– Webクローリングの条件の問題
– マルウェア配布サイト生存期間の問題
– 解析の問題
• マルウェア配布サイトによるマルウェア感染PC
を見つけることは難しい
– CCCで行ったようなハニーポットでの検知はできない
– 通信ログを調べればわかるが、現行法制度ではユーザ同意なしには不可
• 多くのマルウェア配布サイトが国外に存在
6
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
課題
• マルウェアなど、様々なサイバー攻撃は国外から来る
• 標的型攻撃をはじめ、サイバー攻撃を検知することが難しくなりつつある
• こうしたサイバー攻撃に対処するには様々な情報を突き合わせて解析する必要がある
7
ひとつの組織、ひとつの国では対応が難しい
(信頼できる組織との情報共有が必要)
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
PRACTICEの活動
8
Honeypot Spam Trap Web Crawler SNS Honeypot Backscatter monitor …
Spam Mail Malware, URL Link
Web Web Access
Web Blog SNS
Malware
DETECT & ANALYZE
PREDICT
COUNTERMEASURES
Dynamic Analysis Static Analysis
ISPs
ISP Government Security Venders R&D Institutes
Foreign Organization
ISP Government Security Venders R&D Institutes
Collaboration
Individual Users Organization
Year 2011 - 2016
DDoS
Quick-response framework
Proactive Response Against Cyber-attacks
Through International Collaborative Exchange
R&D Institutes
Etc.
Field Trial
Fundamental Research
Corroborative Research
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
PRACTICE実証実験でやること
• 様々な種類のサイバー攻撃を検知・分析
– ハニーポットやWebクローラーで収集される情報等が中心(現状)
– 将来的には様々なセンサー類を設置
– 標的型攻撃等の情報は収集が難しい
• 検知したサイバー攻撃情報を解析協議会や海外機関等と共有
– 様々な情報共有し、様々な角度から分析
• 分析結果等に基づく即応体制の構築
9
Copyright©2004-2012 Telecom-ISAC Japan. All Rights Reserved.
参考)マルウェア感染に地域特性はあるか?
10
■ The date CCC detected W32.Virut.B
ギャップ
NRIセキュアテクノロジーズ協力のもと作成