(1)Winnyによる情報漏洩
Winny経由で情報が漏洩する仕組み
・Winnyネットワークから「Antinny」というウィルスを含むファイルをDLする
・「Antinny」を実行することに依って感染する
・「Antinny」はその後、PC内部のデータをWinnyネットワークにULする
・ULされたデータをWinnyユーザがDLして拡散する
情報漏洩のデータ確認
・漏洩を連絡してきた第三者から入手する
・専門家(ベンダー)に依頼して入手する
・Winnyを使って探し出す
2次被害の拡大が考えられるので、別途ネットワークやPCを用意する
データを取得できた場合には、速やかにWinnyキャッシュから削除する
これ以上、データを公開されたままにはしない
情報漏洩の源を突き止める
・ファイル名から、OSのユーザー名を特定する
・ファイル内容から、作成者や使用目的等から源を絞り込む
他に漏洩していないかを調査する
・共有フォルダーの設定内容を確認し、他に漏洩していないかをチエックする
(2)内部関係者による情報漏洩
顧客からの問合せで発覚することが多い
問合せを受けて、対処のシステムを調査する
漏洩の可能性が高いと判断されたら、緊急対策本部を設置する
・システム担当者
・問い合わせ窓口担当者
・法務・公報・総務担当者
・経営者
システム担当者の調査対象
・いつ・・・・・事件発生日時の調査
・誰が・・・・・実行者の調査
・どれ・・・・・漏洩した情報の調査
・どうやって・・方法を調査
・どれくらい・・漏洩した情報量の調査
具体的な調査対象
・入隊室管理のログや管理簿
・本番・開発環境のサーバーのディスク
・DBサーバーのアクセスログや作業記録
・DBへのアクセス権限の設定状況
・Webサーバーへのアクセスログ
・セキュリティーホールへの対応状況
・アウトバウンド通信のログ
・管理者による端末操作ログ
・外部メディアの管理簿
・関係者の行動履歴
被害の状況説明や状況報告
・情報漏洩の概要
・漏洩した期間・日時
・漏洩した件数
・漏洩した項目(個人情報、カード情報等)
・漏洩の原因
・二次被害の有無
・再発防止策
・問い合わせ先情報
(3)SQLインジェクションの発生
検知する方法(かなり難しい)
・IDS(侵入検知システム)、IPS(進入防御システム)を利用する
・Webアクセスログ、DB監視ログを監視する
特に【GET】でのパラメータ渡しには注意が必要
実際には下記の様なことで発覚する
・身に覚えのないテーブルが作成された
・利用者から警告メッセージが表示された
・情報が漏洩しているとの連絡を受ける
事後対策
・Webサイトを即時に停止する(経営層の判断を仰ぐ)
・攻撃手法やWebアプリの欠陥を特定する
想定するデータ型、桁数、値の範囲のチエックを確認する
・脆弱性の排除を行う
・データ復旧・パスワードの再発行等
・Webサイトを再開する
(4)バッファーオーバーフローによる情報漏洩
下記の様なことで発覚する
・サーバーがダウンする
サーバーがハングアップする
ブルースクリーンを表示し停止する
・プログラムが異常終了する
強制終了になる
各種ログに異常終了のログが残る
・ファイルの改竄
システムファイルが更新される
無関係なファイルが作成される
・異常な通信
想定していない外部サーバーへの通信が発生する
無関係なサーバーへのアクセスが増加する
復旧作業のポイント
・パッチを適用して脆弱性を修正する
・必要のないネットワークアクセスを制限する
・必要のないプログラムをインストールしない
・作業はネットワークに繋がないで行う
・サーバーのクリーンインストール(これがベストな対応)
コメントを残す