Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
不正指令電磁的記録に関する罪と
オンプレおよびクラウドにおけるWebネ
ット型インシデントレスポンスについて
Study Code #3 2018/04/26
@Typhon666_death
自己紹介
• @Typhon666_death
• 仕事:某セキュリティ専門会社にて、
セキュリティエンジニア/コンサルタント/アナリスト/営業
• 業務:以前は多種企業向けMSS、今は自社サービスの運用保守
• 活動コミュニティ:
• OWA...
何を話そうか悩みました。
安全確保?安全性の確保?AIC(CIA)?
限りある時間の中で、
「不正指令電磁的記録に関する罪」
と絡めて「インシデントレスポンス(IR)」
の必要性について、
DeepCheap Dive into IRしてみる
突然ですがMacユーザーの方
へ
アンチウイルスソフト入れていない方いますか?
(個人的には有償:Kaspersky、無償:Sophosをオススメ)
入れてない方、その理由はMacは感染しないからですか?
入れてないが故に周りの人に迷惑がかかる...
「Macは感染しない」は神話
ウイルスの絶対数が少ないというだけ。
なお、Mac5台中1台は感染している話も。
他人の迷惑にならないためにも対策しておくべき。
パソコン遠隔操作事件も2012年とはいえ、
記憶に新しい。
Why do Windo...
不正指令電磁的記録に関する罪
コンピュータに不正な指令を与える電磁的記録の作成する行
為等を内容とする犯罪(刑法168条の2及び168条の3)。
2011年の刑法改正で新設された犯罪類型である。
(Wikipediaより)
不正指令電磁的記録作...
こんなシナリオ
ある会社のAさんは自社Webサーバの管理者に最近なりました。会社が
ケチってAVソフトを入れさせてくれません。
ある時、サーバの管理設定の甘さからWebサイトにマルウェアが混入
したが、自分ではそれに気づくことができませんでした...
マルウェア配置に気づいていないのは、プログラムにバグが存在して
いてもわからなかったのと同じで、過失であり、ここで罪に問われる
ようなことはないと想定。
感染拡大するも、当人が認識してない場合、過失であり、刑事罰とは
ならなくも、民事訴訟、損害...
認識して駆除したなら、過失で済むかもしれないが、アンチウイルス対策のよ
うな当たり前を故意に怠っていたのだとすると?提供罪、供用罪にあたる可能
性は0ではないのではないだろうか?
認識するも駆除しないまま放置してる場合、「未必の故意」。故意と同...
その他に可能性ありそうな罪
器物損壊罪 (例:イカタコウイルス)
電子計算機損壊等業務妨害罪
電磁的記録毀棄罪(でんじてききろくききざい)
ウイルスが蔵置されており,かつそれが感染力のあるものであること,それを積極
的に駆除しているわけではないことなどを併せて考慮しますと,提供罪の成否を検
討する以前にまずは保管罪の検討をすべき事案でないかと考えられます。
また,提供行為は,受領者...
そもそもそんな会社辞めちまえ
アンチウイルスソフトの導入
気づくための仕組み
ログの取得
モニタリング
その他のセキュリティデバイス導入
組織作り、封じ込めのための対応▷インシデントハンドリング
先の課題
インシデントレスポンス(IR)
インシデントハンドリングフロー
インシデントとなるものを発見
トリアージ(優先度を決める)
事象の分析
IRの計画
IRの実施
報告
準備 検知・分析
封じ込め
根絶・復旧 教訓
IR
各NW機器、サーバ、アプリ等のログをログ
収集サーバに送る
それらのログを相関的に分析し、インシデン
トの発生を速やかに検知する必要がある
インシデントの早期発見のために利用するの
がSIEM(Security Infomation and E...
マルウェアがWebサイトに混入した場合
WebサーバやDNSサーバやAVソフト等のログから混
入を検知
不正侵入元のIPアドレスやプロトコルの通信の遮断
AVソフトによるマルウェアの検疫や、隔離からのマル
ウェア解析、バックアップからのリカバリ...
とはいえ
SIEM機器が高い → ウン千万円する機器を検討するか?
SIEMのルール作成大変 → ログのフォーマットごとに相関分析できるルールをつくる必要が
ある
マンオペ大変 → トリアージの判断誤って被害拡大、解析する時間の猶予
人的リソー...
AWSセキュリティ
https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
AWSセキュリティ
https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
クラウドWebネットにおけるIRの例
snapshot
CloudWatch Logs
AWS
CloudTrail
IAM
AWS
WAF
SES
security
group
RDS DB
instance
Route 53
VPC Flo...
クラウドWebネットにおけるIRの例
snapshot
CloudWatch Logs
AWS
CloudTrail
IAM
AWS
WAF
SES
security
group
RDS DB
instance
Route 53
VPC Flo...
AWSの不正アクセスとフォレンジックについ
て
http://ascii.jp/elem/000/001/549/1549718/
Forensic as a Service
Intezer
Security Orchestration
Demisto
Phantom
Security Tool for Cloud
事前対策を行っていても、インシデントが発生することはある
ので、昨今、事後対策をしっかり行うことが求められている。
とはいえ、(当たり前の)事前対策ができていなければ、対応が遅
延すると取り返しのつかないことに。
高価な機器はなくても、インシデ...
本イベントで取り上げられた企業による調査レポートは非常に
読み応えある。IR後のレポートとして見てもよいと思う。
#事故対応アワード
https://news.mynavi.jp/itsearch/article/security/3504
余...
サイバー社会への法的アクセス: Q&Aで学ぶ理論と実際(法律文化社)
https://www.hou-bun.com/cgi-bin/search/detail.cgi?c=ISBN978-4-589-03769-
5&genre=%8F%A4...
インシデントハンドリングマニュアル(JPCERT/CC)
https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20151126.pd
f
インシデントレスポンス 第3版(日経B...
Upcoming SlideShare
Loading in …5
×
Upcoming SlideShare
What to Upload to SlideShare
Next

Share

20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて

StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて

  1. 1. 不正指令電磁的記録に関する罪と オンプレおよびクラウドにおけるWebネ ット型インシデントレスポンスについて Study Code #3 2018/04/26 @Typhon666_death
  2. 2. 自己紹介 • @Typhon666_death • 仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト/営業 • 業務:以前は多種企業向けMSS、今は自社サービスの運用保守 • 活動コミュニティ: • OWASP Japan Promotion Teamメンバー • AISECjp 運営メンバー • Security-JAWS 運営メンバー • X-Tech JAWS 運営メンバー • FinJAWS 運営メンバー • 全脳アーキテクチャ若手の会 運営メンバー https://www.slideshare.net/Typhon666_death
  3. 3. 何を話そうか悩みました。 安全確保?安全性の確保?AIC(CIA)? 限りある時間の中で、 「不正指令電磁的記録に関する罪」 と絡めて「インシデントレスポンス(IR)」 の必要性について、 DeepCheap Dive into IRしてみる
  4. 4. 突然ですがMacユーザーの方 へ アンチウイルスソフト入れていない方いますか? (個人的には有償:Kaspersky、無償:Sophosをオススメ) 入れてない方、その理由はMacは感染しないからですか? 入れてないが故に周りの人に迷惑がかかるかもしれないと考え たことありますか?
  5. 5. 「Macは感染しない」は神話 ウイルスの絶対数が少ないというだけ。 なお、Mac5台中1台は感染している話も。 他人の迷惑にならないためにも対策しておくべき。 パソコン遠隔操作事件も2012年とはいえ、 記憶に新しい。 Why do Windows laptops need antivirus but not Apple Macs? https://www.quora.com/Why-do-Windows-laptops-need-antivirus-but-not-Apple-Macs 1 in 5 Macs has malware on it. Does yours? https://nakedsecurity.sophos.com/2012/04/24/mac-malware-study/
  6. 6. 不正指令電磁的記録に関する罪 コンピュータに不正な指令を与える電磁的記録の作成する行 為等を内容とする犯罪(刑法168条の2及び168条の3)。 2011年の刑法改正で新設された犯罪類型である。 (Wikipediaより) 不正指令電磁的記録作成罪および不正指令電磁的記録提供罪 不正指令電磁的記録供用罪(未遂でも処罰) 不正指令電磁的記録取得罪および不正指令電磁的記録保管罪 ▷3年以下懲役 or 50万円以下の罰金 ▷2年以下懲役 or 30万円以下の罰金
  7. 7. こんなシナリオ ある会社のAさんは自社Webサーバの管理者に最近なりました。会社が ケチってAVソフトを入れさせてくれません。 ある時、サーバの管理設定の甘さからWebサイトにマルウェアが混入 したが、自分ではそれに気づくことができませんでした。 メディアにて取り上げられるようになった時には時すでに遅し。大勢 の訪問者がマルウェアに感染し、PCのリカバリが困難な状況になった 。 他にもやることが多くて、認識していたにも関わらず、駆除対応を怠 った。 Aさんはこのあとどうなるのでしょうか?
  8. 8. マルウェア配置に気づいていないのは、プログラムにバグが存在して いてもわからなかったのと同じで、過失であり、ここで罪に問われる ようなことはないと想定。 感染拡大するも、当人が認識してない場合、過失であり、刑事罰とは ならなくも、民事訴訟、損害賠償請求は起こりえそう。 マルウェア配置 感染拡大 マルウェア認識 駆除せず t 正解は私には判らないので想像
  9. 9. 認識して駆除したなら、過失で済むかもしれないが、アンチウイルス対策のよ うな当たり前を故意に怠っていたのだとすると?提供罪、供用罪にあたる可能 性は0ではないのではないだろうか? 認識するも駆除しないまま放置してる場合、「未必の故意」。故意と同視でき るレベルで状況(結果の発生のおそれ)を認識していて、かつ対処するのに特 段の負担が生じなければ、提供罪や供用罪はありうる。 あるいは、「認識ある過失」つまり、どう対応したらいいか本当にわからない といった場合、提供罪や供用罪の確率は下がる? マルウェア配置 感染拡大 マルウェア認識 駆除せず t 「未必の故意」「認識ある過失」
  10. 10. その他に可能性ありそうな罪 器物損壊罪 (例:イカタコウイルス) 電子計算機損壊等業務妨害罪 電磁的記録毀棄罪(でんじてききろくききざい)
  11. 11. ウイルスが蔵置されており,かつそれが感染力のあるものであること,それを積極 的に駆除しているわけではないことなどを併せて考慮しますと,提供罪の成否を検 討する以前にまずは保管罪の検討をすべき事案でないかと考えられます。 また,提供行為は,受領者を想定しており,かつ通常は受領者がこれと認識してい ることを想定しています。むしろこの事案では,供用罪の成否を検討すべきであり ,サーバに接続したユーザに感染が拡大する可能性がありかつこれを認識している ことからすれば,実行の用に供したといえるように考えられます。管理者からすれ ば,ウイルスを除去できるまでユーザからのアクセスを遮断すれば足りるので,そ れをしないことをもって供用としてよいのではないでしょうか。私の感覚では,ア クセスした者にウイルスの感染可能性をもってサーバを運営しているので,作為に よる供用でよいのではないかと考えます。 とある方の意見
  12. 12. そもそもそんな会社辞めちまえ アンチウイルスソフトの導入 気づくための仕組み ログの取得 モニタリング その他のセキュリティデバイス導入 組織作り、封じ込めのための対応▷インシデントハンドリング 先の課題
  13. 13. インシデントレスポンス(IR) インシデントハンドリングフロー インシデントとなるものを発見 トリアージ(優先度を決める) 事象の分析 IRの計画 IRの実施 報告 準備 検知・分析 封じ込め 根絶・復旧 教訓 IR
  14. 14. 各NW機器、サーバ、アプリ等のログをログ 収集サーバに送る それらのログを相関的に分析し、インシデン トの発生を速やかに検知する必要がある インシデントの早期発見のために利用するの がSIEM(Security Infomation and Event Management) SOC(Security Operation Center)からSIEMを 使って監視を行う FW ログ収集Web WAF DB IPS 認証 DNS メール SIEM SOC端末 オンプレWebネットにおけるIR
  15. 15. マルウェアがWebサイトに混入した場合 WebサーバやDNSサーバやAVソフト等のログから混 入を検知 不正侵入元のIPアドレスやプロトコルの通信の遮断 AVソフトによるマルウェアの検疫や、隔離からのマル ウェア解析、バックアップからのリカバリ 此度の対応に関するレポート作成、顧客への注意喚起 、警察への届け出、対応手順に関するフィードバック 等 FW ログ収集Web WAF DB IPS 認証 DNS メール SIEM SOC端末 オンプレWebネットにおけるIRの例
  16. 16. とはいえ SIEM機器が高い → ウン千万円する機器を検討するか? SIEMのルール作成大変 → ログのフォーマットごとに相関分析できるルールをつくる必要が ある マンオペ大変 → トリアージの判断誤って被害拡大、解析する時間の猶予 人的リソースがない → 小さい会社でそこまで人さけるのか? クラウドではオンプレとは違った高度なIR、Security Automationの実現が可能 ▷ AWSを例に
  17. 17. AWSセキュリティ https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
  18. 18. AWSセキュリティ https://www.slideshare.net/HayatoKiriyama/aws-reinvent-2017-security-recap-key-messages
  19. 19. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 VPC内は普遍的な Web+DBの構成 AWS WAFを利用 ログはS3 Bucketへ GuardDutyの Findingsで感染特定 接続元IPの自動遮断 Lambda 接続元IPの遮断 WAFシグネチャの更新等 フォレンジック
  20. 20. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック
  21. 21. AWSの不正アクセスとフォレンジックについ て http://ascii.jp/elem/000/001/549/1549718/
  22. 22. Forensic as a Service Intezer Security Orchestration Demisto Phantom Security Tool for Cloud
  23. 23. 事前対策を行っていても、インシデントが発生することはある ので、昨今、事後対策をしっかり行うことが求められている。 とはいえ、(当たり前の)事前対策ができていなければ、対応が遅 延すると取り返しのつかないことに。 高価な機器はなくても、インシデントレスポンス は可能。そのための手順の用意はしておくべき。 一人での対応より、複数での対応を検討すべき。 さいごに
  24. 24. 本イベントで取り上げられた企業による調査レポートは非常に 読み応えある。IR後のレポートとして見てもよいと思う。 #事故対応アワード https://news.mynavi.jp/itsearch/article/security/3504 余談?
  25. 25. サイバー社会への法的アクセス: Q&Aで学ぶ理論と実際(法律文化社) https://www.hou-bun.com/cgi-bin/search/detail.cgi?c=ISBN978-4-589-03769- 5&genre=%8F%A4%96%40%81E%89%EF%8E%D0%96%40%81A%8Co%8D%CF%96%40&author=&bookname=&k eyword=&y1=&m1=&y2=&m2=&base=genre 訴訟・コンプライアンスのためのサイバーセキュリティ戦略(NTT出版) http://www.nttpub.co.jp/search/books/detail/100002350 参考
  26. 26. インシデントハンドリングマニュアル(JPCERT/CC) https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20151126.pd f インシデントレスポンス 第3版(日経BP社) http://ec.nikkeibp.co.jp/item/books/241190.html 参考
  • YUTAOKUTOMO

    Apr. 26, 2018
  • ozawaken

    Apr. 26, 2018

StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)

Views

Total views

2,185

On Slideshare

0

From embeds

0

Number of embeds

1,133

Actions

Downloads

0

Shares

0

Comments

0

Likes

2

×