文部科学省の大学等CSIRT研修・基礎編に参加してきました

大学でのCSIRT設置の背景

背景にあるのは、文科省の「教育情報セキュリティポリシーに関するガイドライン」からの流れではないでしょうか。

各大学のCSIRT設置状況

  • 国公立はほぼ100%の設置率となっている
  • 私立大学は、参加者に対する(私の)調査では設置が60%といったところ

CSIRTを設置していないと

  • 日頃の情報収集がされない
  • インシデントが上がってこない
  • インシデント発生時の初動で出遅れる(事態が悪化し、他の組織に迷惑を掛ける)
  • 責任の所在があいまい

とりいそぎ自分の大学で行おうと思ったこと

  1. 情報窓口の作成、周知(Webサイト、電話など)
  2. ウイルスバスターの検知ログの確認、代表的なマルウェアの検出時の自動アラートメール設定
  3. 大学規定等の改定で組織を整備
  4. 緊急時の対応手順(パターン)の準備もする

研修のメモ書き

BlackTech(PLEAD)とは

2018年に不審メール。拡張子はexeのほかpngやlogがあった。アンチウイルスではほとんど検知がされない。

学術系CSIRT

学術系CSIRTに加入すれば最新の情報が手に入る?

ログは1年間ほど取っておくべき

アンチウイルスの検知ログはマルウェアを検知していないか、定期的に確認すること。

  • ごく少数の教員や事務職員に対して攻撃メールが送られている。大量にばらまかれず、検知されにくい。
  • 実在の関係者を騙る。国際学会を騙り研究者を狙った攻撃メールを出す。
  • 開封率よりも報告率を重視するべき。そして、報告体制の整備と周知が重要になる

文科省にはM-CYMAT(エムサイマット)がある

  • 初期対応(初動)についてアドバイスをくれたりする
  • 侵害端末調査もしてくれる

IPA

IPAのPCバッチpcやサーバ上で実行することで、検出することも可能
ThreatSonar、実行したpct.上で検出、情報収集する

CSIRT

CSIRTは情報セキュリティに関する管理の一元化、統一窓口を担当する。また、外部の機関とインシデント対応について信頼関係を構築、情報連携する

  • インシデント発生前から対応体制を構築し、発生後に被害を最小限にする
  • 事故前提の意識の下、被害を最小限で食い止めることに着眼し活動する
  • 窓口は大学の公式サイトにも提供すること

CSIRT⇔経営層の連携はよくできていても、末端⇔CSIRTの連携が弱く情報を吸い上げられなかったりする。情報収集、分析能力が重要となってくる。

サプライチェーン攻撃

リスクアセスメントや対策はPDCAを回して継続的に改善する必要がある。

標的型攻撃

  • 感染経路
    標的型メール(添付ファイルやリンク)、Webサイトでのダウンロード、不正コードの含まれるソフトウェアの配布
  • 水飲み場型攻撃
    組織のよく見るサイトにマルウェアを仕組む。
  • コードインジェクション

インシデントマネジメント

ウイルスバスターでは、代表的なマルウェアの検知名をセットして、検知されたらアラートメールが飛ぶように設定可能。大学組織であれば、PLEADが出たら要注意。インシデント対応手順書の整備に必要な事項の確認と整備。

封じ込め(初動対応での応急措置)、ログを確認する(ログ分析)が必要。

  • チェックするログはファイアウォール系ではIPアドレスしかなく、情報が少ない
  • ネットワーク系(メールサーバ、プロキシサーバ、Webサーバ、DNSサーバ)は情報がある
  • プロキシサーバ、DNSサーバはLinux系のログを確認することになる
  • Windowsでは、evtxという拡張子
  • 古いログは、容量を過ぎると、削除される
  • Linuxはsyslogでログの自動送信、自動ローテーション
  • Windows リモート管理、イベントログの自動アーカイブ
  • セキュリティイベントログは量が多いので、1日ではみ出してしまうことがある

以上、メモ書きなので、正確ではないかも。

コメント

  1. […] た。参加型の研修でして、応用編より演習が難しい、ガチのやつです。文部科学省の大学等CSIRT研修・基礎編に参加してきました文部科学省の大学等CSIRT研修・応用編に参加してきました […]