Cisco Japan Blog

事前通知で、安全なデジタル社会を目指す仲間を増やす

1 min read



執筆者:Tazzpopup_icon

Talos は引き続き、JBoss エクスプロイトを使用した攻撃が進行中であるのを確認しています。調査活動を通じて、侵害されたホストをさらに 600 程度特定しました。パッチの適用されていない JBoss 環境は攻撃者の侵害を受けており、これらのサイトには WebShell が含まれています。こうした事態に対応して、Talos は、ホスト侵害の被害者が適切な修復策をとれるよう、被害者への通知を行っています。本ブログ記事では、通知プロセスの概要を示すとともに、実際の現場でよく見られる WebShell 500 個のリストなど、各自が自身の JBoss 環境を精査するのに使用できる指標を提示します。

通知が届いた理由は?

Talos では、1 つ以上の WebShell を含んでいるホストの IP アドレスを特定した後、そのホストの所有者と特定された組織の WHOIS レコードから、連絡先の電子メール アドレスを抽出しました。通知メールには、この情報を閲覧できるリンクが含まれます。電子メールによる通知は、記載されているメール アドレスすべてに宛てて送っています。不正利用時の連絡先として指定されていたアドレスが無効になっている組織が多数あるからです。抽出できたすべての連絡先にメールを送ることで、できる限り通知が届くようにしているのです。

インターネット レジストラに記録されている連絡先情報をしばらく見直していない組織の方は、今すぐに確認してください。 また、レジストラがどこかわからない場合は、https://www.iana.org/numberspopup_iconで見つけることができます。

  • AFRINICpopup_icon:アフリカ地域
  • APNICpopup_icon:アジア太平洋地域
  • ARINpopup_icon:カナダ、米国およびカリブ海諸島
  • LACNICpopup_icon:中南米およびカリブ海諸島
  • RIPE NCCpopup_icon:欧州、中東、中央アジア

これですべて?

Talos は、100 個を超えるさまざまな WebShell を含んだ個々のホストを発見しました。通知プロセスでは、便宜上の理由から、上位 10 個の WebShell のみ提供しています。また、確認できた上位 500 強の WebShell については、下の IOC のセクションでリスト提供しています。ほとんどの組織が脆弱性やインシデントをホスト単位でトラックしていることから、私たちは、IP アドレスごとに電子メールを送信しています。その結果、同じ件名の電子メールを複数受け取ることになる可能性もあります。ただ、電子メールの本文には留意してください。私たちがホストの WebShell を特定して通知できるようになるまでの間に、侵害された情報資産からアクセス可能な同じホストもしくは別のホストに、WebShell がさらにインストールされる可能性もあります。詳細な調査を実施して、攻撃者がアクセスした恐れのあるネットワークやその他リソースの範囲を特定することを、強く推奨します。

Talos のこの取り組みの理由は?

Talos は、世界中のお客様、家族、友人、隣人のために、私たちが暮らすデジタル社会をより安全なものにしようと全力を傾けています。これらの通知は、義務からではなく自由意志で送っています。通知には、提供をお願いしたい詳細情報のリストが含まれています。このような情報は、私たちがこうした取組みを継続する上で支えとなります。 情報を共有していただける場合は、こちらpopup_iconで PGP キーを入手してください。 これは、安全な電子メールやあらゆる関連ファイルの暗号化に使用できます。

組織によっては情報を共有できない場合があることも理解しています。 そうした場合には、可能な限りで結構ですので、talos-abuse-notifications@cisco.com に電子メールを送信し、ホストが修復された時期と IP アドレスをお知らせ下さい。

侵害されたホストに講じる措置の詳細については、JBoss バックドアについて書いた過去のブログ記事にある「推奨される修復方法」のセクションを参照してください。
http://blog.talosintel.com/2016/04/jboss-backdoor.html

侵入の痕跡

こちらに、Talos が検出した 500 を超える WebShell の一覧を示します。 各自のホストでのこれらの WebShell の有無を確認したい場合は、http://<ip_address>/<webshell> のフォーマットを使用してください。

本稿は 2016年5月17日に Talos Grouppopup_icon のブログに投稿された「MAKING FRIENDS BY PROACTIVE NOTIFICATIONpopup_icon」の抄訳です。

コメントを書く