HIRT-PUB18003：サイバーセキュリティとHIRT活動の振り返り

中央研究所、基礎研究所が中心となって、JUNET への参加を推進しました。

当時米コーネル大学の大学院生であった Robert Tappan Morris によって作成された、後に「Morris ワーム」と呼ばれるプログラムが自己増殖を続けながら、インターネットに接続していた全ホストの 1 割にあたる約 6,000 台ものホストを感染したという事件が発生しました。

国防総省高等研究計画局 (DARPA: Defense Advanced Research Projects Agency) が中心となり、CERT/Coordination Center (設立当初は Computer Emergency Response Team の略であった) を設立しました。

.JUNET から .JP への移行 (JPNIC: JPドメイン名の歴史) に伴い、hitachi.co.jp ドメインに変更となりました。

133.144.0.0/16 の割当年月日は、JPNIC: WHOIS で確認できます。

インシデント対応チームの組織間ならびに国際間連携のため、大学、研究機関、企業、政府、軍などのシーサートコミュニティから構成される FIRST (Forum of Incident Response and Security Teams) が組織されました (FIRST History)。

日立 WWW サーバでの情報提供を開始しました (1994年〜1995年 What's New)。

JPCERT/CC 組織概要

社内ユーザ IRT (組織 CSIRT) を試行するため、日立グループに横断的なバーチャルチームを編成し、メーリングリストをベースに活動を開始しました。メンバは主に社内セキュリティ有識者および社内インフラ提供部門を中心に編成しました。

最初に発信した HIRT セキュリティ情報 HIRT-9801 で取り上げたトピックは、CERT Summary CS-98.04 named を攻撃対象とした不正アクセスの状況でした。

CERT Advisory CA-99-04-Melissa-Macro-Virus

警察庁: 不正アクセス行為の禁止等に関する法律の解説

CERT Advisory CA-2000-04 Love Letter Worm

JPCERT-AT-2001-0018: Microsoft IIS の脆弱性を使って伝播するワーム

JPCERT-AT-2001-0020: Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"

CERT Advisory CA-2001-26: Nimda Worm

US-CERT による SNMP 脆弱性 (CA-2002-03) に関する日立ミドルウェア製品への影響について情報を公表しました。日立ミドルウェア製品に関する脆弱性情報の発信サイトを設置すると共に、以降、脆弱性情報を継続的に発信公表しています。

製品開発部門を中心に、社内セキュリティ有識者、社内インフラ提供部門、製品開発部門、品質保証部門等とともに、製品ベンダ IRT (PSIRT) としての本格活動に向け、関連事業所との体制整備を開始しました。

製品ベンダ IRT (PSIRT: Product Security Incident Response Team) としてソフトウェア事業部内に製品セキュリティ対応センタを設置しました。

CERT/CC から 最初に受信した Vulnerability Notes 情報は、VU#459371: Multiple IPsec implementations do not adequately validate authentication data、VU#738331: Domain Name System (DNS) resolver libraries vulnerable to read buffer overflowです。

海外向けおよび主要セキュリティベンダによる情報収集対象としてもらうため、英文での情報発信を開始しました。また、CSIRTとしての活動を行っている旨のPRとして、以降、和文・英文の両方を継続的に発信しています。

日立製品の対応情報が CERT/CC Vulnerability Notes Database に最初に掲載されたのは VU#459371: Multiple IPsec implementations do not adequately validate authentication data です。

CERT Advisory CA-2003-04: MS-SQL Server Worm

JPCERT/CC 支援のもと、慶應義塾大学土居・高田研究室を中心に株式会社インターネットイニシアティブ (IIJ)、インターネットセキュリティシステムズ株式会社 (当時) の協力を得て、JVN ワーキンググループ結成し、JVN (JPCERT/CC Vendor Status Notes) として試行サイトの運用を開始しました。

英 NISCC (National Infrastructure Security Co-ordination Centre) から 最初に受信した Vulnerability 情報は、VU#749342: Multiple vulnerabilities in H.323 implementations です。

JVN Status Tracking Notes TRCA-2003-19: Microsoft Windows RPC の脆弱性を対象とする侵害活動

JVN Status Tracking Notes TRIN-2003-03: W32/Sobig.F ワーム

DHS と カーネギーメロン大学 CERT/CC が US-CERT 発足にあたりパートナーシップを結んだことを明らかにしました (U.S. Department of Homeland Security Announces Partnership with Carnegie Mellon's CERT Coordination Center)。

脆弱性発見に伴う関連機関への報告と公開に関する活動の活発化にあわせ、日立製品ならびに日立が関与するサイトに対して脆弱性の存在や侵害活動の要因などが指摘された場合の対処窓口を設置しました。

日立製品の対応情報が NISCC Vulnerability Advisory に最初に掲載されたのは VU#749342: Multiple vulnerabilities in H.323 implementations です。

JVN Status Tracking Notes TRIN-2004-02: W32/Netsky.B ウイルス

CERT Advisory の発行は、CERT Advisory CA-2004-02: Email-borne Viruses の発行をもって終了しました。

CERT Advisory CA-2004-02 に関連する US-CERT Technical Alert TA04-028A MyDoom.B Rapidly Spreading を発行しました。

SI/サービス提供部門とともに、SI ベンダ IRT の立上げを開始しました。

JVN Status Tracking Notes TRJVN-2004-02: W32/Sasser ワーム

経済産業省告示第235号「ソフトウエア製品等脆弱性関連情報取扱基準」

JVN の正式名称が JP Vendor Status Notes となりました。JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA) が、JVN (JP Vendor Status Notes) の共同運用を開始しました。

日立グループにおける IRT の実行的な組織として、HIRT センタを設置しました。

Forum of Incident Response and Security Teams に加盟しました (Team Information HIRT)。

HIRT オープンミーティングは、日立グループ内でインシデントオペレーションに関わるオープンな情報交換の場を持つ、信頼関係に基づく HIRT コミュニティへの参加を募ることを目的とした活動です。第1回は、「Web アプリケーションセキュリティ対策ならびに運用改善のための技術的なアプローチについて」をテーマとした意見交換を実施しました。

FIRST に加盟する日本チームでのチーム交流会を実施しました。これが、後に FIRST Japan Teams (JFIRST) 発足につながることになります。

HIRT-FUP 情報は、HIRT センタが日立グループ製品や Web サイトの脆弱性を発見した場合やその報告を受けた場合などに、関連部署との連絡を必要とする際に利用しています。最初に発信した HIRT-FUP05001 で取り上げたトピックは、イントラネット Web サイトでの設定改善に関するものでした。

日立グループの製品・サービスのセキュリティ問題に関する情報を対外的に発信するため統合サイトを開設しました (日本語サイト、英語サイト)。

デジタル署名付 PDF に関するよくある質問 を掲載すると共に、MS05-039の脆弱性を悪用した侵害活動の再考 〜BlackHat Japan 2005 参考資料〜 にデジタル署名をしました (後日更新してしまったため、掲載している PDF 署名のタイムスタンプは2006年10月20日となっています)。

日立グループにおいて脆弱性関連情報を適切に流通させ、日立のソフトウェア製品およびWebサイトの脆弱性対策を推進するために、ソフトウェア製品およびWebアプリケーションに関する脆弱性もしくは不具合を発見した場合の脆弱性届出統合窓口を設置しました。

第6回 HIRT オープンミーティングは、Webアプリケーションセキュリティなどの関連検査技術の向上を目的とした演習型の会合を実施しました。

各年の脅威と脆弱性の概況と HIRT の活動トピックスをまとめた報告書を発行しました。以降、毎年の活動について報告書を発行しています (HIRT 活動報告アーカイブ)。

日本国内における CSIRT(Computer Security Incident Response Team) 間の連携強化を目的として、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)を設立しました (ニュースリリース)。

CSIRT の担当者に向けに、脆弱性対策情報から得られた知見、脆弱性対策に関するアドバイス、ツールなどを紹介する "CSIRTメモ" の連載を開始しました。

JVN の正式名称が Japan Vulnerability Notes となりました。独立行政法人情報処理推進機構 (IPA) が、JVN iPedia の運用を開始しました。

英 Warning, Advice and Reporting Point に加盟しました (HIRT-PUB07007：諸外国のセキュリティコミュニティの形−英国の WARP とは？)。

日本の FIRST 加盟チームと共に、FIRST Japan Teams を発足しました。

2008年03月25日〜28日、日本の FIRST 加盟チームと共に、FIRST 技術会合 2008 秋葉原を秋葉原 UDX にて開催しました。

HIRT-PUB08005：DNSサーバにおけるキャッシュポイズニング対策

我が国で初めて企業内に設置された組織内 CSIRT としての取組みが評価され、経済産業省商務情報政策局長表彰 (情報セキュリティ促進部門) を受賞しました (ニュースリリース)。

サイバークリーンセンターの協力を得て、研究用データセットの提供、研究成果の共有ならびに切磋琢磨する環境の提供を通して、マルウェアに関する専門知識を備えた研究者／実務者を育成していくことを目的としたワークショップを立ち上げました (マルウェア対策研究人材育成ワークショップ、「同じ“教材”を使って切磋琢磨」、国内初のウイルス対策研究会)。

JVNとJVN iPediaに登録されている脆弱性対策情報を対策実施に直結したサービスに繋げるための仕組みを提供する MyJVN（JVN Security Content Automation Framework) の運用を開始しました。

Win32/Conficker ワームに関するウイルス対策情報

Gumblar という名称は、2009年5月に利用されたウイルス配信サイトの名称が「gumblar.cn」であったことに由来します (HIRT-PUB10001：Gumblar 感染拡大に関する注意喚起)。

IBM 殿より、P2P ファイル交換ソフト環境で取り組んでいたマルウェアならびに情報漏えい対処活動に対して感謝状を頂きました。

『日立グループ全体にインシデントオペレーション活動を浸透させていくこと』を目標とした取組みを開始しました。フェーズ1 (2010〜2011年)：事業部・グループ会社IRT窓口との連携強化、フェーズ2 (2012年〜2013年)：IRT 連携支援メンバとの連携強化、フェーズ3 (2014年〜2015年)：バーチャルかつ横断的な対応体制の整備。

日立グループのシーサート活動の向上・・・6ヵ年計画の「フェーズ1 (2010〜2011年)：事業部・グループ会社IRT窓口との連携強化」の取組みとして、HIRT オープンミーティングを利用した、脆弱性関連情報ハンドリング責任者/IRT連絡窓口担当者との意見交換を開始しました。

日立グループにおける情報セキュリティへの取り組み、製品・サービスの情報セキュリティ確保に向けた取り組みについて、2009年度までの取り組みをまとめた報告書を発行しました。以降、毎年度の取り組みについて報告書を発行しています (情報セキュリティ報告書アーカイブ)。

マルウェア Stuxnet (スタクスネット) について

情報システム並びに制御システム関連製品を開発する側面 (製品ベンダIRT) の取組みとして、日立グループにおける製品脆弱性情報の開示プロセスを掲載しました。

米 ICS-CERT の注意喚起とアドバイザリ発行活動が 2 年目に入り、制御システム系製品の脆弱性報告件数が増えてきたことを踏まえ、HIRT-11043: HIRT 制御システム系製品の脆弱性 2011年09月 から月例で取り上げることになりました。

日立グループのシーサート活動の向上・・・6ヵ年計画の「フェーズ2 (2012年〜2013年)：IRT 連携支援メンバとの連携強化」に向け、「どこに、どんな人がセキュリティに関わっているのか！というネットワークを作るための場」「顔が見えない情報交換から顔が見える情報交換へ」を実現する意見交換を開始しました。

内閣官房情報セキュリティセンター（NISC）から、第28回情報セキュリティ政策会議で了承された報告書が公表されました。この報告書では、官民における CSIRT 等の整備と情報連携について触れられています。

NTT-CERT、OKI-CSIRT、JPCERT/CC と共に、CSIRT 活動に関心のある企業担当者を対象に、企業のCSIRT についての意見交換会の場としてCSIRT ワークショップ 2012を開催しました。

HIRT (セキュリティ情報統合) サイトで発信するセキュリティ情報のタイトル横に CVSS v2 スコア(基本値)付与を開始しました (セキュリティ情報)。

脆弱性対策ならびにインシデント対応活動に協力頂いた方への謝辞を掲載するページを開設しました (Acknowledgments)。

サイバー攻撃対策は、分野の背景や動向を踏まえた対応が必要となることから、分野に特化したシーサート (分野別 IRT) 活動の検討とその先導として、HIRT の分野別サブセットの位置付けで、金融分野を対象とした IRT (HIRT-FIS) を設置しました。

2012年11月13日〜15日、日本の FIRST 加盟チームと共に、FIRST 技術会合 2012 京都を京都市国際交流会館にて開催しました。

MWS cup は、2009年から始まった 競技形態のマルウェア対策研究人材育成プログラムです。2009年から東海大学と日立製作所を中心に混成チームを構成し参画してきました。2012年に入ってからは、活動の枠を広げ、学生を中心とした産学混成チームを構成すると共に、事前事後に勉強会を含む活動として取り組んでいます。これまでに、東海大学、静岡大学、東京情報大学、北陸先端科学技術大学院大学、明治大学、日立製作所、日立システムズ、デジタルアーツ、セコム、セキュアブレインが参画しています。

HIRT が携わっている JVN (Japan Vulnerability Notes) に関わる脆弱性対策活動への貢献が評価され、情報セキュリティ資格 CISSP を運営する (ISC)2 の 2013 年アジア太平洋情報セキュリティリーダーシップアチーブメント ISLA (Information SecurityLeadership Achievements) の Senior InformationSecurity Professional を受賞しました (ニュースリリース)。

警察庁: 不正アクセス行為の禁止等に関する法律の一部を改正する法律の概要

横浜研究所内に、マルウェア解析・評価を行う HIRT ラボプロジェクトルームを開設しました。

採番の方法が、旧番号体系 (年＋4桁固定、CVE-YYYY-NNNN) から新番号体系 (年＋桁数可変：ただし、1〜999は4桁固定、CVE-YYYY-NNNN...N) に変更となりました(Itpro: チェックしておきたい脆弱性情報＜2013.08.21＞)。

Struts の実装に起因する脆弱性で、 class パラメタを利用することで ClassLoader の操作を許してしまう脆弱性です (Struts: ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113) について)。

OpenSSL の TLS/DTLS 用 Heartbeat 拡張の実装に起因する情報漏えいを許してしまう脆弱性で、別名 Heartbleed 問題と呼ばれた脆弱性です (OpenSSL 情報漏えいを許してしまう脆弱性 〜Heartbleed 問題〜 について)。

経済産業省告示第110号「ソフトウエア製品等脆弱性関連情報取扱基準」

GNU bash の実装に起因する脆弱性で、別名 shellshock と呼ばれた脆弱性です (GNU bash の脆弱性 〜 shellshock 問題〜 について)。

SSL 3.0 の CBC (Cipher Block Chaining) モードに存在する暗号文の解読を許してしまう脆弱性で、別名 POODLE (Padding Oracle On Downgraded Legacy Encryption) 問題と呼ばれた脆弱性です (HIRT-PUB14013：SSL 3.0 の脆弱性 (CVE-2014-3566) 対策)。

他社に先駆けた企業内 CSIRT の立ち上げ、FIRST に国内メーカとして最初に加盟するなどの積極的な活動が評価され情報セキュリティ大学の「情報セキュリティ文化賞」を受賞しました (ニュースリリース)。

HIRT (セキュリティ情報統合) サイトで発信するセキュリティ情報のタイトル横に CVSS v2/v3 スコア(基本値)付与を開始しました (セキュリティ情報)。

日立グループから社外向けに発信するセキュリティ情報を一意に識別する番号として、番号体系 hitachi-sec-yyyy-mm (hitachi-sec：プレフィックス(固定)、yyyy：西暦、mm：連番(可変長))を規定しました。この番号体系に従った最初の情報発信は、2016年6月23日 hitachi-sec-2016-201 です。

『分野に特化したシーサート活動の定着化』を目標とした取組みを開始しました。フェーズ1 (2016年〜2017年)：分野別活動の立上げ、フェーズ2 (2018年〜2019年)：分野別活動基盤の整備、フェーズ3 (2020年〜2021年)：横断的な対応体制の整備。

HIRT-PUB16003：IoT 機器を利用したサイバー攻撃活動

HIRT-PUB17007：米国AISシステムとの接続

HIRT-PUB17008：ランサムウェアWannaCryに関する注意喚起

HIRT の寺田真敏がサイバーセキュリティに関する総務大臣奨励賞を受賞しました (ニュースリリース)。

HIRT-PUB18001：Meltdown、Spectre 問題と派生した CPU 脆弱性問題

2018年03月14日〜16日、日本の FIRST 加盟チームと共に、FIRST 技術会合 2018 大阪を NTT 西日本研修センタにて開催しました。

HIRT の大西直子が(一社)情報処理学会 コンピュータセキュリティ研究会 マルウェア対策人材育成ワークショップ (MWS: anti Malware engineering WorkShop) 組織委員会の MWS 貢献賞を受賞しました (ニュースリリース)。