HIRT が、シーサート(CSIRT)活動の一環で携わっているトピックや、論文、レポートなどの参考情報です。
マネージドセキュリティサービス(MSS)選定ガイドラインは、ユーザーがどのようにマネージドセキュリティサービス(MSS)を選ぶのか、その際のポイントや事前に検討しておくと選定がしやすいポイントについて記載しています。
(発行日:2020年7月13日)
2017年12月11日〜 12 日に開催された第 14 回デジタル・フォレンジック・コミュニティ 2017 in TOKYO でのシーサート活動に関する報告です。この講演では、これまでに発生したセキュリティインシデントを題材に、セキュリティインシデントから学べることと、組織におけるシーサートの役割を考察しています。
(発行日:2017年12月11日)
2017年12月 4 日〜 7 日に開催された Okinawa Open Days 2017 において、昨今のランサムウェア感染活動、IoT マルウェアの Mirai、BrikerBot を事例に IoT 機器の拡大によるセキュリティリスクの課題と組織間連携について報告しました。
(発行日:2017年12月07日)
日本シーサート協議会加盟組織一覧 2017 には、体制、対象とする分野、取りまとめる部署などのアンケート調査の集計結果と共に、2017年8月末時点での加盟組織のチーム情報がまとめられています。
(発行日:2017年11月27日)
日本シーサート協議会加盟組織一覧 2016 には、体制、対象とする分野、取りまとめる部署などのアンケート調査の集計結果と共に、2016年8月末時点での加盟組織のチーム情報がまとめられています。
(発行日:2016年11月24日)
組織間の情報活用に関する検討として、マルウェアに埋め込まれているドメイン名、IP アドレスなどの不正な接続先を対象に、組織間での情報活用の有効性について調査した結果を報告しました。
コンピュータセキュリティシンポジウム2016論文集,2016(2),1327-1332 (2016-10-04)
(発行日:2016年10月13日)
CSIRT (シーサート) という専門用語の解説記事です。この記事では、「CSIRT は、Computer Security Incident Response Team の略である。また、シーサートは、コンピューターセキュリティーインシデント対応能力を組織化することであり、シーサート活動には、組織のセキュリティー文化が反映されている。」としています。
情報管理 Vol.59, No.2, pp.96-104 (2006)
(発行日:2016年05月01日)
日本シーサート協議会加盟組織一覧 2015 には、体制、対象とする分野、取りまとめる部署などのアンケート調査の集計結果と共に、2015年8月末時点での加盟組織のチーム情報がまとめられています。
(発行日:2015年11月27日)
多くのシーサートが連携を通して問題解決を図っていくためには、個社のシーサート機能の充実と窓口の重要性についての相互理解が重要です。2015年10月14日、日本シーサート協議会 連携ワークショップにて、外部からの報告や通知を受けた場合の 「脆弱性ハンドリング」 「インシデントハンドリング」 について、具体的なハンドリング事例を交えた勉強会が開催されました。
(発行日:2015年10月23日)
シーサート活動に参考となる、日本シーサート協議会に関する取材記事です。
(発行日:2015年07月31日)
共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法です。2015年6月10日、CVSS v3 が公開されました。
(発行日:2015年07月21日)
2015年6月14日〜19日に開催された 27th Annual FIRST Conference, Berlin において、マルウェア対策研究人材育成ワークショップ (MWS) ならびに、研究用データセットに関する7年間の活動について報告しました。
(発行日:2015年06月16日)
検知指標情報自動交換手順 TAXII (Trusted Automated eXchange of Indicator Information) は、サイバー攻撃活動に関連する脅威情報を交換するために開発された転送手順やメッセージ仕様です。
(発行日:2015年05月20日)
シーサート活動に参考となる、日本シーサート協議会に関する取材記事です。
(発行日:2015年04月20日)
SSH サーバセキュリティ設定ガイドでは、SSH サーバをサイバー攻撃から守るためのセキュリティ設定について解説しています。
(発行日:2015年03月06日)
日本シーサート協議会加盟組織一覧 2014 には、体制、対象とする分野、取りまとめる部署などのアンケート調査の集計結果と共に、2014年12月末時点での加盟組織のチーム情報がまとめられています。
(発行日:2015年03月06日)
2015年2月19日、2015年5月25日、2015年7月27日、情報処理推進機構(IPA) にて、情報セキュリティ対策の自動化を実現する技術仕様の中から、共通脆弱性評価システム「CVSS」、脅威情報構造化記述形式「STIX」と検知指標情報自動交換手順「TAXII」の技術仕様を中心に紹介するセミナーが開催されました。
(発行日:2015年02月19日)
脅威情報構造化記述形式 STIX (Structured Threat Information eXpression) は、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されたサイバー攻撃活動に関連する項目を記述するための技術仕様です。
(発行日:2015年01月30日)
2014 年に実施したインターネット接続している BACnet(インテリジェントビル用ネットワークのための通信プロトコル規格) デバイスに関する調査報告です。
(発行日:2014年10月14日)
2014年9月24日、 GNU bash の脆弱性 (CVE-2014-6271 / CVE-2014-7169) 〜shellshock 問題〜 について報告されました。日本シーサート協議会のレポートでは、「GNU bash の脆弱性 〜 shellshock 問題〜」に関する公開情報がまとめられています。
(発行日:2014年09月27日)
2014年3月2日、Apache Struts のバージョン 2.0.0 から 2.3.16 には、class パラメタを利用した ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094) が存在することから、対策版である Struts 2.3.16.1 がリリースされました。 日本シーサート協議会のレポートでは、「Struts: ClassLoader の操作を許してしまう脆弱性 (CVE-2014-0094) 」に関する公開情報がまとめられています。
(発行日:2014年04月25日)
2014年4月7日、 OpenSSL 情報漏えいを許してしまう脆弱性(CVE-2014-0160) 〜Heartbleed 問題〜 について報告されました。 日本シーサート協議会のレポートでは、「OpenSSL 情報漏えいを許してしまう脆弱性 〜 Heartbleed 問題〜」に関する公開情報がまとめられています。
(発行日:2014年04月15日)
サイバー攻撃観測記述形式 CybOX (Cyber Observable eXpression) は、標的型メールの受信、不正な通信の発生やマルウェア感染など、パソコンやサーバ上に記録されたサイバー攻撃の活動痕跡を交換するために開発されたサイバー攻撃の観測事象を記述するための仕様です。
(発行日:2014年03月20日)
2013年9月5日、2013年11月22日、2014年2月20日、情報処理推進機構(IPA) にて、脆弱性関連情報の収集、CVSS(Common Vulnerability Scoring System) を利用した自組織への影響分析などを紹介するセミナーが開催されました。
(発行日:2014年02月20日)
2013年3月から国内 Web サイトのページ改ざん事案が継続して発生しています。日本シーサート協議会のレポートでは、継続して発生している 国内 Web サイトのページ改ざん事案に関する概要や公開情報がまとめられています。
(発行日:2013年12月30日)
2013年9月30日、(ISC)2 Japan にて、(ISC)2 Asia-Pacific ISLA 2013 受賞者の凱旋講演会が開催されました。HIRT からは、ISLA 2013 で受賞した活動『脆弱性対策データベースとその自動化基盤〜JVN, JVN iPedia and MyJVN〜』について報告しました。
(発行日:2013年09月30日)
2013年4月15日、情報処理学会から、DoS 攻撃を特集した会誌「情報処理」5月号 特集:DoS 攻撃が発行されました。
0. 編集にあたって
1. DoS/DDoS攻撃とは
2.1 DoS/DDoS攻撃観察日記(1)〜DDoSは身内からもやってくる〜
2.2 DoS/DDoS攻撃観察日記(2)〜AntinnyによるACCSサイトへのDDoS攻撃〜
2.3 DoS/DDoS攻撃観察日記(3)〜ボットネットPushDoによるSSL接続攻撃を振り返って〜
3.1 DoS/DDoS攻撃対策(1)〜ISPにおけるDDoS対策の現状と課題〜
3.2 DoS/DDoS攻撃対策(2)〜高度化するDDoS攻撃と対策 サイトの視点から〜
3.3 DoS/DDoS攻撃対策(3)〜ダークネット観測網を用いたバックスキャッタ分析〜
4. DDoS攻撃に対する通信事業者の取り組み
コラム:DoS攻撃に対する警察の取り組み
コラム:DoS攻撃に対する警察の取り組み
(発行日:2013年04月15日)
2012年11月13日〜15日、国内 FIRST 加盟チームと共に、FIRST 技術会合を京都市国際交流会館にて開催しました。FIRST 技術会合は、年間約 3〜4 回、各地域で開催される会合です。今回の技術会合では、『インシデントレスポンス:負けないための組織間連携(英語名、Incident Response: Collaboration and Sharing)』をキャッチフレーズとし、CSIRT 間の強い信頼関係に基づいた迅速かつ最適な対応体制作りにつなげる場として活用しました。また、特定のトピックスに焦点を当てたセッション(Summit Days)では、『脆弱性情報のグローバルな取り扱い』について意見交換を実施しました。
(発行日:2012年11月13日)
FIRST(Forum of Incident Response and Security Teams) に加盟する日本チームのコミュニティである FIRST Japan Teams が作成した、FIRST.org に加盟を希望する CSIRT 向けの資料です。
(発行日:2012年08月)
2011年度までの日立グループにおける情報セキュリティの取り組みをまとめた情報セキュリティ報告書を発行しました。 HIRTの取り組みについては、「情報セキュリティに対する脆弱性対策・インシデント対応への取り組み」の中で、活動モデル、推進する活動について紹介しています。
(発行日:2012年06月01日)
サイバー攻撃の過程において、人間の心理的な隙や人間の行動上の隙をつく攻撃、いわゆるソーシャルエンジニアリング攻撃が重要な役割を果たしています。NPO情報セキュリティフォーラムの情報セキュリティレポートでは、電子メールなどで利用されてきたソーシャルエンジニアリング攻撃の手法を年代毎に振り返っています。
(発行日:2012年03月28日)
2012年2月29日、HIRT では、NTT-CERT、OKI-CSIRT、JPCERT/CC と共に、CSIRT 活動に関心のある企業担当者を対象に、企業の CSIRT についての意見交換会の場として、CSIRT ワークショップ 2012 を開催しました。本ワークショップでは、日本企業の CSIRT 実装例、CSIRT 組織の活動紹介に加え、内閣官房情報セキュリティセンター担当官を招き、『官民連携の強化に関する政府の取組みと民間 CSIRT 等との連携について』講演を実施しました。
(発行日:2012年02月29日)
2012年1月26日、2月28日、情報処理推進機構(IPA) にて、情報セキュリティ対策を自動化する標準仕様 "SCAP" セミナー 〜MyJVNバージョンチェッカのカスタマイズ入門〜 が開催されました。
(発行日:2012年02月28日)
2011年9月20日、10月14日、情報処理推進機構(IPA) にて、情報セキュリティ対策を自動化する標準仕様 "SCAP" セミナーが開催されました。
(発行日:2011年10月14日)
2010年度までの日立グループにおける情報セキュリティの取り組みをまとめた情報セキュリティ報告書を発行しました。 HIRTの取り組みについては、「情報セキュリティに対する脆弱性対策・インシデント対応」の中で、活動モデル、推進する活動について紹介しています。
(発行日:2011年08月05日)
mstmp(エムエステンプ)は、Webサービス連携によって作成されたコンテンツ(マッシュアップコンテンツ)を悪用したホームページ誘導型マルウェアのひとつです。2010年10月に国内で大規模なインシデント事例が報告されました。本インシデントは、正規サイトでの改ざんはなく、例えば、広告発信サイトでの改ざん(誘導コードの埋込み)が発生し、その誘導コードによって、ブラウザは、悪意のあるWebサイトにアクセスしてしまうというものです。日本シーサート協議会のレポートでは、Webサービス連携を使用したWebサイト経由での攻撃について、概要や公開情報がまとめられています。
(発行日:2011年05月07日)
2010年11月2日、11月17日、情報処理推進機構(IPA) にて、情報セキュリティ対策を自動化する標準仕様 "SCAP" セミナー 〜CVSSハンズオン編〜 が開催されました。このセミナーでは、情報セキュリティ対策の自動化と標準化を実現する技術仕様であるセキュリティ設定共通化手順 SCAP (Security Content Automation Protocol) の概要と、脆弱性の評価手法として普及している共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) を対象としたハンズオン形式の講習が実施されました。
(発行日:2010年11月17日)
Stuxnet (スタクスネット) は、2010年7月中旬に出現し、USB 経由で Windows の脆弱性を悪用して Windows PC に感染する、独シーメンス社製ソフトウェアを攻撃対象とする特徴を持つことから、注目を集めました。さらに、9月中旬に入ってから、より詳細な情報が公開され始めたこと、国内でも感染事例があったことから、一般紙が取上げ始めました。日本シーサート協議会ののレポートでは、Stuxnet (スタクスネット) に関する公開情報がまとめられています。
(発行日:2010年10月23日)
2010年10月13日、日本セキュリティオペレーション事業者協議会(ISOG-J)にて、セミナー「国際・日本でのセキュリティ組織間連携の取組みの最新状況」が開催されました。このセミナーでは、国際電気通信連合ITUで検討されている「サイバーセキュリティ情報交換フレームワーク(Cybex: Cybersecurity information security exchange framework)」の取り組みや、米国が推進している「セキュリティ設定共通化手順(SCAP: Security Content Automation Protocol)」のJVNでの活用、ISOG-Jでの情報交換の試みなどについて報告されました。
(発行日:2010年10月13日)
セキュリティ・インシデントに対応する組織横断的なチームを発足させるまでの奮闘ぶりを追ったフィクションが掲載されています。第7回以降は、実在するCSIRTの担当者が登場する「企業訪問編」で、第10回は、『日立製作所の「HIRT」――研究プロジェクトから発展、積極的な情報公開に努める』です。
(発行日:2010年09月21日)
2010年9月8日(水) 10:00-12:30、九州大学 伊都キャンパス 第1会場 (総合学習プラザ 2F工学部 大講義室)において、第9回情報科学技術フォーラム(FIT 2010)のイベント企画として、「マルウェア対策の実態−Gumblarの事例に見る最新対策技術−」が開催されました。
(発行日:2010年08月26日)
2009年度までの日立グループにおける情報セキュリティの取り組みをまとめた情報セキュリティ報告書を発行しました。HIRTの取り組みについては、「情報セキュリティに対する脆弱性対策・インシデント対応」の中で、活動モデル、推進する活動について紹介しています。
(発行日:2010年08月03日)
2010年6月28日、2010年7月20日、情報処理推進機構(IPA) にて、「情報セキュリティ対策を自動化する標準仕様SCAP」セミナーが開催されました。このセミナーでは、セキュリティ設定共通化手順 SCAP (Security Content Automation Protocol)、脆弱性の種類を分類するための共通脆弱性タイプ一覧 CWE (Common Weakness Enumeration)、効率的な脆弱性対策のための共通脆弱性評価システム CVSS (Common Vulnerability Scoring System)、脆弱性やセキュリティ設定をチェックするためのセキュリティ検査言語 OVAL (Open Vulnerability and Assessment Language)が取上げられました。
(発行日:2010年11月17日)
2010年2月3日より、多数の発信元から、443/tcp(https)ポートに対して不正な形式のSSL接続が大量に発生するというDDoS活動が観測されはじめました。日本シーサート協議会のレポートでは、観測事象と公開情報とを用いて、ボットネットPushdoによる443(https)ポートへのDDoS活動について報告しています。
(発行日:2010年05月11日)
日本シーサート協議会から、ホームページ誘導型ウイルスであるガンブラー(Gumblar) の概要、対策情報、活動状況などが記載されたレポートが発行されました。
(発行日:2010年03月31日)
2010年3月15日、情報処理学会から、マルウェアを特集した会誌「情報処理」3月号 特集:マルウェアが発行されました。
0. 編集にあたって
1. マルウェアって?
2. マルウェア観察日記(1)-静かに進むOSへの浸食-
3. マルウェア観察日記(2)-サービスとして提供される攻撃-
4. マルウェアと戦う技術 「Webからの脅威」とマルウェア検出・防御技術
5. コラム:標的型メールがやってきた
6. ボット対策プロジェクト「サイバークリーンセンター」からみた国内のマルウェア対策
7. 研究用データセットを用いたマルウェア対策研究人材育成ワークショップ
8. 研究用データセット:攻撃元データ編 ナレッジマネジメントツールによるマルウェア
9. 研究用データセット:マルウェア検体編 機械語命令列の類似性に基づく自動マルウェア分類システム
10. コラム:MWS Cup 2009
11. コラム:マルウェア対策に向けた国際連携
(発行日:2010年03月15日)
日立評論2009年12月号に、HIRT (Hitachi Incident Response Team)が推進しているセキュリティインシデントへの取り組みの概要について掲載しました。
(発行日:2010年03月23日)
2010年1月25日〜27日に開催された 2010 FIRST Symposium, Hamburg において、2009年10月に富山国際会議場で開催されたMWS2009(マルウェア対策研究人材育成ワークショップ)の活動について報告しました。
(発行日:2010年01月26日)
2009年11月24日〜27日に開催された Internet Week 2009 において、2009年に報告された、脆弱性の中から、「1. TCPパケットを用いたDoS攻撃」「2. Adobe Flash Player、Acrobat Reader」「3. X.509証明書のドメイン名処理」「4. Mozilla Firefox」「5. PHPで開発されたWebサイト用プログラム」について報告しました。
(発行日:2009年11月24日)
2008年の脅威と脆弱性の概況とHIRTの活動トピックスについての報告書です。
(発行日:2009年02月19日)
2009年1月19日〜21日に開催された 2009 FIRST Symposium, Riga において、P2Pファイル交換ソフトウェアが使用するファイル所在情報(キー情報)や通信を外的に制御することで発生しうる潜在的な脅威を明らかにすると共に、逆用によるオーバーレイネットワーク自身の制御可能性について報告しました。
(発行日:1900年01月00日)
情報処理推進機構(IPA) から、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等がまとめられた資料が公開されました。
(発行日:2009年01月14日)
2008年11月25日〜28日に開催された Internet Week 2008 において、2008年に報告された、IPv6の脆弱性であるVU#472363の対応経緯を通して、脆弱性対策のための国内製品開発者間の横連携は発展途上にあるなどの課題について報告しました。
(発行日:2008年11月27日)
リバース・エンジニアリングに係る法的課題について、「法制問題小委員会平成20年度・中間まとめに関する意見」を提出しました。
(発行日:2008年11月10日)
2008年 3月25日〜 28 日、国内 FIRST 加盟チームとともに、FIRST 技術会合を秋葉原 UDX Gallery にて開催しました。FIRST 技術会合は、年間約 3 〜 4 回、各地域で開催される会合です。この技術会合では、日本国内において、単独の CSIRT(Computer Security Incident Response Team) では解決が困難な事態に対して CSIRT 間の強い信頼関係に基づいた迅速かつ最適な対応を実施する体制作りを推進するための意見交換の場となることを目指した Joint Workshop on Security 2008, Tokyo を併催しました。
(発行日:2008年03月25日)
NTT-CERT、東海大学と協力して、Microsoft Windows の脆弱性を模擬してネットワークを介した侵害活動を誘い込み、マルウェア本体を捕獲する Nepenthes を用いて収集したデータを元に、感染動作に着目した調査結果を報告しました。
情報処理学会 コンピュータセキュリティ 研究報告 Vol.2008 No.21(2008-CSEC-040), pp.177-182 (2008)
(発行日:2008年03月07日)
2007年の脅威と脆弱性の概況とHIRTの活動トピックスについての報告書です。
(発行日:2008年01月29日)
2007年8月22日〜24日に開催された August 2007 FIRST Technical Colloquium, Kuala Lumpur において、P2Pファイル交換ネットワークの状況についてクローリング手法による調査結果を報告しました。
(発行日:2007年08月23日)
2007年6月6日、情報処理学会にて『情報セキュリティ2.0 −自由と統制の時代の情報セキュリティ−』の第1回「進化するマルウェアとセキュリティ」セミナーが開催されました。
(発行日:2007年06月01日)
警察庁セキュリティポータルサイト@policeに「第21回セキュリティ解説」-脆弱性対策情報を提供しているサイトの活用方法-についての記事が掲載されました。
(発行日:2007年05月28日)
2007年4月12日〜16日に開催された April 2007 FIRST Technical Colloquium, Doha において、広域ネットワークからさまざまなレイヤの情報を収集し,それらを詳細化、組合せ、可視化といった観点から処理を行うマルチレイヤ型広域モニタリングについて報告しました。
(発行日:2007年04月14日)
2006年の脅威と脆弱性の概況とHIRTの活動トピックスについての報告書です。
(発行日:2007年03月26日)
2006年12月に開催された情報処理推進機構(IPA) による、「H18年度ウェブアプリケーション開発者向けセキュリティ実装講座」の概要と講演資料を掲載しています。
(発行日:2006年12月26日)
2006年6月25日〜30日に開催された 18th Annual FIRST Conference, Baltimore において、共通の書式でドキュメントの見出し、要約などのリストを提供するJVNRSS(JP Vendor Status Notes RDF Site Summary)を用いたセキュリティ情報の流通を提案すると共に、その試行について報告しました。
(発行日:2006年06月30日)
マイクロソフトのサイトに『CSIRT (Computer Security Incident Response Team) 〜日立における CSIRT 活動〜』の記事が掲載されました。CSIRT (Computer Security Incident Response Team) と題して、日立のCSIRT活動についてご紹介しています。
(発行日:2006年05月25日)
東海大学、中央大学理工学部情報工学科の土居研究室及び日立製作所HIRTとの共同研究で、不正パケットの分散観測技術を開発し、インターネットに接続されている全ての機器のうち、他のコンピュータへ侵入を試みる、いわゆる「不正ホスト」の総数と密度を明らかにすることに成功いたしました。
情報処理学会 コンピュータセキュリティ シンポジウム 2005 (2005)
(発行日:2005年10月24日)
MS05-039と既知脆弱性 (MS03-026, MS04-011)の 悪用についての比較レポートです。
(発行日:2005年10月24日)
国内で利用されているソフトウェアや装置の脆弱性を対象とした対策情報データベース JVN(JP Vendor Status Notes)について報告しました。
情報処理学会 論文誌 Vol.46 No.5, pp.1256-1265 (2005)
(発行日:2005年05月15日)
「脆弱性に関わる状況変化の情報共有」という観点での情報提供環境について報告しました。
情報処理学会 コンピュータセキュリティ 研究報告 Vol.2004 No.54(2004-CSEC-025), pp.37-42 (2004)
(発行日:2004年05月21日)
XMLフォーマットに共通の書式でドキュメントの見出し、要約などのリストを提供するRSS(RDF Site Summary)を用いたセキュリティ情報の流通について報告しました。
情報処理学会 コンピュータセキュリティ 研究報告 Vol.2003 No.74(2003-CSEC-022), pp.273-278 (2003)
(発行日:2003年07月17日)
国内でのセキュリティ対策推進を支援するために、国内で利用されているソフトウェアや装置の脆弱性を対象とした対策情報データベース(JVN: JPCERT/CC Vendor Status Notes Data Base)の構築について報告しました。
情報処理学会 コンピュータセキュリティ シンポジウム 2002, pp.173-177 (2002)
(発行日:2002年10月30日)
各部署の不正アクセス対策活動の支援ならびに, 部署間にまたがった情報交換の場を提供するために構築した不正アクセス対策情報サービスシステムについて報告しました。
情報処理学会論文誌 Vol.41 No.08, pp.2246-2254 (2000)
(発行日:2000年08月15日)
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
