情報セキュリティ 10大脅威とその対策

情報セキュリティ 10大脅威とその対策
独立行政法人情報処理推進機構(IPA)
技術本部 セキュリティセンター
鈴木 春洋
2016年2月6日
Copyright © 2015 独立行政法人情報処理推進機構
情報セキュリティ 10大脅威とは?
脅威の動向を伝えるために
IPAが2006年より毎年発行
セキュリティの専門家(約100名)の
投票により、情報システムを取巻く
脅威を順位付けして解説
以下のURLからダウンロードできます
情報セキュリティ10大脅威 2015
https://www.ipa.go.jp/security/vuln/10threats2015.html
Copyright © 2015 独立行政法人情報処理推進機構
2
情報セキュリティ 10大脅威 2015
https://www.ipa.go.jp/security/vuln/10threats2015.html
章構成
1章.情報セキュリティ対策の基本
•被害を防ぐための基本的な対策を解説
2章.情報セキュリティ 10大脅威 2015
•10の脅威の概要と対策について解説
3章.注目すべき課題や懸念
•知っておくべき課題や懸念を解説
Copyright © 2015 独立行政法人情報処理推進機構
3
情報セキュリティ 10大脅威 2015
https://www.ipa.go.jp/security/vuln/10threats2015.html
基本を知る(1章)
5つの基本対策
2つの考え方
脅威を知る(2章)
10大脅威から代表的な脅威を解説
• 企業・組織を狙う脅威とその対策
Copyright © 2015 独立行政法人情報処理推進機構
4
情報セキュリティ 10大脅威 2015
https://www.ipa.go.jp/security/vuln/10threats2015.html
基本を知る
5つの基本対策
2つの考え方
脅威を知る
10大脅威から代表的な脅威を解説
• 企業・組織を狙う脅威とその対策
Copyright © 2015 独立行政法人情報処理推進機構
5
実施すべき基本的なセキュリティ対策
対策の前に:
・情報資産(被攻撃対象)の把握
・自発的なセキュリティ対策への取組み
・対策の計画と予算の確保
攻撃の糸口
情報セキュリティ対策の基本
ソフトウェアの脆弱性
ソフトウェアの更新
ウイルス感染
ウイルス対策ソフトの導入
パスワード窃取
パスワード・認証の強化
設定の見直し
脅威・手口を知る
設定不備
誘導(罠にはめる)
その他の重要な対策:
文書によるセキュリティ対策の明文化、システムによる制限や強制、
バックアップやシステムの冗長化、検査や監査、認証の取得 等
Copyright © 2015 独立行政法人情報処理推進機構
6
目次
基本を知る
5つの基本対策
2つの考え方
脅威を知る
10大脅威から代表的な脅威を解説
• 企業・組織を狙う脅威とその対策
Copyright © 2015 独立行政法人情報処理推進機構
7
大切な2つの考え方
(内部不正にも、標的型攻撃にも、サイバーテロにも)
資産を守る
多層防御
Copyright © 2015 独立行政法人情報処理推進機構
8
対策の考え方①「資産を守る」
「特定の脅威から守る」のではなく
→「資産を守る」と考える
物理セキュリティもITセキュリティも同じ
資産を適切に守っていれば、
さまざまな脅威から守れる
まず「把握」が重要
守るべき資産の把握
Copyright © 2015 独立行政法人情報処理推進機構
9
対策の考え方②「多層防御」
多層防御の必要性
1つの対策では100%防御できない
複数の対策で防御することが常識になっている
地道に「層」を重ねる必要がある
Copyright © 2015 独立行政法人情報処理推進機構
10
目次
基本を知る
5つの基本対策
2つの考え方
脅威を知る
10大脅威から代表的な脅威を解説
• 企業・組織を狙う脅威とその対策
Copyright © 2015 独立行政法人情報処理推進機構
11
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
12
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
13
【1位】インターネットバンキングや
クレジットカード情報の不正利用
~個人口座だけではなく法人口座もターゲットに~

ウイルスやフィッシング詐欺により認証情報が窃取され、
不正送金される
Copyright © 2015 独立行政法人情報処理推進機構
14
【1位】インターネットバンキングや
クレジットカード情報の不正利用
~個人口座だけではなく法人口座もターゲットに~

手口や影響



ウイルスに感染したパソコンが不正送金の被害に遭う
フィッシング詐欺により入力した認証情報が窃取される
2014年の事例/統計

不正送金被害が急増
 日本のインターネットバンキング利用者を狙う
ウイルスが横行!
 2014年の被害額は29億1,000万円、
2013年の約2倍に!
法人口座の被害が急増!
Copyright © 2015 独立行政法人情報処理推進機構
15
インターネットバンキングの被害額
 2014年は前年の2倍の被害額
2014年:1,876件、29億1,000万円
1件あたりの被害額が増加
 法人・地銀の被害が急増
企業・組織も対象に!法人口座は取引限度額が高いため高額被害に!
出典:警察庁:平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等
Copyright © 2015 独立行政法人情報処理推進機構
16
フィッシングの手口
Copyright © 2015 独立行政法人情報処理推進機構
17
ウイルスを使った手口
電子証明書による本人確認
電子証明書を奪うウイルス
Copyright © 2015 独立行政法人情報処理推進機構
18
【1位】インターネットバンキングや
クレジットカード情報の不正利用
~個人口座だけではなく法人口座もターゲットに~

対策一覧




ソフトウェアの更新
(Windows Update, Adobe, Javaなど)
ウイルス対策ソフトの導入
二要素認証等の強い認証方式の利用
(電子証明書, ワンタイムパスワードなど)
事例や手口を知る
銀行が提供する二要素認証や
専用のウイルス対策ソフトがあれば活用!
Copyright © 2015 独立行政法人情報処理推進機構
19
【参考】不正な払戻しに関する補償の考え方
法人のお客さまに実施していただくセキュリティ対策
① 銀行が導入しているセキュリティ対策の実施
② インターネット・バンキングに使用するパソコン(以下、単に「パソコン」という。)に
関し、基本ソフト(OS)やウェブブラウザ等、インストールされている各種ソフトウェ
アを最新の状態に更新していただくこと
③ パソコンにインストールされている各種ソフトウェアで、メーカーのサポート期限
が経過した基本ソフトやウェブブラウザ等の使用を止めていただくこと
④ パソコンにセキュリティ対策ソフトを導入するとともに、最新の状態に更新したう
えで、稼動していただくこと
⑤ インターネット・バンキングに係るパスワードを定期的に変更していただくこと
⑥ 銀行が指定した正規の手順以外での電子証明書の利用は止めていただくこと
出典:法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について
http://www.zenginkyo.or.jp/abstract/news/detail/nid/3349/
詳細および最新情報は全国銀行協会のホームページを確認してください
Copyright © 2015 独立行政法人情報処理推進機構
20
参考:【11位】ウイルスを使った詐欺・恐喝
~偽ウイルス対策ソフトや恐喝ソフトによる金銭要求~
 概要
ウイルススキャンの画面を表示して有償版のソフトウェアの購入を促す
偽ウイルス対策ソフト
パソコンをロックして身代金を要求するランサムウェア
感染すると書類や写真など重要なデータにアクセスできなくなる
企業・組織での感染が多数報告
Copyright © 2015 独立行政法人情報処理推進機構
21
参考:偽ウイルス対策ソフトの画面の例
引用:コンピュータウイルス・不正アクセスの届出状況[2月分]について
https://www.ipa.go.jp/security/txt/2012/03outline.html
Copyright © 2015 独立行政法人情報処理推進機構
22
参考:ランサムウェアの画面の例
出典:トレンドマイクロ セキュリティブログ
日本語対応したCryptoランサムウェアを国内で確認(http://blog.trendmicro.co.jp/archives/11378)
Copyright © 2015 独立行政法人情報処理推進機構
23
2015年6月の呼びかけ(IPA)
パソコン内のファイルを人質にとるランサムウェアに注意!
ランサムウェアに関する相談件数の推移
(IPA:情報セキュリティ安心相談窓口)
Copyright © 2015 独立行政法人情報処理推進機構
24
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
25
【2位】内部不正による情報漏えい
~内部不正が事業に多大な悪影響を及ぼす~


従業員・職員が故意に内部情報を持ち出し私的に利用
企業・組織の信用が失墜し、補償・賠償が求められる
Copyright © 2015 独立行政法人情報処理推進機構
26
映像をご覧ください
Copyright © 2015 独立行政法人情報処理推進機構
27
【2位】内部不正による情報漏えい
~内部不正が事業に多大な悪影響を及ぼす~

発生要因




動機
:処遇の不満、借金による生活苦
機会
:不正行為ができる環境
正当化 :自分勝手な理由づけ
2014年の事例/統計

通信教育大手から膨大な個人情報が漏えい
 委託先企業の社員が3,504万件の個人情報を持ち出し
 被害企業は顧客に総額200億円の補償を発表
Copyright © 2015 独立行政法人情報処理推進機構
28
内部不正による情報漏洩の危険性
事例
動機
退職者が技術情報を不正に持ち出し
転職先に提供
転職に関わ
る利益取得
システム管理者が権限を悪用し、
顧客のカード情報を窃取
金銭取得
委託先社員が顧客情報を不正にコピーし 金銭取得
名簿業者に売却
従業員が人事評価への不満から、
そのはらいせに機密情報をSNSに公開
Copyright © 2015 独立行政法人情報処理推進機構
ライバル会社の営
業秘密を手土産に
すれば、有利に転
職できるかも…
(処遇不満
による)はら
いせ、恨み
29
内部不正による情報漏洩の危険性
【営業秘密の漏えい者の内訳】
中途退職者(正社員)
50.3%
現職従業員等のミス
金銭目的等の動機をもった現職従業員
取引先や共同研究先を経由
26.9%
10.9%
9.3%
中途退職者(役員)
6.2%
定年退職者
6.2%
契約満了後又は中途退職した契約社員
5.7%
取引先からの要請
5.7%
(出典)経済産業省:「営業秘密の管理実態に関するアンケート調査」(2013年)
Copyright © 2015 独立行政法人情報処理推進機構
30
内部の不正行為への対策の難しさ
 不正者が、正規のアクセス権限を持つ内部者であるため、
技術的な対策だけでは防ぐことができない
内部不正が起きやすい状況
監視
システム管理者の監
視ができていない
残業が多く休暇も取れない
業績が評価されない
相談できる人がいない
×
機器管理
業務システム
職場環境や
処遇に不満がある
権限が集中
している
権限が分散
されていない
システム管理者
アカウント管理 ・・・
ログ管理
業務担当者
・・・
Copyright © 2015 独立行政法人情報処理推進機構
31
【2位】内部不正による情報漏えい
~内部不正が事業に多大な悪影響を及ぼす~

対策一覧

経営者層




就業規則およびセキュリティポリシーの整備
職員や委託先との秘密保持誓約の徹底
対策を推進するための体制の構築
システム管理者




資産の把握と重要度による分類
アカウントや権限の管理(設定・抹消)
システム操作の記録と監視
入退室の監視や持込み物等の確認
組織一丸となって積極的に対策を推進する体制を
Copyright © 2015 独立行政法人情報処理推進機構
32
組織における
内部不正防止ガイドライン
 組織作りや環境整備のための10観点(分類)の30対策を網羅
 「対策を考えてこなかった」 「何をすればよいかわからなかった」
という企業も考慮した内容 (特に中小企業を重視)
 防止対策だけでなく、早期発見・拡大防止にも対応
【目次】
1章 背景
2章 概要
3章 用語の定義と関連する法律
4章 内部不正のための管理の在り方
付録Ⅰ 内部不正事例集
付録Ⅱ チェックシート
付録Ⅲ Q&A集
付録Ⅳ 他のガイドライン等との関係
付録Ⅴ 基本方針の記述例
付録Ⅵ 内部不正の基本5原則と25分類
付録Ⅶ 対策の分類
「組織における内部不正防止ガイドライン」 ※日本語版、英語版
Copyright © 2015 独立行政法人情報処理推進機構
33
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
34
【3位】標的型攻撃による諜報活動
~標的組織への侵入手口が巧妙化~


ネット経由のスパイ活動により企業・組織の情報が流出
取引先や関連会社を踏み台にして本丸を狙う傾向あり
Copyright © 2015 独立行政法人情報処理推進機構
35
映像をご覧ください
Copyright © 2015 独立行政法人情報処理推進機構
36
標的型攻撃とは?
 特定の企業・組織を狙い撃ちするサイバー攻撃
– 攻撃者は、標的の身辺を事前に調査し攻撃を仕掛ける
– 政府機関、関係者、知人を装い、ウイルス付メールを
送り付けてくる
– ウイルスに感染すると、そのパソコンを踏み台にして、
更に組織内部に侵入し、機密情報の外部送信や破壊、
業務妨害等を行う
①計画立案
②攻撃準備
③初期潜入
④基盤構築
⑤内部侵入
・調査
⑥目的遂行
• 攻撃目標設定
• 関連調査
• 標的型メール
• C&Cサーバ準備
・マルウェア感染
・バックドア開設
・端末の諜報
・ネットワーク環境
の調査・探索
・端末間での侵害
拡大
・サーバへの侵入
・データの外部送信
・データの破壊
・業務妨害
Copyright © 2015 独立行政法人情報処理推進機構
⑦再侵入
・バックドアを通じ
再侵入
37
サイバー攻撃報道事例
不正アクセスといわれている攻撃
標的型といわれている攻撃
時期
時期
報道
報道
2011/9
2011/9
2011/11
2011/11
三菱重にサイバー攻撃、80台感染…防衛関連も (読売新聞等)
(読売新聞等)
三菱重にサイバー攻撃、80台感染…防衛関連も
サイバー攻撃:参院会館のPC、ウイルス感染は数十台に (毎日新聞等)
(毎日新聞等)
サイバー攻撃:参院会館のPC、ウイルス感染は数十台に
2012/2
2012/2
2012/6
2012/6
農水省に標的型メール攻撃、情報流出狙う? (読売新聞等)
(読売新聞等)
農水省に標的型メール攻撃、情報流出狙う?
パソコン5台、ウイルス感染か=外部サイトと通信-原子力安全基盤機構(時事通信)
パソコン5台、ウイルス感染か=外部サイトと通信-原子力安全基盤機構(時事通信)
2012/7
2012/7
2012/9
2012/9
財務省PC数か月情報流出か…トロイの木馬型 (読売新聞等)
(読売新聞等)
財務省PC数か月情報流出か…トロイの木馬型
「中国紅客連盟」の標的か…総務省統計局サイト (読売新聞等)
(読売新聞等)
「中国紅客連盟」の標的か…総務省統計局サイト
2012/11
2012/11
2012/12
2012/12
JAXA、ロケット設計情報流出か PCがウイルス感染
PCがウイルス感染 (朝日新聞等)
(朝日新聞等)
JAXA、ロケット設計情報流出か
三菱重工もウイルス感染 宇宙関連の情報流出か(産経新聞)
宇宙関連の情報流出か(産経新聞)
三菱重工もウイルス感染
2012/12
2012/12
2013/1
2013/1
原子力機構PCウイルス感染…告発情報漏えい?(読売新聞)
原子力機構PCウイルス感染…告発情報漏えい?(読売新聞)
農水機密、サイバー攻撃…TPP情報など流出か(読売新聞)
農水機密、サイバー攻撃…TPP情報など流出か(読売新聞)
2013/2
2013/2
2013/5
2013/5
米マイクロソフトも感染、アップルと似た攻撃(読売新聞)
米マイクロソフトも感染、アップルと似た攻撃(読売新聞)
大分空港HP、ウイルス感染させるよう改ざん(読売新聞)
大分空港HP、ウイルス感染させるよう改ざん(読売新聞)
2013/7
2013/7
2013/10
2013/10
朝日新聞記者を装うウイルスメール 国会議員2人に届く(朝日新聞)
国会議員2人に届く(朝日新聞)
朝日新聞記者を装うウイルスメール
セブン通販サイトに不正アクセス 15万人の情報流出か(朝日新聞)
15万人の情報流出か(朝日新聞)
セブン通販サイトに不正アクセス
2014/1
2014/1
2014/9
2014/9
「角川」サイト改ざん 閲覧でウイルス感染の恐れ(朝日新聞)
閲覧でウイルス感染の恐れ(朝日新聞)
「角川」サイト改ざん
法務省に不正アクセス 情報流出の可能性(日経新聞)
情報流出の可能性(日経新聞)
法務省に不正アクセス
2014/10
2014/10
2015/1
2015/1
JALの情報漏洩、4131件を特定 増える可能性も(日経新聞)
増える可能性も(日経新聞)
JALの情報漏洩、4131件を特定
朝日新聞社でPC17台がウイルス感染、外部サーバー通じ1カ月以上情報が漏洩(日経)
朝日新聞社でPC17台がウイルス感染、外部サーバー通じ1カ月以上情報が漏洩(日経)
2015/3
2015/3
2015/4
2015/4
成田空港:ホームページ改ざんされ閉鎖(毎日新聞)
成田空港:ホームページ改ざんされ閉鎖(毎日新聞)
富山県運営HP改ざん 個人情報入力画面に誘導(産経新聞)
個人情報入力画面に誘導(産経新聞)
富山県運営HP改ざん
2015/6
2015/6
2015/6
2015/6
不正アクセスで年金情報125万件が流出か(NHK)
不正アクセスで年金情報125万件が流出か(NHK)
標的型メール、東商も被害…1万件超情報流出か(読売新聞)
標的型メール、東商も被害…1万件超情報流出か(読売新聞)
Copyright © 2015 独立行政法人情報処理推進機構
38
参考:日本年金機構の情報漏えい事件
ウイルス感染により
年金情報など125万件の個人情報が流出
対応経費は少なくとも8億円(7月3日の報道)
セキュリティへの意識の低さ
内部統制の欠如
情報漏えい対策の欠如(セキュアな運用の欠如)
• 重要情報の保護・分離の徹底、教育や周知
内部犯行も容易な環境だった
運用のしやすさを優先してセキュリティを下げてよいか、
組織のトップは責任を意識し、
この機会にセキュリティの見直しが必要
Copyright © 2015 独立行政法人情報処理推進機構
39
【3位】標的型攻撃による諜報活動
~標的組織への侵入手口が巧妙化~
 侵入手口
メールからウイルス感染「バラマキ型」「やりとり型」
ウェブからウイルス感染「水飲み場型」
標的組織の関連会社が狙われて踏み台に
 2014年の事例/統計
「やりとり型」の顕在化
•問い合わせ窓口が狙われる
•メールのやりとりの後、ウイルス入りのメールを送る手口
Copyright © 2015 独立行政法人情報処理推進機構
40
サイバー情報共有イニシアティブ(J-CSIP)
2014年度 活動レポート
標的型攻撃メールと見なしたメールで使用された攻撃手口の割合は
2012年度、2013年度と同様、「添付ファイル」が半数以上
Copyright © 2015 独立行政法人情報処理推進機構
41
サイバー情報共有イニシアティブ(J-CSIP)
2014年度 活動レポート
添付ファイルの種別で「実行ファイル」が半数を占める傾向は
2012年度・2013年度から継続
「Office文書ファイル」は、2013年度の8%から31%に増加
Copyright © 2015 独立行政法人情報処理推進機構
42
2015年上半期の状況(警察庁)
警察庁が公開した
「平成27年上半期のサイバー空間をめぐる脅威の情勢について」
(https://www.npa.go.jp/kanbou/cybersecurity/H27_kami_jousei.pdf)
によると・・・
・「ばらまき型」攻撃の多発傾向が継続
・大多数が非公開メールアドレスに対する攻撃
・多くの攻撃において送信元メールアドレスが偽装
・Word文書を添付した攻撃の急増
Copyright © 2015 独立行政法人情報処理推進機構
43
標的型攻撃メールの例と見分け方
 IPAテクニカルウォッチ
「標的型攻撃メールの例と見分け方」
https://www.ipa.go.jp/security/technicalwatch/20150109.htm
標的型攻撃メールの例を示し、
見分けるためのポイントを説明
メールの見分け方
•
•
•
注意するときの着眼点
標的型攻撃メールの例
添付ファイルの種類と解説
Copyright © 2015 独立行政法人情報処理推進機構
44
就職活動に関する問い合わせ
フリーメールアドレスからの送信
人事部門としては、無視することが難しいのだが…
ファイルが添付されている
メールアドレスが異なる
Copyright © 2015 独立行政法人情報処理推進機構
45
製品に関する問い合わせ
フリーメールアドレスからの送信
営業部門としては、無視することが難しいのだが…
圧縮ファイルが添付
メールアドレスが異なる
Copyright © 2015 独立行政法人情報処理推進機構
46
セキュリティに係る注意喚起
公的機関にもかかわらず
フリーメールアドレスからの送信
情報セキュリティに関するメールは無視しずらい…
Copyright © 2015 独立行政法人情報処理推進機構
47
アカウント情報の入力要求
フリーメールアドレスからの送信
日本語の言い回しが不自然
IDやパスワードなどの入力を要求
Copyright © 2015 独立行政法人情報処理推進機構
48
添付ファイルの注意ポイント
【リンクファイル】
アイコン上は文書ファイルの様に見えるが…
ショートカットであることを示す「矢印のマーク」
エクスプローラの詳細表示で見ると…
コマンドプロンプトで表示すると…
ショートカットであることがわかる
ショートカットの拡張子
Copyright © 2015 独立行政法人情報処理推進機構
49
添付ファイルの注意ポイント
【圧縮形式ファイル】
実行形式ファイルのウィルスやリンクファイルのウィルス
そのままメールに添付すると、警告が表示されたり開けない
ことがあるので、「圧縮形式ファイル」に変換してメール添付
標的型攻撃メールで確認された圧縮ファイルの拡張子
・ zip
国内では余り利用されない形式であり、標的型攻撃メールの可能性が高い。
・ rar
・ lzh
・ 7z
・ cab
Copyright © 2015 独立行政法人情報処理推進機構
50
添付ファイルの注意ポイント
【アイコン偽装】
データ形式ファイルのアイコンに偽装された、
実行形式ファイル(ウィルスファイル)
メール受信者の環境(アプリケーションのバージョン違い)
によって、アイコンが異なるため、気付く可能性もあり
Copyright © 2015 独立行政法人情報処理推進機構
51
添付ファイルの注意ポイント
【ファイル名偽装】
・ 二重拡張子
拡張子を表示すると
sample.doc.exe
・ ファイル拡張子の前に大量の空白文字を挿入
sample.pdf (大量の空白文字) .exe
・ 文字列を左右反転するRLOの利用
sample.(左右反転RLO)cod.exe
Copyright © 2015 独立行政法人情報処理推進機構
52
添付ファイルの注意ポイント
フォルダーオプションで、ファイルの拡張子を表示する様に変更
このままではファイルの拡張子が表示されない
Copyright © 2015 独立行政法人情報処理推進機構
53
添付ファイルの注意ポイント
フォルダーオプションで、ファイルの拡張子を表示する様に変更
チェックを外す
Copyright © 2015 独立行政法人情報処理推進機構
54
不審メールに気付いた時は
・ 組織内の情報集約窓口(情報システム担当部門など)に連絡
・ 報告を受けた情報システム担当部門などは、
① メールサーバのログ調査(他の不審メールの受信有無)
② メール受信端末の調査(メール開封、不審URLアクセス)
③ 当該不審メールが標的型攻撃メールであるか否か
・ 標的型攻撃メールかどうか判らない場合は、以下へ連絡を
独立行政法人 情報処理推進機構(IPA)
標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
Copyright © 2015 独立行政法人情報処理推進機構
55
添付ファイルを開いてしまった!
不審なURLにアクセスしてしまった!
・ 標的型攻撃メールの添付ファイル開封、不審URLアクセス
→ パソコンがウィルスに感染した可能性
・ 感染した機器の特定、流出した情報の特定
・ 不審メールを受信したパソコンの初期化は一考を
→ 初期化すると感染機器や流出情報の特定が困難に
① 証拠保全と業務復旧の両面から対応を決定を
② フォレンジック専門のセキュリティベンダーに相談を
・ どうしてよいか判らない場合は、ひとまずIPAに相談を!
Copyright © 2015 独立行政法人情報処理推進機構
56
「高度標的型攻撃」対策に向けた
システム設計ガイド
 「高度標的型攻撃」対策に向けた
システム設計ガイド
https://www.ipa.go.jp/security/vuln/newattack.html
攻撃者が歩きづらいシステム設計
 IPAテクニカルウォッチ
「攻撃者に狙われる設計・運用上の
弱点についてのレポート」
https://www.ipa.go.jp/security/technicalwatch/20140328.html
弱点を生む10の落とし穴
Copyright © 2015 独立行政法人情報処理推進機構
57
システム設計ガイドの考え方
①防御・遮断策
②監視強化策
 攻撃回避を主眼とした設計策
 攻撃シナリオをベースに対策
 不正アクセス・PW窃取等を防止
 早期発見を主眼とした設計策
 攻撃者の足跡を発見
 トラップを仕掛け、ログ監視強化
攻撃者が歩く経路を少なくする事で
監視強化にも繋がる
システムとセキュリティ機能が連携し
攻撃者の足跡を残す
Copyright © 2015 独立行政法人情報処理推進機構
58
情報セキュリティ10大脅威 2015
順位
脅
威
インターネットバンキングや
1位
クレジットカード情報の不正利用
2位 内部不正による情報漏えい
3位 標的型攻撃による諜報活動
4位 ウェブサービスへの不正ログイン
5位 ウェブサービスからの顧客情報の窃取
6位 ハッカー集団によるサイバーテロ
7位 ウェブサイトの改ざん
8位 インターネット基盤技術を悪用した攻撃
9位 脆弱性公表に伴う攻撃
10位 悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
59
【4位】ウェブサービスへの不正ログイン
~利用者は適切なパスワード管理を~
パスワードを窃取されウェブサービスを不正利用される
複数サービスでパスワードを使い回すユーザーが被害に
Copyright © 2015 独立行政法人情報処理推進機構
60
【4位】ウェブサービスへの不正ログイン
~利用者は適切なパスワード管理を~
 手口と影響
パスワードの推測
パスワードの窃取(ウイルス感染、別サービスから窃取)
サービスに不正ログインされ、
個人情報の窃取やポイントを不正利用される
 2014年の事例/統計
SNSサービスへの不正ログイン
•アカウントが乗っ取られる事件が多発
•攻撃者は友人になりすまし、プリペイドカードの購入を依頼
Copyright © 2015 独立行政法人情報処理推進機構
61
【4位】ウェブサービスへの不正ログイン
~利用者は適切なパスワード管理を~
 対策一覧
ウェブサービス利用者
•推測されにくいパスワードを設定する
•パスワードを使い回さない
•二要素認証等の強い認証方式の利用
サービス提供者
•安全なウェブサービスの提供
•複雑なパスワード設定を要求
(少ない文字数の拒否、記号の使用の確認等)
•二要素認証等の強い認証方式の提供
パスワードは推測されにくいものを設定し、
複数のサービスで使い回さない
Copyright © 2015 独立行政法人情報処理推進機構
62
パ*ス*ワード -もっと強くキミを守りたい-
原宿ファッションジョイボード文化展に
「パスワード」をテーマにしたユニークな
マンガポスターを掲示中
Copyright © 2015 独立行政法人情報処理推進機構
63
パ*ス*ワード -もっと強くキミを守りたい-
Copyright © 2015 独立行政法人情報処理推進機構
64
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
65
【7位】ウェブサイトの改ざん
~知らぬ間に、ウイルス感染サイトに仕立てられる~
ウェブサイトを改ざんされてウイルス感染に悪用される
サイト運営者はウイルス感染に加担した加害者側に
Copyright © 2015 独立行政法人情報処理推進機構
66
【7位】ウェブサイトの改ざん
~知らぬ間に、ウイルス感染サイトに仕立てられる~
 手口や影響
ソフトウェアやウェブアプリケーションの脆弱性を悪用
リモート管理用のサービスからの侵入
ウイルス感染やC&Cサーバー、
主義主張・自己顕示に悪用される
 2014年の事例/統計
コンテンツ管理システム(CMS)が標的に
•国産CMSのWDPの脆弱性を悪用され多数のサイトが被害に
•管理されず放置されているウェブサイトが狙われる
Copyright © 2015 独立行政法人情報処理推進機構
67
【7位】ウェブサイトの改ざん
~知らぬ間に、ウイルス感染サイトに仕立てられる~
 対策
ウェブサイト運営者
•サーバーソフトウェアの更新
•サーバーソフトウェアの設定の見直し
•ウェブアプリケーションの脆弱性対策
•アカウント・パスワードの適切な管理
ウェブサイト閲覧者
•ソフトウェアの更新
•ウイルス対策ソフトの導入
ウェブサイト運営者は利用しているソフトウェアを
適切に管理し、安全な運用を
Copyright © 2015 独立行政法人情報処理推進機構
68
参考:ウェブ改ざん攻撃の傾向
~2013年よりウェブサイト改ざんが急増~
2013年に急増
その後、高い件
数で推移!!
出典:IPA・JPCERT/CC 共同注意喚起
注意喚起「ウェブサイトの改ざん回避のために早急な対策を」
https://www.ipa.go.jp/about/press/20140813.html
Copyright © 2015 独立行政法人情報処理推進機構
69
ご参考:情報システムの
ライフサイクルとセキュリティ対策
要件定義
セ
キ
ュ
リ
テ
ィ
対
策
■脅威の把握
■システム全
体のセキュリ
ティ要件定義
設計
■方式設計
■実装設計
Copyright © 2015 独立行政法人情報処理推進機構
実装
■セキュア設
定・構築
■セキュアプロ
グラミング
テスト・検証
■ペネトレー
ションテスト
■脆弱性診断
■ソースコード
診断
運用
■脆弱性対策
■ウイルス対策
■ユーザ教育
70
紹介:セキュアな開発と運用の参考資料
 IPA「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html
SQLインジェクションなど11種類の脆弱性
について、特徴や対策を解説
ウェブサーバー運用の方策
コーディングの失敗例
Copyright © 2015 独立行政法人情報処理推進機構
71
情報セキュリティ10大脅威 2015
順位
1位
2位
3位
4位
5位
6位
7位
8位
9位
10位
脅 威
インターネットバンキングや
クレジットカード情報の不正利用
内部不正による情報漏えい
標的型攻撃による諜報活動
ウェブサービスへの不正ログイン
ウェブサービスからの顧客情報の窃取
ハッカー集団によるサイバーテロ
ウェブサイトの改ざん
インターネット基盤技術を悪用した攻撃
脆弱性公表に伴う攻撃
悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
72
【9位】脆弱性公表に伴う攻撃
~求められる迅速な脆弱性対策~
公表された広く利用されているソフトウェアの脆弱性が
相次いで攻撃に悪用される
Copyright © 2015 独立行政法人情報処理推進機構
73
【9位】脆弱性公表に伴う攻撃
~求められる迅速な脆弱性対策~
 手口と影響
脆弱性の情報から攻撃コードを作成
公表に気付かない、対応・判断が遅れた利用者が被害に
 2014年の事例/統計
サーバーソフトウェアの脆弱性の公表
•OpenSSLの“Heartbleed”やbashの“ShellShock“の
脆弱性を悪用する攻撃の観測
•Apache Struts2の脆弱性の修正が不十分で再度パッチを公開
Copyright © 2015 独立行政法人情報処理推進機構
74
補足:
Adobe Flash Playerの脆弱性の悪用
 公表から数日~数週間で、脆弱性を悪用
4月15日に公表された脆弱性
• 公表時点でAdobeは悪用確認済み(ゼロデイ)
• 4月18日に米国企業FireEyeが悪用確認と公表
5月13日に公表された脆弱性
• 5月29日に米国企業FireEyeが悪用確認と公表
6月10日に公表された脆弱性
• 6月16日にトレンドマイクロが悪用確認と公表
Copyright © 2015 独立行政法人情報処理推進機構
75
【9位】脆弱性公表に伴う攻撃
~求められる迅速な脆弱性対策~
 対策
経営者層
•迅速な対応に向けた体制の整備
ソフトウェア利用者
•管理しているシステムの把握
•定期的な脆弱性情報の収集
•ソフトウェアの更新
脆弱性公表をキャッチして迅速に対応できる
体制や習慣を作る
Copyright © 2015 独立行政法人情報処理推進機構
76
ソフトウェアの更新情報はIPAを参照
https://www.ipa.go.jp
ソフトウェアの更新を知るには、
IPAの重要なセキュリティ情報から
IPAのウェブページ
ソフトウェアの更新情報(脆弱性情
重要なセキュリティ情報
報)を収集
をチェック
Copyright © 2015 独立行政法人情報処理推進機構
77
サイバーセキュリティ注意喚起サービス icat
https://www.ipa.go.jp/security/vuln/icat.html
 緊急度の高いセキュリティ上の問題について、リアルタイムに情報を配信
IPAから発信する重要なセキュリティ情報を、リアルタイムで企業や団体の
ウェブサイト上に表示します。
新たな脅威
自社のウェブサイト
IPA
ウェブサイト
サイバー攻撃
協力組織ウェブサ
イト
顧客・会員ユーザ
自社のシステム管理者
ウイルス
不審メール
攻撃
観測
緊急対策
情報
予兆
脆弱性情報
情報
通知
同
期
同期掲載
緊急に対策が必要な脆弱性の情報を即座に確認・周知可能
Copyright © 2015 独立行政法人情報処理推進機構
78
サイバーセキュリティ注意喚起サービス icat
http://www.ipa.go.jp/security/vuln/icat.html
利用方法
ウェブサイトに下記の HTML タグを挿入してください。
IPAの「重要なセキュリティ情報」と同期して自動更新します。
<script type="text/javascript"
src="//www.ipa.go.jp/security/announce/ICATalerts.js">
</script>
表示サイズ:縦長バージョン 幅 190ピクセル 高さ 350ピクセル
※横長バージョンもあります。詳細は参考URLよりご確認ください。
イントラネットのウェブサイトに設置すると、従業員へ
効率的にセキュリティ情報を周知することができます
Copyright © 2015 独立行政法人情報処理推進機構
79
MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/index.htm
2
1
1
ウェブページにアクセスし、MyJVNバージョン
チェッカを起動します。
2
実行をクリックするとチェック結果が表示
されます。
※ JRE版とMicrosoft .NET Framework版があります。
Copyright © 2015 独立行政法人情報処理推進機構
80
10大脅威における基本対策の効果
ソフトウェ
アの更新
威
ウイルス パス
対策
ワード
ソフト
の強化
設定の
見直し
手口を
知る
順位
脅
1位
インターネットバンキングや
クレジットカード情報の不正利用
○
○
○
2位
内部不正による情報漏えい
○
○
○
○
○
3位
標的型攻撃による諜報活動
○
○
○
○
○
4位
ウェブサービスへの不正ログイン
○
○
○
5位
ウェブサービスからの顧客情報の窃取
○
○
○
○
○
6位
ハッカー集団によるサイバーテロ
○
○
○
○
○
7位
ウェブサイトの改ざん
○
○
○
○
○
8位
インターネット基盤技術の悪用
○
○
○
○
9位
脆弱性公表に伴う攻撃
○
○
○
○
○
○
○
10位 悪意のあるスマートフォンアプリ
Copyright © 2015 独立行政法人情報処理推進機構
○
○
凡例:○ 対策効果あり、または部分的に効果あり
81
参考資料
Copyright © 2015 独立行政法人情報処理推進機構
82
5分でできる!
情報セキュリティ自社診断
自社のセキュリティ対策状況を把握する為に
「5分でできる!情報セキュリティ自社診断」
を活用しましょう
25個の診断項目に答えるだけで、
自社の情報セキュリティの問題点
を簡単にチェックできます
診断結果を自動集計して、過去
の診断や他社との比較ができる
Web版もあります
https://isec-portal.ipa.go.jp/supportsecurity/act001/dgnss/dgnss/
Copyright © 2015 独立行政法人情報処理推進機構
自社診断
検索
83
企業(組織)における最低限の
情報セキュリティ対策のしおり
自社の情報セキュリティ対策を実施するため
「企業(組織)における最低限の情報セキュリ
ティ対策のしおり」を活用しましょう
企業・組織の経営者、管理者の
方々を対象とした小冊子です
各テーマは「5分でできる!自社
診断」の25のチェック項目に連動
しています
その他、スマートフォン、無線LAN、
情報漏えい対策などのしおりも
ご用意しています
対策のしおり
Copyright © 2015 独立行政法人情報処理推進機構
検索
84
5分でできる!
情報セキュリティポイント学習
従業員の情報セキュリティ教育のため
「5分でできる!情報セキュリティポイント学習」
を活用しましょう
1テーマ5分で情報セキュリティについて勉強できる
無償の学習ツールです
各テーマは「5分でできる!自社診断」の25の
チェック項目に連動しています
Copyright © 2015 独立行政法人情報処理推進機構
iSupport
検索
85
映像で知る情報セキュリティ
 情報セキュリティに関する様々な脅威と対策を10分
程度のドラマで分かりやすく解説した映像コンテン
ツ12タイトルをDVDで提供中です。
 YouTube「IPAチャンネル」では16タイトルを
いつでも試聴できます。
Copyright © 2015 独立行政法人情報処理推進機構
86
IPA対策のしおり
Copyright © 2015 独立行政法人情報処理推進機構
87
IPAからのお願い
Windows XPのサポートが、2014年4月9日に終了しました。
まだ移行していない方は、不正アクセス等を回避するためサポート
の継続する後継OS、または代替OSへの移行が望まれます。
サポート期間中
サポート期間終了後
Copyright © 2015 独立行政法人情報処理推進機構
IPA XP移行
検索
88
ITパスポート公式キャラクター
上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき
ITに関する基礎的な知識が証明できる国家試験です。
Copyright © 2015 独立行政法人情報処理推進機構
89
情報セキュリティに関する新たな国家試験!
情報セキュリティマネジメント試験
情報セキュリティマネジメントの計画・運用・評価・改善を通して組織
の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための
基本的スキルを認定する試験
情報セキュリティ
マネジメント試験
とは
試験の位置づけ
試験時間・出題形式
経済産業省所管の国家試験である「情報処理技術
者試験」の新たな試験区分として創設。
時間
区分
試験
時間
出題形式
午前
90分
多肢選択式
午後
90分
多肢選択式
(四肢択一)
出題数
解答数
50問
50問
3問
3問
基準点
60点
(100点満点)
60点
(100点満点)
更に詳しく知りたい方へ
職場の情報セキュリティ管理者育成に!
CCSF レベル2
相当の試験区分
・開始:H28年度春期
(申込受付:2016年1月中旬開始予定)
・春期・秋期の年2回
(春期:4月第3日曜、秋期:10月第3日曜)
Copyright © 2015 独立行政法人情報処理推進機構
新試験
がわかる
パンフレット
職場の
情報セキュリティ
管理者のための
スキルアップガイド
情報セキュリティ
スキルアップ
ハンドブック
新試験の対象者像を踏まえ作成
90
ご清聴ありがとうございました
独立行政法人 情報処理推進機構
技術本部セキュリティセンター
〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス15階
TEL 03(5978)7508 FAX 03(5978)7546
電子メール [email protected]
URL http://www.ipa.go.jp/security/
Copyright © 2015 独立行政法人情報処理推進機構
91
Copyright © 2015 独立行政法人情報処理推進機構
92