• 検索結果がありません。

49 あ方い示い2

人 掘 育

既 就職 い 社会人 就職

者 対 情報 術 習得機

会 提 供 場 あ

対 専門家 向 強い 者 対 術 面 倫 理 面 法 面 等 い 知 識 実践能 力 向 人的 ワ 確 立

日 将来 専門家 得

優 人 掘 育 目 的 開 催 い

2004

毎 開催 計

600

人 輩出 い 3

:対策 / 対応<

組織

組織 対応体 確立4 人 確保 戦略 決

人 対 算や確保 い 中長期的 戦略 決 い

人 &企画 術 運用 管理 案対処 等 保持 人 ' 用

業 経 い 中 途 用者や

IT

礎知識 い い 用 者 入社 育 良い

対策 実施

組織 組 や 理解

整 理 伝 え 方 等 学

必要 あ

担 当 部 門 開 担 当 部 門 等 数 単 希望者 対 要員交 実施

各 部 門 知 識 術 人

拡 い 交 要 員 い 部 門 元 部 門 得 情報 共 部門

方 得

資格 得 推奨

社 資格 整備

人 確立

業 必要 的 測

自社 人 充足 測

能 業員 求

把 握 得 資

格 や

情報 向

教育

部門 全部門 期的

研 修 実 施 感 染 対 応手 い 最 限必要

組織 要 あ

外部 教育 活用

外部 開催

CTF

& 術

'や勉強会等 組 進

参考資料

1. IT人 最 動向 将来推計 調査報告書

http://www.meti.go.jp/press/2016/06/20160610002/20160610002.html

2. 人 育

https://www.nisc.go.jp/active/kihon/pdf/jinzai2017.pdf

3. 全国大会2017

https://www.ipa.go.jp/jinzai/camp/2017/zenkoku2017.html

4. 経営

http://www.meti.go.jp/policy/netsecurity/mng_guide.html

50

6 ブサヸビス 個人情報 窃取

~ ブサヸビス 弱性対策 迅速 ~

2017

引 弱 用 録 い 個人情報や

情報等 要 情報 窃 被害 生 い 情報 窃 攻撃者 顧 客

や利用者 個人情報 用 審 信 利用 あ

:攻撃者<

犯罪 犯罪者

:被害者<

組織( 運営者)

個人( 利用者)

: 威 響<

多 個 人 情 報 等 録

い 例えば あ ば個人情報

含 要 情報&氏 生 日 所 情報等' 録 い

SNS

あ ば自身 情報 え 人 個人情報 録

い あ

方 々 構

利用 い 等

適 管 理 い い場 弱

提供 い あ

う 弱 攻撃

録 あ 要 情報 窃 情報

利用 被害 確認 い

提 供 攻撃者 標的 や い

:攻撃手 <

企業 開 弱

開 十

考慮 い い 弱 作 込 あ 例えば

SQL

文 実行

操作 能

SQL

等 情報

漏 え い 弱 作 込 弱

用 場 個人情報 含 要 情報 窃 あ

弱 用

OS CMS

等 複

数 構 い

弱 用 攻撃 行う 特 共通的 広 使わ い

OpenSSL Apache Struts WordPress

等' 弱 場 攻撃手法 明 複数

攻撃 標的 や い

個人

6

51

: 例 傾向<

売 大 手

Apache Struts2

弱 情報漏えい

2017 4

売大手 あ 運営

い い 最大約

15

5,000

個 人 情 報 漏 え い 能 あ 表 件

Apache Struts2

弱 用 原因 あ 1

山情報

SQL

弱 情報漏えい

山情報 い

氏 や 等

1,160

情報 漏えい 情報漏えい 原因 構築 運用 委 企業 開

SQL

用 あ 2

:対策 / 対応<

組織& 運営者'

被害 防

対策 算 体 確保 入 や 保 作 業 十 算 体 確保

構築

構 築 要 件 義等 初期段階 構

考 慮 必 要 あ 例 え ば 全

作 方 3

Web /Web

要件書 4

5 参考 漏

え い 最 限 必 要

個人情報等 持 い う 検討

等 使 構

築 い 場

対 対 策 容 確 認

要 あ

診断& 診断

診断等'

入 や 改修 実施 改修

1 1

回等 期的 診断 行う

OS

OS

や 最 や

開 迅 速 対 応 要

IPA

要 情報 6等 各組 織 信 注意喚起情報 日々確認

WAF IPS

入 対策情報& 設 等' 期的

更 作業 あ 想

被害 期検知

適 得 的

被害 対応

CSIRT

連絡

響調査 原因 追究

漏えい 情報 対 利用者 補償

参考資料

1. Struts2 漏洩 あ運営 B.LEAGUE 流出 番 被害

http://tech.nikkeibp.co.jp/it/atcl/news/17/042501271/

2. 山 渓谷 1160件 個人情報 流出

http://itpro.nikkeibp.co.jp/atcl/news/17/121902889/

3. 全 作 方 改訂第7版

https://www.ipa.go.jp/files/000017316.pdf

4. Web /Web 要件書

https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf

5. 講

https://www.ipa.go.jp/files/000059838.pdf

6. 要 情報

https://www.ipa.go.jp/security/announce/about.html

52

7 IoT 機器 弱性 顕在化

~IoT 機器 弱性を突 攻撃 、開 ベンダヸ 弱性 対 適切 対処を~

2016

IoT

機器 弱 用 感染 や

対 大規模 散型 妨害&

DDoS

'攻撃 行わ 等 被害 確認 い 国

売 い

IoT

機器 い 弱 見 機器 乗 撮 機能等 用 個人

情報 窃 い 険 あ 表 い

:攻撃者<

犯罪 犯罪者&愉快犯'

:被害者<

組織&企業

IoT

機器利用者'

個人&

IoT

機器利用者'

: 威 響<

IoT

機器 世間 透 々 情

報家電 機器 療 機器 産業用 設備 機器

御 等 ワ 通 利 用

う 方

IoT

機器 開 者

検討 十 等 弱 作 込

い ワ

想 い 機器

攻撃者 ワ 越

弱 用 能 い 用

DDoS

攻撃 踏 搭載 い

機能 利用 等 被害 遜う あ

IoT

機器 利用者

IoT

機器 ワ

い いう意識 薄 感染

被 害 い 軽 弱 対 策 等 対 策 行 い い あ 被 害

拡大 い

:攻撃手 <

弱 用 感染

IoT

機器 弱 用

感染 感染

開 い 等

DDoS

攻撃 行

IoT

機器 搭載 い 機

能 利用

感染 拡大

感染 弱 持

IoT

器 い 索 場

IoT

機器

感染 感染 拡大 い

: 例 傾向<

掃 除 弱

映像 見 能

製 掃除機

COCOROBO

' 部機種 弱 あ 第 者 個人 外

53

操作 あ 掃除機

操作 能 利用 無線

LAN

十 設 場 掃 除 機 弱 用 攻撃者 掃除機 乗

弱 対 応 更 提 供

適用 い 1

IoT

機器 狙う

Mirai

亜種 生

2017 11

感染

IoT

機器等

大規模

DDoS

攻撃 生

Mirai

派生 攻撃 あ 明

2017 7 9

掛 感染

100Gbps

超え

DDoS

攻撃 行 い 攻 撃

Mirai telnet

等 使わ

23/TCP 2323/TCP 37215/TCP 52869/TCP

等 狙わ

い 特

52869/TCP

対象 攻撃 通信

既 知 弱 あ

CVE-2014-8361

目的 2

弱 用

IoTroop IoT_reaper

確認 数 万 規模

IoT

機器 感染 い 感染 い 主

IoT

機器

接 い 攻撃

Mirai

う 機器 設

ID

等 使わ 既知 弱 用 国 設置

い 感染 確 認 製

品 認証回 避 弱

CVE-2017-8225

3

:対策 / 対応<

組織&

IoT

機器 開 者'4,5

被害 防

初期 ワ 変更 強

弱 解消& 弱

検査 検査 等'

更 手段 自動 易い 扱 明書 作

迅速 提供

利 用 者 要 機 能 無 効 &

NAPT

等'

範 限

全 設

利用者 適 管理

IoT

機器 利用者 必 情報

い 限 い や

等 適 管理

期間 明確

期 間 明確 利用

者 伝 え 状 態 利 用

注意

組織& 管理者 利用者' 個人

情報 向

使用前 明書 確認

被害 防

開 迅 速 更 & 自 動 更 機能 効 '

廃棄 初期

IoT

機 器 要 情 報 含 場

あ 廃棄 初期 廃棄業者等 出 消去や秘密保持 契約

被 害 防 い 書 個 人

9

対策 参考 欲 い

被害 対応

CSIRT

連絡

IoT

機器 電源

IoT

機器 初期 被害 防 実施

響調査 原因 追究

参考資料

1. 掃除 情報 弱 確認 映像 見 能

http://www.sankei.com/west/news/171116/wst1711160112-n1.html

2. IoT Mirai 亜種 活 --100Gbps DDoS攻撃

https://japan.zdnet.com/article/35112184/

3. IoT 出現 Mirai DDoS攻撃 生 懸念

https://japan.zdnet.com/article/35109216/

4. IoT開 設計 手引 開

https://www.ipa.go.jp/security/iot/iotguide.html

5. 利用 品質 観 盛 込 世界 開 指針&第2版' 行

https://www.ipa.go.jp/sec/reports/20170630.html

54

8 内部不 情報漏えい

~内部不 を許さ い管理ヷ監視体制を~

組織 部 業員や元 業員 や金銭目的等 個人的 利益 組織 情報 持

出 い 組織 情報持 出 情報 持 出 情報 失 情

報漏えい あ 部 覚 場 組 織 被害把握や原因追求等 対応 追わ 社会的信用 失墜等

:攻撃者<

組織 職員& 職者 職者'

:被害者<

組織

個人&顧客 利用者'

: 威 響<

組織 や金銭目的等 意 持 組 織 部 業 員 や 元 業員 業 委 作業 者

部 情報 持 出 開 売

組織 損害 え あ 業員 自宅

や 外 出 部 情 報 持 出

失 い 情報漏えい あ

部 情 報 漏 え い 響 社 会 的信用 失墜 機会 損失 賠償等 金銭 的 株価 落等 あ 場

連鎖的 生

:攻撃手 <

限 用

自身 持 限 範 組織 情報 得 自身 い 限 持 い 場 や 必要 い 限 当 人 必 要 い 限 付 い 場 多 情報 窃

職前 用

組 織 職 自 身 職 前 使 い 使 組織 情 報 得 組 織 職 者 削 除 い い 場 起

USB

や電子 等 外部持

組織 部情報

USB CD/DVD PC

等 保 電子 付 外部

持 出 媒体 持 出

個人 外

55

: 例 傾向<

元 業員 顧客情報 持出 持 込 業者 通報 覚

GMO

元 業員 顧客情報や営

業 連 等

3

2,800

件 外付

自身 業 請 い 会社 持 込 い

請 企業

GMO

側 業 情

報 持 込 能 あ 通報 覚 1

日 金機 構職員 個人情 報 持 出 売 逮捕

日 金 機 構 職 員 金 入 者 個 人 情 報 盗 逮 捕 職 員 盗 個 人 情 報 第 者 提供 見返 金銭 等

い 件 機構 期的 実施 い

職員 持 物 検 覚 2

職員 無断 児童 個人情報 持 出 大 阪 市 市 立 学 校 教 員 児 童 個 人 情 報

保 無断 外部 持 出

外部 飲食 宅途中 転倒 意

識 失い 間 何者 当

鞄 持 去

個人情報 持 出 市教育委員会 禁

い い 3

:対策 / 対応<

組織

被害 防

資産 把握 体 整備

組織 保持 資産 要 等 類 経 営 責 任 持 資 産 管 理 体 整 備 積極的 推 進 要 あ 部

対策 多岐 渡 網羅的 行う 必要 あ

IPA

組織 部 防

4

用い 対策状況 確 認

要情報 管理 保護& 御 暗 ' 競 防 法 営業秘密漏洩罪 問わ

い 秘密管理 要

限 管理 期 査 必要 い 限 付

共 い

情 報 扱 作 周 知 徹 底 機 密

保護 誓約

罰則 周知 相互 強

失 漏えい 隠蔽 場 懲罰

周知 効 あ

外部 憶媒体 利用 限

USB

等 外部 憶 媒体 利用

許 外 機器 接 禁

情報 向

情報 扱教育 実施

被害 期検知 操作 録

IPA

行 部 実態調査 5

効 的 部 対策

効 期待

併 得 い

周知 部 抑 効 あ

被害 対応

CSIRT

連絡

響調査 原因 追究 警察 相談

参考資料

1. 元 業員 顧客情報 持出 持 込 業者 通報 覚 - GMO

http://www.security-next.com/078598/

2. 日 金機構職員 窃盗容疑 逮捕 - 個人情報 持 出 http://www.security-next.com/083325/

3. 学校4校 児童個人情報含 HDD 失 - 気 失 間 持 去 http://www.security-next.com/086000/

4. 組織 部 防

https://www.ipa.go.jp/files/000057060.pdf

5. 部 情報 実態調査

https://www.ipa.go.jp/files/000051140.pdf

56

9 サヸビス妨害攻撃 サヸビス 停

~ボット ルス 感染拡大 伴う攻撃 大幅増~

感染

IoT

機器等

DDoS

& 散型 妨害'攻撃 行わ い

DNS

荷状態 利用者 被害 確認 い

2017

式 開

DDoS

攻撃 行わ 被害 確認 い

:攻撃者<

犯罪 犯罪者&愉快犯'

:被害者<

組織& 運営者'

個人& 利用者'

: 威 響<

普 伴い 官 庁や企業 民間

団体等 多 組織 運営

使 情報 信や 提供 行

い や組織 利用 い

DNS

DDoS

攻撃 掛 閲覧 能

等 業 妨 害 行 行わ い 攻 撃 感染

IoT

機器等 行わ い 攻 撃 者 環 境 準 備 攻 撃 行 い

DDoS

攻撃 行

利 用 い あ 妨 害 目 的 主 義 主 張 誇示や社会混乱 金銭要求等 あ

:攻撃手 <

DDoS

攻撃

DDoS

攻撃 主 手 使わ

利用

構築 攻撃 出

標 的 組 織 や 組 織 利 用 い

DNS

想 外 大 行い

荷 攻撃

攻撃

信元 標的組織 騙 弱

多数 や

DNS

等 通信 応 答 結 標 的 組 織 付 荷

攻撃

 DNS

水責 攻撃 標 的 組 織

付 問 い わ 標 的 組 織

DNS

荷 攻撃

 DDoS

行 利用

DDoS

行 法 利用

攻撃 専門的 術 無 攻撃 個人 外

57

: 例 傾向<

2017 8

大規模

DDoS

攻 撃 確 認 原 因 式

Google Play Android

用 配信

い 踏 特

DDoS

攻撃 掛

WireX

込 い あ

300

種 対象 斉

削 除 行 わ 併 感 染 い 端 対 象 削除 処置 講 い 1

IoT

機器

2016

大規模

DDoS

攻撃 原因

IoT

機 器 踏 構 築

Mirai

亜 種 確 認 い

2017

11

Mirai

亜種 感染活動 活

2感染 拡大 既知

弱 &

CVE-2014-8361

' 用 い

DDoS

攻撃 金銭 要求

DDoS

攻撃 掛 攻撃

ば金銭 支払え 迫 行う 例 確 認 い

DDoS

攻 撃 行 組 織 向

迫 例や広い範 向

DDoS

攻撃 行う 迫 例 確認 い 3,4

:対策 / 対応<

組織&

IoT

機器 '

被害 防 弱 対策

IoT

機器 や 感染

乗 用

攻撃 踏 い

IoT

機器 弱 対策や対応 強 必要 あ 5

組織& 運営者'

被害 防

DDoS

攻撃 響 和

ISP

CDN

利用

既 利 用 い 場

価 費 用 考 慮 最 大許 容 見直 等 行う 等

DDoS

対策 行 い 場 利用

冗長 等 軽減策 ワ 冗長

DDoS

攻撃 響 い非常 用

ワ 前 準備

停 替 用 意

告知手段 整備

DDoS

攻撃 停

想 替え 利

用者 混 乱 い 状況 連 絡 連

絡手段 替

SNS

等 告知手段 用意

被害 対応

CSIRT

連絡

通信 御&

DDoS

攻撃元 等'

利用者 状況 告知 響調査 原因 追究

参考資料

1. Android端 踏 DDoS攻撃 生 Google Play 300

http://www.itmedia.co.jp/enterprise/articles/1708/29/news052.html

2. Mirai 亜種 感染活動 注意喚起

https://www.jpcert.or.jp/at/2017/at170049.html

3. Armada Collective 乗 攻撃者 DDoS 攻撃 情報

https://www.jpcert.or.jp/newsflash/2017062901.html

4. Phantom Squad 乗 攻撃者 DDoS 攻撃 情報

https://www.jpcert.or.jp/newsflash/2017092101.html

5. IoT開 設計 手引 開

https://www.ipa.go.jp/security/iot/iotguide.html

今ダウンロードする "情報セキュリティ10大脅..."

Outline

関連したドキュメント