人 掘 育既 就職 い 社会人 就職
者 対 情報 術 習得機
会 提 供 場 あ
対 専門家 向 強い 者 対 術 面 倫 理 面 法 面 等 い 知 識 実践能 力 向 人的 ワ 確 立
日 将来 専門家 得
優 人 掘 育 目 的 開 催 い
2004
毎 開催 計600
人 輩出 い 3
:対策 / 対応<
組織
組織 対応体 確立4 人 確保 戦略 決人 対 算や確保 い 中長期的 戦略 決 い
人 &企画 術 運用 管理 案対処 等 保持 人 ' 用
業 経 い 中 途 用者や
IT
礎知識 い い 用 者 入社 育 良い対策 実施
組織 組 や 理解
整 理 伝 え 方 等 学
必要 あ
担 当 部 門 開 担 当 部 門 等 数 単 希望者 対 要員交 実施
各 部 門 知 識 術 人
拡 い 交 要 員 い 部 門 元 部 門 得 情報 共 部門
方 得
資格 得 推奨
社 資格 整備
人 確立
業 必要 的 測
自社 人 充足 測
能 業員 求
把 握 得 資
格 や
情報 向教育
部門 全部門 期的
研 修 実 施 感 染 対 応手 い 最 限必要
組織 要 あ
外部 教育 活用
外部 開催
CTF
& 術'や勉強会等 組 進
参考資料
1. IT人 最 動向 将来推計 調査報告書
http://www.meti.go.jp/press/2016/06/20160610002/20160610002.html
2. 人 育
https://www.nisc.go.jp/active/kihon/pdf/jinzai2017.pdf
3. 全国大会2017
https://www.ipa.go.jp/jinzai/camp/2017/zenkoku2017.html
4. 経営
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
50
6 ブサヸビス 個人情報 窃取
~ ブサヸビス 弱性対策 迅速 ~
2017
引 弱 用 録 い 個人情報や情報等 要 情報 窃 被害 生 い 情報 窃 攻撃者 顧 客
や利用者 個人情報 用 審 信 利用 あ
:攻撃者<
犯罪 犯罪者:被害者<
組織( 運営者)
個人( 利用者): 威 響<
多 個 人 情 報 等 録
い 例えば あ ば個人情報
含 要 情報&氏 生 日 所 情報等' 録 い
SNS
あ ば自身 情報 え 人 個人情報 録い あ
方 々 構
利用 い 等
適 管 理 い い場 弱
提供 い あ
う 弱 攻撃
録 あ 要 情報 窃 情報
利用 被害 確認 い
提 供 攻撃者 標的 や い
:攻撃手 <
企業 開 弱用
開 十
考慮 い い 弱 作 込 あ 例えば
SQL
文 実行操作 能
SQL
等 情報漏 え い 弱 作 込 弱
用 場 個人情報 含 要 情報 窃 あ
弱 用OS CMS
等 複数 構 い
弱 用 攻撃 行う 特 共通的 広 使わ い
&
OpenSSL Apache Struts WordPress
等' 弱 場 攻撃手法 明 複数攻撃 標的 や い
個人
6
51
: 例 傾向<
売 大 手Apache Struts2
弱 情報漏えい2017 4
売大手 あ 運営い い 最大約
15
万5,000
件個 人 情 報 漏 え い 能 あ 表 件
Apache Struts2
弱 用 原因 あ 1
山情報SQL
弱 情報漏えい
山情報 い
氏 や 等
1,160
情報 漏えい 情報漏えい 原因 構築 運用 委 企業 開
SQL
弱用 あ 2
:対策 / 対応<
組織& 運営者'
被害 防対策 算 体 確保 入 や 保 作 業 十 算 体 確保
構築
構 築 要 件 義等 初期段階 構
考 慮 必 要 あ 例 え ば 全
作 方 3
Web /Web
要件書 4や
講 5 参考 漏
え い 最 限 必 要
個人情報等 持 い う 検討
等 使 構
築 い 場
対 対 策 容 確 認
要 あ
診断& 診断
診断等'
入 や 改修 実施 改修
1 1
回等 期的 診断 行うOS
更OS
や 最 や開 迅 速 対 応 要
あ
IPA
要 情報 6等 各組 織 信 注意喚起情報 日々確認WAF IPS
入入 対策情報& 設 等' 期的
更 作業 あ 想
被害 期検知適 得 的
被害 対応CSIRT
連絡響調査 原因 追究
漏えい 情報 対 利用者 補償
参考資料
1. Struts2 漏洩 あ運営 B.LEAGUE 流出 番 被害
http://tech.nikkeibp.co.jp/it/atcl/news/17/042501271/
2. 山 渓谷 1160件 個人情報 流出
http://itpro.nikkeibp.co.jp/atcl/news/17/121902889/
3. 全 作 方 改訂第7版
https://www.ipa.go.jp/files/000017316.pdf
4. Web /Web 要件書
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf
5. 講
https://www.ipa.go.jp/files/000059838.pdf
6. 要 情報
https://www.ipa.go.jp/security/announce/about.html
52
7 IoT 機器 弱性 顕在化
~IoT 機器 弱性を突 攻撃 、開 ベンダヸ 弱性 対 適切 対処を~
2016
引IoT
機器 弱 用 感染 や対 大規模 散型 妨害&
DDoS
'攻撃 行わ 等 被害 確認 い 国売 い
IoT
機器 い 弱 見 機器 乗 撮 機能等 用 個人情報 窃 い 険 あ 表 い
:攻撃者<
犯罪 犯罪者&愉快犯':被害者<
組織&企業IoT
機器利用者'
個人&IoT
機器利用者': 威 響<
IoT
機器 世間 透 々 情報家電 機器 療 機器 産業用 設備 機器
御 等 ワ 通 利 用
う 方
IoT
機器 開 者検討 十 等 弱 作 込
い ワ
想 い 機器
攻撃者 ワ 越
弱 用 能 い 用
DDoS
攻撃 踏 搭載 い機能 利用 等 被害 遜う あ
IoT
機器 利用者IoT
機器 ワい いう意識 薄 感染
被 害 い 軽 弱 対 策 等 対 策 行 い い あ 被 害
拡大 い
:攻撃手 <
弱 用 感染IoT
機器 弱 用感染 感染
開 い 等
DDoS
攻撃 行IoT
機器 搭載 い 機能 利用
感染 拡大感染 弱 持
IoT
機器 い 索 場
IoT
機器感染 感染 拡大 い
: 例 傾向<
掃 除 弱映像 見 能
製 掃除機
COCOROBO
&' 部機種 弱 あ 第 者 個人 外
53
操作 あ 掃除機
操作 能 利用 無線
LAN
十 設 場 掃 除 機 弱 用 攻撃者 掃除機 乗弱 対 応 更 提 供
適用 い 1
IoT
機器 狙うMirai
亜種 生2017 11
感染IoT
機器等大規模
DDoS
攻撃 生Mirai
派生 攻撃 あ 明
2017 7 9
掛 感染100Gbps
超えDDoS
攻撃 行 い 攻 撃Mirai telnet
等 使わ23/TCP 2323/TCP 37215/TCP 52869/TCP
等 狙わい 特
52869/TCP
対象 攻撃 通信既 知 弱 あ
CVE-2014-8361
用目的 2
弱 用IoTroop IoT_reaper
ば確認 数 万 規模
IoT
機器 感染 い 感染 い 主IoT
機器接 い 攻撃
Mirai
う 機器 設
ID
ワ等 使わ 既知 弱 用 国 設置
い 感染 確 認 製
品 認証回 避 弱
CVE-2017-8225
用 3
:対策 / 対応<
組織&
IoT
機器 開 者'4,5
被害 防初期 ワ 変更 強
弱 解消& 弱
検査 検査 等'
更 手段 自動 易い 扱 明書 作
迅速 提供
利 用 者 要 機 能 無 効 &
NAPT
等'範 限
全 設
利用者 適 管理
IoT
機器 利用者 必 情報い 限 い や
等 適 管理
期間 明確
期 間 明確 利用
者 伝 え 状 態 利 用
注意
組織& 管理者 利用者' 個人
情報 向使用前 明書 確認
被害 防開 迅 速 更 & 自 動 更 機能 効 '
廃棄 初期
IoT
機 器 要 情 報 含 場あ 廃棄 初期 廃棄業者等 出 消去や秘密保持 契約
被 害 防 い 書 個 人
9
対策 参考 欲 い
被害 対応CSIRT
連絡IoT
機器 電源IoT
機器 初期 被害 防 実施響調査 原因 追究
参考資料
1. 掃除 情報 弱 確認 映像 見 能
http://www.sankei.com/west/news/171116/wst1711160112-n1.html
2. IoT Mirai 亜種 活 --100Gbps DDoS攻撃
https://japan.zdnet.com/article/35112184/
3. IoT 出現 Mirai DDoS攻撃 生 懸念
https://japan.zdnet.com/article/35109216/
4. IoT開 設計 手引 開
https://www.ipa.go.jp/security/iot/iotguide.html
5. 利用 品質 観 盛 込 世界 開 指針&第2版' 行
https://www.ipa.go.jp/sec/reports/20170630.html
54
8 内部不 情報漏えい
~内部不 を許さ い管理ヷ監視体制を~
組織 部 業員や元 業員 や金銭目的等 個人的 利益 組織 情報 持
出 い 組織 情報持 出 情報 持 出 情報 失 情
報漏えい あ 部 覚 場 組 織 被害把握や原因追求等 対応 追わ 社会的信用 失墜等
:攻撃者<
組織 職員& 職者 職者':被害者<
組織
個人&顧客 利用者': 威 響<
組織 や金銭目的等 意 持 組 織 部 業 員 や 元 業員 業 委 作業 者
部 情報 持 出 開 売
組織 損害 え あ 業員 自宅
や 外 出 部 情 報 持 出
失 い 情報漏えい あ
部 情 報 漏 え い 響 社 会 的信用 失墜 機会 損失 賠償等 金銭 的 株価 落等 あ 場
連鎖的 生
:攻撃手 <
限 用自身 持 限 範 組織 情報 得 自身 い 限 持 い 場 や 必要 い 限 当 人 必 要 い 限 付 い 場 多 情報 窃
あ
職前 用組 織 職 自 身 職 前 使 い 使 組織 情 報 得 組 織 職 者 削 除 い い 場 起
USB
や電子 等 外部持出
組織 部情報
USB CD/DVD PC
等 保 電子 付 外部
持 出 媒体 持 出
あ
個人 外
55
: 例 傾向<
元 業員 顧客情報 持出 持 込 業者 通報 覚GMO
元 業員 顧客情報や営業 連 等
3
万2,800
件 外付自身 業 請 い 会社 持 込 い
請 企業
GMO
側 業 情報 持 込 能 あ 通報 覚 1
日 金機 構職員 個人情 報 持 出 売 逮捕日 金 機 構 職 員 金 入 者 個 人 情 報 盗 逮 捕 職 員 盗 個 人 情 報 第 者 提供 見返 金銭 等
い 件 機構 期的 実施 い
職員 持 物 検 覚 2
職員 無断 児童 個人情報 持 出 大 阪 市 市 立 学 校 教 員 児 童 個 人 情 報保 無断 外部 持 出
外部 飲食 宅途中 転倒 意
識 失い 間 何者 当
鞄 持 去
個人情報 持 出 市教育委員会 禁
い い 3
:対策 / 対応<
組織
被害 防資産 把握 体 整備
組織 保持 資産 要 等 類 経 営 責 任 持 資 産 管 理 体 整 備 積極的 推 進 要 あ 部
対策 多岐 渡 網羅的 行う 必要 あ
IPA
組織 部 防4
用い 対策状況 確 認
要情報 管理 保護& 御 暗 ' 競 防 法 営業秘密漏洩罪 問わ
い 秘密管理 要
限 管理 期 査 必要 い 限 付
共 い
情 報 扱 作 周 知 徹 底 機 密
保護 誓約
罰則 周知 相互 強
失 漏えい 隠蔽 場 懲罰
周知 効 あ
外部 憶媒体 利用 限
USB
等 外部 憶 媒体 利用限
許 外 機器 接 禁
情報 向情報 扱教育 実施
被害 期検知 操作 録IPA
行 部 実態調査 5効 的 部 対策
効 期待
併 得 い
周知 部 抑 効 あ
被害 対応CSIRT
連絡響調査 原因 追究 警察 相談
参考資料
1. 元 業員 顧客情報 持出 持 込 業者 通報 覚 - GMO
http://www.security-next.com/078598/
2. 日 金機構職員 窃盗容疑 逮捕 - 個人情報 持 出 http://www.security-next.com/083325/
3. 学校4校 児童個人情報含 HDD 失 - 気 失 間 持 去 http://www.security-next.com/086000/
4. 組織 部 防
https://www.ipa.go.jp/files/000057060.pdf
5. 部 情報 実態調査
https://www.ipa.go.jp/files/000051140.pdf
56
9 サヸビス妨害攻撃 サヸビス 停
~ボット ルス 感染拡大 伴う攻撃 大幅増~
感染
IoT
機器等DDoS
& 散型 妨害'攻撃 行わ いや
DNS
荷状態 利用者 被害 確認 い2017
式 開
DDoS
攻撃 行わ 被害 確認 い:攻撃者<
犯罪 犯罪者&愉快犯'
:被害者<
組織& 運営者'
個人& 利用者': 威 響<
普 伴い 官 庁や企業 民間
団体等 多 組織 運営
使 情報 信や 提供 行
い や組織 利用 い
DNS
DDoS
攻撃 掛 閲覧 能等 業 妨 害 行 行わ い 攻 撃 感染
IoT
機器等 行わ い 攻 撃 者 環 境 準 備 攻 撃 行 いDDoS
攻撃 行利 用 い あ 妨 害 目 的 主 義 主 張 誇示や社会混乱 金銭要求等 あ
:攻撃手 <
DDoS
攻撃DDoS
攻撃 主 手 使わ
利用構築 攻撃 出
標 的 組 織 や 組 織 利 用 い
DNS
想 外 大 行い荷 攻撃
攻撃信元 標的組織 騙 弱
多数 や
DNS
等 通信 応 答 結 標 的 組 織 付 荷攻撃
DNS
水責 攻撃 標 的 組 織付 問 い わ 標 的 組 織
威
DNS
荷 攻撃 DDoS
行 利用DDoS
行 法 利用攻撃 専門的 術 無 攻撃 個人 外
57
: 例 傾向<
2017 8
大規模DDoS
攻 撃 確 認 原 因 式
Google Play Android
用 配信い 踏 特
DDoS
攻撃 掛WireX
込 い あ
い
約
300
種 対象 斉削 除 行 わ 併 感 染 い 端 対 象 削除 処置 講 い 1
IoT
機器2016
大規模DDoS
攻撃 原因IoT
機 器 踏 構 築
Mirai
亜 種 確 認 い2017
11
頃Mirai
亜種 感染活動 活い 2感染 拡大 既知
弱 &
CVE-2014-8361
' 用 い DDoS
攻撃 金銭 要求DDoS
攻撃 掛 攻撃ば金銭 支払え 迫 行う 例 確 認 い
DDoS
攻 撃 行 組 織 向迫 例や広い範 向
DDoS
攻撃 行う 迫 例 確認 い 3,4:対策 / 対応<
組織&
IoT
機器 '
被害 防 弱 対策IoT
機器 や 感染乗 用
攻撃 踏 い
IoT
機器 弱 対策や対応 強 必要 あ 5組織& 運営者'
被害 防DDoS
攻撃 響 和ISP
やCDN
等利用
既 利 用 い 場
価 費 用 考 慮 最 大許 容 見直 等 行う 等
DDoS
対策 行 い 場 利用冗長 等 軽減策 ワ 冗長
DDoS
攻撃 響 い非常 用ワ 前 準備
停 替 用 意
告知手段 整備
DDoS
攻撃 停想 替え 利
用者 混 乱 い 状況 連 絡 連
絡手段 替
SNS
式等 告知手段 用意
被害 対応CSIRT
連絡通信 御&
DDoS
攻撃元 等'利用者 状況 告知 響調査 原因 追究
参考資料
1. Android端 踏 DDoS攻撃 生 Google Play 300
http://www.itmedia.co.jp/enterprise/articles/1708/29/news052.html
2. Mirai 亜種 感染活動 注意喚起
https://www.jpcert.or.jp/at/2017/at170049.html
3. Armada Collective 乗 攻撃者 DDoS 攻撃 情報
https://www.jpcert.or.jp/newsflash/2017062901.html
4. Phantom Squad 乗 攻撃者 DDoS 攻撃 情報
https://www.jpcert.or.jp/newsflash/2017092101.html
5. IoT開 設計 手引 開
https://www.ipa.go.jp/security/iot/iotguide.html