独立行政法人 情報処理推進機構 (IPA)
セキュリティセンター
情報セキュリィ技術ラボラトリー
大学における
目次
大学における最新の情報セキュリティ脅威事例
情報セキュリティ10大脅威
1. 情報セキュリティ10大脅威とは
2. 情報セキュリティ10大脅威の解説
脆弱性対策促進に向けた各種施策紹介
多様化するリスク
情報セキュリティ早期警戒パートナーシップ
(脆弱性関連情報の届出制度)
直近1年間の届出が
急増。
2008年8月以降、
DNSキャッシュポイズ
ニングの届出が多く
を占める。
クロスサイト・スクリプ
ティングやSQLイン
ジェクションの届出も
大学関係への
脆弱性情報の届出/対応状況
大学(関係組織含む)への
届出が増加。累計168件。
組織数は、102組織。
XSS、SQLI、DNSキャッシュ
ポイズニングで9割を占める。
脆弱性対応中案件 93 件。
攻撃を受ける前に対応を。
大学におけるセキュリティインシデント事例
その1
フィッシングの踏み台
日付
インシデント事例
2007年3月19日 A大学のある研究室のウェブサイトに、フィッシング詐欺目的の偽サイトが構築されて いた。 偽サイトは、米国のWells Fargo銀行をかたるもの。 同銀行のログイン画面に見せかけたウェブページを用意し、ユーザ名やパスワードな どを入力させて盗むのが狙い。典型的なフィッシング詐欺である。 不正侵入により偽サイトを構築された可能性がある。 2007年10月22日 B大学のウェブサイトが不正アクセスを受け、フィッシング詐欺サイトが設置された。 21日深夜に海外のインターネット決済サービス会社から同大学に連絡メールがあり、 個人情報と財務情報を収集するための偽サイトが開設されているとして、閉鎖するよう 要請された。 同大学では翌朝にサーバを停止し、ウェブサイトへのアクセスを遮断した。 2008年4月27日 C大学にあるウェブサーバが外部より不正アクセスを受け、海外のインターネット決済 サービス会社を装ったフィッシング詐欺サイトが開設された。 26日に海外の決済サービス会社が同大に対し、不正サイトの閉鎖を要請するメールを 送信。翌27日、同大で不正サイトの設置を確認した。 問題判明後にウェブサーバへのアクセスを遮断した。 【以下に挙げる事例は全てニュースサイトからの情報】大学におけるセキュリティインシデント事例
その2
不正アクセス
日付
インシデント事例
2009年4月3日 D大学は、一部サーバが不正アクセスを受けたおそれがあるとして、調査を進めた。同 大によれば、留学生課のサーバが、ネットワーク経由で不正アクセスを受けたもので、 一部データが削除されたという。内部犯行
日付
インシデント事例
2004年6月2日 E大学の職員男性を不正アクセス禁止法違反容疑で逮捕した。男性は、昨年後半に 同大学のサーバへ自宅から不正アクセスを行い、掲示板の改ざんや消去、電子メー ルの盗聴などを行っていた。男性は、同大学の情報メディアセンターにてシステム管理 者を努めていたが、セキュリティ不備により配置変更され、そのことを不満に思ってい たという。 2009年6月30日 F大学のブログを書き換えたとして、警視庁○○署は電子計算機損壊等業務妨害の 疑いで、ブログを書く立場ではない同大職員を逮捕した。 2008年8月12日~18日頃までの間、自宅のパソコンから同大のブログにアクセスし、 ブログのタイトルを「【緊急】8/30、31のオープンキャンパスは中止になりました-F大 学生惨殺の哀悼のため」と書き換えたとしている。 書き込み直前の昨年7月下旬には、同大4年の女子学生がアルバイト先の○○市内 の書店で刺殺される通り魔事件が起きていた。大学におけるセキュリティインシデント事例
その3
設定ミス
日付
インシデント事例
2008年10月29日 G大学は、卒業生や大学院修了生428人分の氏名、生年月日、卒業後の進路など個 人情報がネット上に流出していたことを明らかにした。 ファイアウォールの設定ミスが原因だという。 同大によれば、ファイアウォールの設定ミスにより、大量の内部資料がインターネット 上へ流出したもので、10月29日に卒業生から指摘を受け、問題が発覚した。不正利用 の報告などはないという。 2008年8月19日 H大学の教員が私的に利用していたレンタルサーバから、学生505人の氏名、学籍番 号、成績評価などの個人情報が流出していたことがわかった。 同教員が非常勤講師を務める I 大学の学生49人の情報も含まれる。 同教員が個人的に利用しているレンタルサーバ内のデータが外部から閲覧できる状 態となり、サーバに格納されていた担当科目の成績情報などに対して外部から閲覧さ れていたという。8月19日に流出を指摘するメールが教員に届き判明した。大学におけるセキュリティインシデント事例
その4
ウイルス感染
日付
インシデント事例
2007年10月23日 J大学病院の患者127人分や○○病院の患者68人分について、患者の氏名や病名な どの情報がファイル交換ソフト「Winny」経由でインターネット上に流出したことがわ かった。 流出したデータは、現在J大学大学院医歯薬学総合研究科の大学院生が、研修医時 代に自宅の私用パソコンで作成したもので、ウイルス感染をきっかけにインストールさ れていたファイル交換ソフト「Winny」を通じて外部に流出したと見られている。10月23 日にJ大学病院へ外部から指摘があり判明した。紛失
日付
インシデント事例
2009年2月13日 K大学の○○学科の女性准教授が、学生72人分の氏名と学籍番号、29人分の成績 の点数が保存されたUSBメモリを紛失した問題で、同大は13日、USBメモリが発見さ れたと発表した。パスワードもかかったままで情報流出の可能性はないとみられるとい う。同大では「申し訳ない。情報管理を徹底する」とした。情報セキュリティ10大脅威
~ 攻撃手法の『多様化』が進む ~
1. 情報セキュリティ10大脅威とは
1. 情報セキュリティ10大脅威とは
z
2008年にIPAへ届けられたウイルス・不正
アクセス・脆弱性に関する情報や、一般に
公開された情報を、「情報セキュリティ検討
会」で精査
z
社会的影響の大きさから情報セキュリティ上
の“10大脅威”を選考
z
利用者・管理者・開発者のそれぞれから見た
脅威を分析、今後の対策を記述
次の URL からダウンロードできます。
http://www.ipa.go.jp/security/vuln/10threats2009.html
2. 情報セキュリティ10大脅威の解説
組織への脅威
【1 位】 DNSキャッシュポイズニングの脅威
【2 位】巧妙化する標的型攻撃
【3 位】恒常化する情報漏えい
利用者への脅威
【1 位】多様化するウイルスやボットの感染経路
【2 位】脆弱な無線LAN暗号方式における脅威
【3 位】減らないスパムメール
【4 位】ユーザ ID とパスワードの使いまわしによる危険性
システム管理者・開発者への脅威
【1 位】正規のウェブサイトを経由した攻撃の猛威
【2 位】誘導型攻撃の顕在化
【3 位】組込み製品に潜む脆弱性
攻撃手法の「多様化」が進む
大学関係で
考慮すべき
脅威を紹介
組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
DNS キャッシュポイズニングDNSサーバの情報が偽の情報に書き
換えられると、正しいメールアドレスを
指定しても、偽のメールサーバに誘
導されてしまう。ウェブページの場合
は偽のウェブサーバに誘導されてしま
う。
example.jp example.jp 攻撃者 本来の example.jp 偽の example.jp 一般利用者 foo@example.jp example.jpの IPアドレスを改ざん組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
z
2008年7月 Dan Kaminsky 氏が新たな攻撃
手法を発見し、顕著となった脆弱性が原因
z
米国のISPが運営する DNS サーバが攻撃
され、本来辿りつくべきウェブサイトとは異なる
ウェブサイトに誘導される被害が発生
DNS:DNS(Domain Name System)は、ホスト名(例:www.ipa.go.jp)と
IPアドレス(例:202.229.63.242)とを結び付ける情報を提供する
仕組み
組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
z
各ベンダから公表されている対策は、あくまで
暫定的な対策
IPA: DNSキャッシュポイズニング対策
http://www.ipa.go.jp/security/vuln/DNS_security.html
z
根本的な対策方法は、インターネット関連技術
の標準化を進めるIETF(Internet Engineering
Task Force)などで議論されている
z
システム管理者は本問題の被害を軽減する
ため、
DNS関連ソフトウェアを対策版
へバー
ジョンアップした上で、
ファイアウォールや
DNSの設定による対策
を行う
組織への脅威
【2位】巧妙化する標的型攻撃
標的型攻撃の事例 From ●● 広報 <press@example.jp> 題名 ●●からのプレスリリースのお知らせ プレスリリース(詳細) (72kb) ▼▼▼社 営業部各位。 お世話になっております。●●の■■です。 日頃より●●をご愛顧頂きありがとうございます。 ●●はX月X日に、新商品として次の製品をリリースいたしました。 詳しくは、添付のファイルをご覧下さい。 ・△ △ △ △ △ △ ・◇ ◇ ◇ ◇ ◇ ◇発信元を信頼ある
組織に偽装
実際の組織の
ウェブページの公表
内容等を元に偽装
攻撃の例 メールソフトウェア組織への脅威
【2位】巧妙化する標的型攻撃
z
対象を
特定の組織や人
に限定した攻撃
z
ソーシャル・エンジニアリング
の手口により、
攻撃であることに気づきにくいことが最大の
脅威
¾信頼ある取引先や人物からのメールとして差出人を
偽装されている
¾信ぴょう性の高い内容
z
メールに
添付されている文書ファイル
や圧縮
ファイルには、
脆弱性を悪用するウイルス
が
仕込まれていることがある
組織への脅威
【2位】巧妙化する標的型攻撃
z
標的型攻撃の特徴
⑦情報窃取 無差別型攻撃 攻撃手法と対策の難しさ 標的型攻撃z
感染予防策
¾
利用者のOS、アプリケーションソフトを常に最新の
状態にさせておく
¾
ウイルス対策ソフトのウイルス定義ファイルを
常に最新に維持し、定期的にスキャンを実施
¾標的型攻撃に関する情報収集
と組織内への
周知徹底
組織への脅威
【2位】巧妙化する標的型攻撃
z
二次被害の防止策
¾不要な外向け
TCPポートを閉じる
¾HTTP/HTTPSアクセスを
プロキシサーバ経由
に
限定する
組織への脅威
【3位】恒常化する情報漏えい
メール等の誤送信 記録媒体等の紛失・盗難 内部不正行為 ウイルス・ワーム 情報漏えいの様々な原因 ファイル交換ソフト 紙媒体の紛失・盗難組織への脅威
【3位】恒常化する情報漏えい
出典:NPO日本ネットワークセキュリティ協会 - 「2008年上半期 情報漏えいインシデント報告書 速報版Ver1.1」