標的型メール攻撃対策 < 組織通信向け S/MIME 構想 > 2016 年 6 月 6 日才所敏明中央大学研究開発機構

(1)

標的型メール攻撃対策

＜組織通信向けS/MIME構想＞

2016

年6月6日

才所敏明

(2)

自己紹介

1970年

年

年4月～

月～

月～1994年

年

年12月

月

月東京芝浦電気（東芝）・情報システム部門

東京芝浦電気（東芝）・情報システム部門

＊本社情報システム部門に所属、東芝Gの技術部門・研究部門の研究開発活動環境の整備・高度化を推進

1995年

年

年1月～

月～

月～2007年

年

年9月

月

月東芝・セキュリティ技術研究開発部門

東芝・セキュリティ技術研究開発部門

＊東芝のセキュリティ技術センター発足と同時にセンター長就任＊その後、東芝Gのセキュリティ技術開発・事業支援活動を推進

2007年

年

年10月～

月～

(株

株

株)IT企画を設立

企画を設立

＊情報技術および情報セキュリティ技術分野の研究開発やその応用事業に対するプロフェッショナルサービスを開始＊法政大学、日本大学で情報セキュリティに関する講義担当

2013年

年

年5月～

月～

中央大学研究開発機構

＊国立研究開発法人情報通信研究機構（NICT）より委託の「組織間機密通信のための公開鍵システムの研究開発」PJへ研究員として参加

(3)

電子メールの黎明期

1984年 JUNET実験開始（東芝も研究所が参加）

1986年企業での電子メール利用に関する議論開始

５～６社＋大学関係者10名程度の構成

1987年 InetClub発足（企業での電子メール利用実験）

1992年 AT&T Jens（現SpinNet）が日本初の、

インターネットイニシアティブ (IIJ) が日本企業初の

ISPとしてサービスを開始

(4)

電子メールは、現在も、組織（業務）通信の主役

ビジネスメール実態調査2015（日本ビジネスメール協会）行政機関のホワイトカラーのメール受信数 86通/日・人（行政情報システム研究所の2009年報告書）企業のホワイトカラーのメール送受信数 132通/日・人（JUAS Advanced研究会2015年報告）メール処理時間は1日2.27時間（業務従事時間の1/3はメール処理） 86％は受信メール（1/4は社外からのメール）

(5)

2015

年に公表された主な情報窃取サイバー攻撃事例とその

年に公表された主な情報窃取サイバー攻撃事例とその内容

年に公表された主な情報窃取サイバー攻撃事例とその

内容

TrendLabs 2015年年間セキュリティラウンドアップより

23 _件の

うち

、

15 _件が

標的型攻撃

メ

ール

に

よ

る

侵入

！

(6)

標的型攻撃の侵入手段

＜標的型メールが主役＞

メール

Web

その他

侵入の手口

初期潜入手法の中心は「標的型メール」！国内標的型サーバー攻撃分析レポート2015年版（トレンドマイクロ資料）「標的型メール」は標的型攻撃の初期潜入のための侵入手法の主役！平成27年上半期のサイバー空間をめぐる脅威の情勢について（警察庁資料）政府機関に対する標的型メール攻撃は、前年度の3倍に急増！サイバーセキュリティ政策に係る年次報告（2014年度）（平成27年7月サイバーセキュリティ戦略本部）標的型メール攻撃件数は過去最高！平成27年におけるサイバー空間をめぐる脅威の情勢について（警視庁資料）

侵入

情報収集

情報送信

標的型攻撃の

ステップ

(7)

標的型メール攻撃対策の現状

人的対策（職員人的対策（職員人的対策（職員人的対策（職員ににに対する標的型メール攻撃に対する教育訓練）に対する標的型メール攻撃に対する教育訓練）対する標的型メール攻撃に対する教育訓練）対する標的型メール攻撃に対する教育訓練）平成24年度 19府省庁約12万人開封率：1回目14.6％ 2回目10.6％平成25年度 18府省庁約18万人開封率：1回目10.1％ 2回目16.3％＝＞標的型メールを見分ける能力の醸成は必要だが、効果は限定的（5％の開封率でも、組織内の100人に標的型メールが送られれば 99％以上の確率で開封され、組織は被害に遭うことになる。）技術対策（技術対策（技術対策（技術対策（SPF,DKIM等の送信ドメイン認証導入推進）等の送信ドメイン認証導入推進）等の送信ドメイン認証導入推進）等の送信ドメイン認証導入推進） SPF設定状況第3レベル（xxx.go.jp）ドメイン第4レベル（yyy.xxx.go.jp）ドメイン平成24年度 93.0％ 50.1％平成25年度 92.9％ 51.8％ SPF,DKIM共にドメイン（メールサーバ）認証技術で、メールサーバの送信者認証レベルに依存 SMTP, POP before SMTP, SMTP auth

＝＞ドメイン（サーバ）認証では無く、メール送信者の認証（追跡性）を！＝＞S/MIMEの有効性

(8)

S/MIME

(Secure/Multipurpose Internet Mail Extensions)

電子メールへ電子署名や暗号化の機能を付加する規格

（１９９５年に最初のバージョンが開発）

送信者のなりすましによる標的型メール攻撃の無効化が可能！「間違いなく本物の送信者からのメールであること」を受信者が確認できる（メール送信者の認証）「サイバーセキュリティ2013」平成25年6月情報セキュリティ政策会議 “DKIMやS/MIMEのように暗号技術を利用した対策の導入を推進” 「標的型攻撃に対抗するための通信規格の標準化に関する調査結果」平成25年3月総務省情報通信国際戦略局通信規格課 “電子メールによるなりすまし被害を防ぐための対策として有効”

しかし

しかし、現実にはほとんど使用されていない！

、現実にはほとんど使用されていない！

(9)

S/MIME普及の課題

①電子証明書が必要（有料：数千円/年）

②メールクライアントソフトが未対応

③電子証明書および鍵の管理をどうするか

（更新、期限切れ等）

④暗号メールのセキュリティ検査の難しさ

(10)

まずは組織通信向けに、S/MIMEを！

★そもそも、標的型メール攻撃の標的は、企業、官公庁（組織）！

★標的型メール攻撃の標的は、非公開（業務通信用）メールアドレス！

業務通信用の非公開メールアドレスに対する攻撃

平成26年年間の全体の7割

平成27年上期は全体の9割

（「サイバー空間をめぐる脅威の情勢について」警察庁の広報資料より）

★標的型攻撃メールの多くは送信元アドレスの詐称！

詐称元は、企業、官公庁が7割超

（「標的型攻撃メールの傾向と事例分析＜2013年＞」IPAの資料より）

組織通信が、標的型メール攻撃の標的になっている現状

S/MIMEの活用により、

組織通信を対象とした標的型攻撃メールを排除できないか！

組織通信向けと限定すれば、S/MIMEの普及課題の克服も可能では？

(11)

組織間通信の位置付け

受信組織受信組織受信組織受信組織受信個人受信個人受信個人受信個人送信送信送信送信組織組織組織組織送信送信送信送信個人個人個人個人組織間メール組織間メール組織間メール組織間メール（業務通信）（業務通信）（業務通信）（業務通信）

(12)

業務通信メールへの信頼を回復

（業務効率回復、リスク低減）

受信組織受信組織受信組織受信組織送信送信送信送信組織組織組織組織攻撃者攻撃者攻撃者攻撃者組織間メール組織間メール組織間メール組織間メール（業務通信）（業務通信）（業務通信）（業務通信）なりすましメールなりすましメールなりすましメールなりすましメール _{メールフォルダ}_{メールフォルダ}_{メールフォルダ}_{メールフォルダ} 送信送信送信送信組織・送信者を組織・送信者を組織・送信者を組織・送信者を認証・確認できた認証・確認できた認証・確認できた認証・確認できたメールメールメールメール送信送信送信送信組織・送信者を組織・送信者を組織・送信者を組織・送信者を認証・認証・認証・認証・確認できなかったメール確認できなかったメール確認できなかったメール確認できなかったメール

(13)

業務通信における暗号メールの光と影

★暗号メールへのニーズは昔から存在

暗号メール市販製品も多数存在

本格的な普及には至っていない現状

★暗号メールの光と影

光：組織通信の機密性を維持できる

影：送信者の不正な情報送信をチェックできない

暗号メールに対しても、平文メールと同様、

外部へ送信前にメールの内容の検査できること

問題発生時にメールの内容を監査できること

等が保証されないと、組織としての導入は困難！

組織間で暗号メールを送受信する際は、GWメールサーバにて、

復号しセキュリティ検査、監査可能な形式での保管、等が必要では？

(14)

組織通信の特徴－転送の発生

受信側代表者受信側情報A_の担当者 _情報_C_の担当者送信側代表者送信側送信情報A 送信情報B 送信情報C 情報Bの_担当者送信情報C 送信情報B 送信情報A

×

従来の暗号方式の課題：転送時に必ず一旦復号が必要！

(15)

受信側代表者受信側 ③ラベルの確認 ⑥各担当者は復号し、個人情報保護に留意しつつ適切に処理 ④ラベルに応じ担当者を判断担当者向けに再暗号化情報Aの担当者 _情報_C_の担当者送信情報C 送信情報B 送信情報A 送信側代表者ラベル（１）Aは・・・です（２）Bは・・・です（３）Cは・・・です ①送信情報をとりまとめ暗号化 ②送信送信側送信情報A 送信情報B 送信情報C 暗号化ラベル付与ラベル（１）Aは・・・です（２）Bは・・・です（３）Cは・・・です送信情報C 送信情報B 送信情報A 送信情報C 送信情報B 送信情報A 情報Bの担当者 ⑤それぞれの担当者へ送信

安全な転送を可能とする組織暗号

再暗号化組織暗号は、国立研究開発法人情報通信研究機構（NICT）からの委託研究「組織間機密通信のための公開鍵システムの研究開発」の成果

(16)

組織通信向けにS/MIMEを普及

課題と克服方針（案）

①電子証明書が必要（有料：数千円

①電子証明書が必要（有料：数千円/年

年

年）

）

＝＞

＝＞個人

個人

個人（職員）負担なしの組織による発行

（職員）負担なしの組織による発行

（職員）負担なしの組織による発行方式

方式

②メールクライアントソフトが未対応（現在は対応のものが多い

②メールクライアントソフトが未対応（現在は対応のものが多い）

）

＝＞

＝＞ S/MIMEメールクライアントベースに新機能実現

メールクライアントベースに新機能実現

メールクライアントベースに新機能実現方式

方式

③電子証明書および鍵の管理をどうするか（更新、期限切れ

③電子証明書および鍵の管理をどうするか（更新、期限切れ等）

等）

＝＞

＝＞組織内での個人負担を軽減できる鍵管理方式の検討

組織内での個人負担を軽減できる鍵管理方式の検討

④暗号メールの

④暗号メールのセキュリティ検査の

セキュリティ検査の

セキュリティ検査の難しさ

セキュリティ検査の

難しさ

＝＞

＝＞外部組織とのメール送受信時に確実に検査する方式

外部組織とのメール送受信時に確実に検査する方式

⑤組織

⑤組織に

に

による暗号メールの監査

よる暗号メールの監査

よる暗号メールの監査可能性をどう保証する

よる暗号メールの監査

可能性をどう保証する

可能性をどう保証するか

か

＝＞

＝＞暗号メールと言えども組織が監査できる方式

暗号メールと言えども組織が監査できる方式

⑥

⑥暗号

暗号

暗号メールの

メールの

メールの転送時の安全性をどう保証するか

転送時の安全性をどう保証するか

＝＞

＝＞組織

組織

組織暗号による安全

暗号による安全

暗号による安全な（再暗号化）転送

な（再暗号化）転送

な（再暗号化）転送方式

方式

(17)

①標的型メール攻撃の低減・無効化が可能なメール利用環境の実現！（認証機能） ②重要情報の安全な配信が可能なメール利用環境の実現！（暗号化機能） ③重要情報の安全な転送が可能なメール利用環境の実現！（再暗号化機能）安心安全メール利用基盤（イメージ）安心安全メール利用基盤（イメージ）安心安全メール利用基盤（イメージ）安心安全メール利用基盤（イメージ）組織通信対応組織通信対応組織通信対応組織通信対応 S/MIME メールメールメールメールクライアントクライアントクライアントクライアントメール送信サーバ (再暗号化）再暗号化）再暗号化）再暗号化）組織外への組織外への組織外への組織外への送信前検査送信前検査送信前検査送信前検査メール受信サーバ (再暗号化）再暗号化）再暗号化）再暗号化）署名暗号化送信先指定組織外からの組織外からの組織外からの組織外からの受信後検査受信後検査受信後検査受信後検査組織内メール配信サーバ（再暗号化）受信サーバ署名検証組織暗号による再暗号化転送者署名付与転送先指定転送者署名検証復号送信者署名検証組織内メール配信サーバ（再暗号化）復号送信者署名検証セキュリティ検査ログ収集送信サーバ署名検証復号セキュリティ検査ログ収集組織通信対応組織通信対応組織通信対応組織通信対応 S/MIME メールメールメールメールクライアントクライアントクライアントクライアント組織通信対応組織通信対応組織通信対応組織通信対応 S/MIME メールメールメールメールクライアントクライアントクライアントクライアント再暗号化鍵生成再暗号化鍵生成送信側組織送信側組織送信側組織送信側組織 _{受信側組織}_{受信側組織}_{受信側組織}_{受信側組織} 秘密鍵秘密鍵秘密鍵秘密鍵管理管理管理管理秘密鍵管理秘密鍵管理秘密鍵管理秘密鍵管理再暗号化再暗号化再暗号化再暗号化鍵生成鍵生成鍵生成鍵生成送信代表者送信代表者送信代表者送信代表者 _{受信代表者}_{受信代表者}_{受信代表者}_{受信代表者} 受信者受信者受信者受信者（復号者）（復号者）（復号者）（復号者）秘密鍵秘密鍵秘密鍵秘密鍵管理管理管理管理

標的型メール攻撃対策 < 組織通信向け S/MIME 構想 > 2016 年 6 月 6 日 才所敏明中央大学研究開発機構