情報セキュリテ
10
大脅威
2018
~引き続き行わ
サ
バー攻撃、あなたは守
き
ますか?~
書 URL
情報 10大 威2018
目
... 1
1章. 情報セキュ 対策 基本 IOT機器(情報家電)編 ... 2
1.1. 事前調査 ... 5
1.2. マニュ 熟読 ... 6
1.3. ワ 変更 / 設定 見直 ... 7
1.4. ッ 実施 ... 8
1.5. 使用 い き 電源 ... 9
1.6. 廃棄 譲渡前 初期化 ... 10
1.7. そ 他 対策 ... 11
付録:情報セキュ 船中 策 IoT機器 情報家電 編 ... 12
2章. 情報セキュ 10大 威 2018 ... 14
2.1. 情報セキュ 10大 威 個人 ... 17
1 ン ネッ ンキン や ッ 情報等 不 利用 ... 18
2 ンサ る被害 ... 20
3 ネッ 上 誹謗 中傷 ... 22
4 マ ンや マ ン を狙った攻撃 ... 24
5 サ ビ 不 ン ... 26
6 サ ビ か 個人情報 窃取 ... 28
7 情報 欠如 伴う犯罪 年齢化 ... 30
8 ワン ッ 請求等 不当請求 ... 32
9 IoT 機器 不適切 管理 ... 34
10 偽警告 る ン ネッ 詐欺 ... 36
コ :子供を ぐる状況 いう ... 38
2.2. 情報セキュ 10大 威 組織 ... 39
1 標的型攻撃 る被害 ... 40
2 ンサ る被害 ... 42
3 ビ ネ 詐欺 る被害 ... 44
4 弱性対策情報 開 伴う悪用増加 ... 46
5 威 対応 るた セキュ 人材不足 ... 48
6 サ ビ か 個人情報 窃取 ... 50
7 IoT機器 弱性 顕在化 ... 52
8 内部不 る情報漏えい ... 54
9 サ ビ 妨害攻撃 るサ ビ 停 ... 56
10 犯罪 ビ ネ 化 ン ン サ ビ ... 58
3章. 注目 き 威や懸念 ... 60
3.1. 仮想通貨 安全性 危険性 ... 62
1
書 情報 10 大 威 2018 情報 専門家 中心 構 10 大 威選考会
力 2017 生 故や攻撃 状況等 威 選出 投票 付
解 資料 あ 引 個人 組織 いう異 立場 威 付
立場毎 10大 威 決
各 威 自 自身や自組織 う 響 確認 書 進 々 威 対策
網羅的 把握
書 者自身 対策 組 各組織 研修や 教育等 活用
対策 普 助 期待
書 概要
情報 対策 IoT機器&情報家電'
IoT 機器 普 家庭 利用 進 い 方 ワ 接 い 機器 いう意識
対策 十 行わ い い IoT 機器 狙 等 IoT 機
器 利用者 感染 気 利用 い 10大 威2015 & 降 PC 載'利用者向
情報 対策 解 IoT機器 対策 必須 い
第1章 IoT機器 情報 対策 い 解
情報 10大 威 2018 &10大 威'
2017 詐欺 被害 国 確認 い 詐欺 遜う
金銭的 被害 企業 大 痛手 開 い 弱 情報 用 攻撃
大 問 い 弱 情報 開 攻撃 開始 期間 短
組織 管理者 弱 情報 開 急 対応 求 い
第2章 2017 威 動向 10大 威 解
注目 威や懸念
2017 仮想通 利用 普 商品 購入や投資等 々 場面 活用 い 方 仮想通
わ 提供 や 利用者 い 知識 十 いえ 仮想
通 連 被害 拡大 能 あ
広 使わ い 弱 見 あ 弱 見 響
製品や 広範 わ 開 対応 慮 2017 無線LAN 暗
通信 WPA2 弱 見 世界中 大
2
1
章
.
情報セキュリテ
対策
基本
3
1
章
情報セキュリテ
対策
基本
IoT
機器ㄥ情報家電ㄦ編
情報家電 玩 自動車 機器 療機器 産業用設備 機器 御 等 多種多
ワ 提供 IoT&Internet of Things' 術 各
適用 拡大 い 特 般家庭 い 冷蔵庫 洗濯機 電子 炊飯器 掃除機
等 生活支援機器 DVD/Blu-ray/HDD 機等
機器 体組 計 血 計 活動 計等 機器
ワ 等 ワ 機器 い 々 ワ 接 機能
備え IoT機器 普 進 情報家電 や 家電 付 い
IoT機器&情報家電' 々 便利 生活 方 誤 状態 ワ 接
利用 攻撃者 攻撃 対象 自 被害者 世界中 大
響 え あ 2016 Mirai ば 感染 IoT 機器 遠隔操作 第 者
攻撃 用 結 Twitter や Amazon.com 等 世界中 多 人 利用
利用 能 用 IoT機器 中 企業 入 業 用機器 え 般家庭 設置
や ワ 等 含 い
原因 1 IoT機器 利用者 購入 機器 初期設 使 い 等 対
策 十 IoT機器 利用 い 挙 特 IoT機器&情報家電' 場 般家庭 利
用者 使用 家庭用電 製品 1 あ ワ い いう認識
い 推察 あ い ワ 認識 IoT機器 購入
ワ 生 威 認識 足 い 攻撃者 対 対策
十 能 あ ワ 課 認識 い IT&情報 術' 専門家 い
4
2017 入 IoT機器 狙 攻撃 進 特 IoT機器 弱 突い 感染
&Mirai 亜種' 出現 ワ 等 設 適 実施 い 感染 あ
弱 置 使い 険 状況 い 第 者 攻撃 家庭 設
置 ワ 見 被害や 感染 IoT機器 破壊 目的 &BrickerBot' 出現
い IoT機器 利用者自身 攻撃対象 い
現 IoT 機器&情報家電' 利用者 IoT 機器 ワ 機器 あ ワ 外部
い 意 持 攻撃者 攻撃 あ いう認識 持 IoT機器 適 利用 求
章 般家庭 IoT 機器&情報家電'利用者向 IoT 機器 全 利用 考慮
ばい い い 解 IoT 機器 利用 購入前 廃棄
考慮 ばい い あ い 解
5
1.1.
事前調査
IoT機器 提供 機能 IoT機器 種類や各々 製品 容 々 あ IoT機器
や 売店 体 異 問い わ 窓 や 生
提供等 対応 異 利用者 IoT 機器 購入 前 機能 持 い
や 売店 あ 等 確認 推奨
機能 確認
多 IoT機器 機能 提供
機 能 使 う 感 染 や 遠 隔 操
作 等 威 対 効 期 待
購入 IoT機器
機能 前 調査 IoT機器 比較
全 いIoT機器 選 購入
設 行 え 選 あ
機能 持 い IoT機器 推奨
IoT 機器 通信 能 端 &PC や
等' 限 機能
IoT 機器 利用 や IoT 機器 通信 認
証& '機能
認 証 利 用 ワ 等 変 更 機能
自動 機能
個人情報や設 初期 機能
体 確認
IoT 機器 や 売店 遊い
体 異 弱 や あ
無や 異 提供
遅 い 提供 い 場
攻撃者 弱 用 攻撃 被害
遜う
購入前 IoT 機器 う
体 い 確認 最 限 観
確認 推奨
終了 期
日 語 問い わ 否
情報 手段
IoT機器 や
等 情 報 細
い 問い わ 窓 や IoT機器 購
6
1.2.
マニュ
ル
熟読
IoT 機器 & 扱い 明書' 付属 い 中 操作方法 え 利用
注意 や 機能 設 方法等 書 い IoT 機器 全 利用 前 熟
容 理解 利用 必要 あ
IoT機器 箱 出
購入 IoT機器 箱 出 IoT機器
接 電源 入 前
IoT 機器 ワ い 使用
あ 接 前 知 あ
熟 使用開始
付 属 い い 場
購入 IoT機器 や 売 理店
& '等 開 い
熟
大 載 い
操作 方法 え 利用 注意
や 機能 設 方法等 書 い
利用 注意 い 攻撃 被害
遜う あ 機能 工 場出荷
初期設 い 初期設 機
能 無効 い 場 あ
熟 機 能 初 期 設 や 設 変
更方法 確認
簡易 満足
NG
購入 IoT 機器 購入者 利用
う 1~2 程 簡易
等 付属 い 場 あ
必要最 限 手 IoT 機器 利用 う
便利 IoT 機器 全 利用
手間 望
7
1.3.
パスワヸド
変更 /
設定
見直
購入直 IoT 機器 機器 利用 ワ や各種機能 出荷 設 初期
設 い 状態 利用 い 感染や 遠隔操作 等 被害 遜う
あ 利用者 IoT 機器 ワ 接 前 初期 ワ 変更や 各種 機能 設 等
行 接
ワ 変更
IoT 機器 IoT 機器 利用 や管理画面
等 ワ 用い & 認証'
必要 あ 購入直 IoT 機器 ワ
初期設 設 い
ワ 変更 1 ワ 共
やID 入力 設 能
あ ば 変更 ワ 変更 怠
い 攻撃者 あ
特 IoT 機器 共通 初期 ワ 設
い 場 攻撃者 情報 開 い
等 容易 入手 能 遠隔
利 用 必 変
更
適 設 見直
IoT機器 IoT機器 便利 利用
機 能 や 全 利 用 機 能 等
々 機能 あ 機能 設 変更 場
初 期 設 適 あ う 確 認 適
い場 見直 行う 攻撃者 用
あ 必要 い機能や使用 い機能
無効
設 目 意味 明 場 置
窓 問い わ
調 理 解 適 設
行う
機能 設
連 設 効 望
い 特 設 用 い 自 や 家 族
外 遠隔操作 防
う
弱 解消 役立
IoT機器 通信 能 端 限 機能
IoT 機器 利用 や IoT 機器 通信
&認証' 要求 機能
8
1.4.
ップデヸト
実施
IoT 機器 PC や 機能 持 い 場
あ 品 購入 IoT 機器 最 限 い い
弱 あ ワ 接 必要 あ
IoT機器
通常 IoT 機器 工場出荷 最
準
い 売店 IoT機器 購入 場
工 場 出 荷 い 開 い
あ い 弱
あ 置 IoT 機器 利用
険 あ 最初 実施
必要 あ
い 開 能
あ IoT機器 利用開始 限 い
開 実施
自動更 機能 利用
IoT機器 自動更 機能 あ ば
設 効 手 間
減 状 態 保 自 動 更 機 能
い場 製品 等 最 情
報 期的 確認 い 開
い 手 動 更 最 情 報 明
あ ば問い わ 窓 確認
管理用
IoT 機器 種類 等 IoT
機器 管理 操作 場
あ 場 最
無 確認 期的 実施
終了機器 利用停
IoT機器 売 期間 経過 い
提 供 う
修 了 状 態 弱 見 解
消 利用 険 あ 利用
停 終了 前 い
い 機種 購入 検討
い 明 場
9
1.5.
使用
い
電源
フ
常 使用 い IoT 機器 使用終了 ワ 経 攻撃 防 電源
良い 例えば 夜間使用 い機器 毎晩電源 翌日 電源 感染
場 駆除&IoT機器 消去' 場 あ
使用 IoT機器 電源
IoT 機 器 ワ い IoT
機器 設 備や 弱 い 攻
撃 感 染 や 遠 隔 操 作
あ 使用 IoT機器や あ IoT
機器 ワ 接 電源
い 長期間使わ い 電源
い 方 全 あ
電源 IoT機器 稼動
中 電源 駆除
あ 例えば 2016 猛威 振 Mirai2
ば 揮 & 電 源
保 領 域 ' 感 染 電 源
駆除 常 使用 いIoT機器や
的 電源 落 支 いIoT機器
電源 効 あ
電源 駆除 再
感染 い う 等 対策 速や 実施
10
1.6.
廃棄ヷ譲渡前
初期化
IoT機器 通常 IT機器 要 情報 保 い 能 あ IoT機器 使わ
IoT機器 終了 等 IoT機器 廃棄 譲渡 場 初期 情報 消去等 適
対応 行う必要 あ
IoT機器 要情報
IoT 機器 々 情報 保
中 用 々 被害 要情報 あ
例 え ば 機 器 自 体 や 機 器 通 信
&ID'や
ワ あ GPS 機能 搭載 い 場 IoT
機器 置情報 自宅や個人 行動 情
報 あ 等 決済機能
あ 場 情報等 含 い
能 あ
う 要情報 漏えい 々 被害 遜
う あ 例えば ID や ワ 漏えい
場 使い回 い
あ
自宅 や 行動 漏え い 等 被 害
遜う あ 情報
漏えい 場 利用 あ
IoT機器 廃棄 前 初期
IoT 機器 使用終了や 終了等
IoT 機器 廃棄 え い場 あ IoT
機器 保 い 情 報 漏えい 防
廃棄前 必 機器 初期 通常 初期 方法
載 い 載 い 場 や
明 あ 場 売 元 や 問 い わ
窓 相談
IoT機器 初期 機能 い場 機器 破壊
検討 機器 情報 消去 適 廃棄
専門 廃棄業者
IoT機器 転売 譲渡 初期
使わ IoT 機器 転売 譲渡 廃棄
初期 行い 自身 連 情報 消去
IoT 機器 管理 等
あ 場
11
1.7.
そ
他
対策
節 IoT機器 利用 実施 対策 い 解
IoT機器対応 機器 入検討
IoT 機器 対応 機器 例
えば 家庭 設置 い
機 器 接 通 信 容 攻 撃 検 知 防 御
う 機器 入 IoT 機器
感染 遠隔操作や情報漏えい 防
機器 利用
機器 契約期間 あ あ 契
約期間 過 機能 限
機能 使え あ IoT機器
確保 契約期間 終了 前
利用や 製品 移行 検討 利用
機能や & 単 や 単 費用'
考慮
既 IoT機器 見直
IoT 機器 感染 場 周辺 あ
IoT機器 感染 拡大 あ 例えば
Mirai ば 周 辺 感 染 弱
IoT 機器 い 索 機能 持 い 自 宅
ワ 弱 設 弱 置
IoT機器 あ 場 IoT機器 感
染 い 規購入 IoT 機
器 既 利用 い IoT機器 い
書 1.2節 1.3節 1.4節 1.5節 観 見直 行
う
見直 行う 機器 ワ
い 把握 管理 &見え '
要 あ
感染
万 感 染 場 IoT 機器 初
期 初期 い場 や 初期 解決
い場 期間 あ ば
窓 相 談 期 間 外
あ ば IoT 機器 廃棄 最 IoT 機器 購入
1章.情報 対策 8参考資料
1. IPA8 被害 原因 ワ 使い回 NG
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
2. IoR乗 攻撃
12
付録:情報セキュリテ
船中
策 IoT
機器ㄥ情報家電ㄦ編
戸 坂 龍馬 言わ い 船中 策 あや 1章 解 情報
的 対策 8 厳選 解 的 わ 併 情報 船中 策 IoT機器&情
13
14
15
2
章
情報セキュリテ
10
大
威
2018
2017 い 社会的 響 大 威 い 10大 威選考会 投票結
情報 10大 威2018 個人 組織 向 威 表2.1 通
付
章 個人 組織 向 威 1 ~10 威 情報 10大 威2018
個人 向 威 2.1節 組織 向 威 2.2節 解
表2.1 情報 10大 威2018 個人 組織 向 威
個人 向 威 組織 向 威
や
情報等 利用
1 標的型攻撃 被害
被害 2 被害
誹謗 中傷 3 詐欺 被害
や
狙 攻撃
4
弱 対策情報 開 伴う
用増
5
威 対応
人 足
個人情報 窃 6 個人情報 窃
情報 如 伴う犯罪 齢 7 IoT機器 弱
ワ 請求等 当請求 8 部 情報漏えい
IoT機器 適 管理 9 妨害攻撃 停
偽警告
詐欺
10
犯罪
16
組織 威 経営 や 管理者 開 者 般 業員等 々 立場 立場 変
わ 注意 威 変わ 表2.2 立場毎 注意 威 載 い 立場毎 注意
威 参考 い
表2.2 10大 威2018&組織'立場毎 注意 威
章 共通的 使わ 用語 い 表2.3 義 載
表2.3 情報 10大 威2018 用語 義
用語 意味
個人 家庭等 やPC 利用 人
組織 企業 府機 共団体等 組織 組織 所属 い 人
犯罪 金銭や主義主張& ' 目的 攻撃&犯罪'者 団
犯罪者 金銭や情報窃 & 行 含 ' 目的 攻撃&犯罪'者
諜報員 産業
機密情報窃 目的 攻撃&犯罪' 団
国家組織 支援 攻撃&犯罪' 団
IoT
&Internet of Things' ワ や情報家電
療機器 い 々 機器 通信 行う 組
機器自体 指 場 IoT機器 ぶ
CSIRT
等 問 生 原因究明や 響範
調 査 等 行 う 組 織 自 組 織 問 対 応 場 自 組 織
CSIRT ぶ
経 営 管 理 者 管 理 者 製 品 開 者 般 業 員
1 標 的 型 攻 撃 被 害 被 害 者
○
○
○
○
○
2 被 害 被 害 者
○
○
○
○
○
3 詐 欺 被 害 被 害 者
○
○
○
開 者
○
○
利 用 者
○
○
○
○
5 威 対 応
人 足
被 害 者
○
○
○
○
開 者
○
○
提 供 者
○
○
○
I o T 機 器 開 者
○
○
I o T 機 器 利 用 者
○
○
○
8 部 情 報 漏 え い 被 害 者
○
○
○
○
○
9 妨 害 攻 撃
停
被 害 者
○
○
○
10 犯 罪
& '
被 害 者
○
○
○
○
○
経営 8 表 締役社長や理 等 組織
管理者8 組織 管理者
管理者8 組織 運用 い 管理者
製品開 者8 製品 開 者
般 業員8 営業や総 等 組織 IT利用者
威 & 組 織 '
組 織 立 場 組 織 立 場
I o T 機 器 弱 個 人 情 報 窃
6
7
17
18
1
ンタヸネットバンキングやクレジット
ヸド情報等
不
利用
~被害
生、仮想通
関
被害
~
感染や 詐欺 認証情報や 情報 攻撃者
窃 金や 利用 行わ い 2017 被害件数 被害 減少
傾向 仮想通 利用者 狙 攻撃 確認 い
:攻撃者<
犯罪 犯罪者
:被害者<
個人&
仮想通 等 利用者'
組織& 利用者'
組織&金融機 仮想通 交換業者'
:
威
響<
端 感 染 詐 欺
等 窃 や
情報 用 攻撃 行わ い
や
利用 者 金 や 用等
金銭的 被害
被害 PC え 等
端 攻撃対象 い 2017 仮
想通 利用者 標的 攻撃 確認 い
:攻撃手
<
感染
攻撃者 意あ 添付 意 あ
載 等 信
添付 開
端 感染 感染
端
情 報 入 力 仮 想 通 交 換 所
等 入力 情報 攻撃者 窃
攻 撃 者 窃 情 報 使 用 規 利
用者 利用者
金や 利用 仮想通 交
換所 仮想通 窃 等 行う
詐欺
攻撃者 実
模 偽 &
' 作
載 信
入 力 情
報 等 窃 実 企 業 や 組
織 騙 載 い 規 URL 模
い あ
実 騙 件
請求書 文
いう 載 誘 手
確認 い 信者
う 誘
19
:
例
傾向<
金 件 数 減
少 仮想通 交換所 攻撃対象
警察庁 2017
金 生件数 425件 被害 約10億
8,100 万 2016 1,291 件 約 16 億
8,700 万 比較 生件数 被害 減少
い 1件当 被害 増 い
電 子決 済 使用 仮想 通 交換 所
対 金 行う 手 確認 い 1
情 報窃 目的 URSNIF
被害拡大
実 企 業 や 騙 文 中
載 い
DreamBot 感染 被害 拡大 2,3
情 報 窃 目 的 URSNIF
亜種 2016 頃 感染被害 生 い
2017 入 感染被害 拡大 感染
用認証情報や
情報等 窃 犯人 PC 乗
操作 あ
仮 想 通 標 的 い 感 染 状 態 仮 想
通 交 換 所 入 力
IDや ワ 窃 あ
使用 被害 増
般 社 団 法 人 日 会 2017
第1四半期 第3四半期
番 盗用被害 130.3 億 前 期間
67.8 億 2 倍近 増 い
被害 番 盗用被害 7 割 占
感 染 や 詐 欺 警 必 要
あ 4
:対策
/
対応<
個人&利用者' 被害 防
信 や 十 確認
添付 や 易 い
怪 い&普段 表示 い' 個
人情報等 入力 い
例 手 情報
銀 行 や 的 機 開 注 意 喚 起 等
確認
OS 更
入
拡張子 表示 設
ワ 適 管理 運用
ワ 管 理 方 法 い 書 個
人5 対策 参考 欲 い
多 要 素 認 証 等 銀 行 推 奨 認 証 方 式
利用
仮想通 全 利用
利用端 対策や 適
管理 心
被害 期検知
審 確認
や 利用 確認
利用 連絡機能等 利用
被害 対応
当 連絡
金 融機 や 会 社
全 部補償 場 あ
停
復元 初期
ワ 再設
参考資料
1. 29 中 空間 威 情勢等 い
http://www.npa.go.jp/publications/statistics/cybersecurity/data/H29_cyber_jousei.pdf
2. 金 被害 注意
https://www.jc3.or.jp/topics/dreambot.html
3. 国 狙う 威 DreamBot 解析
http://blog.trendmicro.co.jp/archives/14588
4. 使用被害 計結
20
2
ランサム
被害
~ランサム
感染経路拡大~
PC や あ 暗 や画面 等 行い 金銭 支払えば復
迫 犯罪行 手 使わ あ 感染 被害 引 生
い 感染 端 端 共 や外付
HDD 保 い 暗 あ 2017 OS 弱 用 ワ
感染 数 増や 場
:攻撃者<
犯罪 犯罪者
:被害者<
個人&PC 利用者'
:
威
響<
感染 PC や
保 い 暗 や PC や
操 作 い う 画 面 等 復
目 金銭 要求 被害 生 い
暗 や画面 外 破壊
外部 流出 OS 起動 い う
金銭 要求 確認 い
般家庭 利用 PCや 旅
行 や 結 婚 式 等 思 い 出 写 真 や 動 画 保
い 多い 感染
暗 等 閲覧
復 金銭 要求 応 確 実 復
保 証 支 払 金 銭 犯 罪 活 動
資金 犯罪 助長
:攻撃手
<
添付 感染
付 や
添付 添付
開 感染
感染& 弱 用'
文 等 攻撃者
用意 意あ や改
閲覧 感染 広告
感染 & 表示
感染 あ ' 1
OS 弱 用
OS 弱 用 当
い い端 s 接 い
感染
式 等 開
感染
21
:
例
傾向<
自己増殖型 場
感 染 経路
添 付 や 閲 覧 経
2017 OS 弱 用 ワ
接 い PC間 感染 拡大 場
表的 WannaCry や NotPetya
等 あ 2特 WannaCry 世界的 感染 拡
大 国 大手企業や地方 共団体等 被害
確認 大 報遈
対策 い機器 依然 感染
2017 11 WannaCry 感染被害
確認 い 2017 3 社
開 い 対策 実施 い い
端 狙わ い 3
対 策 日 々 進 方 攻 撃
進
振 舞 い 測 検 出 等
機 能 持 機 械 学 習 利用
対策 日々進 い
方 中 機械学習 利用
対策 回 避 手 法 用 い
確認 攻撃 進 い 4
:対策
/
対応<
個人&PC 利用者'
被害 防&被害 備え 対策含 '
信 や 十 確認
添付 や 易 い
OS 更
入
OS 利用停 移行
限 確認
連 対 策 書
個人4 対策 参考 欲 い
得
学 &DVD-R BD-R 等 ' 外 付
HDD USB 等 外部 憶媒体 期的
行う 使用
録媒体 暗 等 い う
PC や 接
復 前 確認
要 あ
被害 対応
復
復 活用
対策情報 提供 い
The No More Ransom Project 複
数 復 提供 い 5
等 駆除
復 実行 暗
復 能 あ
復元機能 活用
Dropbox や Google Microsoft
OneDrive 等 中 復 元
機 能 持 い あ
利用 い 場 機能 使う
効 あ
参考資料
1. 見 感染 弱 攻撃 国 状況
http://blog.trendmicro.co.jp/archives/14420
2. 心相談窓 :WannaCryptor 相談 例 学ぶ 般利用者 注意 環境
https://www.ipa.go.jp/security/anshin/mgdayori20170713.html
3. 2017 国 犯罪動向 速報 表
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180110-01.html
4. CERBER 機械学習 利用 対策 回避
http://blog.trendmicro.co.jp/archives/14661
5. The No More Ransom Project
22
3
ネット上
誹謗ヷ中傷
~匿名性を悪用
た心無い投稿
横行、情報モラルを身
着
う~
& SNS 掲示 等' 個人や組織 対 誹謗 中傷や犯罪 告 書 込
行わ い 書 込 匿 や手軽 易 投稿 う傾向 あ
SNS 使 犯罪 社会的 問 2017 殺人 件 展 例 あ
:攻撃者<
情報 い人
意 遊法 意識 持 い 人
:被害者<
個人
組織&教育機 共機 企業'
:
威
響<
や 普
広 利用 特 多数 人 容
易 行う う
面 自 氏 明 自 意見 信
特 個人や組織 対 誹謗 中傷や
犯罪 告 行 絶 い
い第 者 誹謗 中傷 調
う場 あ
誹謗 中傷や差 的 言 被害者 心理的
組織 誹謗 中傷
場 風評被害等 社会的 信
結 的 組織 大 利益 あ
:要因<
情報 や自己抑 力 如
自 言 人 心 理 的 追 い
あ 理 解 易 投 稿
う 自 身 持 満 や 捌
過激 言や個人 組織等 評 落
う 適 言 意 的 行 い
個人 信 共 場 増
々 やTwitter
動画配信等多種多 情報 信方法 あ
個人 自 情報 信 場
増 匿 信 能 あ 方
弊害 信者 詐称や誹謗 中傷 犯罪
告 信
:
例
傾向<
個人 中傷 投稿
2017 7 芸能人 中傷 投
稿 所 属 所 業 妨 害 疑 い 男 女 数
書類 検 男女 興味 引 掲載
閲覧数 伸ば 広告 入 増や
容疑 認 い 1
23
掲示 や 等 使 迫行
2017 10 男 教育 所
女学生 襲撃 犯行 告 市
中 学 校 対 業 妨 害 疑 い 逮 捕
男 家電 店 設置 PC 使 犯
罪 告 投稿 い 2
教諭 生 装い中傷
立中学校 教諭 校 男子生
特 女子生 中傷 容 書 込 行
部 生 指摘 覚 問
市 教 育 委 員 会 手 教 職 員 対 象
SNS 使用や教職員 服 規 等 研修 行
い 県教 育委員会 中傷 行 教諭
対 処 検討 い 3
容 疑 者 父 親 い う 拡 散 誹 謗 中
傷 業 妨害
交 通 故 引 起 逮 捕 容 疑 者 父
親 勤 誤 掲載
嫌 や 中 傷 含 電 多 数
情報 拡散 業 支 4
:対策
/
対応<
個人&投稿者'
情報 や情報 向 法
意識 向
誹謗 中傷や 序良俗 投稿 い
投稿前 容 再確認
SNS や 等 投稿 容 特 多
数 人 見 想 投稿 問
い 容 確認 見匿
投稿 う 見え 情報
開示 依 場 あ 信者 特
いう認識 持
個人&家庭' 組織&教育機 '
情報 情報 教育
利 用 齢 進 中
い 段 階 情 報 や 情 報 対
教 育 例 知
質 行 犯罪 う 理解 5
個人&投稿 閲覧 側'
情報 や情報 向 法 遵
意識 向
情報 信 確認
信 い 情 報 い い
用意 拡散 情報や 複
数 情報元 確 認 信 情報 総
的 断 確 情 報 信 犯
罪 う 理解
誹謗中傷 人 支え
誹 謗 中 傷 人 相 談 乗 あ
誹謗中傷 い う注意
個人&誹謗 中傷 側'
被害 対応
冷静 対応 支援者 相談
人 抱 え 込 周 人 や 的 相 談 機
相談 6
犯 罪 思 わ 誹 謗 中 傷 投 稿 警 察
被害 提出
管理者や 削除依
問 あ 書 込 削 除 い 人
者 管 理 者 や
削 除 要 請 削 除 炎
火種 あ 者 等 相
談 慎 行う
参考資料
1. 西 敏行 中傷 書類 検…芸能
http://www.yomiuri.co.jp/science/goshinjyutsu/20170725-OYT8T50097.html
2. 女子生 襲撃 告容疑 無職男逮捕 埼玉
http://www.sankei.com/region/news/171027/rgn1710270031-n1.html
3. 男 生 市教委 QNQ研修 埼玉県 市
http://www.sankei.com/affairs/news/171225/afr1712250052-n1.html
4. 東 故 容疑者 父 拡散容疑 福岡県警 捜索
https://www.asahi.com/articles/ASKDQ43Q4KDQTIPE00F.html
5. 例 & 29 版'
http://www.soumu.go.jp/main_content/000506392.pdf
6. 人 相談 付窓 &法 省人 擁護局'
24
4
スマヸトフ
ンやスマヸトフ
ン
プリを狙った攻撃
~依然
式
プリスト
不
プリ
存在、
ルス感染
注意~
式 等 開 い 利用者 う
要 情報 窃 操作 被害 確認 い 暗 等 行う
機能 持 え 2017 個人情報 開 機能 持
確認 い
:攻撃者<
犯罪 犯罪者
:被害者<
個人& 利用者'
:
威
響<
式 等 込 い
あ 端 要 情報 窃
機 能 端 利 用 機 能
機 能 等 持 い う
う 端 連 絡 や 通
録 等 要 情 報 窃 録 画 写 真 撮
通 録 音 機 能 利 用 端
暗 等 金 銭 要 求 被
害 遜う あ 端 利用
攻撃 踏 攻撃者 用
利用者 外 響 え あ
:攻撃手
<
式 込
常 見 式
開 利用者 式
全 思い込 い 易
う
人気 偽装
件数 等 多 い 人気 偽 装
式 等 開
: 用例<
連絡 等 端 要 情報 窃 録画 写真 通 録音機能 利用
感染
DDoS攻撃等 踏
25
:
例
傾向<
人気 便乗
Android 式 あ Google Play
FalseGuide ば 込
い Pokémon GO や FIFA
Mobile 等 人気 含 40 種類
攻 略 法 解 中 込
5 万回
感染 利用者 200万人近 ぶ
い 1
組 込 ZNIU
2017 9 Linux 弱 Dirty COW
用 ZNIU ば 確認 い
ZNIU 感 染 管理 者 限 持
込 攻撃者 乗
あ ZNIU 込
や 見え い う
偽装 日 含 40 国 感染 確
認 い 2
端 向
2017 7 Android 端 向
LeakerLocker 確 認 い LeakerLocker
込 遠隔
個人情報 出 連絡
録 い 転 迫
金銭 要求 3
Android 端 攻撃 踏
2017 8 散型 妨害&DDoS'
大 規 模 攻 撃 確 認 い 攻 撃 行
Android 端 動作 利用者 誤
実行
形 DDoS 生
掛 い 4
:対策
/
対応<
個人&利用者'
被害 防&被害 備え 対策含 '
式 入手
Android 場 式 外
入手 能 極力 式 入手
式
い あ 評価 え
開 者 等 情 報 確 認 信
断
限 確認
限 確 認 機 能
対 適 う 確 認 行 い い
限 要求 い ば い
望 い 特 管 理 者 要
求 い 場 注意 必要 あ
OS 更
入
利用 偽
式 込 い
あ 前
信 確認
設 実施
Android 設 提供元 明
許 い
利用 い
得
写真等 大
被害 対応
い
場 端 初期
復
参考資料
1. 人気 多数 Android 感染--Check Point
https://japan.zdnet.com/article/35100328/
2. Dirty COW 弱 突 Android 出現 日 感染
http://www.itmedia.co.jp/enterprise/articles/1709/27/news050.html
3. 端 向 LeakerLocker 情報 流出 引 換え 身 金 要求
http://blog.trendmicro.co.jp/archives/15624
4.Android端 踏 DDoS攻撃 生 Google Play 300
26
5
ブサヸビス
不
ログ
ン
~パスワヸド
使いまわ
注意~
金銭的 被害や個人情報 窃 等 被害 確認 い 2017
確認 多 ワ 攻撃 行わ い
多数 利用者 推測 や い ワ 使用や ワ
使い わ い 場 行わ う
:攻撃者<
犯罪 犯罪者& 等'
:被害者<
個人& 利用者'
組織& 運営者'
:
威
響<
ID ワ 窃 推測
被害 引 確認
い
響 利
用 い 機能 変わ 例
えば あ ば 氏 や 所 電
番 窃 購 や 等 盗用
SNS あ ば 写真や
や 等 見
SNS 使 広告や 等 知人 配信
場 自 外 被害 う あ
:攻撃手
<
ワ 攻撃
漏えい ID ワ
組 わ 利用 攻撃手法 あ
複数 ID ワ 使い
わ い 場 1 ID ワ
漏えい
被害 拡大
ワ 推測攻撃
利用者 使い う ワ 推測
試 攻撃手法 あ 例えばID ワ
ワ 単純 単語や 123456
や abcdef う 連 英数 使用 い
場 攻撃者 ワ 推測 あ
SNS 開 い 前や誕生日等 情報 組
わ ワ 険 あ 1
qwerty い 見 文 列 見え
実 隣接 い 文 推測 や
い
27
感染
利用者 攻撃者 用意 意 あ
添付 い 意あ
開 使用 い 端
感染 端 SNSや
入力 情報 攻撃者 窃 攻撃
者 窃 情報 使用 利用者
利用
:
例
傾向<
個 人 情 報 流 出
使用
電気料金情報 Web 照会
myTOKYOGAS い 2017 9
行わ 106 件 個人情報 流出
あ う 24件 い 社
交換 形跡 あ 2 社
8 行わ 17件 個人情
報 流出 い 3
自 や 自 周 乗 被
害経 者 い 全体 約4割
LINE 2017 実施 実態把握
調査 自 や家族 恋人や 知人等
自 周 人 乗
あ 人 い 回答 人 全体 約 4 割 あ
LINE 多 い Twitter
Facebook あ
や 端 あ 意 識 い
い 意識 い い 回答 人
全体 約3割 占 情報 向
必要 状況 あ 4
面識 い女
面識 い女 3人 Yahoo! 等
計12回 わ 男 逮
捕 ワ 保
画像 盗 見 い
必要 IDや ワ SNS
開 い 前や誕生日 推測 い 5
:対策
/
対応<
個人& 利用者'
被害 防
ワ 長 複雑
ワ 使い回 い
ワ ワ 作
前や 毎 異 識 子 付
ワ 作
ワ 使 い 回 回避
ワ 憶 識 子 電 子 や
載 良い 6
ワ 管理 利用
ワ 管 理 ワ
覚え 全 ワ
括管理
多要素認証等 推奨 認
証方式 利用
ワ ワ 等 多 要素認証 利用
仮 固 ワ 知
や 金 銭 被 害 等
要 操作 阻
利用 や 会
被害 対応
ワ 変更
停
参考資料
1. SNS 開 い 誕生日 情報 使 ワ 設 推測 や NG
https://www.ipa.go.jp/security/anshin/mgdayori20161221.html
2. 客 情報 流出 使用 い
http://www.tokyo-gas.co.jp/important/20170922-01.html
3. 客 情報 流出 い
http://www.tokyo-gas.co.jp/important/20170901-08.html
4. LINE 実態把握調査
https://linecorp.com/ja/pr/news/ja/2017/1756
5. 面識 い女
http://www.sanspo.com/geino/news/20170614/tro17061419020010-n1.html
6. 被害 原因 ワ 使い回 NG
28
6
ブサヸビス
個人情報
窃取
~
ブサヸビス
利用者
録
個人情報を必要最小限
~
2017 引 弱 用 録 個人情報や
情報 窃 件 多 い 窃 情報 用 審 信 情
報 利用 あ
:攻撃者<
犯罪 犯罪者
:被害者<
個人& 利用者'
組織& 提供者'
:
威
響<
近 多 企業 提供 業
行 い 伴い 利用者
利用 や 情
報 等 多 要 情 報 録 い 方
々 構 い
提 供者 適
管 理 い い場 等 開
い 適用 弱
提供 い 状態
利用者 う
利用 い 場 攻撃 者 弱
用 録 あ 個 人 情 報 等 要 情
報 窃 あ 窃 情報
利 用 情 報 利
用等 被害 あ
:攻撃手
<
利用
弱 用
弱 用 個人
情報等 要 情報 窃 特
広 使用 い 場 弱
攻撃手法 明 多
攻撃や被害 生 あ
:
例
傾向<
都 税 支 払
計 72 万件近 情報 流出 能
2017 3 GMO 株式会
社 運 営 い 東 都 税 支
払い や団体信用生 保険特約料
支払い 行わ
番 効期限等 計72万件近 情報 流
出 能 あ 表
利 用 い Apache
Struts2 弱 用 原因 表
い 1
29
通 等
個人情報 流出 能
日 文 式通
弱 突
情報等 外部 流出 能 あ
表 漏えい 4 19日 5 12
日 決 済 規 利
用 顧客 個人情報最大 189 件 氏 所
番 効期限
窃 能 あ 2
局 聴者 情 報 37
万件 流出 能
東 &TOKYO MX'
個人情報 流出
能 あ 明 氏
約1,270 件 37
万件流出 能 あ 弱
弱 用
見 い 3
:対策
/
対応<
個人& 利用者'
情報 向
要 情報 録 い
情報漏えい 備え
利用 必須 目 外
極力情報 録 い 例えば
情報 録 慎
利用 い 会
個人情報 録 使用
い 断 場 会
個人情報 削除 能 あ
情報 漏え
い 減 個人情
報 扱い い 規約
依 入会
確認
被害 期検知
利用明細 期的 確認
情報 窃 利用
場 被害 気 能 あ
被害 対応
停
ワ 変更
ワ 漏 え い 場 情 報
利用 あ
利 用 場 ワ 変 更
参考資料
1. Apache Struts 2 弱 突 都税支払い 情報72万件 流出 能
https://internet.watch.impress.co.jp/docs/news/1049261.html
2.5 通 個人情報 流出 - 日 文
http://www.security-next.com/083999
3. 聴者情報37万件 流出 - TOKYO MX
30
7
情報モラル欠如
伴う犯罪
年齢化
~未来あ
若者
情報モラル教育を~
2017 者 犯罪 害者 逮捕 補 件 確認 い 犯罪
用 や知識 通 誰 入手 利用 う 情報 如
者 犯罪 手 染 や い 者 PCや 所持 当 前
い 教員や親 行 い
:攻撃者<
情報 い 者
法 遵 意識 い 者
:被害者<
個人
組織&教育機 運営会社等'
:
威
響<
者 犯罪 多数確認 逮
捕 補 件 起 い 普
伴 い 攻 撃 用 や知 識
誰 入 手 う 者
情報 用 い あ
者 犯 罪 情 報 足
自 行 犯罪 あ 認識 い
行 い 場 あ 情 報 如
自 行 犯罪 認識 利 欲
行 い 場 あ 特 者 場 人 行う
犯罪 遊い い
教 育 機 や 運 営 会 社 等 者 連
深 い 組 織 攻 撃 対 象 多 い 例 え ば
DDoS 攻撃 妨
害 人
利用 攻 撃対 象 組 織
個 人 狙 わ 場
あ
:要因<
情報 如
自 行 犯罪 あ 理解 金
銭目的等 利 欲 犯罪 行う
自己 示欲や社会 乱 目的 行う あ
SNS等 犯行声明 出 標的 募
場 あ
情報 足
自 行 犯罪 あ 理解 面 半
行 う
攻撃 や攻撃 流通
近 攻撃 用 や
開 者 含 誰 容易
入 手 環 境 あ 者 興 味
持 用 攻撃 行う
31
:
例
傾向<
者 作 逮捕
2017 6 大阪府 14 少
作 容疑 警察 逮捕 1作
等 組 わ 作 あ
機能 備え い 比較的簡易
あ 少 作 動機
自 知 等 い
少 iXintpwn& ' 等
ば iOS 大 作
拡散 い 2
少
売
入手方法等 情報
出品 大阪府 13 少
児童相談所 通告 3
出 品 情 報 購 入 意 思 示
14 19 少 4 書類 検
動機 い 出品 少 金銭目 的 購入
意 思 示 少 い 用 目 的
容疑
校生3 書類 検
校生 3 人 人気 知 熊 県
中学生 ID ワ 使 当
勝手 467 万 料
契約 結 疑い 書類 検 4
被 害 者 中 学 生 害 者 校 生 料 契
約 行 あ
動機 い
中学生 警察 欺 偽装工作 行い 誤認
逮捕 展
中学生 Twitter 人気
売 い 女 購 入 持
女 氏 や 番 等 入 手
入 手 情 報 用 詐欺 被 害 確 認 中
学生 入手 情報 使い女 校
生 2 計 8 万 被害 警察
2017 5 女 誤認逮捕
19日間拘留 5
:対策
/
対応<
個人&家庭' 組織&教育機 '
情報 や情報 向
情報 や情 報 教 育 法 教育
徹底
者 教育 親や教師等 身
近 大人 大 響力 持 幼い頃
家 庭 や 学 校 教 え 機 会 作 等
責 任 持 対 応 求 質
行 犯 罪 法 手 中 処 罰
得 等 法教育 要 あ
被害 防
利 用 齢 限
や 利用
要 機器 持 い
参考資料
1. 者 作 日 初 逮捕 例 解
http://blog.trendmicro.co.jp/archives/15133
2. OS 大 作 YJSNPI iXintpwn 解
http://blog.trendmicro.co.jp/archives/16007
3. 少 売 隠語 出品 目 い
http://www.itmedia.co.jp/news/articles/1709/15/news052.html
4. 容疑 校生1人 書類 検
https://www.asahi.com/articles/ASK325H60K32TLVB00H.html
5. 済 女子中生 匿 用 島 詐欺
32
8
ワンクリック請求等
不当請求
~複数回
クリック
不当請求さ
ケヸス
~
PC や 利用中 請求画面 表示 金銭 当 請求 ワ 請求
被害 依然 生 い 1 請求 複数回 請求
当 主張 当請求 う被害 確認 い
:攻撃者<
犯罪
:被害者<
個人& 利用者'
:
威
響<
PC や 利用者 意 あ
等 や SNS 載
会員 録料や利用料
い 目 金銭 請求画面 表示 ワ
請求 依然 生 い
請求画面 急 支払わ ば 訟
い 被 害 者 心 理 煽
被 害者 焦 料金 支払 い 支
払 再 支払い 要求 場 あ
う い 被害者 狙 ワ 請求
対処法 検索 等 検索 中 消費者救済
装 う 怪 い 業 者 金 銭 騙 被 害
生 い
:攻撃手
<
意あ 閲覧
表示 い 18
画 像 等 会 員 録 完 了 請
求画面 表示 誤 録 閲覧
者 遊い 当 金銭 請求
載
い 載 い
入 会 完 了 画 面 表 示
入会金 請求
無料動画 等 偽 や
請 求 画 面 閉 数
請求画面 表示 PC や
再起動 再 画面 表示 あ
/
電 う 誘
請求画面 問い わ 電 番 表示
会 焦 被 害 者 電 う 誘
電 相手 電 番 知
再生 OK 押 契約 立 い
解約 い 等 支払い 迫 あ
電 中 会 や 支 払 い 免 除 称
33
個人情報 聞 う 場 あ 個人情報
伝 え う 情 報 用 あ
機能 用
等 閲覧
閲 覧 者 撮 思 わ
音 鳴 煽 金銭 要求
表 示 画 面 表 示
OK 犯罪者 電 信
手 あ
:
例
傾向<
依然 多いワ 請求
ワ 請 求 被害 生 い
2017 10 160万件 詐欺 検
知 PC 対象
詐欺 検知 い 2
複数回 詐欺 場
1回 当請求
ワ 請 求 主 流 再 生 や
齢 確 認 入 室 意 等 い 目
数回 当請求 例 あ
業者 電
複数回 入会 意思 あ 言わ
被害者 当請求 応 う 3
ワ 請求 被害者 狙 詐欺
ワ 請 求 対 処 法 求 相 談 業 者
当 請求 被 害 生 い ワ
請求画面 表示 被害者 消費生活
検索 検索結 表示
的 機 外 団 体 相 談 依
料 5万4,000 請求 4
ワ 請求 騙
ワ 請求 引 被害者
会料 いう 目 15
万 騙 被害 生 い
利用番 電 聞 騙 5
:対策
/
対応<
個人& 利用者'
被害 防
当請求 応 い
当 料金 請求画面 表示 応
い 個人情報 得 う 見 い
電 や 個人情報 入力 行
い い場 攻撃者 情報 渡 い い
信 容 確認
確認
SNS&Twitter Facebook 等 '
用意 い
限 確認
連 対 策 書
個人4 対策 参考 欲 い
例 手 情報 学習
日頃 や 機
等 例 や 手 等 情 報 学
習 効 あ
被害 対応
相談 信 機 利用
国民生活 や地域 消費生活
等 い 対 処 法 紹 機 相 談
6
復元 初期 7
参考資料
1. 国民生活 情報
http://www.kokusen.go.jp/soudan_topics/data/adultsite.html
2. 詐欺 &2017 9 '
https://www.onlinesecurity.jp/reports/2017/201710.html
3. ワ 詐欺 4 詐欺 急増
https://www.moneypost.jp/131605
4. ワ 詐欺 解決装い… 相談 被害 用心 広告 用 依 料請求
https://www.nikkei.com/article/DGXMZO1838305002072017AC8Z00/
5. 被害 4億 超 詐欺 容疑 男4人逮捕 都府警
http://www.sankei.com/west/news/170224/wst1702240017-n1.html
6. 独立行 法人国民生活
http://www.kokusen.go.jp/ncac_index.html
7. ワ 請求被害 対策
34
9
IoT
機器
不適切
管理
~普及
IoT
製品、利用
前
セキュリテ
対策を~
接 い 機器 あ IoT機器 利用 進 い 方 利用者 IoT機器
接 い 意識 利用 対策等 適 管理 行わ い い
あ 管理 怠 い IoT機器 狙わ 室 見や攻撃 踏 い 被害 出 い
:攻撃者<
犯罪
:被害者<
個人&IoT機器利用者'
組織&企業 IoT機器利用者'
:
威
響<
IoT 機器 世間 透 々 情
報家電 機器 療 機器 産業用 設備 機器
御 等 ワ 通 利 用
う 方 IoT機器 利用者 IoT機器
ワ い いう意識
対策 行 い い あ 例えば
初 期 設 利 用 い 弱 開
適 対 策 利用 い い
険 状況 あ 攻撃者 う IoT機器
攻撃 行い 機器 乗 々 攻撃 行う
:攻撃手
<
初期設 IoT機器 感染
規購入 IoT機器 初期 ワ 設
済 場 あ 初期 ワ 扱 明書
載 い 攻撃 者 初期設 利用
い IoT 機器 感
染 IoT機器 乗
弱 用 攻撃
開 IoT 機器 弱 用 適
用 利用 い IoT機器 乗
感染 拡大
攻撃者 感染 IoT機器 使
周辺 設 備や 弱 置 IoT機器
い 索 ば IoT機器
感染 々 感染範 拡大
:乗 攻撃や 用 例<
見や盗撮
ワ や 機能 あ IoT機器 乗
遠隔 操作 見 盗
撮
DDoS攻撃等 踏
IoT機器 乗 DDoS 攻撃 踏
35
IoT 機器 利用者 乗 被害者 あ
意 い 害者 攻撃 担
踏 い IoT 機器
CPU や 荷 ば 踏
い 気 長期感染 あ
:
例
傾向<
掃 除 弱
確認 映像 見
製 掃除機 COCOROBO&
' 部機種 弱 あ 第 者
操作 あ 掃除機
操作 能 あ 操作 利用 無線 LAN
攻撃者 能 あ 弱 用
掃 除 機 乗 搭 載
場 室 見 侵 害
あ 弱 対応
提供 適用 い 1
IoT Mirai 亜種 活
2017 11 頃 IoT 機器等 感染
Mirai 亜種 感染活動 活 い
JPCERT
&JPCERT/CC'2 情報通信研究機構&NICT' 警
察庁 12 19日 注意喚起 行 国
製Wi-Fi 11機種 当
社 2013 6 2014 10 開
適用 う 改 注意喚起 行 3
IoT 機器 利用者 開 い 弱 対策
適用 い あ 被害拡大 あ
IoT機器 破壊 BrickerBot
IoT 機 器 破 壊 完 全 使 用 能
BrickerBot ば 感 染 広
情 報
変更 い い IoT 機器 狙 感染
感染 場 機器 再起動 使用 能
工場出荷 状態 戻 押 復
BrickerBot 作者 乗 人物 Mirai
等 対 対策や管理 十
IoT機器 使用 能状態 主張 い 4
:対策
/
対応<
個人&利用者'
情報 向
使用前 扱 明書 確認
被害 防
初期 ワ 長 複雑 変更5
外部 要 限
端 限 機能 活用
要 機能や 無効 &NAPT等'6
開 迅 速 更 & 自 動 更
機能 効 '
情報 等 配 信
提供 い ば 利用
使用 い い IoT機器 電源
廃棄前や 出 前 初期
IoT 機器 々 情報 設 い
廃棄 前 や 出 前 初 期
中 品購入 感染や 改
考慮 初期 使用
被害 対応
IoT機器 電源
IoT機器 初期 被害 防 実施
感 染 初 期 い 場
窓 相談
開 い い場 使用中
参考資料
1. 掃除機 COCOROBO 管理 備 弱 &JVN#76382932'
https://www.lac.co.jp/lacwatch/alert/20171117_001427.html
2. Mirai 亜種 感染活動 注意喚起
https://www.jpcert.or.jp/at/2017/at170049.html
3. 製300Mbps無線LAN &全11 ' 要 知 願い
http://www.logitec.co.jp/info/2017/1219.html
4. IoT機器 破壊 BrickerBot 拡散中 Mirai 対
http://www.itmedia.co.jp/enterprise/articles/1704/25/news056.html
5. ワ や家庭用 等 IoT機器 利用前 必 ワ 変更
https://www.ipa.go.jp/security/anshin/mgdayori20161125.html
6. IPA 増 接 機器 適 情報 開 対策
36
10
偽警告
ンタヸネット詐欺
~そ
警告メッセヸジ、信
大丈夫?~
PC や 閲覧中 突然 感染 い 等 偽警告 表示 利用者
煽 偽警告 載 操作 行わ 金銭的 被害や個人情報等 窃 被害 生 い 偽
警告 物 警告 誤認 う 妙 細工 施 被害者 信 指示 う
:攻撃者<
犯罪
:被害者<
個人& 利用者'
:
威
響<
PCや 閲覧中 偽警
告 表 示 利 用 者 煽 偽 警 告 載
操作 行わ 金銭被害や個人情報等 窃
被害 引 生 い
攻撃者 広告掲載 組 用
偽警告 表示 い 表示 偽警告
企業 等 装 い 場 あ 偽警 告 容
信用 指示 う 攻撃 者 指示 う
購入や 契約 結ば PC
や
企業 模 偽
誘 氏 情
報 入 力 う 攻 撃 者 窃 用
等 被害 遜う あ
:攻撃手
<
偽警告 表示 煽 誘
広告掲載 組 用
感染 い 等 偽警告 表示 閲覧者
煽 偽警告 指示 わ 偽警告 信
企業 等 使わ 場
あ
音声 流 煽
偽 警 告 表 示 併 警 告 音 や 警 告
流 煽 焦 指示 わ う
場 振動 煽
場 あ
窓 装い 電
偽警告 表示 い 連絡 電 う
誘 電 PC 状
況 遠隔操作 確認 等 明 遠隔操作
遠隔操作 々 画面 表
示 感染 い う 見
問 解決 実施 作業 対価や
PC 契約 誘
や 支払い 当 請求
37
偽 購入
偽警告 表示 警告 解決 無償版 偽
う 誘
行う 問 検出
結 表示 修復 償版偽
購入 要求
や
偽警告 表示 警告 解決
あ ば PC あ ば
う誘 う 端
操作 個人情報等 窃
あ
:
例
傾向<
等 利用 妙 騙 手
2017 3 勝手 動い
い や 社 URL
い う 画像 表示 偽警
告 手 確認 い 手 感
染 PC 常 操作 う 閲覧
者 錯覚 5 等 間 限 表
示 誰 相談 間 え い う 急
1
Google社 騙 偽警告
閲覧
感染 偽警告 表示 偽警告 Virus 等
検出 思わ 文 列 含 や
使用 い 機種 表示 利用者
情報 相 手 伝 わ い う 思わ 偽
警告 指示 い 画面 進 Google 社 偽装
画 面 表 示 Google Play 特
入手 実行 2017 11 確認
例 & 報
酬型広 告' 金
銭的利益 得 う 目的 あ 考え
い 2
:対策
/
対応<
個人& 利用者'
被害 防
例 手 情報
日頃 や 機
等 例や手 等 情報 3,4
偽警告 表示 易 わ い
偽 警 告 指 示 い や
い 電 い 遠隔 操
作 許 い 契約 応 い
偽警告 表示 終了
被害 対応
遠隔操作 5
あ 場 端 初期
契約 解消
近 消費生活 6 相談
8 社 騙 偽警告 画面
参考資料
1. 独立行 法人情報処理推進機 心相談窓 偽警告 手 出現
https://www.ipa.go.jp/security/anshin/mgdayori20170329.html
2. 感染 偽警告 注意
http://blog.trendmicro.co.jp/archives/16382
3. 対策 議会
https://www.antiphishing.jp/
4. 独立行 法人情報処理推進機 心相談窓 被害 減 偽警告 手 対策 紹 映像 開
https://www.ipa.go.jp/security/anshin/mgdayori20170411.html
5. 意 手
https://www.ipa.go.jp/files/000054281.pdf
6. 独立行 法人国民生活 全国 消費生活 等
38
コラム:子供を
状況
いう
SNS 等 起因 者 犯罪 巻 込 被害 絶 警察庁 統計
ば 29 半期 等 起因 犯 被害児童数 919人
過去最多 1
犯罪者 SNS 等 被害児童 や投稿情報 確認 人 や い
等 い 知 金銭 援助交 迫 裸体画像 信
等 者 搾 い 覚 い剤等 遊法 物 掲示 や 等
売 い 実態 2 あ 者 的自 身体 全 対 険 現
い
中 2017 10 神奈川県 間市 い 複数 女 殺害 疑い あ
男 逮捕 容疑者 Twitter 自殺願望 あ 被害者 知 い 被害者 中
者 い い 3
件 真相 法 場 い 明 社会 大 衝撃
え 運営 業者等 構 青少 利用環境整備 議会
2017 12 自殺等 紹 等 投稿 確認 場 積極的 対処 等 盛 込 4
策 全国SNS 議会 連携 い
防犯 ば 民間 方々 力 害情報 見 通報
体 強
う 施策 SNS 等 起因 犯罪 者 効 あ 質 運営者
等 対 注意喚起 得
者 的自 害 行 厳 処罰 2017 6 刑法 改 13
満 者 交等 場 5 期懲役 処 能 あ 業 覚 い
剤 売 場 無期懲役 処 能 あ 質 容 投稿 積極的 置
犯罪 助長 者 行 者 等 法的責任 う いう意識 社会 芽
生え ば 施策 実効的 思わ
子供 状況 いう 学校 家庭 人 3 等 わ 等 責任 あ
いう言葉 あ &漫画家8手塚治虫氏' 現 社会 子供 問
利用者 業者全体 等 責任 あ 思わ
参考資料
1. 警察庁 29 半期 等 起因 犯 現状 対策 い
http://www.npa.go.jp/cyber/statics/h29/H29_siryou.pdf
2. 警 庁 険 撲滅!!
http://www.keishicho.metro.tokyo.jp/kurashi/drug/drug/bokumetsu_drag.html
3. 朝日 聞DIGITAL8 間7遺体 /都2県 /3~04 確認 警 庁 表
https://www.asahi.com/articles/ASKC97RCRKC9UTIL070.html
4. LINEやTwitter 参 議会 間市 件 緊急提言
39
40
1
標的型攻撃
被害
~組織全体
セキュリテ
意識
向上を~
企業や民間団体や官 庁等 特 組織 狙う 標的型攻撃 引 生 い 添付
開 意あ PC 感染 組織 PC や
感染 拡大 最終的 業 要情報や個人情報 窃 金銭目的 場 入手
情報 転売等 あ
:攻撃者<
諜報員 産業
犯罪 犯罪者
:被害者<
組織&官 庁 民間団体 企業 研究機
教育機 等'
:
威
響<
添付 や 外部 憶媒
体等 標的 組織 PC 感染
組織 部 潜入 標的型攻撃 確認 い
感染 感染 PC 攻撃者
遠隔 操作 組織 部 情報 索
要情報 窃 情報漏えい 生
組織 信 や組織 業停 い
大 問 あ
破壊や業 妨害等 狙 標的型攻撃 確認
い 標的 組織 引 や 子会
社等 攻撃 踏 &
乗 等' あ 業種や会社規模
狙わ あ
:攻撃手
<
使 手
添付 や 文
込 開 感染 実
組 織 模
使用 偽装 場 あ
使 手
標的 組織 利用 調査
う 改
組織 業員
感 染 DMZ
等 弱 & 弱
等' 用 部 侵入 場 あ
:
例
傾向<
々 方法 行わ 標的型攻撃
情 報 共 &J-CSIP'
2017 1 12 間 J-CSIP参
組織 い 標的型攻撃 件数 173件
い 期間 標的 型攻撃
ワ 付 縮 1 添付 開 2
41
付 格納 い 攻撃 観測
い 2 実行形式 Word
文書 あ 者 Microsoft Office
ワ 弱 あ CVE-2017-0199 弱
用 感 染 狙 い
外 連企業 業員 乗 国
企業 審 付 い う攻撃 観測
い 攻撃者 防御 弱い 侵入
侵入範 拡大 試 あ 1
:対策
/
対応<
標的型攻撃 対 侵入抑 期検
知 被害拡大防 最終被害回避等 対策 え
経営者 管理者 業員 体
対策 要 あ
組織&経営者 '2
組織 体 確立
迅速 的 対応 体 &CSIRT 等'
構築
対策 算 確保 的 対策 実施
策
組織& 担当者'
被害 防/対応力 向
情報 管理 策
攻撃 的 情報 情
報共
教育
生 訓練 実施
統 運用管理 等 対策
状況 把握
統 運 用 管 理 使 い 業 員 や 職 員
利用 PC 更 状況 管理
行う
被害 対応
組織 体 &CSIRT等' 運用
響調査 原因 追究
組織& 管理者'3
被害 防&BCP対策含 '
設計
要 要 塞 & 御 暗
等'
OS 更
ワ
得
復 前 確認
要 あ
被害 期検知
ワ 防御
防御
被害 対応
復
組織& 業員 職員'
情報 向
教育 講
被害 防&通常 組織全体 実施'
OS 更
入 更
引 対策実施状況 確認
被害 対応
CSIRT 連絡
:標的型攻撃 訓練 留意 <
標的型攻撃 訓練 実施 追求
観 実 組織 使い訓練 実施 場
信 元 い 組 織 や 個 人 信
無 確 認 あ 第 者 業
響 え う懸念 あ 場 訟問
展 あ 実 酷似
組 織 使 訓 練 実 施 い
賢明 あ 4
参考資料
1. 情報共 &J-CSIP& ''
https://www.ipa.go.jp/security/J-CSIP/
2. 経営
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
3. 標的型攻撃 対策 向 設計
https://www.ipa.go.jp/security/vuln/newattack.html
4. 組織 標的型攻撃 訓練 実施目的 明確
42
2
ランサム
被害
~ランサム
感染経路拡大~
PC や 保 い 暗 や画面 等 行い 金銭 支払
えば復 迫 犯罪行 手 使わ あ 感染 被害 引
生 い 感染 端 端 共
や外付 HDD 保 い 暗 あ 組織 広範 暗
場 業 大 支 生 2017 OS 弱 用 感染 端
接 い ワ 感染 数 増や 場
:攻撃者<
犯罪 犯罪者
:被害者<
組織& PC 利用者'
:
威
響<
感染 PC や
保 い 暗 や PC や
操 作 い う 画 面 等 復
目 金銭 要求 被害 生 い
暗 や画面 外 破壊
外部 流出 OS 起動 い う
金銭 要求 確認 い
組織 やPC 顧客情報や業 運営
要 情報 格 納 暗
業 支 出 あ 特
経営 情報や顧客情報 い 機密情報 暗
場 響 大 い 要
暗 動 作
あ 金 銭 要 求 応 確
実 復 保証 い 業 や人 保護
金銭 払 例 あ
:攻撃手
<
添付 感染
や
添付 添付 開 感
染
感染& 弱 用'
文 等 攻撃者
用意 意あ や改
閲覧 感染 広告
感染 & 表示
感染 あ ' 1
OS 弱 用
OS 弱 用 当
い い端 接 い 端
感染 。
43
:
例
傾向<
自己増殖型 場
感 染 経路
添 付 や 閲 覧 経
2017 OS 弱 用 ワ
接 い PC間 感染 拡大 場
表的 WannaCry や NotPetya
等 あ 2特 WannaCry 世界的 感染 拡
大 国 大手企業や地方 共団体等 被害
確認 大 報遈
対策 い機器 依然 感染
2017 11 WannaCry 感染被害
確認 い 2017 3 社
開 い 対策 実施 い い
端 狙わ い 3
対策 日々進 方 攻撃 進
振 舞 い 測 検 出 等
機 能 持 機 械 学 習 利用
対策 日々進 い
方 中 機械学習 利用
対策 回 避 手 法 用 い
確認 攻撃 進 い 4
:対策
/
対応<
感染 い 対策 感染
場 対応方針 決 必要 あ
組織&経営者 '
組織 体 確立
迅速 的 対応 体 &CSIRT等'
構築
対策 算 確保 的 対策 実施
組織& 管理者/PC 利用者'
被害 防&BCP対策含 '
信 や 十 確認
添付 や 易 い
OS 更
入
OS 利用停 移行
& ' 活用
ワ
共 等 最
得
学 &DVD-R BD-R 等 ' 外 付
HDD USB 等 外部 憶媒体 期的
行う 使用
録媒体 暗 等 い う
PC や 接
膨 大
場 大規模 対応 外部
等 活用
復 前 確認
要 あ
被害 対応
CSIRT 連絡
復
復 活用
対策情報 提供 い
The No More Ransom Project 複
数 復 提供 い 5
等 駆除
復 実行 暗
復 能 あ
響調査 原因 追究
参考資料
1. 見 感染 弱 攻撃 国 状況
http://blog.trendmicro.co.jp/archives/14420
2. 心相談窓 :WannaCryptor 相談 例 学ぶ 般利用者 注意 環境
https://www.ipa.go.jp/security/anshin/mgdayori20170713.html
3. 2017 国 犯罪動向 速報 表
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180110-01.html
4. CERBER 機械学習 利用 対策 回避
http://blog.trendmicro.co.jp/archives/14661
5. The No More Ransom Project
44
3
ビジネスメヸル詐欺
被害
~偽
振込ヷ送金依
注意~
詐欺 &Business E-mail Compromise8BEC' 妙 細工 や 企業
担当者 騙 攻撃者 用意 金 詐欺 手 あ 詐欺行 準備 等 用
企業 業員 情報 窃 あ 前 主 外 組織 被害 遜 2016 降 国
企業 被害 確認 い
:攻撃者<
犯罪
:被害者<
組織&企業 金銭 決裁 限 持 責任
者 金銭 扱う担当者'
:
威
響<
組織 い 利用
着 い 中 外 引 や経営者等 装い企
業 担当者等 騙 金
詐欺 被害 確認 い
詐欺 使用 妙
騙 手 使 わ 通 常 引
見 い う 作 い 引
模 や 物
使 い 場 あ 信者 攻撃者
偽 物 扱
う 結 攻 撃 者 要 情 報 渡 攻
撃者 用意 金 う
詐 欺 組織 間 引 金 銭被 害
傾向 あ 組織 被害 遜 響
大 い
:攻撃手
<
引 請求書 偽装
引 請求 や 等 行 い
攻 撃 者 引 攻 撃 者 用
意 入 偽 請求書等 振
込 攻撃 者 引 や
方法 盗 見 引や請求 情 報や
い 業員 情報 入手 攻撃 行
い 経営者等
企業 経営 者等 業員 攻 撃者
用意 振 込 攻撃者
前 入手 経営者や い 業員等 情報
利用 い
窃 用
業員 窃 乗
業員 引実績 あ 企
業 担当者 攻撃者 用意 入 偽
請求書等 振 込 文
