NTT Communications PowerPoint Template(38pt)

(1)

Transform your business, transcend expectations with our technologically advanced solutions.

IoT時代に求められる次世代セキュリティ対策

〜「すでに起こった未来」に学ぶ〜

NTTコミュニケーションズ株式会社

小山覚

2017年2月16日

(2)

1.セキュリティ脅威の動向

2. すでに起こったIoTの脅威

3. 一般ユーザにおけるマルウェア感染の実態

4.繰り返される情報漏洩事故と、

当社における標的型攻撃対策の取り組み

5.CSIRT体制強化の取り組み

●記載されている会社名や製品名は、各社の商標または登録商標です

2

(3)

(4)

₄

グローバルリスクレポート2017

テロリストの攻撃

サイバー攻撃

(5)

₅

2014年5月19日米司法省は中国人民解放軍の将校5人を産業スパイで起訴

人民解放軍の「61398部隊」に所属する将校5人は、原発メーカー

のWestinghouse Electricなど米国企業6社のシステムに侵入し、

企

業秘密などを盗み出した

_{とされる。}

米中間のサイバーセキュリティ問題 1/2

自社と顧客の企業秘密を守る為に我々は何をすべきか？

(6)

₆

Kevin Lamarque-REUTERS

2015年9月米中首脳会談で中国のサイバー攻撃を非難

• オバマ大統領は習近平国家主席に、中国がサイバー攻撃したと考えられる、アトリ

ビューションの根拠を突きつけた

• 両国は知的財産を盗むサイバー攻撃を実行しない、支援しないことで合意

米中間のサイバーセキュリティ問題 2/2

(7)

₇

7 G7伊勢志摩首脳宣言付属文書記載事項

サイバーに関するG7の原則と行動

●目指すべきサイバー空間

オンラインにおける人権と法の支配の原則の堅持

●サイバー空間における安全と安定の促進

国家及びテロリストを含む非国家主体の双方によるサイバー空間の悪意ある利用に対

し、密接に協力

一定の場合には、サイバー活動が国連憲章及び国際慣習法にいう武力の行使又は武

力攻撃となりうることを確認

http://www.mofa.go.jp/mofaj/files/000160315.pdf

http://www.mofa.go.jp/mofaj/files/000160279.pdf

G7合意はトランプ政権に引き継がれるか？

(8)

(9)

社会インフラに対するサイバー攻撃のリスク（事例）

9 交通標識が「ゴジラ襲来」と警告、米国でハッキング被害

2014年 06月 9日 14:38 JST

http://jp.reuters.com/articleoddlyEnoughNewsidJPKBN0EK0A020140609

(10)

IP cameras: Japan

1 ... |

27 |

28 |

29 |

30 |

31 |

32 |

33 |

34 |

35 |

36 |

37 |

38 |

39 |

40 |

41 |

42 |

43 |

44 |

45 | ...

1154

Watch Panasonic camera in

Japan

Shibuya-Ku

Watch Panasonic camera in

Japan

Inazawa

Watch Panasonic camera in

Japan

Osaka

Watch Panasonic camera in

Japan

Numazu

Watch Panasonic camera in

Japan

Obu

Watch Panasonic camera in

Japan

Takamatsu

1 ... |

27 |

28 |

29 |

30 |

31 |

32 |

33 |

34 |

35 |

36 |

37 |

38 |

39 |

40 |

41 |

42 |

43 |

44 |

45 | ...

1154

無防備なWebカメラの監視画像を見せるInsecam

(11)

攻撃は最大70Gbps

反射・増幅（リフレクション）攻撃事例

攻撃者

標的

0 5 10 15 20 25 30 35 40 45 50 16 13 14 15 18 26 29 12 20 21 23 26 29 03 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 01 02 03 04 06 07 08 09 10 11 13 14 15 16 18 19 21 23 24 25 28 30 11 12 01 02 03 04

OCN→インターネット

インターネット→OCN

リソース3 開始月開始日(DD) データの個数 / ID 分類

攻撃は40回/日以上

11 標的だけでなく、攻撃を中継したISPも、

システム停止等の被害を受ける

11

(12)

₁₂

[2014年11月] 警察によるプロキシ業者の一斉摘発

(出典) 日本経済新聞(11月20日)

(出典) KandaNewsNetwork



2014年2月に引き続き、11月20日、サーバー運営会社「大光」「SUNテクノ」に所属する中国人国

籍の容疑者６人を逮捕。上記2社は

約1500人分の認証情報を不正に取得



警察の調べでは両者のプロキシサーバを通じて、

約4.5億円のネットバンキング不正送金

が行われて

いた(2014年1〜6月)ほか、企業

の顧客情報(10万件)流出事件でも使用

されていた

(13)

₁₃

インターネット

③ SNS・

会員サービスサ

イト

ホームルータが犯罪の温床（踏み台）

① 攻撃者

犯罪組織

② ネット銀行

ネットバンキング

不正送金

大量不正ログイン

認証情報を

不正入手

ルータ内に保存された

PPPoE認証情報

不正アクセス

④一般ユーザ

？

① が②③に攻撃した場合でも、

IPアドレスからユーザを調査する

と、④が被疑者となる。

(14)

3. 一般ユーザにおけるマルウェア

感染の実態

(15)

₁₅

大規模なハニーポットによるボット捕獲調査（2005

年）

1

5 ISP

ISP

攻撃通信

_集約機能

ハニーポット

_機能

ISPの協力により不特定多数向

けの通信を集約

※本資料はサイバークリーンセンタ（2006-2010）のプレゼン資料から抜粋（一部加筆）

(16)

₁₆

●検出数

2005年4月1日～5月12日 (42日間）

• インターネットに接続すると平均

4分

でボットに感染

• 日本のインターネットユーザの

2〜2.5%

が感染

トータル

平均/日

件数

種類

件数

種類

検出数

31,846

3705

758.2

88.2 既知

28,309

767

674.0

18.3 未知

3,537

2,938

84.2

70.0 ※本資料はサイバークリーンセンタ（2006-2010）のプレゼン資料から抜粋（一部加筆）

(17)

₁₇

対策

サイト

おとり

PC

ボット感染PC

････

･･

アクセス

駆除ツール

（CCCクリーナ）

分析

感染 IPリスト

啓発メール

CCC

サイバークリーンセンター

プロバイダ

CCCの活動イメージ

17 ※本資料はサイバークリーンセンタ（2006-2010）のプレゼン資料から抜粋（一部加筆）

(18)

₁₈

国内の感染者(注意喚起対象者)の推移

調査期間：2007年4月～2010年7月

18

(19)

₁₉

CCCクリーナを使用したユーザの感染状況

19 総件数

51,468件

非検出ログ

45,505件

検出ログ

5,963件

送信ログ月別収集数の推移

対象期間: 2009年7月～2010年7月

検出ログの比率 12％

対象期間: 2010年4月～7月

全調査期間中10％程度のユーザPCがマルウェアを保持or感染

12％

※本資料はサイバークリーンセンタ（2006-2010）のプレゼン資料から抜粋（一部加筆）

(20)

₂₀

注意喚起ユーザのOS・SP別感染比率

集計期間: 2008年7月-2009年07月

20

(21)

₂₁

我が国のマルウェア感染ユーザ数の変化

2005年

2008年

2010年

記事

ブロードバンド

インターネット利用者

2,000

万人

3,000

万人

3,170

万人

ADSL・光・CATV等

ボット感染者率

40～50

_万人

30 _万人

19 _万人

推測値

ボット感染率

2 _～

2.5 _%

1 _%

0.6 _%

実測値

世界各国との比較

（感染率の少なさ）

中盤グループ

トップグループ

マイクロソフト社のセキュリティレポー

トの調査結果から引用

● 5年間で感染率は1/4程度に低下し、世界的にも安全な国になった

21 ※本資料はサイバークリーンセンタ（2006-2010）のプレゼン資料から抜粋（一部加筆）

(22)

3.1 一般ユーザにおける

マルウェア感染の実態

(23)

₂₃

●マルウェアがC&Cサーバにアクセスする通信を、DNSの機能を

使って検知し、自動的にブロックした上で、お客様にご連絡す

るサービス（無料）を全ユーザに提供中

OCNマルウェアブロッキングサービス

（2016年2月〜）

お客様がマルウェアに感染、または感染する過程で

C&Cサーバと通信している可能性が明らかに！

(24)

₂₄

検知されたマルウェア種別

不正送金や個人情報詐取を目的としたマルウェアが多い

Gamarue

4%

Conficker B

32%

マルウェア種別

％

1 Spybot

38 2 Conficker B

32 3 Gamarue

4 4 Injector

4 5 IRC Bot

3 6 Spambot

2 7 Zeus

2 8 Browser-Hijack/A

1 9 Virut

1 10 Morto

1 11 その他

12 6月

Injector

4%

7月

8月

マルウェア種別

％

1 Spybot

29 2 IRC Bot

26 3 Conficker B

24 4 Necures

3 5 Gamarue

3 6 Injector

2 7 Zeus

2 8 Spambot

2 9 Locky

1 10 Virut

1 11 その他

7 マルウェア種別

％

1 Spybot

35 2 Conficker B

28 3 IRC Bot

7 4 Necures

6 5 Injector

3 6 Gamarue

2 7 Malware-Adware/A

2 8 Zeus

2 9 Spambot

2 10 Suspected Malware

2 11 その他

11 IRC Bot

26%

Necures

3%

Spybot

35%

Conficker B

28%

Spybot

38%

Spybot

29%

Conficker B

24%

Gamarue

3%

IRC Bot

7%

Necures

6%

Injector

3%

(25)

₂₅

同じユーザがC&Cに通信しブロックされている訳ではない

●お客様が感染しているマルウェアは、市販のウィルス

対策ソフトで検知できない可能性が高い

●バックグラウンドで通信するため、お客様が感染に気

付く可能性は低い

●ブラックリストの網羅性や鮮度に課題がある可能性

●安心安全なインターネットのあり方について、

一歩踏み込んだ議論が必要

(26)

4.繰り返される情報漏洩事故と

当社における標的型攻撃対策

(27)

N機構個人情報流出までの時系列（概要）

約125万件

②5/8以前、第1弾受信

⑦5/18、第2弾を複数受信

⑧5/20、第3弾を複数受信

職員

攻撃者

※2015年7月2日午前9時時点での公開情報に基づく

厚生労働省などを装った

メールが送信される

社会保険オンラインシステム

ファイル共有サーバや

個人の端末にデータを保存

年金加入者

個人情報

作業用に

データを抽出

情報系システム

悪性サイト

/C&Cサーバ

③URLクリック

④悪性サイトに

アクセス

⑥機構内情報が流出

⑨被害拡大

⑩個人情報が流出

外部サーバに情報を保存。

一部は、東京都港区の海運事業者の

サーバに保存されていた。

①個人情報を

作業用にコピー

N機構において、職員の端末が不正アクセスを受け、年金加入者の

氏名・年金管理番号など、

約125万件（101万人分）の個人情報が流出

そのうち55万件にはパスワードによる

アクセス制限はされていなかった。

⑤ウイルス感染＆バックドア

27

(28)

28 2005年10月18日外務省の発表

出典：http://www.mofa.go.jp/mofaj/press/oshirase/17/osrs_1020.html

出典：http://itpro.nikkeibp.co.jp/article/COLUMN/20120314/386346/?ST=attack

なぜ同じような過ちを繰り返すのか？

マネジメント・普及啓発・技術的対策・監視

運用・監査など、何が問題だったのか？

(29)

当社における標的型攻撃対策について

(30)

標的型攻撃のメールの開封率(弊社訓練結果)

・社員・派遣社員8,745名中、

1,583名(18.1%)

が開封

懇親会の案内メール

2回目(2013年2月)

・社員・派遣社員10,431名中、

340名(3.3%)

が開封

社外から緊急メール

※架空の団体

1回目(2012年11月)

既にマルウェアが社内に潜伏している

前提での対策が必要

30

(31)

₃₁

平均月間メール通数：18,560,624通

0 10000

20000

30000

40000

50000

60000

70000

80000

300000

400000

500000

600000

マルウェア添付メール検知数（検知日に駆除不可）

マルウェア添付メール検知数（検知日に駆除可能）

激増したマルウェアの多くはランサムウェア→

NTTコムに対するマル（ランサム）ウェアの脅威

(32)

₃₂

組織的攻撃を想定したリスク対策とは

攻撃者のセオリー

① URLブラックリストに登録され

ていないサイトから攻撃

② 不正侵入検知装置では軽微な

警報

③ ウィルス対策ソフトも無反応

④ 標的（社員）も特定

⑤ システム環境も調査

P

D

C

A

脆弱性対策

_{レスキュー}

Sandbox

注意 !!

!!

防御側の対応策

① 独自ブラックリストの導入＋

不審な通信先監視

② 複数機器の警報（ログ）を

相関分析し、すり抜けた脅威を

検出

③④ 全ての電子ファイルを仮想

PC環境（

Sandbox

）で動作確

認

★注意喚起メールの自動送信

★出口ブロック自動設定

(33)

標的型攻撃対策の実績

総合ログ分析

リアルタイム・

マルウェア検知

(

Sandbox+PCAP

)

IPS/UTM

(従来型SOC)

４ _件

22 件

13 件

1-2

件/月

目標

33 170億件/53日のログを抽出

監視対象：PC約8万台

(ログソース：IPS/IDS, Sandbox, PROXY)

セキュリティ運用基盤による分析

22万件の疑わしい

ログに絞り込み

リスクアナリストによる重篤度判定

39件の重篤な

セキュリティ脅威を検知

NTT Com グループ独自のSIEMエンジンやブラックリストなどにより、

従前の対策で検知困難な未知の重篤なセキュリティ脅威を発見

NTT Communications PowerPoint Template(38pt)

Transform your business, transcend expectations with our technologically advanced solutions.

IoT時代に求められる次世代セキュリティ対策

〜「すでに起こった未来」に学ぶ〜

NTTコミュニケーションズ株式会社

小山 覚

2017年2月16日

目次

1.セキュリティ脅威の動向

2. すでに起こったIoTの脅威

3. 一般ユーザにおけるマルウェア感染の実態

4.繰り返される情報漏洩事故と、

当社における標的型攻撃対策の取り組み

5.CSIRT体制強化の取り組み

●記載されている会社名や製品名は、各社の商標または登録商標です

2

4

グローバルリスクレポート2017

テロリストの攻撃

サイバー攻撃

5

2014年5月19日米司法省は中国人民解放軍の将校5人を産業スパイで起訴

人民解放軍の「61398部隊」に所属する将校5人は、原発メーカー

のWestinghouse Electricなど米国企業6社のシステムに侵入し、

企

業秘密などを盗み出した

とされる。

米中間のサイバーセキュリティ問題 1/2

自社と顧客の企業秘密を守る為に我々は何をすべきか？

6

Kevin Lamarque-REUTERS

2015年9月米中首脳会談で中国のサイバー攻撃を非難

• オバマ大統領は習近平国家主席に、中国がサイバー攻撃したと考えられる、アトリ

ビューションの根拠を突きつけた

• 両国は知的財産を盗むサイバー攻撃を実行しない、支援しないことで合意

米中間のサイバーセキュリティ問題 2/2

7

7

G7伊勢志摩 首脳宣言 付属文書記載事項

サイバーに関するG7の原則と行動

●目指すべきサイバー空間

オンラインにおける人権と法の支配の原則の堅持

●サイバー空間における安全と安定の促進

国家及びテロリストを含む非国家主体の双方によるサイバー空間の悪意ある利用に対

し、密接に協力

一定の場合には、サイバー活動が国連憲章及び国際慣習法にいう武力の行使又は武

力攻撃となりうることを確認

http://www.mofa.go.jp/mofaj/files/000160315.pdf

http://www.mofa.go.jp/mofaj/files/000160279.pdf

G7合意はトランプ政権に引き継がれるか？

社会インフラに対するサイバー攻撃のリスク（事例）

9

交通標識が「ゴジラ襲来」と警告、米国でハッキング被害

2014年 06月 9日 14:38 JST

http://jp.reuters.com/articleoddlyEnoughNewsidJPKBN0EK0A020140609

IP cameras: Japan

1

... |

27

|

28

|

29

|

30

|

31

|

32

|

33

|

34

|

35

|

36

|

37

|

小山覚

₄

₅

_{とされる。}

₆

₇

G7伊勢志摩首脳宣言付属文書記載事項