情報セキュリティ10大脅威 組織編

独立行政法人情報処理推進機構 (IPA)

技術本部 セキュリテ センタヸ

2018 4

情報セキュリテ

10

大

威

2018

～2章 情報セキュリテ 10大 威 組織 ～

～引 行わ サ バヸ攻撃

情報セキュリテ

10

大

威

2018

 10大 威 ？

2006年 IPA 毎年 行 い 資料

10大 威選考会 投票

1章.情報セキュリテ 対策 基本 IoT機器ㄥ情報家電ㄦ

•IoT機器ㄥ情報家電ㄦ け セキュリテ 対策 基本 解説

2章.情報セキュリテ 10大 威 2018

• 威 概要 対策 い 解説

•個人 組織 ２ 立場 解説

3章.注目 威や懸念

•知 く 威や懸念 解説

 章構成

 順

情報セキュリテ

10

大

威

2018

個人 向け 威 順 組織 向け 威

ンタヸネットバンキングや クレジット ヸド情報等 利用

1 標的型攻撃 被害

ランサム 被害 2 ランサム 被害

ネット 誹謗ヷ中傷 3 ビジネスメヸル詐欺 被害 スマヸトフ ンやスマヸトフ ン プリ

狙 攻撃

4 弱性対策情報 公開 伴う 悪用増加

ブサヸビス ログ ン 5

威 対応

セキュリテ 人材 足

ブサヸビス 個人情報 窃 6 ブサヸビス 個人情報 窃

情報モラル 如 伴う犯罪 年齢化 7 IoT機器 弱性 顕在化

情報セキュリテ

10

大

威

2018

2

章

.

情報セキュリティ

10

大脅威

2018

メヸル等 PC ルス 感染 組織 部 潜入 組織 機密情報 窃

1

標的型攻撃

被害



攻撃手口

メヸル 使 手口

• ルス 含 添付フ ル 開

• ルス 含 ブサ ト リンク クリック ブ 使 手口

• ルス ダ ンロヸド う標的組織 利用 ブサ ト 改

•DMZ 存在 サヸバヸ 弱性 悪用 部 侵 入

1

標的型攻撃

被害

サ バヸ情報共 ニシ テ ブㄥJ-CSIPㄦ 報告

•J-CSIP参加組織ㄥ11業界227組織ㄦ い 標的型攻撃 メヸル 信件数173件

•MS Office製品 弱性 悪用 添付フ ル付 標的

型攻撃 確認

•海外 銫連企業 ント 乗 国 企業

対 標的型攻撃 仕掛け ケヸス

1

標的型攻撃

被害

～組織全体 セキュリテ 意識 向 ～

経営者

– 問題 対応 体制(CSIRT) 構築

– 対策予算 確保 的 対策実施

– セキュリテ ポリシヸ 策定

セキュリテ 担当者

•被害 予防/対応力 向

– 情報 管理 ルヸル策定

– セキュリテ 教育ヷ ンシデント訓練

– サ バヸ攻撃 銫 情報収集

– セキュリテ 対策 状況把握

•被害 け 後 対応

– 組織 体制ㄥCSIRTㄦ 運用

– 影響調査 び原因 追究

従業員ヷ職員

•被害 予防

– セキュリテ 教育 講

– OSヷソフト 更新

– セキュリテ ソフト 入ヷ更新

– 引先セキュリテ 対策 確認

 対策一覧

1

標的型攻撃

被害

～組織全体 セキュリテ 意識 向 ～

システム管理者

•被害 予防

– 被害 抑 システム設計

– クセス制御ヷデヸタ 暗号化

– OSヷソフト 更新

– ネットワヸク 離ヷバック ップ 得

•被害 早期検知

PCやスマヸトフ ン フ ル暗号化や画面ロック等 制限 け

解除 金銭 要求

組織 フ ルサヸバヸ 暗号化 そ

ネットワヸク 介 OS 弱性 悪用 感染拡大 ランサム

2

ランサム

被害



攻撃手口

メヸル 添付フ ル 開

悪意 あ ブサ ト リンク クリック 製品 弱性 悪用 ランサム 感染

ㄥInternet Explorer, Adobe Flash Player, Java 等 弱性ㄦ ネットワヸク 介 OS 弱性 悪用 感染

スマヸトフ ン プリ ンストヸル

2

ランサム

被害



2017

年

事例

/

傾向

2

ランサム

被害

～ランサム 感染経路拡大～

自己増殖型ランサム (WannaCry) 場(５ )

•OS 弱性 MS17-010 悪用 ネットワヸク間 感染

•世界的 感染 拡大

•国 大手企業や地方公共団体等 被害

対策 い機器 WannaCry 感染(11 )

セキュリテ 対策 日々進化 一方 攻撃手法 進化

 対策一覧

システム管理者/PCヷスマヸトフ ン利用者

•被害 予防

– 信メヸル ブサ ト 十 確認

– OSヷソフト 更新

– セキュリテ ソフト 入

– フ ルタリングツヸル 活用

– 共 サヸバ クセス権最 化

– バック ップ 得

経営者

•組織 対応体制 確立

– 迅速 的 対応 体制ㄥCSIRT等ㄦ構築

– 対策 予算 確保 的 対策 実施

2

ランサム

被害

～ランサム 感染経路拡大～

• 被害 け 後 対応

– CSIRT 連絡

– バック ップ 復旧

– 復号ツヸル 活用

引先 送金 指示

主 海外 組織 被害 あ 2016年以降 日本国 企業 被害

3

ビジネスメヸル詐欺

被害



攻撃手口

引先 偽装 請求書 送 け 経営者等 指定 口 振 込

メヸル ント 乗 従業員 偽 請求書 送 け

弁護士 社外 権威あ 第 者 指定 口 振 込

詐欺 行う前 経営者等 企業 従業員 情報 盗

3

ビジネスメヸル詐欺

被害



2017

年

事例

/

傾向

日本航空 ビジネスメヸル詐欺被害

•偽 請求書メヸル 約3億8,000万 被害

• 引先 メヸル ドレス 模 メヸル 送付

トレンドマ クロ社 調査報告

•メヸルドメ ン 選択 無料 ブメヸルサヸビス 悪用

•メヸル 返信先ㄥReply-To) 偽装

•標的組織 メヸルドメ ン 模 ドメ ン 利用

3

ビジネスメヸル詐欺

被害

 対策一覧

•基本的 対策

– OSヷソフト 更新

– セキュリテ ソフト 入

–

組織

•被害 予防

– メヸル 真 性 確認

– 振込先 口 変更あ 場合 引先 連絡

– 段 異 言い回 や表現 誤 注意

– 送信元 ドレスや送信元ドメ ン 確認

– 電子署 付 ㄥ 防 ㄦ

– メヸル 利用 い 引方法 検討

•被害 け 後 対応

– CSIRT 連絡

– 警察 相談

– 詐称 い 組織 連絡

3

ビジネスメヸル詐欺

被害

公開 弱性対策情報 悪用

パッチ 適用 い いソフト 製品 利用者 標的 広く利用 い ソフト 製品 被害拡大 そ

4 弱性対策情報 公開 伴う悪用増加



攻撃手口

弱性対策情報 基 攻撃コヸド 作成

パッチ適用 前 ソフト 製品 利用者 攻撃 未知 く 未公開 弱性 悪用ㄥゼロデ 攻撃ㄦ

Apache StrutsやWordPress 広く利用 い

ソフト 製品 狙う

4 弱性対策情報 公開 伴う悪用増加



2017

年

事例

/

傾向

WordPress利用 ブサ ト 改

•パッチ未適用 多数 ブサ ト 被害

Apache Struts 弱性 悪用

•米国Equifax社 約1億4,500万人 個人情報流出 攻撃コヸド 公開 攻撃 増加

•11 中旬 Microsoft Office 弱性対策情報 公開

•11 旬 攻撃コヸド 公開 弱性 悪用 攻 撃 多

4 弱性対策情報 公開 伴う悪用増加

 対策一覧

システム管理者／ソフト 利用者

•被害 予防

– 資産 把握ヷ体制 整備

– 弱性銫連情報 収集

– OSヷソフト 更新

– WAFヷIPS セキュリテ 機器 入

– ネットワヸク 監視

– セキュリテ サポヸト 充実 い 製

品 利用

•被害 け 後 対応

– CSIRT 連絡

– 影響調査 び原因 追究

4 弱性対策情報 公開 伴う悪用増加

～未対策 弱性 狙わ ！迅速 対応 ～

開 ベンダヸ

•製品セキュリテ 管理

– 組込 ソフト 管理

– 弱性銫連情報 収集

•対応体制 整備

– 弱性 見時 対応

– 情報 信 環境 整備

組織 け セキュリテ 人材 足

セキュリテ 威 対応 体制 整え 被害拡大 そ

5

 2017年 事例

経済産業省 け セキュリテ 人材調査

•2016年時点 約13万人 足 2020年 推計約19.3万人 足

銬サ バヸセキュリテ センタヸㄥNISC) 組

• サ バヸセキュリテ 人材育成プログラム 作成

•産官学 人材育成戦略 方向性 示

セキュリテ ヷキャンプ 人材 掘 育成

•若年 対 高 情報セキュリテ 技術 習得機会 提供

•若年 対 代 担う情報セキュリテ 人材 掘ヷ育成

•主催：独立行政法人情報処理推進機構

一般社団法人セキュリテ ヷキャンプ協議会

5



対策一覧

組織

•組織 対応体制 確立

– 人材 け 予算 確保や中長期的 戦略

– 人材育成 視 用

– ジョブロヸテ―ション 技術ヷ知識共

– 資格習得 キャリ パス 人材育成

•情報リテラシヸ 向

– セキュリテ 教育

– 外部 教育サヸビス 活用

– 外部開催 CTFや勉強会等 組 進

5

5

～組織や国 積極的 セキュリテ 人材 育成 ～

独立行政法人情報処理推進機構

•情報処理試験制

– IT ンジニ 足等 背 足 国家資格

– IT 知識ヷ技能 銫 共通 評価指標 活用

個人情報やクレジット ヸド情報 窃 被害 い い

窃 情報 悪用 審メヸル 送 けや

6

ブサヸビス

個人情報

窃

6

ブサヸビス

個人情報

窃

～ ブサヸビス 弱性対策 迅速 ～



攻撃手口

企業 開 ブ プリケヸション 弱性 悪用

OSヷミドル ヷCMS等 弱性 悪用

共通的 使わ ソフト ㄥOpenSSL



2017

年

事例

/

傾向

チケット販売 ブサ ト クセス

•最大約15万5,000件 個人情報 漏えい 能性

•Apache Struts2 弱性 悪用 山情報サ ト クセス

•氏 やメヸル ドレス等 約1,160件 情報漏えい

•開 プログラム SQL ンジ クション 弱性

6

ブサヸビス

個人情報

窃

 対策一覧

6

ブサヸビス

個人情報

窃

～ ブサヸビス 弱性対策 迅速 ～

ブサヸビス運営者

•被害 予防

– セキュリテ 対策 予算ヷ体制 確保

– セキュ ブサヸビス 構築

– セキュリテ 診断 チ ック

– OSヷソフト 更新

– WAFヷIPS 入

•被害 早期検知

– 適 ログ 得 的 監視

•被害 け 後 対応

– CSIRT 連絡

– 影響調査 び原因 追究

IoT機器 弱性 悪用 ルス 感染 被害 い い

感染 IoT機器 ボット化 DDoS攻撃等 悪用

7

IoT

機器

弱性

顕在化

～IoT機器 弱性 突く攻撃 開 ベンダヸ



攻撃手口

IoT機器 弱性 悪用 ルス 感染

感染 IoT機器 機能 利用

弱性 持 IoT機器 索 感染 拡大

DDoS攻撃 行い ンタヸネットサヸビス 妨害

7

IoT

機器

弱性

顕在化

～IoT機器 弱性 突く攻撃 開 ベンダヸ



2017

年

事例

/

傾向

7

IoT

機器

弱性

顕在化

～IoT機器 弱性 突く攻撃 開 ベンダヸ

弱性 対 適 対処 ～

ルス Mirai 亜種 DDoS攻撃

•7 ～9 ボットネット 形成

•11 100Gbps 超え DDoS攻撃 生

弱性 悪用 数百万 規模 ルス感染

• ンタヸネット 接 監視 メラ 標的

•国 設置 監視 メラ 感染 確認

ロボット掃除機 第 者 操作 弱性

IoT機器 開 者

•被害 予防

– や い 扱説明書 作成

– 全 デフ ルト設定や 弱性 解消

– 初期パスワヸド 変更 強制化

– ソフト 更新 自動化

– 要 機能 無効化

– クセス 能 範囲 制限

– 全 デフ ルト設定や 弱性 解消

– 迅速 セキュリテ パッチ 提供

– 利用者 適 管理 呼び け

– ソフト サポヸト期間 明確化

IoT機器 利用者

•情報リテラシヸ 向

– 使用前 説明書 確認

•被害 予防

– ソフト 更新ㄥ自動設定含 )

– 外部 要 クセス 制限

– 要 機能やポヸト 無効化

– 廃棄時 初期化

7

IoT

機器

弱性

顕在化

～IoT機器 弱性 突く攻撃 開 ベンダヸ

弱性 対 適 対処 ～

 対策一覧

•被害 け 後 対応

– CSIRT 連絡

– 機器 電源 フ 初期化

従業員ヷ元従業員 部情報 持 出 私的 利用 社 規則 社外 業務 行う 持 出 そ 情報 紛失

8



攻撃手口

自 持 クセス権限 範囲 情報 得 過去 使用 い ント 使用

•在任 い 時 認証情報 使い情報 得 外部記憶媒体や電子メヸル等 持 出

•USBメモリヸ CD/DVD ノヸトPC 紙媒体

8

元従業員 業務情報 持 出 異 組織 持込

•顧客情報や営業情報 約3万2,800件 持 出 日本年金機構職員 個人情報 売買

•金銭目的 年金加入者 個人情報 持 出

教職員 個人情報 持 出 帰宅途中 紛失

• 学校4校 児童 個人情報 外部記憶媒体 持 出

•外部記憶媒体 入 鞄 紛失

8

～ 部 許 い管理ヷ監視体制 ～

組織

• 被害 予防

– 資産 把握ヷ管理体制 整備

– 要情報 保護ㄥ クセス制御 暗号化ㄦ

– ント 権限 管理ヷ定期監査

– 外部記憶媒体 利用制限

– 未許 機器 接 禁

– 情報 扱ポリシヸ 作成 周知徹底

– 機密保護 銫 誓約

– 罰則 周知 相互監視 強化

• 被害 早期検知

8

～ 部 許 い管理ヷ監視体制 ～

• 被害 け 後 対応

– CSIRT 連絡

– 影響調査 び原因 追究

– 警察 相談

攻撃者 乗 ボット化 IT機器 DDoS攻撃 組織 ブサ トや組織 利用 い DNSサヸバヸ 大 クセス

9



攻撃手口

あ 構築 ボットネット 利用

DNSリフレクタヸ攻撃(送信元 偽 DNSサヸバヸ 問い合わ )

DNS水責 攻撃(権威DNSサヸバヸ 高負荷 )

DDoS代行サヸビス(攻撃 代行 法 サヸビス)

9



2017

年

事例

/

傾向

スマヸトフ ン DDoS攻撃

•Android用 プリ ルス 仕込 スマヸトフ ン

ボット化

IoT機器 ボット化

•IoT機器 踏 Mirai 亜種 活 化

DDoS攻撃 迫 利用

•DDoS 攻撃 停 引 換え 金銭 要求

9

 対策一覧

ブサ ト 運営者

•被害 予防

– システム 冗長化等 軽減策

– ネットワヸク 冗長化

– DDoS攻撃 影響 和 ISPや CDNサヸビス 利用

– ブサ ト停 時 代替サヸバ

用意 告知手段 整備

• 被害 け 後 対応

– CSIRT 連絡

– 通信制御ㄥ攻撃元 ブロック等ㄦ

– 利用者 状況 告知

– 影響調査 び原因 追究

9

～ボット ルス 感染拡大 伴う攻撃 大幅増～

IoT機器ベンダヸ

•被害 予防

サ バヸ犯罪 使用 サヸビスやツヸル等 引市場 通常 ブラ ザ 検索 い ブサ ト 存在 専門知識 要 容易 サ バヸ攻撃 能

10

 攻撃手口

購入 サヸビスやツヸル 利用 攻撃

購入 認証情報 利用 ブ ログ ン

 2017年 事例/傾向

ランサム 容易 作成 Android プリ 公開

悪意 ハッ ヸ 育成 トレヸニングサヸビス 売買

Macユヸザ 標的 ルス 存在

•約45万種存在 無料 ランサム

10

 対策一覧ㄥ一例ㄦ

経営者

•組織 対応体制 確立

– 問題 対応 体制ㄥCSIRT等ㄦ構築

– 予算 確保 的 対策 実施

システム管理者

•被害 予防

– DDoS 攻撃 影響 和 ISPや

CDN等 サヸビス利用

– システム 冗長化 軽減策

•被害 け 時 対応

– CSIRT 連絡

– 通信制御ㄥDDoS攻撃元 ブロック等)

– ブサ ト停 時 代替サヸバ 用意 告知手段 整備

– 影響調査 び原因 追究

PC利用者

•被害 予防

– セキュリテ 教育

– 信メヸル ブサ ト 十 確認

– OSヷソフト 更新

– セキュリテ ソフト 入

– 多要素認証方式 認証方式 利用

•被害 早期検知

– 審 ログ ン 歴 確認

•被害 け 後 対策

– バック ップ 及

10

本資料

銫

詳細

容



以

ペヸジ

PDF

資料

覧く

い

情報セキュリテ

10

大

威

2018