独立行政法人情報処理推進機構 (IPA)
技術本部 セキュリテ センタヸ
2018 4
情報セキュリテ
10
大
威
2018
~2章 情報セキュリテ 10大 威 組織 ~
~引 行わ サ バヸ攻撃
情報セキュリテ
10
大
威
2018
10大 威 ?
2006年 IPA 毎年 行 い 資料
10大 威選考会 投票
1章.情報セキュリテ 対策 基本 IoT機器ㄥ情報家電ㄦ
•IoT機器ㄥ情報家電ㄦ け セキュリテ 対策 基本 解説
2章.情報セキュリテ 10大 威 2018
• 威 概要 対策 い 解説
•個人 組織 2 立場 解説
3章.注目 威や懸念
•知 く 威や懸念 解説
章構成
順
情報セキュリテ
10
大
威
2018
個人 向け 威 順 組織 向け 威
ンタヸネットバンキングや クレジット ヸド情報等 利用
1 標的型攻撃 被害
ランサム 被害 2 ランサム 被害
ネット 誹謗ヷ中傷 3 ビジネスメヸル詐欺 被害 スマヸトフ ンやスマヸトフ ン プリ
狙 攻撃
4 弱性対策情報 公開 伴う 悪用増加
ブサヸビス ログ ン 5
威 対応
セキュリテ 人材 足
ブサヸビス 個人情報 窃 6 ブサヸビス 個人情報 窃
情報モラル 如 伴う犯罪 年齢化 7 IoT機器 弱性 顕在化
情報セキュリテ
10
大
威
2018
2
章
.
情報セキュリティ
10
大脅威
2018
メヸル等 PC ルス 感染 組織 部 潜入 組織 機密情報 窃
1
標的型攻撃
被害
攻撃手口
メヸル 使 手口
• ルス 含 添付フ ル 開
• ルス 含 ブサ ト リンク クリック ブ 使 手口
• ルス ダ ンロヸド う標的組織 利用 ブサ ト 改
•DMZ 存在 サヸバヸ 弱性 悪用 部 侵 入
1
標的型攻撃
被害
サ バヸ情報共 ニシ テ ブㄥJ-CSIPㄦ 報告
•J-CSIP参加組織ㄥ11業界227組織ㄦ い 標的型攻撃 メヸル 信件数173件
•MS Office製品 弱性 悪用 添付フ ル付 標的
型攻撃 確認
•海外 銫連企業 ント 乗 国 企業
対 標的型攻撃 仕掛け ケヸス
1
標的型攻撃
被害
~組織全体 セキュリテ 意識 向 ~
経営者
– 問題 対応 体制(CSIRT) 構築
– 対策予算 確保 的 対策実施
– セキュリテ ポリシヸ 策定
セキュリテ 担当者
•被害 予防/対応力 向
– 情報 管理 ルヸル策定
– セキュリテ 教育ヷ ンシデント訓練
– サ バヸ攻撃 銫 情報収集
– セキュリテ 対策 状況把握
•被害 け 後 対応
– 組織 体制ㄥCSIRTㄦ 運用
– 影響調査 び原因 追究
従業員ヷ職員
•被害 予防
– セキュリテ 教育 講
– OSヷソフト 更新
– セキュリテ ソフト 入ヷ更新
– 引先セキュリテ 対策 確認
対策一覧
1
標的型攻撃
被害
~組織全体 セキュリテ 意識 向 ~
システム管理者
•被害 予防
– 被害 抑 システム設計
– クセス制御ヷデヸタ 暗号化
– OSヷソフト 更新
– ネットワヸク 離ヷバック ップ 得
•被害 早期検知
PCやスマヸトフ ン フ ル暗号化や画面ロック等 制限 け
解除 金銭 要求
組織 フ ルサヸバヸ 暗号化 そ
ネットワヸク 介 OS 弱性 悪用 感染拡大 ランサム
2
ランサム
被害
攻撃手口
メヸル 添付フ ル 開
悪意 あ ブサ ト リンク クリック 製品 弱性 悪用 ランサム 感染
ㄥInternet Explorer, Adobe Flash Player, Java 等 弱性ㄦ ネットワヸク 介 OS 弱性 悪用 感染
スマヸトフ ン プリ ンストヸル
2
ランサム
被害
2017
年
事例
/
傾向
2
ランサム
被害
~ランサム 感染経路拡大~
自己増殖型ランサム (WannaCry) 場(5 )
•OS 弱性 MS17-010 悪用 ネットワヸク間 感染
•世界的 感染 拡大
•国 大手企業や地方公共団体等 被害
対策 い機器 WannaCry 感染(11 )
セキュリテ 対策 日々進化 一方 攻撃手法 進化
対策一覧
システム管理者/PCヷスマヸトフ ン利用者
•被害 予防
– 信メヸル ブサ ト 十 確認
– OSヷソフト 更新
– セキュリテ ソフト 入
– フ ルタリングツヸル 活用
– 共 サヸバ クセス権最 化
– バック ップ 得
経営者
•組織 対応体制 確立
– 迅速 的 対応 体制ㄥCSIRT等ㄦ構築
– 対策 予算 確保 的 対策 実施
2
ランサム
被害
~ランサム 感染経路拡大~
• 被害 け 後 対応
– CSIRT 連絡
– バック ップ 復旧
– 復号ツヸル 活用
引先 送金 指示
主 海外 組織 被害 あ 2016年以降 日本国 企業 被害
3
ビジネスメヸル詐欺
被害
攻撃手口
引先 偽装 請求書 送 け 経営者等 指定 口 振 込
メヸル ント 乗 従業員 偽 請求書 送 け
弁護士 社外 権威あ 第 者 指定 口 振 込
詐欺 行う前 経営者等 企業 従業員 情報 盗
3
ビジネスメヸル詐欺
被害
2017
年
事例
/
傾向
日本航空 ビジネスメヸル詐欺被害
•偽 請求書メヸル 約3億8,000万 被害
• 引先 メヸル ドレス 模 メヸル 送付
トレンドマ クロ社 調査報告
•メヸルドメ ン 選択 無料 ブメヸルサヸビス 悪用
•メヸル 返信先ㄥReply-To) 偽装
•標的組織 メヸルドメ ン 模 ドメ ン 利用
3
ビジネスメヸル詐欺
被害
対策一覧
•基本的 対策
– OSヷソフト 更新
– セキュリテ ソフト 入
–
組織
•被害 予防
– メヸル 真 性 確認
– 振込先 口 変更あ 場合 引先 連絡
– 段 異 言い回 や表現 誤 注意
– 送信元 ドレスや送信元ドメ ン 確認
– 電子署 付 ㄥ 防 ㄦ
– メヸル 利用 い 引方法 検討
•被害 け 後 対応
– CSIRT 連絡
– 警察 相談
– 詐称 い 組織 連絡
3
ビジネスメヸル詐欺
被害
公開 弱性対策情報 悪用
パッチ 適用 い いソフト 製品 利用者 標的 広く利用 い ソフト 製品 被害拡大 そ
4 弱性対策情報 公開 伴う悪用増加
攻撃手口
弱性対策情報 基 攻撃コヸド 作成
パッチ適用 前 ソフト 製品 利用者 攻撃 未知 く 未公開 弱性 悪用ㄥゼロデ 攻撃ㄦ
Apache StrutsやWordPress 広く利用 い
ソフト 製品 狙う
4 弱性対策情報 公開 伴う悪用増加
2017
年
事例
/
傾向
WordPress利用 ブサ ト 改
•パッチ未適用 多数 ブサ ト 被害
Apache Struts 弱性 悪用
•米国Equifax社 約1億4,500万人 個人情報流出 攻撃コヸド 公開 攻撃 増加
•11 中旬 Microsoft Office 弱性対策情報 公開
•11 旬 攻撃コヸド 公開 弱性 悪用 攻 撃 多
4 弱性対策情報 公開 伴う悪用増加
対策一覧
システム管理者/ソフト 利用者
•被害 予防
– 資産 把握ヷ体制 整備
– 弱性銫連情報 収集
– OSヷソフト 更新
– WAFヷIPS セキュリテ 機器 入
– ネットワヸク 監視
– セキュリテ サポヸト 充実 い 製
品 利用
•被害 け 後 対応
– CSIRT 連絡
– 影響調査 び原因 追究
4 弱性対策情報 公開 伴う悪用増加
~未対策 弱性 狙わ !迅速 対応 ~
開 ベンダヸ
•製品セキュリテ 管理
– 組込 ソフト 管理
– 弱性銫連情報 収集
•対応体制 整備
– 弱性 見時 対応
– 情報 信 環境 整備
組織 け セキュリテ 人材 足
セキュリテ 威 対応 体制 整え 被害拡大 そ
5
威 対応 セキュリテ 人材 足 2017年 事例
経済産業省 け セキュリテ 人材調査
•2016年時点 約13万人 足 2020年 推計約19.3万人 足
銬サ バヸセキュリテ センタヸㄥNISC) 組
• サ バヸセキュリテ 人材育成プログラム 作成
•産官学 人材育成戦略 方向性 示
セキュリテ ヷキャンプ 人材 掘 育成
•若年 対 高 情報セキュリテ 技術 習得機会 提供
•若年 対 代 担う情報セキュリテ 人材 掘ヷ育成
•主催:独立行政法人情報処理推進機構
一般社団法人セキュリテ ヷキャンプ協議会
5
威 対応 セキュリテ 人材 足
対策一覧
組織
•組織 対応体制 確立
– 人材 け 予算 確保や中長期的 戦略
– 人材育成 視 用
– ジョブロヸテ―ション 技術ヷ知識共
– 資格習得 キャリ パス 人材育成
•情報リテラシヸ 向
– セキュリテ 教育
– 外部 教育サヸビス 活用
– 外部開催 CTFや勉強会等 組 進
5
威 対応 セキュリテ 人材 足5
威 対応 セキュリテ 人材 足~組織や国 積極的 セキュリテ 人材 育成 ~
独立行政法人情報処理推進機構
•情報処理試験制
– IT ンジニ 足等 背 足 国家資格
– IT 知識ヷ技能 銫 共通 評価指標 活用
個人情報やクレジット ヸド情報 窃 被害 い い
窃 情報 悪用 審メヸル 送 けや
6
ブサヸビス
個人情報
窃
6
ブサヸビス
個人情報
窃
~ ブサヸビス 弱性対策 迅速 ~
攻撃手口
企業 開 ブ プリケヸション 弱性 悪用
OSヷミドル ヷCMS等 弱性 悪用
共通的 使わ ソフト ㄥOpenSSL
2017
年
事例
/
傾向
チケット販売 ブサ ト クセス
•最大約15万5,000件 個人情報 漏えい 能性
•Apache Struts2 弱性 悪用 山情報サ ト クセス
•氏 やメヸル ドレス等 約1,160件 情報漏えい
•開 プログラム SQL ンジ クション 弱性
6
ブサヸビス
個人情報
窃
対策一覧
6
ブサヸビス
個人情報
窃
~ ブサヸビス 弱性対策 迅速 ~
ブサヸビス運営者
•被害 予防
– セキュリテ 対策 予算ヷ体制 確保
– セキュ ブサヸビス 構築
– セキュリテ 診断 チ ック
– OSヷソフト 更新
– WAFヷIPS 入
•被害 早期検知
– 適 ログ 得 的 監視
•被害 け 後 対応
– CSIRT 連絡
– 影響調査 び原因 追究
IoT機器 弱性 悪用 ルス 感染 被害 い い
感染 IoT機器 ボット化 DDoS攻撃等 悪用
7
IoT
機器
弱性
顕在化
~IoT機器 弱性 突く攻撃 開 ベンダヸ
攻撃手口
IoT機器 弱性 悪用 ルス 感染
感染 IoT機器 機能 利用
弱性 持 IoT機器 索 感染 拡大
DDoS攻撃 行い ンタヸネットサヸビス 妨害
7
IoT
機器
弱性
顕在化
~IoT機器 弱性 突く攻撃 開 ベンダヸ
2017
年
事例
/
傾向
7
IoT
機器
弱性
顕在化
~IoT機器 弱性 突く攻撃 開 ベンダヸ
弱性 対 適 対処 ~
ルス Mirai 亜種 DDoS攻撃
•7 ~9 ボットネット 形成
•11 100Gbps 超え DDoS攻撃 生
弱性 悪用 数百万 規模 ルス感染
• ンタヸネット 接 監視 メラ 標的
•国 設置 監視 メラ 感染 確認
ロボット掃除機 第 者 操作 弱性
IoT機器 開 者
•被害 予防
– や い 扱説明書 作成
– 全 デフ ルト設定や 弱性 解消
– 初期パスワヸド 変更 強制化
– ソフト 更新 自動化
– 要 機能 無効化
– クセス 能 範囲 制限
– 全 デフ ルト設定や 弱性 解消
– 迅速 セキュリテ パッチ 提供
– 利用者 適 管理 呼び け
– ソフト サポヸト期間 明確化
IoT機器 利用者
•情報リテラシヸ 向
– 使用前 説明書 確認
•被害 予防
– ソフト 更新ㄥ自動設定含 )
– 外部 要 クセス 制限
– 要 機能やポヸト 無効化
– 廃棄時 初期化
7
IoT
機器
弱性
顕在化
~IoT機器 弱性 突く攻撃 開 ベンダヸ
弱性 対 適 対処 ~
対策一覧
•被害 け 後 対応
– CSIRT 連絡
– 機器 電源 フ 初期化
従業員ヷ元従業員 部情報 持 出 私的 利用 社 規則 社外 業務 行う 持 出 そ 情報 紛失
8
部 情報漏えい
攻撃手口
自 持 クセス権限 範囲 情報 得 過去 使用 い ント 使用
•在任 い 時 認証情報 使い情報 得 外部記憶媒体や電子メヸル等 持 出
•USBメモリヸ CD/DVD ノヸトPC 紙媒体
8
部 情報漏えい元従業員 業務情報 持 出 異 組織 持込
•顧客情報や営業情報 約3万2,800件 持 出 日本年金機構職員 個人情報 売買
•金銭目的 年金加入者 個人情報 持 出
教職員 個人情報 持 出 帰宅途中 紛失
• 学校4校 児童 個人情報 外部記憶媒体 持 出
•外部記憶媒体 入 鞄 紛失
8
部 情報漏えい~ 部 許 い管理ヷ監視体制 ~
組織
• 被害 予防
– 資産 把握ヷ管理体制 整備
– 要情報 保護ㄥ クセス制御 暗号化ㄦ
– ント 権限 管理ヷ定期監査
– 外部記憶媒体 利用制限
– 未許 機器 接 禁
– 情報 扱ポリシヸ 作成 周知徹底
– 機密保護 銫 誓約
– 罰則 周知 相互監視 強化
• 被害 早期検知
8
部 情報漏えい~ 部 許 い管理ヷ監視体制 ~
• 被害 け 後 対応
– CSIRT 連絡
– 影響調査 び原因 追究
– 警察 相談
攻撃者 乗 ボット化 IT機器 DDoS攻撃 組織 ブサ トや組織 利用 い DNSサヸバヸ 大 クセス
9
サヸビス妨害攻撃 サヸビス 停
攻撃手口
あ 構築 ボットネット 利用
DNSリフレクタヸ攻撃(送信元 偽 DNSサヸバヸ 問い合わ )
DNS水責 攻撃(権威DNSサヸバヸ 高負荷 )
DDoS代行サヸビス(攻撃 代行 法 サヸビス)
9
サヸビス妨害攻撃 サヸビス 停
2017
年
事例
/
傾向
スマヸトフ ン DDoS攻撃
•Android用 プリ ルス 仕込 スマヸトフ ン
ボット化
IoT機器 ボット化
•IoT機器 踏 Mirai 亜種 活 化
DDoS攻撃 迫 利用
•DDoS 攻撃 停 引 換え 金銭 要求
9
サヸビス妨害攻撃 サヸビス 停 対策一覧
ブサ ト 運営者
•被害 予防
– システム 冗長化等 軽減策
– ネットワヸク 冗長化
– DDoS攻撃 影響 和 ISPや CDNサヸビス 利用
– ブサ ト停 時 代替サヸバ
用意 告知手段 整備
• 被害 け 後 対応
– CSIRT 連絡
– 通信制御ㄥ攻撃元 ブロック等ㄦ
– 利用者 状況 告知
– 影響調査 び原因 追究
9
サヸビス妨害攻撃 サヸビス 停~ボット ルス 感染拡大 伴う攻撃 大幅増~
IoT機器ベンダヸ
•被害 予防
サ バヸ犯罪 使用 サヸビスやツヸル等 引市場 通常 ブラ ザ 検索 い ブサ ト 存在 専門知識 要 容易 サ バヸ攻撃 能
10
犯罪 ビジネス化ㄥ ンダヸグラ ンドサヸビスㄦ 攻撃手口
購入 サヸビスやツヸル 利用 攻撃
購入 認証情報 利用 ブ ログ ン
2017年 事例/傾向
ランサム 容易 作成 Android プリ 公開
悪意 ハッ ヸ 育成 トレヸニングサヸビス 売買
Macユヸザ 標的 ルス 存在
•約45万種存在 無料 ランサム
10
犯罪 ビジネス化ㄥ ンダヸグラ ンドサヸビスㄦ 対策一覧ㄥ一例ㄦ
経営者
•組織 対応体制 確立
– 問題 対応 体制ㄥCSIRT等ㄦ構築
– 予算 確保 的 対策 実施
システム管理者
•被害 予防
– DDoS 攻撃 影響 和 ISPや
CDN等 サヸビス利用
– システム 冗長化 軽減策
•被害 け 時 対応
– CSIRT 連絡
– 通信制御ㄥDDoS攻撃元 ブロック等)
– ブサ ト停 時 代替サヸバ 用意 告知手段 整備
– 影響調査 び原因 追究
PC利用者
•被害 予防
– セキュリテ 教育
– 信メヸル ブサ ト 十 確認
– OSヷソフト 更新
– セキュリテ ソフト 入
– 多要素認証方式 認証方式 利用
•被害 早期検知
– 審 ログ ン 歴 確認
•被害 け 後 対策
– バック ップ 及