目次 情報システムを取巻く状況 脅威の全貌を理解する所から始める 対策の考え方 システム設計策による内部対策 最後に 2

高度標的型攻撃対策に向けた

システム設計ガイド

～感染することを前提とした「防御グランドデザイン」

に向けたシステム設計の勘所～

2015年5月

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

研究員 佳山こうせつ

情報セキュリティEXPO

目次



情報システムを取巻く状況



脅威の全貌を理解する所から始める



対策の考え方



システム設計策による内部対策



最後に

2

Copyright © 2015 独立行政法人情報処理推進機構

セキュリティ脅威の変遷

～やるべき対策が多く複雑化した時代へ～

主

な

対

策

の

軸

足

コンピュータウイルス（マルウェア）対策

不正アクセス対策

情報漏えい対策

内部統制対応

出口対策による監視の強化

緊急対応体制

高度標的型 攻撃対策

ウイルス蔓延事案

省庁サイト改ざん

個人情報保護法施行

金融商品取引法改訂

サイバー空間をめぐる攻防

防衛産業を狙ったサイバー攻撃

止まないサイバー攻撃と被害報道

3

サイバー攻撃の報道事例

時期

報道

2009/12 ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起 必要なサービスがつかれる 一般利用者へ：改ざんされたウェブサイトからのウイルス感染に関する注意喚起 2011/4-5 ソニーにサイバー攻撃、個人情報流出１億件超 （朝日新聞等） 2011/9 三菱重工にサイバー攻撃、８０台感染…防衛関連も （読売新聞等） 2011/10 衆院にサイバー攻撃 議員のパスワード盗まれる （朝日新聞等） 2011/11 サイバー攻撃：参院会館のＰＣ、ウイルス感染は数十台に （毎日新聞等） 2012/1 ＪＡＸＡ：職員のパソコン感染、無人補給機情報など流出か （毎日新聞等） 2012/2 特許庁、トロイの木馬型感染…メール情報流出か （読売新聞等） 2012/6 パソコン５台、ウイルス感染か＝外部サイトと通信－原子力安全基盤機構（時事通信） 2012/11 ＪＡＸＡ、ロケット設計情報流出か ＰＣがウイルス感染 （朝日新聞等） 2012/12 三菱重工もウイルス感染 宇宙関連の情報流出か（産経新聞） 2012/12 原子力機構ＰＣウイルス感染…告発情報漏えい？（読売新聞） 2013/1 農水機密、サイバー攻撃…ＴＰＰ情報など流出か（読売新聞） 2013/3 韓国の1万6000台のATM停止、銀行業務PC停止、複数の放送局システム障害 2013/3 過去最大規模のDDoS攻撃が発生、ピーク時には300Gbps以上のトラフィック 2013/8 「やり取り型」サイバー攻撃メールの再発を確認（IPA） 2014/1 動画再生ソフト「ＧＯＭプレーヤー」更新で感染,（読売新聞） 2014/5 当機構のサーバと外部との意図せざる通信の可能性について（日本貿易振興機構（JETRO）） 2014/11 ソニーピクチャーズ、サイバー被害 北朝鮮を疑う声も（朝日新聞） 2014/12 隣人宅のルーター使いウイルス送信、不正送金図った疑い（朝日新聞） 2015/2 首都大学東京における個人情報が格納されたＮＡＳを踏み台にした学外への多量メール送信 2015/3 複数サイト改ざん、「イスラム国」のマーク表示（読売新聞）

Copyright © 2015 独立行政法人情報処理推進機構

さらに、いろいろな報道が

～整理が必要な時代に～

米中首脳会談

不正アクセス事案

情報漏洩事件

ミサイル技術の窃取

これってみんな同じ

情報セキュリティ？

5

セキュリティにおける領域の整理

～一言にセキュリティと言っても、視点や対象は様々～

国家

組織

集団

個人

自己満足・信念

経済的利益

信仰・国防

国家危機管理

興味本位

ハクティビズム

（抗議活動）

ネット被害

サイバーインテリジェンス

サイバー

犯罪

サイバー

_テロ

2ちゃんねらー

Anonymous

各国諜報機関

紅客集団

★重要インフラ

★官公庁

★個人情報漏洩

★フィッシング

★政府サイト攻撃

プロハッカー

★stuxnet

主

体

（攻

撃

者

）

★なりすまし犯罪予告

★韓国攻撃

ｼｽﾃﾑ破壊

★バンキング

マルウェア

★ITベンダー攻撃

6

参考：金銭目的のサイバー犯罪

～個人をターゲットにした金銭情報の窃取を目的とした攻撃～

7



サイバー犯罪の実態



被害額 ⇒世界:1,130 億ドル

(約11.3兆円)

※1人あたり平均298ドル(¥29,794)

⇒国内:10億ドル

(約1,000億円)



被害者数⇒世界：3億7,800万人/年

(新生児の2.8倍)

※毎秒12人の被害者

⇒国内：400万人/年

※10秒に1人の被害者



狙われる情報⇒金銭に直結する情報や本人に成りすませる情報



代表的な攻撃例⇒スパイウェア、スピアメール、フィッシングサイト etc

※人を騙してこっそりと金銭に変える

出典：株式会社シマンテック http://www.symantec.com/content/ja/jp/about/presskits/2013_Norton_Report.pdf Copyright © 2015 独立行政法人情報処理推進機構

参考：金銭目的のサイバー犯罪

～日本のインターネットバンキングで起きている現実～



不正なポップアップ画面を表示する攻撃 (2012年11月)

※IPAでウイルスの動作確認を行い導き出した結果です。 図：通常のログイン画面（注意書き部分を拡大） 図：偽のログイン画面（注意書き部分を拡大） ウイルス感染後に 同じURLにアクセスすると _{書換わってい}注意書きが る



利用者は正規のURLにアクセスしている為、不正なページと判断できない



銀行からの注意喚起が隠されてしまう

8

Copyright © 2015 独立行政法人情報処理推進機構 ※IPAでウイルスの動作確認を行い導き出した結果です。



「質問」と「合言葉」を入力してしまうと、情報が窃取されてしまう



ログインすると、利用者が既に設定してある「質問」と「合言

葉」の入力を要求する不正なポップアップ画面が表示

参考：金銭目的のサイバー犯罪

～日本のインターネットバンキングで起きている現実～

9

オンラインバンキングを標的としたマルウェアの検出

数が増加

参考：金銭目的のサイバー犯罪

～日本のインターネットバンキングで起きている現実～



マルウェアの検出件数の推移

出典：「PWS:Win32/Zbot」の国内検出数推移（グラフ：日本MS） 10 出典：2013年、モバイルマルウェアの進化を振り返る （カスペルスキー社ウェブサイトより）

Copyright © 2015 独立行政法人情報処理推進機構

セキュリティにおける領域の整理

～一言に情報セキュリティと言っても、視点や対象は様々～

国家

組織

集団

個人

自己満足・信念

経済的利益

信仰・国防

危機管理

興味本位

ハクティビズム

（抗議活動）

ネットコミュニティ

とのトラブル

サイバーインテリジェンス

サイバー

犯罪

サイバー

_テロ

2ちゃんねらー

Anonymous

各国諜報機関

紅客集団

★重要インフラ

★官公庁

★個人情報漏洩

★フィッシング

★政府サイト攻撃

プロハッカー

★stuxnet

主

体

（攻

撃

者

）

★なりすまし犯罪予告

★韓国攻撃

ｼｽﾃﾑ破壊

目的（攻撃動機）

★バンキング

マルウェア

★ITベンダー攻撃

被害が顕在化

しやすい

被害が顕在化しにく

い

高度化する侵入の手口

～ウェブサイト改ざんが急増～

出典：IPA・JPCERT/CC 共同注意喚起

出典：警察庁

12

水飲み場

攻撃なども

侵入に悪用

実際改ざんされてしまってい

るウェブサイトの氷山の一角

Copyright © 2015 独立行政法人情報処理推進機構

高度化する侵入の手口

～ウェブサイトとウイルス感染は、密接な関係～



2013年8月のウイルス検知マシン数 Top10

出典：マカフィー株式会社(一部)



上位10の内、半数がウェブ感染型のウイルス



ウイルス感染の主要手口にウェブサイトが悪用される

13



2014年 ゼロデイ攻撃の注意喚起（IPA発信）

高度化する侵入の手口

～ゼロデイの脆弱性の悪用が増加～

デモ

14

CVE番号 対象

1月 CVE-2013-5065 MS Internet Explorer

2月 CVE-2014-0497 Adobe Flash Player CVE-2014-0266 MS XML

CVE-2014-0295 .NET Flamework CVE-2014-0502 Adobe Flash Player

3月 CVE-2014-0322 MS Internet Explorer CVE-2014-1761 MS Word 4月 CVE-2014-0160 Open SSL(HeartBleed) CVE-2014-0094 Apache Struts2 CVE-2014-0112 CVE-2014-0113

CVE-2014-0515 Adobe Flash Player

5月 CVE-2014-1776 MS Internet Explorer CVE-2014-1812 MS Internet Explorer CVE-2014-1815 MS Internet Explorer

8月 CVE-2014-0546 Adobe Reader CVE-2014-2817 MS Internet Explorer

9月 CVE-2013-7331 MS Internet Explorer

CVE場号 対象 1０月 CVE-2014-6271

Bash(ShellShock)

CVE-2014-6277 CVE-2014-7169

CVE-2014-4123 MS Internet Explorer CVE-2014-4148 Kernel Driver

CVE-2014-4114 MS PowerPoint CVE-2014-0569 Adobe Flash Player CVE-2014-6352 Windows OLE

11月 CVE-2014-6332 MS Internet Explorer CVE-2014-6321 Microsoft Secure

Channel 12月 (CVE-2014-0580) Adobe Flash Player (CVE-2014-0587) CVE-2014-8443 CVE-2014-9162 CVE-2014-9163 CVE-2014-9164

ゼロデイ脆弱性の件数

・2012年

→14件

・2013年

→22件

・

2014年

→36件

Copyright © 2015 独立行政法人情報処理推進機構

高度化する侵入の手口

～新脅威 PlugXの出現とその影響～

認証プロキシを

突破するPlugX

15

Plug Xの割合

(認証プロキシ突破タイプ)

21％

(+４％)

P43

目次



情報システムを取巻く状況



脅威の全貌を理解する所から始める



対策の考え方



システム設計策による内部対策



最後に

16

サイバー攻撃の背景

～気づかれないように情報を盗んでいく攻撃者～

17



攻撃の背景



攻撃の目的⇒企業や政府機関の機密情報窃

⇒知的財産情報、組織の活動情報の収集



狙われた情報

国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガス田開発

に関する詳細な調査結果、ドキュメントストア、契約書、システム設計図面など

出典：Mandiant M-Trends

業種

攻撃数

航空宇宙・防衛 41組織 エネルギー関係 34組織 金融 26組織 ソフトウェア産業 19組織 法律関係 17組織 メディア・出版 17組織 情報通信 14組織 出典：「東京SOC情報分析レポート 2013上半期」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf

Copyright © 2015 独立行政法人情報処理推進機構



問題の本質を理解しておこう

ウイルス感染？

～攻撃者によるウイルスを使ったリモートハッキング～

ウイルス感染

攻撃者の活動フィールドは、

パソコンだけでなくシ

ステム全体におよぶ

内部侵入

18

Copyright © 2015 独立行政法人情報処理推進機構



内部侵入後の挙動



他の端末、セグメントへ侵入



ファイルサーバ/業務サーバへの

不正ログイン



プロキシサーバを介した情報の外部への送出

侵入を前提とした対策の課題

～内部システムの防御は業務システムの運用・設計を中心に～

主に、設計上、運

用上の弱点が狙

われる

内部侵入後の挙

動の理解が重要

主に、脆弱性が狙わ

れる

デモ

19

侵入を前提とした対策の課題

～ 内部システムの防御は業務システムの運用・設計を中心に ～

0

5

10

15

20

25

30

３．全社的にセグメント分離とアクセス制御をしていますか？

２．プロキシログから不正な通信をチェックしていますか？

１．運用に専用端末を使用していますか

実施している

一部実施している

実施していない

わからない

未回答

対策とし

て不十分

IPA CYBER-SECURITY SYMPOSIUM 2014 アンケート結果より 20

Copyright © 2015 独立行政法人情報処理推進機構

テクニカルウォッチの公開（’14.3.28）

21



「攻撃者に狙われる設計・運用上の弱点についてのレポート」

～標的型攻撃におけるシステム運用・設計10の落とし穴～

 10の落とし穴

 メールチェックとサーバ運用管理端末が同一

 分離できていないネットワーク

 止められないファイル共有サービス

 初期キッティングで配布さえれるローカルAdmin

 使いこなせないWindowsセキュリティログ

 パッチ配布のためのDomain Admin

 ファイアウォールのフィルタリングルール形骸化

 不足している認証プロキシログの活用とログ分析

 なんでも通すCONNECTメソッド

 放置される長期間のhttpセッション

攻撃に対して意外な弱点となっているシステム設計

例を10点挙げ、運用（背景）と対策の考え方を解説

内容を補完

IPAガイド

テクニカ

ル

ウォッチ

’13.8.29公開

21

22

作成：IPA『脅威と対策研究会』

「高度標的型攻撃」対策に向けたシステム

設計ガイド（第４版）の公開（’14.9.30）

Copyright © 2015 独立行政法人情報処理推進機構 23

・新たな分析結果を追加

・標的型メール攻撃対策を対象

・政府政策に連動

・内部（攻撃段階）対策に特化

・新脅威への対策を追加

2011年11月 2013年8月 2014年9月 2011年8月

某事案（９月～）

NISCリスク評価ガイドラインに活用

NISC政策：セキュリティ・バイ・デザイン

2009年～2011年

対策に向けたシステム設計ガイドの歴史

サイバー攻撃の仕組み 全貌整理

～攻撃者によるウイルスを使ったリモートハッキング～

計画 ここここここここここここここここここ

①計画立案

:

攻撃目標選定、偵察

ここここここここここここここここここ

③初期潜入

:

標的型メールの送付

④攻撃基盤構築:

・コネクトバック開設

・端末情報入手

・ネットワーク構成把握

⑤内部調査侵入:

・サーバ不正ログイン

・管理サーバ乗っ取り

・他端末への攻撃範囲拡大

⑥目的遂行:

・情報窃取

・情報破壊

対策で きない ウ イ ル ス 感染 人 が 行う不正ア ク セ ス

②攻撃準備

:

メール、攻撃用サーバ準

備

24

P26

Copyright © 2015 独立行政法人情報処理推進機構 25

サイバー攻撃の連鎖

～サプライチェーンの問題～

J-CRATで対応した事案より

・ 標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。

組織内での、多層防御（入口、出口、内部、統括管理）だけでなく、

- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。

- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。

国 官公庁 公的機関 業界団体 （社団、財団） 重要産業関連企業 取引先企業／組織 攻撃者

①

攻撃者

③

④

凡例 ① 直接攻撃 ② ある組織から上流の組織への攻撃 ③ ある組織から傘下の組織への攻撃 ④ ある組織と関連する組織への攻撃

③

①

②

③

①

目次



情報システムを取巻く状況



脅威の全貌を理解する所から始める



対策の考え方



システム設計策による内部対策



最後に

26

Copyright © 2015 独立行政法人情報処理推進機構

効果的な対策の考え方とは？



攻撃の全貌と攻撃者に狙われる弱点を理解し、システ

ム設計に反映する



システム全体でバランスの取れた対策を考える

ポイント

27

標的型攻撃の対策の考え方

～攻撃の全貌と攻撃者に狙われる弱点を理解し、対策の全体像を押さえる～

攻撃 シナリオ 攻撃 手口 マルウェア感染 人が行う不正アクセス ・ネットワーク分離設計 ・アクセス権限の最小化 ・管理者端末の分離 ・キャッシュ_PWの禁止 ・ウィルス対策ソフト ・ファイアウォール ・IDS/IPS ・セキュリティパッチ 対策 偵察・攻撃準備

内部対策

入口対策 エンドポイント対策 出口対策

対策なし

対策は

極めて

困難

28

P39

Copyright © 2015 独立行政法人情報処理推進機構



攻撃シナリオと対応機器の概要

標的型攻撃の対策の考え方

～システム全体でバランスの取れた対策を考える～

ス パム フ ィルタ SPF 次世代サン ドボ ック ス 型 フ ァイ ア ウ ォ ー ル メール サ ーバ イン ター ネ ット フ ァイア ウ ォ ール IP S/ ID S 次世代 ウ ェブ ア プ リケ ー シ ョン フ ァイ ア ウ ォ ー ル ウ ェブ サ ーバ ウ ェブ 改ざ ん 検知 ウ イ ルス 対策ソ フ ト ゼ ロ デ イ 対策ソ フ ト ウ ェブ プ ロ キシ サ ーバ ウ ェブ フ ィル タリ ング 次世代型ネ ット ワ ー ク 振る 舞い 検知型　 FW /ID S/ IP S 業務端末 運用管理端末 内部セ ン サー 認証サー バ フ ァイ ルサー バ DBサ ー バ 監視サー バ ネ ット ワ ー ク 機 器 1 計 画 立 案 2 ○ ○ ○ 3 4 5 △ △ ○ □ △ ○ 6 ○ △ ○ 7 ○ ○ ○ △ △ □ □ 8 9 端末内のシステム 情報を収集 △ ○ □ □ 10 攻撃ツールの ダウンロード ○ △ ○ ○ ○ □ □ 11 周辺端末調査 △ □ □ ○ 12 ○ □ □ ○ 13 ○ □ □ ○ ○ ○ 14 ○ □ □ 15 ○ ○ □ □ 16 □ □ ○ 【凡例】　○：攻撃検知（主観測）　△：攻撃検知(補助）　□：ログ取得機器 セキュリティ製品 業務機器 リモートコマンド実行 端末情報の収集 C&Cサーバ準備 標的型メール作成 エンドポイント 対策 他端末への不正アクセ ス 入口対策 内部対策 ターゲット周辺の調査 ウェブサイト改ざん、 水飲み場サイト構築 No. 　　　　　　対応機器 攻撃手口 バックドア開設・リモートコ ントロールの確立後 攻 撃 準 備 標的型メール受信 水飲み場サイトアクセス 初 期 潜 入 基 盤 構 築 段 階 内 部 侵 入 ・ 調 査 バックドア開設 目 的 遂 行 情報窃取 情報破壊 出口対策

セキュリティ製

品中心の対策

システムの運用と設計

中心の対策

29

P40

目次



情報システムを取巻く状況



脅威の全貌を理解する所から始める



対策の考え方



システム設計策による内部対策



最後に

30

対策に向けたシステム設計ガイド

の概要

31 Copyright © 2015 独立行政法人情報処理推進機構

①防御・遮断策

②監視強化策



攻撃回避を主眼とした設計策



攻撃シナリオをベースに対策



不正アクセス・PW窃取等を防止



早期発見を主眼とした設計策



攻撃者の足跡を発見



トラップを仕掛け、ログ監視強化

攻撃者が歩く経路を少なくする事で、監視

強化にも繋がる

システムとセキュリティ機能が連携して、攻

撃者の足跡を残す

P47

32 情報窃取 システム破壊 再侵入 1.計画立案 2.攻撃準備 3.初期潜入 4.基盤構築 5.内部侵入・調査 6.目的遂行 7.再侵入

攻撃シナリオにおける攻撃段階

入口・エンド ポイント対策 （統一基準範囲）

内部設計対策

（出口対策を含む）

攻

撃

者

対策セットA

突破①

突破③

突破②

対策セットB 対策セットC 対策セットD 対策セットE 対策セットF ユーザ端末の感染 コネクトバック通信の施行 コネクトバック通信の確立 ユーザ端末のリモートコントロール どの対策セットで検知・遮断したか の把握を行う事で、「攻撃がどの段 階まで到達した可能性があるか」の 判断材料の一つに利用する。 攻撃の入口（段階）の対策 攻撃の内部（段階）の対策

対策に向けたシステム設計ガイド

の概要

P51

Copyright © 2015 独立行政法人情報処理推進機構

脅威と対策の関連付け

33



利便性を考慮した運用により、引き起されるリスクを記載

34

対策セットA～C（基盤構築段階）

_P49

攻撃者が狙うシステム上の弱点 統制目標の概要 対策セットA ネットワーク通信経路 設計によるコネクトバッ ク通信の遮断 システム構成とファイアウォールの フィルタリング形骸化。 透過型プロキシ。 ユーザ端末から直接インターネット 上のC&Cサーバへ接続するコネクト バック通信を遮断および検知する。 対策セットB 認証機能を活用したコ ネクトバック通信の遮 断とログ監視 プロキシの認証機能を活用できて ないプロキシ。 ブラウザに認証情報を保存する設 定（オートコンプリート機能）。 認証機能を持たないプロキシを突破 してC&Cサーバへ接続するコネクト バック通信を遮断および検知する。 対策セットC プロキシのアクセス制 御によるコネクトバック 通信の遮断と監視 プロキシの設定と、通信の開始の 対象漏れ。CONNECTメソッドの無 制限と無監視。 （なんでも通すCONNECTメソッドと 放置される長期間のセッション） CONNECTメソッドを利用してセッショ ンを維持するコネクトバック通信を遮 断および検知する。

Copyright © 2015 独立行政法人情報処理推進機構 35

対策セットD～F（内部侵入・調査段階）

攻撃者が狙うシステム上の弱点 統制目標の概要 対策セットD 運用管理専用の端末 設置とネットワーク分 離と監視 サーバの運用管理業務を通常のイ ンターネット閲覧やメール受信に使 用するユーザ端末と併用している 運用設計。 適切に分離、アクセス制御されてい ないネットワーク設計。 ユーザ端末に保存されている重要情 報（運用管理業務で使われている管 理者情報や機微情報など）の窃取を 防止して検知する。 対策セットE ファイル共有の制限と トラップアカウントによ る監視 WindowsOSにおいてデフォルトで有 効になっているファイル共有。 止められないファイル共有。 初期キッティングで配布される共通 のローカルAdministrator。 運用管理ツール（タスクスケジュー ラ、PsExec）と使いこなせない Windowsログ。 攻撃者によりリモートコントロールさ れたユーザ端末から、周囲のユーザ 端末へのファイル共有機能を悪用し た内部侵害拡大を防止する。また、 ファイル共有が業務上必要な場合は 監視を強化し、不正なファイル共有 機能の利用を検知する。 対策セットF 管理者権限アカウント のキャッシュ禁止とロ グオンの監視 ソフトウェアアップデートやリモート メンテナンスなど、日常の運用で使 われている管理者権限のアカウン ト（DomainAdmin）。 攻撃者に管理者権限のアカウント情 報を窃取させない。および、万が一 窃取されたときも管理者権限のアカ ウントの不正使用を検知する。

P50

対策セットA

～ネットワーク通信経路設計によるコネクトバック通信の遮断～

36

ユーザ端末から直接インターネット上のC&Cサーバへ接続するコネクトバック通信を遮断および

検知する。

P53

システム構成とファイアウォールのフィルタリング形骸化。透過型プロキシ。

Copyright © 2015 独立行政法人情報処理推進機構

対策セットB

～認証機能を活用したコネクトバック通信の遮断とログ監視～

37

認証機能を持たないプロキシを突破してC&Cサーバへ接続するコネクトバック通信を遮断およ

び検知する。

P57

プロキシの認証機能を活用できてないプロキシ。

ブラウザに認証情報を保存する設定（オートコンプリート機能）。

対策セットC

～プロキシのアクセス制御によるコネクトバック通信の遮断と監視～

38

CONNECTメソッドを利用してセッションを維持するコネクトバック通信を遮断および検知する

P63

プロキシの設定と、通信の開始の対象漏れ。CONNECTメソッドの無制限と無監視。

（なんでも通すCONNECTメソッドと放置される長期間のセッション）

Copyright © 2015 独立行政法人情報処理推進機構

対策セットD

～運用管理専用の端末設置とネットワーク分離と監視～

39

ユーザ端末に保存されている重要情報（運用管理業務で使われている管理者情報や機微情報

など）の窃取を防止し検知する

P68

サーバの運用管理業務を通常のインターネット閲覧やメール受信に使用するユーザ端末と併用

している運用設計。適切に分離、アクセス制御されていないネットワーク設計。

対策セットE

～ファイル共有の制限とトラップアカウントによる監視～

40

攻撃者によりリモートコントロールされたユーザ端末から、周囲のユーザ端末へのファイル共有

機能を悪用した内部侵害拡大を防止する

ファイル共有が業務上必要な場合は監視を強化し、不正なファイル共有機能の利用を検知する

P75

WindowsOSにおいてデフォルトで有効になっているファイル共有。

止められないファイル共有。初期キッティングで配布される共通のローカルAdministrator。

運用管理ツール（タスクスケジューラ、PsExec）と使いこなせないWindowsログ。

Copyright © 2015 独立行政法人情報処理推進機構

対策セットF

～管理者権限アカウントのキャッシュ禁止とログオンの監視～

41

攻撃者に管理者権限のアカウント情報を窃取させない

万が一窃取されたときも管理者権限のアカウントの不正使用を検知する

P87

ソフトウェアアップデートやリモートメンテナンスなど、日常の運用で使われている管理者権限の

アカウント（DomainAdmin）。

目次



情報システムを取巻く状況



標的型メール攻撃とは



対策の考え方



システム設計策による対策



最後に

42

Copyright © 2015 独立行政法人情報処理推進機構 43

https://www.ipa.go.jp/security/vuln/newattack.html

作成：IPA『脅威と対策研究会』

「高度標的型攻撃」対策に向けたシステム

設計ガイド（第４版）の公開（’14.9.30）

P118

ツール一覧

Copyright © 2015 独立行政法人情報処理推進機構 44

サイバー攻撃に対するIPAの取り組み

「サイバーセキュリティと経済 研究会」(経産省) での検討

政策を受けて展開



国内でもここ３年間で攻撃による被害が顕在化、深刻化



標的型攻撃には、

多層的な

防御が不可欠となっている

Stuxnet

Operation Aurora RSA

重工

被害

発覚

政府機関

への攻撃

Titan Rain 国内の政府機関へ の標的型メールの観 測 2003 _~ 2005 _~ 2009 2010 2011 2012 2013 「脅威と対策 研究会」

2014

●METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと 経済研究会」 「標的型特別 相談窓口」 2011/8 設計Guide v1 2013/8 設計Guide v3 「情報共有 J-CSIP」 2011/10 2012/4 2010/12 サイバー ﾚｽｷｭｰ隊 J-CRAT」 ５業界の情報共有体制

標的型攻撃が深刻な脅威に

分析ﾚﾎﾟｰﾄ 分析ﾚﾎﾟｰﾄ ﾚｽｷｭｰ試行

＊１）

＊２）

＊３）

システム設計

早期対応

情報共有

2014/9 設計Guide v4

Copyright © 2015 独立行政法人情報処理推進機構

Windows Server 2003のサポートが、2015年7月15日に終了します。

サポート終了後は

修正プログラムが提供されなくなり

、脆弱性を悪用した攻撃が

成功する可能性が高まります。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの

影響調査や改修等について

計画的に迅速な対応

をお願いします。

45

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA win2003

検索

詳しくは

またWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします 脆弱性が 未解決なサーバ

脆弱性を

悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003のサポート終了に伴う注意喚起

「ｉパス」は、ITを利活用する

すべての社会人・学生

が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター 上峰亜衣（うえみねあい） 【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html