本プレゼンのポイント 脅威を知ることが対策への近道 2

情報セキュリティ10大脅威

2015

～被害に遭わないために実施すべき対策は？～ 2015年5月 独立行政法人情報処理推進機構 (IPA) 技術本部 セキュリティセンター 中西 基裕

本プレゼンのポイント



脅威を知ることが対策への近道

防犯の例

•

近所のマンションで空き巣被害

– 平日昼間の犯行 – サムターン回しの手口玄関から侵入 自宅は大丈夫か？ ・マンションはオートロック ・玄関ドアは鍵2つ（ピッキング対応） ・タンスにヘソクリ500万円 貯金 しておこう

•

東京三菱UFJ銀行の利用者がフィッシング被害

– 偽のお知らせメールが届く – 偽メール記載のリンクから偽サイトに誘導される – 偽サイトにログイン情報を入力してしまう 自分は大丈夫か？ ・他行のインターネットバンキングを利用 ・ワンタイムパスワードは未使用

情報セキュリティの例

まず 偽メールに 気をつけよう 参考：東京三菱UFJ銀行 パスワード等を入力させる偽メールが届いても、絶対に入力しないでください！ http://www.bk.mufg.jp/info/phishing/20131118.html

ITも防犯と同じ

ITにおいても脅威を知り、対策について考え、 必要に応じて追加の対策を行っていくことが重要

資料「情報セキュリティ10大脅威 2015」

https://www.ipa.go.jp/security/vuln/10threats2015.html •10大脅威とは？ – IPAが毎年発行している啓発資料 – 「10大脅威執筆者会」約100名が投票した脅威を 解説

–

1章.情報セキュリティ対策の基本

•被害に遭わないための基本の対策を解説

–

2章.情報セキュリティ10大脅威 2015

•10の脅威の概要と対策について解説

–

3章.注目すべき課題や懸念

•知っておくべき課題や懸念を解説



資料の構成

資料「情報セキュリティ10大脅威 2015」

https://www.ipa.go.jp/security/vuln/10threats2015.html 本プレゼンでは、 資料「10大脅威」より厳選した内容をお話しします。

1章：情報セキュリティ対策の基本

必ず実施すべき対策は長年変わっていない いま、これら対策の「自発的な実施」が求められている 基本の対策 ソフトウェアの更新 ウイルス対策ソフトの導入 パスワード・認証の強化 設定の見直し 脅威・手口を知る えっ！ 対策してない んですか？！

脅威・手口を知る 設定の見直し

2章：情報セキュリティ10大脅威2015

順位 脅威 1位 インターネットバンキングや クレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の窃取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術を悪用した攻撃 9位 脆弱性公表に伴う攻撃 10位 悪意のあるスマートフォンアプリ 本プレゼンでは、 3脅威を解説

2章：情報セキュリティ10大脅威2015

順位 脅威 1位 インターネットバンキングや クレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の窃取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術を悪用した攻撃 9位 脆弱性公表に伴う攻撃 10位 悪意のあるスマートフォンアプリ

ウイルスやフィッシング詐欺により認証情報が窃取され、 不正送金される

【1位】

インターネットバンキングや

クレジットカード情報の不正利用

•手口や影響 – パソコンにウイルスを感染させて認証情報を悪用する – フィッシング詐欺により入力させて認証情報を悪用する •2014年の事例／統計 – 不正送金被害が急増 •日本のインターネットバンキングを狙うウイルスが横行！ •2014年の被害額は29億円、2013年の約2倍に！ 法人口座の被害が急増！

【1位】

インターネットバンキングや クレジットカード情報の不正利用 ～個人口座だけではなく法人口座もターゲットに～

参考：インターネットバンキング被害額

•2014年は前年の2倍の被害額 – 2014年：1,876件、29億1,000万円 – 1件あたりの被害額が増加 – 法人・地銀の被害が急増 警察庁：平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等 http://www.npa.go.jp/cyber/pdf/H270212_banking.pdf 法人口座からの被害は高額に！

参考：バンキングマルウェア

•不正送金被害の原因の多くはウイルス感染！

出典：IPA：2012年12月の呼びかけ「ネット銀行を狙った不正なポップアップに注意！」 https://www.ipa.go.jp/security/txt/2012/12outline.html

参考：バンキングマルウェア

•合言葉をすべて入力させるケース

出典：IPA：2012年12月の呼びかけ「ネット銀行を狙った不正なポップアップに注意！」 https://www.ipa.go.jp/security/txt/2012/12outline.html

•対策一覧 – 利用者 •ソフトウェアの更新 •ウイルス対策ソフトの導入 •脅威や手口を知る •二要素認証等の強い認証方式の利用 – 銀行/カード運営会社 •利用者への事例や手口の情報提供 •二要素認証等の強い認証方式の提供 ウイルスに感染しないことと、 騙しの手口に引っかからないことが大切

【1位】

インターネットバンキングや クレジットカード情報の不正利用 ～個人口座だけではなく法人口座もターゲットに～

【1位】インターネットバンキングや

クレジットカード情報の不正利用

18



今すぐできる具体的な対策例（個人向け）

PCのソフトウェアの更新

•Windows Update、Adobe製品、Oracle Java

銀行などの注意喚起の確認



おすすめの対策（企業向け）

インターネットバンキング専用PCを導入 •ネットやメールをしない、利用前にソフトウエア更新 ソフトウェアの更新の強制 •ネットワーク検疫によるウイルス対策の強制 •資産管理・パッチ管理製品の導入

2章：情報セキュリティ10大脅威2015

https://www.ipa.go.jp/security/vuln/10threats2015.html 順位 脅威 1位 インターネットバンキングや クレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の窃取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術を悪用した攻撃 9位 脆弱性公表に伴う攻撃 10位 悪意のあるスマートフォンアプリ

【2位】内部不正による情報漏えい

～内部不正が事業に多大な悪影響を及ぼす～

– 従業員・職員が故意に内部情報を持ち出し私的に利用 – 企業・組織の信用が失墜し、補償・賠償が求められる

•発生要因 – 動機 ：処遇の不満、借金による生活苦 – 機会 ：不正行為ができる環境 – 正当化 ：自分勝手な理由づけ •2014年の事例／統計 – 通信教育大手から膨大な個人情報が漏えい •委託先企業の社員が3,504万件の個人情報を持ち出し •被害企業は顧客に総額200億円の補償を発表

【2位】内部不正による情報漏えい

～内部不正が事業に多大な悪影響を及ぼす～

•対策一覧 – 経営者層 •就業規則およびセキュリティポリシーの整備 •職員や委託先との秘密保持誓約の徹底 •対策を推進するための体制の構築 – システム管理者 •資産の把握と重要度による分類 •アカウントや権限の管理（設定・抹消） •システム操作の記録と監視 •入退室の監視や持込み物等の確認 守るべき「情報資産」は厳重かつ多様な対策を

【2位】内部不正による情報漏えい

～内部不正が事業に多大な悪影響を及ぼす～

【2位】内部不正による情報漏えい

•

今すぐできる具体的な対策例

– ルールや手順の見直し（承認も大事） – 情報資産の再確認 – フォルダのアクセス権限設定

•

おすすめの対策（管理者向け）

– ネットワークの分離 – メールの添付ファイル送信ブロック – ウェブフィルタリング（クラウドサービスの利用を制限） – IPA「組織における内部不正防止ガイドライン」 の活用

資料「組織における内部不正防止ガイドライン」

https://www.ipa.go.jp/security/fy24/reports/insider/  10観点（分類）の30対策を網羅  チェックシートで現状確認し、4章から対策を検討 【目次】 1章 背景 2章 概要 3章 用語の定義と関連する法律 4章 内部不正のための管理の在り方 付録Ⅰ 内部不正事例集 付録Ⅱ チェックシート 付録Ⅲ Q&A集 付録Ⅳ 他のガイドライン等との関係 付録Ⅴ 基本方針の記述例

2章：情報セキュリティ10大脅威2015

https://www.ipa.go.jp/security/vuln/10threats2015.html 順位 脅威 1位 インターネットバンキングや クレジットカード情報の不正利用 2位 内部不正による情報漏えい 3位 標的型攻撃による諜報活動 4位 ウェブサービスへの不正ログイン 5位 ウェブサービスからの顧客情報の窃取 6位 ハッカー集団によるサイバーテロ 7位 ウェブサイトの改ざん 8位 インターネット基盤技術を悪用した攻撃 9位 脆弱性公表に伴う攻撃 10位 悪意のあるスマートフォンアプリ

– ネット経由のスパイ活動により企業・組織の情報が流出 – 取引先や関連会社を踏み台にして本丸を狙う傾向あり

【3位】標的型攻撃による諜報活動

•侵入手口 – メールからウイルス感染「バラマキ型」「やりとり型」 – ウェブからウイルス感染「水飲み場型」 – 標的組織の関連会社が踏み台に •2014年の事例／統計 – 「やり取り型」の顕在化 •問い合わせ窓口が狙われる •メールのやり取りの後、ウイルス入りのメールを送る手口

【3位】標的型攻撃による諜報活動

～標的組織への侵入手口が巧妙化～

•対策一覧 – 経営者層 •問題に迅速に対応できる体制の構築 – セキュリティ担当部署 •セキュリティ教育の実施 – システム管理者 •システム設計対策 •アクセス制限 •ネットワークの監視 内部へ侵入されることを想定した「多層防御」を

【3位】標的型攻撃による諜報活動

～標的組織への侵入手口が巧妙化～

【3位】標的型攻撃による諜報活動

•

今すぐできる具体的な対策例

– PCのソフトウェアの更新

•Windows Update、Adobe製品、Oracle Java

– フォルダのアクセス権限設定

•

おすすめの対策（管理者向け）

– ネットワークの分離 – メールの添付ファイル受信のブロック – ソフトウェアの更新の強制 •ネットワーク検疫によるウイルス対策の強制 •資産管理・パッチ管理製品の導入

引用：「高度標的型攻撃」対策に向けたシステム設計ガイド P.73

https://www.ipa.go.jp/security/vuln/newattack.html

紹介：標的型攻撃対策の参考資料

• サイバー情報共有イニシアティブ（J-CSIP） 運用状況

[2014年10月～12月]

_{https://www.ipa.go.jp/security/J-CSIP/index.html}

最後に、本プレゼンのポイント



脅威を知ることが対策への近道

（防犯や事故防止と同じ）

「10大脅威」に関する内容は

 本プレゼンの内容、4位以降の脅威、3章は、

配布の冊子、またはIPAのウェブページから

PDFでご参照いただけます。

情報セキュリティ10大脅威 2015

https://www.ipa.go.jp/security/vuln/10threats2015.html

Windows Server 2003のサポートが、2015年7月15日に終了します。 サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が 成功する可能性が高まります。 サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの 影響調査や改修等について計画的に迅速な対応をお願いします。 会社の事業に悪影響を及ぼす被害を受ける可能性があります IPA win2003 検索 詳しくは 脆弱性が 未解決なサーバ 脆弱性を 悪用した攻撃 ホームページの改ざん 重要な情報の漏えい 他のシステムへの攻撃に悪用 業務システム・サービスの停止・破壊 データ消去 Windows Server 2003のサポート終了に伴う注意喚起

「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべき

ITパスポート公式キャラクター 上峰亜衣（うえみねあい） 【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html