Microsoft PowerPoint ほか計3回　岡山各大学【印刷用】.ppt [互換モード]

Copyright © 2014 独立行政法人 情報処理推進機構

社会人になる前の

情報セキュリティ、情報モラル

IPA 情報処理推進機構

技術本部セキュリティセンター

(大学教職員、学生向け)

はじめに

情報セキュリティとは

第 １ 部

情報セキュリティ対策

３つのカバン（映像１０分）

第 ２ 部

スマホとSNS対策

SNSによる拡散(映像９分)

※

補足資料

インターネットバンキング対策

Copyright © 2014 独立行政法人 情報処理推進機構

守るべき情報資産

大事な情報はデータ(書類や電子データ）だ

けではありません

そういったデータを格納する情報機器や設備

も大切な情報資産です

情報漏えい対策の

守るべき対象は情報資産です

3

セキュリティ対策：技術的対策

自分のコンピュータを守ること･･･

コンピュータウイルス対策

脆弱性の解消

情報の暗号化

情報のバックアップ

企業内ネットワークで言えば･･･

ファイアウォール

IDS（侵入検知システム）/IPS（侵入防止システ

ム）

プロキシサーバにおけるネットワーク監視･制御

4

Copyright © 2014 独立行政法人 情報処理推進機構

人のセキュリティ対策

• 「人のセキュリティ対策」とは、いわゆるセキ

ュリティ対策ルールや体制を決め、それを守

ることです

人の対策（体制・ルール）

システムなどの技術的対策

情報セキュリティ対策

5

第1部

情報セキュリティ対策

Copyright © 2014 独立行政法人 情報処理推進機構

「３つのかばん」

の お話…

対策１：企業にとって重要な情報って･･･

企業にとってその情報が企業外に漏れると、

企業の事業運営上で重大な問題を引き起こ

す可能性のある情報が重要な情報です

お客様から預かっている個人情報

企業で働く従業者の個人情報

企業運営のための企業情報

ノウハウ等の機密情報

何が重要な情報か理解することが

情報セキュリティ対策の第一歩と言えます

○

秘

8

Copyright © 2014 独立行政法人 情報処理推進機構

対策2：事務所の机の上は

_…

机の上に放置した情報は、誰かに持ち去ら

れる危険にさらされています

関係者以外が見たり触れたりできないよう、

重要情報は放置せず、管理および保護する

必要があります

9

パソコン・記憶媒体も・・・

机の上に放置した

○○

は、誰かに持ち去られ

る危険にさらされています

関係者以外が見たり触れたりできないよう、

重要

○○

は放置せず、管理および保護する

必要があります

特に夜間は・・・

10

Copyright © 2014 独立行政法人 情報処理推進機構

対策3：知らない人が事務所に･･･

関係者以外の社内の立ち入りを制限しなけ

れば情報を盗み取られる危険性があります

特に重要な情報が格納されたサーバや書庫

・金庫などの近くには無許可の人が近づいた

り、操作できないように・・・

事務所で

見知らぬ人を見かけたら・・・

声をかけるなどのように

無許可の人の立ち入りが

ないように・・・

11

こんな対策が効果的・・・

事務所で見知らぬ人を見かけたら、

「誰をお探しですか？」とか

「何か御用ですか？」

というような声をかける

ことが良いでしょう。

本当に仕事に来ている人

であれば失礼のないように

…

悪い人であれば大きな牽制に

なるはずです

12

Copyright © 2014 独立行政法人 情報処理推進機構

重要な資料などを廃棄する場合は、シュレッ

ダーで裁断するなどのように、

重要情報が読

めなくなるような処分

が必要

重要情報の入ったパソコン・記憶媒体を廃棄

する場合は、消去ソフトを利用したり、業者に

消去を依頼したりするなどのように、

電子デ

ータが読めなくなるような処分

が必要

対策4：重要な情報の処分は･･･

13

事例：一般家庭ゴミ？

• 会社で終わらない仕事を自宅に持ち帰り、そ

のときに使用した重要な情報が記載されてい

た書類を、不要になったので

一般家庭ゴミの

回収に出した

。その資料が地方自治体の住

民情報だったので、回収業者はビックリして

自治体に報告し、大騒ぎになった。情報漏え

いはしなかったけれど…

14

Copyright © 2014 独立行政法人 情報処理推進機構

事例：びっくりな事例

米国軍需メーカーの機密情報、ガーナで販売

されていた中古HDDから発見 廃棄PCから

取り出された？ 国防情報局やNASAなどと

の契約文書が数万件

15

ゴミ箱あさりから始まる情報漏えい

• ソーシャルエンジニアリング

(Social Engineering)

と呼ばれる情報を奪取する手法では、『ゴミ

箱あさり』が有名です

• ある会社から情報を盗み出そうとしている悪

者は、まず手始めにその会社のビルのゴミ

置き場においてある廃棄書類を物色すると

言われています

• ここから、情報漏えいが始まるといっても過

言ではありません

16

Copyright © 2014 独立行政法人 情報処理推進機構

• 情報の社外への持ち出しにおいては、

「そもそもこ

の情報は持ち出していいのか」

を確認する必要があ

ります

• 重要な情報を会社の外へ持ち出す場合は、

上司の

許可

が必要、さらに

持ち出し記録を残す

必要があ

ります

• 持ち出した情報は、思わぬ盗難にあったり、うっか

り紛失したりすることがあります。情報が格納され

た携帯電話やパソコンやデータファイルにパスワー

ドを設定するなどの対策を事前に行っておけば、盗

難・紛失時に情報を簡単に見られないようにするこ

ともできます

対策5：重要な情報の持ち出し･･･

17

持ち出しの物理的な対策

暗号化

鈴

大きなタグ

Copyright © 2014 独立行政法人 情報処理推進機構

と言うことで･･･

不必要な持ち出しはしない

持ち出す情報について、上司や管理者の許可を得て、

さらに持ち出し記録を残す

持ち出す方法(ＣＤ／ＤＶＤ、USBメモリ、パソコン等

)について上司や管理者の確認 (暗号化やロック、リモ

ート操作等のセキュリティ対策がされているか) を得る

重要情報が格納されたスマートフォンやタブレット、

パソコンは、第三者の多く集まる場所（電車の中、待

合室、喫煙所等）では利用しない

書類のまま持ち出す場合はカバンに入れて肌身離さず

持ち歩く（間違っても電車の網棚に放置しない等）

持ち出し先で安易に捨てない（廃棄しない）

19

対策6：パソコンは･･･

脆弱性（ぜいじゃくせい）の解消

コンピュータウイルス対策

業務に関係のないアプリケーションはインス

トールしない（使わない）

私物パソコンは業務では使わない

業務情報のバックアップ

20

Copyright © 2014 独立行政法人 情報処理推進機構

(1) 脆弱性の解消

Microsoft社Windowsの場合

Microsoft(Windows) Updateの実施（毎月定例）

Apple社のMacの場合

定期的なセキュリティ更新の適用

パソコン上で利用するアプリケーション

常に最新のバージョンあるいはセキュリティ更新

を適用する

21

(2) コンピュータウイルス対策

セキュリティ（ウイルス）対策ソフトを利用する

ウイルス定義ファイル（パターンファイル）は

常に最新にする（自動更新）

機能は安易に止めない

ウイルスを発見したら

駆除して報告

22

Copyright © 2014 独立行政法人 情報処理推進機構

最近話題？のウイルス

情報を盗むスパイのようなウイルス

脅しをかけ、偽ソフトを売りつけるウイルス

人質？を取り、身代金を要求するウイルス

会議や私生活を盗撮するウイルス

23

こんなウイルスも・・・

• キーボードの操作を記録・外部へ送信する

スパイウェア

Copyright © 2014 独立行政法人 情報処理推進機構

こんなウイルスも・・・

• 「ウイルスに感染してるよ!!」って自作自演の

ウイルス感染の嘘をつき、脅迫紛いに偽ウイ

ルス対策ソフトを買わせる

スケアウェア

25

こんなウイルスも・・・

• 「おまえのファイルを暗号化した!!パスワード

が知りたければお金を払え!!」って、ファイル

やフォルダを人質にとる

ランサムウェア

– ランサム＝身代金

26

Copyright © 2014 独立行政法人 情報処理推進機構

こんなウイルスも・・・

• 感染したPCのウェブカメラで盗撮するウイル

ス

代表的なウイルスの感染経路

メールからの感染

ウェブサイトからの感染

USB

メモリからの感染

Copyright © 2014 独立行政法人 情報処理推進機構

メールからの感染

メールの添付ファイルを開くことにより感染

※

添付ファイルがウイルスに感染していたり、添付ファイルが

ウイルスそのものであったりする

29

30

標的型攻撃メールから始まる

サイバー攻撃

Copyright © 2014 独立行政法人 情報処理推進機構

利用者を騙す手法

興味を引くファイル名で騙す

ファイルアイコン偽装で騙す（ドキュメントのアイコンを付けた

アプリケーションファイル等）

拡張子が見分けにくいファイル名で騙す（本当の拡張子の

前にたくさんの空白を詰めたファイル名等）

ファイル名の偽装で騙す（ファイル名のＲＬＯを使用等）

 RLO(Right-to-Left Override)：Unicodeの制御記号で文

字の流れを右から左の向きに書き換える

ファイルの拡張子は常に見えるように

しておきましょう!!

31

32

Copyright © 2014 独立行政法人 情報処理推進機構

アイコンの偽装に注意

Windowsでファイルの拡張子を見えるようにする設定

設定→コントロールパネル→フォルダーオプション→表示（タブ）

→「登録されている拡張子は表示しない」のチェックを外す

Copyright © 2014 独立行政法人 情報処理推進機構

電子メールからの感染に対する予防

ウイルス対策ソフトの正しい運用

OSやソフトウェアの脆弱性の解消

メーラーのセキュリティ設定を強化する（例え

ば外部コンテンツブロック設定）

メール本文はテキスト形式にする （HTML形

式は見栄えは良くなりますが、不正な仕掛けが

施せます）

スパムメールのフィルタリング

不審なメールを開かない社員教育

不審なメールに関する情報共有

インターネット

ウイルスが仕掛けられたウェブサイトを閲覧

することにより感染

迷惑メール、ＩＭ（インスタントメッセンジャー）、ＳＮＳ（ソーシャルネット

ワーキングサービス）やブログサイト、アダルトサイト等に記載された不

正なリンクから悪意のあるウェブサイトに誘導され感染

ウェブサイトからの感染

36

Copyright © 2014 独立行政法人 情報処理推進機構

ウェブサイトからの感染に対する予防

ウイルス対策ソフトの正しい運用

OSやソフトウェアの脆弱性の解消

ブラウザのセキュリティ設定を強化する

(例えば必要時以外のスクリプトの抑止、

不要なアドオンの抑止等)

ウェブ(サイト)フィルタリングの利用

不審なサイトを開かない教育

不審なサイトに関する情報共有

USBメモリからの感染

１

２

３

４

Copyright © 2014 独立行政法人 情報処理推進機構

ＵＳＢメモリを挿しただけで感染するケースもありま

したが、OSの修正（XP）で解消されました…が、

ＵＳＢメモリに不正ファイルを仕掛け、

利用者を騙し

て開かせる方法

でウイルスに感染させる（ウイルス

そのものを実行させる）事例が多いようです

出所不明なＵＳＢメモリには気を付けてください

ＵＳＢメモリ経由以外にも各種の電子媒体やウェブ

サイトからダウンローされたファイルにも仕掛けの

ある場合もあるので注意が必要です

USBメモリからの感染

USBメモリからの感染に対する予防

ウイルス対策ソフトの正しい運用

OSやソフトウェアの脆弱性の解消

私物を含む業務以外で使用するUSBメモリの

利用禁止(用途外利用の禁止)

USBメモリの私的な貸し借り禁止

不用意に出所不明なファイルは開かない

企業･組織でのルールに従う

できるなら、安全な環境での接続テスト

情報漏えい対策も忘れずに…

Copyright © 2014 独立行政法人 情報処理推進機構

(3) 業務に関係のない使い方はしない

許可されていないアプリケーションの利用

 管理されていないアプリケーションは脆弱性対応が難し

い

 組織内ネットワークの穴(抜け道)になる場合もある

＝ネットワークの脆弱性

許可されていないサービスの利用

 業務情報の外部サイトへの登録・展開・共有

 業務メールアドレスを不必要な外部サービスに登録

業務に関係ないサイト？の訪問

業務メールの私的？利用

実際にあったお粗末な事例

仕事中にアダルトサイトを訪問

ワンクリック詐欺に引っ掛かり・・・

請求書がパソコンの画面から消えない!!

これもウイルスの仕業・・・

恥ずかしくて、仕事ができません?

上司にバレないように、パソコンが壊れたと

報告した!?

この人の業務停止？

42

こんな画面見た事あります ?

どう対応するの ?

こんな画面見た事あります ?

どう対応するの ?

Copyright © 2014 独立行政法人 情報処理推進機構

仕事で使うと危ない・・・

情報漏えいを起こし易い

ファイル交換ソフト

仕事に

無関係なソフト

、誰も保障してくれない

フリーソフト

、

私物ソフト

脆弱性対策ができない（サポートされていない）

情報を盗んだり、壊したりする不正なプログラム

が入っているかもしれない（偽ウイルス対策ソフト

など）

43

ファイル交換ソフトを介した情報漏えい

図 ファイル交換ソフトから情報流出する仕組み

Copyright © 2014 独立行政法人 情報処理推進機構

(4) 私物パソコンは業務では使わない

「業務に関係のないアプリケーションは使わ

ない」と同じ理由で、私物パソコンは業務で

使わないことが望ましい

どうしても必要な場合は、上司の許可をとっ

てから、十分なセキュリティ対策を施してから

利用することになりますが、私物パソコンは

企業として十分に管理できないので、原則と

して業務には使わないことを推奨します

45

(5) 業務情報のバックアップ

• 故障や誤操作などにより、パソコンの中に保

存したデータが､消えてしまうことがあります

• 定期的にバックアップを取得しておけば、こ

のような不測の事態に備えることができます

46

Copyright © 2014 独立行政法人 情報処理推進機構

たかがパスワード

されどパスワード

対策7：パスワード・・・

パソコンやスマートフォン、携帯電話を利用

する際のログインパスワードや暗証番号だけ

でなく、インターネットを利用していると多くの

パスワードが必要になってきています

安易なパスワードやパスワードの使いまわし

など、パスワードの運用･管理上危険な取り

扱いを多く見受けます

48

Copyright © 2014 独立行政法人 情報処理推進機構

細かいことを言えば…

見えないからと言って、キーボードの裏側に貼り付け

るなんて…

海外の映画やドラマで見るような、

■ サンバイザーに車のキー

■ 玄関マットや植木鉢の下に家のカギ

みたいなものです

結構バレバレですかね!!

49

パスワードリスト攻撃とは、悪意のある者が、何ら

かの方法で事前に入手したIDとパスワードのリスト

を流用し、自動的に連続入力するプログラムなどを

用いてそれらIDとパスワードを入力することで、ウェ

ブサイトにログインを試みる手口です

パスワードリスト攻撃

最近のニュース報道

なりすましログインで「ソニーポイント」75万円相当が不正交換される被害

「AOLメール」のなりすましスパム、原因は不正ログインではなく情報漏洩

足利銀、不正ログインの痕跡十数件を確認

JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更

を依頼

50

Copyright © 2014 独立行政法人 情報処理推進機構

パスワードに関する注意事項

インターネットのサービスなどのパスワードはサービス

提供側で管理されます

つまり自分の責任範囲外で漏えいする場合があることを

忘れないでください

パスワードが多すぎて、忘れそうなら、

紙に書いて大事に保

管しましょう (IDとパスワードは別々に）

忘れたら大変ですから…

パスワードを忘れたときのための秘密の質問の設定もパ

スワードと同じように注意が必要です これを悪用され

て乗っ取られる場合があります

51

パスワードの掟

インターネット上のサービスを利用するための

パスワードは、ある程度の強度を持たせ、定期

的に変更しよう

インターネット上のサービスを利用するための

パスワードは、サービス提供側で漏えい事故が

発生した場合は、速やかに変更しよう

インターネット上のサービス毎に異なったパス

ワードを設定しよう

52

Copyright © 2014 独立行政法人 情報処理推進機構

対策7：電子メール･･･

•

業務における電子メールの利用は、やり取りする内

容自体が重要な情報なので、

宛先を間違えるなど

の誤送信は、絶対にあってはなりません

•

誤送信を防ぐためには、以下のような対策が必要

送信前に宛先と内容の再確認

重要な情報はメール本文ではなく暗号化された

添付ファイルに…

同時に多くの宛先に送信（同報メール）する場合

は、ToやCCでいいのかBCCにすべきなのか良

く考えるましょう

•

メールの送信は

テキスト形式

で行うのがマナー

53

・Auto Complete機能・・急いでいるときほど危険

・メーリングリスト・・メンバーの確認を。 身内だけ

ではないかも

・「返信」操作・・発信者だけに返信されないかも。

Reply ｔｏ が指定されている（特にメーリングリ

スト利用時）

・BCC・・内緒で送った相手が、知らせてくれてあり

がとうと「全員に返信」でお礼を言ってきた

・送信先を再確認する機能の活用を（アドオン等）

電子メールの宛先入力 要注意点

54

Copyright © 2014 独立行政法人 情報処理推進機構

対策8：守秘義務って何･･･

企業にとって重要な情報は、従業者であれ

ば、対外的に秘密としなければなりません

それが

守秘義務

です

一般的には、採用の際に守秘義務があるこ

とを知らせるなどのように、

企業は従業者に機密を

守らせているはずです

55

まとめ

「自分の身は自分で守る」

「会社の身も自分が守る」

ただし、自分ひとりで解決×

→報･連･相が大事

56

Copyright © 2014 独立行政法人 情報処理推進機構

正しく使っていますか？

スマホとSNS

第2部

あなたの書き込みは世界中から見られてる

－適切なSNS利用の心得－

（ドラマ

約９分）

58

https://www.ipa.go.jp/security/keihatsu/videos/

Copyright © 2014 独立行政法人情報処理推進機構

スマートフォン とは？

システム手帳

的な要素も！

スマートフォンが狙われる理由

機種ごとに

異なる仕様

海外製を含む多くの機器で共通の仕様

利用者の

自由度は低い

利用者が自由にアプリケーションを追加でき、

アプリケーションを開発することもできる

ウイルスを作りにくい／

ウイルスに感染しにくい

ウイルスの脅威は

似た状況にある

従来型の国内の

多機能携帯電話

スマートフォン（新型の

多機能携帯電話）

パソコン

特徴が似ている

インターネット

常時接続

60

Copyright © 2014 独立行政法人情報処理推進機構

急増するAndroid向け不正アプリ

※

_{トレンドマイクロ社が公表した数値を基に、IPAがグラフを作成。}

（種）

2014

_{年6月には２６０万を超える（トレンドマイクロ）}

インストールが必要！

61

1.1

スマートフォンからの情報漏えい

不正なアプリをインストールすると、スマホの電話帳の内容等が盗まれる！

Copyright © 2014 独立行政法人情報処理推進機構

SNS

やメールで不正アプリサイトへ

誘導する事例（2012年9月）

Facebookの

某コミュニティに

投稿されていた、

不正アプリサイト

へのリンクを

含んだ投稿

SNS（Social Networking Service）： インターネット上で人間同士が交流できるサービス。

Copyright © 2014 独立行政法人情報処理推進機構

不正アプリの動き

電話帳を送信・・

送信終了

Copyright © 2014 独立行政法人情報処理推進機構

対策の具体例

「信頼出来るアプリマーケット」を選択するこ

とが重要です。日本では、携帯電話会社が

運営するマーケットが安全です。

(iPhoneの場合）アプリマーケット: App Store

（Androidの場合）

–

docomo

： dマーケット

–

au

： au Market

–

Softbank

： Yahoo!スマホガイド

Android

でもiPhoneでも、公式以外のマーケ

ットからはアプリ入手禁止！

65

スマートフォンのセキュリティ対策

アンドロイド端末では、アプリをインストールする前に、アクセス許可を確認する。

セキュリティソフトを導入する。

スマートフォンを小さなパソコンと考え、パソコンと同様に管理する。

信頼できる場所からアプリケーション（アプリ）をインストールする。

スマートフォンにおける改造行為を行わない。

スマートフォンをアップデートする。

スマートフォンを安全に使用するための6か条

※

詳細の解説については、以下のページを参照してください。

http://www.ipa.go.jp/security/txt/2011/08outline.html

66

Copyright © 2014 独立行政法人情報処理推進機構

スマホ：端末ロックの落とし穴 その1

Android

手の脂で、パターンを

読み取られます！！

Copyright © 2014 独立行政法人情報処理推進機構

スマホ：端末ロックの落とし穴 その2

手の脂で、タッチ

した位置を読み

取られます！！

iPhone

※図は、iOS 7 の例

4ケタ

68

Copyright © 2014 独立行政法人情報処理推進機構

対策は・・・

たとえテンキーでも、桁数を増やし、

かつ数字をダブるように設定して

おくのが望ましい！

ケタ数

不明

69

70

Copyright © 2014 独立行政法人情報処理推進機構

Copyright © 2014 独立行政法人情報処理推進機構

SNS

が絡んだトラブル事例②

※東京スポーツの記事より抜粋

Copyright © 2014 独立行政法人情報処理推進機構

炎上への軌跡

【問題のツイート】※2011/5/17

そいえば今日マイクハーフナーが来た。ビッチを具現化したような女と

一緒に来てて、何かお腹大っきい気がしたけど結婚してんの

(^ω^)？？

---@****** 帰化したからハーフナーマイクかwアシュトンカッチャー劣化

版みたいな男が沢尻劣化版みたいな女連れてきたよw

とりあえずデカイね、ホントにwww

72

Copyright © 2015 独立行政法人情報処理推進機構

SNS書き込みでこんな事件が！

プロサッカー選手の中傷をTwitterに書き込んだ女性

は、本名を使用していなかったにもかかわらず、

後には、個人名が特定され、多数の書き

込みサイトに写真つきで掲載され

ました。

インターネット上の様々な情報を

つなぎ合わせれば本人を特定す

ることは、それほど難しいことでは

ありません。

1.5

時間

73

Copyright © 2014 独立行政法人情報処理推進機構

SNS

が絡んだ情報漏えい事件

※朝日新聞の記事より抜粋

Copyright © 2014 独立行政法人情報処理推進機構

炎上への軌跡

Copyright © 2014 独立行政法人情報処理推進機構

医療の現場でも・・・

（参考） http://www.itmedia.co.jp/news/articles/1307/06/news009.html

Copyright © 2014 独立行政法人情報処理推進機構

（参考） http://www.itmedia.co.jp/news/articles/1301/18/news125.html

Copyright © 2014 独立行政法人情報処理推進機構

SNS

利用時のリスク

炎上が発生しやすい主なケース

違法、犯罪行為やモラル、マナー違反行為の告白（自慢）

事例：大阪府茨木市のコンビニで男性店長らに因縁を付け、たばこ6カートンを

脅し取ったうえ、土下座させる様子を撮影して動画サイトに投稿 （2014年9月）

守秘義務に反した情報漏えい

事例：医療専門学生が、内定が決まっていた研修先の病院でJリーグ選手のカルテに

記載されていた住所や電話番号を見たことをSNSサイトに投稿 （2013年1月）

社会的弱者や動物などを虐待したりおとしめ（貶め）たりするもの

事例：大学生がホームレスに生卵を投げつける様子を動画サイトに投稿 （2009年10月）

他者が信仰している宗教、政治観、歴史観、領土問題などの思想・信条に

関して否定 したり差別的表現でおとしめ（貶め）たりするもの

78

Copyright © 2014 独立行政法人情報処理推進機構

SNS

等 利用上の注意点

実名書いてないから大丈夫？

SNSでは他の人格で通してるから・・でOK？

情報公開範囲を認識してる？

発言は永遠に残ることを認識してる？

その情報、実名を名乗ったとしたら、書ける？

その情報、業務上知り得たもの(秘密)じゃない?

モラル、リテラシーが問われます！！

79

独立行政法人 情報処理推進機構

技術本部セキュリティセンター（IPA/ISEC）

〒113-6591

東京都文京区本駒込２－２８－８

文京グリーンコート センターオフィス１６階

ＴＥＬ ０３（５９７８）７５０８

ＦＡＸ ０３（５９７８）７５１８

電子メール

[email protected]

ＵＲＬ http://www.ipa.go.jp/security/

ご清聴ありがとうございました

81

Copyright © 2014 独立行政法人情報処理推進機構

限られた対象にのみ行われる標的型サイバー攻撃に対し、その手口や実態

を把握するためには、攻撃を検知した方々からの情報提供が不可欠である。

ぜひ、相談や情報提供をお寄せいただきたい。

補足－１

インターネットバンキング

82

Copyright © 2014 独立行政法人情報処理推進機構

平成26年中のインターネットバンキングに係る

不正送金事犯の発生状況等について (警察庁）

83

Copyright © 2014 独立行政法人情報処理推進機構

オンライン銀行詐欺ツールの国・地域別検出数割合の推移

トレンドマイクロによる調査（2013年第2四半期～2014年第2四半期）

84

85

Copyright © 2014 独立行政法人情報処理推進機構

フィッシングの基本的手口

86

Copyright © 2014 独立行政法人情報処理推進機構

フィッシング詐欺の事例

•

送信元

が

[email protected]

の送信元

詐称メール。

•

文中のリンク

https://www.visa.co.jp/verified/

は、

VISAの正規のURLに見えるが、HTMLの

ソースでは

http://xx.xx.163.74/verified/

を指

していた。クリックするとフィッシング サイ

トへジャンプし、カード番号やID番号の入

力を促す。

87

Copyright © 2014 独立行政法人情報処理推進機構

ウイルスを使った情報窃取の手口

ECサイト運営者

悪意を持つ人

ネット銀行の不正引き出し、ウイルス

が原因 (2005年7月)

オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付

されていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、

本人が気づかないうちに、キーロガーと呼ばれる種類のウイルスが感染した。

このウイルスは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。

犯人は、盗んだ情報を悪用して不正に引き出した。

参考：http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

①苦情メールを装ってウイルス

を送りつけ開かせる

③オンライン

銀行取引

④ログインID・パスワードを不正入手

⑤不正送金操作

銀行

ATM

⑥現金引出し

②感染

88

Copyright © 2014 独立行政法人情報処理推進機構

ウイルスを使った事例

89

Copyright © 2014 独立行政法人情報処理推進機構

乱数表の内容を全て入力させる！

ウイルスにより表示される

入力画面

※2011年9月の事例

90

Copyright © 2014 独立行政法人情報処理推進機構

対策：正しい画面遷移を知ること

みずほ銀行がホームページに

掲載している「正しい画面」

Copyright © 2014 独立行政法人 情報処理推進機構

Copyright © 2014 独立行政法人 情報処理推進機構

IPA対策のしおり

情報セキュリティ対策の基礎知識

（DVD-ROM）

Copyright © 2014 独立行政法人 情報処理推進機構

情報セキュリティ対策の啓発ビデオ

情報セキュリティ 普及啓発 映像コンテンツ

http://www.ipa.go.jp/security/keihatsu/videos/

YouTube : IPAチャンネル

http://www.youtube.com/ipajp/

Ｉ ♥ スマホ生活

Copyright © 2014 独立行政法人 情報処理推進機構

Windows Server 2003

のサポートが2015年7月15日に終了しました。

サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が

成功する可能性が高まります。

周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの

影響調査や改修等について迅速な対応をお願いします。

98

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA

win2003

検索

詳しくは

なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします

脆弱性が

未解決なサーバ

脆弱性を

悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003

のサポート終了に伴う注意喚起

Copyright © 2014 独立行政法人 情報処理推進機構

情報セキュリティ安心相談窓口

電 話

03-5978-7509

(オペレータ対応は、平日の10:00～12:00 および 13:30～17:00)

E-mail

[email protected]

※このメールアドレスに特定電子メールを送信しないでください。

ＦＡＸ 03-5978-7518

郵 送

〒113-6591

東京都文京区本駒込2-28-8

文京グリーンコート センターオフィス16階

IPAセキュリティセンター 安心相談窓口