最近の話題を通して アジェンダ サイバー犯罪 特に個人や組織が被害に遭う場合を想定して サイバー攻撃の方法について なぜ いとも簡単に攻撃されるのか そして成功するのか? まとめ 防御のためには何をすべきか? 金なし 人なし 知識なし での対策とは 神戸大学大学院森井昌克 2

パシフィコ横浜

２０１6年11月18日

森井昌克

[email protected] （神戸大学大学院 工学研究科）

サイバーセキュリティ入門

〜如何にして現存の脅威から自分を守るか、その現実 的な対策とは〜

アジェンダ

•

最近の話題を通して

– サイバー犯罪、特に個人や組織が被害に遭う場 合を想定して

•

サイバー攻撃の方法について

– なぜ、いとも簡単に攻撃されるのか、そして成功 するのか？

•

まとめ

– 防御のためには何をすべきか？ • 「金なし、人なし、知識なし」での対策とは

マルウェアの世界的状況は？

•

マルウェアの流通量（実際に有効な）は増え

ているのか？

– 全世界的には減少傾向にある。 • 対策が少しづつであるが進みつつある – だがマルウェア自体は高度化し、2極化している » 感染する組織と感染しない組織 マルウェア（コンピュータウイルス）を侮ってはいけない！ 今や「総合不正アクセスツール」として進化を遂げ、ＡＩ等、 最先端技術を取り入れている。

世界（100カ国以上）合計の検体発生数の推移（1日毎） 0 500000 1000000 1500000 2000000 2500000 3000000 3500000 4000000 1 8 6 3 0 7 4 1 8 5 2 9 6 3 0 7 4 1 8 5 2 9 6 3 0 7 4 1 8 5 2 9 6 3 0 7 4 1 8 5 発生数 検体種類数：約1万 発生数1年合計：約10億

世界（100カ国以上）合計の検体発生数の詳細 発生数TOP10の発生数の推移（1日毎） 20000 40000 60000 80000 100000 120000 140000 トップ１０に限れば、大幅に減少し ている。つまり、有効な対策が施 されている。

日本（Japan）の検体発生数の推移（1日毎） 検体種類数：7000 0 10000 20000 30000 40000 50000 60000 70000 80000 1 9 17 25 33 41 49 57 65 73 81 89 97 1 0 5 1 1 3 1 2 1 1 2 9 1 3 7 1 4 5 15 3 1 6 1 1 6 9 1 7 7 1 8 5 1 9 3 2 0 1 2 0 9 2 1 7 2 2 5 2 3 3 2 4 1 2 4 9 2 5 7 2 6 5 2 7 3 2 8 1 2 8 9 2 9 7 3 0 5 3 1 3 32 1 3 2 9 3 3 7 3 4 5 3 5 3 3 6 1 発生数 日付（2015/01/01~2015/12/31）

日本（Japan）の検体発生数の推移（1日毎） 検体種類数：7000 0 10000 20000 30000 40000 50000 60000 70000 80000 発生数

日本（Japan）の検体発生数の推移（1日毎） 検体種類数：7000 0 10000 20000 30000 40000 50000 60000 70000 80000 1 9 17 25 33 41 49 57 65 73 81 89 97 1 0 5 1 1 3 1 2 1 1 2 9 1 3 7 1 4 5 15 3 1 6 1 1 6 9 1 7 7 1 8 5 1 9 3 2 0 1 2 0 9 2 1 7 2 2 5 2 3 3 2 4 1 2 4 9 2 5 7 2 6 5 2 7 3 2 8 1 2 8 9 2 9 7 3 0 5 3 1 3 32 1 3 2 9 3 3 7 3 4 5 3 5 3 3 6 1 発生数 日付（2015/01/01~2015/12/31） JS/TrojanDownloader. Nemucod(74%) Javascriptで埋め込まれるダ ウンローダー型トロイの木馬 （12月10日）

日本（Japan）の検体発生数の推移（1日毎） 検体種類数：7000 0 10000 20000 30000 40000 50000 60000 70000 80000 発生数 JS/Kryptik..AYQ(44%) VBA/TrojanDownloader. Agent.AMQ(19%) JS/Kryptik.AYQ ：Javascriptで埋め込まれ るリダイレクト型のトロイの木馬 VBA/TrojanDownloader.Agent： ワードに よるダウンロード型トロイの木馬 （12月17日）

JS/TrojanDownloader.Nemucod

•

ばらまき型メール攻撃に用いられるトロイの

木馬

– ランサムウェアをＤＬすることも。

ちなみに

日本とアメリカ

日本 アメリカ 0 20000 40000 60000 80000 100000 120000 1 17 33 49 65 81 97 1 1 3 1 2 9 1 4 5 16 1 1 7 7 19 3 2 0 9 2 2 5 2 4 1 2 5 7 2 7 3 2 8 9 3 0 5 3 2 1 3 3 7 3 5 3 発生数 0 10000 20000 30000 40000 50000 60000 70000 80000 1 16 31 46 61 76 91 1 0 6 1 2 1 1 3 6 1 5 1 1 6 6 18 1 1 9 6 2 1 1 2 2 6 2 4 1 2 5 6 2 7 1 2 8 6 3 0 1 3 1 6 3 3 1 3 4 6 3 6 1 発生数

日本とアメリカ

日本 アメリカ 0 20000 40000 60000 80000 100000 120000 1 17 33 49 65 81 97 1 1 3 1 2 9 1 4 5 16 1 1 7 7 19 3 2 0 9 2 2 5 2 4 1 2 5 7 2 7 3 2 8 9 3 0 5 3 2 1 3 3 7 3 5 3 発生数 0 10000 20000 30000 40000 50000 60000 70000 80000 1 16 31 46 61 76 91 1 0 6 1 2 1 1 3 6 1 5 1 1 6 6 18 1 1 9 6 2 1 1 2 2 6 2 4 1 2 5 6 2 7 1 2 8 6 3 0 1 3 1 6 3 3 1 3 4 6 3 6 1 発生数

そしてIoTの世界へ

•

Internet of Things

– すべてのモノがつながること • 「つながる」とはどういうこと • ネットでつながる！ – 一意に識別可能な「もの」がインターネット/クラウ ドに接続され、情報交換することにより相互に制 御する仕組みである。「Internet of Everything」 や「Smart Everything」、「サービスのモノ化」とも いう。(wikipediaより)

そもそもIoTとは？

•

Internet of Things

– すべてのモノがつながること • 「つながる」とはどういうこと • ネットでつながる！ – 一意に識別可能な「もの」がインターネット/クラウ ドに接続され、情報交換することにより相互に制 御する仕組みである。「Internet of Everything」 や「Smart Everything」、「サービスのモノ化」とも いう。(wikipediaより) 鎖国状態（？）であった「現ネット社会」にすべての規制 や制約を取り払った新たなネット社会の到来 技術の問題ではなく、新たな「インターネット革命」

そもそもIoTとは

•

身近なIoT(すぐそこに来ているIoT)

– 個人にとっての電力自由化 – スマートメータ • こまごまとした電力管理ができる – 間接的には • スマホもIoT – 事実上、スマホがあれば何でも出来る！ – 車も • 走るコンピュータ – ここ数年の車種は１００個以上のマイクロプロセッサが

IoTセキュリティの本質

•

すべてがインターネットにつながる世界

•

ネットでつながっていることが意識される世界

でさえセキュリティの問題が

_…

– サイバー攻撃が見えない！？

•

IoTの世界

– つながっていることが意識されない世界 – さらに見えないサイバー攻撃！？ • 今でさえ、何がつながっているかわからない？

新たなる脅威

IoT: 何がどうつながっているのか、わからない！

自分本位のセキュリティを： 外の世界の脅威に影 響されない対策を！

最近の話題を通して

•

日本年金機構情報漏えい事件

– 標的型メール攻撃

•

コンビニATM１８億円不正引き出し

– サイバーフィジカル黎明期型犯罪 対策を含めて、少し誤 解がある！ 今後のサイバー犯 罪の手口とは？ 少し古いが、現在も続 く象徴的事件として

日本年金機構対応の問題点（１）

•

標的型メール攻撃の認識がなかった

(5/8)(5/18)

•

標的型メール攻撃の確認をしなかった(5/18)

•

添付ファイル開封の有無の確認を怠った

(5/20)

•

NISCの指示に従わなかった（問題視しなかっ

た）(5/21)

•

インターネット接続の遮断を躊躇した(5/22)

日本年金機構情報漏えい事件

• 2015年5月8日に標的型メール攻撃を受け感染後、23日ま でに多数のＰＣおよび複数台のサーバ（通信サーバ、共有 サーバ）にマルウェアが感染、その間に情報流出続く

【質問】

•

標的型メール攻撃は防げないのか？

– 対策をとれば、防げると思う人 ○

標的型攻撃

標的型メール攻撃

→無差別型メール攻撃？に 標的型攻撃は標的を選ばない！

標的型メールは標的を選ばない！

•

「標的型メール攻撃」という言葉が悪い？

– 自分のところは狙われていない！ • 大いなる錯覚 • 自分の（情報の）価値を正しく認識していない • 踏み台（攻撃の前線基地）になる！ – 最悪の事態_{→裁判の矢面に！}

•

標的型メール攻撃ではなく

ＡＰＴ

– 執拗でずる賢い攻撃 • 年単位の攻撃

標的型メール攻撃は防げないのか？

•

標的型メール攻撃の演習は無意味？

•

標的型メール攻撃は防げない！？

– 不審なメールなどありえない？ • 詐欺師（攻撃側）は巧妙な手段を使う

•

とはいえ、対策も行われている。

– 標的型メール攻撃の演習 • メールを送って、安易に添付ファイルを開くか否かを試 験し、開いた人には注意を促す。それを年間数回繰り 返す。

【質問】

•

標的型メール攻撃の演習は無意味か？

– 無意味と思う人 ○

標的型メール攻撃は防げないのか？

•

標的型メール攻撃は防げない！？

– 不審なメールなどありえない？ • 詐欺師（攻撃側）は巧妙な手段を使う

•

標的型メール攻撃の演習は無意味？

– 「前回１０人が引っ掛かったのが今回2人になっ た」というのは無意味 – 一人でも引っ掛かれば感染は広まる！ – では、それでもなぜ行うのか？ • セキュリティ意識を高めるため

標的型メール攻撃は防げないのか？

•

もはや「おまじないのレベル」

– 怪しい添付ファイルは開かない！ – ウイルス対策ソフトを有効に！ – ファイヤーウォールやＵＴＭを導入！ • もちろん、ＵＴＭは有効であるが… しかし – ＵＴＭも「お札」ではない！？

標的型メール攻撃は防げないのか？

•

（よく言われるが）

標的にならないのでは！？

– 情報の価値を評価できない – その価値が最大の時に漏えいすれば_… – バックドアを仕掛けられる – 他社を攻撃する踏み台に • 訴えられる可能性

本当に標的型攻撃を受けているのか？

•

確実に言えるのは攻撃を受け、それが成功し

ているサイトの７０％～８０％は気付いていな

い！

– しかも楽観的考えても、数％、悲観的に考えれば 10％前後のサイトは攻撃受け、事実上の被害を 受けている

標的型メール対策の勘違い

•

標的型メール攻撃演習の本来の意味

– 引っかからないようにすることではなく（それも重要です が）、その後の処理が大事！ • どのように連絡し、事後にどのように処理するか。 • 被害を最小に抑えるための対策 リスクを最小化するハザードトレラントシステム 災害：予知できな い、避けられない

日本年金機構情報漏えい事件

• 2015年5月8日に標的型メール攻撃を受け感染後、23日ま でに多くのＰＣおよび複数台のサーバ（通信サーバ、共有 サーバ）にマルウェアが感染 – まず、標的型メール攻撃は防げないのか？ – マルウェアを検知することはできなかったのか？

【質問】

•

マルウェアを検知することはできるハズ？

– 費用や人材育成を十分とすればできると思う人 ○

マルウェア感染

•

マルウェアの初動で感染を検知することは極

めて難しい

– ひそかに活動する能力に富んでいる • 通常の業務（動作）と見分けることが難しい – 絶対に不可能というわけではないが_… • 事実上（コストもあって）難しい

•

ただし、データを外部に送る、遠隔操作される

等の行動は検知できる！(ハズ）

日本年金機構情報漏えい事件

• 2015年5月8日に標的型メール攻撃を受け感染後、23日ま でに多くのＰＣおよび複数台のサーバ（通信サーバ、共有 サーバ）にマルウェアが感染 – まず、標的型メール攻撃は防げないのか？ – マルウェアを検知することはできなかったのか？ • 5月２１日の不審な通信を確認後、23日までに通信遮断。 – 3日間は長すぎないか？ 早期に（瞬時に）遮断できな かったのか？

【質問】

•

不審な通信を発見してからの対策が遅すぎ

る！

– 確かに遅すぎると思う人 ○

【回答】

•

確かに、不審な通信を発見してからの対策が

早いとは言えない。

– おそらく危機管理がなっていない！？

日本年金機構情報漏えい事件

• 2015年5月8日に標的型メール攻撃を受け感染後、23日ま でに多くのＰＣおよび複数台のサーバ（通信サーバ、共有 サーバ）にマルウェアが感染 – まず、標的型メール攻撃は防げないのか？ – マルウェアを検知することはできなかったのか？ • 5月２１日の不審な通信を確認後、23日までに通信遮断。 – 3日間は長すぎないか？ 早期に遮断できなかったの か？ • 6月1日の公表後は、「悪用の事実はない」としている – 安心していいのか、犯人の目的は何か？

改めて、サイバー攻撃

•

他人事ではない！

– あなたは常に狙われている！

– 標的型メール攻撃だけではない、無差別型もあ

他人事ではない!?

•

なぜ攻撃が存在するのか？

•

なぜ「あなた」を狙うのか？

– 情報の価値

•

なぜ「あなた」は狙われるのか？

– 攻撃の容易さと無作為性

•

なぜ攻撃されているとわかるのか？

– これが一番大きな問題： 実際、わからない場合 は多いのだから。

誰が行うのか、標的型攻撃

• 特定の思想を持つ個人、グループ – hogehogeに刃物！？ • 営利目的 – 「もの」から「情報」へ • 犯罪組織 – 情報共有 • テロリスト – インフラは全てITで制御 • そして国家組織 – サイバー戦

不正アクセスからサイバーテロへ

•

スクリプトキディ

– インターネット上で公開されている操作が簡単なクラック ツールを利用して、興味本位の不正アクセスを試みる「幼 稚な」クラッカー

•

ハクティビスト

– 独善的な「正義」を動機とするタイプのハッカー

•

犯罪者（金銭目的）

– システム破壊（ランサムウェア） – 情報搾取

サイバーテロ対策

•

他人事じゃないサイバーテロ

– 社会の一員であることを自覚

•

サイバー攻撃への対処（一般編）

– 一人の被害が組織の被害に、そして社会の被害 に

–

一人一人のセキュリティ意識が重要

• 小さい穴から大きな穴に • いきなり「爆弾」が落とされる事はまずない！ – インテリジェンス（コツコツと情報を集めて、最後に 爆発させる）

最近の話題を通して

•

JTB顧客情報漏えい事件

– 標的型メール攻撃

•

コンビニATM１８億円不正引き出し

– サイバーフィジカル黎明期型犯罪 今後のサイバー犯 罪の手口とは？

コンビニＡＴＭ、何が問題だった？

•

問題はない、あえて言うならば

「（犯罪を）想定」しなかったこと！

– クレジットカード犯罪は十分予期できたこと。

•

日本の環境が犯罪に最適であった！？

– 24時間稼働のコンビニＡＴＭ – コンビニの集中化、過密化 – ネットによる情報共有 – そして、サイバー犯罪 ネット社会の便利さ は犯罪者にとって 有利？

アジェンダ

•

最近の話題を通して

– サイバー犯罪、特に個人や組織が被害に遭う場 合を想定して

•

サイバー攻撃の方法について

– なぜ、いとも簡単に攻撃されるのか、そして成功 するのか？

•

まとめ

なぜ攻撃が容易か？

• 空き巣と同じで「戸締まり」の悪いサイトが存在する – 空き巣は一日の行動範囲はわずか数Kmから数十Km – ネットでは世界中を簡単に俯瞰できる！ • 空き巣と同じで「様々な道具」を使いこなせる – 空き巣が使える道具は高々持ち運べるものぐらいで使いこなす にはかなりの熟練を要する – ネットでは最新の機材が、誰でも使いこなせるように準備されて いる。

では対策？

•

アンチマルウェアソフト（総合セキュリティソフ

ト）があるから大丈夫！？

– 優れたセキュリティソフトもあるし_… – それにFirewallも実装されているし… – もうこれで十分安全？

•

本当？

– 99.99％安全としても「万が一」は有り得る – それも不特定多数としても？？？

セキュリティは総合技術

•

セキュリティは簡単ではない！

– 物理的に例えれば_… • ドアに鍵をかける事で十分か？ – 統合セキュリティソフトは鍵をかける事！ • せめて金庫を！ • せめて監視カメラを！ • せめて防犯装置を！

早期発見・早期対策

•

予防はもちろんのこと、サイバー攻撃に対する

早期発見、そして適切な早期対策が必要！

高度化したサイバー攻撃に対しては、専門的技

能を有する技術者集団でなければ対応出来ない

特に、「定型」なセキュリティは存在しない。組織に 見合った最適なセキュリティを施す必要がある。

セキュリティは総合技術

•

セキュリティは簡単ではない！

– 攻撃するものは誰か？ • すべてを想定することの困難さ – 守るべきものは何か？ • 意外と出来ていない自己分析

言うは易し、行うは難し

最後に復習

•

情報セキュリティマネジメント試験

– 2016年4月11日実施 – 情報セキュリティマネジメント試験は、平成28年 の春期より実施開始が予定されている情報処理 に関する新しい国家試験です。 主にユーザ企業における情報管理担当者やセ キュリティ業務担当者を対象_{としていて、ITの安} 全な利活用を推進するための基本的知識・技能 を有することを認定する内容となっています。

問題

• 午後の部（問１）その一部 • 標的型攻撃メールの脅威と対策に関する次の記述を読んで，設問1，2 に答えよ。 – Y社は，事務用機器を主力商品とする販売代理店である。従業員数は1,200名であり， 本社には営業部，情報システム部，総務部などがある。 〔PCのマルウェア感染〕 ある日，情報システム部は，Y社内の1台のPCが大量の不審なパケットを発信してい ることをネットワーク監視作業中に発見し，直ちに外部との接続を遮断した。 情報システム部による調査の結果，営業部に所属する若手従業員G君が，受信した 電子メール(以下，電子メールをメールという)の添付ファイルを開封したことが原因で， G君のPCがマルウェアに感染し，大量のパケットを発信していたことが判明した。幸い にも，情報システム部の迅速な対処によって，顧客情報の漏えいなどの最悪の事態は 防ぐことができた。（以下略） – Ｅ課長： 今回のような標的型攻撃メールなどへの対策に当たっては，従業員一人一人 の情報セキュリティ意識を向上させる地道な活動が必要だと思う。まずは，実際に攻 撃を受けた場合にも一人一人が適切に対応できるかを定量的に測 定し評価できるようにしていきたい。そのための全社的な取組みも 情報システム部で実施してもらえないだろうか。 – Ｓ主任： 承知いたしました。検討し実施したいと思います。

問題（続き）

• 本文中の下線について，E課長の提案に応える取組みはど れか。解答群のうち，最も適切なものを選べ。 – （A）標的型攻撃メールについて，従業員のPCがマルウェア感染しな いために注意すべき事項を標語として作成して掲示する。 – （B）標的型攻撃メールへの対策を題材とするDVD上映会を年に2回 開催し，従業員の出席率を確認する。 – （C）標的型攻撃メールを起因とするインシデントについて，他社で発 生した事例を月に1回，イントラネット上の掲示板で紹介する。 – （D）模擬の標的型攻撃メールを従業員に期間を空けて何回か送付 し，添付ファイル開封後の報告完了率，報告完了までに要した時間 などの変化を調査する。

問題（続き）

• 本文中の下線について，E課長の提案に応える取組みはど れか。解答群のうち，最も適切なものを選べ。 – （A）標的型攻撃メールについて，従業員のPCがマルウェア感染しな いために注意すべき事項を標語として作成して掲示する。 – （B）標的型攻撃メールへの対策を題材とするDVD上映会を年に2回 開催し，従業員の出席率を確認する。 – （C）標的型攻撃メールを起因とするインシデントについて，他社で発 生した事例を月に1回，イントラネット上の掲示板で紹介する。 – （D）模擬の標的型攻撃メールを従業員に期間を空けて何回か送付 し，添付ファイル開封後の報告完了率，報告完了までに要した時間 などの変化を調査する。 演習は無駄ではない、ただ し、その後が大事

改めて、セキュリティの本質

•

フラットな世界

（高い塀で守られた世界ではない） – 今までは「守られた」世界 • いくつもの障壁_{… それは財力であったり、技術であったり、はたまた} 地形であったり、言葉であったり_… – 攻撃側の障壁はない • 普通の小中学生でも攻撃可能 – 小中学生だからこそ？ – 対策の大前提 • 「知る」こと。 • そして戦場である事を認識する事！

そして最後の最後に！

• あなたの組織（自治体、病院、銀行）も被害！ – 確実に狙われているあなたの会社 • 知らない事ほど恐ろしい事はない！！ • 理解されないセキュリティ！ – 本当は難しいセキュリティ技術 • 総合技術 • 付け刃的対策では絶対無理！ – しかし「保険」と同じ性質もある • 適切なセキュリティを – １億円のものに１円のセキュリティは論外だが、１円に１億円 も同等

そして最後の最後に！

• あなたの組織（自治体、病院、銀行）も被害！ – 確実に狙われているあなたの会社 • 知らない事ほど恐ろしい事はない！！ • 理解されないセキュリティ！ – 本当は難しいセキュリティ技術 • 総合技術 • 付け刃的対策では絶対無理！ – しかし「保険」と同じ性質もある • 適切なセキュリティを – １億円のものに１円のセキュリティは論外だが、１円に１億円

まず、知ること！

 自分（組織）の状況…安全でないことを！ 危機管理とは「被害を 予測、想定すること！」