2
自己紹介: 後藤厚宏
情報セキュリティ大学院大学 研究科長・教授
内閣府 SIP プログラムディレクタ
(重要インフラ等のサイバーセキュリティ確保)
1979年東京大学工学部卒。1984年 同 情報工学 博士(工
博)。同年日本電信電話公社(現NTT)に入社。約27年間情報
技術に関する研究開発に従事。2007年情報流通プラットフォー
ム研究所所長、2010年サイバースペース研究所所長を歴任。
2011年に情報セキュリティ大学院大学教授に転身し人材育
成にも尽力。
2015年より内閣府 SIP “重要インフラ等のサイバーセキュリ
ティ確保” プログラムディレクタ 。
7
一般ユーザ
PC
一般ユーザ
PC
一般社員の
PC
管理者のPC
攻撃者
メールサーバ ファイルサーバ等
データ
ファイアウォール
IDS・IPS等
基幹システム等
データ
内部事情を踏まえた
巧妙な偽装メール
偽装メールのURLをクリックすると
マルウエアをダウンロードしてしまう
新種のマルウエアは、アンチ
ウイルスで検知できない
インター
ネット
標的となる
機密情報
データを暗号化して
丸ごと盗み出し
OA環境
への攻
撃型
攻撃の手口 (標的型攻撃、APT)
攻撃者による繰り返し攻撃(長期間・
密かに)
• 組織内の別PCに感染
• PCにバックドア(裏口)
⇒遠隔操作(C&C)
標的となる
機密情報
8
標的型攻撃のサイバーキルチェーン
偵察 • 社内事情調査
武器化 • マルウェアなどの準備
配送
• メール配信
• Webの仕掛け
エクスプ
ロイト
• マルウェア感染(メール
開封、Webアクセス)
インス
トール
• 管理者PCにバックドア
(裏口)
遠隔操
作
• 遠隔操作(C&C)通信
• ファイルサーバアクセス
目的達
成
• データ(顧客情報等)の
盗み出し
監視、送信アドレスの受信拒否
設定(メールサーバ)
★組織内・外への注意喚起★
システムのスキャンによる検知
監視、URLブロック、NW遮断
(システムスキャン、フォレンジッ
クによる検知)
防御活動
9
一般ユーザ
PC
一般ユーザ
PC
一般社員の
PC
管理者のPC
攻撃者
メールサーバ ファイルサーバ等
データ
ファイアウォール
IDS・IPS等
基幹システム等
データ
インター
ネット
情報のコピー
OA環境
への攻
撃型
攻撃の手口 (標的型攻撃:年金機構の場合)
年金情報
約100万件
の年金情報
年金機構・厚労省・NISCから詳細な報告書
内閣サイバーセキュリティセンター NISC
10
標的型攻撃:年金機構での攻防
偵察 • 社内事情調査
武器化 • マルウェアなどの準備
配送
• メール配信
• Webの仕掛け
エクスプ
ロイト
• マルウェア感染(メール
開封、Webアクセス)
インス
トール
• 管理者PCにバックドア
(裏口)
遠隔操
作
• 遠隔操作(C&C)通信
• ファイルサーバアクセス
目的達
成
• データ(顧客情報等)の
盗み出し
4/22
5/8
5/18
5/19 5/20
5/22
5/20
5/8
遮断
受信拒否
メール
開封
メール
開封
メール
開封
メール
開封
遮断
遮断
遮断
注意
喚起
個人メールアドレス
の漏えい
厚労省
年金局
年金機構
13
サイバー攻撃のターゲットは重要インフラへ
攻撃者
サイバー攻撃
重要インフラ
内閣サイバーセキュリティセンター(NISC)が13分野を指定
化学
ガス
金融
政府・行政サービス
情報通信
物流 石油 クレジット
鉄道 電力
航空
医療 水道
14
サイバー攻撃のターゲットは重要インフラへ
【事例1】ウクライナ西部でサイバー攻撃による大規模停電
サイバー攻撃によって
大規模な停電に至っ
た初めての事例
ウクライナの西部の都市イヴァーノ=フラン
キーウシクで
140万世帯の停電
、復旧まで
に
約6時間
を要する
標的型メールによる攻撃が原因とされる
ウクライナのニュース番組で報道(12月24日)
http://ru.tsn.ua/ukrayina/iz-za-hakerskoy-ataki-obestochilo-polovinu-ivano-frankovskoy-oblasti-550406.html
(2015年12月)
【事例2】欧州鉄道保護システムに脆弱性(2016年1月発表)
【事例3】イラン核施設・原子力発電所へのサイバー攻撃(2010年)
列車の競合進路を防止する鉄道保護システムの脆弱性を突
いた攻撃により衝突事故等の重大な事故が引き起こされる
可能性指摘
Windowsの未知の脆弱性を利用、USBデバイスを経由した多
段階の感染により外部と遮断されたシステムでウラン濃縮用
遠心分離機を破壊(Stuxnet)
出展:Security Affairs
出展:Kasperski
16
AV家電ネットワーク 医療・ヘルスケアネットワーク
ゲートウェイ
蓄電池・
コジェネ
HEMSネットワーク
電力会社
省エネ制御
家電・照明
EV/HV
スマート
メータ
太陽光
発電
HEMS
端末
医療・ヘルスケア機器 ウェラブル
機器
医療・
ヘルスケア
サーバ
ロボット介護
ITS&自動車安全機能の連携
テレマティクス端末、
データレコーダ等
その他自動車サービス
後付
車載器
車載 ECU
車車間通信 持込機器
ITS路側機
自動運転
4K・8K
コンテンツ
ホーム
サーバ
ネットワーク家電
サービス提供サーバ
(クラウド)
IoT機器が重要インフラへサイバー攻撃
脆弱性のあるIoT機器が大規模DDoS攻撃の踏み台
生活機器を遠隔から監視、
操作するサービスが増加
=遠隔サーバの乗っ取りに
よる生活機器への攻撃も
何がつながっているか
分からない
=脆弱性な生活機器が
攻撃の入口に
いたる所で生活機器と
モバイルデバイスが接続
=モバイルデバイスが
脅威の運び役に
分野ネットワーク間の連携
ができていない
=他分野の生活機器の
思わぬ動作が影響
多くの生活機器が
サーバと通信
=プライベートに係る情報の
漏えい、改ざんの危険性
出典:一般社団法人重要生活機器連携セキュリティ協議会 提言
IoTシステム
18
重要インフラとサイバーセキュリティ
インフラ事業者・官公庁の
業務用ネットワーク
外部ネットワーク
(インターネット等)
事業者オフィス
OA環境への
サイバー攻撃
公開サーバへ
サイバー攻撃
重要インフラ等(ex 公共設備、上下水道、交通 他)
制御ネットワーク
IoTシステム
重要インフラの
制御・監視
通常は
接続無し!
サイバー攻撃
(内部犯行, 侵入者) サイバー攻撃
(遠隔保守時)
19
攻撃者
PC
Web GW
インター
ネット
クローズド
NWへの
攻撃型
攻撃の手口
(Stuxnet イラン核施設への攻撃 2010年頃)
PC
制御機器
(PLC)
PC
(制御機器の
保守用)
産業機械
(例 遠心分
離機)
ネットワークA
ネットワークB
産業システム攻撃専用の
マルウエアがPCに感染
感染が拡大・潜伏
USBメモリに感染
(or 保守端末等)
ネットワークBの
PCに感染
制御機器
(PLC)に
感染
産業システムを攻撃
誤動作
業務用ネットワークA
制御用ネットワークB
20
Stuxnetのサイバーキルチェーン
偵察
• 社内事情調査
• 名刺交換
武器化 • マルウェアなどの準備
配送
• メール配信
• Webの仕掛け
エクスプ
ロイト
• 保守者PCにマルウェア
感染
インス
トール
• 保守者USBに感染
大変だ!
配送 • 保守者がUSB持ち込み
エクスプ
ロイト
• 制御PCマルウェア感染
インス
トール
• PLC感染
遠隔操
作
• 制御情報改ざん
目的達
成
• 産業機械が誤動作
21
OA環境
(IT)
外部ネットワーク
(インターネット等)
重要インフラとサプライチェーンリスク
(不正機能が組み込まれるリスク)
重要インフラ等
(ex 公共設備、上下水道、交通 他)
標的型攻撃
OA環境
(IT)
IoTシステム
標的型攻撃
制御ネットワーク(OT)
機器ベンダー・サプライヤー
制御機器・ソフトウェアの
製造ライン(OT)
不正プログラム
混入
マルウェアの侵入
不正なファーム
ウェア更新
不正機能
の組込み
保守端末
22
サイバーキルチェーン(調達時のリスク)
偵察 • 社内事情調査
武器化 • マルウェアなどの準備
配送
• メール配信
• Webの仕掛け
エクスプ
ロイト
• 製造ラインのPCにマル
ウェア感染
インス
トール
• 製品(機器、ソフト)に
感染
大変だ!
偵察
• 社内事情(サプライ
チェーン)調査
配送 • 製品の調達
エクスプ
ロイト
• 制御PCマルウェア感染
インス
トール
• PLC感染
遠隔操
作
• 制御情報改ざん
目的達
成
• 産業機械が誤動作
機器ベンダー・サプライヤー
23
OA環境
(IT)
外部ネットワーク
(インターネット等)
重要インフラとサプライチェーンリスク
(業務情報が悪用されるリスク)
標的型攻撃
OA環境
(IT)
IoTシステム
制御ネットワーク(OT)
機器ベンダー・サプライヤー
制御機器・ソフトウェアの
製造ライン(OT)
保守端末
内部犯行, 侵入者
不正機能の
埋込み
業務情報漏えい
(図面・マニュアル)
標的型攻撃
業務情報漏えい
(図面・マニュアル)
標的型攻撃のリスクは個人情報漏えいだけではない! 重要インフラ等
(ex 公共設備、上下水道、交通 他)
24
サイバーキルチェーン (「偵察」のリスク)
偵察 • 社内事情調査
武器化 • マルウェアなどの準備
配送
• メール配信
• Webの仕掛け
エクスプ
ロイト
• マルウェア感染
インス
トール
• バックドア(裏口)準備
遠隔操
作
• ファイルサーバアクセス
目的達
成
• データ(システム情報、
保守情報等)の盗み出し
偵察
• 制御システム情報の調
査
武器化 • マルウェアなどの準備
配送
• 調達機器への埋め込み
• 内部犯行
エクスプ
ロイト
• マルウェア感染
インス
トール
• バックドア(裏口)準備
遠隔操
作
• 制御システムへのアク
セス
目的達
成
• インフラへの妨害
大変
だ!
個人情報
でなくて良
かった
25
OA環境
(IT)
重要インフラとサプライチェーンリスク
標的型攻撃
OA環境
(IT)
IoTシステム
標的型攻撃
制御ネットワーク(OT)
機器ベンダー・サプライヤー
制御機器・ソフトウェアの
製造ライン(OT)
不正プログラム
混入
不正機能
の組込み
保守端末
内部犯行, 侵入者
不正機能の
埋込み
業務情報漏えい
(図面・マニュアル)
野良IoT機器
不正なオペレーション
DDoS攻撃
マルウェア侵入
脆弱な保守端末
マルウェアの侵入
不正なファーム
ウェア更新
業務情報漏えい
(図面・マニュアル)
重要インフラ等
(ex 公共設備、上下水道、交通 他)
重要インフラ等におけるサイバーセキュリティの確保
目 的 国民生活の根幹を支える重要インフラ等をサイバー攻撃から守るため、制御・通
信機器の真贋判定技術(機器やソフトウェアの真正性・完全性を確認する技術)を
含めた動作監視・解析技術と防御技術を研究開発し、重要インフラ産業の国際競争
力強化と2020年東京オリンピック・パラリンピック競技大会の安定的運営に貢献。
対象機関 大学、企業、国立研究開発法人等 管理法人:NEDO
実施期間 2015年度から5年間(予定)。
予算規模 2015年度:5億円、2016年度:25.5億円(総合科学技術・イノベーション会議が研
究開発の進捗や有効性等について毎年度評価を行い、配分額を決定する。)
プログラムディレクター(PD) 後藤厚宏 情報セキュリティ大学院大学 研究科長・教授
制御・通信機器、
IoT向けの
真贋判定技術
システムの
動作監視・解析
・防御技術 セキュリティ人材の育成
適合性確認のあ
り方
情報共有プラット
フォーム技術
(a)コア技術 (b)社会実装技術
SIP研究開発テーマ
大学、企業、
国立研究
開発法人等
研究者
社会実装
(重要インフラ)
オリンピック
の安心・安全に貢献
(2016年10月06日現在)
研究者
