withコロナ時代のサイバーセキュリティ脅威動向と対策

(1)

準備はできていますか？

withコロナ時代の

サイバーセキュリティ脅威動向と対策

キヤノンマーケティングジャパン株式会社

セキュリティエバンジェリスト

西浦真一, CISSP

(2)

解析

研究

発信

キヤノンマーケティングジャパン

サイバーセキュリティラボ

マルウェア情報局

Search

(3)

＃

本日お話しすること

1. withコロナ時代の

_{サイバーセキュリティ脅威動向}

2. 脅威への対策

(4)

＃

本日お話しすること

1. withコロナ時代の

_{サイバーセキュリティ脅威動向}

(5)

(6)

マルウェアの動向

50

100

150

200 1月

2月

3月

4月

5月

6月

国内のマルウェア検出総数の推移

100 %

175 %

148 %

(%)

165 %

6

171 %

181 %

2020

年

(7)

2019年10月から2020年2月にかけて多くの感染被害

国内で少なくとも3,200の組織が感染

2月以降、活動は確認されていなかったが、

7月17日頃から活動再開を確認

(8)

Emotetの特徴

モジュール型



情報窃取



スパムメールの送信



他のマルウェアをダウンロードする

頻繁な更新と機能拡張



Emotet本体の更新



モジュールの追加

感染拡大



内部：SMBの悪用（脆弱性、パスワードリスト攻撃）



外部：スパムメール

etc 様々な機能を持つ

8

(9)

③

Emotetに感染

Webサーバー

侵入

http://~~

①

メールに記載されたURLから

Wordファイルをダウンロード

して開く

有効化

①

メールに添付されたWord

ファイルを開く

②

マクロを有効化する

Webサーバー

感染活動

④

感染を永続化

⑥

様々なモジュールを

ダウンロードし実行

情報窃取

スパム

メール

送信

SMBを

悪用する

横展開

⑤

Emotet本体を更新

感染の流れ

ユーザ操作

(10)

メールを介した感染拡大

出典： IPA -「Emotet」と呼ばれるウイルスへの感染を狙うメールについて

https://www.ipa.go.jp/security/announce/20191202.html

新型コロナウイルスを題材とした攻撃メールの例

感染端末から盗み出された情報が

使用されているケースもあり、

一見して不審と判断できるほどの

不自然な点は少なく、注意が必要

(11)

想定される被害

他のマルウェアのダウンロード



バンキングマルウェア



ランサムウェア

etc

情報窃取



メール本文からの情報漏えい



オンラインサービスへの不正ログイン



なりすましメールの送信

様々な被害が想定される

(12)

バックアップ等により、ランサムウェア被害に

備えている企業にとっても、

ランサムウェアがより大きな脅威に

凶悪化するランサムウェア

ドキシング（晒し）による二重恐喝

暗号化されたファイルを復号するための

身代金要求に加え、

「事前に盗み出されたデータを公開する」と脅し、

更なる身代金を要求する手口が登場

身代金の支払いを拒否したことにより、機密情報が

インターネット上に公開されてしまったケースも確認

投影のみ

(13)

(14)

ネットショッピング利用の増加

4月は緊急事態宣言で全国的に外出自粛を余儀なくされたため、

ネットショッピングで物を購入する動機が強まったことがうかがえる

コロナ禍における生活様式の変化

出典：総務省統計局 –家計消費状況調査ネットショッピングの状況について（二人以上の世帯）－2020年（令和2年）４月分結果－

https://www.stat.go.jp/data/joukyou/pdf/n_joukyo.pdf

(15)

フィッシング攻撃が増加

件数

4,322

5,577 6,218

8,034 7,760 8,208

6,653

7,630

9,671

11,645

14,245

16,811

0 5000

10000

15000

20000

7月

8月

9月 10月 11月 12月 1月

2月

3月

4月

5月

6月

国内のフィッシング報告件数

(16)

SNS の短縮 URL機能の悪用や

正規サイトのドメインをURLの一部に含んだフィッシングサイト

ネットショッピングサイトを装うフィッシング

出典：フィッシング対策協議会 –Amazon をかたるフィッシング (2020/05/29)

https://www.antiphishing.jp/news/alert/amazon_20200529.html

転送先の URLの例

スマートフォン等、小画面で見ると、

正規サイトのURLに見える



https://amazon.co.jp.gb.signin.id-●●●●.●●●●.link/

amazon/



https://amazon.co.jp.gb.signin.id-●●●●.●●●●.com/

amazon/

(17)

添付ファイルを開き、実行すると

他のマルウェアがダウンロードされる

新型コロナウイルス感染症を題材としたばらまきメール

WHOを騙ったばらまきメール

(18)

新型コロナウイルス感染症を題材としたばらまきメール

出典： JC3 –新型コロナウイルスに乗じた犯罪 https://www.jc3.or.jp/topics/coronavirus/benefits.html

特別定額給付金を餌に

メールやSMSにて、実在する企業や銀行を騙り、

フィッシングサイトへ誘導

(19)

大量発生する偽サイト

1,000以上の偽サイト

首相官邸や省庁、地方自治体、企業の

Webページと酷似した偽サイトを大量に確認

今後、フィッシングなどに悪用される可能性

偽のサイトについて注意喚起する

注意喚起を行う、内閣サイバーセキュリティセンター（NISC）の

(20)

テレワーク

環境を狙う

(21)

テレワーク環境の急増

新型コロナウイルス感染症防止対策として

テレワークを導入する企業が急増

東京商工会議所が会員企業を対象に実施した

調査では、テレワーク導入済み企業の割合が

3月と比べ、6月は

41.3 %

増加

新型コロナウイルスの影響による環境変化

導入済み

検討中

予定なし

0

50

100 3月

6月

テレワークの実施割合

26.0 %

67.3 %

54.5 %

_9.7

_%

(%)

23.0 %

19.5 %

(22)

情報通信技術(ICT)を活用した、場所や時間にとらわれない柔軟な働き方

テレワークの種類

テレワーク

参考：一般社団法人日本テレワーク協会 – テレワークとは

https://japan-telework.or.jp/tw_about-2/

一般家庭のネットワーク環境や端末は、オフィス内の環境と比べ、

セキュリティ強度が低くなりがち

なので、注意が必要

モバイル

ワーク

在宅勤務

モバイル

_ワーク

サテライト

_オフィス

○○.○

%

○○.○

%

自宅回線の利用率

私有端末の利用率

投影のみ

(23)

テレワークで必要となる家庭内のIoT機器が狙われる

一般家庭のネットワーク環境を狙う攻撃例

2019年に観測された攻撃パケットの内訳

Webカメラやホームルータなどで

使用される管理インタフェース

telnet(23/TCP), SSH(22/TCP)や

Web管理インタフェースを狙った攻撃が増加

テレワーク需要で新たに接続される

IoT機器が狙われる可能性

(24)

私有端末のOSは大丈夫ですか？

2020年1月14日、Windows 7のサポートが終了

日本国内におけるWindows 7の稼働台数は

2020年1月時点で法人が

753 万台

、個人が

638 万台

サポート終了後も多くのWindows 7 PCが稼働中

サポート終了後のOSを狙う攻撃が増加する可能性

参考： Microsoft | Windows Blogs – Windows 7 サポート終了まで 3 週間。最新環境への移行を強くお勧めします

https://blogs.windows.com/japan/2019/12/24/windows7_eos_jp/l

投影のみ

(25)

半年で158件の脆弱性

2019年1～6月の間に登録された脆弱性の内、

Windows 7に関連する脆弱性は158件。

うち、 87

件

が深刻度が高いCVSS7.0以上の脆弱性

今後、危険度が高い脆弱性が発見されても、

サポート期限終了後は、原則として

セキュリティ更新プログラムが提供されないため、

結果として、脆弱性を悪用した攻撃による

情報漏洩や意図しないサービス停止などの被害が

生じる可能性が高くなる

サポート終了後のOSを狙う攻撃が増加する可能性

Windows7の脆弱性内訳

（2019年1～6月実績）

CVSS 7.0以上

87 件,

55 %

CVSS 4.0～6.9

48 件,

30 %

CVSS 4.0未満

23 件,

15 %

(26)

脆弱性を悪用するマルウェア

脆弱性悪用の増加

※検出名に”CVE-”を含むマルウェアの検出数（ESET） 1: IPA | 脆弱性対策情報データベース JVN iPediaの登録状況

https://www.ipa.go.jp/security/vuln/report/JVNiPedia2019q4.html

6378

7414

6870

7394

9977

9433

0 2000

4000

6000

8000

10000

0

100

200

300

400 2017年上半期 2017年下半期 2018年上半期 2018年下半期 2019年上半期 2019年下半期

検出数

(%

)

脆弱性の新規登録件数

１

100 %

139 %

153 %

₁₂₆

_%

182 %

324 %

(27)

RDPの脆弱性：BlueKeep(CVE-2019-0708)

2019年5月に発見。

攻撃モジュールがリリースされた9月6日以降、全世界でクラッシュ数が増加

脆弱性の悪用例

脆弱なコンピューターにおけるRDP関連サービスのクラッシュ数

投影のみ

(28)

₂₈

RDPを使用した攻撃の増加

RDPをインターネット上に

公開している機器が世界的に増加

(※1)

BlueKeep(CVE-2019-0708)

DejaBlue (CVE-2019-1181/1182)など、

RDPの深刻な脆弱性のパッチが

未適用の機器も確認されており注意が必要

テレワークで使用するサービスを狙う攻撃①

0 2500

5000

7500

10000

12500

1月

2月

3月

4月

5月

6月

国内のRDPを使用した攻撃検出数の推移

100 %

3,116

%

2,485

%

(%)

3,501

%

(※2)国内で RDP.Attack.Generic にて検出した攻撃数をもとに作成

(※1)参考 - Shodan - Trends in Internet Exposure

https://blog.shodan.io/trends-in-internet-exposure/

(※2)

ランサムウェアの感染経路や

窃取された認証情報がダークウェブ上で

売買されるなど、

様々な被害につながる可能性

11,729

%

3,704

%

(29)

3月下旬以降、ビデオ会議ツールを装った偽アプリにより、

偽のセキュリティ警告画面表示や、偽のサポートサイトに誘導される被害が発生

テレワークで使用するサービスを狙う攻撃②

注意喚起を行う、IPA情報セキュリティ安心相談窓口の

公式Twitterアカウント（@IPA_anshin）

(30)

＃

本日お話しすること

1. withコロナ時代の

_{サイバーセキュリティ脅威動向}

(31)

脅威への対策

脆弱性への対応

• セキュリティパッチの適用

• 脆弱性診断の活用

製品の適切な利用

• 適切な設定で使用する

• 最新の状態を保つ

• 複数の層で守る

セキュリティ教育と体制構築

• 脅威を知ってもらう

• インシデント発生時の対応を明確化

情報収集と情報共有

• 脅威情報の収集

• 組織内および組織間の情報共有

• ガイドラインの参照・適用

(32)

Web会議サービスを使用する際のセキュリティ上の注意事項

Web会議サービスに関するガイドライン

出典： IPA - Web会議サービスを使用する際のセキュリティ上の注意事項

https://www.ipa.go.jp/security/announce/webmeeting.html

Web会議サービスを選定する際に考慮すべきポイントや、

安全に開催するためのポイントを紹介

Web 会議サービス選定時に考慮すべきポイント



会議データの所在



暗号化



会議参加者の確認・認証方式



プライバシーポリシー



脆弱性と企業姿勢

(33)

テレワークセキュリティガイドライン（総務省）

これからテレワークを導入する企業において、

情報セキュリティ対策に関する検討の参考としてもらうことを

目的として策定。多くの企業にとって参考としやすいように、

日本企業の多くで採用されている情報セキュリティ対策の

考え方をベースとして対策を説明

緊急事態宣言解除後のセキュリティ・チェックリスト（ JNSA ）

一般家庭のネットワーク環境など、オフィス内のネットワークと比べ、

セキュリティ強度の低い環境で使用した端末等を、

再びオフィスで使用する際の注意点・懸念点などをチェックリスト化

テレワークのセキュリティに関するガイドラインやチェックリスト

withコロナ時代のサイバーセキュリティ脅威動向と対策

準備はできていますか？

withコロナ時代の

サイバーセキュリティ脅威動向と対策

キヤノンマーケティングジャパン株式会社

セキュリティエバンジェリスト

西浦 真一, CISSP

解析

研究

発信

キヤノンマーケティングジャパン

サイバーセキュリティラボ

マルウェア情報局

Search

＃

本日お話しすること

1. withコロナ時代の

サイバーセキュリティ脅威動向

2. 脅威への対策

＃

本日お話しすること

1. withコロナ時代の

サイバーセキュリティ脅威動向

マルウェアの動向

50

100

150

200

1月

2月

3月

4月

5月

6月

国内のマルウェア検出総数の推移

100

%

175

%

148

%

(%)

165

%

6

171

%

181

%

2020

年

2019年10月から2020年2月にかけて多くの感染被害

国内で少なくとも3,200の組織が感染

2月以降、活動は確認されていなかったが、

7月17日頃から活動再開を確認

Emotetの特徴

モジュール型



情報窃取



スパムメールの送信



他のマルウェアをダウンロードする

頻繁な更新と機能拡張



Emotet本体の更新



モジュールの追加

感染拡大



内部：SMBの悪用（脆弱性、パスワードリスト攻撃）



外部：スパムメール

etc 様々な機能を持つ

8

③

Emotetに感染

Webサーバー

侵入

http://~~

西浦真一, CISSP

_{サイバーセキュリティ脅威動向}

_{サイバーセキュリティ脅威動向}

出典：総務省統計局 –家計消費状況調査ネットショッピングの状況について（二人以上の世帯）－2020年（令和2年）４月分結果－