http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
情報セキュリティ事案の現状
インタ ネ トの情勢
~インターネットの情勢~
警察庁情報通信局情報技術解析課
サイバ
対策技術室
サイバーテロ対策技術室
(サイバーフォースセンター)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
講演内容
情
• 情報セキュリティ
• 情報セキュリティを取り巻く情勢
情報セキュリティを取り巻く情勢
• インターネット上の脅威を知ろう
– 個人にかかる脅威・対策
– 企業にかかる脅威・対策
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
情報セキュリティとは
情報セキ リティとは
• 情報セキュリティとは
– 情報の機密性、完全性、可用性を維持すること。
(JIS Q 27002)
(
)
• 手順
– 情報資産の洗い出しと分類
ど
ど
うな情報資産がある
を
確 する
• どこにどのような情報資産があるのかを明確にする
• その情報資産を機密性、完全性、可用性について分類する
– リスクアセスメント
リスクアセスメント
• リスク(脅威・ぜい弱性)の検討
• リスクへの対応を明確にする
セキュリティ管理策の策定
– セキュリティ管理策の策定
• 人的対策
• 技術的対策
物理的対策
• 物理的対策
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
インターネットの利用動向
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
世帯におけるインターネット利用に伴う被害経験
(複数回答可)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
企業におけるインターネット利用に伴う被害経験
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
情報セキュリティを取り巻く情勢
• 情報通信インフラ、特にインターネットが社会
基盤として定着している
基盤として定着している。
しかし・・・・
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
脅
個人にかかる脅威
グ
• フィッシング詐欺
• クライムウェア
クライムウェア
– Zeus/Zbot、
ICE
Ⅸ、Citadel、Spyeye、etc.
パムメ
• スパムメール
• 改ざんされたWebページへのアクセス
改ざんされたWeb
ジ
のアクセス
• 標的型メール攻撃
プ
• 不正なアプリ(スマホ)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
グ
フィッシング詐欺
シング詐欺とは
• フィッシング詐欺とは
– 銀行等の企業を装ってメールを送りメールの受信者
に実在する企業の偽ホ ムペ ジにアクセスさせて
に実在する企業の偽ホームページにアクセスさせて、
そのページにおいてクレジットカード番号や
ID・パス
ワードを入力させるなどして 不正に個人情報等を入
ワ ドを入力させるなどして、不正に個人情報等を入
手する行為
• 対象となる情報の例
対象となる情報の例
– クレジットカード番号・パスワード
– キャッシュカード番号
– キャッシュカ ド番号
– オンラインバンキング等の
IDやパスワード
IDやパスワ ド
出典:「フィッシング110番」(警視庁)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
グ
フィッシング詐欺(実例)
http://www.tattooartstudio-フィッシングサイト
es.com/floreseborboletas/thu
mbnails/japaneseupd/login_i
ndex.htm
ログインせずに正規サイトに移動
正規サイト
個人情報を入力
① 標的
被害者
① 標的型メール
(ダウンローダ)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
グ
フィッシング詐欺対策
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
グ
フィッシング詐欺対策
フィッシングサイト
http://www.tattooartstudio-es.com/floreseborboletas/thumbnails/japaneseupd/login_index.htm
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
クライムウェアとは
• クライムウェアとは、マルウェア(悪意あるソフ
トウェア)とよばれるプログラムのうち、特に犯
ウ ア) よ
れる
グラ
うち、特 犯
罪行為を目的として作成されたプログラムの
総称である
総称である。
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
Zeus/Zbotの動作概要
不正プログラム
ダウンロードサイト
攻撃者
事前に準備
事前に準備
1 Zbotダウンロード
・ 不審なメールを閲覧
不審なリンクをクリ ク
指令サーバ
・ 不審なリンクをクリック
・ 改ざんされたサイトの閲覧
etc
3 指令サ バ
4 設定ファイルダウンロード
・ 感染したZbotは設定ファイルをダウンロードし
その指示に従い動作する。
2 感染
3 指令サーバ
へ接続
オンライン
バンキング
5 オンラインバンキングへの接続
・ 感染したZbotはブラウザを監視し
感染
監視対象オンラインバンキングへの接続をチェック
6 不正なコ ドの追加
不正な画
面
6 不正なコードの追加
・ 感染したZbotは監視対象オンラインバンキングであれば
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
ジ
ざ
Webページ改ざん
ジ
ざ
• 最近、特に2013年4月以降Webページ改ざ
んされ、悪意あるサイトに誘導するケースが
され、悪意あるサイ
誘導するケ
多くみられた。
難読化された
JAVA Script
iframeタグの
挿入
目視で
p
の挿入
挿入
目視で
変化なし
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
難読化されたJ
S i t
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
ざ
改ざんされたサイトにアクセスすると
脆弱性のある正規のWebサイト
www.yyyy.co.jp
① 改ざん
②
Webページ閲覧
③ 誘導
http://www.yyyy.co.jp
④ マルウェアがダ
ウ
ドされる
ウンロードされる
一般の閲覧者
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
マルウェアに感染すると
• リモートアクセス
• キーロガー
キ ロガ
• 情報漏えい
• botに感染(攻撃の踏み台)
– DoS攻撃に利用
DoS攻撃に利用
– スパムメール送信に利用
Z
/Zb t等に感染
• Zeus/Zbot等に感染
– 口座番号、パスワード等を窃取
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
情報セキュリティ対策
情
資産
• 情報資産の管理
– 情報資産の洗い出し
情報資産の洗い出し
– 情報資産を保護するための対策
その他留意事項
• その他留意事項
– 踏み台対策
• 情報資産がなくてもBot等に感染し、踏み台に利用さ
れてしまうことから、情報資産を保護するための対策
と同様な対策を講じる必要がある
と同様な対策を講じる必要がある
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
資
人的対策
情報資産を保護するための対策
人的対策
– 不審なメールは開かない
– 不審なメールの添付ファイルをクリックしない
不審なメ ルの添付ファイルをクリックしない
– 不審なWebサイトは閲覧しない
– パスワード管理
技術的対策
技術的対策
– ウイルス対策ソフトの導入
– OS・アプリケーションは最新状態にしておく
OS アプリケ ションは最新状態にしておく
物理的対策
– (盗み見防止)
その他
– ソーシャルエンジニアリング対策
(断片的な情報は関係付けられる)
(断片的な情報は関係付けられる)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
脅
企業にかかる脅威
• 標的型攻撃
– DoS(Denial of Service)攻撃
oS( e a o Se
ce)攻撃
– 標的型メール攻撃
W bペ
ジ改ざん
• Webページ改ざん
• 不正アクセス
• 情報漏えい
踏み台(DNS)
• 踏み台(DNS)
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型攻撃とは
• 標的型攻撃
•
情報セキュリティ上の攻撃で 無差別に攻撃が行わ
•
情報セキュリティ上の攻撃で、無差別に攻撃が行わ
れるものでなく、特定の組織あるいはグループを標
的としたもの。
も
。
• 標的型メール攻撃
標的型攻撃の
種 特定の受信者に対してウイル
•
標的型攻撃の一種。特定の受信者に対してウイル
ス付きのメールを送ること。この場合、件名や文面
も受信者にカスタマイズされている。海外で
も受信者にカスタマイズされている。海外で
は、
”Targeted Trojan Attack”などと呼ばれる。
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
DoS(Denial of Service)攻撃
• BotによるDDoS(Distributed DoS)攻撃
指令サ バ
Bot
ボットネット
指令サーバ
被害発生
Bot
攻撃
攻撃命令
被害サーバ
Bot
DDoS攻撃に用いられる
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
ハクティビズムによる攻撃
DD S攻撃
• DDoS攻撃
• Web改ざん
攻撃
• DNS攻撃
• リダイレクト
• データベース漏えい
• 管理者権限の奪取
Lulz Security
Anonymous
• dox
Anonymous
ハクティビズムとは
ハクティビズムとは
ハクティビズムとは、社会的・政治的な主張
のもとに、ハッキング活動を行うことである。
「ハクティビズム」という語は、ハッキング
ビズ
を合わ
(hacking)とアクティビズム(activism)を合わ
せた語である。
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
H24.6 Anonymousによるサイバー攻撃
財務省のサイトが一部改ざ
ん
最高裁判所のサイトが閲覧
困難
部
政党
が
覧
一部の政党のサイトが閲覧
困難
国土交通省・霞ヶ浦河川事
国土交通省・霞ヶ浦河川事
務所のサイトを改ざん
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型メール攻撃の事例
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型メール攻撃
巧妙化する手口
攻撃者
③ 不正プログラム
④ 情報窃取
攻撃者
③ 不正プログラム
ダウンロード
④ 情報窃取
① 標的型メール
画像に偽装
・ 不正な指令等伝達
像
イ
送受 偽装
(ダウンローダ)
→ 画像ファイル送受に偽装
・ 外部サイトに接続
→ プログラムのダウンロード
目的達成後
被害者
・ 目的達成後
→ 不正プログラムの消去
② 感染
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型メール攻撃の流れ
• ソ シャルエンジニアリング
組織情報収集
• メールアド
• ソーシャルエンジニアリング
• SNS(ソーシャルネットワーク)
メ ルアド
レス
• 会議等の
スケジュー
メール攻撃
•
文書・画像ファイル
• ゼロデイ攻撃
スケジュー
ル
• ワ ド
機密情報流出
ゼロデイ攻撃
• ワード
• エクセル
• etc.
機密情報流出
• 企業秘密
産
• 知的財産
• 顧客情報
• 国家機密
• バックドア
バックドア
国家機密
• スパイウェア
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型メール攻撃の特徴
攻撃者は 攻撃対象
企業 組織及び人に係る情
攻撃者は、攻撃対象の企業、組織及び人に係る情
報を事前に入手(調査)している。
ソ シ ルエンジ アリング
– ソーシャルエンジニアリング
– SNS
実在する関係者
メ
ド
やそれ 酷似 た
実在する関係者のメールアドレスやそれに酷似した
メールアドレスが使われている。
不審感 警戒感なく開けてしまう
– 不審感・警戒感なく開けてしまう。
メールの内容も、関係者しか知り得ない内容である。
感
容
– 違和感なく、メールの内容を信用してしまう。
対象が限定的であるため表面化しにくい。
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
標的型メール攻撃の対策
人的対策
人的対策
– 社員・職員教育
ソ シャルエンジニアリング対策
• ソーシャルエンジニアリング対策
• メール閲覧時の注意事項
– 予防接種(イノキュレーション)
予防接種(イノキ レ ション)
技術的対策
– ウイルス対策ソフトの導入・更新
ウイルス対策ソフトの導入 更新
– OS・アプリケーションの更新
– SPF(Sender Policy Framework)
(
y
)
物理的対策
– 事務室内への立ち入り制限
– 印字物の廃棄
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
SPF(Sender Policy Framework)とは
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
メール閲覧時の注意事項
• 差出人のメールアドレス
差出人のメ ルアドレスを確認したか?
– 差出人のメールアドレスを確認したか?
– From ~は簡単に詐称できる。
• 本文・内容
– 不審な点や違和感はないか?
不審な点や違和感はないか?
• メールヘッダ(Received句)
– 表示されているIPアドレスは日本?
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
が
事案が発生したらどうするのか
• 事案発生を認知するしくみ(社内)
– 発生事実を報告するルールの制定
発生事実を報告するル ルの制定
– CSIRT
※
の構成
事業継続計画 やインシデントレスポンスマニュ
– 事業継続計画 やインシデントレスポンスマニュ
アルの策定
警察への通報
(関係機関を含む)
• 警察への通報
(関係機関を含む)
• 情報の保全
– 通信記録等証跡の保全
– 不正プログラム等の資料の保全
ラ 等
資料 保
http://www.npa.go.jp/cyberpolice/
警察庁情報技術解析課
警察庁情報技術解析課
PDCAサイクル
情報セキ リテ 対策は
度行 たら終わりではない
• 情報セキュリティ対策は一度行ったら終わりではない。
• 新たな脅威に対応する必要があるため、見直しと改
善が重要となる
善が重要となる。
「情報セキュリティマネジメントとPDCAサイクル」(IPA 独立行政法人情報処理推進機構)より引用
http://www.npa.go.jp/cyberpolice/