情報セキュリティ月間 キックオフ シンポジウムパネルディスカッション 2 情報セキュリティにおける脅威の動向とその対策の展望について ~IPA~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンターセキュリティセンター長矢島秀浩情報セキュリティ技術ラボラトリー長小林偉昭

「情報セキュリティ月間」キックオフ・シンポジウム

パネルディスカッション２

情報セキュリティにおける

脅威の動向とその対策

の展望について

～IPA～

独立行政法人情報処理推進機構（IPA)

セキュリティセンター

セキュリティセンター長 矢島 秀浩

情報セキュリティ技術ラボラトリー長 小林 偉昭

２０１１．２．1

パート１

IPAとは

（

Information-Technology Promotion Agency,Japan)

◇経済産業省所管の独立行政法人

◇IT産業の健全な発展を推進し、国民すべてにITのメリットが行き渡る社会の実現に向けた取組み

◇次の4つの柱がIPAの重点施策

IPAセキュリティセンターの位置づけ

全国書店(官報販売所)

より入手可能

Amazon

IPAセキュリティセンターは情報セキュリティ全

般の概況を『トピックス10』と『10大脅威』として

、毎年、情報セキュリティ白書にて紹介

1－３

『 トピックス

10』2010年版

₍

_{情報セキュリティ白書より}

₎

2006年版

『事件化する

SQL インジェク

ション』

2007年版

『Winny自動閲

覧ネットワーク』

2008年版

『誘導型攻撃の脅

威』

2009年版

『DNSキャッ

シュポイズニン

グの脅威』

2010年版

『ガンブラーの

脅威』

2011年版

???

情報搾取を

目的とした

攻撃

情報漏えい

の深刻化

悪意あるサイト

への誘導

正規サービスの

攻撃基盤利用

???

ウェブサイトに不

正な入力を送りつ

けるなどしてウェ

ブサーバアプリ

ケーションや内部

のデータベースを

攻撃する方法

P2Pネットワークは、

流出しやすいだけで

なく、流出した情報

が流通し続けてしま

うというもう一つの脅

威が存在している

攻撃者による罠のウェ

ブページやメールを閲

覧することにより、利

用者は情報漏えいをさ

せられてしまう

DNSサーバーの

ホスト名とIPアドレ

スの情報を書き換

える攻撃。正しい

URLを指定しても

罠のサイトを閲覧

してしまう

改ざんされたウェブ

サイトへのアクセス

により、FTPアカウ

ント等が盗まれ、自

サイトまでも改ざん

の脅威に晒される

???

『

10大脅威』第１位の推移

1－５

パート２

情報セキュリティにおける

脅威の動向について

2010年版 10大脅威

『あぶり出される組織の弱点！』

http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf



ダウンロード数

初版からの累計で、約97.2万件

2010年版は、約30.1万件

セキュリティの脅威を学ぶ。

【1 位】変化を続けるウェブサイトの改ざんの手口

【2 位】アップデートしていないクライアントソフト

【3 位】悪質なウイルスやボットの多目的化

【4 位】対策をしていないサーバ製品の脆弱性

【5 位】あわせて事後対応を！情報漏えい事件

【6 位】被害に気づけない標的型攻撃

【7 位】深刻なDDoS攻撃

【8 位】正規のアカウントを悪用される脅威

【9 位】クラウド・コンピューティングのセキュリティ問題

【10 位】インターネットインフラを支えるプロトコルの

脆弱性

2009年における組織への

ビジネスインパクト

2010年版 10大脅威

『あぶり出される組織の弱点！』

http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf

「2010年版 10大脅威」はIPAに届出のあったコンピュータウイルス、不正アクセス

および脆弱性に関する情報や、インターネット等で一般に報道された情報を基に、

「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュ

リティ分野における研究者、実務担当者など120名から構成される「10大脅威執

筆者会」でまとめたもの。2005年から毎年公開しており、今年で6回目。

2009年事例 10大脅威 運営者・開発者向け： リスク・影響・対策 経営者向け： リスク・影響・対策 2010年版 10大脅威

2010年版 10大脅威

『あぶり出される組織の弱点！』

http://www.ipa.go.jp/security/vuln/documents/10threats2010.pdf

「2010年版 10大脅威」では、経営者

向けに脅威が及ぼす、

組織へのビジネ

スインパクト

の考察を記載。

組 織 が 対 策 す べ き 項 目 は 何 か 、

対 策 を 企 画 す る た め の 資 料 。

2011年版10大脅威 作成中（2011.3公表予定）

2011年版 10大脅威カテゴリ別

（経営者/システム管理者/開発者）

10大脅威

脅威を訴えかけたい対象者

経営者

システム管理者

開発者

既知の攻撃を組み合わせた新しいタイプの攻撃

_◎

_○

進化し続けるウェブサイトを経由した攻撃

_◎

狙われる定番ソフトウェアの脆弱性

_◎

被害に気付けない標的型攻撃

_◎

_○

狙われだしたスマートフォン

_◎

携帯サイトのセキュリティ

_◎

セキュリティ実装不備がもたらすトラブル

_○

_◎

「人」が起こしてしまう情報漏えい

_◎

_○

SNSユーザを狙った攻撃

_◎

クラウドのセキュリティ

_◎

_○

_○

パート３

情報セキュリティにおける

脅威の対策

社会インフラへの攻撃の広がり

電力送電網 発電所 電力配電網 電力送電網 発電所 電力配電網

社会インフラ

ITインフラ

生活・ビジネス

情報システム 情報システム 情報システム 情報システム センサ、製造装置等 制御機器 ベンダ 監視・制御装置 制御システム 制御システム コントローラ 情報システム 情報システム 情報システム 情報システム センサ、製造装置等 制御機器 ベンダ 監視・制御装置 制御システム 制御システム コントローラ

社会インフラ

への影響

攻撃

攻撃

2011年版 10大脅威カテゴリ別

（経営者/システム管理者/開発者）

10大脅威

脅威を訴えかけたい対象者

経営者

システム管理者

開発者

既知の攻撃を組み合わせた新しいタイプの攻撃

_◎

_○

進化し続けるウェブサイトを経由した攻撃

_◎

狙われる定番ソフトウェアの脆弱性

_◎

被害に気付けない標的型攻撃

_◎

_○

狙われだしたスマートフォン

_◎

携帯サイトのセキュリティ

_◎

セキュリティ実装不備がもたらすトラブル

_○

_◎

「人」が起こしてしまう情報漏えい

_◎

_○

SNSユーザを狙った攻撃

_◎

クラウドのセキュリティ

_◎

_○

_○

y位 定番ソフトウェアの 脆弱性を狙った攻撃

共通攻撃手法

情報漏えい

例：米石油会社

システム破壊

例：Stuxnet

個別攻撃手法

入口部

w位 標的型攻撃 ○○○○ ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ x位 止まらないウェブサイト を経由した攻撃 USB感染マルウエア

Stuxnet

個別攻撃手法（ペイロード部）：

特定の組織に特化した攻撃

共通攻撃手法（ランチャー部）：

システムへの侵入や攻撃者のサーバとの通信（マ

ルウェアのアップデート等）に使用される攻撃

関連する10大脅威

x位 止まらないウェブサイトを経由した攻撃 y位 定番ソフトウェアの脆弱性を狙った攻撃 z位 既知の攻撃を組み合わせた新しいタイプの攻撃 w位 攻撃に気付けない標的型攻撃

2011年版 10大脅威の脅威相関図

（一部）

『新しいタイプの攻撃』の流れ

＜共通攻撃手法と個別攻撃手法の流れ＞

(共通攻撃手法)

①インターネットやUSBメモリを通じた情報システムへのウイルス感染

②システムの脆弱性を利用することによる情報システム環境内部でウイルスの拡散

③バックドアを作成し、外部の指令サーバ(C&Cサーバ)と通信することにより、

④ウイルスの増強や新たなウイルスのダウンロードの実行

※ウイルスの増強やダウンロードは以降④⑤の手順でも実行される可能性あり。

(個別攻撃手法：

Stuxnetの場合

)

⑤原子力システム等を制御する装置が配備してある、制御システムへの侵入

⑥制御システム上にある装置に対する攻撃の実行

既知の攻撃を組み合わせた新しいタイプの攻撃

標的型メール攻撃やUSBメモリを悪用したウイルス等による組織の情報搾取を目的とした情報システムへの攻撃

においても同様な共通的攻撃手法が用いられる。

個別攻撃への対策よりも、共通攻撃に対する対策が重要

ランチャー部の侵入を防げば、個別攻撃まで進まない！！

No 機能要件項目 機能要件内容 要件理由及び背景 設計事例

1

プロキシの認証情報のチェック 一般PCの外部Webアクセス時、認証プロキシ による認証アクセスを設計。 ウイルスが、独自の通信メソッドを用いて搾取した情報を 悪性サイトに送信する場合、認証情報を使用しない場合 が多いことが確認されている。 ※ウイルスが既認証状態を使用した攻撃仕様となった場 合は、防止出来ない。

・認証プロキシ

2

HTTP,SSL通信のヘッダーチェック 外部通信（GET,POSTコマンドのヘッダー等通 信内容）の検出・遮断。 ウイルスが窃取した情報を外部の悪性サイトに送付する 場合、新たな攻撃コードをダウンロードする場合、C&C サーバからの指示を受信する場合に多くは 80/tcp,443/tcpが用いられる。

・NOC/SOC監視

3

未知のウイルスを検出可能なソフト ウェアの導入 ゼロデイ脆弱性含む、ウイルスが脆弱性を使 用した時の挙動検知。 PC上のウイルスの脆弱性利用等の挙動などから攻撃動 作を検出することにより、未知ウイルスや、未知の脆弱性 を突く「ゼロデイ攻撃」を検出し防御することが可能な製品 が複数の企業から発表されてきている。 ・ただし、従来のウイルス対策ソフトを補完するものとして、 防御機能、管理工数等十分な評価の上で設計利用検討 の可能性がある。

・振舞い検知タイプのウイ

ルス対策ソフトの導入

4

スイッチ等でのVLANネットワーク 分離設計 ルータ、スイッチによる必要なアクセス範囲に 限定した、VLAN及びルーティング設定。 特に、管理系端末LANの分離設計。 システムへの影響を最小化するため、攻撃時の影響範囲 をネットワーク設計上分離できるようにする。 ・Conficker、Stuxnet事案等対処事例

・ネットワーク設計

・ルータ、スイッチのVLAN

設定

5

最重要部のインターネット直接接続 の分離設計 最重要部の通常サービス（http,ssl）に関する インターネット直接接続を分離設計し、外部か らの制御シーケンスの影響を回避する。 外部からの制御シーケンスは、http,ssl等の通常通信を多 用する。 USB等を介し、最重要部にウイルスが侵入した場合でも、 インターネットを介した環境等攻撃分析情報の搾取、攻撃 ウイルス更新、攻撃指示の影響を回避する。

・ネットワーク設計

6

システム内P2P通信の遮断と検知 VLAN設定において、P2P通信の到達範囲を 限定する。 外部のダウンロードサーバからアップデートされるウイル スは、外部接続可能なP2P用に仕立てた内部PCを経由し て、内部システムに存在するウイルスの一斉バージョン アップやリモートコントロールを行う。

・ネットワーク設計

IPAテクニカルウォッチ「新しいタイプの攻撃」に関するレポート

に掲載した「脅威と対策研究会」でまとめた

新しいタイプの攻撃における

「共通攻撃手法」への対策6項目

システム設計からの脅威への対策

部分的な対策では防げなくなってきています

アプリケーションのバージョンアップが重要

Copyright © 2009, IPA all right reserved.

19

・悪意ある者が、FTPアクセスにより、

改ざんウェブページをアップロード

・悪意あるウェブサイトには、Adobe製

品の脆弱性を突くウイルスが・・



メールに

添付されている文

書ファイル

や圧縮ファイルに

は、

脆弱性を悪用するウイ

ルス

が仕込まれていること

がある

20

できることを確実にやりましょう

最新バージョンのソフトを利用しましょう

ウイルス対策について

•

新しいコンピュータウイルスが日々発見されているため、新しい

ウイルスを検出できるような設定にしなければウイルスに感染

する可能性があります。

最新のウイルス対策が出来るように

設定

を確認しましょう。

できることを確実にやりましょう

ウイルス対策ソフトのウイルス定義フ

ァイルを自動更新するなどのように、

常に最新のウイルス定義ファイルにな

るようにしていますか？

○：実施している △：一部実施している ×：実施していない

４点

２点

０点

パスワードについて

パスワードは自分の名前を避けるなどの

ように、他人に推測されにくいものに

設定していますか？

•

パスワードを他人が見えるような場所

に貼らないなどのように、他人にわか

らないように管理していますか？

•

ログイン用のパスワードを定期的に変

更するなどのように、他人に見破られ

にくくしていますか？

○：実施している △：一部実施している ×：実施していない

４点

２点

０点

どうぞ、

使って下さい!!

できることを確実にやりましょう

パート４

今後の展望について

日本のユーザの意識

経営者の意識

48% 39% 0% 4% 1% 8%

1. 経営者自らが対策を進めている（対

策検討中を含む）

2. 基本的に担当者や外部専門家に任

せれば良い（任せざるを得ない）

3. 情報漏洩などに関係する任意保険

に入っていれば良い

4. セキュリティ事故（例えば情報漏洩

やウェブサイト改ざん）が起きてから対

応すればいい（対応せざるを得ない）

5. 全く情報セキュリティ対策は必要な

い

6. 分からない

Q:貴社の経営者は、情報セキュリティ対策にどのような姿勢・意識で取り組んで

いると思いますか

2009年度IPA情報セキュリティセミナーアンケートより

４－２

プライバシー侵害に係る

リスクの認知状況と対策状況

(日欧比較)

調査期間：2010年3月12-16日

<サンプル>15歳-25歳:1006(日本Yで表現)

15歳以上:1076(日本Aで表現)

４－３

IPA『eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査報告』より

グローバルな協調とともに、

日本の社会の特徴を考慮した情報

セキュリティの対応が求められる

グローバルな協調とともに、

日本の社会の特徴を考慮した情報

セキュリティの対応が求められる

日本の情報セキュリティ力の強化

日本の情報セキュリティ力の強化

ユーザの意識向上

脆弱性対策の推進

31

■概要

ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法

等を演習環境で体験的かつ実践的に学ぶツール「脆弱性体験学習ツール(AppGoat)」

を開発・公開し、脆弱性対策を促進する。(2011年1月27公開)

■ツールの概要

ウェブアプリケーション演習環境

–

演習用に準備された故意に脆弱性を持たせた擬似的なウェブサイト

サーバ･デスクトップアプリケーション 演習環境

–

演習用に準備された故意に脆弱性を持たせた、擬似的なサーバ及びデスクトップアプリケーション等の集合

学習教材

–

利用者の演習の補助や理解・知識を深めるための教材

ソフトウェア製品開発者 （組込み技術者を含む） ウェブサイト運営者

IPA ウェブサイト

脆弱性学習 脆弱性学習 ダウンロード サーバ･デスクトップ アプリケーション 演習環境 ウェブアプリケーション 演習環境 脆弱性実習ツール AppGoat

提供機能

①脆弱性の解説

学習教材

②脆弱性の発見

演習環境

③対策方法解説

④プログラム修正

⑤検証手法確認

学習教材 演習環境 演習環境

利用者はウェブ画面上で演習と学習

教材を通して学習を進める。

『脆弱性体験学習ツール

AppGoatの開発・公開』

４－8

New!

脅威に係る

情報共有と対策の提示

脅威と対策研究会

＆

テクニカルウォッチ

国際的

な連携

国内外の関係機関との連携の一層の強化

(みんなで守る)

FIRST

Forum of Incident Response and Security Teams

EICAR

European Institute for Computer Antivirus Research

Virus Bulletin

Conference

Korea Internet & Security Agency

Economic

Research Institute for ASEAN and East Asia European Network and Information Security Agency

４－１１

National Information Security Center National Institute of Information and Communications Technology

AVAR

Association of anti Virus Asia Researchers