本プレゼンのポイント脅威を知ることが対策への近道 2

Size: px

Start display at page:

Download "本プレゼンのポイント脅威を知ることが対策への近道 2"

てるえいんそん
7 years ago
Views:

1 情報セキュリティ 10 大脅威 2015 ~ 被害に遭わないために実施すべき対策は?~ 2015 年 5 月独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター中西基裕

2 本プレゼンのポイント脅威を知ることが対策への近道 2

3 防犯の例近所のマンションで空き巣被害平日昼間の犯行サムターン回しの手口玄関から侵入自宅は大丈夫か? マンションはオートロック玄関ドアは鍵 2つ ( ピッキング対応 ) タンスにヘソクリ500 万円貯金しておこう 3

4 情報セキュリティの例東京三菱 UFJ 銀行の利用者がフィッシング被害偽のお知らせメールが届く偽メール記載のリンクから偽サイトに誘導される偽サイトにログイン情報を入力してしまう自分は大丈夫か? 他行のインターネットバンキングを利用ワンタイムパスワードは未使用まず偽メールに気をつけよう参考 : 東京三菱 UFJ 銀行パスワード等を入力させる偽メールが届いても絶対に入力しないでください! 4

5 IT も防犯と同じ IT においても脅威を知り対策について考え必要に応じて追加の対策を行っていくことが重要 5

6 資料情報セキュリティ 10 大脅威大脅威とは? IPA が毎年発行している啓発資料 10 大脅威執筆者会約 100 名が投票した脅威を解説 6

7 資料情報セキュリティ 10 大脅威資料の構成 1 章. 情報セキュリティ対策の基本被害に遭わないための基本の対策を解説 2 章. 情報セキュリティ10 大脅威の脅威の概要と対策について解説 3 章. 注目すべき課題や懸念知っておくべき課題や懸念を解説本プレゼンでは資料 10 大脅威より厳選した内容をお話しします 7

8 1 章 : 情報セキュリティ対策の基本基本の対策ソフトウェアの更新ウイルス対策ソフトの導入パスワード認証の強化設定の見直し脅威手口を知るえっ! 対策してないんですか?! 必ず実施すべき対策は長年変わっていないいまこれら対策の自発的な実施が求められている 8

9 設定の見直し脅威手口を知る 9

10 2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ本プレゼンでは 3 脅威を解説 10

11 2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 11

12 1 位インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ ウイルスやフィッシング詐欺により認証情報が窃取され不正送金される 12

13 1 位インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 手口や影響パソコンにウイルスを感染させて認証情報を悪用するフィッシング詐欺により入力させて認証情報を悪用する 2014 年の事例 / 統計不正送金被害が急増日本のインターネットバンキングを狙うウイルスが横行! 2014 年の被害額は 29 億円 2013 年の約 2 倍に! 法人口座の被害が急増! 13

14 参考 : インターネットバンキング被害額警察庁 : 平成 26 年中のインターネットバンキングに係る不正送金事犯の発生状況等年は前年の 2 倍の被害額 2014 年 :1,876 件 29 億 1,000 万円 1 件あたりの被害額が増加法人地銀の被害が急増法人口座からの被害は高額に! 14

15 参考 : バンキングマルウェア不正送金被害の原因の多くはウイルス感染! 出典 :IPA:2012 年 12 月の呼びかけネット銀行を狙った不正なポップアップに注意! 15

16 参考 : バンキングマルウェア合言葉をすべて入力させるケース出典 :IPA:2012 年 12 月の呼びかけネット銀行を狙った不正なポップアップに注意! 16

17 1 位インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 対策一覧利用者ソフトウェアの更新ウイルス対策ソフトの導入脅威や手口を知る二要素認証等の強い認証方式の利用銀行 / カード運営会社利用者への事例や手口の情報提供二要素認証等の強い認証方式の提供ウイルスに感染しないことと騙しの手口に引っかからないことが大切 17

18 1 位インターネットバンキングやクレジットカード情報の不正利用今すぐできる具体的な対策例 ( 個人向け ) PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java 銀行などの注意喚起の確認おすすめの対策 ( 企業向け ) インターネットバンキング専用 PC を導入ネットやメールをしない利用前にソフトウエア更新ソフトウェアの更新の強制ネットワーク検疫によるウイルス対策の強制資産管理パッチ管理製品の導入 18

19 2 章 : 情報セキュリティ 10 大脅威順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 19

20 2 位内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 従業員職員が故意に内部情報を持ち出し私的に利用企業組織の信用が失墜し補償賠償が求められる 20

21 2 位内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 発生要因動機 : 処遇の不満借金による生活苦機会 : 不正行為ができる環境正当化 : 自分勝手な理由づけ 2014 年の事例 / 統計通信教育大手から膨大な個人情報が漏えい委託先企業の社員が 3,504 万件の個人情報を持ち出し被害企業は顧客に総額 200 億円の補償を発表 21

22 2 位内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 対策一覧経営者層就業規則およびセキュリティポリシーの整備職員や委託先との秘密保持誓約の徹底対策を推進するための体制の構築システム管理者資産の把握と重要度による分類アカウントや権限の管理 ( 設定抹消 ) システム操作の記録と監視入退室の監視や持込み物等の確認守るべき情報資産は厳重かつ多様な対策を 22

23 2 位内部不正による情報漏えい今すぐできる具体的な対策例ルールや手順の見直し ( 承認も大事 ) 情報資産の再確認フォルダのアクセス権限設定おすすめの対策 ( 管理者向け ) ネットワークの分離メールの添付ファイル送信ブロックウェブフィルタリング ( クラウドサービスの利用を制限 ) IPA 組織における内部不正防止ガイドラインの活用 23

24 資料組織における内部不正防止ガイドライン 10 観点 ( 分類 ) の 30 対策を網羅チェックシートで現状確認し 4 章から対策を検討目次 1 章背景 2 章概要 3 章用語の定義と関連する法律 4 章内部不正のための管理の在り方付録 Ⅰ 内部不正事例集付録 Ⅱ チェックシート付録 Ⅲ Q&A 集付録 Ⅳ 他のガイドライン等との関係付録 Ⅴ 基本方針の記述例 24

25 2 章 : 情報セキュリティ 10 大脅威順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 25

26 3 位標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ ネット経由のスパイ活動により企業組織の情報が流出取引先や関連会社を踏み台にして本丸を狙う傾向あり 26

27 3 位標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 侵入手口メールからウイルス感染バラマキ型やりとり型ウェブからウイルス感染水飲み場型標的組織の関連会社が踏み台に 2014 年の事例 / 統計やり取り型の顕在化問い合わせ窓口が狙われるメールのやり取りの後ウイルス入りのメールを送る手口 27

28 3 位標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 対策一覧経営者層問題に迅速に対応できる体制の構築セキュリティ担当部署セキュリティ教育の実施システム管理者システム設計対策アクセス制限ネットワークの監視内部へ侵入されることを想定した多層防御を 28

29 3 位標的型攻撃による諜報活動今すぐできる具体的な対策例 PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java フォルダのアクセス権限設定おすすめの対策 ( 管理者向け ) ネットワークの分離メールの添付ファイル受信のブロックソフトウェアの更新の強制ネットワーク検疫によるウイルス対策の強制資産管理パッチ管理製品の導入 29

30 参考 : ネットワークの分離引用 : 高度標的型攻撃対策に向けたシステム設計ガイド P

31 紹介 : 標的型攻撃対策の参考資料サイバー情報共有イニシアティブ (J-CSIP) 運用状況 [2014 年 10 月 ~12 月 ] 標的型攻撃メールの傾向分析 31

32 最後に本プレゼンのポイント脅威を知ることが対策への近道 ( 防犯や事故防止と同じ ) 資料 10 大脅威をご活用ください 32

33 10 大脅威に関する内容は本プレゼンの内容 4 位以降の脅威 3 章は配布の冊子または IPA のウェブページから PDF でご参照いただけます情報セキュリティ 10 大脅威

34 Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了しますサポート終了後は修正プログラムが提供されなくなり脆弱性を悪用した攻撃が成功する可能性が高まりますサポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします業務システムサービスの停止破壊重要な情報の漏えいデータ消去脆弱性を悪用した攻撃脆弱性が未解決なサーバホームページの改ざん他のシステムへの攻撃に悪用会社の事業に悪影響を及ぼす被害を受ける可能性があります詳しくは IPA win2003 検索また WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 34

35 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ i パスは IT を利活用するすべての社会人学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃対策の体験を ~ Android アプリに関する届出状況毎年 Android アプリの脆弱性の届出が報告件数 300 250 200

本プレゼンのポイント 脅威を知ることが対策への近道 2

本プレゼンのポイント脅威を知ることが対策への近道 2