サイバー攻撃報道事例不正アクセスといわれている攻撃標的型といわれている攻撃時期報道 2011/4 ソニーにサイバー攻撃個人情報流出 1 億件超 ( 朝日新聞等 ) 2011/9 三菱重にサイバー攻撃 80 台感染防衛関連も ( 読売新聞等 ) 2011/10 衆院にサイバー攻撃議員のパス

Size: px

Start display at page:

Download "サイバー攻撃報道事例不正アクセスといわれている攻撃標的型といわれている攻撃時期報道 2011/4 ソニーにサイバー攻撃個人情報流出 1 億件超 ( 朝日新聞等 ) 2011/9 三菱重にサイバー攻撃 80 台感染防衛関連も ( 読売新聞等 ) 2011/10 衆院にサイバー攻撃議員のパス"

ふさこくまじ
5 years ago
Views:

2 サイバー攻撃報道事例不正アクセスといわれている攻撃標的型といわれている攻撃時期報道 2011/4 ソニーにサイバー攻撃個人情報流出 1 億件超 ( 朝日新聞等 ) 2011/9 三菱重にサイバー攻撃 80 台感染防衛関連も ( 読売新聞等 ) 2011/10 衆院にサイバー攻撃議員のパスワード盗まれる ( 朝日新聞等 ) 2011/11 サイバー攻撃 : 参院会館のPC ウイルス感染は数十台に ( 毎日新聞等 ) 2012/1 JAXA: 職員のパソコン感染無人補給機情報など流出か ( 毎日新聞等 ) 2012/2 農水省に標的型メール攻撃情報流出狙う? ( 読売新聞等 ) 2012/6 パソコン5 台ウイルス感染か= 外部サイトと通信 - 原子力安全基盤機構 ( 時事通信 ) 2012/7 財務省 PC 数か月情報流出かトロイの木馬型 ( 読売新聞等 ) 2012/9 中国紅客連盟の標的か総務省統計局サイト ( 読売新聞等 ) 2012/10 国際ハッカー : 東大など5 大学被害情報流出の恐れ ( 毎日新聞 ) 2012/11 JAXA ロケット設計情報流出か PCがウイルス感染 ( 朝日新聞等 ) 2012/12 三菱重工もウイルス感染宇宙関連の情報流出か ( 産経新聞 ) 2012/12 原子力機構 PCウイルス感染告発情報漏えい?( 読売新聞 ) 2013/1 農水機密サイバー攻撃 TPP 情報など流出か ( 読売新聞 ) 2013/2 米マイクロソフトも感染アップルと似た攻撃 ( 読売新聞 ) 2013/3 韓国サイバーテロか TV 局や銀行が一斉にサーバーダウン ( 産経新聞 ) 2013/5 大分空港 HP ウイルス感染させるよう改ざん( 読売新聞 ) 2013/6 札幌市の観光 HP 不正アクセス受け閉鎖( 読売新聞 ) 2013/7 朝日新聞記者を装うウイルスメール国会議員 2 人に届く ( 朝日新聞 ) 2013/8 2ちゃん会員情報流出かカード番号 3 万件メールアドレスも ( 産経新聞 ) Copyright 2013 独立行政法人情報処理推進機構 2

3 標的型攻撃の事例国内の大手総合重機メーカに対する標的型攻撃 (2011 年 9 月 ) 攻撃 1 関係組織の職員の PC がウイルスに感染させ大手総合重機メーカとのやりとりメールを盗んだウイルス付きのメール関係組織へのメール情報を窃取関係組織攻撃 2 攻撃 1 の 10 時間後関連企業に対し盗んだメールを利用し標的型攻撃メールを送付した関係組織から窃取したメールを利用して標的型攻撃メールを送付 A 社関連企業 B 社 Copyright 2013 独立行政法人情報処理推進機構複数の報道から導き出したシナリオです 3

抜き取った情報を攻撃者のサーバへ送付する同社の愛知の拠点のサーバへ情報が集約され送付された複数の報道から導き出したシナリオです

4 標的型攻撃の事例被害事象 : ウイルスは広域に社内拡散事業所数 11 拠点感染数 :83 台の PC やサーバ外部通信を行う感染した端末から深部のサーバへ侵入し情報を抜き取る端末に感染したウイルスが内部サーバに侵入し原発防衛関連情報を攻撃者 ( 米国サーバ ) へ送付する抜き取った情報を攻撃者のサーバへ送付する同社の愛知の拠点のサーバへ情報が集約され送付された複数の報道から導き出したシナリオです組織内に巧妙な方法で侵入され組織内拡散組織内調査重要サーバへの不正アクセスが行われ組織の重要情報 ( 知的財産顧客情報等 ) を狙われる事件が顕在化 Copyright 2013 独立行政法人情報処理推進機構 4

doc 送信時期 :2011 年 4 月興味の持たれそうなタイトルやファイル名を使っていた IPA を騙ったメールの場合 ( 偽装された ) 差出人 :IPA

5 標的型攻撃実際のメール文面 IPA に届出のあったメールの場合メールタイトル :3 月 30 日放射線量の状況メール本文内容 :< 本文なし > 添付ファイル名 :3 月 30 日放射線量の状況.doc 送信時期 :2011 年 4 月興味の持たれそうなタイトルやファイル名を使っていた IPA を騙ったメールの場合 ( 偽装された ) 差出人 :IPA のメーリングリストメール本文内容 : 実際に IPA がウェブ等で発表した内容実際の職員の名前添付ファイル名 : 調査報告書概要差出人を IPA として実際に発表した内容を流用これらのほかにも IPA では実在の職員を詐称したメールが届いたことも Copyright 2013 独立行政法人情報処理推進機構 5

6 巧妙な添付ファイルメールに添付されていたドキュメントファイルの一例検知日添付ファイル名悪用する脆弱性 2012 年 7 月 19 日日本のために協力してください!!.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 8 月 3 日業務連絡書式.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 8 月 21 日申し込み用紙.doc Adobe Flash Player の脆弱性 (CVE ) 2012 年 9 月 7 日 Quarterly report form.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 9 月 13 日 Readme2.pdf Adobe Reader の脆弱性 (CVE ) 2012 年 9 月 17 日自民党総裁選挙管理委員会.xls Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 10 月 17 日履歴書.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 10 月 29 日先鋭化する領土問題.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2012 年 12 月 17 日 SECURITY_RISK_ASSESSMENT.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2013 年 1 月 16 日安倍政権の命運を握る新四人組.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2013 年 2 月 27 日 2013 年経済展望 - 重要課題.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2013 年 3 月 20 日レーダー照射で新たな段階に.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2013 年 3 月 29 日李明博政府の労動政策は問題がある.doc Adobe Flash Player の脆弱性 (CVE ) 2013 年 3 月 29 日 H25 ノーベル平和賞推薦について.pdf Adobe Reader の脆弱性 (CVE ) 2013 年 4 月 24 日エネルギーシェールガス革命で激変するエネルギー調達戦略.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 2013 年 5 月 16 日日本からの台湾進出をサポートする体制.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE ) 出展 IBM Security Services 2012 下半期 Tokyo SOC 情報分析レポート 2012 上半期 Tokyo SOC 情報分析レポートメール本文や添付ファイル名で受信者の興味を引き添付ファイルを開かせ脆弱性を悪用する Copyright 2013 独立行政法人情報処理推進機構 6

8 脆弱性とは脆弱性 ( ぜいじゃくせい ) 1. 脆弱性の定義脆弱性とはソフトウエア製品やウェブアプリケーション等においてコンピュータ不正アクセスやコンピュータウイルス等の攻撃によりその機能や性能を損なう原因となり得るセキュリティ上の問題箇所です情報セキュリティ早期警戒パートナーシップガイドラインより 2. 脆弱性とは組織の情報資産は多くの脅威にさらされています脆弱性とは組織の情報セキュリティ体制上これらの脅威に対する攻撃に弱い状態のことを指します第三者が脅威となる行為 ( システムの乗っ取りや機密情報の漏洩など ) を行うことができる欠陥や仕様上の問題点といったシステム上の問題点や機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます脅威と脆弱性とリスクの関係より脆弱性はウイルス感染の大きな要因! Copyright 2013 独立行政法人情報処理推進機構 8

狙われるソフトウェアの脆弱性 Black Hole Exploit Kit( 攻撃ツール ) が攻撃対象とする脆弱性 93% がアプリケーションの既知の脆弱性を利用いま一番危ない脆弱性は何だ?

2012 上半期 Tokyo SOC 情報分析レポート http://www-935.ibm.

10 標的型メール攻撃の傾向 ~ 99% 以上が既知の脆弱性が悪用されている ~ 攻撃に使われたファイル種別と脆弱性種別メールに添付されていた不正なファイルの拡張子ドキュメントファイルの悪用する脆弱性の割合出展 : IBM Security Services 2012 上半期 Tokyo SOC 情報分析レポート脆弱性対策をタイムリーに行っていれば攻撃を防げる可能性は高まる Copyright 2013 独立行政法人情報処理推進機構 10

セキュリティ上の問題と基本的な対策 ~ クライアント PC 対策 ~ メールを疑いもせず添付ファイルを開いてしまう怪しいメールではないか常に注意を心掛ける OS やアプリケーションを最新の状態にしていない ( 未パッチ状態 ) ソフトウェアを常に最新な状態にする OS:Windows や MacOS などアプリケーション :Adobe Reader Adobe Flash Player

12 セキュリティ上の問題と基本的な対策 ~ クライアント PC 対策 ~ メールを疑いもせず添付ファイルを開いてしまう怪しいメールではないか常に注意を心掛ける OS やアプリケーションを最新の状態にしていない ( 未パッチ状態 ) ソフトウェアを常に最新な状態にする OS:Windows や MacOS などアプリケーション :Adobe Reader Adobe Flash Player JRE プラグインソフトなど最新のウイルス対策ソフトを使っていないウイルス対策ソフトを利用し定義ファイルは最新化サポート期限切れの状態では使わない不正なドキュメントファイルの悪用する脆弱性の割合 99.8% が既に知られている脆弱性が利用されている! 出展 : IBM Security Services 2012 上半期 Tokyo SOC 情報分析レポート Copyright 2013 独立行政法人情報処理推進機構 12

セキュリティ対策の特徴と弱点 (1) ~ 組織としてはこれまでの防御では防ぎきれなくなってきている ~

完全に侵入を防ぐのには限界がある不正侵入を阻止ファイアウォール許可された通信のみ通過

侵入検知 ( 防止 ) システム攻撃を行う通信を検知未知の攻撃の阻止は難しいウイルス対策ソフト

13 セキュリティ対策の特徴と弱点 (1) ~ 組織としてはこれまでの防御では防ぎきれなくなってきている ~ 現状のネットワークセキュリティは外から内への侵入に備える境界防御の概念である境界には隙間があり完全に侵入を防ぐのには限界がある不正侵入を阻止ファイアウォール許可された通信のみ通過通信内容は関知しない検疫システムウイルス対策ファイアウォール IDS/IPS DMZ IDS(IPS) 侵入検知 ( 防止 ) システム攻撃を行う通信を検知未知の攻撃の阻止は難しいウイルス対策ソフトマルウェアの侵入を阻止見逃しの可能性内部 LAN 制限 NW Copyright 2013 独立行政法人情報処理推進機構 13

セキュリティ対策の特徴と弱点 (2) ~ 内部ルール適用や脆弱性対策の一長一短 ~ 脆弱性対策 ( セキュリティパッチ適用

利用者主導による対策の為漏れの可能性サーバ機器等へのパッチ適用互換性の問題で適用できないケースの問題

対策熱が上がる 1 人でも感染すれば組織内に侵入マルウェア開封率 0% が必須条件ルールによる制限 USB

14 セキュリティ対策の特徴と弱点 (2) ~ 内部ルール適用や脆弱性対策の一長一短 ~ 脆弱性対策 ( セキュリティパッチ適用 ) エンドポイント (PC) へのパッチ適用セキュリティ対策の基本であり効果大全端末に適用することが侵入を防ぐ前提利用者主導による対策の為漏れの可能性サーバ機器等へのパッチ適用互換性の問題で適用できないケースの問題システム停止が許容できない運用上の事情啓発活動による対策不審メールを開かない個人や組織への啓発組織内での注意力対策熱が上がる 1 人でも感染すれば組織内に侵入マルウェア開封率 0% が必須条件ルールによる制限 USB メディアの持込禁止業務に支障をきたす可能性セキュリティ対策には一長一短があり完全な対策は難しい Copyright 2013 独立行政法人情報処理推進機構 14

15 新しい発想による対策入口と出口に二重のセキュリティ対策を外部からの脅威をブロックする入口対策情報が外部に持出されない為の出口対策組織への影響と入口対策出口対策入口対策と影響多くの攻撃は防げるがすり抜けてしまう A 社知財個人情報等重要情報の窃取組織への影響 ( 知財等の情報窃取やシステムの破壊 ) を回避する必要入口対策では防ぎきれない場合がある入口対策出口対策イメージ A 社出口対策によりたとえ攻撃されても組織への影響を回避することが可能になる入口対策たとえ入口で防げなくても窃取を防ぐ対策出口対策 Copyright 2013 独立行政法人情報処理推進機構 15

16 出口対策考え方 ~ マルウェアの活動を制限する為のネットワーク設計 ~ バックドア通信の検知と抑止プロキシサーバと FW の設定正常な通信の流れを作るルール外の通信を試みるマルウェアの検知と遮断感染予防策アクセス区画の整理 VLANを構築 VLAN 間の通信を制限マルウェアの偵察行為を阻止浸食予防 VLAN 毎に通信の監視感染発覚時は VLANを切り離す早期発見のためにログの監視マルウェアを封込める Copyright 2013 独立行政法人情報処理推進機構 16

新しいタイプの攻撃の説明攻撃仕様の分析設計対策の考え方対策補助資料の提供 < 内容 > 標的型メール攻撃の全容と対策導出アプローチ

17 具体的な対策方法企業等の組織においては基本的なセキュリティ対策以外にも情報が外部に流出しないための対応を施す必要がある新しいタイプの攻撃の対策に向けた設計運用ガイド標的型メール攻撃対策に向けたシステム設計ガイド標的型メール攻撃対策を対象新たな分析結果を追加 < 内容 > 新しいタイプの攻撃の説明攻撃仕様の分析設計対策の考え方対策補助資料の提供 < 内容 > 標的型メール攻撃の全容と対策導出アプローチシステム設計対策セット組織アプローチ Copyright 2013 独立行政法人情報処理推進機構 17

セキュリティセンター (IPA/ISEC) http://www.ipa.go.

18 セキュリティセンター (IPA/ISEC) 情報セキュリティ安心相談窓口 TEL : 03(5978)7509 ( 平日 10:00-12:00 13:30-17:00) FAX : 03(5978) anshin@ipa.go.jp

映像で知る情報セキュリティ情報セキュリティに関する様々な脅威と対策を10 分程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です YouTube IPAチャンネルでは19タイトルをいつでも試聴できます

映像で知る情報セキュリティ情報セキュリティに関する様々な脅威と対策を10 分程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です YouTube IPAチャンネルでは19タイトルをいつでも試聴できます映像で知る情報セキュリティ標的型攻撃対策経営者 / 管理者編組織の情報資産を守れ! ~ 標的型サイバー攻撃に備えたマネジメント ~ 独立行政法人情報処理推進機構技術本部セキュリティセンター映像で知る情報セキュリティ情報セキュリティに関する様々な脅威と対策を10 分程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です YouTube IPAチャンネルでは19タイトルをいつでも試聴できます