情報セキュリティ月間 キックオフ シンポジウムパネルディスカッション 2 情報セキュリティにおける脅威の動向とその対策の展望について ~IPA~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンターセキュリティセンター長矢島秀浩情報セキュリティ技術ラボラトリー長小林偉昭

Transcription

1 情報セキュリティ月間 キックオフ シンポジウムパネルディスカッション 2 情報セキュリティにおける脅威の動向とその対策の展望について ~IPA~ 独立行政法人情報処理推進機構 (IPA) セキュリティセンターセキュリティセンター長矢島秀浩情報セキュリティ技術ラボラトリー長小林偉昭

2 パート 1 IPA の紹介

3 1-1 IPA とは (Information-Technology Promotion Agency,Japan) 経済産業省所管の独立行政法人 IT 産業の健全な発展を推進し 国民すべてに IT のメリットが行き渡る社会の実現に向けた取組み 次の 4 つの柱が IPA の重点施策

4 IPA セキュリティセンターの位置づけ 1-2

5 1-3 IPA セキュリティセンターは情報セキュリティ全般の概況を トピックス 10 と 10 大脅威 として 毎年 情報セキュリティ白書にて紹介 全国書店 ( 官報販売所 ) より入手可能 Amazon

6 トピックス 年版 ( 情報セキュリティ白書より ) 1-4

7 大脅威 第 1 位の推移 2006 年版 事件化する SQL インジェクション 2007 年版 Winny 自動閲覧ネットワーク 2008 年版 誘導型攻撃の脅威 2009 年版 DNS キャッシュポイズニングの脅威 2010 年版 ガンブラーの脅威 2011 年版??? 情報搾取を目的とした攻撃 情報漏えいの深刻化 悪意あるサイトへの誘導 正規サービスの攻撃基盤利用??? ウェブサイトに不正な入力を送りつけるなどしてウェブサーバアプリケーションや内部のデータベースを攻撃する方法 P2P ネットワークは 流出しやすいだけでなく 流出した情報が流通し続けてしまうというもう一つの脅威が存在している 攻撃者による罠のウェブページやメールを閲覧することにより 利用者は情報漏えいをさせられてしまう DNS サーバーのホスト名と IP アドレスの情報を書き換える攻撃 正しい URL を指定しても罠のサイトを閲覧してしまう 改ざんされたウェブサイトへのアクセスにより FTP アカウント等が盗まれ 自サイトまでも改ざんの脅威に晒される???

8 パート 2 情報セキュリティにおける 脅威の動向について ~IPA~

9 2010 年版 10 大脅威 あぶり出される組織の弱点! セキュリティの脅威を学ぶ 1 位 変化を続けるウェブサイトの改ざんの手口 2 位 アップデートしていないクライアントソフト 3 位 悪質なウイルスやボットの多目的化 4 位 対策をしていないサーバ製品の脆弱性 5 位 あわせて事後対応を! 情報漏えい事件 6 位 被害に気づけない標的型攻撃 7 位 深刻な DDoS 攻撃 8 位 正規のアカウントを悪用される脅威 9 位 クラウド コンピューティングのセキュリティ問題 10 位 インターネットインフラを支えるプロトコルの脆弱性 ダウンロード数初版からの累計で 約 97.2 万件 2010 年版は 約 30.1 万件 Copyright 2011, IPA all right reserved. 2-1

10 2010 年版 10 大脅威 あぶり出される組織の弱点! 年における組織へのビジネスインパクト Copyright 2011, IPA all right reserved. 2-2

11 2010 年版 10 大脅威 あぶり出される組織の弱点! 年版 10 大脅威 は IPA に届出のあったコンピュータウイルス 不正アクセスおよび脆弱性に関する情報や インターネット等で一般に報道された情報を基に 情報セキュリティ早期警戒パートナーシップ に参画する関係者のほか 情報セキュリティ分野における研究者 実務担当者など 120 名から構成される 10 大脅威執筆者会 でまとめたもの 2005 年から毎年公開しており 今年で 6 回目 2010 年版 10 大脅威 2009 年事例 10 大脅威運営者 開発者向け : 経営者向け : リスク 影響 対策リスク 影響 対策 2010 年版 10 大脅威 では 経営者向けに脅威が及ぼす 組織へのビジネスインパクトの考察を記載 組織が対策すべき項目は何か 対策を企画するための資料 2011 年版 10 大脅威作成中 ( 公表予定 ) Copyright 2011, IPA all right reserved. 2-3

12 2011 年版 10 大脅威カテゴリ別 ( 経営者 / システム管理者 / 開発者 ) 10 大脅威 脅威を訴えかけたい対象者 経営者システム管理者開発者 既知の攻撃を組み合わせた新しいタイプの攻撃 進化し続けるウェブサイトを経由した攻撃狙われる定番ソフトウェアの脆弱性 被害に気付けない標的型攻撃 狙われだしたスマートフォン携帯サイトのセキュリティ セキュリティ実装不備がもたらすトラブル 人 が起こしてしまう情報漏えい SNS ユーザを狙った攻撃 クラウドのセキュリティ Copyright 2011, IPA all right reserved. 2-4

13 パート 3 情報セキュリティにおける 脅威の対策 ~IPA~

14 社会インフラへの攻撃の広がり 生活 ビジネス 発電所 電力送電網 社会インフラ 電力配電網 社会インフラ への影響 情報システム ITインフラ 制御システム 監視 制御装置 センサ 製造装置等 Copyright 2011, IPA all right reserved. 攻撃 攻撃 コントローラ 制御機器 ベンダ ３ １

15 2011 年版 10 大脅威カテゴリ別 ( 経営者 / システム管理者 / 開発者 ) 10 大脅威 脅威を訴えかけたい対象者 経営者システム管理者開発者 既知の攻撃を組み合わせた新しいタイプの攻撃 進化し続けるウェブサイトを経由した攻撃狙われる定番ソフトウェアの脆弱性 被害に気付けない標的型攻撃 狙われだしたスマートフォン携帯サイトのセキュリティ セキュリティ実装不備がもたらすトラブル 人 が起こしてしまう情報漏えい SNS ユーザを狙った攻撃 クラウドのセキュリティ Copyright 2011, IPA all right reserved. 3-2

16 2011 年版 10 大脅威の脅威相関図 ( 一部 ) x 位 y 位 z 位 w 位 関連する 10 大脅威 止まらないウェブサイトを経由した攻撃定番ソフトウェアの脆弱性を狙った攻撃既知の攻撃を組み合わせた新しいタイプの攻撃攻撃に気付けない標的型攻撃 個別攻撃手法 ( ペイロード部 ): 特定の組織に特化した攻撃共通攻撃手法 ( ランチャー部 ): システムへの侵入や攻撃者のサーバとの通信 ( マルウェアのアップデート等 ) に使用される攻撃 入口部 共通攻撃手法 個別攻撃手法 w 位標的型攻撃 情報漏えい例 : 米石油会社 y 位定番ソフトウェアの脆弱性を狙った攻撃 x 位止まらないウェブサイトを経由した攻撃 システム破壊例 :Stuxnet USB 感染マルウエア Stuxnet Copyright 2011, IPA all right reserved. 3-3

17 新しいタイプの攻撃 の流れ 既知の攻撃を組み合わせた新しいタイプの攻撃 < 共通攻撃手法と個別攻撃手法の流れ > ( 共通攻撃手法 ) 1 インターネットや USB メモリを通じた情報システムへのウイルス感染 2 システムの脆弱性を利用することによる情報システム環境内部でウイルスの拡散 3 バックドアを作成し 外部の指令サーバ (C&C サーバ ) と通信することにより 4 ウイルスの増強や新たなウイルスのダウンロードの実行 ウイルスの増強やダウンロードは以降 45 の手順でも実行される可能性あり ( 個別攻撃手法 :Stuxnet の場合 ) 5 原子力システム等を制御する装置が配備してある 制御システムへの侵入 6 制御システム上にある装置に対する攻撃の実行 標的型メール攻撃や USB メモリを悪用したウイルス等による組織の情報搾取を目的とした情報システムへの攻撃においても同様な共通的攻撃手法が用いられる 個別攻撃への対策よりも 共通攻撃に対する対策が重要ランチャー部の侵入を防げば 個別攻撃まで進まない!! Copyright 2011, IPA all right reserved. 3-4

18 システム設計からの脅威への対策 部分的な対策では防げなくなってきています IPA テクニカルウォッチ 新しいタイプの攻撃 に関するレポートに掲載した 脅威と対策研究会 でまとめた新しいタイプの攻撃における 共通攻撃手法 への対策 6 項目 No 機能要件項目機能要件内容要件理由及び背景設計事例 1 プロキシの認証情報のチェック一般 PC の外部 Web アクセス時 認証プロキシによる認証アクセスを設計 2 HTTP,SSL 通信のヘッダーチェック外部通信 (GET,POST コマンドのヘッダー等通信内容 ) の検出 遮断 ウイルスが 独自の通信メソッドを用いて搾取した情報を悪性サイトに送信する場合 認証情報を使用しない場合が多いことが確認されている ウイルスが既認証状態を使用した攻撃仕様となった場合は 防止出来ない ウイルスが窃取した情報を外部の悪性サイトに送付する場合 新たな攻撃コードをダウンロードする場合 C&C サーバからの指示を受信する場合に多くは 80/tcp,443/tcp が用いられる 認証プロキシ NOC/SOC 監視 3 未知のウイルスを検出可能なソフトウェアの導入 4 スイッチ等での VLAN ネットワーク分離設計 5 最重要部のインターネット直接接続の分離設計 ゼロデイ脆弱性含む ウイルスが脆弱性を使用した時の挙動検知 ルータ スイッチによる必要なアクセス範囲に限定した VLAN 及びルーティング設定 特に 管理系端末 LAN の分離設計 最重要部の通常サービス (http,ssl) に関するインターネット直接接続を分離設計し 外部からの制御シーケンスの影響を回避する 6 システム内 P2P 通信の遮断と検知 VLAN 設定において P2P 通信の到達範囲を限定する PC 上のウイルスの脆弱性利用等の挙動などから攻撃動作を検出することにより 未知ウイルスや 未知の脆弱性を突く ゼロデイ攻撃 を検出し防御することが可能な製品が複数の企業から発表されてきている ただし 従来のウイルス対策ソフトを補完するものとして 防御機能 管理工数等十分な評価の上で設計利用検討の可能性がある システムへの影響を最小化するため 攻撃時の影響範囲をネットワーク設計上分離できるようにする Conficker Stuxnet 事案等対処事例 外部からの制御シーケンスは http,ssl 等の通常通信を多用する USB 等を介し 最重要部にウイルスが侵入した場合でも インターネットを介した環境等攻撃分析情報の搾取 攻撃ウイルス更新 攻撃指示の影響を回避する 外部のダウンロードサーバからアップデートされるウイルスは 外部接続可能な P2P 用に仕立てた内部 PC を経由して 内部システムに存在するウイルスの一斉バージョンアップやリモートコントロールを行う 振舞い検知タイプのウイルス対策ソフトの導入 ネットワーク設計 ルータ スイッチの VLAN 設定 ネットワーク設計 ネットワーク設計 Copyright 2011, IPA all right reserved. 3-5

19 アプリケーションのバージョンアップが重要 悪意ある者が FTP アクセスにより 改ざんウェブページをアップロード 悪意あるウェブサイトには Adobe 製品の脆弱性を突くウイルスが Copyright 2009, IPA all right reserved. メールに添付されている文書ファイルや圧縮ファイルには 脆弱性を悪用するウイルスが仕込まれていること 19 がある Copyright 2011, IPA all right reserved. 3-6

20 できることを確実にやりましょう 最新バージョンのソフトを利用しましょう Copyright 2011, IPA all right reserved

21 ウイルス対策について できることを確実にやりましょう 新しいコンピュータウイルスが日々発見されているため 新しいウイルスを検出できるような設定にしなければウイルスに感染する可能性があります 最新のウイルス対策が出来るように設定を確認しましょう ウイルス対策ソフトのウイルス定義ファイルを自動更新するなどのように 常に最新のウイルス定義ファイルになるようにしていますか? : 実施している : 一部実施している : 実施していない 4 点 2 点 0 点 Copyright 2011, IPA all right reserved. 3-8

22 パスワードについて できることを確実にやりましょう パスワードは自分の名前を避けるなどのように 他人に推測されにくいものに設定していますか? パスワードを他人が見えるような場所に貼らないなどのように 他人にわからないように管理していますか? ログイン用のパスワードを定期的に変更するなどのように 他人に見破られにくくしていますか? : 実施している : 一部実施している : 実施していない 4 点 2 点 0 点 どうぞ 使って下さい!! Copyright 2011, IPA all right reserved. 3-9

23 パート 4 今後の展望について ~IPA~

24 日本のユーザの意識 4-1

25 経営者の意識 Q: 貴社の経営者は 情報セキュリティ対策にどのような姿勢 意識で取り組んでいると思いますか 1. 経営者自らが対策を進めている ( 対策検討中を含む ) 0% 1% 4% 8% 2. 基本的に担当者や外部専門家に任せれば良い ( 任せざるを得ない ) 48% 3. 情報漏洩などに関係する任意保険に入っていれば良い 39% 4. セキュリティ事故 ( 例えば情報漏洩やウェブサイト改ざん ) が起きてから対応すればいい ( 対応せざるを得ない ) 5. 全く情報セキュリティ対策は必要ない 6. 分からない 2009 年度 IPA 情報セキュリティセミナーアンケートより 4-2

26 プライバシー侵害に係るリスクの認知状況と対策状況 < サンプル >15 歳 -25 歳 :1006( 日本 Y で表現 ) 15 歳以上 :1076( 日本 A で表現 ) ( 日欧比較 ) 調査期間 :2010 年 3 月 日 IPA eid に対するセキュリティとプライバシに関するリスク認知と受容の調査報告 より 4-3

27 4-4 グローバルな協調とともに 日本の社会の特徴を考慮した情報 セキュリティの対応が求められる

28 4-5 グローバルな協調とともに 日本の情報セキュリティ力の強化 日本の社会の特徴を考慮した情報 セキュリティの対応が求められる

29 4-6 日本の情報セキュリティ力の強化 ユーザの意識向上

30 脆弱性対策の推進 4-7

31 概要 脆弱性体験学習ツール AppGoat の開発 公開 New! ウェブサイト運営者やソフトウェア製品の開発者が脆弱性対策の必要性及び対策手法等を演習環境で体験的かつ実践的に学ぶツール 脆弱性体験学習ツール (AppGoat) を開発 公開し 脆弱性対策を促進する (2011 年 1 月 27 公開 ) ツールの概要 脆弱性実習ツール AppGoat 利用者はウェブ画面上で演習と学習教材を通して学習を進める ダウンロード 1 脆弱性の解説 学習教材 IPA ウェブサイト ウェブサイト運営者 脆弱性学習 ウェブアプリケーション演習環境 2 脆弱性の発見 演習環境 3 対策方法解説 学習教材 提供機能 ソフトウェア製品開発者 ( 組込み技術者を含む ) 脆弱性学習 サーバ デスクトップアプリケーション演習環境 4 プログラム修正 5 検証手法確認 ウェブアプリケーション演習環境 演習用に準備された故意に脆弱性を持たせた擬似的なウェブサイトサーバ デスクトップアプリケーション演習環境 演習用に準備された故意に脆弱性を持たせた 擬似的なサーバ及びデスクトップアプリケーション等の集合学習教材 利用者の演習の補助や理解 知識を深めるための教材 演習環境 演習環境

32 4-9 脅威に係る 情報共有と対策の提示

33 脅威と対策研究会 & テクニカルウォッチ 4-10

34 4-11 国内外の関係機関との連携の一層の強化 ( みんなで守る ) Virus Bulletin Conference EICAR European Institute for Computer Antivirus Research Korea Internet & Security Agency European Network and Information Security Agency FIRST Forum of Incident Response and Security Teams AVAR Association of anti Virus Asia Researchers National Information Security Center National Institute of Information and Communications Technology Economic Research Institute for ASEAN and East Asia 国際的な連携