2 Copyright(C) MISEC

Size: px

Start display at page:

Download "2 Copyright(C) MISEC"

うきえみしま
4 years ago
Views:

2 2

3 3

4 0-(1) 本日の説明内容イメージ 1. 標的型攻撃とは脅威資産脆対影響対弱策脅威性性脅威に対して脆弱性があり 3. 対策影響脅威に対して脆弱性があり対策が不分な場合に影響が発生 2. 被害事例 4

5 0-(2) 機密情報の脅威過失故意内部の人内部従業者の過失悪意を持った内部従業者の犯例 ) ベネッセ個人情報漏洩外部の人例 )USB メモリの紛失フィアル交換ソフトを介した流出悪意ある第三者の攻撃標的型攻撃はこの区分になります 5

6 6

7 1-(1) 標的型攻撃の定義標的型攻撃とは標的の組織 ( 関係する組織含む ) に対して巧妙に作られたメール等を通じて組織内部に侵入し機密情報を盗み取るなどの一連の攻撃の総称です特徴特定の組織に狙いを絞っている継続的かつ執拗標的の組織が公開している情報を利する ( ソーシャルエンジニアリング ) ウィルス対策ソフトでは攻撃を検知できない 7

8 1-(2) 従来の攻撃との違い従来従来はウィルス制作者の自己顕示や興味本位によるいたずらが目的でした特定の対象を攻撃しているわけではないため運悪く最初に感染した人は被害を受けますが多くの人はウィルス対策ソフトで検知できるようになるため被害を受けませんでした攻撃者 a A 社攻撃者 b B 社攻撃者 c C 社 8

9 1-(2) 従来の攻撃との違い標的型攻撃現在は悪意ある第三者が機密情報窃取などを目的に集団で特定の攻撃対象に不正プログラムを送り込みます特定の組織を狙ったウィルスは通常のウィルス対策ソフト ( ) では防ぐことができませんパターンマッチング方式と呼ばれる方式でウィルスを検知するソフト従来と同様最初の感染は検知できません A 社 B 社攻撃組織 β 9 C 社

10 1-(3) 電子メールによる標的型攻撃の特徴従来の攻撃攻撃者従来から電メールを経路としたウイルス感染が存在しましたが攻撃対象を特定しない不特定多数の無作為な攻撃でした電メールの受信者にとっては無関係な内容のメールであるため攻撃であることを容易に想定できました標的型攻撃近年では標的型メール攻撃が登場しています標的型メール攻撃は標的となる対象に合わせてメール内容が作られており一しただけではそれが偽物とは判断できない巧妙な手口となっています攻撃組織 12

11 1-(3) 電子メールによる標的型攻撃の特徴受信者が疑わないように工夫された件名本文添付ファイル URL リンク会議開催案内業務に係る参考情報関連組織に関する情報関係者を装った差出人 Yahoo! メール等のフリーメールアカウントからの送付から実際のメールアドレス ( やそれに近いもの ) を使したものが増加本物の文書ファイルにえるアプリケーションファイルアイコンやファイル名からは Word 文書にえるが実際は exe ファイルアイコン偽装ファイル名偽装 RLO トラップ OS やアプリケーションの脆弱性を悪して内部に埋め込んだプログラムを実させるドキュメントファイル 13

12 1-(4) 偽装されたファイルの事例引元 :IPA 標的型攻撃メール < 危険回避 > 対策のしおり 14

画面上の変化が無く感染したことを隠蔽する動きをするものがほとんどですこのため感染に気がつかない事が多く被害が大きくなります

13 1-(5) 不正プログラムの特徴従来の攻撃攻撃者従来の不正プログラムは自己顕示が目的だったためた目が派手なものが多数でしたそのため感染したことに気がつきやすいという特徴があります標的型攻撃攻撃組織しかし標的型攻撃の不正プログラムは画面上の変化が無く感染したことを隠蔽する動きをするものがほとんどですこのため感染に気がつかない事が多く被害が大きくなりますまたパスワードや機密情報を盗む ( 読取りのみ ) 動作をしますがデータの改ざん削除などの攻撃者に気づかれる動作をしないという特徴があります 15

14 16

15 2-(1) 標的型メール攻撃の動向平成 26 年 9 月 16 日警察庁が標的型攻撃の現状を公表平成 26 年上半期に確認された標的型攻撃メールは 216 件であることを発表しました件数は増えていませんが不正プログラムを送る対象を少数に絞った攻撃が増加しています警察が把握した標的型メール攻撃の件数出典 17

16 2-(2) 被害の傾向実態警察庁の平成 26 年上半期の調査結果によると標的型攻撃メールの添付ファイル形式の約 9 割が圧縮ファイルでした圧縮ファイルを展開 ( 解凍 ) して生成されるファイルの約 7 割が実ファイル (.exe 又は.scr) であり約 2 割が Windows ショートカットファイル (.lnk) でした標的型メールに添付されたファイル形式の傾向出典警察庁平成 26 年度上半期のサイバー空間をめぐる脅威の情勢について 20 圧縮ファイルに格納されたファイル形式の傾向

2-(3) 被害事例 : 国内エネルギー関連組織国内エネルギー関連組織の原発情報の窃取を目的とした攻撃

旨の事前連絡がなされたのち標的型攻撃メールを送信職員が不審メールと疑わず添付ファイルを開封ウィルスに感染し

) へ接続 2メールに添付されたファイルを開封 4 ウィルスをダウンロード攻撃者ウィルス 5 情報の窃取

17 2-(3) 被害事例 : 国内エネルギー関連組織国内エネルギー関連組織の原発情報の窃取を目的とした攻撃当該組織のウェブサイトに掲載している連絡先電メールアドレス宛に不正為の告発に関する情報を送付する旨の事前連絡がなされたのち標的型攻撃メールを送信職員が不審メールと疑わず添付ファイルを開封ウィルスに感染し情報が外部に漏洩標的型攻撃メール 1 標的型攻撃メールを送信 3 添付ファイルに仕組まれた URL( 外部サーバ ) へ接続 2メールに添付されたファイルを開封 4 ウィルスをダウンロード攻撃者ウィルス 5 情報の窃取機密情報出典国内エネルギー関連組織の報告( を元に作成 21

18 2-(3) 被害事例 : 国内大手総合重機メーカー国内大手総合重機メーカーの軍需情報の窃取を目的とした攻撃大手総合機器メーカーが加盟している団体を攻撃し事前目標を定めた 83 台の端末にウィルスが感染し 50 種類のウィルスが検出された攻撃者 1 事前目標調査ぎ業界団体地方機関など対策が不分な関連組織が狙われた!! 2 攻撃環境準備踏み台など大手総合重機メーカー 3 標的型メール攻撃 4 バックドア設置 5 ウィルスによる捜索と窃取出典 IPA 新しいタイプの攻撃の対策に向けた設計運用ガイド _ 改訂第 2 版 _ 簡易版 22

2-(3) 被害事例 : 国内大手航空会社国内大手航空会社の顧客情報の窃取を目的とした攻撃

台の端末にウィルスが感染していたが全ての端末にはウィルス対策ソフトが導入されていたインターネット攻撃者 1

! ウィルス対策ソフト端末 3 パソコンを遠隔操作し顧客情報システムから個人情報抜き取り社内システム (

19 2-(3) 被害事例 : 国内大手航空会社国内大手航空会社の顧客情報の窃取を目的とした攻撃社内システムのレスポンスが悪化する事象が発生し普段使われない端末からアクセスがあることを発 23 台の端末にウィルスが感染していたが全ての端末にはウィルス対策ソフトが導入されていたインターネット攻撃者 1 侵入経路不明 2 不正プログラムがパソコンに侵入 4 顧客情報送信ウイルス対策ソフトでは検知できなかった!! ウィルス対策ソフト端末 3 パソコンを遠隔操作し顧客情報システムから個人情報抜き取り社内システム ( 顧客情報 ) 出典国内大手航空会社の報告 ( を元に作成 23

20 24

21 3-(1) 標的型攻撃メールの対策ポイント安易に添付ファイルを開かない! 安易にメール本文中の URL リンクをクリックしない! 添付ファイルは危険!! 例添付ファイル型の標的型攻撃メール URL リンクは危険!! 例 URL リンク型の標的型攻撃メール 25

22 3-(1) 標的型攻撃メールの対策見破り方普段やり取りのない人からのメール差出人にそぐわない内容差出人と署名が別人などの不自然さがあれば要注意です一番確実な確認方法は送信者に確認することです送信者が知り合いであれば何らかの手段 ( 電話等 ) でメールを送信したか添付ファイルを付けたか等の確認することが有効です自分で判断できない場合はシステム管理者等のセキュリティ専門家に相談することが望ましいです自分勝手な ( 中途半端な ) 判断が企業組織に大きな問題を引き起こす可能性があることを認識しましょう 26

23 3-(1) 標的型攻撃メールの対策確認ポイント標的型攻撃メールを分ける確認ポイントの例を次に記しますただし分けがつかない巧妙な標的型攻撃メールがあることに注意が必要ですメールのアドレスがフリーメールになっていないか? 緊急性や重要性が誇張される件名になっていないか? 大事なお知らせ緊急重要添付ファイルを開く事をあからさまに促す内容になっていないか? 件名や本文の日本語が不自然ではないか? 差出人が知らない人 / 組織になっていないか? [ 注意 ] 知っている人 / 組織になりすましている場合があります自分の業務とは関係のない内容ではないか? [ 注意 ] 業務に関連ある内容を詐称する場合があります 27

24 3-(1) 標的型攻撃メールの対策技術的対策使している OS やソフトウェアを最新の状態に保つことにより脆弱性を突いた攻撃を防ぐことが出来ます Microsoft Windows Microsoft Office (Word, Excel, PowerPoint 等 ) ウィルス対策ソフトライセンス及びパターンファイルのアップデートを確実にう Adobe 製品 (Acrobat, Reader, Flash 等 ) JustSystems 一太郎その他アプリケーションやソフトウェア JVN( や JPCERT Weekly Report ( 掲載情報等の確認と対策差出人が知らない人 / 組織になっていないか? 28

25 3-(2) 従来の防御方針とこれからの防御方針従来の防御方針 : 境界防御ネットワークを分離しファイアーウォールによるアクセス制御は有効な対策です ( 基本対策 ) しかし許可している通信を防ぐことができません昨今の攻撃は許可されている通信を悪することが多いため止められない攻撃が増えています例 ) インターネット上のウェブサイトをるための HTTP 通信これからの防御方針 : 多層防御攻撃者は人ですどのような対策をしているかを調査した上でその対策で防ぐことができない部分を攻撃します必ず防ぐことができる単一の対策はありません単一の対策だけでなく多層的に複数の対策で防御することが有効です 29

26 3-(3) 従来のウィルス対策とこれからのウィルス対策従来の事前対策 ( 防御 ): パターンマッチング型ウィルス対策パターンマッチング型 ( ブラックリスト型 ) ウィルス対策は誰かが被害にあった場合同じ犯人 ( 不正プログラム ) が別の人に対して犯罪をしようとするのを止める対策 (= 指名手配 ) です昨今は毎日新たな犯人が次から次へと ( すべて異なる不正プログラムが大量に ) 出てくるため対策の効果が薄れていますこれからの事前対策 ( 防御 ): ホワイトリスト型ウィルス対策許可されたプログラム ( ホワイトリスト ) を事前に登録しそれ以外のプログラムは動作しないようにする対策が有効ですただし利者による変更が多い場合は運に障が出る場合があります 30

27 3-(4) これからの事前対策 : 人的対策事前対策 ( 防御 ): 人的対策技術的対策だけで標的型攻撃を防ぐことは困難です教育管理による人的対策も重要です教育対応基準体制整備標的型攻撃の脅威と影響 ( 事例 ) の教育標的型攻撃の疑似体験 ( 標的型攻撃メール対応訓練サービス ) 不審メールを受信した場合の周知メールの取り扱い ( 削除するのか残すか ) 連絡報告インシデント対応チーム (CSIRT) セキュリティ専門企業との連携 31

28 3-(5) これからの事後対策 : 検知対応事後対策 : 検知対応標的型攻撃を防げず内部に侵入されたことを想定することが重要ですインシデントが起きた時の対応の準備を事前にしておくことが有効です人にはサイバー攻撃はえませんえる化 ( 検知 ) が必要です検知対応検知するための仕組みセキュリティ対策ベンダーが提供する製品やサービスログ取得分析検知した後の迅速な対応迅速に対応するためには事前の準備が重要 32

29 33

30 ウィルス検知の仕組み (1/2) ウイルス対策ソフトはブラックリストに合致するウィルス ( 指名手配犯 ) を検知しますブラックリストは毎日更新されますウィルス情報の調査更新 ( 随時 ) ウィルス対策ベンダーブラックリストと照合発! 不正な挙動を阻止! 他所で悪さをして手配されているので知っているウィルス対策ソフト指名手配犯 34

31 ウィルス検知の仕組み (2/2) ウイルス対策ソフトはブラックリストに無い ( 指名手配されていない ) ウィルスは検知できませんこの場合パソコンに侵入され不正な活動をされる恐れがありますウィルス情報の調査更新 ( 随時 ) ウィルス対策ベンダーブラックリストと照合合致しない! 被害感染! 犯罪歴が無いので知らないウィルス対策ソフト 35 初犯 ( 新種のウィルス )

32 お問合せ先標的型攻撃の技術的人的対策のほか情報セキュリティ対策に関する無料個別相談をお受けします電話メールでお問い合わせいただく際は下記までご連絡ください特定非営利活動法みちのく情報セキュリティ推進機構事務局 TEL:

今月の呼びかけ添付資料ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられましたこのウイルスにはパソコン利用者がファイルの見た目 ( 主に拡張子

今月の呼びかけ添付資料ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられましたこのウイルスにはパソコン利用者がファイルの見た目 ( 主に拡張子今月の呼びかけ添付資料ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられましたこのウイルスにはパソコン利用者がファイルの見た目 ( 主に拡張子 ) を誤認し実行してしまうようにファイル名に細工が施されていますこのような手法は決して新しいものではなく