目次 年版 10 大脅威 2. 標的型サイバー攻撃の仕組みと対策 3. ネットバンキングの不正送金 Copyright 2014 独立行政法人情報処理推進機構 2

Transcription

1 情報セキュリティ 最新の脅威と対策 ~ 2014 年版 10 大脅威 ~ 2014 年 9 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター主任研究員渡辺貴仁 1

2 目次 年版 10 大脅威 2. 標的型サイバー攻撃の仕組みと対策 3. ネットバンキングの不正送金 Copyright 2014 独立行政法人情報処理推進機構 2

3 2014 年版 10 大脅威 2014 年版 10 大脅威について 10 大脅威とは? 情報システムを取巻く脅威について 2004 年から IPA で毎年発行 10 大脅威執筆者会 セキュリティ有識者 (117 名 ) の知見を集約 1 章. セキュリティ脅威の分類と傾向 脅威の背景 攻撃者の意図 特徴 被害者の特性等を基に分類し解説 2 章.2014 年版 10 大脅威 2013 年の事例をベースに 10 の脅威を選出 各脅威の概要と対策について解説 3 章. 注目すべき脅威や懸念 ネットワーク対応機器の増加 エンドポイントセキュリティの重要性 インターネット利用の低年齢化に伴う問題 Copyright 2014 独立行政法人情報処理推進機構 3

4 2014 年版 10 大脅威 2014 年版 10 大脅威順位 順位 1 タイトル 標的型メールを用いた組織へのスパイ 諜報活動 分類 サイバー空間 ( 領域 ) 問題 2 不正ログイン 不正利用 ウイルス ハッキングによるサイバー攻撃 3 ウェブサイトの改ざん ウイルス ハッキングによるサイバー攻撃 4 ウェブサービスからのユーザー情報の漏えい ウイルス ハッキングによるサイバー攻撃 5 オンラインバンキングからの不正送金 ウイルス ハッキングによるサイバー攻撃 6 悪意あるスマートフォンアプリ ウイルス ハッキングによるサイバー攻撃 7 SNS への軽率な情報公開 インターネットモラル 8 紛失や設定不備による情報漏えい 内部統制 セキュリティマネジメント 9 ウイルスを使った詐欺 恐喝 ウイルス ハッキングによるサイバー攻撃 10 サービス妨害 ウイルス ハッキングによるサイバー攻撃 Copyright 2014 独立行政法人情報処理推進機構 4

5 2014 年版 10 大脅威 1 位 標的型メールを用いた組織へのスパイ 諜報活動 ~ 政府機関だけでない! 民間企業も狙われている ~ サイバー空間 ( 領域 ) 問題 概要 インターネットを介して組織の機密情報を窃取する 諜報 スパイ型攻撃 政府機関から民間企業に至るまで幅広くターゲットに Copyright 2014 独立行政法人情報処理推進機構 5

6 2014 年版 10 大脅威 1 位 標的型メールを用いた組織へのスパイ 諜報活動 攻撃に悪用される背景 攻撃が見え難く 容易に気づけない メールやウェブを介して遠隔から侵入できる 2013 年の事例 / 統計 民間企業もターゲットに 官公庁 地方自治体等 が 37.7% 金融機関 :16.4% マスコミ関連 :13.1% IT 通信 :8.2 外交問題に発展 2013 年 7 月開催 米中戦略経済対話 米国から中国に サイバー攻撃による窃盗行為を止めるように 強い要請 Copyright 2014 独立行政法人情報処理推進機構 6

7 2014 年版 10 大脅威 2 位 不正ログイン 不正利用 ~ ユーザーの安全なパスワード管理が重要!~ ウイルス ハッキングサイバー攻撃 概要 ID/ パスワードの窃取や推測により ウェブサービスやシステムに不正にログインされる ウェブサービスへのハッキング 推測可能なパスワードの使用 ID/ パスワードの使いまわしなどが原因 Copyright 2014 独立行政法人情報処理推進機構 7

8 2014 年版 10 大脅威 2 位 不正ログイン 不正利用 攻撃に悪用される背景 ID/ パスワードによるユーザー認証は 標準的な認証手段 ID/ パスワードが分かればサービスを不正利用可能 複数のサービスで同じ ID/ パスワードを使い回してしまう ID/ パスワード ID/ パスワード 2013 年の事例 / 統計 パスワードリスト攻撃の急増 ID/ パスワード ID/ パスワード 不正に入手したID/ パスワードリストを使用する攻撃 クレジットカード会社 ショッピングサイトなど幅広く狙われた 多くの不正ログイン成立率は0% 台と低いものの 成功件数は相当数 ( 例 試行件数の0.15% にあたる23,926 件が不正ログイン成立 ) Copyright 2014 独立行政法人情報処理推進機構 8

9 2014 年版 10 大脅威 2 位 不正ログイン 不正利用 2014 年 更に急増 攻撃者は不正取得した ID パスワード ( 弱いウェブサイトから入手 ) を利用しアカウントを乗っ取り なりすます その後 なりすました知人等に 電子マネーを購入 登録している課金サービスやポイントを不正に利用 最近の不正ログイン企業名発表日試行回数不正ログイン数 LINE 2014 年 6 月 12 日非公表 303 ドワンゴ 2014 年 6 月 13 日約 355 万件約 29 万 5000 ミクシィ 2014 年 6 月 17 日約 430 万約 26 万 はてな 2014 年 6 月 20 日約 160 万 2398 サイバーエージェント 2014 年 6 月 23 日約 230 万 3 万 8280 ITPro:3 週間で 50 万件超の不正ログイン リスト型攻撃 が止まらない から引用 Copyright 2014 独立行政法人情報処理推進機構 9

10 2014 年版 10 大脅威 2 位 不正ログイン 不正利用 対策一覧 長く複雑なパスワードを設定する 長い文字列 英数字 大文字 小文字 記号を使用する パスワードを使い回さない サービス システムごとに違うパスワードを設定する 特に金銭に絡むウェブサービスで利用するアカウント情報は 他のウェブサービスと同じにしない パスワード以外の認証方式の利用 ワンタイムパスワード 認証トークンが提供されていれば利用する パスワードは使い回さず 適切に管理! Copyright 2014 独立行政法人情報処理推進機構 10

11 2014 年版 10 大脅威 3 位 ウェブサイトの改ざん ~ 気づかぬうちにウイルス感染 ~ ウイルス ハッキングサイバー攻撃 概要 ウェブサイトの改ざんは ウイルス感染の踏み台に悪用される手口 ウェブサイトの脆弱性や管理者パスワードなどが狙われている Copyright 2014 独立行政法人情報処理推進機構 11

12 2014 年版 10 大脅威 3 位 ウェブサイトの改ざん 攻撃に悪用される背景 管理者端末をウイルスが狙っている FTP や SSH 等 管理用サービスから侵入 コンテンツ管理システム (CMS) など汎用的なソフトウェアが狙われる ウェブアプリケーションの脆弱性も狙われる 2013 年の事例 / 統計 ウェブサイト改ざん被害急増 JPCERT/CC が 2013 年に受け付けた 国内外で発生したウェブサイトの改ざん件数は 7,409 件 1 日平均 :20 件もの被害が発生! SQL インジェクションの脆弱性を攻撃されウェブサイト改ざんとなった件も JPCERT/CC インシデント報告対応レポート (2013 年 1 月 1 日 ~ 2013 年 12 月 31 日集計 ) レンタルサーバーにおける改ざん被害 国内レンタルサーバー企業が管理する 8,438 サイトが大量改ざん Copyright 2014 独立行政法人情報処理推進機構 12

13 2014 年版 10 大脅威 4 位 ウェブサービスからのユーザー情報の漏えい ~ ハッキングによりユーザー情報がごっそり盗まれる ~ ウイルス ハッキングサイバー攻撃 概要 ウェブサービスはユーザー情報を多数保管 攻撃者の恰好のターゲット 個人情報やクレジットカード情報の流出による影響は広範囲に及ぶ Copyright 2014 独立行政法人情報処理推進機構 13

14 2014 年版 10 大脅威 4 位 ウェブサービスからのユーザー情報の漏えい 攻撃に悪用される背景 インターネット上のウェブサービスは 生活に必要不可欠な存在に 会員制サービスは クレジットカード情報等の大量の個人情報を保持 2013 年の事例 / 統計 クレジットカード情報漏えい事故多発 眼鏡販売サイトのミドルウェア Apache Struts 2 の脆弱性を悪用 2,059 件のクレジットカード情報が漏えい ネットスーパーのサイトで 最大 15 万 165 件のクレジットカード情報が不正に閲覧された可能性 標的型攻撃による情報漏えい ネット検索大手企業が 最大 万の情報漏えいを発表 内部のパソコンが標的型攻撃を受けたことが原因 Copyright 2014 独立行政法人情報処理推進機構 14

15 2014 年版 10 大脅威 4 位 ウェブサービスからのユーザー情報の漏えい ウェブサービスを直撃する脆弱性が立て続けに露見 事象 1Apache struts2 2OpenSSL 3Internet Explorer ウェブサーバフレームワーク 通信路暗号化プロトコル ブラウザ 深刻な脆弱性 攻撃コードの出現 脅威 任意コードの実行 ウィルス感染 遠隔操作 情報漏えい サーバの成りすまし 1 4/17 2 4/8 3 4/28 :IPA が初回の注意喚起 / 緊急対策を発信した日 Copyright 2014 独立行政法人情報処理推進機構 15

16 2014 年版 10 大脅威 4 位 ウェブサービスからのユーザー情報の漏えい 対策一覧 ネットワークアクセス制御 外部からも内部からも不正アクセスを防ぐ セキュアなサーバーの設定 不要なサービスの無効などの設定 アクセス権設定 ログ設定など アカウント パスワードの管理 複数人でアカウントを共有せず 複雑なパスワードの利用する OS ソフトウェアの更新 OS ミドルウェア フレームワークなどを定期更新 ウェブアプリケーションの脆弱性対策 セキュア開発 公開前や定期的な脆弱性検査 診断の実施 外部からはもちろん内部からも侵入されない対策を! ネットワークやサーバの監視も怠らない! Copyright 2014 独立行政法人情報処理推進機構 16

17 2014 年版 10 大脅威 4 位 ウェブサービスからのユーザー情報の漏えい 2015 年 7 月 15 日 ( 日本時間 ) マイクロソフト社が提供している Windows Server 2003 のサポートが終了 件, 0% レベルⅢ( 危険 : 深刻度 7.0~10.0) レベルⅡ( 警告 : 深刻度 4.0~6.9 ) 40 レベル Ⅰ( 注意 : 深刻度 0~3.9 ) 年 9 件 件, 33% 9 件 6 件, 67% 9 件中 2 件は ゼロデイ攻撃で発覚した脆弱性 (MS14-005,MS14-027) Windows Server 2003 に関する脆弱性対策情報の公開件数推移 ( 脆弱性対策情報データベース JVN ipedia ( から ) 企業 組織内で Windows Server 2003 の利用有無とその用途を確認 利用が確認された場合には速やかにサポートが継続している OS への移行が必要 利用しているアプリケーションやシステム上の調整が必要なため 早期に計画的な移行の計画 実施が求められる Copyright 2014 独立行政法人情報処理推進機構 17

18 2014 年版 10 大脅威 5 位 オンラインバンキングからの不正送金 ~ 攻撃者が銀行の認証情報を狙っている ~ ウイルス ハッキングサイバー攻撃 概要 2013 年 オンラインバンキングの不正送金の被害額が過去最大に フィッシング詐欺やウイルスにより窃取された認証情報を使って 本人に成りすまして不正送金 Copyright 2014 独立行政法人情報処理推進機構 18

19 目次 年版 10 大脅威 2. 標的型サイバー攻撃の仕組みと対策 3. ネットバンキングの不正送金 Copyright 2014 独立行政法人情報処理推進機構 19

20 標的型サイバー攻撃の仕組みと対策標的型メール攻撃実際のメール文面 IPA に届出のあったメールの場合 メールタイトル :3 月 30 日放射線量の状況 メール本文内容 :< 本文なし > 添付ファイル名 :3 月 30 日放射線量の状況.doc 送信時期 :2011 年 4 月興味の持たれそうなタイトルやファイル名を使っていた IPA を騙ったメールの場合 ( 偽装された ) 差出人 :IPA のメーリングリスト メール本文内容 : 実際に IPA がウェブ等で発表した内容 実際の職員の名前 添付ファイル名 : 調査報告書概要 差出人を IPA として実際に発表した内容を流用 これらのほかにも IPA では実在の職員を詐称したメールが届いたことも Copyright 2014 独立行政法人情報処理推進機構 20

21 標的型サイバー攻撃の仕組みと対策標的型サイバー攻撃の仕組み 0 [ 事前調査 ] 1 [ 初期潜入段階 ] C&C サーバ (command and control server) ウイルス等により乗っ取ったコンピュータに対し 遠隔から命令を送り制御させるサーバ インターネット 2 [ 攻撃基盤構築段階 ] [ システム調査段階 ] AD 3 4 [ 攻撃最終目的の遂行段階 ] 人事部 戦略企画部 営業部 個人情報 経営情報 取引情報 技術開発部新商品 防衛技術 Copyright 2014 独立行政法人情報処理推進機構 21

22 標的型サイバー攻撃の仕組みと対策セキュリティ対策の基本 メールを疑いもせず 添付ファイルを開いてしまう 怪しいメールではないか 常に注意を心掛ける OS やアプリケーションを最新の状態にしていない ( 未パッチ状態 ) ソフトウェアを常に最新な状態にする OS:Windows や MacOS など アプリケーション :Adobe Reader Adobe Flash Player JRE プラグインソフトなど 最新のウイルス対策ソフトを使っていない ウイルス対策ソフトを利用し 定義ファイルは最新化 サポート期限切れの状態では使わない 不正なドキュメント ファイルの悪用する脆弱性の割合 99.8% が既に知られている脆弱性が利用されている! 出展 : IBM Security Services 2012 上半期 Tokyo SOC 情報分析レポート Copyright 2014 独立行政法人情報処理推進機構 22

23 標的型サイバー攻撃の仕組みと対策 標的型メール攻撃 対策に向けたシステム設計ガイド 企業等の組織においては 基本的なセキュリティ対策以外にも情報が外部に流出しないための対応を施す必要がある 新しいタイプの攻撃 の対策に向けた設計 運用ガイド 標的型メール攻撃 対策に向けたシステム設計ガイド 標的型メール攻撃対策を対象 新たな分析結果を追加 < 内容 > 新しいタイプの攻撃 の説明 攻撃仕様の分析 設計対策の考え方 対策補助資料の提供 < 内容 > 標的型メール攻撃の全容と対策導出アプローチ システム設計対策セット 組織アプローチ Copyright 2014 独立行政法人情報処理推進機構 23

24 目次 年版 10 大脅威 2. 標的型サイバー攻撃の仕組みと対策 3. ネットバンキングの不正送金 Copyright 2014 独立行政法人情報処理推進機構 24

25 ネットバンキングの不正送金被害状況 ( 警察庁発表 )1 インターネットバンキングの不正送金被害が深刻化 1,400 1,200 1, 国内における被害件数は873 件 被害額は14 億 1700 万円を超え 既に昨年 1 年間の被害総額を超えた ( 警察庁発表 :2014 年 5 月 9 日の時点 ) 165 不正送金被害件数 1, 年 2012 年 2013 年 2014 年 5 月 9 日現在 不正送金被害額 ( 万円 ) 140, ,700 30,800 4,800 1 件当たりの平均被害額 : 昨年約 107 万円 今年約 162 万円 (52% 増 ) Copyright 2014 独立行政法人情報処理推進機構 , , , ,000 80,000 60,000 40,000 20, 年に換算すると約 40 億 5 千万円 2011 年 2012 年 2013 年 2014 年 5 月 9 日現在

26 ネットバンキングの不正送金被害状況 ( 警察庁発表 )2 法人口座が狙われてきている 被害件数 個人 法人 合計 2013 年 2014 年 5 月 9 日現在 件数 1, 金額 130,800 93,700 件数 金額 9,800 48,000 件数 1, 金額 140, ,700 攻撃の多い理由は 法人口座は取引額に上限額が無いこと が考えられる 2013 年 54 件, 4% 2014 年 5 月 9 日現在 109 件, 12% 個人法人 1,261 件, 96% 764 件, 88% Copyright 2014 独立行政法人情報処理推進機構 26

27 ネットバンキングの不正送金被害状況 (IPA への相談 )1 安心相談窓口へのネットバンキング相談件数 昨年 10 月以降 毎月 20 件前後の相談がくる インターネットバンキング相談件数 Copyright 2014 独立行政法人情報処理推進機構 27

28 ネットバンキングの不正送金犯罪者摘発 全国の警察の摘発件数 不正送金に関する全国の摘発 年 5 月 9 日現在 摘発件数 人数 摘発者 74 人中 日本人は 29 人 最多は中国人で 41 人 不正送金先 日本国内 タイ シンガポール カザフスタン フィッシングによる不正送金事例 2014 年 6 月 13 日 1 ゆうちょ銀行 などを装ったフィッシングサイト作成 2 同サイトに誘導するメールを ネット通販業者へ送付 3 ネットバンクのIDとパスワードを不正取得 4 約 200 万円を不正送金し引き出す 5 IDやパスワードを盗むウイルスも作成し メールで送信も Copyright 2014 独立行政法人情報処理推進機構 28

29 ネットバンキングの不正送金犯罪者摘発 組織的な不正送金事件 ネットバンキング不正送金で得た現金回収容疑 中国籍の容疑者 13 人を逮捕 ( 組織犯罪処罰法違反容疑 ) 容疑者が関与した被害額 : 昨年 ~ 今年 5 月迄に約 6 億円 約 3,600 万円もの被害にあった企業口座も 2014 年 6 月 11 日 合計 28 億円 2300 万円の約 21% 微信 ( 中国版 LINE) で指示 20~30 代中国籍男女 12 人 現金引き出しの出し子 口座の売買役 中国籍 :42 歳 中国へ送金 送金役は初の逮捕 Copyright 2014 独立行政法人情報処理推進機構 29

30 ネットバンキングの不正送金フィッシング詐欺 基本的な手口 Copyright 2014 独立行政法人情報処理推進機構 30

31 ネットバンキングの不正送金フィッシングによる詐欺事例 送信元が の送信元詐称メール 文中のリンク は VISA の正規の URL に見えるが HTML のソースでは を指していた クリックするとフィッシングサイトへジャンプし カード番号や ID 番号の入力を促す Copyright 2014 独立行政法人情報処理推進機構 31

32 ネットバンキングの不正送金ウイルスによる情報窃取の手口 ネット銀行の不正引き出し ウイルスが原因 (2005 年 7 月 ) オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた メールに添付されていた商品の写真を開いたが 写真は存在しなかった 添付ファイルをクリックした際 本人が気づかないうちに キーロガーと呼ばれる種類のウイルスが感染した このウイルスは ネット銀行などへのアクセスを監視し 口座番号や暗証番号を犯人に送信 犯人は 盗んだ情報を悪用して不正に引き出した 参考 : 1 苦情メールを装ってウイルスを送りつけ開かせる EC サイト運営者 悪意を持つ人 6 現金引出し 4 ログイン ID パスワードを不正入手 5 不正送金操作 2 感染 3 オンライン銀行取引 ATM 銀行 Copyright 2014 独立行政法人情報処理推進機構 32

33 ネットバンキングの不正送金本人認証に 乱数表 を利用 2 ケタの数字 同時に聞かれるのは 2 か所程度! 6 ケタの数列 Copyright 2014 独立行政法人情報処理推進機構 33

34 ネットバンキングの不正送金ウイルスを使ったフィッシングの複合事例 2011 年 9 月の事例 銀行を装ったニセのメール ウイルス! ファイルのアイコンが実在銀行のロゴ! Copyright 2014 独立行政法人情報処理推進機構 34

35 ネットバンキングの不正送金ウイルスを使ったフィッシングの複合事例 2011 年 9 月の事例 ウイルスにより表示される入力画面 Copyright 2014 独立行政法人情報処理推進機構 35

36 ネットバンキングの不正送金ウイルスを使ったフィッシングの複合事例 2011 年 9 月の事例 送信 ボタンを押した際のエラーメッセージ 中国語簡体字として表示すると Copyright 2014 独立行政法人情報処理推進機構 36

37 ネットバンキングの不正送金ウイルスを使った新たな事例 年 10 月の事例 Copyright 2014 独立行政法人情報処理推進機構 37

38 ネットバンキングの不正送金ウイルスによる偽画面表示 2012 年 10 月の事例 ウイルスにより出現した不正ポップアップ画面 正規銀行サイトのページ Copyright 2014 独立行政法人情報処理推進機構 38

39 ネットバンキングの不正送金 合言葉 の正しい聞かれ方の例 2012 年 10 月の事例 合言葉 は 1 つずつ聞かれる! Copyright 2014 独立行政法人情報処理推進機構 39

40 ネットバンキングの不正送金ウイルスを使った新たな事例 年 5 月の事例 Copyright 2014 独立行政法人情報処理推進機構 40

41 ネットバンキングの不正送金ウイルスによる偽画面表示 三井住友銀行の注意喚起ページより引用 (2014/6/23 現在 ) Copyright 2014 独立行政法人情報処理推進機構 41

42 ネットバンキングの不正送金不正送金の手口 ( ウイルス感染 : 事例 ) 大掛かりで巧妙な攻撃に! デジタルコンテンツ配信事業を手掛けるネットワーク関連企業のコンテンツアップロードサービスがサイバー攻撃にそのサービスを利用する企業の さらにエンドユーザがウイ ルス感染に ネットワーク関連企業コンテンツアップロードサービス 2014 年 5 月の事例 感染したウイルスはネットバンキング時に ID パスワードを窃取! 個人向けインターネットサービス提供企業ブログサービス ウェブを参照でウイルス感染 攻撃 総合旅行サイト コンピュータ周辺機器の製造 販売企業ドライバーダウンロードサイト オンラインゲームサイトプログラムパッチ ウェブを参照でウイルス感染 ドライバーがウイルス パッチがウイルス Copyright 2014 独立行政法人情報処理推進機構 42

43 ネットバンキングの不正送金セキュリティ対策の基本 ( パソコン ) ウイルス対策ソフトの導入と適切な運用 ウイルス定義ファイルを最新に保つことが必須! 統合型セキュリティソフトがオススメ ( 有害サイトのブロック機能やパーソナルファイアウォール機能が有効 ) 脆弱性の解消 OS(Windows など ) その他ソフト全てを最新に! こまめなアップデートが必須! ( ご参考 ) MyJVN バージョンチェッカ (IPA) Copyright 2014 独立行政法人情報処理推進機構 43

44 ネットバンキングの不正送金 MyJVN バージョンチェッカをご活用ください IPA: MyJVN バージョンチェッカ Windows 8 にも対応! Copyright 2014 独立行政法人情報処理推進機構 44

45 ネットバンキングの不正送金ワンタイムパスワードのトークン例 トランザクション署名を見据えたトークン Copyright 2014 独立行政法人情報処理推進機構 45

46 ネットバンキングの不正送金正しい画面遷移を知ることが大切 みずほ銀行がホームページに掲載している 正しい画面 Copyright 2014 独立行政法人情報処理推進機構 46

47 ネットバンキングの不正送金法人向けの認証方法 ログイン ID とパスワード情報のみに基づく認証 ブラウザに格納された電子証明書とパスワード情報に基づく認証 IC カード等に格納された電子証明書とパスワード情報に基づく認証 ログイン ID パスワード ブラウザに格納された電子証明書 IC カードに格納された電子証明書 電子証明書 電子証明書を利用端末とは別の場所で管理 パスワード 電子証明書 パスワード Copyright 2014 独立行政法人情報処理推進機構 47

48 ネットバンキングの不正送金電子証明書が漏れると 認証 NG 電子証明書なし 認証 OK 認証 OK 電子証明書を窃取 電子証明書あり 電子証明書あり Copyright 2014 独立行政法人情報処理推進機構 48

49 ネットバンキングの不正送金電子証明書を窃取する手口 電子証明書をエクスポートして送信 2 電子証明書の再発行手続き 3 再発行された電子証明書をコピーして送信 1 電子証明書を削除 Copyright 2014 独立行政法人情報処理推進機構 49

50 ネットバンキングの不正送金企業での対策 1 銀行が提供する中で セキュリティレベルの高い認証方式を利用する 取引専用パソコンの利用 インターネットバンキング取引専用のパソコンを導入し ウイルス感染のリスクを低減する このパソコンでは ウイルスによる被害を防止するためにウェブの閲覧やメールの利用をせず ウイルス対策ソフトを最新の状態にし可能な限り脆弱性を解消しておく このパソコンを設置するネットワークも専用のセグメントであれば 他のパソコンからの感染のリスクも下げられるので更に良い Copyright 2014 独立行政法人情報処理推進機構 50

51 ネットバンキングの不正送金企業での対策 2 銀行が指定した正規の手順で電子証明書を利用 法人向けネットバンキングでは 標準的な認証としてパスワードと電子証明書による2 要素認証を採用 ( 配布方法は各銀行により異なる ) マルウェアは電子証明書と秘密鍵をエクスポートし 攻撃者サーバへ送信 エクスポート不可 と設定 秘密キーの保護 の設定を 中また高 ( 予め証明書はバックアップしオフラインで保管しておく ) 今後も攻撃者側と利用者側との攻防は続いていく情報収集と積極的な対策が必要 Copyright 2014 独立行政法人情報処理推進機構 51

52 IPA からのお願い Windows XP のサポートが 2014 年 4 月 9 日に終了しました まだ移行していない方は 不正アクセス等を回避するためサポートの継続する後継 OS または代替 OS への移行が望まれます サポート期間中 サポート期間終了後 Copyright 2014 独立行政法人情報処理推進機構 IPA XP 移行 検索 52

53 IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ iパス は ITを利活用するすべての社会人 学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です Copyright 2013 独立行政法人情報処理推進機構 53

54 セキュリティセンター (IPA/ISEC) 情報セキュリティ安心相談窓口 : TEL:03(5978)7509 ( 平日 10:00-12:00 13:30-17:00) FAX :03(5978) anshin@ipa.go.jp Copyright 2014 独立行政法人情報処理推進機構 Copyright 2014 独立行政法人情報処理推進機構 54