情報セキュリティ事案の現状 ~ インターネットの情勢 ~ 警察庁情報通信局情報技術解析課サイバーテロ対策技術室 ( サイバーフォースセンター ) 1
http://www.npa.go.jp/cyberpolice/ 講演内容 情報セキュリティ 情 情報セキュリティを取り巻く情勢 インターネット上の脅威を知ろう 個人にかかる脅威 対策 企業にかかる脅威 対策 2
情報セキュリティとは 情報セキュリティとは 情報の機密性 完全性 可用性を維持すること (JIS Q 27002) 手順 情報資産の洗い出しと分類 どこにどのような情報資産があるのかを明確にするど その情報資産を機密性 完全性 可用性について分類する リスクアセスメント リスク ( 脅威 ぜい弱性 ) の検討 リスクへの対応を明確にする セキュリティ管理策の策定 人的対策 技術的対策 物理的対策 3
情報セキュリティを取り巻く情勢 4
インターネットの利用動向 出典 : 平成 24 年版情報通信白書 ( 総務省 ) 5
インターネットの利用動向 出典 : 平成 24 年版情報通信白書 ( 総務省 ) 6
世帯におけるインターネット利用に伴う被害経験 ( 複数回答可 ) 出典 : 平成 24 年版情報通信白書 ( 総務省 ) 7
企業におけるインターネット利用に伴う被害経験 ( 複数回答可 ) 出典 : 平成 24 年版情報通信白書 ( 総務省 ) 8
情報セキュリティを取り巻く情勢 情報通信インフラ 特にインターネットが社会基盤として定着している しかし 9
インターネット上における脅威を知ろう 10
フィッシング詐欺 クライムウェア 個人にかかる脅威 Zeus/Zbot ICE Citadel Spyeye etc. スパムメール 改ざんされた Webページへのアクセス 標的型メール攻撃 不正なアプリ ( スマホ ) 11
フィッシング詐欺 12
フィッシング詐欺とは フィッシング詐欺 銀行等の企業を装ってメールを送りメールの受信者に実在する企業の偽ホームページにアクセスさせて そのページにおいてクレジットカード番号やID パスワードを入力させるなどしてドを入力させるなどして 不正に個人情報等を入手する行為 対象となる情報の例 クレジットカード番号 パスワード キャッシュカード番号 オンラインバンキング等の IDやパスワード 出典 : フィッシング 110 番 ( 警視庁 ) 13
フィッシング詐欺 ( 実例 ) フィッシングサイト http://www.tattooartstudioes.com/floreseborboletas/thu mbnails/japaneseupd/login_i ndex.htm ログインせずに正規サイトに移動 個人情報を入力 正規サイト 被害者 1 標的型メール ( ダウンローダ ) 14
フィッシング詐欺対策 出典 : フィッシング 110 番 ( 警視庁 ) 15
フィッシング詐欺対策 フィッシングサイト http://www.tattooartstudio-es.com/floreseborboletas/thumbnails/japaneseupd/login_index.htm 16
クライムウェア (Zeus/Zbot) 17
クライムウェアとは クライムウェアとは マルウェア ( 悪意あるソフトウェア ) とよばれるプログラムのうち 特に犯罪行為を目的として作成されたプログラムの総称である 18
クライムウェア (Zeus/Zbot) 19
不正プログラムダウンロードサイト Zeus/Zbot の動作概要 事前に準備 攻撃者 1 Zbot ダウンロード 不審なメールを閲覧 不審なリンクをクリックク 改ざんされたサイトの閲覧 etc 2 感染 3 指令サーバへ接続 不正な画面 指令サーバ 4 設定ファイルダウンロード 感染した Zbot は設定ファイルをダウンロードしその指示に従い動作する 5 オンラインバンキングへの接続 感染したZbotはブラウザを監視し監視対象オンラインバンキングへの接続をチェック 6 不正なコードの追加 感染した Zbot は監視対象オンラインバンキングであれば Web サーバからの応答に不正なコードを追加 オンラインバンキング 20
改ざんされた Web ページへのアクセス 21
Webページ改ざん 最近 特に2013 年 4 月以降 Webページ改ざんされ 悪意あるサイトに誘導するケースが多くみられた 難読化された JAVA Script の挿入 iframeタグの挿入 目視で 変化なし 22
http://www.npa.go.jp/cyberpolice/ 難読化されたJavaScript 難読化されたJ S i t 23
改ざんされたサイトにアクセスすると 脆弱性のある正規の Web サイト www.yyyy.co.jp 1 改ざん 3 誘導 2 Web ページ閲覧 http://www.yyyy.co.jp 4 マルウェアがダウンロードされる 一般の閲覧者 24
マルウェアに感染すると リモートアクセス キーロガー 情報漏えい bot に感染 ( 攻撃の踏み台 ) DoS 攻撃に利用 スパムメール送信に利用 Zeus/Zbot 等に感染 口座番号 パスワード等を窃取 25
情報資産の管理 情報セキュリティ対策 情報資産の洗い出し 情報資産を保護するための対策 その他留意事項 踏み台対策 情報資産がなくてもBot 等に感染し 踏み台に利用されてしまうことから 情報資産を保護するための対策と同様な対策を講じる必要がある 26
情報資産を保護するための対策 人的対策 不審なメールは開かない 不審なメールの添付ファイルをクリックしない 不審なWebサイトは閲覧しない パスワード管理 技術的対策 ウイルス対策ソフトの導入 OS アプリケーションは最新状態にしておく 物理的対策 ( 盗み見防止 ) その他 ソーシャルエンジニアリング対策 ( 断片的な情報は関係付けられる ) 27
標的型攻撃 企業にかかる脅威 DoS(Denial of Service) 攻撃 標的型メール攻撃 Web ページ改ざん 不正アクセス 情報漏えい 踏み台 (DNS) 28
標的型攻撃 29
標的型攻撃 標的型攻撃とは 情報セキュリティ上の攻撃で 無差別に攻撃が行われるものでなく 特定の組織あるいはグループを標的としたもの 標的型メール攻撃 標的型攻撃の一種 特定の受信者に対してウイルス付きのメールを送ること この場合 件名や文面も受信者にカスタマイズされている 海外では Targeted Trojan Attack などと呼ばれる 標的型攻撃対策手法に関する調査報告書 (2008 年 8 月 7 日 JPCERT/CC) より引用 30
DoS(Denial of Service) 攻撃 Bot による DDoS(Distributed DoS) 攻撃 ボットネット指令サーバ Bot Bot 被害発生 攻撃命令 攻撃 被害サーバ Bot DDoS 攻撃に用いられる 31
ハクティビズムによる攻撃 Lulz Security Anonymous DDoS 攻撃 Web 改ざん DNS 攻撃 リダイレクト データベース漏えい 管理者権限の奪取 dox ハクティビズムとはハクティビズムとは 社会的 政治的な主張のもとに ハッキング活動を行うことである ハクティビズム という語は ハッキング (hacking) とアクティビズム (activism) を合わせた語である BINARY IT 用語辞典 (www.sophia-it.com) 32
H24.6 Anonymous によるサイバー攻撃 財務省のサイトが一部改ざん 最高裁判所のサイトが閲覧困難 一部の政党のサイトが閲覧困難 国土交通省 霞ヶ浦河川事務所のサイトを改ざん 33
標的型メール攻撃 34
標的型メール攻撃の事例 実際にメールを送付した 10 時間後に送られた標的型メール 35
巧妙化する手口 標的型メール攻撃 攻撃者 3 不正プログラムダウンロード 4 情報窃取 画像に偽装 1 標的型メール 不正な指令等伝達 ( ダウンローダ ) 画像ファイル送受に偽装 外部サイトに接続 プログラムのダウンロード 目的達成後被害者 2 感染 不正プログラムの消去 36
http://www.npa.go.jp/cyberpolice/ 標的型メール攻撃の流れ 組織情報収集 メールアド メ ルアド レス 会議等の スケジュー ル ソーシャルエンジニアリング ソ シャルエンジニアリング SNS ソーシャルネットワーク メール攻撃 文書 画像ファイル ゼロデイ攻撃 PDF ワ ド ワード エクセル etc. バックドア スパイウェア 機密情報流出 企業秘密 知的財産 産 顧客情報 国家機密 37
標的型メール攻撃の特徴 攻撃者は 攻撃対象の企業 組織及び人に係る情攻撃対象報を事前に入手 ( 調査 ) している ソーシャルエンジニアリング SNS 実在する関係者のメールアドレスやそれに酷似した メールアドレスが使われている 不審感 警戒感なく開けてしまう メールの内容も 関係者しか知り得ない内容である 違和感なく メールの内容を信用してしまう 対象が限定的であるため表面化しにくい 38
標的型メール攻撃の対策 人的対策 社員 職員教育 ソーシャルエンジニアリング対策 メール閲覧時の注意事項 予防接種 ( イノキュレーション ) 技術的対策 ウイルス対策ソフトの導入 更新 OS アプリケーションの更新 SPF(Sender Policy Framework) 物理的対策 事務室内への立ち入り制限 印字物の廃棄 39
SPF(Sender Policy Framework) とは 有害情報対策ポータルサイト迷惑メール対策編 ( 財団法人インターネット協会 ) より引用 40
メール閲覧時の注意事項 差出人のメールアドレス 差出人のメールアドレスを確認したか? From ~ は簡単に詐称できる 本文 内容 不審な点や違和感はないか? メールヘッダ (Received 句 ) 表示されている IP アドレスは日本? 41
事案が発生したらどうするのか 事案発生を認知するしくみ ( 社内 ) 発生事実を報告するルールの制定ルの制定 CSIRT の構成 事業継続計画やインシデントレスポンスマニュアルの策定警察への通報 ( 関係機関を含む ) 警察への通報 ( 関係機関を含む ) 情報の保全 通信記録等証跡の保全 不正プログラム等の資料の保全 CSIRT:Computer Security Incident Response Team 42
PDCA サイクル 情報セキュリティ対策は一度行ったら終わりではない 新たな脅威に対応する必要があるため 見直しと改善が重要となる 情報セキュリティマネジメントと PDCA サイクル (IPA 独立行政法人情報処理推進機構 ) より引用 43
おわり 44