ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

Similar documents
セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

SHODANを悪用した攻撃に備えて-制御システム編-

目次 取組み概要 取組みの背景 取組みの成果物 適用事例の特徴 適用分析の特徴 適用事例の分析結果から見えたこと JISAによる調査結果 どうやって 実践のヒント をみつけるか 書籍発行について紹介 今後に向けて 2

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

目次 Information-technology Promotion Agency, Japan 1. はじめに 2.SNS 利用時のリスク 3.SNS 利用時に気をつけるべき点 4. まとめ 2

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

目次 はじめに... 1 本書の対象読者... 1 注意事項 オフィス機器とサーバー機能 オフィス機器のサーバー機能 オフィス機器の問題と脅威 インターネット接続機器検索サービス SHODAN SHODAN

本プレゼンのポイント 脅威を知ることが対策への近道 2

Google グループ を使ったメール内容の公開例 : メール内容の公開範囲の初期設定は当初 [ 全てのユーザー ] に設定されており それを 気にとめず にそのまま利用していたため メールは Google グループを使用しているユーザーなら誰でも閲覧できる状態になっていました リスク : 表 の

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

本日 お話しすること 第一部多様化する IoT のセキュリティ脅威 IoT 機器に感染するウイルスの多様化 脆弱性を有する IoT 機器の散在 国内に広がる感染被害 第二部開発者 製造者の対策 IoT 開発におけるセキュリティ設計の手引き 開発段階からセキュリティを考慮 ( セキュリティ バイ デザ

不正アプリのお話 ( 自分で入れちゃう話 ) 2

PowerPoint プレゼンテーション

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ あなたのシステムや機器が見られているかもしれない ~

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

目 次 徹底解説本試験問題シリーズの刊行にあたって 試験制度解説編 1. データベーススペシャリスト試験の概要 8 2. 受験ガイド 平成 29 年度春期の試験に向けて 25 平成 26 年度春期試験問題と解答 解説編午前 Ⅰ 問題 H26-1 午前 Ⅱ 問題 H26-19 午後 Ⅰ 問

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

重大な経営課題となる 制御システム のセキュリティリスク ~ 制御システムを運用する企業が実施すべきポイント ~ 2015 年 5 月 14 日 15 日独立行政法人情報処理推進機構技術本部セキュリティセンター主任研究員渡辺貴仁 1

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

映像で知る情報セキュリティ 情報セキュリティに関する様々な脅威と対策を10 分程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です YouTube IPAチャンネル では19タイトルをいつでも試聴できます

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

Microsoft Word - 農業者年金記録管理システム(2018年8月改訂版)

目次 1. はじめに 2 2. インターネットからの不正アクセス防止セキュリティ対策と注意点 3 対策 1 : プライベート IPアドレスの使用対策 2 : 管理者パスワード変更対策 3 : ユーザー認証の設定対策 4 : IPアドレスのフィルタリング 3. シャープデジタル複合機のセキュリティ設定

第5回 マインクラフト・プログラミング入門

OP2

PowerPoint プレゼンテーション

製品概要

ソフトウェアの品質とは? 2

FAQ案(Linkup Manager)

PowerPoint プレゼンテーション

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

IPA

SiteLock操作マニュアル

ウイルス 不正アクセスの被害状況と対策の動向 ~IPA への届出を踏まえて ~ 2014 年 5 月独立行政法人情報処理推進機構技術本部セキュリティセンター 岡野裕樹 Copyright 2013 独立行政法人情報処理推進機構

第 号 2014 年 4 月 1 日独立行政法人情報処理推進機構 今月の呼びかけ あなたのパソコンは 4 月 9 日以降 大丈夫? ~ 使用中パソコンの判別方法 乗り換えプランを紹介 ~ マイクロソフト社 Windows XP と Office 2003 のサポートが 2014

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

インシデントハンドリング業務報告書

事故前提社会における           企業を支えるシステム操作統制とは

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

2 診断方法および診断結果 情報セキュリティ対策ベンチマークは 組織の情報セキュリティ対策の取組状況 (25 問 + 参考質問 2 問 ) と企業プロフィール (15 項目 ) を回答することにより 他社と比較して セキュリティ対策の 取組状況がどのレベルに位置しているかを確認できる自己診断ツールで

96. ウイルスや不正アクセス等の被害状況 図表 96は 昨年 1 年間に自宅のパソコンでコンピュータウイルスや不正アクセスなどの障害や被害にあったかどうかを尋ねた結果を日米韓で比較したものである コンピュータウイルスを発見した人の割合とコンピュータウイルスに感染した人の割合は いずれも韓国が一番高

1.indd

PowerPoint プレゼンテーション

metis ami サービス仕様書

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

8 ユーザ ID とパスワードを入力してもログインできないです 入力したユーザ ID またはパスワードに誤りがある可能性があります パスワードが分からない場合は ログインページ より パスワード再発行をクリックして 再発行されたパスワードでログイン操作願います 9 現在の残席数を知りたいのですが ど

セキュリティソフトウェアをご使用の前に

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

■POP3の廃止について

Microsoft Word - hozon-fujimura-HP-伊勢工業高校における造船教育の歴史から学ぶ

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

福岡大学ネットワーク認証・検疫システム実施マニュアル

目次 目次 アプリ画面説明 NinjaLock 操作権限の追加 ( 招待 ) NinjaLock 操作権限の削除 NinjaLock 操作権限の編集 NinjaLockの名前を変更する カギの閉まる方向を変更する オートロックを設定する NinjaLockをWi-Fiに接続する NinjaLockを

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

VPNマニュアル

セキュリティ・ミニキャンプin新潟2015 開催報告

順番検索システムのご案内について

中継サーバを用いたセキュアな遠隔支援システム

映像で知る情報セキュリティ社内研修用教材 Information-technology Promotion Agency, Japan 主な対象主に組織内の情報セキュリティ教育担当者 P マークや ISMS の事務局担当者 コンプライアンス部門担当者 その他情報セキュリティの最新状況を入門的に理解し

PowerPoint プレゼンテーション

マイナンバー対策マニュアル(技術的安全管理措置)

SeciossLink クイックスタートガイド

事例例紹介 ~ 脅威と対策 ( 事例 1) 初期期パスワードや脆弱なパスワードの利用に起因因する 第三三者による映映像不正閲覧覧 PTZ 等の機器操作 脅脅威 監視カメラなどに初期設定されたユーザ名やパスワードは メーカ毎にほぼ決まっていたり WEB サイトなどから入入手可能な説明明書に掲載されてい

終息しない ガンブラー攻撃 その対策は? 2010 年 10 月 28 日独立行政法人情報処理推進機構 セキュリティセンターウイルス 不正アクセス対策グループ主幹加賀谷伸一郎 Copyright 2010 独立行政法人情報処理推進機構

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

スライド 1

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

中小企業向け サイバーセキュリティ対策の極意

これだけは知ってほしいVoIPセキュリティの基礎

Mobile Access IPSec VPN設定ガイド

スライド 1

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

8 ユーザ ID とパスワードを入力してもログインできないです 入力したユーザ ID またはパスワードに誤りがある可能性があります パスワードが分からない場合は ログインページ より パスワード再発行をクリックして 再発行されたパスワードでログイン操作願います 9 現在の残席数を知りたいのですが ど

IoT における脅威の顕在化 情報セキュリティ 10 大脅威 2017 個人 10 位 組織 8 位にランクイン 2

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

ソフトウェア品質説明 平成25年6月公開 2

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

ACR-C 保証継続報告書 独立行政法人情報処理推進機構原紙理事長藤江一正押印済変更 TOE 申請受付日 ( 受付番号 ) 平成 24 年 1 月 12 日 (IT 継続 2077) 認証番号 C0312 申請者コニカミノルタビジネステクノロジーズ株式会社 TOEの名称日本語名 :bi

2.5 月のアクセスの状況 28 年 5 月のアクセス状況は 4 月と比べて若干減少しました これは主に Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスである 126/udp 127/udp および 128/udp などへのアクセスが減少したためです

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

BACREX-R クライアント利用者用ドキュメント

ホームページ・ビルダー サービス「ライトプラン」

ホームページ・ビルダー サービス「ライトプラン」

スライド 1

S o f t w a r e R e l i a b i l i t y E n h an c e m e n t C e n t er Information-technology Promotion Agency, Japan つながる世界のセーフティ & セキュリティ設計の見える化 つながる

Transcription:

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

内容 インターネットに接続することについて ポイントを解説 被害事例を紹介 対策について考える 2

繋がる機器 国境を越えて繋がる あまり意識をしないまま 様々な機器がインターネットに接続されている これらの機器が攻撃のターゲットになってきている 3

インターネットに接続するイメージ ~ 外部からの接続を拒否 ~ ポイント インターネットの住所 ( グローバルIP) には誰でも訪問が可能 本駒込二丁目 28 番 8 号 202.122.141.45 ドメイン (ex. ipa.go.jp) を取得していなくてもアクセスされる 玄関 192.168.0.1 外部から内部の機器へのアクセスを許可しなければ侵入されない 太郎 192.168.0.2 カメラ 192.168.0.3 4

インターネットに接続するイメージ ~ 外部からの接続を許可 ~ ポイント 外部からの訪問者を招き入れたい場合がある 本駒込二丁目 28 番 8 号 202.122.141.45 応接間玄関 192.168.0.3 192.168.0.1 ネットワーク機器の設定で内部の機器へのアクセスを許可できる 制限しなければ誰でも訪問可能 太郎 192.168.0.2 5

目的 世界を見れるということは 世界から見られる可能性がある 機器の脆弱性ではなく 使い方の問題 改めて インターネットに接続している ことの意識を変える 6

被害事例 case.1 複合機 2016 年 1 月に 複数の学術機関において複合機がインターネットからアクセス可能となっていたと報道 26 校が該当 メールアドレスや文書のファイル名等が閲覧できた 2013 年に続き IPA で再度注意喚起を実施 http://www.asahi.com/articles/ashdd45k9hddptil00b.html https://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html 7

被害事例 case.2 ウェブカメラ 海外のサイトにおいてインターネットに公開されているウェブカメラの一覧が掲載されていると報道 医療機関や製造会社に設置された防犯カメラも含まれていた IDやパスワードが設定されていない機器が確認されている 外部からアクセス可能なウェブカメラについては2015 年 3 月にも報道されている ウェブカメラ一覧 http://www.sankei.com/west/news/160330/wst1603300055-n1.html http://www.asahi.com/articles/ash3654c1h36ptil00w.html 8

被害事例 case.3 ルータ ルータが乗っ取られ DDoS 攻撃等への悪用が可能になっていると報道 全てのルータでリモートアクセスが可能 ほぼ全てのルータが初期パスワードを変更していない LAN 内の他の機器にアクセスされる可能性もある 内部だけでなく 外部への攻撃にも悪用される http://japan.zdnet.com/article/35064561/ 9

ここで素朴な疑問 ドメイン (ex. ipa.go.jp) を取得してないから大丈夫? 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫? 有名ではない機器を使用しているから大丈夫? このような認識の方にこそ聴いていただきたい! 10

素朴な疑問への回答 ドメイン (ex. ipa.go.jp) を取得してないから大丈夫? グローバル IP アドレスならアクセスされる 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫? 世界中の機器を調査したデータが公開されている 有名ではない機器を使用しているから大丈夫? 適宜調査対象は追加される このような認識の方にこそ 容易に探せる ということを知ってただきたい! 11

インターネットに接続された機器を検索するエンジンの存在 Shodan というサービスでインターネットに接続された機器の検索が可能 Googleでもウェブカメラの検索といった類似の検索は可能 12

検索エンジンの活用 ~ 問題が存在する機器の探索 1~ MongoDBというデータベースソフトが不適切な設定のために外部からアクセス可能になっていると報道 Shodan で調査した結果 海外で投票者の情報を発見された ファイアウォールの製品に遠隔アクセスが可能な脆弱性が存在すると報道 検索エンジンを使用して 5 万台以上ががインターネットからアクセス可能と確認 1500 台以上がパッチを適用されていない http://www.itmedia.co.jp/enterprise/articles/1502/23/news141.html http://arstechnica.co.uk/security/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/ http://www.securityweek.com/backdoors-not-patched-many-juniper-firewalls 13

検索エンジンの活用 ~ 問題が存在する機器の探索 2~ 米国でガソリンポンプの監視システムへの攻撃を確認したと報道 Shodan による調査の結果 米国で多数の監視システムがインターネット上に公開されていた 海外でトラックの通信機器にインターネットからアクセス可能だったと報道 Shodanによる調査で 数百の機器を確認した 多くの機器はアクセスに認証の必要がなかった http://blog.trendmicro.co.jp/archives/10922 http://news.softpedia.com/news/internet-connected-trucks-can-be-tracked-and-hacked-researcher -finds-501415.shtml 14

対策 ~ 管理の明確化 ~ 管理者を明確する ネットワーク接続のルールを定める 利用者に周知する ルールを定める 利用者 管理 周知 管理者 15

対策 ~ ネットワークによる保護 ~ 必要がない機器を外部ネットワークに接続しない 原則ファイアウォールやブロードバンドルータを経由させ 許可する通信を限定する 外部からの利用者やベンダーの保守員 利用者 悪意ある第三者 管理者 16

対策 ~ 適切な設定 ~ 管理者用のアカウント / パスワードを初期値から変更 ソフトウェアを最新の状態に更新する 外部からの利用者やベンダーの保守員 利用者 悪意ある第三者 管理者 17

まとめ 世界中から見られる可能性がある 攻撃者は 検索エンジンなどを利用して簡単にターゲットを探せる ネットワーク機器は正しく設定して利用する 高度な対策の前に まずは基本の対策を! 18

新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで 組織の情報セキュリティ確保に貢献し 脅威から 継続的に組織を守るための基本的スキルを認定する試験 受験をお勧めする方 個人情報を扱う全ての方 業務部門 管理部門で情報管理を担当する全ての方 28 年度秋期試験実施時期 初回応募者約 2 万 3 千人!! 実施日 2016 年 10 月 16 日 ( 日 ) 申込受付 2016 年 7 月 11 日 ( 月 ) から 19

IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html iパス は ITを利活用するすべての社会人 学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です 20

21

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック