情報セキュリティ 10 大脅威 2018 ~2 章情報セキュリティ 10 大脅威組織編 ~ ~ 引き続き行われるサイバー攻撃あなたは守りきれますか?~ Copyright 2018 独立行政法人情報処理推進機構独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 2018 年

情報セキュリティ 10 大脅威 2018 章構成 1 章. 情報セキュリティ対策の基本 IoT 機器 ( 情報家電 ) 編 IoT 機器 ( 情報家電 ) におけるセキュリティ対策の基本を解説 2 章. 情報セキュリティ 10 大脅威 2018 脅威の概要と対策について解説個人と組織の2つの立場で解説 3 章. 注目すべき脅威や懸念知っておくべき脅威や懸念を解説 Copyright 2018 独立行政法人情報処理推進機構 3

情報セキュリティ 10 大脅威 2018 順位個人向け脅威順位組織向け脅威インターネットバンキングやクレジットカード情報等の不正利用 1 標的型攻撃による被害ランサムウェアによる被害 2 ランサムウェアによる被害ネット上の誹謗中傷 3 ビジネスメール詐欺による被害スマートフォンやスマートフォンアプリを狙った攻撃ウェブサービスへの不正ログイン 5 4 脆弱性対策情報の公開に伴う悪用増加脅威に対応するためのセキュリティ人材の不足ウェブサービスからの個人情報の窃取 6 ウェブサービスからの個人情報の窃取情報モラル欠如に伴う犯罪の低年齢化 7 IoT 機器の脆弱性の顕在化ワンクリック請求等の不当請求 8 内部不正による情報漏えい IoT 機器の不適切な管理 9 サービス妨害攻撃によるサービスの停止偽警告による 10 犯罪のビジネス化 Copyright 2018 独立行政法人情報処理推進機構インターネット詐欺 ( アンダーグラウンドサービス ) 4

1 位標的型攻撃による被害 ~ 組織全体でセキュリティ意識の向上を ~ 2017 年の事例 / 傾向サイバー情報共有イニシアティブ (J-CSIP) による報告 J-CSIP 参加組織 (11 業界 227 組織 ) において標的型攻撃メールの受信件数 173 件 MS Office 製品の脆弱性を悪用する添付ファイル付き標的型攻撃を確認海外の関連企業のアカウントを乗っ取った上で国内企業に対して標的型攻撃を仕掛けるケースも Copyright 2018 独立行政法人情報処理推進機構 9

1 位標的型攻撃による被害 ~ 組織全体でセキュリティ意識の向上を ~ 対策一覧経営者層問題に対応する体制 (CSIRT) の構築対策予算の確保と継続的な対策実施セキュリティポリシーの策定セキュリティ担当者被害の予防 / 対応力の向上情報の管理とルール策定セキュリティ教育インシデント訓練サイバー攻撃に関する情報収集セキュリティ対策の状況把握被害を受けた後の対応組織内体制 (CSIRT) の運用影響調査および原因の追究 CSIRT システム管理者被害の予防被害を抑止するためのシステム設計アクセス制御データの暗号化 OS ソフトウェア更新ネットワーク分離バックアップ取得被害の早期検知ネットワークエンドポイントの監視防御従業員職員被害の予防セキュリティ教育の受講 OS ソフトウェアの更新セキュリティソフトの導入更新取引先セキュリティ対策の確認被害を受けた後の対応 CSIRT へ連絡 Copyright 2018 独立行政法人情報処理推進機構 10

2 位ランサムウェアによる被害 ~ ランサムウェアの感染経路拡大 ~ 攻撃手口メールの添付ファイルを開かせる悪意のあるウェブサイトへのリンクをクリックさせる製品の脆弱性を悪用しランサムウェアに感染させる (Internet Explorer, Adobe Flash Player, Java 等の脆弱性 ) ネットワークを介して OS の脆弱性を悪用し感染させる不正なスマートフォンのアプリをインストールさせる Copyright 2018 独立行政法人情報処理推進機構 12

2 位ランサムウェアによる被害 ~ ランサムウェアの感染経路拡大 ~ 2017 年の事例 / 傾向自己増殖型ランサムウェア (WannaCry) の登場 (5 月 ) OS の脆弱性 MS17-010 を悪用しネットワーク間で感染世界的に感染を拡大国内の大手企業や地方公共団体等に被害対策されてない機器が継続して WannaCry に感染 (11 月 ) セキュリティ対策が日々進化する一方攻撃手法も進化セキュリティ対策ソフトからの検出を回避 Copyright 2018 独立行政法人情報処理推進機構 13

2 位ランサムウェアによる被害 ~ ランサムウェアの感染経路拡大 ~ 対策一覧経営者層組織としての対応体制の確立迅速かつ継続的に対応できる体制 (CSIRT 等 ) 構築対策の予算の確保と継続的な対策の実施システム管理者 /PC スマートフォン利用者被害の予防受信メールウェブサイトの十分な確認 OS ソフトウェアの更新セキュリティソフトの導入フィルタリングツールの活用共有サーバのアクセス権最小化バックアップの取得被害を受けた後の対応 CSIRTへ連絡バックアップからの復旧復号ツールの活用影響調査および原因の追究 Copyright 2018 独立行政法人情報処理推進機構 14

3 位ビジネスメール詐欺による被害 ~ 偽の振込送金依頼に注意 ~ 攻撃手口取引先になりすまし偽装した請求書を送りつける経営者等になりすまし指定の口座へ振り込ませるメールアカウントを乗っ取り従業員になりすまし偽の請求書を送りつける弁護士など社外の権威ある第三者になりすまし指定の口座へ振り込ませる詐欺を行う前に経営者等になりすまし企業内の従業員の情報を盗み取る Copyright 2018 独立行政法人情報処理推進機構 16

3 位ビジネスメール詐欺による被害 ~ 偽の振込送金依頼に注意 ~ 2017 年の事例 / 傾向日本航空にてビジネスメール詐欺被害偽の請求書メールで約 3 億 8,000 万円の被害取引先のメールアドレスに模したメールが送付されたトレンドマイクロ社による調査報告メールドメインを選択できる無料のウェブメールサービスを悪用メールの返信先 (Reply-To) を偽装標的組織のメールドメインに模したドメインを利用 Copyright 2018 独立行政法人情報処理推進機構 17

3 位ビジネスメール詐欺による被害 ~ 偽の振込送金依頼に注意 ~ 対策一覧組織被害の予防メールの真正性を確認振込先の口座変更ある場合は取引先に連絡普段と異なる言い回しや表現の誤りに注意送信元アドレスや送信元ドメインを確認電子署名の付与 ( なりすまし防止 ) メールを利用しない取引方法を検討基本的な対策 OS ソフトウェアの更新セキュリティソフトの導入メールアカウントの適切な管理被害を受けた後の対応 CSIRT へ連絡警察に相談詐称されている組織への連絡影響調査および原因の追究 Copyright 2018 独立行政法人情報処理推進機構 18

4 位脆弱性対策情報の公開に伴う悪用増加 ~ 未対策の脆弱性が狙われる! 迅速な対応を ~ 攻撃手口脆弱性対策情報を基に攻撃コードを作成パッチ適用する前のソフトウェア製品の利用者を攻撃未知もしくは未公開の脆弱性を悪用 ( ゼロデイ攻撃 ) Apache Struts や WordPress など広く利用されているソフトウェア製品を狙う Copyright 2018 独立行政法人情報処理推進機構 20

4 位脆弱性対策情報の公開に伴う悪用増加 ~ 未対策の脆弱性が狙われる! 迅速な対応を ~ 2017 年の事例 / 傾向 WordPress 利用のウェブサイトを改ざんパッチ未適用の多数のウェブサイトに被害 Apache Struts の脆弱性を悪用米国 Equifax 社約 1 億 4,500 万人の個人情報流出攻撃コードの公開による攻撃の増加 11 月中旬に Microsoft Office の脆弱性対策情報が公開 11 月下旬に攻撃コードが公開され脆弱性を悪用する攻撃が多発 Copyright 2018 独立行政法人情報処理推進機構 21

4 位脆弱性対策情報の公開に伴う悪用増加 ~ 未対策の脆弱性が狙われる! 迅速な対応を ~ 対策一覧システム管理者 / ソフトウェア利用者被害の予防資産の把握体制の整備脆弱性関連情報の収集 OS ソフトウェアの更新 WAF IPS などのセキュリティ機器の導入ネットワークの監視セキュリティサポートが充実している製品の利用被害を受けた後の対応 CSIRT へ連絡影響調査および原因の追究開発ベンダー製品セキュリティの管理組込みソフトウェアの管理脆弱性関連情報の収集対応体制の整備脆弱性発見時の対応情報発信の環境を整備パッチの迅速な提供 Copyright 2018 独立行政法人情報処理推進機構 22

5 位脅威に対応するためのセキュリティ人材の不足 ~ 組織や国は積極的なセキュリティ人材の育成を ~ 2017 年の事例経済産業省におけるセキュリティ人材調査 2016 年時点で約 13 万人が不足 2020 年には推計約 19.3 万人の不足内閣サイバーセキュリティセンター (NISC) による取組サイバーセキュリティ人材育成プログラムを作成産官学の人材育成戦略の方向性を示すセキュリティキャンプによる人材の発掘と育成若年層に対し高度な情報セキュリティ技術の習得機会を提供若年層に対し次代を担う情報セキュリティ人材を発掘育成主催 : 独立行政法人情報処理推進機構一般社団法人セキュリティキャンプ協議会 Copyright 2018 独立行政法人情報処理推進機構 24

5 位脅威に対応するためのセキュリティ人材の不足 ~ 組織や国は積極的なセキュリティ人材の育成を ~ 対策一覧組織組織としての対応体制の確立人材における予算の確保や中長期的な戦略人材育成を視野にした採用ジョブローテションによる技術知識共有資格習得などキャリアパスによる人材育成情報リテラシーの向上セキュリティ教育外部の教育サービスを活用外部開催の CTF や勉強会等への取り組みを促進 Copyright 2018 独立行政法人情報処理推進機構 25

6 位ウェブサービスからの個人情報の窃取 ~ ウェブサービスの脆弱性対策は迅速に ~ 2017 年の事例 / 傾向チケット販売のウェブサイトに不正アクセス最大約 15 万 5,000 件の個人情報が漏えいした可能性 Apache Struts2 の脆弱性を悪用登山情報サイトに不正アクセス氏名やメールアドレス等約 1,160 件の情報漏えい開発プログラムに SQL インジェクションの脆弱性 Copyright 2018 独立行政法人情報処理推進機構 29

6 位ウェブサービスからの個人情報の窃取 ~ ウェブサービスの脆弱性対策は迅速に ~ 対策一覧ウェブサービス運営者被害の予防セキュリティ対策の予算体制の確保セキュアなウェブサービスの構築セキュリティ診断によるチェック OS ソフトウェアの更新 WAF IPS の導入被害の早期検知適切なログの取得と継続的な監視被害を受けた後の対応 CSIRT へ連絡影響調査および原因の追究漏えい情報における補償 Copyright 2018 独立行政法人情報処理推進機構 30

7 位 IoT 機器の脆弱性の顕在化 ~IoT 機器の脆弱性を突く攻撃が頻発開発ベンダーは脆弱性に対する適切な対処を ~ 2017 年の事例 / 傾向ウイルス Mirai 亜種による DDoS 攻撃 7 月 ~9 月にボットネットを形成 11 月に 100Gbps を超える DDoS 攻撃が発生脆弱性を悪用し数百万台規模のウイルス感染インターネットに接続された監視カメラなどを標的国内設置の監視カメラにも感染を確認ロボット掃除機に第三者から不正に操作される脆弱性無線 LAN のセキュリティ設定が不十分な場合は危険 Copyright 2018 独立行政法人情報処理推進機構 33

7 位 IoT 機器の脆弱性の顕在化 ~IoT 機器の脆弱性を突く攻撃が頻発開発ベンダーは脆弱性に対する適切な対処を ~ 対策一覧 IoT 機器の利用者情報リテラシーの向上使用前に説明書を確認被害の予防ソフトウェア更新 ( 自動設定含む ) 外部からの不要なアクセスを制限不要な機能やポートを無効化廃棄時は初期化被害を受けた後の対応 CSIRTへ連絡機器の電源オフまたは初期化影響調査および原因の追究 IoT 機器の開発者被害の予防分りやすい取扱説明書の作成安全なデフォルト設定や脆弱性の解消初期パスワードの変更を強制化ソフトウェア更新の自動化不要な機能の無効化アクセス可能な範囲を制限安全なデフォルト設定や脆弱性の解消迅速なセキュリティパッチを提供利用者への適切な管理の呼びかけソフトウェアサポート期間の明確化 Copyright 2018 独立行政法人情報処理推進機構 34

8 位内部不正による情報漏えい ~ 内部不正を許さない管理監視体制を ~ 2017 年の事例 / 傾向元従業員が業務情報を持ち出し異なる組織へ持込み顧客情報や営業情報など約 3 万 2,800 件を持ち出し日本年金機構職員が個人情報を売買金銭目的で年金加入者の個人情報を持ち出し教職員が個人情報を持ち出し帰宅途中に紛失小学校 4 校の児童の個人情報を外部記憶媒体で持ち出し外部記憶媒体が入った鞄ごと紛失する Copyright 2018 独立行政法人情報処理推進機構 37

8 位内部不正による情報漏えい ~ 内部不正を許さない管理監視体制を ~ 対策一覧組織被害の予防被害を受けた後の対応資産の把握管理体制の整備 CSIRTへ連絡重要情報の保護 ( アクセス制御暗号化 ) 影響調査および原因の追究アカウント権限の管理定期監査警察への相談外部記憶媒体の利用制限未許可の機器の接続禁止情報取扱ポリシーの作成と周知徹底機密保護に関する誓約罰則の周知と相互監視の強化被害の早期検知システム操作の記録監視 Copyright 2018 独立行政法人情報処理推進機構 38

9 位サービス妨害攻撃によるサービスの停止 ~ ボットウイルスの感染拡大に伴う攻撃の大幅増 ~ 攻撃手口あらかじめ構築されたボットネットを利用 DNS リフレクター攻撃 ( 送信元を偽り DNS サーバーに問い合わせる ) DNS 水責め攻撃 ( 権威 DNS サーバーを高負荷にする ) DDoS 代行サービス ( 攻撃を代行する不法なサービス ) Copyright 2018 独立行政法人情報処理推進機構 40

9 位サービス妨害攻撃によるサービスの停止 ~ ボットウイルスの感染拡大に伴う攻撃の大幅増 ~ 2017 年の事例 / 傾向スマートフォンから DDoS 攻撃 Android 用アプリにウイルスが仕込まれスマートフォンをボット化 IoT 機器のボット化 IoT 機器を踏み台に Mirai 亜種が活発化 DDoS 攻撃を脅迫に利用 DDoS の攻撃の停止と引き換えに金銭を要求 Copyright 2018 独立行政法人情報処理推進機構 41

9 位サービス妨害攻撃によるサービスの停止 ~ ボットウイルスの感染拡大に伴う攻撃の大幅増 ~ 対策一覧ウェブサイトの運営者被害の予防システムの冗長化等の軽減策ネットワークの冗長化 DDoS 攻撃の影響を緩和する ISP や CDN サービスの利用ウェブサイト停止時の代替サーバの用意と告知手段の整備被害を受けた後の対応 CSIRT へ連絡通信制御 ( 攻撃元のブロック等 ) 利用者へ状況の告知影響調査および原因の追究 IoT 機器ベンダー被害の予防脆弱性対策や脆弱性の解消 Copyright 2018 独立行政法人情報処理推進機構 42

10 位犯罪のビジネス化 ( アンダーグラウンドサービス ) ~ 様々な攻撃ツールがアンダーグラウンドで販売されている ~ 攻撃手口購入したサービスやツールを利用して攻撃購入した認証情報を利用してウェブへ不正ログイン 2017 年の事例 / 傾向ランサムウェアを容易に作成する Android アプリの公開悪意のハッカーを育成するトレーニングサービスの売買 Mac ユーザを標的にしたウイルスの存在約 45 万種存在し無料のランサムウェアも Copyright 2018 独立行政法人情報処理推進機構 44

10 位犯罪のビジネス化 ( アンダーグラウンドサービス ) ~ 様々な攻撃ツールがアンダーグラウンドで販売されている ~ 対策一覧 ( 一例 ) 経営者組織としての対応体制の確立問題に対応できる体制 (CSIRT 等 ) 構築予算の確保と継続的な対策の実施システム管理者被害の予防 DDoS の攻撃の影響を緩和する ISP や CDN 等のサービス利用システムの冗長化など軽減策被害を受けた時の対応 CSIRT へ連絡通信制御 (DDoS 攻撃元をブロック等 ) ウェブサイト停止時の代替サーバの用意と告知手段の整備影響調査および原因の追究 PC 利用者被害の予防セキュリティ教育受信メールウェブサイトの十分な確認 OS ソフトウェアの更新セキュリティソフトの導入多要素認証方式などの認証方式の利用被害の早期検知不審なログイン履歴の確認被害を受けた後の対策バックアップからの普及 Copyright 2018 独立行政法人情報処理推進機構 45