2
3
0-(1) 本日の説明内容イメージ 1. 標的型攻撃とは 脅威 資産脆対影響対弱策脅威性性脅威に対して脆弱性があり 3. 対策 影響 脅威に対して脆弱性があり 対策が不 分な場合に影響が発生 2. 被害事例 4
0-(2) 機密情報の脅威 過失 故意 内部の人 内部従業者の過失 悪意を持った内部従業者の犯 例 ) ベネッセ個人情報漏洩 外部の人 例 )USB メモリの紛失フィアル交換ソフトを介した流出 悪意ある第三者の攻撃 標的型攻撃は この区分になります 5
6
1-(1) 標的型攻撃の定義 標的型攻撃とは 標的の組織 ( 関係する組織含む ) に対して 巧妙に作られたメール等を通じて組織内部に侵入し 機密情報を盗み取るなどの一連の攻撃の総称です 特徴 特定の組織に狙いを絞っている 継続的かつ執拗 標的の組織が公開している情報を利 する ( ソーシャルエンジニアリング ) ウィルス対策ソフトでは攻撃を検知できない 7
1-(2) 従来の攻撃との違い 従来 従来はウィルス制作者の自己顕示や興味本位によるいたずらが目的でした 特定の対象を攻撃しているわけではないため 運悪く最初に感染した人は被害を受けますが 多くの人はウィルス対策ソフトで検知できるようになるため 被害を受けませんでした 攻撃者 a A 社 攻撃者 b B 社 攻撃者 c C 社 8
1-(2) 従来の攻撃との違い 標的型攻撃 現在は 悪意ある第三者が機密情報窃取などを目的に 集団で特定の攻撃対象に不正プログラムを送り込みます 特定の組織を狙ったウィルスは 通常のウィルス対策ソフト ( ) では防ぐことができません パターンマッチング方式と呼ばれる方式でウィルスを検知するソフト 従来と同様 最初の感染は検知できません A 社 B 社 攻撃組織 β 9 C 社
1-(3) 電子メールによる標的型攻撃の特徴 従来の攻撃 攻撃者 従来から電 メールを経路としたウイルス感染が存在しましたが 攻撃対象を特定しない不特定多数の無作為な攻撃でした 電 メールの受信者にとっては 無関係な内容のメールであるため 攻撃であることを容易に想定できました 標的型攻撃 近年では標的型メール攻撃が登場しています 標的型メール攻撃は 標的となる対象に合わせてメール内容が作られており 一 しただけではそれが偽物とは判断できない巧妙な手口となっています 攻撃組織 12
1-(3) 電子メールによる標的型攻撃の特徴 受信者が疑わないように工夫された件名 本文 添付ファイル URL リンク 会議開催案内 業務に係る参考情報 関連組織に関する情報 関係者を装った差出人 Yahoo! メール等のフリーメールアカウントからの送付から 実際のメールアドレス ( やそれに近いもの ) を使 したものが増加 本物の文書ファイルに えるアプリケーションファイル アイコンやファイル名からは Word 文書に えるが 実際は exe ファイル アイコン偽装 ファイル名偽装 RLO トラップ OS やアプリケーションの脆弱性を悪 して 内部に埋め込んだプログラムを実 させるドキュメントファイル 13
1-(4) 偽装されたファイルの事例 引 元 :IPA 標的型攻撃メール < 危険回避 > 対策のしおり http://www.ipa.go.jp/security/antivirus/documents/10_apt.pdf 14
1-(5) 不正プログラムの特徴 従来の攻撃 攻撃者 従来の不正プログラムは 自己顕示が目的だったため た目が派手なものが多数でした そのため 感染したことに気がつきやすいという特徴があります 標的型攻撃 攻撃組織 しかし 標的型攻撃の不正プログラムは 画面上の変化が無く 感染したことを隠蔽する動きをするものがほとんどです このため 感染に気がつかない事が多く 被害が大きくなります また パスワードや機密情報を盗む ( 読取りのみ ) 動作をしますが データの改ざん 削除などの攻撃者に気づかれる動作をしないという特徴があります 15
16
2-(1) 標的型メール攻撃の動向 平成 26 年 9 月 16 日 警察庁が標的型攻撃の現状を公表 平成 26 年上半期に確認された標的型攻撃メールは 216 件であることを発表しました 件数は増えていませんが 不正プログラムを送る対象を少数に絞った攻撃が増加しています 警察が把握した標的型メール攻撃の件数 出典 https://www.npa.go.jp/kanbou/cybersecurity/h26_kami_jousei.pdf 17
2-(2) 被害の傾向 実態 警察庁の平成 26 年上半期の調査結果によると 標的型攻撃メールの添付ファイル形式の約 9 割が圧縮ファイルでした 圧縮ファイルを展開 ( 解凍 ) して生成されるファイルの約 7 割が実 ファイル (.exe 又は.scr) であり 約 2 割が Windows ショートカットファイル (.lnk) でした 標的型メールに添付されたファイル形式の傾向 出典 警察庁平成 26 年度上半期のサイバー空間をめぐる脅威の情勢について https://www.npa.go.jp/kanbou/cybersecurity/h26_kami_jousei.pdf 20 圧縮ファイルに格納されたファイル形式の傾向
2-(3) 被害事例 : 国内エネルギー関連組織 国内エネルギー関連組織の原発情報の窃取を目的とした攻撃 当該組織のウェブサイトに掲載している連絡先電 メールアドレス宛に 不正 為の告発に関する情報を送付する 旨の事前連絡がなされたのち 標的型攻撃メールを送信 職員が不審メールと疑わず添付ファイルを開封 ウィルスに感染し 情報が外部に漏洩 標的型攻撃メール 1 標的型攻撃メールを送信 3 添付ファイルに仕組まれた URL( 外部サーバ ) へ接続 2メールに添付されたファイルを開封 4 ウィルスをダウンロード 攻撃者 ウィルス 5 情報の窃取 機密情報 出典 国内エネルギー関連組織の報告(http://www.jaea.go.jp/02/press2012/p12120501/) を元に作成 21
2-(3) 被害事例 : 国内大手総合重機メーカー 国内大手総合重機メーカーの軍需情報の窃取を目的とした攻撃 大手総合機器メーカーが加盟している団体を攻撃し 事前目標を定めた 83 台の端末にウィルスが感染し 50 種類のウィルスが検出された 攻撃者 1 事前目標調査 ぎ業界団体 地方機関など 対策が不 分な関連組織が狙われた!! 2 攻撃環境準備 踏み台など 大手総合重機メーカー 3 標的型メール攻撃 4 バックドア設置 5 ウィルスによる捜索と窃取 出典 IPA 新しいタイプの攻撃 の対策に向けた設計 運用ガイド _ 改訂第 2 版 _ 簡易版 22
2-(3) 被害事例 : 国内大手航空会社 国内大手航空会社の顧客情報の窃取を目的とした攻撃 社内システムのレスポンスが悪化する事象が発生し 普段使われない端末からアクセスがあることを発 23 台の端末にウィルスが感染していたが 全ての端末にはウィルス対策ソフトが導入されていた インターネット 攻撃者 1 侵入経路不明 2 不正プログラムがパソコンに侵入 4 顧客情報送信 ウイルス対策ソフトでは検知できなかった!! ウィルス対策ソフト 端末 3 パソコンを遠隔操作し 顧客情報システムから個人情報抜き取り 社内システム ( 顧客情報 ) 出典 国内大手航空会社の報告 (https://www.jal.co.jp/info/other/140924.html) を元に作成 23
24
3-(1) 標的型攻撃メールの対策 ポイント 安易に 添付ファイル を開かない! 安易にメール本文中の URL リンク をクリックしない! 添付ファイルは危険!! 例 添付ファイル型の標的型攻撃メール URL リンクは危険!! 例 URL リンク型の標的型攻撃メール 25
3-(1) 標的型攻撃メールの対策 見破り方 普段やり取りのない人からのメール 差出人にそぐわない内容 差出人と署名が別人などの不自然さがあれば 要注意です 一番確実な確認方法は 送信者に確認することです 送信者が知り合いであれば 何らかの手段 ( 電話等 ) で メールを送信したか 添付ファイルを付けたか等の確認することが有効です 自分で判断できない場合は システム管理者等のセキュリティ専門家に相談することが望ましいです 自分勝手な ( 中途半端な ) 判断が 企業 組織に大きな問題を引き起こす可能性があることを認識しましょう 26
3-(1) 標的型攻撃メールの対策 確認ポイント 標的型攻撃メールを 分ける確認ポイントの例を次に記します ただし 分けがつかない巧妙な標的型攻撃メールがあることに注意が必要です メールのアドレスがフリーメールになっていないか? 緊急性や重要性が誇張される件名になっていないか? 大事なお知らせ 緊急 重要 添付ファイルを開く事をあからさまに促す内容になっていないか? 件名や本文の日本語が不自然ではないか? 差出人が知らない人 / 組織になっていないか? [ 注意 ] 知っている人 / 組織になりすましている場合があります 自分の業務とは関係のない内容ではないか? [ 注意 ] 業務に関連ある内容を詐称する場合があります 27
3-(1) 標的型攻撃メールの対策 技術的対策 使 している OS やソフトウェアを最新の状態に保つことにより 脆弱性を突いた攻撃を防ぐことが出来ます Microsoft Windows Microsoft Office (Word, Excel, PowerPoint 等 ) ウィルス対策ソフト ライセンス及びパターンファイルのアップデートを確実に う Adobe 製品 (Acrobat, Reader, Flash 等 ) JustSystems 一太郎 その他 アプリケーションやソフトウェア JVN(http://jvn.jp/) や JPCERT Weekly Report (http://www.jpcert.or.jp/wr/) 掲載情報等の確認と対策差出人が知らない人 / 組織になっていないか? 28
3-(2) 従来の防御方針とこれからの防御方針 従来の防御方針 : 境界防御 ネットワークを分離し ファイアーウォールによるアクセス制御は有効な対策です ( 基本対策 ) しかし 許可している通信を防ぐことができません 昨今の攻撃は 許可されている通信を悪 することが多いため 止められない攻撃が増えています 例 ) インターネット上のウェブサイトを るための HTTP 通信 これからの防御方針 : 多層防御 攻撃者は 人 です どのような対策をしているかを調査した上で その対策で防ぐことができない部分を攻撃します 必ず防ぐことができる単一の対策はありません 単一の対策だけでなく多層的に複数の対策で防御することが有効です 29
3-(3) 従来のウィルス対策とこれからのウィルス対策 従来の事前対策 ( 防御 ): パターンマッチング型ウィルス対策 パターンマッチング型 ( ブラックリスト型 ) ウィルス対策は 誰かが 被害にあった場合 同じ犯人 ( 不正プログラム ) が別の人に対して犯罪をしようとするのを止める対策 (= 指名手配 ) です 昨今は 毎日 新たな犯人が次から次へと ( すべて異なる不正プログラムが大量に ) 出てくるため 対策の効果が薄れています これからの事前対策 ( 防御 ): ホワイトリスト型ウィルス対策 許可されたプログラム ( ホワイトリスト ) を事前に登録し それ以外のプログラムは動作しないようにする対策が有効です ただし 利 者による変更が多い場合は 運 に 障が出る場合があります 30
3-(4) これからの事前対策 : 人的対策 事前対策 ( 防御 ): 人的対策 技術的対策だけで標的型攻撃を防ぐことは困難です 教育 管理による人的対策も重要です 教育 対応基準 体制整備 標的型攻撃の脅威と影響 ( 事例 ) の教育 標的型攻撃の疑似体験 ( 標的型攻撃メール対応訓練サービス ) 不審メールを受信した場合の周知 メールの取り扱い ( 削除するのか 残すか ) 連絡 報告 インシデント対応チーム (CSIRT) セキュリティ専門企業との連携 31
3-(5) これからの事後対策 : 検知 対応 事後対策 : 検知 対応 標的型攻撃を防げず 内部に侵入されたことを想定することが重要です インシデントが起きた時の対応の準備を事前にしておくことが有効です 人にはサイバー攻撃は えません える化 ( 検知 ) が必要です 検知 対応 検知するための仕組み セキュリティ対策ベンダーが提供する製品やサービス ログ取得 分析 検知した後の迅速な対応 迅速に対応するためには 事前の準備が重要 32
33
ウィルス検知の仕組み (1/2) ウイルス対策ソフトはブラックリストに合致するウィルス ( 指名手配犯 ) を検知します ブラックリストは毎日更新されます ウィルス情報の調査 更新 ( 随時 ) ウィルス対策ベンダー ブラックリストと照合 発! 不正な挙動を阻止! 他所で悪さをして手配されているので知っている ウィルス対策ソフト 指名手配犯 34
ウィルス検知の仕組み (2/2) ウイルス対策ソフトはブラックリストに無い ( 指名手配されていない ) ウィルスは検知できません この場合 パソコンに侵入され 不正な活動をされる恐れがあります ウィルス情報の調査 更新 ( 随時 ) ウィルス対策ベンダー ブラックリストと照合 合致しない! 被害 感染! 犯罪歴が無いので 知らない ウィルス対策ソフト 35 初犯 ( 新種のウィルス )
お問合せ先 標的型攻撃の技術的 人的対策のほか 情報セキュリティ対策に関する無料個別相談をお受けします 電話 メールでお問い合わせいただく際は 下記までご連絡ください 特定非営利活動法 みちのく情報セキュリティ推進機構事務局 TEL:022-393-8088 MAIL:michinoku-is@misec-tpjc.jp http://www.misec-tpjc.jp/michinoku/index.html 37