情 報 セキュリティ10 大 脅 威 2015 ~ 被 害 に 遭 わないために 実 施 すべき 対 策 は?~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 2015 年 3 月
本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 確 認 ください 本 資 料 は 要 約 です 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 2
目 次 情 報 セキュリティ10 大 脅 威 について 1 章. 情 報 セキュリティ 対 策 の 基 本 2 章. 情 報 セキュリティ10 大 脅 威 2015 3 章. 注 目 すべき 課 題 や 懸 念 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 3
情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 10 大 脅 威 とは? 2006 年 よりIPAが 毎 年 発 行 している 資 料 10 大 脅 威 執 筆 者 会 約 100 名 の 投 票 により 情 報 システムを 取 巻 く 脅 威 を 順 位 付 けして 解 説 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 4
情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 章 構 成 1 章. 情 報 セキュリティ 対 策 の 基 本 被 害 を 防 ぐための 基 本 的 な 対 策 を 解 説 2 章. 情 報 セキュリティ10 大 脅 威 2015 10の 脅 威 の 概 要 と 対 策 について 解 説 3 章. 注 目 すべき 課 題 や 懸 念 知 っておくべき 課 題 や 懸 念 を 解 説 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 5
目 次 情 報 セキュリティ10 大 脅 威 について 1 章. 情 報 セキュリティ 対 策 の 基 本 2 章. 情 報 セキュリティ10 大 脅 威 2015 3 章. 注 目 すべき 懸 念 や 懸 念 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 6
情 報 セキュリティ 対 策 の 基 本 情 報 セキュリティ 対 策 の 基 本 ソフトウェアの 更 新 ウイルス 対 策 ソフトの 導 入 パスワード 認 証 の 強 化 設 定 の 見 直 し 脅 威 手 口 を 知 る 10 大 脅 威 の 順 位 は 毎 年 変 動 するが 上 記 の 基 本 的 な 対 策 の 必 要 性 は 長 年 変 わらない IT 利 用 者 には 自 発 的 な 対 策 の 実 施 が 求 められている Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 7
ソフトウェアの 更 新 ソフトウェアの 欠 陥 である 脆 弱 性 は ソフトウェアを 更 新 して 根 本 的 に 解 消 する Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 8
ウイルス 対 策 ソフトの 導 入 ウイルス 対 策 ソフトを 導 入 し 流 行 しているウイルスの 感 染 を 未 然 に 防 ぐ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 9
パスワードの 適 切 な 管 理 と 認 証 の 強 化 推 測 されにくい 記 号 英 数 字 を 含 む 十 分 な 文 字 数 のパスワードを 設 定 複 数 のウェブサービスでパスワードを 使 い 回 さない 二 要 素 認 証 等 強 い 認 証 方 式 が 利 用 できれば 利 用 する Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 10
設 定 の 見 直 し 不 要 な 設 定 は 無 効 にする フォルダや 顧 客 管 理 システム 等 への アクセス 制 限 を 適 切 に 行 う Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 11
脅 威 や 手 口 を 知 る 新 聞 やインターネット 等 から 情 報 を 自 発 的 に 収 集 し 被 害 に 遭 わないよう 手 口 を 事 前 に 知 る Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 12
目 次 情 報 セキュリティ10 大 脅 威 について 1 章. 情 報 セキュリティ 対 策 の 基 本 2 章. 情 報 セキュリティ10 大 脅 威 2015 3 章. 注 目 すべき 課 題 や 懸 念 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 13
情 報 セキュリティ10 大 脅 威 2015 順 位 脅 威 1 位 インターネットバンキングや クレジットカード 情 報 の 不 正 利 用 2 位 内 部 不 正 による 情 報 漏 えい 3 位 標 的 型 攻 撃 による 諜 報 活 動 4 位 ウェブサービスへの 不 正 ログイン 5 位 ウェブサービスからの 顧 客 情 報 の 窃 取 6 位 ハッカー 集 団 によるサイバーテロ 7 位 ウェブサイトの 改 ざん 8 位 インターネット 基 盤 技 術 を 悪 用 した 攻 撃 9 位 脆 弱 性 公 表 に 伴 う 攻 撃 10 位 悪 意 のあるスマートフォンアプリ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 14
1 位 インターネットバンキングや クレジットカード 情 報 の 不 正 利 用 ~ 個 人 口 座 だけではなく 法 人 口 座 もターゲットに~ ウイルスやフィッシング 詐 欺 により 認 証 情 報 が 窃 取 され 不 正 送 金 される Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 15
1 位 インターネットバンキングや クレジットカード 情 報 の 不 正 利 用 ~ 個 人 口 座 だけではなく 法 人 口 座 もターゲットに~ 手 口 や 影 響 ウイルスに 感 染 したパソコンが 不 正 送 金 の 被 害 に 遭 う フィッシング 詐 欺 により 入 力 した 認 証 情 報 が 窃 取 される 2014 年 の 事 例 / 統 計 不 正 送 金 被 害 が 急 増 日 本 のインターネットバンキング 利 用 者 を 狙 う ウイルスが 横 行! 2014 年 の 被 害 額 は29 億 1,000 万 円 2013 年 の 約 2 倍 に! 法 人 口 座 の 被 害 が 急 増! Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 16
1 位 インターネットバンキングや クレジットカード 情 報 の 不 正 利 用 ~ 個 人 口 座 だけではなく 法 人 口 座 もターゲットに~ 対 策 一 覧 利 用 者 ソフトウェアの 更 新 ウイルス 対 策 ソフトの 導 入 事 例 や 手 口 を 知 る 二 要 素 認 証 等 の 強 い 認 証 方 式 の 利 用 銀 行 /カード 運 営 会 社 利 用 者 への 事 例 や 手 口 の 情 報 提 供 二 要 素 認 証 等 の 強 い 認 証 方 式 の 提 供 銀 行 が 提 供 する 二 要 素 認 証 や 専 用 のウイルス 対 策 ソフトがあれば 活 用! Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 17
2 位 内 部 不 正 による 情 報 漏 えい ~ 内 部 不 正 が 事 業 に 多 大 な 悪 影 響 を 及 ぼす~ 従 業 員 職 員 が 故 意 に 内 部 情 報 を 持 ち 出 し 私 的 に 利 用 企 業 組 織 の 信 用 が 失 墜 し 補 償 賠 償 が 求 められる Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 18
2 位 内 部 不 正 による 情 報 漏 えい ~ 内 部 不 正 が 事 業 に 多 大 な 悪 影 響 を 及 ぼす~ 発 生 要 因 動 機 機 会 : 処 遇 の 不 満 借 金 による 生 活 苦 : 不 正 行 為 ができる 環 境 正 当 化 : 自 分 勝 手 な 理 由 づけ 2014 年 の 事 例 / 統 計 通 信 教 育 大 手 から 膨 大 な 個 人 情 報 が 漏 えい 委 託 先 企 業 の 社 員 が3,504 万 件 の 個 人 情 報 を 持 ち 出 し 被 害 企 業 は 顧 客 に 総 額 200 億 円 の 補 償 を 発 表 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 19
2 位 内 部 不 正 による 情 報 漏 えい ~ 内 部 不 正 が 事 業 に 多 大 な 悪 影 響 を 及 ぼす~ 対 策 一 覧 経 営 者 層 就 業 規 則 およびセキュリティポリシーの 整 備 職 員 や 委 託 先 との 秘 密 保 持 誓 約 の 徹 底 対 策 を 推 進 するための 体 制 の 構 築 システム 管 理 者 資 産 の 把 握 と 重 要 度 による 分 類 アカウントや 権 限 の 管 理 ( 設 定 抹 消 ) システム 操 作 の 記 録 と 監 視 入 退 室 の 監 視 や 持 込 み 物 等 の 確 認 組 織 一 丸 となって 積 極 的 に 対 策 を 推 進 する 体 制 を Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 20
3 位 標 的 型 攻 撃 による 諜 報 活 動 ~ 標 的 組 織 への 侵 入 手 口 が 巧 妙 化 ~ ネット 経 由 のスパイ 活 動 により 企 業 組 織 の 情 報 が 流 出 取 引 先 や 関 連 会 社 を 踏 み 台 にして 本 丸 を 狙 う 傾 向 あり Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 21
3 位 標 的 型 攻 撃 による 諜 報 活 動 ~ 標 的 組 織 への 侵 入 手 口 が 巧 妙 化 ~ 侵 入 手 口 メールからウイルス 感 染 ばらまき 型 やり 取 り 型 ウェブからウイルス 感 染 水 飲 み 場 型 標 的 組 織 の 関 連 会 社 が 踏 み 台 に 2014 年 の 事 例 / 統 計 やり 取 り 型 の 顕 在 化 問 い 合 わせ 窓 口 が 狙 われる メールのやり 取 りの 後 ウイルス 入 りのメールを 送 る 手 口 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 22
3 位 標 的 型 攻 撃 による 諜 報 活 動 ~ 標 的 組 織 への 侵 入 手 口 が 巧 妙 化 ~ 対 策 一 覧 経 営 者 層 問 題 に 迅 速 に 対 応 できる 体 制 の 構 築 セキュリティ 担 当 部 署 セキュリティ 教 育 の 実 施 システム 管 理 者 システム 設 計 対 策 アクセス 制 限 ネットワークの 監 視 内 部 へ 侵 入 されることを 想 定 した 多 層 防 御 を Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 23
4 位 ウェブサービスへの 不 正 ログイン ~ 利 用 者 は 適 切 なパスワード 管 理 を~ パスワードを 窃 取 されウェブサービスを 不 正 利 用 される 複 数 サービスでパスワードを 使 い 回 すユーザーが 被 害 に Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 24
4 位 ウェブサービスへの 不 正 ログイン ~ 利 用 者 は 適 切 なパスワード 管 理 を~ 手 口 と 影 響 パスワードの 推 測 パスワードの 窃 取 (ウイルス 感 染 別 サービスから 窃 取 ) サービスに 不 正 ログインされ 2014 年 の 事 例 / 統 計 個 人 情 報 の 窃 取 やポイントを 不 正 利 用 される SNSサービスへの 不 正 ログイン アカウントが 乗 っ 取 られる 事 件 が 多 発 攻 撃 者 は 友 人 になりすまし プリペイドカードの 購 入 を 依 頼 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 25
4 位 ウェブサービスへの 不 正 ログイン ~ 利 用 者 は 適 切 なパスワード 管 理 を~ 対 策 一 覧 ウェブサービス 利 用 者 推 測 されにくいパスワードを 設 定 する パスワードを 使 い 回 さない 二 要 素 認 証 等 の 強 い 認 証 方 式 の 利 用 サービス 提 供 者 安 全 なウェブサービスの 提 供 複 雑 なパスワード 設 定 を 要 求 ( 少 ない 文 字 数 の 拒 否 記 号 の 使 用 の 確 認 等 ) 二 要 素 認 証 等 の 強 い 認 証 方 式 の 提 供 パスワードは 推 測 されにくいものを 設 定 し 複 数 のサービスで 使 い 回 さない Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 26
5 位 ウェブサービスからの 顧 客 情 報 の 窃 取 ~ 脆 弱 性 や 設 定 の 不 備 を 突 かれ 顧 客 情 報 が 盗 まれる~ ウェブサービスから 個 人 情 報 が 窃 取 される 事 件 が 多 発 クレジットカード 情 報 が 窃 取 されると 金 銭 被 害 に 発 展 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 27
5 位 ウェブサービスからの 顧 客 情 報 の 窃 取 ~ 脆 弱 性 や 設 定 の 不 備 を 突 かれ 顧 客 情 報 が 盗 まれる~ 手 口 や 影 響 ソフトウェアやウェブアプリケーションの 脆 弱 性 を 悪 用 リモート 管 理 用 のサービスからの 侵 入 顧 客 情 報 の 窃 取 やその 情 報 の 悪 用 2014 年 の 事 例 / 統 計 OpenSSLの 脆 弱 性 を 狙 った 攻 撃 カード 会 社 が 使 用 する 暗 号 化 通 信 ソフト(OpenSSL)の 脆 弱 性 を 悪 用 し 894 件 のクレジットカード 情 報 が 漏 えい Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 28
5 位 ウェブサービスからの 顧 客 情 報 の 窃 取 ~ 脆 弱 性 や 設 定 の 不 備 を 突 かれ 顧 客 情 報 が 盗 まれる~ 対 策 一 覧 ウェブサービス 運 営 者 安 全 なウェブサービスの 構 築 ソフトウェアの 更 新 安 全 なウェブサービスの 構 築 は セキュリティを 担 保 した 設 計 と 開 発 が 必 要 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 29
6 位 ハッカー 集 団 によるサイバーテロ ~ 破 壊 活 動 や 内 部 情 報 の 暴 露 を 目 的 としたサイバー 攻 撃 ~ 企 業 組 織 にダメージを 与 えることを 目 的 とした 攻 撃 システムの 破 壊 や 内 部 情 報 の 暴 露 により 信 用 が 失 墜 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 30
6 位 ハッカー 集 団 によるサイバーテロ ~ 破 壊 活 動 や 内 部 情 報 の 暴 露 を 目 的 としたサイバー 攻 撃 ~ 手 口 と 影 響 脆 弱 性 や 標 的 型 攻 撃 メール 等 により 侵 入 され ウェブ 改 ざん システム 破 壊 情 報 窃 取 の 被 害 に 遭 う 信 用 の 失 墜 やビジネス 機 会 の 損 失 につながる 2014 年 の 事 例 / 統 計 米 国 の 映 像 メディア 企 業 が 標 的 に メールや 映 像 コンテンツ 等 が 漏 えい 内 部 の 業 務 システムに 影 響 米 国 政 府 は 北 朝 鮮 によるサイバー 攻 撃 と 公 表 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 31
6 位 ハッカー 集 団 によるサイバーテロ ~ 破 壊 活 動 や 内 部 情 報 の 暴 露 を 目 的 としたサイバー 攻 撃 ~ 対 策 一 覧 経 営 者 層 リスクマネジメント 体 制 の 構 築 セキュリティ 担 当 部 署 セキュリティ 教 育 の 実 施 システム 管 理 者 安 全 なシステム 設 計 アクセス 権 限 の 管 理 アクセス 制 御 データの 保 護 暗 号 化 バックアップ システムの 復 旧 のためのバックアップや 冗 長 化 等 インシデント 発 生 を 想 定 した 準 備 も 重 要 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 32
7 位 ウェブサイトの 改 ざん ~ 知 らぬ 間 に ウイルス 感 染 サイトに 仕 立 てられる~ ウェブサイトを 改 ざんされてウイルス 感 染 に 悪 用 される サイト 運 営 者 はウイルス 感 染 に 加 担 した 加 害 者 側 に Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 33
7 位 ウェブサイトの 改 ざん ~ 知 らぬ 間 に ウイルス 感 染 サイトに 仕 立 てられる~ 手 口 と 影 響 ソフトウェアやウェブアプリケーションの 脆 弱 性 を 悪 用 リモート 管 理 用 のサービスからの 侵 入 ウイルス 感 染 や 主 義 主 張 自 己 顕 示 に 悪 用 される 2014 年 の 事 例 / 統 計 コンテンツ 管 理 システム(CMS)が 標 的 に 国 産 CMSのWDPの 脆 弱 性 を 悪 用 され 多 数 のサイトが 被 害 に 管 理 されず 放 置 されているウェブサイトが 狙 われる Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 34
7 位 ウェブサイトの 改 ざん ~ 知 らぬ 間 に ウイルス 感 染 サイトに 仕 立 てられる~ 対 策 一 覧 ウェブサイト 運 営 者 サーバーソフトウェアの 更 新 サーバーソフトウェアの 設 定 の 見 直 し ウェブアプリケーションの 脆 弱 性 対 策 アカウント パスワードの 適 切 な 管 理 ウェブサイト 閲 覧 者 ソフトウェアの 更 新 ウイルス 対 策 ソフトの 導 入 ウェブサイト 運 営 者 は 利 用 しているソフトウェアを 適 切 に 管 理 し 安 全 な 運 用 を Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 35
8 位 インターネット 基 盤 技 術 を 悪 用 した 攻 撃 ~インターネット 事 業 者 は 厳 重 な 警 戒 を~ DNSや 電 子 証 明 書 等 のインターネット 基 盤 技 術 を 悪 用 なりすましやDDoS 攻 撃 の 被 害 が 発 生 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 36
8 位 インターネット 基 盤 技 術 を 悪 用 した 攻 撃 ~インターネット 事 業 者 は 厳 重 な 警 戒 を~ 手 口 と 影 響 なりすましによりドメインを 乗 っ 取 りウイルス 感 染 サイトに 誘 導 DDoS 攻 撃 により 標 的 のネットワークやサーバーを 麻 痺 させる 2014 年 の 事 例 / 統 計 ドメイン 名 ハイジャックによる 登 録 情 報 の 書 き 換 え 国 内 の 企 業 組 織 の.com ドメインの 登 録 情 報 が 書 換 えられ ウェブ 閲 覧 者 がウイルス 感 染 サイトに 誘 導 された Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 37
8 位 インターネット 基 盤 技 術 を 悪 用 した 攻 撃 ~インターネット 事 業 者 は 厳 重 な 警 戒 を~ 対 策 一 覧 インターネット 事 業 者 ドメインや 電 子 証 明 書 等 を 使 用 する 企 業 組 織 等 登 録 変 更 申 請 内 容 の 真 偽 の 確 認 強 化 定 期 的 な 登 録 情 報 の 確 認 利 用 機 器 やソフトウェアの 適 切 な 設 定 偽 者 による ドメイン 登 録 変 更 や 証 明 書 発 行 依 頼 に 注 意! Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 38
9 位 脆 弱 性 公 表 に 伴 う 攻 撃 ~ 求 められる 迅 速 な 脆 弱 性 対 策 ~ 公 表 された 広 く 利 用 されているソフトウェアの 脆 弱 性 が 相 次 いで 攻 撃 に 悪 用 される Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 39
9 位 脆 弱 性 公 表 に 伴 う 攻 撃 ~ 求 められる 迅 速 な 脆 弱 性 対 策 ~ 手 口 と 影 響 脆 弱 性 の 情 報 から 攻 撃 コードを 作 成 公 表 に 気 付 かない 対 応 判 断 が 遅 れた 利 用 者 が 被 害 に 2014 年 の 事 例 / 統 計 サーバーソフトウェアの 脆 弱 性 の 公 表 OpenSSLの Heartbleed やbashの ShellShock の 脆 弱 性 を 悪 用 する 攻 撃 の 観 測 Apache Struts2の 脆 弱 性 の 修 正 が 不 十 分 で 再 度 パッチを 公 開 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 40
9 位 脆 弱 性 公 表 に 伴 う 攻 撃 ~ 求 められる 迅 速 な 脆 弱 性 対 策 ~ 対 策 一 覧 経 営 者 層 迅 速 な 対 応 に 向 けた 体 制 の 整 備 ソフトウェア 利 用 者 管 理 しているシステムの 把 握 定 期 的 な 脆 弱 性 情 報 の 収 集 ソフトウェアの 更 新 脆 弱 性 公 表 をキャッチして 迅 速 に 対 応 できる 体 制 や 習 慣 を 作 る Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 41
10 位 悪 意 のあるスマートフォンアプリ ~アプリのインストールで 友 人 に 被 害 が 及 ぶことも~ スマホ 内 の 電 話 帳 等 の 情 報 が 第 三 者 に 送 信 される 個 人 情 報 を 悪 用 され 友 人 や 知 人 に 被 害 が 及 ぶ 場 合 も Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 42
10 位 悪 意 のあるスマートフォンアプリ ~アプリのインストールで 友 人 に 被 害 が 及 ぶことも~ 手 口 と 影 響 偽 物 のアプリを 公 開 して 誘 導 アップデートで 悪 意 のあるアプリに 豹 変 別 のアプリを 勝 手 にインストール 端 末 内 の 情 報 窃 取 や 盗 聴 盗 撮 2014 年 の 事 例 / 統 計 人 気 のAndroidアプリの 偽 物 アプリ 多 くの 偽 物 アプリを 非 公 式 のダウンロードサイトで 確 認 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 43
10 位 悪 意 のあるスマートフォンアプリ ~アプリのインストールで 友 人 に 被 害 が 及 ぶことも~ 対 策 一 覧 スマートフォン 利 用 者 信 頼 できるアプリかどうかを 確 認 アクセス 権 限 の 確 認 OSやアプリは 最 新 版 を 利 用 ウイルス 対 策 ソフトの 導 入 アプリのインストールは 慎 重 に! Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 44
目 次 情 報 セキュリティ10 大 脅 威 について 1 章. 情 報 セキュリティ 対 策 の 基 本 2 章. 2014 年 版 10 大 脅 威 3 章. 注 目 すべき 課 題 や 懸 念 1. 迅 速 に 対 応 できる 体 制 の 構 築 2. ネットワーク 対 応 機 器 の 増 加 3. 拡 大 するネット 犯 罪 の 被 害 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 45
1. 迅 速 に 対 応 できる 体 制 の 構 築 ~ 脆 弱 性 の 公 表 や 事 件 発 生 に 対 応 できる 体 制 作 り~ 様 々なセキュリティの 問 題 に 迅 速 に 対 応 するため 組 織 としての 体 制 強 化 が 求 められる Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 46
1. 迅 速 に 対 応 できる 体 制 の 構 築 ~ 脆 弱 性 の 公 表 や 事 件 発 生 に 対 応 できる 体 制 作 り~ 2014 年 に 発 生 した 迅 速 な 対 応 が 求 められた 例 広 く 利 用 されている 製 品 の 脆 弱 性 の 公 表 サーバーソフトウェアのApache Struts OpenSSL bash 等 クライアントソフトウェアのInternet Explorer Adobe Flash Player 等 内 部 不 正 による 情 報 漏 えい 事 件 ベネッセ 3,504 万 件 の 顧 客 情 報 が 漏 えい Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 47
1. 迅 速 に 対 応 できる 体 制 の 構 築 ~ 脆 弱 性 の 公 表 や 事 件 発 生 に 対 応 できる 体 制 作 り~ 体 制 を 構 築 するには 経 営 層 が 対 策 の 内 容 と 実 施 について 責 任 を 持 つ 体 制 構 築 と 継 続 的 な 対 策 の 実 施 のために 予 算 を 確 保 企 業 組 織 内 に CSIRT を 設 置 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 48
2.ネットワーク 対 応 機 器 の 増 加 ~モノのインターネット(IoT)にもセキュリティ 対 策 を~ 家 電 オフィス 機 器 制 御 機 器 等 のネットワーク 対 応 機 器 が 増 加 ネットワークを 介 して 機 器 が 攻 撃 された 場 合 乗 っ 取 りや 情 報 漏 えいの 被 害 を 受 ける 可 能 性 あり Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 49
2.ネットワーク 対 応 機 器 の 増 加 ~モノのインターネット(IoT)にもセキュリティ 対 策 を~ モノのインターネット(IoT) ネットワーク 対 応 機 器 は IoT(Internet of Things)と 称 される 将 来 爆 発 的 な 増 加 が 見 込 まれている ガートナーは2009 年 の9 億 台 から 2020 年 に260 億 台 と 試 算 ネットワーク 対 応 機 器 の 危 険 性 と 攻 撃 インターネット 接 続 で 世 界 中 から 攻 撃 される 無 線 LANルーターへのウイルスの 感 染 も 確 認 されている 制 御 システム 車 載 システムや 医 療 機 器 等 への 侵 害 は 人 命 にかかわる 可 能 性 も Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 50
2.ネットワーク 対 応 機 器 の 増 加 ~モノのインターネット(IoT)にもセキュリティ 対 策 を~ ネットワーク 対 応 機 器 の 問 題 点 セキュリティを 充 分 考 慮 せず 設 計 されている 意 図 せずにインターネットからアクセス 可 能 な 状 態 更 新 プログラムが 自 動 で 配 信 されない 機 器 への 留 意 点 対 策 製 品 開 発 者 : 初 期 状 態 からセキュリティの 高 い 設 定 で 提 供 する システム 管 理 者 :インターネットからのアクセスを 制 限 する 利 用 者 :セキュリティが 保 たれるよう 適 切 に 設 定 して 利 用 する Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 51
3. 拡 大 するネット 犯 罪 の 被 害 ~ 巧 妙 化 するウイルスやネット 詐 欺 による 金 銭 被 害 ~ ITを 悪 用 して 金 銭 を 窃 取 する 事 件 が 増 加 ウイルスによる 不 正 送 金 や 不 当 な 会 費 の 請 求 詐 欺 が 横 行 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 52
3. 拡 大 するネット 犯 罪 の 被 害 ~ 巧 妙 化 するウイルスやネット 詐 欺 による 金 銭 被 害 ~ 犯 罪 者 もITを 利 用 犯 罪 者 はメールやウェブサイトを 悪 用 する SNS(FacebookやLine 等 )を 利 用 する 攻 撃 も 金 銭 被 害 の 増 加 インターネットバンキングに 関 わる 不 正 送 金 被 害 の 急 増 不 正 送 金 被 害 は2014 年 が29 億 1,000 万 円 で2013 年 の 約 2 倍 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 53
3. 拡 大 するネット 犯 罪 の 被 害 ~ 巧 妙 化 するウイルスやネット 詐 欺 による 金 銭 被 害 ~ 不 正 請 求 の 手 口 ワンクリック 請 求 偽 ウイルス 対 策 ソフト ランサムウェア ITにも 防 犯 が 必 要 ウェブサイトから 攻 撃 の 手 口 や 事 例 を 知 ることも 防 犯 対 策 警 察 庁 のサイト 利 用 している 銀 行 のサイト IPAのサイト 等 修 正 プログラムの 適 用 やウイルス 対 策 ソフトの 導 入 等 基 本 的 な 対 策 も 必 要 不 可 欠 Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 54
本 資 料 に 関 する 詳 細 な 内 容 は 以 下 のページのPDF 資 料 をご 覧 ください 情 報 セキュリティ10 大 脅 威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 55
情 報 セキュリティ 船 中 八 策 一 ソフトウェアの 更 新 ~ 善 は 急 げ ~ 二 ウイルス 対 策 ソフトの 導 入 ~ 予 防 は 治 療 に 勝 る ~ 三 パスワードの 適 切 な 管 理 ~ 敵 に 塩 を 送 ることのなきように ~ 四 認 証 の 強 化 ~ 念 には 念 を 入 れよ ~ 五 設 定 の 見 直 し ~ 転 ばぬ 先 の 杖 ~ 六 脅 威 手 口 を 知 る ~ 彼 を 知 り 己 を 知 れば 百 戦 殆 からず ~ 七 クリック 前 に 確 認 ~ 石 橋 を 叩 いて 渡 る ~ 八 バックアップ ~ 備 えあれば 憂 いなし ~ Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 56
Copyright 2015 独 立 行 政 法 人 情 報 処 理 推 進 機 構 57