Agenda JNSAのご紹介企業における最近の被害動向日常的に発生するサイバー攻撃多発するリスト型アカウントハッキング攻撃揺らぐ基盤ソフトウェアへの信頼止まらない個人情報の漏えい 2013 年情報セキュリ

Agenda JNSAのご紹介企業における最近の被害動向日常的に発生するサイバー攻撃多発するリスト型アカウントハッキング攻撃揺らぐ基盤ソフトウェアへの信頼止まらない個人情報の漏えい 2013 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~ 2014 年上期情報セキュリティインシデントに関する調査結果速報サイバーセキュリティ費用から投資へ個人情報漏えい損害額の算出情報セキュリティ市場規模の推定まとめ 2

JNSAのご紹介 3

NPO 日本ネットワークセキュリティ協会名称特定非営利活動法人日本ネットワークセキュリティ協会 JNSA (Japan Network Security Association) 設立 2000 年 4 月 ( 任意団体として発足 NPO 法人化は2001 年 ) 会員数 162 社 (2015 年 1 月現在 ) 主に情報セキュリティベンダー住所本部東京都港区西新橋西日本支部大阪府大阪市淀川区西中島 URL メール役員 http://www.jnsa.org/ sec@jnsa.org 会長田中英彦 ( 情報セキュリティ大学院大学学長 ) 副会長中尾康二 (KDDI 株式会社 ) 事務局長高橋正和 ( 日本マイクロソフト株式会社 ) 下村正洋 ( 株式会社ディアイティ) 4

NPO 日本ネットワークセキュリティ協会設立社会インフラとしてのインターネット普及と情報ネットワーク社会の形成を背景にネットワークセキュリティシステムに携わるベンダーによる団体として2000 年設立 2001 年に特定非営利活動法人 (NPO)として認可活動の目的ネットワーク社会の情報セキュリティレベルの維持向上日本における情報セキュリティ意識の啓発最新の情報セキュリティ技術および脅威に関する情報提供など会員企業ネットワークセキュリティ製品を提供しているベンダーシステムインテグレータインターネットプロバイダーなど約 160 社 (2015 年 1 月現在 ) 部会社会活動部会西日本支部調査研究部会総会理事会幹事会情報セキュリティ教育事業者連絡会 <ISEPA> 標準化部会日本セキュリティオペレーション事業者協議会 <ISOG-J> 教育部会監事事務局会員交流部会 U40 部会 (2015 年 1 月 ) 5

調査研究部会活動目的 : 被害調査および市場調査を2 大事業として推進し技術的研究としてIPv6などの新コンピューティング技術の調査研究およびスマートフォン SNSの安全な利用内部犯行等に関する調査研究を行うセキュリティ被害調査 WG リーダー: 大谷尚通氏 ( 株式会社 NTTデータ) 個人情報漏えい編発生確率編の調査を継続し報告書を作成し公開する 2012 年個人情報漏えい編発生確率編 2013 年個人情報漏えい編の調査報告書を作成し公開する 2013 年情報セキュリティインシデントに関する調査報告書 ( 公開中 ) http://www.jnsa.org/result/incident/index.html 2011 年情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ ( 公開中 ) http://www.jnsa.org/result/incident/2011_probability.html 2014 年情報セキュリティインシデントに関する調査報告書近日公開予定!! セキュリティ市場調査 WG リーダー: 木城武康氏 ( 株式会社日立システムズ) 国内の情報セキュリティ市場の現況を調査分析し報告書を作成する 2013 年度情報セキュリティ市場調査報告書 ( 公開中 ) http://www.jnsa.org/result/2014/surv_mrk/index.html 6

調査研究部会その他のWG 組織で働く人間が引き起こす不正事故対応 WG リーダー: 甘利康文氏 (セコム株式会社 ) IPA 組織における内部不正防止ガイドラインの各章に対応した製品サービスを掲載した内部不正対策ソリューションガイドを公開 http://www.jnsa.org/result/2013/surv_acci/index.html IPv6セキュリティ検証 WG リーダー: 許先明氏スマートフォン活用セキュリティポリシーガイドライン策定 WG リーダー: 栃沢直樹氏 (トレンドマイクロ株式会社 ) SNSセキュリティWG リーダー: 高橋正和氏 ( 日本マイクロソフト株式会社 ) シンギュラリティ調査 WG リーダー: 広口正之氏 (リコージャパン株式会社 ) IoTセキュリティWG リーダー: 兜森清忠氏 ( 株式会社シマンテック) 脅威を持続的に研究するWG リーダー: 大森雅司氏 ( 株式会社日立システムズ) 各 WGの活動内容については http://www.jnsa.org/active/2014/surv.html をご覧ください 7

企業における最近の被害動向日常的に発生するサイバー攻撃 9

IIJ Internet Infrastructure Review(IIR) Vol.23を元に作成 (http://www.iij.ad.jp/company/development/report/iir/023.html) IIRに各インシデントの参照情報 (URL 等 )が記載されている詳細はそちらを確認のことサイバーセキュリティ月間キックオフシンポジウム費用から投資へ月日内容 2 US-CERTは 12 月に発覚した大手小売り事業者の情報流出の原因となったPOS 端末に感染するマルウェアについて注意喚起を行った複数のオンラインゲームで何者かによるDDoS 攻撃が行われサービス停止などの影響が出たこの攻撃は特定の利用者に対する攻撃の可能性が 4 指摘されている独立行政法人日本原子力研究開発機構は高速増殖炉もんじゅの事務処理用パソコン1 台がウイルスに感染し情報流出の可能性があることを公表した 6 米国のY 社は年末年始の期間中に欧州の自社サイトに配信した広告のいくつかで不正サイトからのマルウェアへの誘導が行われていたことを公表し 1 た韓国で大手クレジットカード3 社から延べ8,500 万件のクレジットカード情報がカード会社と契約していた信用情報会社の社員により流出していたこと 8 が発覚した 11 大手オンラインストレージサービスのD 社でメンテナンス時の不具合により 2 日間に渡るサービス障害が発生した 15 S 社は日本の大手出版社のWebサイトが改ざんされ Toolkitによる不正サイトからのマルウェアへの誘導が行われていたことを発表した 31 米国 Y 社のメールサービスで一部アカウントに対するリスト型攻撃による不正ログインが発生した航空会社の会員向けWebサイトで不正アクセスが発生し通信販売サイトのポイントに交換される事件が発生した東京大学国際高等研究所カブリ数物連携宇宙研究機構でスーパーコンピュータシステムが外部からの不正アクセスを受けたことを公表したこの 3 事件では侵入されたシステムを通じて共同研究を行っていた国立天文台など外部の研究機関への不正アクセスも確認されたことから各研究機関で対応が行われた 2 3 最近のセキュリティ事件 (2014/1~3) 6 独立行政法人国立がん研究センターは国立がん研究センター東病院のパソコン2 台がウイルス感染し患者情報などが漏えいした可能性があることを公表した 7 Bitcoinの取引所の1つであるMt. Goxは技術トラブルを修正するためとしてビットコインの払い出しを一時停止したこの後 2 月 28 日にサイバー攻撃によるBitcoinと銀行預金の流出のため債務超過に陥ったとして民事再生手続きを申請した 12 Bitcoin 取引所のMtGoxやBitStampなどがトランザクション展性を悪用した取引妨害攻撃を受けたとして口座からの引き出しを一時停止したこの影響でBitcoinの対ドルレートが一時急落するなどの影響が出た 18 検索サイトの検索連動型広告を悪用し複数の金融機関の偽サイトへの誘導が行われていたことが発覚し対応が行われた 24 H 社は提供しているサービスに対して外部から不正ログインされた可能性があるとしてパスワード変更や登録内容の確認を行うよう注意喚起を行った 10 別の航空会社の会員向けWebサイトで不正ログインが発生しマイルを別のポイントに交換される事件が発生したことを公表した 12 CMSであるWordPressで投稿にリンクが張られたことを知らせるPingback 機能を悪用した大規模なDDoS 攻撃が発生した 17 ブラジルとベネズエラでGoogle Public DNSの経路が一時的にBGPハイジャックされる事件が発生した

IIJ Internet Infrastructure Review(IIR) Vol.24を元に作成 (http://www.iij.ad.jp/company/development/report/iir/024.html) IIRに各インシデントの参照情報 (URL 等 )が記載されている詳細はそちらを確認のことサイバーセキュリティ月間キックオフシンポジウム費用から投資へ 5 6 最近のセキュリティ事件 (2014/4~6) 月日 4 15 JPCERTコーディネーションセンターは Movable Typeの既知の脆弱性を使用した攻撃により不正なファイルが設置されたり攻撃サイトへと誘導する iframeや難読化されたJavaScriptが埋め込まれたりする事件が多く確認されているとして注意喚起を行った 20 FBIはファイルやアカウント情報を盗むRAT Blackshadesに関わったとされる共同作成者を含む100 人以上を逮捕したことを発表した 27 オーストラリアなど複数の国で A 社製のスマートフォンが遠隔ロックされ金銭を要求される事件が発生したこの事件では A 社が提供しているスマートフォンを探す機能を悪用したと考えられているが手口の詳細については明らかになっていない 29 複数のプロバイダでDNSサーバへの問い合わせが急増したことによる障害が発生した 3 内容 15 カナダ歳入庁のWebサイトに対して OpenSSLの脆弱性 (CVE-2014-0160)を悪用した攻撃が発生し納税者およそ900 人分の社会保障番号が漏えいしたことを発表したなお 4 月 17 日に学生が容疑者として逮捕された国立感染症研究所は Webメールの管理者を騙ったメールによってメールアカウントのユーザ名とパスワードが盗取され迷惑メールが送信されたこ 16 とを公表した 5 月後半から発生していた複数サイトの不正アクセスによるコンテンツやファイルの改ざん事件について利用していたCDNサービスの提供事業者が不正侵入を受けたことによるものと判明した米司法省はオンラインバンキングなどの情報窃取を行うマルウェアであるGameOver Zeusについて 10ヵ国以上の法執行機関と共同でテイクダウンを実施し関連サイトの差し押さえや管理者の逮捕などが行われたことを公表した 12 サポート終了となった日本独自のブログ作成ツールについて約 8 割が問題のある状態で運用されており攻撃者の標的になっているとして注意喚起が行われた 13 香港の民主化を求めて活動する団体の電子投票システムに対する大規模なDDoS 攻撃が発生した 19 広告配信サーバによって Adobe Flash Playerの更新を促す通知に見せかけた悪意あるサイトに誘導する広告が表示される事件が発生した 30 Microsoft 社は Bladabindi(NJrat)とJenxcus(NJw0rm)の2つのマルウェアファミリーが利用していたダイナミックDNSサービスであるNO-IPの23ドメインについてテイクダウンを実施したことを公表した

IIJ Internet Infrastructure Review(IIR) Vol.25を元に作成 (http://www.iij.ad.jp/company/development/report/iir/025.html) IIRに各インシデントの参照情報 (URL 等 )が記載されている詳細はそちらを確認のことサイバーセキュリティ月間キックオフシンポジウム費用から投資へ 8 9 最近のセキュリティ事件 (2014/7~9) 月日 7 9 内容通信教育企業は同社の約 2070 万人分の顧客情報が名簿業者など外部に流出したことを公表したその後 9 月に公表された最終報告では約 4858 万人分の個人情報が漏えいしたことが判明しているインド政府のルート認証局の傘下で中間認証局を運営するインド国立情報工学センター(NIC)で複数のGoogleドメインやYahoo!ドメインの証明書が不正に発行されたことが判明し複数のブラウザで当該証明書を無効にする対応が行われた原因については証明書発行プロセスが破られたためとされている通信教育企業の顧客情報が外部に漏えいした事件について業務委託企業の元派遣社員が不正競争防止法違反 ( 営業秘密の複製 )の容疑で逮捕さ 17 れた一般財団法人日本データ通信協会テレコムアイザック推進会議はインターネットバンキングに係るマルウェア(Game Over Zeus)の国際的な感染駆 18 除作戦に関連し官民連携による国民のマルウェア対策支援プロジェクト(ACTIVE)を通じて該当マルウェアに感染している利用者への注意喚起を実施することを発表した欧州中央銀行は Webサイトに侵入されイベント登録者の電子メールアドレスなどの個人データが漏えいしたことを公表したこの事件は漏えいした 24 データと引き換えに金銭を要求する匿名のメールが届いたことから発覚した 25 国内の複数の企業や行政機関より自サイトのホームページを模倣したWebサイトに対する注意喚起が相次いで行われた 1 US-CERTは POSシステムを対象とした新種の不正プログラムBackoffが確認されたとして注意喚起を行った 2 Mozilla Developer Networkはデータベースダンプファイルが誤って公開状態になっていたことから 7 万 6 千のMDNユーザのメールアドレスと4,000 ユーザの暗号化されたパスワードが漏えいした可能性があることを公表した各国の政府機関が情報収集活動に利用しているとされる商用監視ソフトウェアFinSpy(FinFisher)について提供元企業が不正アクセスを受け 40GB 4 にもなる内部文書とソースコードが公開された米国のセキュリティ企業より 2014 年 2 月から5 月にかけて BGPハイジャックにより仮想通貨のマイニングプールへのトラフィックを偽のマイニング 8 プールに振り向ける攻撃が行われていたことが報告されたこの攻撃では 19のISPが影響を受けたとされており攻撃者は8 万 3000ドルの利益を得ていた可能性があることが指摘されている米国でインターネットの速度が低下したり通信が不安定になるなどの現象が発生した原因については広報されたBGPの経路情報が古いルー 12 タでBGPのルーティングテーブルの上限である512kを超えたためと考えられるテキスト編集ソフトの日本語と簡体字中国語のサポートサイトが改ざんされ利用者のユーザ名パスワード IPアドレスを盗もうとする痕跡が見つ 13 かったことが公表されたその後 8 月 18 日に再度 Webサイトが改ざんされ当該シェアウェアの更新チェック機能を利用して悪意あるファイルがインストールされる事件も発生している 21 米国 U 社は国内の51ヵ所の代理店でマルウェア感染が確認され顧客のクレジットカード情報などが流出した可能性があることを公表した 25 何者かによって S 社が提供するネットワークサービスへのDDOS 攻撃が行われ大規模な障害が発生した米国でハリウッド女優などのプライベート写真が掲示板に掲載される事件が発生したこの事件は流出した複数の著名人のiCloudアカウントに不 1 正アクセスが行われたことが原因とされている 3 米国の小売り大手であるH 社で大規模なカード情報の流出が発生した 18 ゲームサーバにDDoS 攻撃を複数回行いゲーム会社の業務を妨害したとして高校生が電子計算機損壊等業務妨害容疑で書類送検された 24 航空会社でマルウェア感染による不正アクセスが発生し最大で73 万件の会員の個人情報が漏えいした可能性があることが公表された物流事業者のサポートサイトへパスワードリスト攻撃と考えられる不正ログインがあり一部の会員の個人情報が閲覧されることで漏えいした可能性 26 があることが公表された同様の事件は28 日に別の物流事業者のサポートサイトでも発生している

企業における最近の被害動向多発するリスト型アカウントハッキング攻撃 13

リスト型アカウントハッキング攻撃同じID パスワードを使い回しているアカウントを狙った不正ログイン攻撃無料オンラインサービスオンラインショッピングサイトオンラインゲーム SNS クラウドサービス ID: PW: abc@mail.jp Hogeh0ge! 漏洩 ID: abc@mail.jp PW: Hogeh0ge! ID=メールアドレスを指定! ID: abc PW: Hogeh0ge! パスワードの使い回し! ID: PW: abc Hogeh0ge! ID: PW: abc@mail.jp Hogeh0ge! 不正ログイン攻撃者 ID: ID: PW: ID: PW: PW: abc@mail.jp abc@mail.jp Hogeh0ge! abc@mail.jp Hogeh0ge! Hogeh0ge! 14

リスト型アカウントハッキングの被害例リスト型アカウントハッキングが成功してアカウントへ不正アクセスされてしまった場合の被害攻撃者 ID: ID: abc@mail.jp ID: abc@mail.jp PW: abc@mail.jp PW: Hogeh0ge! PW: Hogeh0ge! Hogeh0ge! 不正ログインオンラインショッピングサイト SNS クラウドサービス乗っ取ったアカウントを使って換金性の高い商品を不正購入乗っ取ったアカウントの友人から電子マネーをだまし取る乗っ取ったアカウントを使ってCPUリソースを不正利用したり攻撃の踏み台や水飲み場型攻撃用のWebページやC&C サーバに使う 15

2013 年個人情報漏洩インシデントトップ10 No. 漏えい人数業種原因 1 400 万人情報通信業不正アクセス 2 169 万 2496 人情報通信業不正アクセス 3 47 万人卸売業, 小売業不正アクセス 4 42 万 6000 人公務 ( 他に分類されるものを除く) 紛失置忘れ 5 24 万 3266 人情報通信業不正アクセス 6 17 万 5297 人情報通信業設定ミス 7 15 万 0165 人卸売業, 小売業不正アクセス 8 12 万 0616 人金融業, 保険業管理ミス 9 10 万 9112 人情報通信業不正アクセス 10 9 万 7438 人情報通信業不正アクセスリスト型アカウントハッキング攻撃 2013 年は不正アクセスが急増! 16

リスト型アカウントハッキングの対策案リスト型アカウントハッキングによって不正ログインされないためにはパスワードを使いまわさない同じパスワードを使わない 2 要素認証など不正アクセス対策がしっかりしたサービスを積極的に利用する解読されやすい秘密の質問を使用しないログインできる端末やIPアドレスを限定する( 可能な場合 ) 設定ミスに気をつける(クラウドサービスの場合など) 2 要素認証リスト型アカウントハッキングで 1 段階目の認証を突破されても 2 段階目の認証を突破できない例 ) 母親の旧姓は? = 鈴木出身地は? = 東京 17

企業における最近の被害動向揺らぐ基盤ソフトウェアへの信頼 18

基盤となるソフトウェアの脆弱性 Heartbleed 暗号化通信で広く用いられているソフトウェアであるOpenSSLにおいてハートビート処理の実装に問題があり細工したデータをリクエストとして送ることにより本来読み出せないプロセスのメモリ領域をレスポンスに含めさせることが可能となる脆弱性が発見された IIJ Internet Infrastructure Review(IIR) Vol.24より引用 http://www.iij.ad.jp/company/development/report/iir/024/01_04.html 対策は修正済バージョンへのアップデート対象は下表のとおりだが詳細はOpenSSL 公式サイトや各脆弱性情報提供サイト等を参照 19

基盤となるソフトウェアの脆弱性 CCS Injection OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されましたこの脆弱性を悪用された場合暗号通信の情報が漏えいする可能性があります株式会社レピダム OpenSSL #ccsinjection vulnerability より引用 http://ccsinjection.lepidum.co.jp/ja.html 本脆弱性による MITM 攻撃ではサーバとクライアントの両方が OpenSSL を使っている場合にその間にいる攻撃者が SSL/TLS ハンドシェーク中に特別なメッセージを割り込ませることで攻撃者にも計算できる鍵を両者の暗号化通信に使わせることができます攻撃者はその鍵を使って暗号化通信を復号でき通信内容の盗聴改ざんが可能になりますこの攻撃を受けた状況でもサーバとクライアントでは通常どおりの暗号化通信として認識され異常に気づくことができません IIJ Security Diary OpenSSL の Man-in-the-middle 攻撃可能な脆弱性の影響より引用 https://sect.iij.ad.jp/d/2014/06/069806.html 対策は修正済バージョンへのアップデート対象はバージョンに依存 ( 次ページ参照 ) 詳細はOpenSSL 公式サイトや各脆弱性情報提供サイト等を参照 20

基盤となるプロトコルの脆弱性 POODLE Attack POODLE Attackと呼ばれる本手法はBEAST 攻撃に類似した中間者攻撃でブラウザから大量のリクエストをサーバに送りつけることによるトライ&エラーを繰り返すことでSSLで暗号された攻撃対象データを1バイトずつ復号することを可能にしています. 現実的な攻撃としてはCookieの搾取が挙げられます暗号プロトコル評価技術コンソーシアム(CELLOS) [2014/10/15] SSLv3 仕様そのものに対する POODLE attack についてより引用 https://www.cellos-consortium.org/jp/index.php?poodleattack_20141015_j 対策はSSLv3の無効化など対象は SSLv3を使用可能としているデバイス全て詳細は各脆弱性情報提供サイト等を参照 21

基盤となるソフトウェアの脆弱性 Shellshock GNU bash の脆弱性 ~ shellshock 問題 ~ は Linux で使用するシェルのひとつである GNU bash (Bourne-Again Shell) の環境変数の処理に存在する任意のコード実行などを許してしまう脆弱性です Web サーバ上で動作する CGI プログラムや Linux ベース組み込みシステムなど非常に広範囲にわたって影響を与えるものです日本シーサート協議会 GNU bash の脆弱性 ~ shellshock 問題 ~ についてより引用 http://www.nca.gr.jp/2014/shellshock/ 対象はbash を使っているプログラムすべて対策は修正済みバージョンへのアップデート詳細は各脆弱性情報提供サイト等を参照 22

最近の問題における特徴正規アカウントの悪用など対象が幅広く検出や対策が難しい攻撃が数多く発生している ID/パスワードを使ってログインする仕組みがあればリスト型パスワードハッキングの攻撃対象となる可能性があるインターネットの基盤として広く使われているオープンソースソフトウェアでもいまだに新しい脆弱性が発見される安全という認識で広く長く使われているものがある日突然危険になる既に数多くの組み込み機器にインターネット関連技術が使われておりパソコンやスマホだけがセキュリティ対策の対象ではない同様の技術を使っていればIoTデバイスなども対象となる長期間にわたって対応が発生することを想定する必要があるどこからでも攻撃されやすく問題発生時の影響が大きい長期の対応を前提としたセキュリティ対策が不可避 23

企業における最近の被害動向止まらない個人情報の漏えい 2013 年情報セキュリティインシデントに関する調査結果 ~ 個人情報漏えい編 ~より 24

漏えい人数と件数 ( 経年 ) 3000 万人 3,053 万人漏えい人数 2,500 件インシデント件数 2,357 件 2500 万人 2,224 万人 2,000 件 2000 万人 1500 万人 1000 万人 500 万人 0 万人 1,032 件 881 万人 993 件 864 件 1,373 件 723 万人 1,539 件 1,679 件 572 万人 558 万人 1,551 件 628 万人 1,388 件 972 万人 925 万人 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年漏えい人数はほぼ横ばい漏えい人数インシデント件数 1,500 件 1,000 件 500 件 0 件件数はもっとも多い公表されたインシデント 25

原因別の漏えい件数不正な情報持ち出し 21 件 1.5% 設定ミス 43 件 3.1% 不正アクセス 65 件 4.7% 盗難 77 件 5.5% 内部犯罪内部不正行為 14 件 1.0% 紛失置忘れ 199 件 14.3% 目的外使用 10 件 0.7% 管理ミス 449 件 32.3% バグセキュリティホール 7 件 0.5% 誤操作 485 件 34.9% ワームウイルス 5 件 0.4% その他 9 件 0.6% 不明 5 件 0.4% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 管理ミス (1391 件 ) 誤操作 (474 件 ) 紛失置忘れ (189 件 ) 盗難 (88 件 ) 誤操作 (485 件 ) 管理ミス (449 件 ) 紛失置忘れ (199 件 ) 盗難 (77 件 ) 管理ミス(= 誤廃棄 ) 誤操作 (=ケアレスミス) による漏えいが多い上位の原因に大きな変化はなし 26

原因別の漏えい件数 ( 経年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 22 件 20 34 件 53 12 件 128 件 434 件 21 件 81 件 82 件 17 146 件 290 件 176 件 34 件 157 件 60 件 483 件 14 件 369 件 17 件 22 件 543 件 539 件 474 件 485 件 177 件 194 件 211 件 189 件 122 213 件件 189 件 199 件 266 件 143 件 154 件 121 件 72 件 30 件 117 件 128 件 103 件 88 件 77 件 14 件 22 20 件 25 件 18 件 35 28 件 65 件 2005 年 (n=1032) 2006 年 (n=993) 68 件 2007 年 (n=864) 19 件 80 件 305 件 2008 年 (n=1373) 2012 年は管理ミスの件数が大幅増加 53 件 784 件 2009 年 (n=1539) 19 件 73 件 609 件 2010 年 (n=1679) 26 件 77 件 497 件 2011 年 (n=1551) 30 件 60 件 1,391 件 23 件 2012 年 (n=2357) 21 件 449 件 43 件 2013 年 (n=1389) 不明その他内部犯罪内部不正行為目的外使用不正な情報持ち出し管理ミス設定ミス誤操作紛失置忘れ盗難不正アクセスワームウイルスインシデントの3 大要因は人為的ミス管理ミス誤操作紛失置忘れバグセキュリティホール 27

媒体別の漏えい件数 USB 等可搬記録媒体 108 件 7.8% 携帯電話スマートフォン 13 件 0.9% PC 本体 40 件 2.9% その他 33 件 2.4% 不明 9 件 0.6% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 紙媒体 (1384 件 ) USB 等可搬記録媒体 (610 件 ) 紙媒体 (941 件 ) インターネット (126 件 ) 電子メール 119 件 8.6% インターネット 126 件 9.1% 紙媒体 941 件 67.7% 電子メール (130 件 ) インターネット (118 件 ) 電子メール (119 件 ) USB 等可搬記録媒体 (108 件 ) 紙媒体による漏えいが多い ( 例年通り) USBが大幅減少 28

媒体別の漏えい件数 ( 経年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 32 16 68 件件 68 8 件 66 件 76 1 件 162 件 218 件 173 件 81 件 106 件 44 51 件 0 85 件 133 件 108 件 94 件 515 件 435 件 349 件 2005 年 (n=1032) 2006 年 (n=993) 2007 年 (n=864) 10 88 件 0 件 111 件 160 件 136 件 100 件 768 件 2008 年 (n=1373) 30 12 0 108 件件 70 件 144 件 58 件 1,117 件 2009 年 (n=1539) 40 14 件 115 件 82 件 208 件 55 件 1,165 件 2010 年 (n=1679) 45 23 件 126 件 68 件 156 件 68 件 1,065 件 2011 年 (n=1551) 63 9 件 130 件 118 件 610 件 43 件 1,384 件 2012 年 (n=2357) 例年紙媒体による漏えいが多い次に USBメモリ電子メールが多い 13 33 9 件 119 件 126 件 108 件 40 件 941 件 2013 年 (n=1389) 不明その他携帯電話スマートフォン FTP 電子メールインターネット USB 等可搬記録媒体 PC 本体紙媒体 2013 年はインターネットが増加 29

全組織の共通問題人為的ミス管理ミス誤操作紛失置き忘れの人為的ミスによる情報セキュリティインシデントは毎年件数が多く高い割合を占めるインシデントの3 大要因は人為的ミス管理ミス誤操作紛失置き忘れ人為的ミス 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年インシデント件数 (%) インシデント人数 (%) 982 件 (71.5%) 516.7 万人 (71.4%) 1275 件 (82.8%) 269.6 万人 (47.1%) 1363 件 (81.2%) 149.5 万人 (26.8%) 1249 件 (80.5%) 256.0 万人 (40.7%) 2054 件 (87.1%) 805.3 万人 (82.8%) インシデント人数のばらつきが大きい 1 件あたりの漏えい人数は少ない人為的ミスの対策が必要! 1071 件 (80.3%) 157.3 万人 (17.0%) (ヒューマンエラー) 30

企業における最近の被害動向止まらない個人情報の漏えい 2014 年上期情報セキュリティインシデントに関する調査結果速報 31

漏えい人数と件数 ( 経年 ) 3000 万人 3,053 万人漏えい人数 2,500 件インシデント件数 2,357 件 2500 万人 2,224 万人 2,000 件 2000 万人 1500 万人 1,032 件 1,373 件 1,539 件 1,679 件 1,551 件 1,388 件 1,500 件 1900 件 ( 予測 ) 1,000 件 +3500 万人 ( 下半期 ) 1000 万人 500 万人 881 万人 993 件 864 件 723 万人 572 万人 558 万人 628 万人 972 万人 925 万人 500 件 944 件 ( 上半期 ) 0 万人 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 0 件 2014 年 75 万人漏えい人数インシデント件数 32

業種別 ( 件数 / 人数 ) 2014 年上期速報不動産業, 物品賃貸業 8 件 0.9% サービス業 ( 他に分類されないもの) 28 件 3.0% 卸売業, 小売業 5 件 0.5% 電気ガス熱供給水道業医療, 福祉 13 件 33 件 1.4% 3.5% 情報通信業 41 件 4.4% 生活関連サービス業, 娯楽業 5 件 0.5% 製造業 13 件 1.4% 教育, 学習支援業 129 件 13.8% 学術研究, 専門技術サービス業 19 件 2.0% 金融業, 保険業 315 件 33.7% 運輸業, 郵便業 1 件 0.1% 建設業 3 件 0.3% 宿泊業, 飲食サービス業 1 件 0.1% 公務 ( 他に分類されるものを除く) 321 件 34.3% 医療, 福祉 62,348 人 0.7% サービス業 ( 他に分類されないもの) 68,237 人 0.7% 教育, 学習支援業 68,760 人 0.7% 生活関連サービス業, 娯楽業 101,360 人 1.1% 公務 ( 他に分類されるものを除く) 549,002 人 5.9% 運輸業, 郵便業 51,195 人 0.5% 製造業 47,188 人 0.5% 卸売業, 小売業 703,973 人 7.6% 金融業, 保険業 892,259 人 9.6% 不動産業, 物品賃貸業 13,704 人 0.1% 建設業 12,491 人 0.1% 情報通信業 6,735,552 人 72.3% 学術研究, 専門技術サービス業 4,692 人 0.1% 宿泊業, 飲食サービス業 321 人 0.003% 電気ガス熱供給水道業 1,461 人 0.016% 業種別 ( 件数 ) 業種別 ( 人数 ) 33

原因別 ( 件数 / 人数 ) 2014 年上期速報内部犯罪内部不正行為 11 件 1.2% 盗難 22 件 2.3% 不正な情報持ち出し 26 件 2.8% 不正アクセス 30 件 3.2% 設定ミス 21 件 2.2% バグセキュリティホール 3 件 0.3% 不明 2 件 0.2% ワームウイルス 2 件 0.2% その他 2 件 0.2% 設定ミス 53,748 人 7.2% 盗難 13,757 人 1.8% 内部犯罪内部不正行為 15,125 人 2.0% 不正な情報持ち出し 38,061 人 5.1% バグセキュリティホール 459 人 0.1% 誤操作 8,542 人 1.1% 不明 20 人 0.003% その他 1 人 0.0001% ワームウイルス 1 人 0.0001% 管理ミス 200 件 21.2% 誤操作 268 件 28.4% 紛失置忘れ 357 件 37.8% 紛失置忘れ 91,142 人 12.2% 管理ミス 124,006 人 16.7% 不正アクセス 399,591 人 53.7% 原因別 ( 件数 ) 原因別 ( 人数 ) 34

経路別 ( 件数 / 人数 ) 2014 年上期速報 USB 等可搬記録媒体 64 件 6.8% PC 本体 15 件 1.6% その他 25 件 2.6% 不明 3 件 0.3% PC 本体 6,321 人電子メール 6,961 人その他 2,441 人不明 14 人電子メール 55 件 5.8% USB 等可搬記録媒体 109,733 人インターネット 59 件 6.3% 紙媒体 133,675 人インターネット 485,308 人紙媒体 723 件 76.6% 経路別 ( 件数 ) 経路別 ( 人数 ) 35

2014 年の特徴個人情報漏えい業種を... 件数でみると公務金融教育等が多い人数でみると情報通信業が約 3/4 個人情報漏えい原因を... 件数でみると紛失誤操作管理ミス等ヒューマンエラー関連が多いところが人数で見ると不正アクセスが半数を占める個人情報漏えい経路を... 件数でみると紙媒体からの漏えいが圧倒的に多い一方人数で見るとインターネットからの漏えいが圧倒的に多いインターネットからの不正アクセスによる情報漏えいはその影響が大きい事前の対策は不可避 36

サイバーセキュリティ費用から投資へ 38

被害動向と投資供給される数多くの脅威情報リスト型アカウントハッキング Malware ShellShock DDoS DRDoS 不正アクセス標的型攻撃 HeartBleed CSS Injection こんなに危ないので対策が必要です! 対策する価値がどこまであるかわからなくても対策することで安心感は得られる定性的効果 ( 費用 )のよくあるパターン Botnet Phishing Web 改ざん内部犯行影響の数値化 ~の期間でいくら損しますよ ~の期間でいくら得しますよ対策する価値があるかどうかを合理的に判断自社の情報資産なお自動化の観点でSCAPなどセキュリティの定量化が行われているがここでは金額にして示すと言う意味で数値化としている定量的効果 ( 投資 )へのチャレンジ 39

本日のテーマ費用から投資へサイバーセキュリティ対策は費用が今までの認識サイバーセキュリティ対策費は問題の発生予防や回復を目的とした手段を入手するための支出でしかないともすれば消極的にとらえられがちしかし ICTの利活用とサイバーセキュリティの考慮は切り離せないのが現状 ICTを利活用することがこれからの事業発展に欠かせないものとなっていくとするならばサイバーセキュリティ対策も事業発展に欠かせないものとなっていくのではないか 40

本日のテーマ費用から投資へ投資には将来的なリターン( 利益 )が必要投資対効果が測定可能でなければならない測定するためには投資の数値利益の数値が必要投資の数値 = 投資額であれば利益も金額数値化に関わるチャレンジセキュリティ対策で損害が軽減されることによる利益セキュリティ対策を販売することによる利益セキュリティ対策のおかげでより売れることによる利益 41

費用から投資へ個人情報漏えい損害額の算出 42

セキュリティ被害調査 WGによる損害額算出目的情報セキュリティインシデントにおける被害の定量化適切な情報セキュリティに対する投資判断投資対効果の提示企業における情報セキュリティインシデントに係る被害額投資額などの実態をアンケートやヒアリングによって調査したこの調査結果をもとに情報セキュリティインシデントに関する被害額算出モデルを策定一年間に報道された個人情報漏えいインシデント( 事件事故 )を調査分析し JOモデル(JNSA Damage Operation Model for Individual Information Leak) を用いて想定損害賠償額などを推定し報告書を公開情報セキュリティ分野において被害の定量化や投資対効果の考え方をもっと普及発展させたい 43

想定損害賠償額 / 算定式の注意点想定損害賠償額算定式は各組織が所有する個人情報の潜在的リスクを把握するためのひとつの推定方法である保有する個人情報によるリスクを定量化し個人情報を取り扱う組織のリスクを把握するもの算定結果は対策するときの判断材料とするもの想定損害賠償額はあくまでももし被害者全員が賠償請求したらという仮定に基づくものである実際に各事例においてその金額が支払われたものではない被害者が漏えい元の組織に対して請求できる損害賠償額を示したものではない 44

参考 : 個人情報価値の算出式漏洩個人情報価値 = 基礎情報価値機微情報度本人特定容易度基礎情報価値 : =500 2003 年 6 月 L 社カードの会員 56 万人の個人情報が漏えい同社は115 万人全員に謝罪文と商品券 500 円分を郵送したこれにより 1 人あたり500 円の謝金を配るとする対応が増えた機微情報度 : 漏洩した個人情報に含まれる機微情報の量機微情報度 =(10 x-1 +5 y-1 ) Simple-EP 図上の個人情報の座標値 (x,y)より x = 漏洩した情報の精神的苦痛レベルの最大値 y = 経済的損失レベルの最大値本人特定容易度 : 漏洩した個人情報からの個人特定しやすさ判定基準個人を簡単に特定可能氏名住所が含まれること本人特定容易度コストを掛ければ個人が特定できる氏名または住所 + 電話番号が含まれること 3 特定困難上記以外 1 6 45

参考 :Simple-EP 図 ( 評価尺度を3 段階へ) 個人情報の価値の評価尺度を3 段階とし基準判断を容易にしよう! y 経済的損失 =1~30 万円機微情報度 5 0 ~5 2 経済的損失レベル =(10 x-1 +5 y-1 ) 10 0 ~10 2 精神的苦痛 =1~100 万円 3 2 1 口座番号 & 暗証番号, クジットカード番号, カード有効期限, 銀行のアカウント/ パスワードパスポート情報, 購入記録, ISPのアカウント/パスワード氏名, 住所, 生年月日, 性別, 金融機関名, 住民票コード, メールアドレス, 健康保険証番号, 年金証書番号, 免許証番号, 社員番号, 会員番号, 電話番号, ハンドル名, 健康保険証情報, 年金証書情報, 介護保険証情報, 会社名, 学校名, 役職, 職業, 職種, 身長, 体重, 血液型, 身体特性, 写真 ( 肖像 ), 音声, 声紋, 体力診断遺言書年収年収区分, 資産, 建物, 土地, 残高, 借金, 所得, 借り入れ記録健康診断, 心理テスト, 性格判断, 妊娠歴, 手術歴, 看護記録, 検査記録, 身体障害者手帳, DNA, 病歴, 治療法, 指紋, レセプト, スリーサイズ, 人種, 地方なまり, 国籍, 趣味, 特技, 嗜好, 民族, 日記, 賞罰, 職歴, 学歴, 成績, 試験得点, メール内容, 位置情報 Simple-EP 図前科前歴, 犯罪歴, 与信ブラックリスト加盟政党, 政治的見解, 加盟労働組合, 信条, 思想, 宗教, 信仰, 本籍, 病状, カルテ, 痴呆症, 身体障害, 知的障害, 精神的障害, 保有感染症, 性癖, 性生活 1 2 3 精神的苦痛レベル X 46

参考 : 想定損害賠償額の算定式 (JOモデル) 式や判定基準表を用いて計算式への代入値を求めやすく損害賠償額 = 漏洩個人情報価値社会的責任度事後対応評価 =( 基礎情報価値機微情報度本人特定容易度 ) 社会的責任度事後対応評価基礎情報価値を一律 500 円 (ポイント)と定義 = 基礎情報価値 [500] 機微情報度 [Max(10 x-1 +5 y-1 )] 本人特定容易度 [6,3,1] 社会的責任度 [2,1] 事後対応評価 [2,1] 判定基準適切な対応不適切な対応不明その他事後対応評価 1 2 1 一般より高い一般的適正な取扱いを確保すべき個別分野の業種 ( 医療金融信用情報通信等 ) および知名度の高い大企業公的機関その他一般的な企業および団体組織判定基準機微情報度 =(10 x -1 +5 y -1 ) x = 漏洩した情報の精神的苦痛レベルの最大値 y = 経済的損失レベルの最大値判定基準本人特定容易度個人を簡単に特定可能氏名住所が含まれること 6 社会的責任度コストを掛ければ個人が特定できる氏名または住所 + 電話番号が含まれること 3 2 特定困難上記以外 1 1 47

参考 : 想定損害賠償算定の全体像経済的損失 y EP 図判定基準表経済的情報基本情報プライバシー情報精神的苦痛 X 一般的損害賠償額 =( 基礎情報価値機微情報度本人特定容易度 ) 情報漏洩元組織の社会的責任度事後対応評価適正な取扱いを確保すべき個別分野の業種一般より ( 医療金融信用情報通信等 )および知名高い 2 度の高い大企業公的機関判定基準 = 基礎情報価値 [500] 機微情報度 [Max(10 x-1 +5 y-1 )] 本人特定容易度 [6, 3, 1] 社会的責任度 [2, 1] 事後対応評価 [2, 1] 判定基準その他一般的な企業および団体組織適切な対応 1 不適切な対応不明その他事後対応評価判定基準個人を簡 1 単に特定可能氏名住所が含まれることコストを掛ければ個人が特定できる氏名または住所 + 電話番号が含まれること 2 特定困難上記以外漏洩組織の対応を評価社会的責任度 6 3 1 1 本人特定容易度個人情報の基本的な価値を算出 48

2013 年個人情報漏えいインシデント期間 :2013 年 1 月 1~12 月 31 日 ( 12ヶ月分 ) インターネットニュースなどで報道されたインシデントの記事組織からリリースされたインシデントの公表記事などをもとに集計 2013 年データ 2012 年データ漏えい人数 925 万 4513 人 972 万 65 人漏えい件数 1388 件 2357 件想定損害賠償総額 1438 億 7184 万円 2132 億 6405 万円一件当たりの漏えい人数 7027 人 4245 人一件当たり平均想定損害賠償額 1 億 924 万円 9313 万円一人当たり平均想定損害賠償額 2 万 7707 円 4 万 4628 円 49

2014 年上期個人情報漏えいインシデント報告書はJNSAホームページで公開予定期間 :2014 年 1 月 1~6 月 30 日 ( 6ヶ月分速報値のため修正される場合有り) インターネットニュースなどで報道されたインシデントの記事組織からリリースされたインシデントの公表記事などをもとに集計 2014 年上半期 2013 年データ漏えい人数 74 万 4453 人 925 万 4513 人漏えい件数 944 件 1388 件想定損害賠償総額 245 億 8688 万円 1438 億 7184 万円一件当たりの漏えい人数 823 人 7027 人一件当たり平均想定損害賠償額 2726 万円 1 億 924 万円一人当たり平均想定損害賠償額 4 万 9715 円 2 万 7707 円 50

費用から投資へ情報セキュリティ市場規模の推定 51

本日のテーマ費用から投資へ投資には将来的なリターン( 利益 )が必要投資対効果が測定可能でなければならない測定するためには投資の数値利益の数値が必要投資の数値 = 投資額であれば利益も金額セキュリティ数値化に関わるチャレンジセキュリティ対策で損害が軽減されることによる利益セキュリティ対策を販売することによる利益セキュリティ対策のおかげでより売れることによる利益 52

セキュリティ市場調査 WGによる市場規模推定過去 10 年間の調査の蓄積 + 新規参入撤退などの変化入札による個社別売上データの購入今日の段階推定値検討会調査結果 5 月今年度の調査 : 調査活動期間 : 2014 年 6 月 ~( 現在も進行中本日は速報値 ) 調査方法 :アンケート調査はしない( 回収率が悪く参考にならない) 各種統計調査資料の参照企業の事業概要規模推定 ( 対象数 :470 505 社 ) 検討会 :WGメンバー情報や公開情報を元にデータ修正対象期間 :2012, 2013 年度実績 2014 年度見込み 2015 年度予測 53

市場区分の定義セキュリティツールセキュリティサービス統合型アプライアンスネットワーク脅威対策製品コンテンツセキュリティ対策製品アイデンティティアクセス管理製品システムセキュリティ管理製品暗号製品情報セキュリティコンサルテーションセキュアシステム構築サービスセキュリティ運用管理サービス情報セキュリティ教育情報セキュリティ保険 FW IDS ウイルス対策等複数機能を持ったアプライアンス FW IDS/IPS VPN アプリケーションファイアウォールウイルス対策スパム対策 URLフィルタメールフィルタ DLP 等認証ログオン管理アクセス許可 PKI 製品セキュリティ情報統合管理ポリシーアクティビティ管理ツール脆弱性検査ツール等暗号化製品暗号モジュールポリシー構築監査診断等セキュリティ管理全般コンサルティング規格認証取得支援サービス ITセキュリティの設計導入製品選定支援等マネージドサービス(ITセキュリティの監視運用支援 ) プロフェッショナルサービス電子認証サービス等教育実施コンテンツ提供教育 ASP 資格認定等情報セキュリティおよびITセキュリティ保険 54

サイバーセキュリティ製品サービス市場市場規模推移 1,000,000 900,000 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 0 2008/9 リーマンショック 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 売上高実績推定値 3 2 8 5 億円 3 6 5 6 億円報告書はJNSAホームページで公開予定 7770 億円 3 8 4 9 億円見込み 4 0 5 億円予想値 4 2 4 8 億円サービスツール 55

国内情報セキュリティツール市場推移 4,141 億円ツール全体で2012 年から 7.6%の伸び伸率が高かったカテゴリはシステムセキュリティ管理製品と暗号化製品情報漏えい対策強化の結果と推測される 56

情報セキュリティサービス市場推移 3,628 億円前年比 4.7% 伸び3628 億円システム構築サービスが最大標的型攻撃対策などで需要が伸びたスマートデバイスを用いた社内システム運用の需要情報漏えい対策景気回復が後押していると思われる情報セキュリティコンサルテーションセキュアシステム構築サービスセキュリティ運用管理サービス情報セキュリティ教育情報セキュリティ保険 0 500 1,000 1,500 億円 702 727 763 801 1,389 1,449 1,032 1,094 1,206 1,278 266 270 280 294 76 89 99 106 2012 年度 2013 年度 2014 年度 2015 年度 57

参考 :クラウドセキュリティ対策サービス Category 1: Identity and Access Management Category 2: Data Loss Prevention Category 3: Web Security Category 4: Email Security Category 5: Security Assessments Category 6: Intrusion Management Category 7: Security Information and Event Management (SIEM) Category 8: Encryption Category 9: Business Continuity and Disaster Recovery Category 10: Network Security https://cloudsecurityalliance.org/research/secaas/ より引用 58

まとめ 59

まとめ ICTの利用が広がるとともに攻撃の対象範囲も拡大リスト型アカウントハッキングや暗号化プロトコルの問題は広く影響ネットを使った不正アクセスによる大規模な情報漏えい攻撃対象は幅広くサポート期間はより長くなる傾向 ICTを生かした事業運営とサイバーセキュリティは一心同体脅威情報や被害動向だけ見ていても事業とはつながらない事業戦略とサイバーセキュリティを一体化して考えるそのためには重要な一要素である数値化投資対効果測定に参考となる(かもしれない) 被害額算定市場規模推定を紹介サイバーセキュリティを投資としてとらえるためにはまだまだ情報手法が不足している( 確立されていない)ことは大きな課題だが誰かが解決してくれることを待っていられるほど余裕のある状況でもない続きはパネルディスカッションで 60

御清聴ありがとうございました 61