情報セキュリティ 10 大脅威 2015 ~ 被害に遭わないために実施すべき対策は?~ 2015 年 5 月 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 中西基裕
本プレゼンのポイント 脅威を知ることが対策への近道 2
防犯の例 近所のマンションで空き巣被害 平日昼間の犯行 サムターン回しの手口玄関から侵入 自宅は大丈夫か? マンションはオートロック 玄関ドアは鍵 2つ ( ピッキング対応 ) タンスにヘソクリ500 万円 貯金しておこう 3
情報セキュリティの例 東京三菱 UFJ 銀行の利用者がフィッシング被害 偽のお知らせメールが届く 偽メール記載のリンクから偽サイトに誘導される 偽サイトにログイン情報を入力してしまう 自分は大丈夫か? 他行のインターネットバンキングを利用 ワンタイムパスワードは未使用 まず偽メールに気をつけよう 参考 : 東京三菱 UFJ 銀行パスワード等を入力させる偽メールが届いても 絶対に入力しないでください! http://www.bk.mufg.jp/info/phishing/20131118.html 4
IT も防犯と同じ IT においても脅威を知り 対策について考え 必要に応じて追加の対策を行っていくことが重要 5
資料 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 10 大脅威とは? IPA が毎年発行している啓発資料 10 大脅威執筆者会 約 100 名が投票した脅威を解説 6
資料 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 資料の構成 1 章. 情報セキュリティ対策の基本 被害に遭わないための基本の対策を解説 2 章. 情報セキュリティ10 大脅威 2015 10の脅威の概要と対策について解説 3 章. 注目すべき課題や懸念 知っておくべき課題や懸念を解説 本プレゼンでは 資料 10 大脅威 より厳選した内容をお話しします 7
1 章 : 情報セキュリティ対策の基本 基本の対策ソフトウェアの更新ウイルス対策ソフトの導入パスワード 認証の強化設定の見直し脅威 手口を知る えっ! 対策してないんですか?! 必ず実施すべき対策は長年変わっていない いま これら対策の 自発的な実施 が求められている 8
設定の見直し 脅威 手口を知る 9
2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 本プレゼンでは 3 脅威を解説 10
2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 11
1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ ウイルスやフィッシング詐欺により認証情報が窃取され 不正送金される 12
1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 手口や影響 パソコンにウイルスを感染させて認証情報を悪用する フィッシング詐欺により入力させて認証情報を悪用する 2014 年の事例 / 統計 不正送金被害が急増 日本のインターネットバンキングを狙うウイルスが横行! 2014 年の被害額は 29 億円 2013 年の約 2 倍に! 法人口座の被害が急増! 13
参考 : インターネットバンキング被害額 警察庁 : 平成 26 年中のインターネットバンキングに係る不正送金事犯の発生状況等 http://www.npa.go.jp/cyber/pdf/h270212_banking.pdf 2014 年は前年の 2 倍の被害額 2014 年 :1,876 件 29 億 1,000 万円 1 件あたりの被害額が増加 法人 地銀の被害が急増 法人口座からの被害は高額に! 14
参考 : バンキングマルウェア 不正送金被害の原因の多くはウイルス感染! 出典 :IPA:2012 年 12 月の呼びかけ ネット銀行を狙った不正なポップアップに注意! https://www.ipa.go.jp/security/txt/2012/12outline.html 15
参考 : バンキングマルウェア 合言葉をすべて入力させるケース 出典 :IPA:2012 年 12 月の呼びかけ ネット銀行を狙った不正なポップアップに注意! https://www.ipa.go.jp/security/txt/2012/12outline.html 16
1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 対策一覧 利用者 ソフトウェアの更新 ウイルス対策ソフトの導入 脅威や手口を知る 二要素認証等の強い認証方式の利用 銀行 / カード運営会社 利用者への事例や手口の情報提供 二要素認証等の強い認証方式の提供 ウイルスに感染しないことと 騙しの手口に引っかからないことが大切 17
1 位 インターネットバンキングやクレジットカード情報の不正利用 今すぐできる具体的な対策例 ( 個人向け ) PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java 銀行などの注意喚起の確認 おすすめの対策 ( 企業向け ) インターネットバンキング専用 PC を導入 ネットやメールをしない 利用前にソフトウエア更新 ソフトウェアの更新の強制 ネットワーク検疫によるウイルス対策の強制 資産管理 パッチ管理製品の導入 18
2 章 : 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 19
2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 従業員 職員が故意に内部情報を持ち出し私的に利用 企業 組織の信用が失墜し 補償 賠償が求められる 20
2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 発生要因 動機 : 処遇の不満 借金による生活苦 機会 : 不正行為ができる環境 正当化 : 自分勝手な理由づけ 2014 年の事例 / 統計 通信教育大手から膨大な個人情報が漏えい 委託先企業の社員が 3,504 万件の個人情報を持ち出し 被害企業は顧客に総額 200 億円の補償を発表 21
2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 対策一覧 経営者層 就業規則およびセキュリティポリシーの整備 職員や委託先との秘密保持誓約の徹底 対策を推進するための体制の構築 システム管理者 資産の把握と重要度による分類 アカウントや権限の管理 ( 設定 抹消 ) システム操作の記録と監視 入退室の監視や持込み物等の確認 守るべき 情報資産 は厳重かつ多様な対策を 22
2 位 内部不正による情報漏えい 今すぐできる具体的な対策例 ルールや手順の見直し ( 承認も大事 ) 情報資産の再確認 フォルダのアクセス権限設定 おすすめの対策 ( 管理者向け ) ネットワークの分離 メールの添付ファイル送信ブロック ウェブフィルタリング ( クラウドサービスの利用を制限 ) IPA 組織における内部不正防止ガイドライン の活用 23
資料 組織における内部不正防止ガイドライン https://www.ipa.go.jp/security/fy24/reports/insider/ 10 観点 ( 分類 ) の 30 対策を網羅 チェックシートで現状確認し 4 章から対策を検討 目次 1 章背景 2 章概要 3 章用語の定義と関連する法律 4 章内部不正のための管理の在り方付録 Ⅰ 内部不正事例集付録 Ⅱ チェックシート付録 Ⅲ Q&A 集付録 Ⅳ 他のガイドライン等との関係付録 Ⅴ 基本方針の記述例 24
2 章 : 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 25
3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ ネット経由のスパイ活動により企業 組織の情報が流出 取引先や関連会社を踏み台にして本丸を狙う傾向あり 26
3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 侵入手口 メールからウイルス感染 バラマキ型 やりとり型 ウェブからウイルス感染 水飲み場型 標的組織の関連会社が踏み台に 2014 年の事例 / 統計 やり取り型 の顕在化 問い合わせ窓口が狙われる メールのやり取りの後 ウイルス入りのメールを送る手口 27
3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 対策一覧 経営者層 問題に迅速に対応できる体制の構築 セキュリティ担当部署 セキュリティ教育の実施 システム管理者 システム設計対策 アクセス制限 ネットワークの監視 内部へ侵入されることを想定した 多層防御 を 28
3 位 標的型攻撃による諜報活動 今すぐできる具体的な対策例 PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java フォルダのアクセス権限設定 おすすめの対策 ( 管理者向け ) ネットワークの分離 メールの添付ファイル受信のブロック ソフトウェアの更新の強制 ネットワーク検疫によるウイルス対策の強制 資産管理 パッチ管理製品の導入 29
参考 : ネットワークの分離 引用 : 高度標的型攻撃 対策に向けたシステム設計ガイド P.73 https://www.ipa.go.jp/security/vuln/newattack.html 30
紹介 : 標的型攻撃対策の参考資料 サイバー情報共有イニシアティブ (J-CSIP) 運用状況 [2014 年 10 月 ~12 月 ] https://www.ipa.go.jp/security/j-csip/index.html 標的型攻撃メールの傾向分析 31
最後に 本プレゼンのポイント 脅威を知ることが対策への近道 ( 防犯や事故防止と同じ ) 資料 10 大脅威 をご活用ください 32
10 大脅威 に関する内容は 本プレゼンの内容 4 位以降の脅威 3 章は 配布の冊子 または IPA のウェブページから PDF でご参照いただけます 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 33
Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了します サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 また WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 34
IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です