標的型サイバー攻撃の脅威と対策 Copyright 2013 独立行政法人情報処理推進機構 3
サイバー攻撃報道事例 不正アクセスといわれている攻撃 標的型といわれている攻撃 時期 報道 2011/4 ソニーにサイバー攻撃 個人情報流出 1 億件超 ( 朝日新聞等 ) 2011/9 三菱重にサイバー攻撃 80 台感染 防衛関連も ( 読売新聞等 ) 2011/10 衆院にサイバー攻撃議員のパスワード盗まれる ( 朝日新聞等 ) 2011/11 サイバー攻撃 : 参院会館のPC ウイルス感染は数十台に ( 毎日新聞等 ) 2012/1 JAXA: 職員のパソコン感染 無人補給機情報など流出か ( 毎日新聞等 ) 2012/2 農水省に標的型メール攻撃 情報流出狙う? ( 読売新聞等 ) 2012/6 パソコン5 台 ウイルス感染か= 外部サイトと通信 - 原子力安全基盤機構 ( 時事通信 ) 2012/7 財務省 PC 数か月情報流出か トロイの木馬型 ( 読売新聞等 ) 2012/9 中国紅客連盟 の標的か 総務省統計局サイト ( 読売新聞等 ) 2012/10 国際ハッカー : 東大など5 大学被害情報流出の恐れ ( 毎日新聞 ) 2012/11 JAXA ロケット設計情報流出か PCがウイルス感染 ( 朝日新聞等 ) 2012/12 三菱重工もウイルス感染宇宙関連の情報流出か ( 産経新聞 ) 2012/12 原子力機構 PCウイルス感染 告発情報漏えい?( 読売新聞 ) 2013/1 農水機密 サイバー攻撃 TPP 情報など流出か ( 読売新聞 ) 2013/2 米マイクロソフトも感染 アップルと似た攻撃 ( 読売新聞 ) 2013/3 韓国 サイバーテロか TV 局や銀行が一斉にサーバーダウン ( 産経新聞 ) 2013/5 大分空港 HP ウイルス感染させるよう改ざん( 読売新聞 ) 2013/6 札幌市の観光 HP 不正アクセス受け閉鎖( 読売新聞 ) 2013/7 朝日新聞記者を装うウイルスメール国会議員 2 人に届く ( 朝日新聞 ) 2013/8 2ちゃん会員情報流出かカード番号 3 万件 メールアドレスも ( 産経新聞 ) Copyright 2013 独立行政法人情報処理推進機構 2
標的型攻撃の事例 国内の大手総合重機メーカに対する標的型攻撃 (2011 年 9 月 ) 攻撃 1 関係組織の職員の PC がウイルスに感染させ 大手総合重機メーカとのやりとりメールを盗んだ ウイルス付きのメール 関係組織へのメール情報を窃取 関係組織 攻撃 2 攻撃 1 の 10 時間後 関連企業に対し 盗んだメールを利用し 標的型攻撃メールを送付した 関係組織から窃取したメールを利用して 標的型攻撃メールを送付 A 社 関連企業 B 社 Copyright 2013 独立行政法人情報処理推進機構 複数の報道から導き出したシナリオです 3
標的型攻撃の事例 被害事象 : ウイルスは広域に社内拡散事業所数 11 拠点感染数 :83 台の PC やサーバ外部通信を行う 感染した端末から深部のサーバへ侵入し 情報を抜き取る 端末に感染したウイルスが内部サーバに侵入し 原発 防衛関連情報を攻撃者 ( 米国サーバ ) へ送付する 抜き取った情報を攻撃者のサーバへ送付する 同社の愛知の拠点のサーバへ情報が集約され送付された 複数の報道から導き出したシナリオです 組織内に巧妙な方法で侵入され 組織内拡散 組織内調査 重要サーバへの不正アクセスが行われ 組織の重要情報 ( 知的財産 顧客情報等 ) を狙われる事件が顕在化 Copyright 2013 独立行政法人情報処理推進機構 4
標的型攻撃実際のメール文面 IPA に届出のあったメールの場合 メールタイトル :3 月 30 日放射線量の状況 メール本文内容 :< 本文なし > 添付ファイル名 :3 月 30 日放射線量の状況.doc 送信時期 :2011 年 4 月興味の持たれそうなタイトルやファイル名を使っていた IPA を騙ったメールの場合 ( 偽装された ) 差出人 :IPA のメーリングリスト メール本文内容 : 実際に IPA がウェブ等で発表した内容 実際の職員の名前 添付ファイル名 : 調査報告書概要 差出人を IPA として実際に発表した内容を流用 これらのほかにも IPA では実在の職員を詐称したメールが届いたことも Copyright 2013 独立行政法人情報処理推進機構 5
巧妙な添付ファイル メールに添付されていたドキュメント ファイルの一例 検知日添付ファイル名悪用する脆弱性 2012 年 7 月 19 日日本のために協力してください!!.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 8 月 3 日業務連絡書式.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 8 月 21 日申し込み用紙.doc Adobe Flash Player の脆弱性 (CVE-2012-1535) 2012 年 9 月 7 日 Quarterly report form.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 9 月 13 日 Readme2.pdf Adobe Reader の脆弱性 (CVE-2010-2883) 2012 年 9 月 17 日自民党総裁選挙管理委員会.xls Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 10 月 17 日履歴書.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 10 月 29 日先鋭化する領土問題.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2012 年 12 月 17 日 SECURITY_RISK_ASSESSMENT.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2013 年 1 月 16 日安倍政権の命運を握る 新 四人組.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2013 年 2 月 27 日 2013 年経済展望 - 重要課題.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2013 年 3 月 20 日レーダー照射で新たな段階に.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2013 年 3 月 29 日李明博政府の労動政策は問題がある.doc Adobe Flash Player の脆弱性 (CVE-2012-1535) 2013 年 3 月 29 日 H25 ノーベル平和賞推薦について.pdf Adobe Reader の脆弱性 (CVE-2013-0640) 2013 年 4 月 24 日エネルギーシェールガス革命で激変するエネルギー調達戦略.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 2013 年 5 月 16 日日本からの台湾進出をサポートする体制.doc Windows コモンコントロールの脆弱性 (MS12-027:CVE-2012-0158) 出展 IBM Security Services 2012 下半期 Tokyo SOC 情報分析レポート 2012 上半期 Tokyo SOC 情報分析レポート http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h2.pdf http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf メール本文や添付ファイル名で受信者の興味を引き 添付ファイルを開かせ脆弱性を悪用する Copyright 2013 独立行政法人情報処理推進機構 6
標的型攻撃の手口 0 [ 事前調査 ] 1 [ 初期潜入段階 ] C&C サーバ (command and control server) ウイルス等により乗っ取ったコンピュータに対し 遠隔から命令を送り制御させるサーバ 2 [ 攻撃基盤構築段階 ] 事前調査 2 3 [ システム調査段階 ] 4 1 3 4 [ 攻撃最終目的の遂行段階 ] Copyright 2013 独立行政法人情報処理推進機構 7
脆弱性とは 脆弱性 ( ぜいじゃくせい ) 1. 脆弱性の定義脆弱性とは ソフトウエア製品やウェブアプリケーション等において コンピュータ不正アクセスやコンピュータウイルス等の攻撃により その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です 情報セキュリティ早期警戒パートナーシップガイドラインより http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf 2. 脆弱性とは組織の情報資産は 多くの脅威にさらされています 脆弱性とは 組織の情報セキュリティ体制上 これらの脅威に対する攻撃に弱い状態のことを指します 第三者が脅威となる行為 ( システムの乗っ取りや機密情報の漏洩など ) を行うことができる欠陥や仕様上の問題点といったシステム上の問題点や 機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます 脅威と脆弱性とリスクの関係より http://www.ts-ism.com/materials/archives/55.html 脆弱性は ウイルス感染の大きな要因! Copyright 2013 独立行政法人情報処理推進機構 8
狙われるソフトウェアの脆弱性 Black Hole Exploit Kit( 攻撃ツール ) が攻撃対象とする脆弱性 93% がアプリケーションの既知の脆弱性を利用 いま一番危ない脆弱性は何だ? ~2011 年版 ~ http://itpro.nikkeibp.co.jp/article/column/20110904/368103/ Copyright 2013 独立行政法人情報処理推進機構 9
標的型メール攻撃の傾向 ~ 99% 以上が既知の脆弱性が悪用されている ~ 攻撃に使われたファイル種別と脆弱性種別 メールに添付されていた不正なファイルの拡張子 ドキュメント ファイルの悪用する脆弱性の割合 出展 : IBM Security Services 2012 上半期 Tokyo SOC 情報分析レポート http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf 脆弱性対策をタイムリーに行っていれば 攻撃を防げる可能性は高まる Copyright 2013 独立行政法人情報処理推進機構 10
誰を標的にしている? 報道では 大企業や官公庁が狙われていことが取り上げられる 中小企業も対象 ( 弱いところ 関連組織が狙われる ) 2011 年被害を受けた企業の規模 10 8 5 18 9 50 単位 :% 2501 人以上 1501-2500 人 1001-1500 人 501-1000 人 251-500 人 1-250 人 インターネットセキュリティ脅威レポート 2011 年の傾向より http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr17_wp_201207.pdf Copyright 2013 独立行政法人情報処理推進機構 11
セキュリティ上の問題と基本的な対策 ~ クライアント PC 対策 ~ メールを疑いもせず 添付ファイルを開いてしまう 怪しいメールではないか 常に注意を心掛ける OS やアプリケーションを最新の状態にしていない ( 未パッチ状態 ) ソフトウェアを常に最新な状態にする OS:Windows や MacOS など アプリケーション :Adobe Reader Adobe Flash Player JRE プラグインソフトなど 最新のウイルス対策ソフトを使っていない ウイルス対策ソフトを利用し 定義ファイルは最新化 サポート期限切れの状態では使わない 不正なドキュメント ファイルの悪用する脆弱性の割合 99.8% が既に知られている脆弱性が利用されている! 出展 : IBM Security Services 2012 上半期 Tokyo SOC 情報分析レポート http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf Copyright 2013 独立行政法人情報処理推進機構 12
セキュリティ対策の特徴と弱点 (1) ~ 組織としては これまでの防御では防ぎきれなくなってきている ~ 現状のネットワークセキュリティは 外から内への侵入に備える境界防御の概念である 境界には隙間があり 完全に侵入を防ぐのには限界がある 不正侵入を阻止 ファイアウォール 許可された通信のみ通過 通信内容は関知しない 検疫システムウイルス対策 ファイアウォール IDS/IPS DMZ IDS(IPS) 侵入検知 ( 防止 ) システム 攻撃を行う通信を検知 未知の攻撃の阻止は難しい ウイルス対策ソフト マルウェアの侵入を阻止 見逃しの可能性 内部 LAN 制限 NW Copyright 2013 独立行政法人情報処理推進機構 13
セキュリティ対策の特徴と弱点 (2) ~ 内部ルール適用や脆弱性対策の一長一短 ~ 脆弱性対策 ( セキュリティパッチ適用 ) エンドポイント (PC) へのパッチ適用 セキュリティ対策の基本であり 効果大 全端末に適用することが侵入を防ぐ前提 利用者主導による対策の為 漏れの可能性 サーバ機器等へのパッチ適用 互換性の問題で適用できないケースの問題 システム停止が許容できない運用上の事情 啓発活動による対策 不審メールを開かない個人や組織への啓発 組織内での注意力 対策熱が上がる 1 人でも感染すれば組織内に侵入 マルウェア開封率 0% が必須条件 ルールによる制限 USB メディアの持込禁止 業務に支障をきたす可能性 セキュリティ対策には一長一短があり 完全な対策は難しい Copyright 2013 独立行政法人情報処理推進機構 14
新しい発想による対策 入口と出口に 二重のセキュリティ対策を 外部からの脅威をブロックする 入口対策 情報が外部に持出されない為の 出口対策 組織への影響と入口対策 出口対策 入口対策と影響 多くの攻撃は防げるが すり抜けてしまう A 社 知財 個人情報等重要情報の窃取 組織への影響 ( 知財等の情報窃取やシステムの破壊 ) を回避する必要 入口対策では防ぎきれない場合がある 入口対策 出口対策イメージ A 社 出口対策によりたとえ攻撃されても 組織への影響を回避することが可能になる 入口対策 たとえ入口で防げなくても 窃取を防ぐ対策 出口対策 Copyright 2013 独立行政法人情報処理推進機構 15
出口対策考え方 ~ マルウェアの活動を制限する為のネットワーク設計 ~ バックドア通信の検知と抑止 プロキシサーバと FW の設定 正常な通信の流れを作る ルール外の通信を試みるマルウェアの検知と遮断 感染予防策 アクセス区画の整理 VLANを構築 VLAN 間の通信を制限 マルウェアの偵察行為を阻止 浸食予防 VLAN 毎に通信の監視 感染発覚時は VLANを切り離す 早期発見のために ログの監視 マルウェアを封込める Copyright 2013 独立行政法人情報処理推進機構 16
具体的な対策方法 企業等の組織においては 基本的なセキュリティ対策以外にも情報が外部に流出しないための対応を施す必要がある 新しいタイプの攻撃 の対策に向けた設計 運用ガイド 標的型メール攻撃 対策に向けたシステム設計ガイド 標的型メール攻撃対策を対象 新たな分析結果を追加 < 内容 > 新しいタイプの攻撃 の説明 攻撃仕様の分析 設計対策の考え方 対策補助資料の提供 < 内容 > 標的型メール攻撃の全容と対策導出アプローチ システム設計対策セット 組織アプローチ http://www.ipa.go.jp/security/vuln/newattack.html Copyright 2013 独立行政法人情報処理推進機構 17
セキュリティセンター (IPA/ISEC) http://www.ipa.go.jp/security/ 情報セキュリティ安心相談窓口 TEL : 03(5978)7509 ( 平日 10:00-12:00 13:30-17:00) FAX : 03(5978)7518 E-mail : anshin@ipa.go.jp