情報セキュリティ 10大脅威とその対策 ·...

Copyright © 2015 独立行政法人情報処理推進機構

独立行政法人情報処理推進機構(IPA) 技術本部セキュリティセンター

鈴木春洋

2016年2月6日

情報セキュリティ 10大脅威とその対策

Copyright © 2015 独立行政法人情報処理推進機構 2

情報セキュリティ 10大脅威とは？

脅威の動向を伝えるために

ＩＰＡが2006年より毎年発行

セキュリティの専門家（約100名）の

投票により、情報システムを取巻く

脅威を順位付けして解説

以下のURLからダウンロードできます

情報セキュリティ10大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html

2

http://www.ipa.go.jp/security/vuln/10threats2015.html


1章.情報セキュリティ対策の基本

•被害を防ぐための基本的な対策を解説

2章.情報セキュリティ 10大脅威 2015

•10の脅威の概要と対策について解説

3章.注目すべき課題や懸念

•知っておくべき課題や懸念を解説

章構成

情報セキュリティ 10大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html


基本を知る（１章） 5つの基本対策

2つの考え方

脅威を知る（２章） 10大脅威から代表的な脅威を解説

• 企業・組織を狙う脅威とその対策

4



基本を知る 5つの基本対策

2つの考え方

脅威を知る 10大脅威から代表的な脅威を解説


5



その他の重要な対策：

文書によるセキュリティ対策の明文化、システムによる制限や強制、

バックアップやシステムの冗長化、検査や監査、認証の取得等

実施すべき基本的なセキュリティ対策

6

攻撃の糸口情報セキュリティ対策の基本

ソフトウェアの脆弱性ソフトウェアの更新

ウイルス感染ウイルス対策ソフトの導入

パスワード窃取パスワード・認証の強化

設定不備設定の見直し

誘導（罠にはめる）脅威・手口を知る

・情報資産（被攻撃対象）の把握

・自発的なセキュリティ対策への取組み

・対策の計画と予算の確保

対策の前に：


目次


2つの考え方



7


大切な2つの考え方（内部不正にも、標的型攻撃にも、サイバーテロにも）

資産を守る

多層防御

8


対策の考え方①「資産を守る」

「特定の脅威から守る」のではなく

→「資産を守る」と考える

物理セキュリティもITセキュリティも同じ

資産を適切に守っていれば、

さまざまな脅威から守れる

まず「把握」が重要

守るべき資産の把握

9


対策の考え方②「多層防御」

多層防御の必要性

1つの対策では100%防御できない

複数の対策で防御することが常識になっている

地道に「層」を重ねる必要がある

10


目次


2つの考え方



11


情報セキュリティ10大脅威 2015

12

順位脅威

1位インターネットバンキングやクレジットカード情報の不正利用

2位内部不正による情報漏えい 3位標的型攻撃による諜報活動 4位ウェブサービスへの不正ログイン 5位ウェブサービスからの顧客情報の窃取 6位ハッカー集団によるサイバーテロ 7位ウェブサイトの改ざん 8位インターネット基盤技術を悪用した攻撃 9位脆弱性公表に伴う攻撃 10位悪意のあるスマートフォンアプリ



13

順位脅威




【1位】インターネットバンキングやクレジットカード情報の不正利用～個人口座だけではなく法人口座もターゲットに～

ウイルスやフィッシング詐欺により認証情報が窃取され、不正送金される

14



手口や影響

ウイルスに感染したパソコンが不正送金の被害に遭う

フィッシング詐欺により入力した認証情報が窃取される

2014年の事例／統計

不正送金被害が急増

日本のインターネットバンキング利用者を狙うウイルスが横行！

2014年の被害額は29億1,000万円、 2013年の約2倍に！法人口座の被害が急増！

15


インターネットバンキングの被害額

2014年は前年の2倍の被害額 2014年：1,876件、29億1,000万円

1件あたりの被害額が増加

法人・地銀の被害が急増

企業・組織も対象に！法人口座は取引限度額が高いため高額被害に！

出典：警察庁：平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等

16


フィッシングの手口

17


ウイルスを使った手口

電子証明書による本人確認

電子証明書を奪うウイルス 18



対策一覧

ソフトウェアの更新（Windows Update, Adobe, Javaなど）

ウイルス対策ソフトの導入

二要素認証等の強い認証方式の利用（電子証明書, ワンタイムパスワードなど）

事例や手口を知る

銀行が提供する二要素認証や

専用のウイルス対策ソフトがあれば活用！

19


【参考】不正な払戻しに関する補償の考え方

出典：法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について http://www.zenginkyo.or.jp/abstract/news/detail/nid/3349/

詳細および最新情報は全国銀行協会のホームページを確認してください

法人のお客さまに実施していただくセキュリティ対策

① 銀行が導入しているセキュリティ対策の実施

② インターネット・バンキングに使用するパソコン（以下、単に「パソコン」という。）に

関し、基本ソフト(OS)やウェブブラウザ等、インストールされている各種ソフトウェ

アを最新の状態に更新していただくこと

③ パソコンにインストールされている各種ソフトウェアで、メーカーのサポート期限

が経過した基本ソフトやウェブブラウザ等の使用を止めていただくこと

④ パソコンにセキュリティ対策ソフトを導入するとともに、最新の状態に更新したう

えで、稼動していただくこと

⑤ インターネット・バンキングに係るパスワードを定期的に変更していただくこと

⑥ 銀行が指定した正規の手順以外での電子証明書の利用は止めていただくこと

20


参考：【11位】ウイルスを使った詐欺・恐喝～偽ウイルス対策ソフトや恐喝ソフトによる金銭要求～

概要ウイルススキャンの画面を表示して有償版のソフトウェアの購入を促す

偽ウイルス対策ソフト

パソコンをロックして身代金を要求するランサムウェア

感染すると書類や写真など重要なデータにアクセスできなくなる

企業・組織での感染が多数報告

21


参考：偽ウイルス対策ソフトの画面の例

22

引用：コンピュータウイルス・不正アクセスの届出状況[2月分]について

https://www.ipa.go.jp/security/txt/2012/03outline.html




参考：ランサムウェアの画面の例

23

出典：トレンドマイクロセキュリティブログ

日本語対応したCryptoランサムウェアを国内で確認（http://blog.trendmicro.co.jp/archives/11378）

http://blog.trendmicro.co.jp/archives/11378




2015年6月の呼びかけ（ＩＰＡ）パソコン内のファイルを人質にとるランサムウェアに注意！

24

ランサムウェアに関する相談件数の推移

（ＩＰＡ：情報セキュリティ安心相談窓口）



25

順位脅威




【2位】内部不正による情報漏えい～内部不正が事業に多大な悪影響を及ぼす～

従業員・職員が故意に内部情報を持ち出し私的に利用

企業・組織の信用が失墜し、補償・賠償が求められる

26


映像をご覧ください

27



発生要因

動機：処遇の不満、借金による生活苦

機会：不正行為ができる環境

正当化：自分勝手な理由づけ


通信教育大手から膨大な個人情報が漏えい

委託先企業の社員が3,504万件の個人情報を持ち出し

被害企業は顧客に総額200億円の補償を発表

28


内部不正による情報漏洩の危険性

事例動機

退職者が技術情報を不正に持ち出し

転職先に提供転職に関わる利益取得

システム管理者が権限を悪用し、

顧客のカード情報を窃取

金銭取得

委託先社員が顧客情報を不正にコピーし名簿業者に売却

金銭取得

従業員が人事評価への不満から、

そのはらいせに機密情報をSNSに公開（処遇不満による）はらいせ、恨み

ライバル会社の営業秘密を手土産にすれば、有利に転職できるかも…

29


内部不正による情報漏洩の危険性

【営業秘密の漏えい者の内訳】

5.7%

5.7%

6.2%

6.2%

9.3%

10.9%

26.9%

50.3%

取引先からの要請

契約満了後又は中途退職した契約社員

定年退職者

中途退職者(役員)

取引先や共同研究先を経由

金銭目的等の動機をもった現職従業員

現職従業員等のミス

中途退職者(正社員)

（出典）経済産業省:「営業秘密の管理実態に関するアンケート調査」(2013年)

30


内部の不正行為への対策の難しさ

不正者が、正規のアクセス権限を持つ内部者であるため、技術的な対策だけでは防ぐことができない

業務システム

システム管理者の監視ができていない

権限が集中している ×

残業が多く休暇も取れない業績が評価されない相談できる人がいない監視

ログ管理機器管理アカウント管理

システム管理者

･･･

業務担当者

･･･

職場環境や処遇に不満がある

内部不正が起きやすい状況

権限が分散されていない

31



対策一覧

経営者層就業規則およびセキュリティポリシーの整備

職員や委託先との秘密保持誓約の徹底

対策を推進するための体制の構築

システム管理者資産の把握と重要度による分類

アカウントや権限の管理（設定・抹消）

システム操作の記録と監視

入退室の監視や持込み物等の確認

組織一丸となって積極的に対策を推進する体制を

32


組織における内部不正防止ガイドライン

組織作りや環境整備のための10観点（分類）の30対策を網羅

「対策を考えてこなかった」「何をすればよいかわからなかった」という企業も考慮した内容（特に中小企業を重視）

防止対策だけでなく、早期発見・拡大防止にも対応

【目次】 1章背景 2章概要 3章用語の定義と関連する法律 4章内部不正のための管理の在り方付録Ⅰ 内部不正事例集付録Ⅱ チェックシート付録Ⅲ Q&A集付録Ⅳ 他のガイドライン等との関係付録Ⅴ 基本方針の記述例付録Ⅵ 内部不正の基本5原則と25分類付録Ⅶ 対策の分類

「組織における内部不正防止ガイドライン」 ※日本語版、英語版

33



34

順位脅威




【3位】標的型攻撃による諜報活動～標的組織への侵入手口が巧妙化～

ネット経由のスパイ活動により企業・組織の情報が流出

取引先や関連会社を踏み台にして本丸を狙う傾向あり

35


映像をご覧ください

36


標的型攻撃とは？

特定の企業・組織を狙い撃ちするサイバー攻撃

– 攻撃者は、標的の身辺を事前に調査し攻撃を仕掛ける

– 政府機関、関係者、知人を装い、ウイルス付メールを

送り付けてくる

– ウイルスに感染すると、そのパソコンを踏み台にして、

更に組織内部に侵入し、機密情報の外部送信や破壊、

業務妨害等を行う

•攻撃目標設定•関連調査

①計画立案 ②攻撃準備 ③初期潜入

•標的型メール• C&Cサーバ準備

・マルウェア感染

⑦再侵入

・バックドアを通じ再侵入

④基盤構築

・バックドア開設・端末の諜報・ネットワーク環境の調査・探索

⑤内部侵入・調査

・端末間での侵害拡大・サーバへの侵入

⑥目的遂行

・データの外部送信・データの破壊・業務妨害

37


サイバー攻撃報道事例不正アクセスといわれている攻撃

標的型といわれている攻撃

時期報道

2011/9 三菱重にサイバー攻撃、８０台感染…防衛関連も（読売新聞等）

2011/11 サイバー攻撃：参院会館のＰＣ、ウイルス感染は数十台に（毎日新聞等）

2012/2 農水省に標的型メール攻撃、情報流出狙う？（読売新聞等）

2012/6 パソコン５台、ウイルス感染か＝外部サイトと通信－原子力安全基盤機構（時事通信）

2012/7 財務省ＰＣ数か月情報流出か…トロイの木馬型（読売新聞等）

2012/9 「中国紅客連盟」の標的か…総務省統計局サイト（読売新聞等）

2012/11 ＪＡＸＡ、ロケット設計情報流出かＰＣがウイルス感染（朝日新聞等）

2012/12 三菱重工もウイルス感染宇宙関連の情報流出か（産経新聞）

2012/12 原子力機構ＰＣウイルス感染…告発情報漏えい？（読売新聞）

2013/1 農水機密、サイバー攻撃…ＴＰＰ情報など流出か（読売新聞）

2013/2 米マイクロソフトも感染、アップルと似た攻撃（読売新聞）

2013/5 大分空港HP、ウイルス感染させるよう改ざん（読売新聞）

2013/7 朝日新聞記者を装うウイルスメール国会議員２人に届く（朝日新聞）

2013/10 セブン通販サイトに不正アクセス１５万人の情報流出か（朝日新聞）

2014/1 「角川」サイト改ざん閲覧でウイルス感染の恐れ（朝日新聞）

2014/9 法務省に不正アクセス情報流出の可能性（日経新聞）

2014/10 JALの情報漏洩、4131件を特定増える可能性も（日経新聞）

2015/1 朝日新聞社でPC17台がウイルス感染、外部サーバー通じ1カ月以上情報が漏洩（日経）

2015/3 成田空港:ホームページ改ざんされ閉鎖（毎日新聞）

2015/4 富山県運営ＨＰ改ざん個人情報入力画面に誘導（産経新聞）

2015/6 不正アクセスで年金情報１２５万件が流出か（NHK）

2015/6 標的型メール、東商も被害…１万件超情報流出か（読売新聞）

時期報道

2011/9 三菱重にサイバー攻撃、８０台感染…防衛関連も（読売新聞等）

2011/11 サイバー攻撃：参院会館のＰＣ、ウイルス感染は数十台に（毎日新聞等）

2012/2 農水省に標的型メール攻撃、情報流出狙う？（読売新聞等）

2012/6 パソコン５台、ウイルス感染か＝外部サイトと通信－原子力安全基盤機構（時事通信）

2012/7 財務省ＰＣ数か月情報流出か…トロイの木馬型（読売新聞等）

2012/9 「中国紅客連盟」の標的か…総務省統計局サイト（読売新聞等）

2012/11 ＪＡＸＡ、ロケット設計情報流出かＰＣがウイルス感染（朝日新聞等）

2012/12 三菱重工もウイルス感染宇宙関連の情報流出か（産経新聞）

2012/12 原子力機構ＰＣウイルス感染…告発情報漏えい？（読売新聞）

2013/1 農水機密、サイバー攻撃…ＴＰＰ情報など流出か（読売新聞）

2013/2 米マイクロソフトも感染、アップルと似た攻撃（読売新聞）

2013/5 大分空港HP、ウイルス感染させるよう改ざん（読売新聞）

2013/7 朝日新聞記者を装うウイルスメール国会議員２人に届く（朝日新聞）

2013/10 セブン通販サイトに不正アクセス１５万人の情報流出か（朝日新聞）

2014/1 「角川」サイト改ざん閲覧でウイルス感染の恐れ（朝日新聞）

2014/9 法務省に不正アクセス情報流出の可能性（日経新聞）

2014/10 JALの情報漏洩、4131件を特定増える可能性も（日経新聞）

2015/1 朝日新聞社でPC17台がウイルス感染、外部サーバー通じ1カ月以上情報が漏洩（日経）

2015/3 成田空港:ホームページ改ざんされ閉鎖（毎日新聞）

2015/4 富山県運営ＨＰ改ざん個人情報入力画面に誘導（産経新聞）

2015/6 不正アクセスで年金情報１２５万件が流出か（NHK）

2015/6 標的型メール、東商も被害…１万件超情報流出か（読売新聞） 38


参考：日本年金機構の情報漏えい事件

ウイルス感染により

年金情報など125万件の個人情報が流出

対応経費は少なくとも８億円（7月3日の報道）

セキュリティへの意識の低さ

内部統制の欠如

情報漏えい対策の欠如（セキュアな運用の欠如）

• 重要情報の保護・分離の徹底、教育や周知

内部犯行も容易な環境だった

39

運用のしやすさを優先してセキュリティを下げてよいか、組織のトップは責任を意識し、

この機会にセキュリティの見直しが必要


侵入手口

メールからウイルス感染「バラマキ型」「やりとり型」

ウェブからウイルス感染「水飲み場型」

標的組織の関連会社が狙われて踏み台に


「やりとり型」の顕在化 •問い合わせ窓口が狙われる

•メールのやりとりの後、ウイルス入りのメールを送る手口

【3位】標的型攻撃による諜報活動～標的組織への侵入手口が巧妙化～


サイバー情報共有イニシアティブ（J-CSIP） 2014年度活動レポート

41

標的型攻撃メールと見なしたメールで使用された攻撃手口の割合は

2012年度、2013年度と同様、「添付ファイル」が半数以上


サイバー情報共有イニシアティブ（J-CSIP） 2014年度活動レポート

42

添付ファイルの種別で「実行ファイル」が半数を占める傾向は

2012年度・2013年度から継続

「Office文書ファイル」は、2013年度の8%から31%に増加


2015年上半期の状況（警察庁）

43

警察庁が公開した

「平成27年上半期のサイバー空間をめぐる脅威の情勢について」 (https://www.npa.go.jp/kanbou/cybersecurity/H27_kami_jousei.pdf）

によると・・・

・「ばらまき型」攻撃の多発傾向が継続

・大多数が非公開メールアドレスに対する攻撃

・多くの攻撃において送信元メールアドレスが偽装

・Word文書を添付した攻撃の急増


標的型攻撃メールの例と見分け方

IPAテクニカルウォッチ

「標的型攻撃メールの例と見分け方」 https://www.ipa.go.jp/security/technicalwatch/20150109.htm

標的型攻撃メールの例を示し、

見分けるためのポイントを説明

メールの見分け方

• 注意するときの着眼点

• 標的型攻撃メールの例

• 添付ファイルの種類と解説

44


就職活動に関する問い合わせ

ファイルが添付されている

人事部門としては、無視することが難しいのだが…

フリーメールアドレスからの送信

メールアドレスが異なる


製品に関する問い合わせ

圧縮ファイルが添付

営業部門としては、無視することが難しいのだが…


メールアドレスが異なる


セキュリティに係る注意喚起

情報セキュリティに関するメールは無視しずらい…

公的機関にもかかわらず



アカウント情報の入力要求


日本語の言い回しが不自然

IDやパスワードなどの入力を要求


添付ファイルの注意ポイント

【リンクファイル】

アイコン上は文書ファイルの様に見えるが…

ショートカットであることを示す「矢印のマーク」

エクスプローラの詳細表示で見ると… コマンドプロンプトで表示すると…

ショートカットであることがわかる

ショートカットの拡張子



【圧縮形式ファイル】

実行形式ファイルのウィルスやリンクファイルのウィルス

そのままメールに添付すると、警告が表示されたり開けないことがあるので、「圧縮形式ファイル」に変換してメール添付

標的型攻撃メールで確認された圧縮ファイルの拡張子

・ｚｉｐ

・ｒａｒ・ｌｚｈ

・７ｚ

・ｃａｂ

国内では余り利用されない形式であり、標的型攻撃メールの可能性が高い。



【アイコン偽装】

データ形式ファイルのアイコンに偽装された、

実行形式ファイル（ウィルスファイル）

メール受信者の環境（アプリケーションのバージョン違い）によって、アイコンが異なるため、気付く可能性もあり



【ファイル名偽装】

・文字列を左右反転するＲＬＯの利用

sample.(左右反転RLO)cod.exe

・二重拡張子

sample.doc.exe

・ファイル拡張子の前に大量の空白文字を挿入

sample.pdf (大量の空白文字) .exe

拡張子を表示すると



フォルダーオプションで、ファイルの拡張子を表示する様に変更

このままではファイルの拡張子が表示されない



フォルダーオプションで、ファイルの拡張子を表示する様に変更

チェックを外す


不審メールに気付いた時は

・組織内の情報集約窓口（情報システム担当部門など）に連絡

独立行政法人情報処理推進機構(IPA) 標的型サイバー攻撃特別相談窓口

https://www.ipa.go.jp/security/tokubetsu/

・標的型攻撃メールかどうか判らない場合は、以下へ連絡を

・報告を受けた情報システム担当部門などは、

① メールサーバのログ調査（他の不審メールの受信有無）

② メール受信端末の調査（メール開封、不審ＵＲＬアクセス）

③ 当該不審メールが標的型攻撃メールであるか否か


添付ファイルを開いてしまった！不審なURLにアクセスしてしまった！

・標的型攻撃メールの添付ファイル開封、不審ＵＲＬアクセス

→ パソコンがウィルスに感染した可能性

・どうしてよいか判らない場合は、ひとまずＩＰＡに相談を！

・感染した機器の特定、流出した情報の特定

・不審メールを受信したパソコンの初期化は一考を

→ 初期化すると感染機器や流出情報の特定が困難に

① 証拠保全と業務復旧の両面から対応を決定を

② フォレンジック専門のセキュリティベンダーに相談を


「高度標的型攻撃」対策に向けたシステム設計ガイド

「高度標的型攻撃」対策に向けた

システム設計ガイド

https://www.ipa.go.jp/security/vuln/newattack.html

攻撃者が歩きづらいシステム設計

ＩＰＡテクニカルウォッチ

「攻撃者に狙われる設計・運用上の

弱点についてのレポート」 https://www.ipa.go.jp/security/technicalwatch/20140328.html

弱点を生む10の落とし穴

57



https://www.ipa.go.jp/security/technicalwatch/20140328.html


システム設計ガイドの考え方

①防御・遮断策 ②監視強化策

攻撃回避を主眼とした設計策

攻撃シナリオをベースに対策

不正アクセス・PW窃取等を防止

早期発見を主眼とした設計策

攻撃者の足跡を発見

トラップを仕掛け、ログ監視強化

攻撃者が歩く経路を少なくする事で

監視強化にも繋がる

システムとセキュリティ機能が連携し

攻撃者の足跡を残す

58



59

順位脅威




【4位】ウェブサービスへの不正ログイン～利用者は適切なパスワード管理を～

パスワードを窃取されウェブサービスを不正利用される

複数サービスでパスワードを使い回すユーザーが被害に


手口と影響

パスワードの推測

パスワードの窃取（ウイルス感染、別サービスから窃取）

サービスに不正ログインされ、

個人情報の窃取やポイントを不正利用される


SNSサービスへの不正ログイン •アカウントが乗っ取られる事件が多発

•攻撃者は友人になりすまし、プリペイドカードの購入を依頼



対策一覧

ウェブサービス利用者 •推測されにくいパスワードを設定する

•パスワードを使い回さない

•二要素認証等の強い認証方式の利用

サービス提供者 •安全なウェブサービスの提供

•複雑なパスワード設定を要求

（少ない文字数の拒否、記号の使用の確認等）

•二要素認証等の強い認証方式の提供

パスワードは推測されにくいものを設定し、複数のサービスで使い回さない



原宿ファッションジョイボード文化展に

「パスワード」をテーマにしたユニークな

マンガポスターを掲示中

パ＊ス＊ワード－もっと強くキミを守りたい－


パ＊ス＊ワード－もっと強くキミを守りたい－



65

順位脅威




【7位】ウェブサイトの改ざん～知らぬ間に、ウイルス感染サイトに仕立てられる～

ウェブサイトを改ざんされてウイルス感染に悪用される

サイト運営者はウイルス感染に加担した加害者側に


手口や影響

ソフトウェアやウェブアプリケーションの脆弱性を悪用

リモート管理用のサービスからの侵入

ウイルス感染やC&Cサーバー、主義主張・自己顕示に悪用される


コンテンツ管理システム（CMS）が標的に •国産CMSのWDPの脆弱性を悪用され多数のサイトが被害に

•管理されず放置されているウェブサイトが狙われる



対策

ウェブサイト運営者

•サーバーソフトウェアの更新

•サーバーソフトウェアの設定の見直し

•ウェブアプリケーションの脆弱性対策

•アカウント・パスワードの適切な管理

ウェブサイト閲覧者

•ソフトウェアの更新

•ウイルス対策ソフトの導入

ウェブサイト運営者は利用しているソフトウェアを適切に管理し、安全な運用を



参考：ウェブ改ざん攻撃の傾向～2013年よりウェブサイト改ざんが急増～

69

2013年に急増その後、高い件数で推移!!

出典：IPA・JPCERT/CC 共同注意喚起注意喚起「ウェブサイトの改ざん回避のために早急な対策を」 https://www.ipa.go.jp/about/press/20140813.html

http://www.ipa.go.jp/about/press/20140813.html


ご参考：情報システムのライフサイクルとセキュリティ対策

70

セキュリティ対策

■脅威の把握

■システム全体のセキュリティ要件定義

■方式設計

■実装設計 ■セキュア設定・構築

■セキュアプログラミング

■ペネトレーションテスト

■脆弱性診断

■ソースコード診断

■脆弱性対策

■ウイルス対策

■ユーザ教育

設計実装テスト・検証運用要件定義


紹介：セキュアな開発と運用の参考資料

IPA「安全なウェブサイトの作り方」 https://www.ipa.go.jp/security/vuln/websecurity.html

SQLインジェクションなど11種類の脆弱性

について、特徴や対策を解説

ウェブサーバー運用の方策

コーディングの失敗例

71

http://www.ipa.go.jp/security/vuln/websecurity.html



72

順位脅威




【9位】脆弱性公表に伴う攻撃～求められる迅速な脆弱性対策～

公表された広く利用されているソフトウェアの脆弱性が

相次いで攻撃に悪用される


手口と影響

脆弱性の情報から攻撃コードを作成

公表に気付かない、対応・判断が遅れた利用者が被害に


サーバーソフトウェアの脆弱性の公表 •OpenSSLの“Heartbleed”やbashの“ShellShock“の

脆弱性を悪用する攻撃の観測

•Apache Struts2の脆弱性の修正が不十分で再度パッチを公開



補足：

Adobe Flash Playerの脆弱性の悪用

公表から数日～数週間で、脆弱性を悪用

4月15日に公表された脆弱性

• 公表時点でAdobeは悪用確認済み（ゼロデイ）

• 4月18日に米国企業FireEyeが悪用確認と公表


• 5月29日に米国企業FireEyeが悪用確認と公表


• 6月16日にトレンドマイクロが悪用確認と公表

75


対策

経営者層 •迅速な対応に向けた体制の整備

ソフトウェア利用者 •管理しているシステムの把握

•定期的な脆弱性情報の収集

•ソフトウェアの更新

脆弱性公表をキャッチして迅速に対応できる体制や習慣を作る



ソフトウェアの更新情報はIPAを参照 https://www.ipa.go.jp

77

IPAの重要なセキュリティ情報から

ソフトウェアの更新情報（脆弱性情報）を収集

ソフトウェアの更新を知るには、

IPAのウェブページ

重要なセキュリティ情報

をチェック


ｻｲﾊﾞｰｾｷｭﾘﾃｨ注意喚起ｻｰﾋﾞｽ icat

IPAから発信する重要なセキュリティ情報を、リアルタイムで企業や団体のウェブサイト上に表示します。

緊急に対策が必要な脆弱性の情報を即座に確認・周知可能 78

https://www.ipa.go.jp/security/vuln/icat.html

緊急度の高いセキュリティ上の問題について、リアルタイムに情報を配信

新たな脅威

サイバー攻撃

予兆

ウイルス

不審メール

脆弱性情報

IPA ウェブサイト

協力組織ウェブサイト

顧客・会員ユーザ自社のシステム管理者

同期

自社のウェブサイト

同期掲載

緊急対策情報

情報通知

攻撃観測


利用方法ウェブサイトに下記の HTML タグを挿入してください。 IPAの「重要なセキュリティ情報」と同期して自動更新します。

表示サイズ：縦長バージョン幅 190ピクセル高さ 350ピクセル ※横長バージョンもあります。詳細は参考ＵＲＬよりご確認ください。

<script type="text/javascript" src="//www.ipa.go.jp/security/announce/ICATalerts.js"> </script>

イントラネットのウェブサイトに設置すると、従業員へ効率的にセキュリティ情報を周知することができます

79

ｻｲﾊﾞｰｾｷｭﾘﾃｨ注意喚起ｻｰﾋﾞｽ icat http://www.ipa.go.jp/security/vuln/icat.html


MyJVN バージョンチェッカ

80

ウェブページにアクセスし、MyJVNバージョンチェッカを起動します。

※ JRE版とMicrosoft .NET Framework版があります。

http://jvndb.jvn.jp/apis/myjvn/index.htm

実行をクリックするとチェック結果が表示されます。

１

１

２

２


10大脅威における基本対策の効果

81 凡例：○ 対策効果あり、または部分的に効果あり

順位脅威ソフトウェアの更新

ウイルス対策ソフト

パスワードの強化

設定の見直し

手口を知る


○ ○ ○ ○

2位内部不正による情報漏えい ○ ○ ○ ○ ○

3位標的型攻撃による諜報活動 ○ ○ ○ ○ ○

4位ウェブサービスへの不正ログイン ○ ○ ○ ○

5位ウェブサービスからの顧客情報の窃取 ○ ○ ○ ○ ○

6位ハッカー集団によるサイバーテロ ○ ○ ○ ○ ○

7位ウェブサイトの改ざん ○ ○ ○ ○ ○

8位インターネット基盤技術の悪用 ○ ○ ○ ○

9位脆弱性公表に伴う攻撃 ○ ○ ○ ○

10位悪意のあるスマートフォンアプリ ○ ○ ○


参考資料

82


５分でできる！情報セキュリティ自社診断

自社のセキュリティ対策状況を把握する為に

「５分でできる！情報セキュリティ自社診断」を活用しましょう

25個の診断項目に答えるだけで、

自社の情報セキュリティの問題点

を簡単にチェックできます

診断結果を自動集計して、過去

の診断や他社との比較ができる

Web版もあります

自社診断検索 83

https://isec-portal.ipa.go.jp/supportsecurity/act001/dgnss/dgnss/





企業（組織）における最低限の情報セキュリティ対策のしおり

自社の情報セキュリティ対策を実施するため

「企業（組織）における最低限の情報セキュリティ対策のしおり」を活用しましょう

企業・組織の経営者、管理者の

方々を対象とした小冊子です

各テーマは「５分でできる！自社

診断」の25のチェック項目に連動

しています

その他、スマートフォン、無線LAN、

情報漏えい対策などのしおりも

ご用意しています対策のしおり検索 84


５分でできる！情報セキュリティポイント学習

従業員の情報セキュリティ教育のため

「５分でできる！情報セキュリティポイント学習」を活用しましょう

１テーマ５分で情報セキュリティについて勉強できる無償の学習ツールです

各テーマは「５分でできる！自社診断」の25のチェック項目に連動しています

iSupport 検索 85


映像で知る情報セキュリティ

情報セキュリティに関する様々な脅威と対策を10分

程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です。

YouTube「IPAチャンネル」では16タイトルを

いつでも試聴できます。

86


IPA対策のしおり

87


IPAからのお願い

Windows XPのサポートが、2014年4月9日に終了しました。

まだ移行していない方は、不正アクセス等を回避するためサポートの継続する後継OS、または代替OSへの移行が望まれます。

サポート期間中

サポート期間終了後

IPA XP移行検索 88


「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html

89


CCSF レベル2 相当の試験区分

情報セキュリティに関する新たな国家試験！

情報セキュリティマネジメント試験情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的スキルを認定する試験

情報セキュリティマネジメント試験

とは

試験の位置づけ

経済産業省所管の国家試験である「情報処理技術者試験」の新たな試験区分として創設。

試験時間・出題形式

時間区分

試験時間

出題形式出題数解答数

基準点

午前 90分多肢選択式 (四肢択一)

50問

50問 60点

(100点満点)

午後 90分多肢選択式 3問

3問 60点

(100点満点)

更に詳しく知りたい方へ

・開始：H28年度春期（申込受付：2016年1月中旬開始予定）

・春期・秋期の年2回（春期：4月第3日曜、秋期：10月第3日曜）

新試験がわかる

パンフレット

職場の

情報セキュリティ

管理者のための

スキルアップガイド

情報セキュリティ

スキルアップ

ハンドブック

職場の情報セキュリティ管理者育成に！

新試験の対象者像を踏まえ作成 90


独立行政法人情報処理推進機構技術本部セキュリティセンター

ご清聴ありがとうございました

〒113-6591 東京都文京区本駒込２－２８－８文京グリーンコートセンターオフィス１５階ＴＥＬ０３（５９７８）７５０８ＦＡＸ０３（５９７８）７５４６電子メール [email protected] ＵＲＬ http://www.ipa.go.jp/security/

91

情報セキュリティ 10大脅威とその対策 ·...

Documents

Transcript of 情報セキュリティ 10大脅威とその対策 ·...