⻑期感染の実態と攻撃証跡の分析 - IPA · 「ファイルレス攻撃」 •ファイルレス攻撃 – マルウェア等の実ファイルを⽣成しない攻撃。スク
情報セキュリティ 最新の脅威と対策 · 攻撃に悪用される背景...
Transcript of 情報セキュリティ 最新の脅威と対策 · 攻撃に悪用される背景...
情報セキュリティ 最新の脅威と対策
2014年9月12日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター
主任研究員 渡辺 貴仁
1
~ 2014年版 10大脅威 ~
目次
Copyright © 2014 独立行政法人情報処理推進機構 2
1. 2014年版10大脅威
2. 標的型サイバー攻撃の仕組みと対策
3. ネットバンキングの不正送金
Copyright © 2014 独立行政法人情報処理推進機構 3
2014年版10大脅威
2014年版 10大脅威について
1章.セキュリティ脅威の分類と傾向
脅威の背景、攻撃者の意図・特徴、被害者の特性等を基に分類し解説
2章.2014年版 10大脅威
2013年の事例をベースに10の脅威を選出
各脅威の概要と対策について解説
3章.注目すべき脅威や懸念
ネットワーク対応機器の増加
エンドポイントセキュリティの重要性
インターネット利用の低年齢化に伴う問題
10大脅威とは? 情報システムを取巻く脅威について、2004年から IPAで毎年発行
「10大脅威執筆者会」 セキュリティ有識者(117名)の知見を集約
http://www.ipa.go.jp/security/vuln/documents/10threats2014.pdf
Copyright © 2014 独立行政法人情報処理推進機構 4
2014年版10大脅威
2014年版10大脅威順位
順位
タイトル 分類
1 標的型メールを用いた組織への スパイ・諜報活動
サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
Copyright © 2014 独立行政法人情報処理推進機構 5
2014年版10大脅威
【1位】標的型メールを用いた組織へのスパイ・諜報活動 ~政府機関だけでない!民間企業も狙われている~
サイバー空間 (領域)問題
概要 インターネットを介して組織の機密情報を窃取する、諜報・スパイ型攻撃
政府機関から民間企業に至るまで幅広くターゲットに
Copyright © 2014 独立行政法人情報処理推進機構 6
2014年版10大脅威
【1位】標的型メールを用いた組織へのスパイ・諜報活動 攻撃に悪用される背景
攻撃が見え難く、容易に気づけない
メールやウェブを介して遠隔から侵入できる
2013年の事例/統計
民間企業もターゲットに 「官公庁・地方自治体等」が37.7%
「金融機関」:16.4%
「マスコミ関連」:13.1%
「IT・通信」:8.2
外交問題に発展 2013年7月開催「米中戦略経済対話」
米国から中国に 「サイバー攻撃による窃盗行為を止めるように」強い要請
Copyright © 2014 独立行政法人情報処理推進機構 7
2014年版10大脅威
【2位】不正ログイン・不正利用 ~ユーザーの安全なパスワード管理が重要!~
ウイルス・ハッキング サイバー攻撃
概要 ID/パスワードの窃取や推測により、ウェブサービスやシステムに不正に
ログインされる
ウェブサービスへのハッキング、推測可能なパスワードの使用、ID/パスワードの使いまわしなどが原因
Copyright © 2014 独立行政法人情報処理推進機構 8
2014年版10大脅威
【2位】不正ログイン・不正利用
ID/パスワード
ID/パスワード
ID/パスワード
ID/パスワード
攻撃に悪用される背景
ID/パスワードによるユーザー認証は、標準的な認証手段
ID/パスワードが分かればサービスを不正利用可能
複数のサービスで同じID/パスワードを使い回してしまう
2013年の事例/統計
パスワードリスト攻撃の急増 不正に入手したID/パスワードリストを使用する攻撃
クレジットカード会社、ショッピングサイトなど幅広く狙われた
多くの不正ログイン成立率は0%台と低いものの、成功件数は相当数(例、試行件数の0.15%にあたる23,926件が不正ログイン成立)
Copyright © 2014 独立行政法人情報処理推進機構 9
2014年版10大脅威
【2位】不正ログイン・不正利用
2014年、更に急増
攻撃者は不正取得したID・パスワード(弱いウェブサイトから入手)を利用しアカウントを乗っ取り、なりすます。 その後、 なりすました知人等に、電子マネーを購入
登録している課金サービスやポイントを不正に利用
最近の不正ログイン 企業名 発表日 試行回数 不正ログイン数
LINE 2014年6月12日 非公表 303
ドワンゴ 2014年6月13日 約355万件 約29万5000
ミクシィ 2014年6月17日 約430万 約26万
はてな 2014年6月20日 約160万 2398
サイバーエージェント 2014年6月23日 約230万 3万8280
ITPro:3週間で50万件超の不正ログイン、「リスト型攻撃」が止まらない」から引用 http://itpro.nikkeibp.co.jp/article/COLUMN/20140624/566362/
Copyright © 2014 独立行政法人情報処理推進機構 10
2014年版10大脅威
【2位】不正ログイン・不正利用
対策一覧
長く複雑なパスワードを設定する 長い文字列、英数字・大文字・小文字・記号を使用する
パスワードを使い回さない サービス・システムごとに違うパスワードを設定する
特に金銭に絡むウェブサービスで利用するアカウント情報は、 他のウェブサービスと同じにしない
パスワード以外の認証方式の利用 ワンタイムパスワード・認証トークンが提供されていれば利用する
パスワードは使い回さず、適切に管理!
Copyright © 2014 独立行政法人情報処理推進機構 11
2014年版10大脅威
【3位】ウェブサイトの改ざん ~気づかぬうちにウイルス感染~
ウイルス・ハッキング サイバー攻撃
概要 ウェブサイトの改ざんは、ウイルス感染の踏み台に悪用される手口
ウェブサイトの脆弱性や管理者パスワードなどが狙われている
Copyright © 2014 独立行政法人情報処理推進機構 12
2014年版10大脅威
【3位】ウェブサイトの改ざん
攻撃に悪用される背景 管理者端末をウイルスが狙っている
FTPやSSH等、管理用サービスから侵入
コンテンツ管理システム(CMS)など汎用的なソフトウェアが狙われる
ウェブアプリケーションの脆弱性も狙われる
2013年の事例/統計
ウェブサイト改ざん被害急増 JPCERT/CC が2013年に受け付けた、国内外で発生したウェブサイトの
改ざん件数は 7,409 件。 1日平均:20件もの被害が発生!
SQLインジェクションの脆弱性を攻撃されウェブサイト改ざんとなった件も。 – JPCERT/CC インシデント報告対応レポート(2013年1月1日~ 2013年12月31日集計)
レンタルサーバーにおける改ざん被害 国内レンタルサーバー企業が管理する8,438サイトが大量改ざん
Copyright © 2014 独立行政法人情報処理推進機構 13
2014年版10大脅威
【4位】ウェブサービスからのユーザー情報の漏えい ~ハッキングによりユーザー情報がごっそり盗まれる~
ウイルス・ハッキング サイバー攻撃
概要 ウェブサービスはユーザー情報を多数保管、攻撃者の恰好のターゲット
個人情報やクレジットカード情報の流出による影響は広範囲に及ぶ
Copyright © 2014 独立行政法人情報処理推進機構 14
2014年版10大脅威
【4位】ウェブサービスからのユーザー情報の漏えい
攻撃に悪用される背景 インターネット上のウェブサービスは、生活に必要不可欠な存在に
会員制サービスは、クレジットカード情報等の大量の個人情報を保持
2013年の事例/統計
クレジットカード情報漏えい事故多発 眼鏡販売サイトのミドルウェアApache Struts 2の脆弱性を悪用、
2,059件のクレジットカード情報が漏えい
ネットスーパーのサイトで、最大15万165件のクレジットカード情報が 不正に閲覧された可能性
標的型攻撃による情報漏えい ネット検索大手企業が、最大148.6万の情報漏えいを発表。
内部のパソコンが標的型攻撃を受けたことが原因
Copyright © 2014 独立行政法人情報処理推進機構 15
2014年版10大脅威
【4位】ウェブサービスからのユーザー情報の漏えい ウェブサービスを直撃する脆弱性が立て続けに露見 【事象】 ①Apache struts2 ⇒ ウェブサーバフレームワーク ②OpenSSL ⇒ 通信路暗号化プロトコル ③Internet Explorer ⇒ ブラウザ
【脅威】 任意コードの実行、ウィルス感染、遠隔操作、情報漏えい、サーバの成りすまし
・深刻な脆弱性 ・攻撃コードの出現
① ★4/17
② ★4/8
③ ★4/28
★:IPAが初回の 注意喚起/ 緊急対策を 発信した日
Copyright © 2014 独立行政法人情報処理推進機構 16
2014年版10大脅威
【4位】ウェブサービスからのユーザー情報の漏えい 対策一覧
ネットワークアクセス制御 外部からも内部からも不正アクセスを防ぐ
セキュアなサーバーの設定 不要なサービスの無効などの設定、アクセス権設定、ログ設定など
アカウント・パスワードの管理 複数人でアカウントを共有せず、複雑なパスワードの利用する
OS・ソフトウェアの更新 OS、ミドルウェア、フレームワークなどを定期更新
ウェブアプリケーションの脆弱性対策 セキュア開発、公開前や定期的な脆弱性検査・診断の実施
外部からはもちろん内部からも侵入されない対策を!
ネットワークやサーバの監視も怠らない!
Copyright © 2014 独立行政法人情報処理推進機構 17
2014年版10大脅威
【4位】ウェブサービスからのユーザー情報の漏えい 2015年7月15日(日本時間)マイクロソフト社が提供している「Windows Server 2003」のサポートが終了
6件, 67%
3件, 33%
0件, 0%レベルⅢ(危険:深刻度7.0~10.0)
レベルⅡ(警告:深刻度4.0~6.9 )
レベルⅠ(注意:深刻度0~3.9 )
9件
9 件中 2 件は、ゼロデイ
攻撃で発覚した脆弱性 (MS14-005,MS14-027)
企業・組織内で「Windows Server 2003」の利用有無とその用途を確認 利用が確認された場合には速やかにサポートが継続しているOSへの移行が必要 利用しているアプリケーションやシステム上の調整が必要なため、早期に計画的な
移行の計画・実施が求められる
5 63 1
11 912
55
22
1417
3
16
6
15
9 10 8
0 14
1 1 2
0
10
20
30
40
50
60
2014年 9件
Windows Server 2003 に関する脆弱性対策情報の公開件数推移 (脆弱性対策情報データベース JVN iPedia (http://jvndb.jvn.jp/)から)
Copyright © 2014 独立行政法人情報処理推進機構 18
2014年版10大脅威
【5位】オンラインバンキングからの不正送金 ~攻撃者が銀行の認証情報を狙っている~
ウイルス・ハッキング サイバー攻撃
概要 2013年、オンラインバンキングの不正送金の被害額が過去最大に
フィッシング詐欺やウイルスにより窃取された認証情報を使って、 本人に成りすまして不正送金
目次
Copyright © 2014 独立行政法人情報処理推進機構 19
1. 2014年版10大脅威
2. 標的型サイバー攻撃の仕組みと対策
3. ネットバンキングの不正送金
標的型サイバー攻撃の仕組みと対策
標的型メール攻撃 実際のメール文面
Copyright © 2014 独立行政法人情報処理推進機構 20
IPAに届出のあったメールの場合
IPAを騙ったメールの場合
◇メールタイトル:3月30日放射線量の状況 ◇メール本文内容:<本文なし> ◇添付ファイル名:3月30日放射線量の状況.doc
送信時期:2011年4月 興味の持たれそうなタイトルやファイル名を 使っていた
◇(偽装された)差出人:IPAのメーリングリスト ◇メール本文内容: ・実際にIPAがウェブ等で発表した内容 ・実際の職員の名前 ◇添付ファイル名:調査報告書概要
差出人をIPAとして実際に発表した内容を流用
これらのほかにもIPAでは実在の職員を詐称した メールが届いたことも。
標的型サイバー攻撃の仕組みと対策
標的型サイバー攻撃の仕組み
Copyright © 2014 独立行政法人情報処理推進機構 21
1 4
2 [攻撃基盤構築段階]
3 [システム調査段階]
4 [攻撃最終目的の遂行段階]
インターネット
3
2
1 [初期潜入段階]
○○○○
○○○○○○○○
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
0 [事前調査]
AD
人事部 個人情報
戦略企画部 経営情報
営業部 取引情報
技術開発部 新商品、防衛技術
0
C&Cサーバ (command and control server) ウイルス等により乗っ取った コンピュータに対し、遠隔から 命令を送り制御させるサーバ
標的型サイバー攻撃の仕組みと対策
セキュリティ対策の基本
Copyright © 2014 独立行政法人情報処理推進機構 22
メールを疑いもせず、添付ファイルを開いてしまう
怪しいメールではないか、常に注意を心掛ける
OSやアプリケーションを最新の状態にしていない(未パッチ状態)
ソフトウェアを常に最新な状態にする
OS:Windows や MacOS など
アプリケーション:Adobe Reader、Adobe Flash Player、
JRE、プラグインソフトなど
最新のウイルス対策ソフトを使っていない
ウイルス対策ソフトを利用し、定義ファイルは最新化
サポート期限切れの状態では使わない
不正なドキュメント・ファイルの悪用する脆弱性の割合 99.8% が既に知られている脆弱性が利用されている! 出展: IBM Security Services「2012 上半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf
標的型サイバー攻撃の仕組みと対策 「標的型メール攻撃」対策に向けたシステム設計ガイド
Copyright © 2014 独立行政法人情報処理推進機構 23 http://www.ipa.go.jp/security/vuln/newattack.html
『新しいタイプの攻撃』の対策 に向けた設計・運用ガイド
『標的型メール攻撃』対策 に向けたシステム設計ガイド
<内容>
■「新しいタイプの攻撃」の説明
■攻撃仕様の分析
■設計対策の考え方
■対策補助資料の提供
<内容>
■標的型メール攻撃の
全容と対策導出アプローチ
■システム設計対策セット
■組織アプローチ
・標的型メール攻撃対策を対象 ・新たな分析結果を追加
企業等の組織においては、基本的なセキュリティ対策以外にも情報が外部に流出しないための対応を施す必要がある
目次
Copyright © 2014 独立行政法人情報処理推進機構 24
1. 2014年版10大脅威
2. 標的型サイバー攻撃の仕組みと対策
3. ネットバンキングの不正送金
ネットバンキングの不正送金
被害状況(警察庁発表)①
インターネットバンキングの不正送金被害が深刻化 国内における被害件数は873件、被害額は14億1700万円を超え、既に昨年1年間の被害総額を超えた (警察庁発表:2014年5月9日の時点)
1件当たりの平均被害額: 昨年約107万円 → 今年約162万円(52%増)
Copyright © 2014 独立行政法人情報処理推進機構 25
165 64
1,315
873
0
200
400
600
800
1,000
1,200
1,400
2011年 2012年 2013年 2014年5月9日現在
不正送金 被害件数
30,8004,800
140,600 141,700
0
20,000
40,000
60,000
80,000
100,000
120,000
140,000
160,000
2011年 2012年 2013年 2014年5月9日現在
不正送金 被害額(万円)
1年に換算すると 約40億5千万円
ネットバンキングの不正送金
被害状況(警察庁発表)②
法人口座が狙われてきている
Copyright © 2014 独立行政法人情報処理推進機構 26
1,261件, 96%
54件, 4%2013年
764件, 88%
109件, 12%2014年5月9日現在
個人
法人
2013年2014年
5月9日現在
件数 1,261 764
金額 130,800 93,700
件数 54 109
金額 9,800 48,000
件数 1,315 873
金額 140,600 141,700
被害件数
個人
法人
合計
攻撃の多い理由は、 「法人口座は取引額に 上限額が無いこと」 が考えられる
ネットバンキングの不正送金
被害状況(IPAへの相談)①
Copyright © 2014 独立行政法人情報処理推進機構 27
安心相談窓口へのネットバンキング相談件数 昨年10月以降、毎月20件前後の相談がくる
インターネットバンキング相談件数
ネットバンキングの不正送金
犯罪者摘発
全国の警察の摘発件数
フィッシングによる不正送金事例 ① 「ゆうちょ銀行」などを装ったフィッシングサイト作成 ② 同サイトに誘導するメールを、ネット通販業者へ送付 ③ ネットバンクのIDとパスワードを不正取得 ④ 約200万円を不正送金し引き出す ⑤ IDやパスワードを盗むウイルスも作成し、メールで送信も
Copyright © 2014 独立行政法人情報処理推進機構 28
3447
68 74
0
10
20
30
40
50
60
70
80
2013 2014年5月9日現在
不正送金に関する全国の摘発
摘発件数 人数
摘発者 74 人中 ・日本人は 29 人 ・最多は中国人で 41 人
【不正送金先】 日本国内、タイ、 シンガポール、カザフスタン
2014年6月13日
ネットバンキングの不正送金
犯罪者摘発
ネットバンキング不正送金で得た現金回収容疑 中国籍の容疑者13人を逮捕(組織犯罪処罰法違反容疑)
容疑者が関与した被害額:昨年~今年5月迄に約6億円 約3,600万円もの被害にあった企業口座も
Copyright © 2014 独立行政法人情報処理推進機構 29
中国籍:42歳
中国へ送金 送金役は初の
逮捕
20~30代 中国籍男女 12 人 現金引き出しの出し子 口座の売買役
「微信」(中国版LINE)で指示
組織的な不正送金事件 2014年6月11日
合計28億円2300万円の約21%
ネットバンキングの不正送金
フィッシング詐欺
基本的な手口
Copyright © 2014 独立行政法人情報処理推進機構 30
ネットバンキングの不正送金
フィッシングによる詐欺事例
Copyright © 2014 独立行政法人情報処理推進機構 31
• 送信元が [email protected]の送信元詐称メール。
• 文中のリンク https://www.visa.co.jp/verified/ は、VISAの正規のURLに見えるが、HTMLのソースではhttp://xx.xx.163.74/verified/ を指していた。クリックするとフィッシング サイトへジャンプし、カード番号やID番号の入力を促す。
ネットバンキングの不正送金
ウイルスによる情報窃取の手口
Copyright © 2014 独立行政法人情報処理推進機構 32
ECサイト運営者
悪意を持つ人
ネット銀行の不正引き出し、ウイルスが原因 (2005年7月) オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付 されていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、 本人が気づかないうちに、キーロガーと呼ばれる種類のウイルスが感染した。
このウイルスは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。 犯人は、盗んだ情報を悪用して不正に引き出した。
参考:http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html
①苦情メールを装ってウイルス を送りつけ開かせる
③オンライン 銀行取引
④ログインID・パスワードを不正入手
⑤不正送金操作
銀行 ATM
⑥現金引出し
②感染
ネットバンキングの不正送金
本人認証に「乱数表」を利用
Copyright © 2014 独立行政法人情報処理推進機構 33
6ケタの数列
2ケタの数字
同時に 聞かれるのは 2か所程度!
ネットバンキングの不正送金
ウイルスを使ったフィッシングの複合事例
Copyright © 2014 独立行政法人情報処理推進機構 34
銀行を装ったニセのメール
ファイルのアイコンが 実在銀行のロゴ!
ウイルス!
※2011年9月の事例
ネットバンキングの不正送金
ウイルスを使ったフィッシングの複合事例
Copyright © 2014 独立行政法人情報処理推進機構 35
ウイルスにより表示される入力画面
※2011年9月の事例
ネットバンキングの不正送金
ウイルスを使ったフィッシングの複合事例
Copyright © 2014 独立行政法人情報処理推進機構 36
※2011年9月の事例
「送信」ボタンを押した際のエラーメッセージ
中国語簡体字として表示すると「 」
ネットバンキングの不正送金
ウイルスを使った新たな事例①
Copyright © 2014 独立行政法人情報処理推進機構 37
※2012年10月の事例
ネットバンキングの不正送金
ウイルスによる偽画面表示
Copyright © 2014 独立行政法人情報処理推進機構 38
※2012年10月の事例
正規銀行サイト のページ
ウイルスにより 出現した不正
ポップアップ画面
ネットバンキングの不正送金
「合言葉」の正しい聞かれ方の例
Copyright © 2014 独立行政法人情報処理推進機構 39
※2012年10月の事例
「合言葉」は 1つずつ
聞かれる!
Copyright © 2014 独立行政法人情報処理推進機構 40
ネットバンキングの不正送金
ウイルスを使った新たな事例② ※2014年5月の事例
Copyright © 2014 独立行政法人情報処理推進機構 41
ネットバンキングの不正送金
ウイルスによる偽画面表示
※三井住友銀行の注意喚起ページより引用(2014/6/23現在)
ネットバンキングの不正送金
不正送金の手口(ウイルス感染:事例)
大掛かりで巧妙な攻撃に! デジタルコンテンツ配信事業を手掛けるネットワーク関連企業のコンテンツアップロードサービスがサイバー攻撃に そのサービスを利用する企業の、さらにエンドユーザがウイルス感染に
Copyright © 2014 独立行政法人情報処理推進機構 42
※2014年5月の事例
個人向けインターネットサービス提供企業 ブログサービス
総合旅行サイト
コンピュータ周辺機器の製造・販売企業 ドライバーダウンロードサイト
オンラインゲームサイト プログラムパッチ
コンテンツアップロードサービス ネットワーク関連企業
ウェブを参照で ウイルス感染
ウェブを参照で ウイルス感染
ドライバーが ウイルス
パッチが ウイルス
攻撃
感染したウイルスは ネットバンキング時に
ID・パスワードを窃取!
ネットバンキングの不正送金
セキュリティ対策の基本(パソコン)
Copyright © 2014 独立行政法人情報処理推進機構 43
ウイルス対策ソフトの導入と適切な運用 ウイルス定義ファイルを最新に保つことが必須! 統合型セキュリティソフトがオススメ
(有害サイトのブロック機能やパーソナルファイアウォール機能が有効)
脆弱性の解消 OS(Windowsなど)、その他ソフト全てを最新に! こまめなアップデートが必須!
(ご参考)「MyJVN バージョンチェッカ」(IPA) http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
Copyright © 2014 独立行政法人情報処理推進機構 44
ネットバンキングの不正送金
MyJVNバージョンチェッカをご活用ください
IPA: MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
Windows 8 にも対応!
ネットバンキングの不正送金
ワンタイムパスワードのトークン例
Copyright © 2014 独立行政法人情報処理推進機構 45
トランザクション署名を 見据えたトークン
ネットバンキングの不正送金
正しい画面遷移を知ることが大切
46
みずほ銀行がホームページに 掲載している「正しい画面」
Copyright © 2014 独立行政法人情報処理推進機構
ネットバンキングの不正送金
法人向けの認証方法
① ログインIDとパスワード情報のみに基づく認証 ② ブラウザに格納された電子証明書とパスワード情報に基づく認証 ③ ICカード等に格納された電子証明書とパスワード情報に基づく認証
Copyright © 2014 独立行政法人情報処理推進機構 47
ログインID
パスワード
電子証明書
○○○○
■■■■■■■■■■■■■■■■■■■■■■
ブラウザに格納された電子証明書
パスワード電子証明書
○○○○
■■■■■■■■■■■■■■■■■■■■■■
パスワード
ICカードに格納された電子証明書
※電子証明書を利用端末とは別の場所で管理
ネットバンキングの不正送金
電子証明書が漏れると…
Copyright © 2014 独立行政法人情報処理推進機構 48
電子証明書を窃取
○○○○
■■■■■■■■■■■■■■■■■■■■■■
電子証明書あり
電子証明書なし
○○○○
■■■■■■■■■■■■■■■■■■■■■■
認証NG
電子証明書あり
認証OK 認証OK
ネットバンキングの不正送金
電子証明書を窃取する手口
Copyright © 2014 独立行政法人情報処理推進機構 49
電子証明書をエクスポートして送信
①電子証明書を削除
○○○○
■■■■■■■■■■■■■■■■■■■■■■
②電子証明書の再発行手続き
③再発行された電子証明書をコピーして送信
○○○○
■■■■■■■■■■■■■■■■■■■■■■
ネットバンキングの不正送金
企業での対策①
銀行が提供する中で、セキュリティレベルの高い認証方式を利用する
取引専用パソコンの利用 インターネットバンキング取引専用のパソコンを導入し、ウイルス
感染のリスクを低減する このパソコンでは、ウイルスによる被害を防止するためにウェブの
閲覧やメールの利用をせず、ウイルス対策ソフトを最新の状態にし可能な限り脆弱性を解消しておく
このパソコンを設置するネットワークも専用のセグメントであれば、他のパソコンからの感染のリスクも下げられるので更に良い
Copyright © 2014 独立行政法人情報処理推進機構 50
ネットバンキングの不正送金
企業での対策②
銀行が指定した正規の手順で電子証明書を利用 法人向けネットバンキングでは、標準的な認証としてパスワードと
電子証明書による2要素認証を採用 (配布方法は各銀行により異なる)
マルウェアは電子証明書と秘密鍵をエクスポートし、攻撃者サーバへ送信
「エクスポート不可」と設定、「秘密キーの保護」の設定を「中また高」(予め証明書はバックアップしオフラインで保管しておく)
Copyright © 2014 独立行政法人情報処理推進機構 51
今後も攻撃者側と利用者側との攻防は続いていく 情報収集と積極的な対策が必要
Copyright © 2014 独立行政法人情報処理推進機構
IPAからのお願い Windows XPのサポートが、2014年4月9日に終了しました。 まだ移行していない方は、不正アクセス等を回避するためサポートの継続する後継OS、または代替OSへの移行が望まれます。
サポート期間中
サポート期間終了後
IPA XP移行 検索 52
Copyright © 2013 独立行政法人 情報処理推進機構 53
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター 上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
Copyright © 2014 独立行政法人情報処理推進機構 54 Copyright © 2014 独立行政法人情報処理推進機構 54
セキュリティセンター(IPA/ISEC) http://www.ipa.go.jp/security/
★情報セキュリティ安心相談窓口: TEL:03(5978)7509 (平日10:00-12:00、13:30-17:00)
FAX :03(5978)7518 E-mail: [email protected]