情報セキュリティ最新の脅威と対策 · 攻撃に悪用される背景...

情報セキュリティ最新の脅威と対策

2014年9月12日独立行政法人情報処理推進機構技術本部セキュリティセンター

主任研究員渡辺貴仁

1

～ 2014年版 10大脅威～

目次

Copyright © 2014 独立行政法人情報処理推進機構 2

1. 2014年版10大脅威

2. 標的型サイバー攻撃の仕組みと対策

3. ネットバンキングの不正送金


2014年版10大脅威

2014年版 10大脅威について

1章.セキュリティ脅威の分類と傾向

脅威の背景、攻撃者の意図・特徴、被害者の特性等を基に分類し解説

2章.2014年版 10大脅威

2013年の事例をベースに10の脅威を選出

各脅威の概要と対策について解説

3章.注目すべき脅威や懸念

ネットワーク対応機器の増加

エンドポイントセキュリティの重要性

インターネット利用の低年齢化に伴う問題

10大脅威とは？情報システムを取巻く脅威について、2004年から IPAで毎年発行

「10大脅威執筆者会」セキュリティ有識者（117名）の知見を集約

http://www.ipa.go.jp/security/vuln/documents/10threats2014.pdf



2014年版10大脅威順位

順位

タイトル分類

１標的型メールを用いた組織へのスパイ・諜報活動

サイバー空間(領域)問題

２不正ログイン・不正利用ウイルス・ハッキングによるサイバー攻撃

３ウェブサイトの改ざんウイルス・ハッキングによるサイバー攻撃

４ウェブサービスからのユーザー情報の漏えいウイルス・ハッキングによるサイバー攻撃

５オンラインバンキングからの不正送金ウイルス・ハッキングによるサイバー攻撃

６悪意あるスマートフォンアプリウイルス・ハッキングによるサイバー攻撃

７ SNS への軽率な情報公開インターネットモラル

８紛失や設定不備による情報漏えい内部統制・セキュリティマネジメント

９ウイルスを使った詐欺・恐喝ウイルス・ハッキングによるサイバー攻撃

１０サービス妨害ウイルス・ハッキングによるサイバー攻撃



【1位】標的型メールを用いた組織へのスパイ・諜報活動～政府機関だけでない！民間企業も狙われている～

サイバー空間（領域）問題

概要インターネットを介して組織の機密情報を窃取する、諜報・スパイ型攻撃

政府機関から民間企業に至るまで幅広くターゲットに



【1位】標的型メールを用いた組織へのスパイ・諜報活動攻撃に悪用される背景

攻撃が見え難く、容易に気づけない

メールやウェブを介して遠隔から侵入できる

2013年の事例／統計

民間企業もターゲットに「官公庁・地方自治体等」が37.7%

「金融機関」：16.4%

「マスコミ関連」：13.1%

「IT・通信」：8.2

外交問題に発展 2013年7月開催「米中戦略経済対話」

米国から中国に「サイバー攻撃による窃盗行為を止めるように」強い要請



【2位】不正ログイン・不正利用～ユーザーの安全なパスワード管理が重要！～

ウイルス・ハッキングサイバー攻撃

概要 ID/パスワードの窃取や推測により、ウェブサービスやシステムに不正に

ログインされる

ウェブサービスへのハッキング、推測可能なパスワードの使用、ID/パスワードの使いまわしなどが原因



【2位】不正ログイン・不正利用

ID/パスワード

ID/パスワード

ID/パスワード

ID/パスワード

攻撃に悪用される背景

ID/パスワードによるユーザー認証は、標準的な認証手段

ID/パスワードが分かればサービスを不正利用可能

複数のサービスで同じID/パスワードを使い回してしまう


パスワードリスト攻撃の急増不正に入手したID/パスワードリストを使用する攻撃

クレジットカード会社、ショッピングサイトなど幅広く狙われた

多くの不正ログイン成立率は0%台と低いものの、成功件数は相当数（例、試行件数の0.15%にあたる23,926件が不正ログイン成立）




2014年、更に急増

攻撃者は不正取得したID・パスワード（弱いウェブサイトから入手）を利用しアカウントを乗っ取り、なりすます。その後、なりすました知人等に、電子マネーを購入

登録している課金サービスやポイントを不正に利用

最近の不正ログイン企業名発表日試行回数不正ログイン数

LINE 2014年6月12日非公表 303

ドワンゴ 2014年6月13日約355万件約29万5000

ミクシィ 2014年6月17日約430万約26万

はてな 2014年6月20日約160万 2398

サイバーエージェント 2014年6月23日約230万 3万8280

ITPro：3週間で50万件超の不正ログイン、「リスト型攻撃」が止まらない」から引用 http://itpro.nikkeibp.co.jp/article/COLUMN/20140624/566362/




対策一覧

長く複雑なパスワードを設定する長い文字列、英数字・大文字・小文字・記号を使用する

パスワードを使い回さないサービス・システムごとに違うパスワードを設定する

特に金銭に絡むウェブサービスで利用するアカウント情報は、他のウェブサービスと同じにしない

パスワード以外の認証方式の利用ワンタイムパスワード・認証トークンが提供されていれば利用する

パスワードは使い回さず、適切に管理！



【3位】ウェブサイトの改ざん～気づかぬうちにウイルス感染～


概要ウェブサイトの改ざんは、ウイルス感染の踏み台に悪用される手口

ウェブサイトの脆弱性や管理者パスワードなどが狙われている



【3位】ウェブサイトの改ざん

攻撃に悪用される背景管理者端末をウイルスが狙っている

FTPやSSH等、管理用サービスから侵入

コンテンツ管理システム（CMS）など汎用的なソフトウェアが狙われる

ウェブアプリケーションの脆弱性も狙われる


ウェブサイト改ざん被害急増 JPCERT/CC が2013年に受け付けた、国内外で発生したウェブサイトの

改ざん件数は 7,409 件。 1日平均：20件もの被害が発生！

SQLインジェクションの脆弱性を攻撃されウェブサイト改ざんとなった件も。 – JPCERT/CC インシデント報告対応レポート（2013年1月1日～ 2013年12月31日集計）

レンタルサーバーにおける改ざん被害国内レンタルサーバー企業が管理する8,438サイトが大量改ざん



【4位】ウェブサービスからのユーザー情報の漏えい～ハッキングによりユーザー情報がごっそり盗まれる～


概要ウェブサービスはユーザー情報を多数保管、攻撃者の恰好のターゲット

個人情報やクレジットカード情報の流出による影響は広範囲に及ぶ



【4位】ウェブサービスからのユーザー情報の漏えい

攻撃に悪用される背景インターネット上のウェブサービスは、生活に必要不可欠な存在に

会員制サービスは、クレジットカード情報等の大量の個人情報を保持


クレジットカード情報漏えい事故多発眼鏡販売サイトのミドルウェアApache Struts 2の脆弱性を悪用、

2,059件のクレジットカード情報が漏えい

ネットスーパーのサイトで、最大15万165件のクレジットカード情報が不正に閲覧された可能性

標的型攻撃による情報漏えいネット検索大手企業が、最大148.6万の情報漏えいを発表。

内部のパソコンが標的型攻撃を受けたことが原因



【4位】ウェブサービスからのユーザー情報の漏えいウェブサービスを直撃する脆弱性が立て続けに露見【事象】 ①Apache struts2 ⇒ ウェブサーバフレームワーク ②OpenSSL ⇒ 通信路暗号化プロトコル ③Internet Explorer ⇒ ブラウザ

【脅威】任意コードの実行、ウィルス感染、遠隔操作、情報漏えい、サーバの成りすまし

・深刻な脆弱性・攻撃コードの出現

① ★4/17

② ★4/8

③ ★4/28

★：IPAが初回の注意喚起／緊急対策を発信した日



【4位】ウェブサービスからのユーザー情報の漏えい対策一覧

ネットワークアクセス制御外部からも内部からも不正アクセスを防ぐ

セキュアなサーバーの設定不要なサービスの無効などの設定、アクセス権設定、ログ設定など

アカウント・パスワードの管理複数人でアカウントを共有せず、複雑なパスワードの利用する

OS・ソフトウェアの更新 OS、ミドルウェア、フレームワークなどを定期更新

ウェブアプリケーションの脆弱性対策セキュア開発、公開前や定期的な脆弱性検査・診断の実施

外部からはもちろん内部からも侵入されない対策を！

ネットワークやサーバの監視も怠らない！



【4位】ウェブサービスからのユーザー情報の漏えい 2015年7月15日（日本時間）マイクロソフト社が提供している「Windows Server 2003」のサポートが終了

6件, 67%

3件, 33%

0件, 0%レベルⅢ（危険：深刻度7.0～10.0）

レベルⅡ（警告：深刻度4.0～6.9 ）

レベルⅠ（注意：深刻度0～3.9 ）

9件

9 件中 2 件は、ゼロデイ

攻撃で発覚した脆弱性（MS14-005，MS14-027）

企業・組織内で「Windows Server 2003」の利用有無とその用途を確認利用が確認された場合には速やかにサポートが継続しているOSへの移行が必要利用しているアプリケーションやシステム上の調整が必要なため、早期に計画的な

移行の計画・実施が求められる

5 63 1

11 912

55

22

1417

3

16

6

15

9 10 8

0 14

1 1 2

0

10

20

30

40

50

60

2014年 9件

Windows Server 2003 に関する脆弱性対策情報の公開件数推移（脆弱性対策情報データベース JVN iPedia （http://jvndb.jvn.jp/）から）



【5位】オンラインバンキングからの不正送金～攻撃者が銀行の認証情報を狙っている～


概要 2013年、オンラインバンキングの不正送金の被害額が過去最大に

フィッシング詐欺やウイルスにより窃取された認証情報を使って、本人に成りすまして不正送金

目次


1. 2014年版10大脅威



標的型サイバー攻撃の仕組みと対策

標的型メール攻撃実際のメール文面


IPAに届出のあったメールの場合

IPAを騙ったメールの場合

◇メールタイトル：3月30日放射線量の状況 ◇メール本文内容：<本文なし> ◇添付ファイル名：3月30日放射線量の状況.doc

送信時期：2011年4月興味の持たれそうなタイトルやファイル名を使っていた

◇（偽装された）差出人：IPAのメーリングリスト ◇メール本文内容：・実際にIPAがウェブ等で発表した内容・実際の職員の名前 ◇添付ファイル名：調査報告書概要

差出人をIPAとして実際に発表した内容を流用

これらのほかにもIPAでは実在の職員を詐称したメールが届いたことも。


標的型サイバー攻撃の仕組み


1 4

2 [攻撃基盤構築段階]

3 [システム調査段階]

4 [攻撃最終目的の遂行段階]

インターネット

3

2

1 [初期潜入段階]

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

0 [事前調査]

AD

人事部個人情報

戦略企画部経営情報

営業部取引情報

技術開発部新商品、防衛技術

0

C&Cサーバ（command and control server）ウイルス等により乗っ取ったコンピュータに対し、遠隔から命令を送り制御させるサーバ


セキュリティ対策の基本


メールを疑いもせず、添付ファイルを開いてしまう

怪しいメールではないか、常に注意を心掛ける

OSやアプリケーションを最新の状態にしていない（未パッチ状態）

ソフトウェアを常に最新な状態にする

ＯＳ：Ｗｉｎｄｏｗｓや MacOS など

アプリケーション：Adobe Reader、Adobe Flash Player、

JRE、プラグインソフトなど

最新のウイルス対策ソフトを使っていない

ウイルス対策ソフトを利用し、定義ファイルは最新化

サポート期限切れの状態では使わない

不正なドキュメント･ファイルの悪用する脆弱性の割合 99.8％が既に知られている脆弱性が利用されている！出展： IBM Security Services「2012 上半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf

標的型サイバー攻撃の仕組みと対策「標的型メール攻撃」対策に向けたシステム設計ガイド

Copyright © 2014 独立行政法人情報処理推進機構 23 http://www.ipa.go.jp/security/vuln/newattack.html

『新しいタイプの攻撃』の対策に向けた設計・運用ガイド

『標的型メール攻撃』対策に向けたシステム設計ガイド

＜内容＞

■「新しいタイプの攻撃」の説明

■攻撃仕様の分析

■設計対策の考え方

■対策補助資料の提供

＜内容＞

■標的型メール攻撃の

全容と対策導出アプローチ

■システム設計対策セット

■組織アプローチ

・標的型メール攻撃対策を対象・新たな分析結果を追加

企業等の組織においては、基本的なセキュリティ対策以外にも情報が外部に流出しないための対応を施す必要がある

目次


1. 2014年版10大脅威



ネットバンキングの不正送金

被害状況（警察庁発表）①

インターネットバンキングの不正送金被害が深刻化国内における被害件数は873件、被害額は14億1700万円を超え、既に昨年１年間の被害総額を超えた（警察庁発表：2014年5月9日の時点）

１件当たりの平均被害額：昨年約１０７万円 → 今年約１６２万円（５２％増）


165 64

1,315

873

0

200

400

600

800

1,000

1,200

1,400

2011年 2012年 2013年 2014年5月9日現在

不正送金被害件数

30,8004,800

140,600 141,700

0

20,000

40,000

60,000

80,000

100,000

120,000

140,000

160,000

2011年 2012年 2013年 2014年5月9日現在

不正送金被害額（万円）

1年に換算すると約40億5千万円


被害状況（警察庁発表）②

法人口座が狙われてきている


1,261件, 96%

54件, 4%2013年

764件, 88%

109件, 12%2014年5月9日現在

個人

法人

2013年2014年

5月9日現在

件数 1,261 764

金額 130,800 93,700

件数 54 109

金額 9,800 48,000

件数 1,315 873

金額 140,600 141,700

被害件数

個人

法人

合計

攻撃の多い理由は、「法人口座は取引額に上限額が無いこと」が考えられる


被害状況（IPAへの相談）①


安心相談窓口へのネットバンキング相談件数昨年10月以降、毎月20件前後の相談がくる

インターネットバンキング相談件数


犯罪者摘発

全国の警察の摘発件数

フィッシングによる不正送金事例 ① 「ゆうちょ銀行」などを装ったフィッシングサイト作成 ② 同サイトに誘導するメールを、ネット通販業者へ送付 ③ ネットバンクのIDとパスワードを不正取得 ④ 約200万円を不正送金し引き出す ⑤ IDやパスワードを盗むウイルスも作成し、メールで送信も


3447

68 74

0

10

20

30

40

50

60

70

80

2013 2014年5月9日現在

不正送金に関する全国の摘発

摘発件数人数

摘発者 74 人中・日本人は 29 人・最多は中国人で 41 人

【不正送金先】日本国内、タイ、シンガポール、カザフスタン

2014年6月13日


犯罪者摘発

ネットバンキング不正送金で得た現金回収容疑中国籍の容疑者13人を逮捕（組織犯罪処罰法違反容疑）

容疑者が関与した被害額：昨年～今年5月迄に約6億円約3,600万円もの被害にあった企業口座も


中国籍：42歳

中国へ送金送金役は初の

逮捕

20～30代中国籍男女 12 人現金引き出しの出し子口座の売買役

「微信」（中国版LINE）で指示

組織的な不正送金事件 2014年6月11日

合計28億円2300万円の約21%


フィッシング詐欺

基本的な手口



フィッシングによる詐欺事例


• 送信元が [email protected]の送信元詐称メール。

• 文中のリンク https://www.visa.co.jp/verified/ は、VISAの正規のURLに見えるが、HTMLのソースではhttp://xx.xx.163.74/verified/ を指していた。クリックするとフィッシングサイトへジャンプし、カード番号やID番号の入力を促す。

http://81.196.163.74/verified/


ウイルスによる情報窃取の手口


ECサイト運営者

悪意を持つ人

ネット銀行の不正引き出し、ウイルスが原因 (2005年7月) オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付されていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、本人が気づかないうちに、キーロガーと呼ばれる種類のウイルスが感染した。

このウイルスは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。犯人は、盗んだ情報を悪用して不正に引き出した。

参考：http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

①苦情メールを装ってウイルスを送りつけ開かせる

③オンライン銀行取引

④ログインID・パスワードを不正入手

⑤不正送金操作

銀行 ATM

⑥現金引出し

②感染


本人認証に「乱数表」を利用


6ケタの数列

2ケタの数字

同時に聞かれるのは 2か所程度！


ウイルスを使ったフィッシングの複合事例


銀行を装ったニセのメール

ファイルのアイコンが実在銀行のロゴ！

ウイルス！

※2011年9月の事例




ウイルスにより表示される入力画面






「送信」ボタンを押した際のエラーメッセージ

中国語簡体字として表示すると「」


ウイルスを使った新たな事例①




ウイルスによる偽画面表示



正規銀行サイトのページ

ウイルスにより出現した不正

ポップアップ画面


「合言葉」の正しい聞かれ方の例



「合言葉」は 1つずつ

聞かれる！



ウイルスを使った新たな事例② ※2014年5月の事例



ウイルスによる偽画面表示

※三井住友銀行の注意喚起ページより引用（2014/6/23現在）


不正送金の手口（ウイルス感染：事例）

大掛かりで巧妙な攻撃に！デジタルコンテンツ配信事業を手掛けるネットワーク関連企業のコンテンツアップロードサービスがサイバー攻撃にそのサービスを利用する企業の、さらにエンドユーザがウイルス感染に



個人向けインターネットサービス提供企業ブログサービス

総合旅行サイト

コンピュータ周辺機器の製造・販売企業ドライバーダウンロードサイト

オンラインゲームサイトプログラムパッチ

コンテンツアップロードサービスネットワーク関連企業

ウェブを参照でウイルス感染

ウェブを参照でウイルス感染

ドライバーがウイルス

パッチがウイルス

攻撃

感染したウイルスはネットバンキング時に

ID・パスワードを窃取！


セキュリティ対策の基本（パソコン）


ウイルス対策ソフトの導入と適切な運用ウイルス定義ファイルを最新に保つことが必須！統合型セキュリティソフトがオススメ

（有害サイトのブロック機能やパーソナルファイアウォール機能が有効）

脆弱性の解消 OS（Windowsなど）、その他ソフト全てを最新に！こまめなアップデートが必須！

（ご参考）「MyJVN バージョンチェッカ」（IPA） http://jvndb.jvn.jp/apis/myjvn/#VCCHECK



MyJVNバージョンチェッカをご活用ください

IPA： MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

Windows 8 にも対応！


ワンタイムパスワードのトークン例


トランザクション署名を見据えたトークン


法人向けの認証方法

① ログインIDとパスワード情報のみに基づく認証 ② ブラウザに格納された電子証明書とパスワード情報に基づく認証 ③ ICカード等に格納された電子証明書とパスワード情報に基づく認証


ログインID

パスワード

電子証明書

○○○○

■■■■■■■■■■■■■■■■■■■■■■

ブラウザに格納された電子証明書

パスワード電子証明書

○○○○

■■■■■■■■■■■■■■■■■■■■■■

パスワード

ICカードに格納された電子証明書

※電子証明書を利用端末とは別の場所で管理


電子証明書が漏れると…


電子証明書を窃取

○○○○

■■■■■■■■■■■■■■■■■■■■■■

電子証明書あり

電子証明書なし

○○○○

■■■■■■■■■■■■■■■■■■■■■■

認証NG

電子証明書あり

認証OK 認証OK


電子証明書を窃取する手口


電子証明書をエクスポートして送信

①電子証明書を削除

○○○○

■■■■■■■■■■■■■■■■■■■■■■

②電子証明書の再発行手続き

③再発行された電子証明書をコピーして送信

○○○○

■■■■■■■■■■■■■■■■■■■■■■


企業での対策①

銀行が提供する中で、セキュリティレベルの高い認証方式を利用する

取引専用パソコンの利用インターネットバンキング取引専用のパソコンを導入し、ウイルス

感染のリスクを低減するこのパソコンでは、ウイルスによる被害を防止するためにウェブの

閲覧やメールの利用をせず、ウイルス対策ソフトを最新の状態にし可能な限り脆弱性を解消しておく

このパソコンを設置するネットワークも専用のセグメントであれば、他のパソコンからの感染のリスクも下げられるので更に良い



企業での対策②

銀行が指定した正規の手順で電子証明書を利用法人向けネットバンキングでは、標準的な認証としてパスワードと

電子証明書による２要素認証を採用（配布方法は各銀行により異なる）

マルウェアは電子証明書と秘密鍵をエクスポートし、攻撃者サーバへ送信

「エクスポート不可」と設定、「秘密キーの保護」の設定を「中また高」（予め証明書はバックアップしオフラインで保管しておく）


今後も攻撃者側と利用者側との攻防は続いていく情報収集と積極的な対策が必要


「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html

Copyright © 2014 独立行政法人情報処理推進機構 54 Copyright © 2014 独立行政法人情報処理推進機構 54

セキュリティセンター（IPA/ISEC） http://www.ipa.go.jp/security/

★情報セキュリティ安心相談窓口：ＴＥＬ：０３（５９７８）７５０９ (平日10:00-12:00、13:30-17:00)

ＦＡＸ：０３（５９７８）７５１８ E-mail： [email protected]

情報セキュリティ最新の脅威と対策 · 攻撃に悪用される背景...

Documents

Transcript of 情報セキュリティ最新の脅威と対策 · 攻撃に悪用される背景...

情報セキュリティ 最新の脅威と対策 · 攻撃に悪用される背景...

Documents

Transcript of 情報セキュリティ 最新の脅威と対策 · 攻撃に悪用される背景...

情報セキュリティ最新の脅威と対策 · 攻撃に悪用される背景...

Transcript of 情報セキュリティ最新の脅威と対策 · 攻撃に悪用される背景...