実践的サイバー防御演習近年のサイバー攻撃に関する背景 実践的サイバー防御演習 CYDER サイバー攻撃に対応するための インシデントレスポンス能力の向上が
多様化するサイバー脅威に対応していくために多様化するサイバー脅威に対応していくために...
Transcript of 多様化するサイバー脅威に対応していくために多様化するサイバー脅威に対応していくために...
目次目次
1.不正送金被害の拡大、攻撃の巧妙化について
2.多様化していく脅威
3.多様化するサイバー脅威に対応していくために
4 金融ISACについて4.金融ISACについて
5 まとめ5.まとめ
Copyright ©2014 金融ISAC All rights reserved 1
被害の拡大、攻撃の巧妙化
2012年後半よりBankingTrojanによる攻撃が本格化。
被害の拡大 被害件数、金額とも大幅に増加(グラフ参照) 法人への被害の拡大(2014上半期:572百万円〔前期比+497〕) 被害金融機関の拡大(2014上半期:73機関〔前期比+44〕)
185218002000
インターネットバンキング不正送金状況攻撃の巧妙化 アンチ・ウィルスへの攻撃 頻繁なアップデート
109812541193
1000120014001600
頻繁なアップデ ト 騙しテクニックの高度化 痕跡の削除 複数の不正送金ルート
217 2134006008001000 複数の不正送金ル ト
複数の攻撃者の可能性 等
64 480
200
2012(1年) 2013上 2013下 2014上被害金額(件数) 被害金額(百万円)
攻撃は絶えず変化、複雑化
Copyright ©2014 金融ISAC All rights reserved 3出典元:警察庁 平成26年上半期のインターネットバンキングに係
る不正送金事犯の発生状況について
攻撃の巧妙化②
ワンタイムパスワ ドの窃取ワンタイムパスワードの窃取
ワンタイムパスワ ドは再利用できないものか?
金融機関
•ワンタイムパスワードは再利用できないものか?
•騙されて入力させられた場合は?
Copyright ©2014 金融ISAC All rights reserved 5
攻撃の巧妙化③
ルウ アの巧妙化マルウェアの巧妙化
居ますか?
居ません
金融機関
居ま
ベンダー
対策ソフト
いりません アップデートさせないいりません
アンチ・ウィルス
アップデートさせない
攻撃 妙 れな 時Copyright ©2014 金融ISAC All rights reserved 6
攻撃の巧妙化は止められない時代
多くの深刻な脆弱性
Heart Bleed(OpenSSL)
Sh ll Sh kShell Shock(Bash)
深刻な脆弱性が日常化していく時代
Copyright ©2014 金融ISAC All rights reserved 9
深刻な脆弱性が日常化していく時代
Mega Breach(大量の情報漏洩)
J P Morgan : 76百万個人顧客情報 J.P.Morgan : 76百万個人顧客情報7百万法人顧客情報
eBay : ALL Userに影響 145百万アカウント eBay : ALL Userに影響、145百万アカウント
HomeDepot : 56百万カード情報53百万メールアドレス53百万メ ルアドレス
Target : 40百万カード情報70百万メールアドレス百148百万㌦の損失!CEO,CIOが辞職!
ホ 関連 ホテル関連Marriott, InterContinental, Sheraton, Holiday Inn, Hilton等大手チェーンからもカード情報が漏洩大手チェ ンからもカ ド情報が漏洩
その他レストラン、ショッピングからも
桁違 情報が 洩す 時
上記数字:報道等より
Copyright ©2014 金融ISAC All rights reserved 10桁違いの情報が漏洩する時代
DDoSの進化
Operation Ababil 2012年後半から米大手銀行が断続的に大規模な
DDoS攻撃を受けていた。最大50Gbpsを超える量、HTTPS等様々なプロトコル
を組み合わせた複合攻撃により、毎日事実上の機能停止に追い込まれていたとのこと。
桁違いの規模の攻撃を受ける時代
Copyright ©2014 金融ISAC All rights reserved 11
ATMのマルウェア
海外では保守作業時、キャッシュカード挿入口等の手口でATMにマルウェアを侵入させ、特定のカード挿入等をトリガーにATM内現金を吐き出させる事案が発生している模様。
想定していない攻撃を受ける時代
Copyright ©2014 金融ISAC All rights reserved 12
3.多様化するサイバー脅威に対応していくために
信頼関係のある同業種によるSharing信頼関係のある同業種によるSharing
Copyright ©2014 金融ISAC All rights reserved 13
攻撃の3つの方向
攻撃は1 所では終わらない 伝播する(同じ手口が使われる)攻撃の伝播の方向は3つに分類それぞれの伝播に『時差』がある
攻撃は1ヶ所では終わらない、伝播する(同じ手口が使われる)
それぞれの伝播に『時差』がある
①国から国へ②規模の大きい組織から小さい組織へ③類義業種へ
銀行A 銀行B 銀行C
②小さな組織へ③類義業種へ
銀行欧米 日本 銀行
①別の国へ
③類似業種へ
銀行
③類似業種へ
証券 保険証券 保険
『時差』の有効活用
Sh i も3 の方向を意識し 行うべき
Copyright ©2014 金融ISAC All rights reserved 14
Sharingも3つの方向を意識して行うべき
攻撃のサイクル
銀行A
銀行B
銀行C
攻撃者に資金が集まれば 新たな攻撃手法で強化された組攻撃者に資金が集まれば、新たな攻撃手法で強化された組織力で異なる攻撃のサイクルに入る
模倣により攻撃者が増えるうまい話に
模倣により攻撃者が増える
負のサイクル
うまい話には。。。。
攻撃サイク を断ち切るには協働が 欠
負のサイクル
Copyright ©2014 金融ISAC All rights reserved 15攻撃サイクルを断ち切るには協働が不可欠
Sharingの重要性
機能 内容
サイバーセキュリティの5つの機能 NIST Cybersecurity Frameworkより
機能 内容
特定IDENTIFY
リスクの特定どこにどの様な攻撃が?
リソースは限られている
情報は広範囲で曖昧様な攻撃 ?
防御PROTECT
状況に応じた防御策の実施ベターな防御策は?
個別で情報収集/分析/検討はもはや限界
る 昧
検知DETECT
イベントの検知攻撃の早期発見
対応 防御を突破された際の対応
検討 限界
同じ攻撃を受ける同業種は目線が合う対応
RESPOND防御を突破された際の対応インシデントの分析、軽減策検討
復旧 復旧計画の作成、改善、伝達
同業種は目線が合う
RECOVER
Sharingを成功させるには、現場を動かしているド バ が信頼関係を構築 きる環境が必
Copyright ©2014 金融ISAC All rights reserved 17
ドライバーが信頼関係を構築できる環境が必要
経営にとってのメリット
サイバーセキュリティ対策に対し、リソースの効率的運用が可能となる可能となる
個社で対応するよりも、迅速、確実、広範囲な情報の入手が可能となり それによ て対策 の適切な意思決定が実が可能となり、それによって対策への適切な意思決定が実現される
重要インフラの担い手としての責務を果たす重要インフラの担い手としての責務を果たす
そのために
Sharingへ経営リソースを積極的に投入
成 を 価Sharingによる成果を評価
Sharingによる社会プレゼンスの維持/向上
Copyright ©2014 金融ISAC All rights reserved 18
共有情報の機密性について
サイバーインシデント発生時の連絡先
お客さま当局当局組織内のエスカレーション 〃 の関連部署
レピュテーショナルリスク等につながりうる情報
〃 の関連部署システム対応部署(開発/運用) Sharingしたい情報
もちろん背景を含めた情報がより正しい認識共有をもたらすが、顧客情報被害社名被害社名具体的な被害内容 は必ずしも必要ではない(顧客情報はSharing不可)
正確な攻撃情報のSharingが重要確な攻撃情報 g 重要攻撃元情報攻撃の手口攻撃の狙い
目的は被害極小化
Copyright ©2014 金融ISAC All rights reserved 19
有効策、無効化/無力化された対策
本 銀行 自 的 年 を
CISSから金融ISACへ
日本の銀行は自発的に2012年にCISS( Cyber Intelligence Sharing SIG for Banks)を組成し情報Sharingを強化。2014年11月に対象を金融全体に拡大し金融ISAC(Information Sharing and Analysis Center)を始動。し金融ISAC(Information Sharing and Analysis Center)を始動。
同業種でSharing出来る意義は大きい。信頼関係のある同業種間のSharing 同じ攻撃/インシデント
同業種のSharingの場全体的なSharingの場(例)
同じ攻撃/インシデント 同じ脆弱性
同業種のSharingの場全体的なSharingの場(例)
日本CSIRT協議会 金融金融ISACISAC
セプタ
議会 金融金融ISACISAC(金融全体)(金融全体)
セプターカウンシル CISS
(銀行)
Copyright ©2014 金融ISAC All rights reserved 21
体制
社員総会
正会員金融機関設立時社員
監事
【運営委員】
運営委員会/理事会
運営委員(正会員より選出)
理事(現状3名)
第一生命保険 小出 哲也氏野村ホールディングス 阪上 啓二氏みずほ銀行 黒田 英嗣氏三井住友銀行 中山 広樹氏三菱東京UFJ銀行 大日向 隆之氏
事務局
三菱東京UFJ銀行 大日向 隆之氏ゆうちょ銀行 高杉 秋子氏
インシデント対応WG
共同演習WG
不正送金対策WG
グローバル情報連携WG
スキルアップWG
インテリジェンスWG
Copyright ©2014 金融ISAC All rights reserved 22
他組織との連携
情報連携/演習等共同実施賛助会員
金融ISAC金融ISACFS‐ISACFS‐ISAC 連携連携 金融ISAC金融ISACFS ISACFS ISAC 連携連携
CEPTOAR(銀行等、証券、生命保険、損害保険、クレジット)
適宜連
損 、連携
アフィリエイト会員
情報等提供
JC3
Copyright ©2014 金融ISAC All rights reserved 23
メーリングリスト(ML)による情報共有
機能(その1)
メーリングリスト(ML)による情報共有– メールを用いた正会員間の情報共有
(脅威情報、脆弱性情報、対応情報等)
ワーキンググループ(WG)活動– 重要課題の分析、対策検討等
– 成果はワークショップやアニュアルカンファレンス等で発表
インシデント対応WG :インシデント対応の手順整理等
共同演習WG :共同演習の企画・推進 共同演習WG :共同演習の企画・推進
不正送金対策WG :不正送金の分析/対策検討
グローバル情報連携WG :FS-ISAC等グローバル情報連携
スキルアップWG :勉強会等企画/推進
インテリジェンスWG :各種情報より今後の予測等のインテリジ ンス
Copyright ©2014 金融ISAC All rights reserved 24
インテリジェンス
機能(その2)
ワークショップ:会員内の研究会– 2か月に1回程度開催
WGの成果発表 会員 アフィリエイト等からのトピック発表– WGの成果発表、会員・アフィリエイト等からのトピック発表
アニュアルカンファレンスの開催ア ュアルカンファレンスの開催– 社員総会を含め年に1回開催(5,6月予定)
セキュリティ情報の配信– グローバル情報連携WG からのFS-ISAC情報
リ イト会員から 情報– アフィリエイト会員からの情報
– 事務局からの金融機関目線の情報 等
Copyright ©2014 金融ISAC All rights reserved 25
Sharingの発展
攻撃は益々巧妙に多様化していく重大な脆弱性も発生し続ける
限られたリソースを最大限活用するしかない
同業種によるSharingの発展
行動
分析
情報
Copyright ©2014 金融ISAC All rights reserved 28