サイバーセキュリティ 最新情報

参考文献 情報セキュリティ白書 2018, IPA (独立行政法人 情報処理推進機構) https://www.ipa.go.jp/security/publications/hakusyo/2018.html

サイバーセキュリティ最新情報 2017年度インシデント状況 情報セキュリティを支える基盤の動向 インシデント別事例 攻撃・手口の動向と対策 情報システムの脆弱性の動向 情報セキュリティ対策の状況 情報セキュリティを支える基盤の動向 政策 法整備 IPA が選ぶ情報セキュリティ10大脅威2018

IPA とは 独立行政法人情報処理推進機構（じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称：IPA）は、日本におけ るIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の 中期目標管理法人たる独立行政法人である。 日本のソフトウェア分野における競争力の総合的な強化を図る。情報処理の促進 に関する法律の一部を改正する法律（平成14年法律第144号）により、2004年（平 成16年）1月5日に設立され、同法附則第2条第1項の規定により解散した、特別認 可法人である情報処理振興事業協会(IPA)の業務等を承継した。 IPAでは、特別認可法人 情報処理振興事業協会の時代からコンピュータウイルス やセキュリティに関係する調査・情報提供を行ってきた。また、中小コンピュー タソフトベンダーの債務保証事業などのソフトウェア開発補助事業を行っている。 天才的プログラマの発掘のための未踏ソフトウェア創造事業、特に若年の開発者 を対象とした未踏ユース制度などの人材育成事業も行っている。 なお、情報処理の促進に関する法律の規定により、情報処理安全確保支援士制度 の登録事務（取消事務、命令事務を除く）と講習事務、情報処理安全確保支援士 試験・情報処理技術者試験の試験事務を行っているIT人材育成センター国家資 格・試験部（旧：情報処理技術者試験センター）は、1984年から2003年までは財 団法人日本情報処理開発協会で情報処理技術者試験の試験事務を行ってきて2004 年にIPAの一組織になっている。

2017年度インシデント状況 国際 国内 ランサムウェア 情報漏えい 脆弱性を利用した仮 想通貨の不正マイニ ング フィッシングとビジ ネスメール詐欺 国内 フィッシング攻撃に よる業務妨害 フィッシング被害 Webサイトの改ざん ビジネスメール詐欺 仮想通貨の流出

インシデント別事例 ランサムウェア サービス妨害 Webサイト改ざん 情報漏えい 金銭被害

ランサムウェア ランサムウェア：Ransom(身代金) + Software パソコン内のファイルを暗号化する、または、 ロック等でパソコンを使用不可にするウイルス の総称。 復旧の条件に身代金を支払うように促す脅迫 メッセージを表示する。 Wanna Cryptor 自己増殖型 (SMBv1 の脆弱性を利用) NotPetya, Bad Rabbit

サービス妨害 DoS (Denial of Service), DDoS(Distributed DoS) 特定の主義主張の表明のために関係組織を攻撃 する。 ハクティビズム（Hacktivism）: アクティビズム （activism, 積極行動主義）とハック（hack）を組み 合わせた造語 金銭を脅し取ることを目的 DDoS 攻撃請負業者 攻撃を請け負うサービス: booter (表向きは負荷テストを実 施する代行業者を装う) ウイルス感染による: Mirai

DDoS攻撃の傾向 10Gbps 以下が 81.6% 、50Gbps 以上が 3.7% 最大 335Gbps 30分未満 67.6% 2回以上攻撃を受けた企業 67.4% 費用が安いので、効果的な攻撃を試行するため。 中国 1日 20CNY(330円), 1か月 400CNY

DoS攻撃による被害事例 金融サービスにおける被害 脆弱性を悪用した DoS 攻撃の被害事例 FX事業を行う複数企業の Web サイトが被害 仮想通貨の取引所 影響によって仮想通貨の価格が下落 脆弱性を悪用した DoS 攻撃の被害事例 通信機器に特定のパケットを送ることでサービスが 停止 Mirai

Webサイト改ざん 減少気味であるが継続している 事例 閲覧するとウイルス感染する 偽りの警告を表示するWebサイトへのリダイレクト

情報漏えい 外部からの攻撃 内部者の不正 不適切な運用 SQL インジェクション攻撃 Apache Struts2 の脆弱性 退職者 提供対象外機能なしで公開 アクセス制限なしで公開 仕様ソフトウェアの脆弱性放置 委託先の不適切な管理

金銭被害 ビジネスメール詐欺（Business E-mail Compromise：BEC） 巧妙な騙しの手口を駆使した、偽りの電子メールを 組織・企業に送り付け、従業員を騙して送金取引に 関する資金を詐取する等の金銭被害をもたらす。 米国 2013年10月 - 2016年12月で、24,345件、被害総額 約22億 米ドル 日本 2016年度に13.4% の組織で受信 2017年から本格的に攻撃される。 JAL 約3億6,000万円の被害(2017年12月) スカイマーク 気が付く

金銭被害 偽警告による被害 偽セキュリティソフトによる被害 ワンクリック請求 フィッシング 偽サイトによる被害 サポート詐欺 偽セキュリティソフトによる被害 有償ソフトを買わされる ワンクリック請求 不正請求 フィッシング 偽サイトによる被害 インターネットバンキングを狙った攻撃 減少している 被害防止の取り組みで効果

攻撃・手口の動向と対策 ランサムウェアによる攻撃 DDoS 攻撃 ソフトウェア脆弱性の悪用 ばらまき型メール 標的型攻撃 ビジネスメール詐欺 偽警告・偽サイト

ランサムウェアによる攻撃 Wanna Cryptor の自己増殖機能は、EternalBlue というエクスプロイト(アプリケーション、 ネットワークやハードウェアの脆弱性を悪用す る非倫理的または違法な攻撃)キットの機能。 SMBv1 の脆弱性

ランサムウェアへの対策 脆弱性への対策 通信制御による対策 基本的な対策の再確認 ランサムウェアに身代金を払っても？ 攻撃パケットをフィルタ、ブロック 基本的な対策の再確認 セキュリティ対策ソフト 添付ファイルに注意 ランサムウェアに身代金を払っても？ バックアップ（手動） 複数バックアップ

DDoS 攻撃の種類 リフレクター攻撃 マルチベクトル型攻 撃 上記すべて行う。 リフレクター攻撃 攻撃対象のサーバに 大量のSYNパケットを 送って、サーバのTCP 機能を喪失させる。 Web サーバに大きな ファイルをPOSTさせ サーバ機能を喪失さ せる。 上記すべて行う。

DDoS 攻撃への対策 フィルター ISPによるフィルター DDoS 対策可能なサーバを経由させる 攻撃に加担しない オープンリゾルバ

ソフトウェア脆弱性の悪用 任意のコードが実行できる。 Apache Struts2 Windows の既知の脆弱性 IoT機器の脆弱性

ばらまき型メール 特定の組織や個人ではなく、不特定多数の一般 利用者を狙った、ウイルス感染を目的とした日 本語のメールを本項では「ばらまき型メール」 と呼ぶ。 ウイルスのうち93.4% が、不正送金を狙ってイン ターネットバンキングのアカウント情報を窃取する ウイルス「Ursnif」、またはその亜種「DreamBot」 であった 添付からURL を記載する攻撃に変化 添付ファイルの削除等を行うメールフィルタリング 機能を回避

ばらまき型メールへの対策 ウイルスに感染させる確率を上げるために様々な 細工を施しており、常に新たな手口で攻撃してく る セキュリティソフト メールの指示に注意 OS/アプリケーションの更新 組織体制の整備 利用者の教育・訓練 添付ファイルの制限 ログ監視

標的型攻撃 標的型攻撃とは、ある特定の企業や組織を狙って 行われるサイバー攻撃である。不特定多数の相手 に対して無差別にウイルスメールやフィッシング メールを送信する攻撃等とは異なり、標的型攻撃 は特定の企業や組織が保有している機密情報の窃 取やシステム・設備の破壊・停止を目的として行 われる。 事前調査 初期潜入段階 攻撃基盤構築段階 システム調査段階 攻撃最終目的の遂行段階

ビジネスメール詐欺 ビジネスメール詐欺は、巧妙な騙しの手口を駆使 した偽のメールを組織・企業に送り付け、従業員 を騙して送金取り引きに関わる資金を詐取する等 の金銭被害をもたらすソーシャルエンジニアリン グの手法を応用した攻撃である。攻撃の準備とし て、企業内の従業員等の情報が狙われたり、情報 を窃取するウイルスが使用されたりすることもあ る 取引先との請求書の偽装 経営者等へのなりすまし 窃取したメールアカウントの悪用 社外の権威ある第三者へのなりすまし 詐欺の準備行為と思われる情報の詐取

偽警告・偽サイトへの対策 最新のフィッシング手口に関する情報に関心を 持ち、予備知識を得ておく。 金融機関が行わないこと（ネット上で第2 暗証 をすべて入力させる等）を把握しておく。 自分が意図していないWeb サイトに転送され ていないか URL が、見慣れない文字列になっていないか。 不自然な日本語の記載はないか。

情報システムの脆弱性の動向 バッファエラー（CWE-119） 不適切なアクセス制御（CWE-284） SQLインジェクション（CWE-89） リソース管理の問題（CWE-399） 境界外読み取り（CWE-125）

情報セキュリティ対策の状況 九州大学の例

情報セキュリティ対策への取り組み SINET５ 対外接続のポート制限 全学ファイアウォールシステム ウイルス・スパムメールチェックサービス インターネット SINET５ 対外接続のポート制限 対外接続ルータ 危険性の高いポートをフィルタリングで遮断 全学ファイアウォールシステム コアスイッチ ・ URLフィルタリング，脆弱性防御機能，アンチウィルス ・ アクセス規制（HTTP/HTTPS通信，動画・音楽ファイルのダウンロード等） 全学ファイアウォール ウイルス・スパムメールチェックサービス ウイルスメールの検出，スパムメールの判定 コアスイッチ ウイルス・スパムチェックサーバ ウイルス対策ソフト提供サービス L2スイッチ トレンドマイクロ ウイルスバスター を本学構成員に提供（インストール対象は，大学所有PC，本学学生，職員，名誉教授が所有する個人PC（1人3台）） 部局 メールサーバ 利用者端末 情報インシデント対策に関する情報提供 脆弱性の注意喚起，対策の情報提供

取るべきセキュリティ対策 人的編 組織・人的対策 組織(CIO/CISO)の明確化 CSIRT の公式化 インシデント対策手順書 教育・訓練 CIO:（Chief information officer）最高情報責任者 CISO:(Chief Information Security Officer)最高情報セキュリティ責任者 経営判断のできる人 CSIRT:（Computer Security Incident Response Team) シーサート テクニシャン集団

情報セキュリティを支える基盤の動向：政策 「サイバーセキュリティ2017」の策定と実施 重要インフラの情報セキュリティ対策強化 次期サイバーセキュリティ戦略策定に向けた活 動

情報セキュリティを支える基盤の動向：法整備 サイバーセキュリティ基本法 「サイバーセキュリティ協議会」の設置 グローバル連携 不正競争防止法 不正競争防止法は、事業者間の公正な競争と国際約 束の的確な実施を確保するため、不正競争の防止を 目的として設けられた法律である 安心してデータをやり取りでき、データの創出・収 集・分析・管理等に対する投資に見合った適正な対 価を得られる環境整備が重要 データ利活用促進に向けた制度 暗号化等の技術的な制限手段の保護強化

IPA が選ぶ情報セキュリティ10大脅威2018 個人向け 組織向け インターネットバン キング、クレジット カードの不正利用 ランサムウェア 誹謗中傷 スマートフォン Web への不正ログイ ン Webから個人情報漏え い 犯罪の低年齢化 不正請求 IoT インターネット詐欺 組織向け 標的型攻撃 ランサムウェア ビジネスメール詐欺 公開された脆弱性情 報の悪用 セキュリティ人材不 足 Webから個人情報漏え い IoT 内部不正 サービス妨害攻撃 犯罪のビジネス化