IP アドレス

2015-9-25
湧水町役場職員
セキュリティ確保講習会
主に日本年金機構の状況の反面教師
流れ
自己紹介
お話ししたいこと
1. サイバー攻撃を知る
2. 職員番号を設ける
3. 職権に従うデータへのアクセス権の設定
4. 公開暗号方式による通信
5. ルーター・プロキシの適正な管理
質疑応答
まず、自己紹介を
昭和18年生まれ ( 71歳 )、横河電機を経て
GE Medical-System へ移籍
22年間を CT の開発、病院の情報システムとの
接続その他、技術本部技術管理部
最後の 7年間を技術本部のインフラ整備、
DB-Server 構築・運用、その他を
Home-Page :
http://www.geocities.jp/katsu_immr/
Twitter-Page :
https://twiter.com/katsu_immr/
情報機器等のセキュリテイに関心をもっている
サイバー攻撃を知る
最近のサイバー攻撃 - 1
一番弱い所から狙い、そこから順次広げていく
知的財産・重要インフラだけでなく更なる攻撃のために個人
情報まで狙う
潜んでいて (水飲み場)、対象が現れるのを待ち構える
相手は (中国の) 専門集団、国の機関との連携が必要となる
2010年9月警察庁 Web-Svr DDOS
2011年9月三菱重工情報流出
2012年1月農水省行政文書流出パソコン 39台が巧妙な
トロイの木馬ウイルスに感染
2013年、2014年 Web-Svr 改竄に発する銀行口座情報窃取
多数、年々増加損失額は莫大なものに
サイバー攻撃を知る
最近のサイバー攻撃 - 2
2015年5月日本年金機構 31台のパソコンから
101万人の年金情報が流出
2015年6月上田市役所 JPCERT/CC からの連絡
ウイルスが蔓延、LGWAN から遮断
臨時対応費 3000万円
以下日本年金機構の事故を第三者検証委員会に
よる調査報告書から説明します
JPCERT/CC :
Japan Computer Emergency Responce Team Coordination Center
LGWAN :
Local Government Wide-Aria Network
NISC の調査報告書
サイバー攻撃を知る
年金機構の対応 - 1
中国が仕掛けた標的型メール
5/8 「厚生年金基金制度の見直しについて(試案)に
関する意見」 2人に
5/18 添付 “給付研究委員会オープンセミナーの
ご案内.lzh“ 98 人に
5/20 添付 “医療費通知のお知らせ.lzh” 3人に
5/8 まず調達用に外部公開されたメールアドレスを使い
PC 1台を感染させた
これを遠隔操作し、権限昇格を行う不正プログラムを実
行し、情報収集活動を行った
内閣サイバーセキュリティセンター (NISC) はその1台と
外部との不審な通信を検知している
サイバー攻撃を知る
年金機構の対応 - 2
感染 PC は非公開の職員メールアドレスを収集
そしてその後このアドレス宛てに時間を空けながら
マルウエア計 119通を送りつけた
感染 PC が送信したり指示を受けるのは、攻撃者が
乗っ取っている外の「接続先」サーバー
しかし 5/19 までは情報流出は不発に終わった
5/8 時点で、厚労省が国内の「接続先」をブロックす
るよう設定したから
5/20 に攻撃者は再び 3つの公開アドレスを狙い、1台
が感染した
30分後には管理者権限を奪い、2時間以内に 6台に
感染を広げた｡そして 5/21 から 5/23 にかけて 101万
人の個人情報を盗んだ
サイバー攻撃を知る
年金機構の対応 - 3
攻撃者は個人情報を「機構LANシステム」の共有フォルダ
から取り込み、「接続先」に送っている
機構は年金情報を基幹系システム「社会保険オンラインシ
ステム」で管理しているが、2010年9月以降、DVD などで
機構LANシステムにコピーしていた
現場の都合が優先され、内規違反の常態化を幹部は知
らないまま形式的に終始した
また、パスワードをかけていないデータが 55万件あった
個人情報をインターネットの影響下に置くことは官民を問
わず避けなければならない
サイバー攻撃を知る
年金機構の対応 - 4
機構への攻撃には “序章” があって、4/22 に厚労省
の年金局に標的型メールを送り、そこの PC はバッ
クドア・ウィルスに感染し、「接続先」と通信した
NISC がこれを検知、2時間後にはブロックする設定
を施した
従って攻撃者は、次なる攻撃を検討し、年金機構が
狙われるに至ったと考えられる
NISC :
National Center of Insident Readiness and Strategy for Cybersecurity
内閣サイバーセキュリティ戦略本部
サイバー攻撃を知る
何が出来ないでいたか - 1
PC の OS ( Windows ) やディレクトリィ・サーバーに
は既知の脆弱性が残っており、管理者権限は同
一のパスワードが設定されていた。
これが 4度目の攻撃を許し感染を 31台に急速に
広げる一因になった
サイバー攻撃を知る
何が出来ないでいたか - 2
未知のマルウエアで狙う標的型攻撃は、「入り口対策」だ
けでは足りなくて、侵入を前提として、素早い検知と情報
を外に漏らさない「出口対策」が欠かせない
機構LANシステムは未知の不正侵入に対しては準備
が不十分だった
事故(インシデント) 発生時の対応を指揮する CSIRT や
監視を担当する Security-Op-Ctr は無く、監査もサイバー
攻撃の観点で実施されたことは無かった
サイバー攻撃を知る
何が出来ないでいたか - 3
機構LANシステムはアクセスログを採ってはいたも
のの、監視は NTTデータとの契約内容に入ってい
なかった。人任せで主体的に動かない組織になって
いた
厚労省には CSIRT はあったものの、その構成員が
「偉い人」すぎて、実際に「手を動かす人」がいないし、
自らが責任部局という認識が希薄だった
サイバー攻撃を知る
何が出来ないでいたか - 4
対応手順書が定められていない。ルールは決めて
あってもそれが守られているかの点検が無かった
事故後の事情聴取に対して非協力的、素直に応じな
い職員もいた
専門家が 1人いたが管理職などの判断権者に対して
進言できるような職位になかった
まして高度な解析のできる人材が育つような環境
はないがしろにされた
ここまでをまとめると
中国の専門集団からの攻撃であり、
自分たちの多くの弱点について研究されており、
既に仕掛けが存在すると考えてよい
従って、普通には防ぎきれないので、その後にどう
動くか考え準備をする必要がある
住民に関する情報を守ることの重要さを、損害の
大きさと比べて、人的投資を図ること
職員番号を設ける
たとえば、n1001 : 米満重満、n5001 : 臨時職員A
それぞれの PassWd でシステムにログインする
サーバーのアクセス・ログを残す
画一的にメルアド [email protected] を与える
職権に従うデータへのアクセス権の設定
リストを設けて厳格に運用する
共有のログイン ID / PassWd は使用しない
定期的な管理者へのアクセス・ログの報告
公開暗号方式による通信
電子署名で改ざんを防げる
なりかわりを防ぐ、作成を否定できない
やがてマイナンバー・カードの本人認証を利用できる
ルーター・プロキシの適正な運用・管理
サイバー攻撃に対する遮断を予行演習する
プロキシ・サーバーで高度の Virus-Check を実施
CSIRT を準備して組織的に対処する
質疑応答 - 1
IP-Address とは
SubNet 、DNS-Svr は分散 DB
Port No. 、Private-Adrs と Router
FireWall はこれらを理解して設定する
マイナンバーで生活はどう変わる
本人の認証
公開暗号を安全な通信で活用
一生付いてまわる
ＩＰアドレスは
インターネットの電話番号にあたります
あなたのＰＣ、ネットワークは何番ですか ?
3.36.10.128 / 22 --0000 0011 0010 0100 0000 10 + 10 1000 0000
0000 0011 0010 0100 0000 10 + 10 1000 0000
640 番と 51458 番
imamura.geyms.med.ge.com、
admin.eng-hq.geyms.med.ge.com
<-- 分かり易い
ドメインと呼ばれる分散されたデータベース
インターネット
役所
企業
沢山の Router
沢山の DNS-Server
TCP/IP
-----
学校
NAT
沢山の Mail-Server
沢山の Web-Server / DB-Server
沢山のPC
沢山の File-Server
どんな世界にいるのか
プロバイダ
DSLAM
個人
Modem
PC
質疑応答 - 2
自宅で PC をどう安全に使う
管理者権限で Home-Page を見ない
HTML メールでなくて Text メールを使用する
PassWd をレベルを決めて複数もつ
Mail 添付 / USB での File 転送は原則禁止
役場でのマイナンバー取扱い
( 特定個人情報取扱ガイドライン )
検索・参照と追記がある
その担当者はより重い責任を問われる
決められた目的以外の利用は禁止
不審な状況に気付いたらすぐ責任者に報告

Download Report