標的型メール攻撃対策 ハンドブック 今、企業に必要なセキュリティ対策 今、世間を騒がせている 標的型メール攻撃とは 標的型メール攻撃の概要 標的型メール攻撃とは、プロの犯罪集団がある特定の対象を狙って 「なりすましメール」を送付し、機密情報を窃取する攻撃のことです。 メール本文は、正当な業務内容や依頼内容に見せかけてあるため、 受信者は信頼できると判断し、添付ファイルの開封やURLをクリックします。 その結果、マルウェアにPCが感染し、外部からの遠隔操作で情報が 盗み取られてしまいます。 攻撃サーバ 機密情報 攻撃者 ④外部から遠隔操作 ⑤情報漏えい ③マルウェア 感染 ②添付ファイル開封・ URLクリック ①関係者になりすまし なりすまし 電子メール 信頼できると判断 信頼できる人を詐称 標的型メール攻撃の傾向 ●詐称元種別割合 ●メール種別割合 標的型メール攻撃は、差出人を信頼された 人物に詐称します。 標的型メール攻撃では、添付ファイルを開封させて マルウェアに感染させる方法が多く用いられます。 学生 3% 政党 1% 政治家 4% URLリンク型 3% やりとり型関連 3% 大学 6% 組織関係者 6% 会社 35% 個人 8% 公企業 16% 添付ファイル型 94% 省庁 21% 出典:IPA 標的型攻撃メールの傾向と事例分析〈2013年〉 -2- 標的型メール攻撃から守る 多層防御による対策 巧妙化・高度化する標的型メール攻撃 攻撃者はさまざまな攻撃ステップを踏んで、標的型メール攻撃を仕掛けて きます。 潜入情報収集 準備 Step1. 計画立案 Step2. 攻撃準備 Step3. 初期侵入 撤収再侵入 情報窃取破壊 Step.4 基盤構築 Step5. 内部侵入・ 調査 •攻撃目標設定 •標的型メール •標的型メール •バックドア開設 •他端末侵入 作成 の送付 •攻撃に必要な •端末情報入手 •サーバ侵入 情報の関連 •攻撃サーバ •通信受信リモー •構成情報入手 •管理者情報 調査 準備 ト操作 窃取 Step6. 目的遂行 •情報窃取 •システム破壊 Step7. 再侵入 •バックドアを 通じ再侵入 標的型メール攻撃対策の考え方~多層防御~ 標的型メール攻撃は、一つの対策で防ぐことは困難です。 攻撃ステップに適した、複数の対策を組み合わせる多層防御が有効です。 Step1.計画立案 Step2.攻撃準備 攻撃開始 機密情報窃取 攻撃者 Step7.再侵入 組織・企業内 自社システムの点検 ログ 入口対策 ログ収集 Step3.初期侵入 出口対策 PC対策 ログ 相関分析 インシデント管理 データ対策 Step4.基盤構築 内部対策 Step5.内部侵入・調査 セキュリティ教育 Step6.目的遂行 パッチ対策 多層防御 + 統合監視 -3- 標的型メール攻撃の被害を防ぐ 効果の高い3つのポイント NECがおすすめする3つのポイント 標的型メール攻撃は、複数の対策を組み合わせた多層防御がもっとも 効果的ですが、すべての対策を一斉に施すのは負担も大きくなります。 NE Cでは その中でも効果の高い 3つの ポイント を お すす めし ます 。 自社のシステムは安全なの? ポイント 1 自社システムの状況を 確認しましょう! P6 マルウェアがシステムに 侵入する前に対処できないの? ポイント 2 入口で防御しましょう! P8 入 口 対 策 P10 デ ー タ 対 策 ファイルが流出しても 情報を守る方法はないの? ポイント 3 漏れても安全な システムにしましょう! -4- 自 社 シ ス テ ム の 点 検 コ ラ ム あの会社は始めてる!? ―セキュリティ投資の標準的な金額― Q.自社システムのセキュリティに、 どのくらいの費用を かけていますか? 自 社 シ ス テ ム の 点 検 情報処理推進機構(IPA)によると、従業員数300人以上の企業に おいて、セキュリティ関連製品・ソリューションの導入にかけた費用は 500万円以上が多い傾向にあります。 3% 1百万円未満 1百万円~5百万円未満 0% 17% 17% 5百万円~1千万円未満 入 口 対 策 1千万円~2千万円未満 2% 2千万円~5千万円未満 3% 8% 27% 9% 5千万円~1億円未満 1億円~4億円未満 4億円以上 14% 不明 無回答 出典:IPA 2014年度 情報セキュリティ事象被害状況調査 500万円以上が全体の約4割! -5- デ ー タ 対 策 ポイント 1 自社システムの状況を確認しましょう! 自社システムの状態を 把握していますか? 自社システムに潜む脆弱性を知りたい! 標的型メール攻撃対策の第一歩は、「己」を知ること!きちんと自社 システムの「脆弱性」を知ることで、適切な対策をとることができます。 自社システムの状態を正しく把握していますか? 自 社 シ ス テ ム の 点 検 個人情報 Web改ざん 情報漏えい “踏み台”となり 攻撃に関与!? 入 口 対 策 導入効果~自社システムの点検~ 自社システムの点検を行うことで、こんな効果があります。 デ ー タ 対 策 自社システムの脆弱性がわかる 標的型メール攻撃対策について、対策 の優先順位や時期、規模などを検討す る有効な基礎データを得られる NECが提供するサービス/製品は? -6- 自社システムの状況を確認しましょう! ポイント 1 社内のPC/サーバを診断し、システムの 脆弱性を検出 プラットフォーム脆弱性診断サービス サーバ/PC/ネットワーク機器に潜む脆弱性を検出し、対処方法を提案 します。まずはメンテナンス不足のサーバなどを発見することが重要です。 NEC 専門家 ●各種サーバ ●オペレーティングシステム ●パッケージなど 診断用コマンド わかりやすい分析レポート 不要な サービス 脆弱な 設定 脆弱な バージョン 自 社 シ ス テ ム の 点 検 報告会の実施 レスポンス 不要な アカウント 安易な パスワード プラットフォーム脆弱性診断サービスの特徴 専門家の手により、PC/サーバ/ネットワーク機器に潜む脆弱性を検出 診断結果を踏まえ、対処方法をご提案 事前準備 診断 分析 報告 事後処理 お客さま 診断するシステムを 決定します NEC 診断対象となるシステム について伺います 入 口 対 策 どのような対処をするか 検討していただきます レポートをもとに 診断結果を 報告します 診断を実施 します 診断結果を 分析します 適切な対処方法 をご提案します 分析結果を レポートにまとめます 専門家による診断でシステムの弱点を見える化!! -7- デ ー タ 対 策 ポイント 2 入口で防御しましょう! 不審な添付ファイルやURLを含む メールを検知できますか? 自社システムへのマルウェア侵入を防ぎたい! 標的型メール攻撃に使用されるマルウェアは何度も使われません。 そのためアンチウイルスソフトでの検知は難しくなります。 メールに添付された未知のマルウェアを検知することはできますか? 未知のマルウェアを検知する仕組みはありますか? 自 社 シ ス テ ム の 点 検 開封し感染 標的型メール メールサーバ 攻撃者 入 口 対 策 導入効果~入口対策~ 入口対策を行うことで、こんな効果があります。 デ ー タ 対 策 不審なメールを受け取らずに済む 既知/未知のマルウェア感染を防げる 不審なメールを事前に削除することで サーバの負荷を下げることができる NECが提供するサービス/製品は? -8- 入口で防御しましょう! ポイント 2 不審な添付ファイルやURLを含むメールに 強力な入口対策 FireEye NX/EX/ActSecureクラウドメールセキュリティサービス FireEyeの特徴 ゼロデイ攻撃など、シグネチャをすり抜けるマルウェアを検知します。 Phase 1 Phase 2 HTTP トラフィック PDF,難読化Java-Script などのトラフィック 仮想PC ・Windows XP ・Windows 7 再生 自 社 シ ス テ ム の 点 検 など 判定 マルウェア Phase1: 疑わしい通信の見極め Phase2: サンドボックス内の仮想PCで再生 マルウェアの悪意のある挙動を検知 サンドボックス 24時間365日リモートで監視運用するサービスを提供! ActSecureクラウドメールセキュリティサービスの特徴 入口対策をクラウド型のサービスとしてご提供。 NEC マルウェアチェック スパムチェック 標的型メール攻撃対策 入 口 対 策 サンドボックス SPAM NECのクラウド上で マルウェア・スパムを 検知 http://XXX~ クラウドメールサービス 外部 サンドボックス機能で 標的型メール攻撃に対応 お客さま メールシステム 利用者 一般利用者 NECが社内外から培ったノウハウで標的型メール攻撃を防ぐ -9- デ ー タ 対 策 ポイント 3 漏れても安全なシステムにしましょう! 作成したファイルを 自動的に暗号化していますか? 万が一ファイルが流出しても情報は守りたい! ファイルが流出した場合でも、データが暗号化されていることで 、 被害を最小限に食い止めることができます。 作成したファイルを自動的に暗号化していますか? ファイルサーバのファイルも自動で暗号化していますか? ファイルごとにアクセス権限を持たせていますか? 自 社 シ ス テ ム の 点 検 機密情報 機密情報 不正アクセスにより ファイルの窃取 ファイルコピー 攻撃者 入 口 対 策 ファイルサーバ 社員 導入効果~データ対策~ データ対策を行うことで、こんな効果があります。 デ ー タ 対 策 暗号化することで、ファイルが流出して も、情報は漏れない 自動的に暗号化するので、「暗号化忘れ」 がなくなる ファイル毎に認証情報を持たせることで、 厳格に利用者を設定できる NECが提供するサービス/製品は? - 10 - 漏れても安全なシステムにしましょう! ポイント 3 ファイル毎に暗号化+アクセス制御で 第三者閲覧を防ぐ InfoCage FileShell ファイルがどこに存在しても、設定した利用者以外は閲覧できません。 クライアント ファイルサーバ 保護文書 【保護ルール】 Aさん:編集可能 Bさん:閲覧のみ 保護 ルール 認証サーバ 暗号化 /2シgク&ヨ魲・ uアC澆ム攘ヲ 覿BC レモg サ凞ォ郷 認証 漏洩 編集可 閲覧のみ 編集可 閲覧不可 ①関係者(社内) 盗聴 添付ミス 漏えい データ 閲覧不可 閲覧不可 ②関係者(海外拠点や取引先) 自 社 シ ス テ ム の 点 検 閲覧不可 ③関係者以外(社外など) InfoCage FileShellの特徴 従来の運用を損なわず「漏れても安全」を実現します。 自動で暗号化 運用操作は変わらない ※開いてる時も暗号化を保持 保存すると 自動暗号化 ファイルを開く ダブル クリック Text 任意のファイルを暗号化 ファイルの暗号化を簡単視認 メモ帳でも Excel 入 口 対 策 暗号化後 利用可能 ※鍵マークの有無で識別 Excelでも 情報漏えい対策の最後の砦! - 11 - デ ー タ 対 策 標的型メール攻撃の被害を防ぐため の5つの方法 自社システムを、より強固にするための方法 効果の高い3つのポイントと併せ、より強固なセキュリティ対策を実現 する5つの方法。 出口対策 内部対策 パッチ対策 セキュリティ教育 PC対策 5つの方法の対策イメージ 標的型メール マルウェア感染リスクを軽減 機密情報の漏えいを防止 社内 ファイルサーバ 攻撃サーバ 攻撃者 マルウェア感染による外部通信の検知/遮断 出口対策 DMZ 公開サーバ メールサーバ 内 部 対 策 P C 対 策 インターネット 12 ファイア ウォール 認証サーバ プロキシサーバ パッチ対策 情報システム管理者 - 12 - セ キ ュ リ テ ィ 教 育 出口対策 (Palo Alto Networks PAシリーズ) 標的型メール攻撃の防御機能を持つ次世代ファイアウォール マルウェアに感染したPCは、外部の攻撃用サーバへの通信が発生 します。その通信を検知し遮断することで、マルウェア感染の拡散や情報 の漏えいを防ぐことができます。 アプリケーションプロトコルの検出 Application Protocol Detection / Decryption アプリケーションプロトコルの復号 Application Protocol Decoding シグネチャとのマッチング Application Signature 振る舞いチェック Heuristics Salesforce.com Youtube skype LogMeIn meebo msn MEGAUPLOAD webex ORACLE Google App-IDTM 特許技術 Facebook 内部対策 (Deep Discovery powered by Express5800) 未知のマルウェアを検知し、自社システムの感染状況を可視化 メールだけではなく、USBメモリなどからのマルウェア感染を早く検知 することで、社内へのマルウェア感染の拡散を防止することができます。 Intemet 仮想環境での動的解析 (サンドボックス) 通 信 監 視 Deep Discovery powered by Express5800 ミラーボート 検知 通知 自動分析 レポート - 13 - リアルタイムに脅威を表示 PC対策 (FFR yarai) 標的型メール攻撃をPC上で検知し防御する 一般のアンチウイルスソフトでは発見できない未知のマルウェアでも、 PCのサンドボックスチェックにより発見/駆除できます。 IDS/IPS アンチ ウイルス サイト フィルタ セキュリティ パッチ yarai 従来型の攻撃 多段解析により未知の マルウェアを検知 既知のマルウェア シグネチャ検知 未知のマルウェア サンドボックス検知 標的型メール 攻撃 クライアントPC 従来型のセキュリティ対策 パッチ対策 (NEC Cyber Security Platform) セキュリティリスクを把握し、効果的な対策を可能にする NEC Cyber Security Platform(NCSP)は、お客さまシステムに潜むセ キュリティリスクを即座に特定し、環境に合わせたセキュリティリス クへの対策案を提示します。 お客さま環境 インターネット NEC CSPマネージャー NEC インテリジェンス配信 サイバーインテリジェンス 脆弱性 脆弱性 情報 情報 インテリ ジェンス 機器情報 機器情報 収集 脆弱性あり! 対策提示 リスク分析 対策提示 NEC内部ノウ NEC保有 ハウ ノウハウ セキュリティ管理者 - 14 - 対策実行 セキュリティ教育 (標的型攻撃メール対応訓練/Outlookアドインツール) 標的型攻撃メール対応訓練の特徴 従業員に対して、疑似的な標的型メールを送信し、注意耐性の向上 および、訓練結果の分析による施策へのフィードバックを実施します。 お客さま NEC 注意力の 向上 疑似的な 「なりすましメール」 配信 セキュリティポリシー 遵守状況確認 開封数やその時間など、 分析結果報告の場にて 分かり易くご説明 報告会の実施 リンクやファイルをクリックし た場合には、提供頂いた注意喚 起文を表示 従業員の注意力向上、同時に有効な施策検討を実施 Outlookアドインツールの特徴 標的型攻撃が疑われるメールに対して、開封時に利用者へ警告ダイ アログを表示し、最終注意喚起を促します。 日本語環境であまり使用されない文字コードが含まれている 実行形式のファイルが添付されている メール開封時に 警告ダイアログ表示 ■ポイント 標的型メール攻撃を知ら ないユーザーでも、問題 があることを認識できる 何だ!この警告 ダイアログは? 標的型攻撃メールへの注意喚起強化 - 15 - 安心の先へ。 NECは世界最高レベルのセキュリティ技術で、 社会インフラの高度化を推進します。 お問い合わせはこちら NECパートナーズプラットフォーム事業部 ソフトウェアお問い合わせ TEL 03-3798-7177 受付時間 9:00~12:00 13:00~17:00 月曜日~金曜日(祝日・NEC所定の休日を除く) ※番号はよくお確かめの上おかけください http://jpn.nec.com/cybersecurity/ ●その他本紙に掲載された社名、商品名は各社の商標または登録商標です。 ●本製品の輸出(非居住者への役務提供等を含む)に際しては、外国為替及び外国貿易法等、関連する輸出管理法令等をご確認の上、必要な手続きをお取りください。 ご不明な場合、または輸出許可等申請手続きにあたり資料等が必要な場合には、お買い上げの販売店またはお近くの弊社営業拠点にご相談ください。 ●本紙に掲載された製品は、改良のため予告なく仕様を変更することがあります。 日本電気株式会社 〒108-8424 東京都港区芝五丁目33番8号(第一田町ビル) 2015年9月(V4)
© Copyright 2024 ExpyDoc
