ISACA東京支部:12月例会 事例からみる2014年の企業を取巻くセキュリティ脅威の動向 ~ 様々な視点で昨今のセキュリティ脅威を分析 ~ 2014/12/24 株式会社 日立システムズ サイバーセキュリティリサーチセンター 大森 雅司 ,CISSP,CISA © Hitachi Systems, Ltd. 2014. All rights reserved. Contents 1. 情報セキュリティ問題分野の整理 6. 社会インフラを狙った攻撃 2. 脆弱性・攻撃手口の傾向 7. 国内外の政策的な動向 3. 金銭目的のサイバー攻撃 8. 企業における対策について 4. 内部不正・内部犯行 9. まとめ 5. サイバーインテリジェンス © Hitachi Systems, Ltd. 2014. All rights reserved. 1 1. 情報セキュリティ問題分野の整理 © Hitachi Systems, Ltd. 2014. All rights reserved. 2 1-1 IT環境の変化に伴う煩雑な管理 組織と個人の境界が曖昧となり、データ流出の危険性の増大 クラウドサービス SNS(Facebook,Twitter) イントラネット モバイルサービス データの複製が組織外部に大量にできてしまう 管理者がデータを守りづらい環境になってきている SNSの発達により、仕事とプライベートの境界が曖昧に © Hitachi Systems, Ltd. 2014. All rights reserved. 3 1-2 2014年 情報セキュリティに関連するニュース 1月6日 攻撃 1月15日 攻撃 2月12日 攻撃 2月18日 攻撃 3月10日 攻撃 3月19日 脆弱性 3月26日 政策 4月8日 脆弱性 4月9日 その他 5月2日 脆弱性 5月19日 社会事件 5月20日 社会事件 6月3日 社会事件 6月12日 脆弱性 6月18日 政策 7月9日 攻撃 8月25日 攻撃 9月4日 社会事件 9月25日 9月~10月 脆弱性 攻撃 10月14日 社会事件 10月29日 政策 11月7日 攻撃 11月19日 社会事件 11月27日 攻撃 高速増殖炉もんじゅの事務処理用パソコン1台がウイルスに感染、情報流出の可能性を公表。 国内大手出版社のWebサイトが改ざん、Toolkitによる不正サイトからのマルウェア誘導を発表。 Bitcoin取引所が、取引妨害攻撃を受けたとして口座からの引き出しを一時停止。 検索サイトの検索連動型広告を悪用し、複数の金融機関の偽サイトへの誘導が発覚。 航空会社の会員向けWebサイトで不正ログインが発生し、マイルを別のポイントに交換される。 Apache HTTP ServerにDoS攻撃可能な脆弱性を含む複数の脆弱性が見つかり修正された。 防衛省は、サイバー防衛隊を新編した。 OpenSSLのTLS Heartbeat拡張処理の不具合による脆弱性が発見・修正された。 Windows XP、Microsoft Office 2003、Internet Explorer6のサポートの終了。 Internet Explorerの複数のバージョンにリモートでコードが実行可能な脆弱性が確認。 遠隔操作ウイルスに関連する一連の事件の容疑者について、保釈が取り消される。 FBIは、RAT Blackshadesに関わったとされる100人以上を逮捕したと発表。 米司法省は、GameOver Zeusについて、テイクダウンを実施し関係者を逮捕。 BIND 9.10.xに、DoS攻撃が可能となる脆弱性が見つかり、修正された。 単純所持の禁止などを追加した、改正児童買春・ポルノ禁止法が可決され、成立した。 通信教育企業は、同社の顧客情報が名簿業者など外部に流出したことを公表した。 PSN及びSENへDDoS攻撃により大規模な障害が発生した。 平成26年上半期のインターネットバンキングに係る不正送金事被害が、約18億円に達する。 Bashにリモートから任意のコード実行が可能な脆弱性が発見される 複数の国内サイトにおいて、ドメイン名のハイジャックが行われる。 人材紹介会社の元従業員男性が同社の顧客情報を不正に取得したとして逮捕された。 サイバーセキュリティ基本法案が臨時国会で成立。 医療費通知の偽装メールによる攻撃が、複数の組織で確認される。 違法にプロキシサーバを運営する全国8業者へ一斉捜査が行われる。 複数のWebサイトでSyrian Electronic Armyの画像が差し込まれる事件が発生 © Hitachi Systems, Ltd. 2014. All rights reserved. 4 1-3 情報セキュリティ年表 ~攻撃手法・攻撃者の変遷~ ★Windows XP 発売 IT環境 ブロードバンドネットワーク 2013 2012 ★iPad 発売 ★iPhone 発売 公衆無線 LAN 2011 2010 脅威のグローバル化 2009 2008 2007 2006 2005 内部脅威・コンプライアンス対応 2004 2003 2002 2001 ネットワークウイルス全盛 クラウド・モバイルデバイス ソーシャルメディアサービス ワーム/ネットワーク型 ウイルス 標的型攻撃 組合せ攻撃 フィッシング詐欺 攻撃手法 ボットネット(Botnet) モバイルへの攻撃 諜報・破壊 目的 金銭・経済目的 攻撃者 愉快犯 出典:IPA「2014年版 情報セキュリティ10大脅威」 ハクティビズム © Hitachi Systems, Ltd. 2014. All rights reserved. 5 1-4 “脅威”の要素と被害インパクトの関係 IT環境の変化がダメージやインパクトを増大させている [攻撃目的(意図)] [攻撃手法(能力)] 愉快犯・抗議 手法 ソーシャル 弱点 人の心理 経済欲 マルウェア SW脆弱性 ハッキング 設定不備 諜報・破壊 構図に変化なし ダメージ インパクト [環境] 不正操作 個人PC 知財流出 企業・組織 機密情報 流出 国家機関 不正使用 設計・運用不備 人的ミス 根本は変化ないが、手法 の”巧妙さ”が年々変化 安全操業 の妨害 社会インフラ 金銭被害 経営環境 に影響 安全保障上 の懸念 国民生活 への影響 必然的に ITイノベーションと 年々増大傾向に 共に常に変化 © Hitachi Systems, Ltd. 2014. All rights reserved. 6 1-5 脅威の分類マップ 同じ攻撃手法であっても、目的やインパクトは異なる! 安全保障 犯罪捜査 国家機関・テロ集団 社会 インフラ 社会インフラへの攻撃 Anonymous ★もんじゅウイルス感染 ハクティビズム ( 抗議活動) 軍事機関 ★Syrian Electronic ArmyによるWeb改ざん 国家 機関 委託先・社員 インテリジェンス活動 内部 犯行 ★人材紹介会社元従業員 が顧客情報を不正取得 ★教育通信会社顧 客情報漏えい 防犯 ★遠隔操作ウイルス事件 ★ゲームアカウント窃取 個人 諜報機関 ★国会議員を標的にした標的型攻撃 ★PSN及びSENへDDoS攻撃 インターネットモラル ★サイバー防衛隊新設 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 軍事オペレーション 企業のガバナンス ★インターネットバンキング不正送金 詐欺集団 ★ビットコイン 取引停止 ★航空会社不正ログイン 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら ★有名人成りすまし ネットへの犯行予告 愉快犯/抗議 ★医療費通知の偽装メールによる攻撃 ★不正請求詐欺 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 7 1-5 脅威の分類マップ 同じ攻撃手法であっても、目的やインパクトは異なる! 安全保障 犯罪捜査 国家機関・テロ集団 社会 インフラ 社会インフラへの攻撃 Anonymous ★もんじゅウイルス感染 ハクティビズム ( 抗議活動) 軍事機関 ★Syrian Electronic ArmyによるWeb改ざん 国家 機関 委託先・社員 内部 犯行 ★人材紹介会社元従業員 が顧客情報を不正取得 ★教育通信会社顧 客情報漏えい 防犯 ★遠隔操作ウイルス事件 ★ゲームアカウント窃取 個人 諜報機関 インテリジェンス活動 ★国会議員を標的にした標的型攻撃 ★PSN及びSENへDDoS攻撃 インターネットモラル ★サイバー防衛隊新設 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 軍事オペレーション 企業のガバナンス ★インターネットバンキング不正送金 詐欺集団 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ★ビットコイン 取引停止 ★航空会社不正ログイン ★有名人成りすまし ネットへの犯行予告 愉快犯/抗議 ★医療費通知の偽装メールによる攻撃 ★不正請求詐欺 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 8 2. 脆弱性・攻撃手口の傾向 © Hitachi Systems, Ltd. 2014. All rights reserved. 9 2-1 2014年に世間を騒がせた脆弱性 2014年に世間を騒がせた脆弱性 Heart Bleed 対策日 2014月4月7 (脆弱性は、2012年から存在) 2014年9月24日 ソフトウェア名 OpenSSLライブラリ GNU bash 概要 影響 影響範囲 被害状況 リモートでWebサーバ上のメモリを読み出せてし リモートでOSコマンドが実行できる。 まう。 ユーザパスワード、セッションクッキー、サーバ秘 サーバの乗っ取り 密鍵の漏えい bashを使用しているサービスや製品。 50万台 ・Webアプリケーション (世界中の17%に相当) ・Linuxベースの組込機器 不明。 ・ShellShockを悪用したマルウェアの確認。 ・三菱UFJニコスで不正閲覧被害 ・サーバ管理ツール Webminを狙った不正アクセ スなどが確認。 脆弱性を悪用した攻撃は、大規模化する危険性がある © Hitachi Systems, Ltd. 2014. All rights reserved. 10 2-1 脆弱性の傾向 ~脆弱性公開件数の推移~ 脆弱性の公開は、年々と増加傾向。これは危険な兆候? 脆弱性公開件数の推移 (件数) 7,000 6,088 6,000 5,000 5,568 5,136 4,966 4,362 4,000 3,000 2,000 1,000 0 2010年 2011年 2012年 2013年 2014年 出典:米国NIST NVD(Natinal Vulnerability Database) より参照 © Hitachi Systems, Ltd. 2014. All rights reserved. 11 2-2 脆弱性の仕組み(1) 脆弱性を一言でいうと、セキュリティ上の欠点 もう少し具体的 に言うと 攻撃によりシステムが攻略される弱点 修正パッチを適用すれば対策できる 攻撃されなければ無害 © Hitachi Systems, Ltd. 2014. All rights reserved. 12 2-2 脆弱性の仕組み(2) 脆弱性対策情報の構成 脆弱性関連情報 攻撃 攻撃コード (Exploit) 対策 脆弱性を含んだ ソフトウェア 修正パッチ(情報) 攻撃コードを使用し、脆弱性を攻撃する 開発元は、攻撃を無効にする対策を提供 © Hitachi Systems, Ltd. 2014. All rights reserved. 13 2-2 脆弱性の仕組み(3) 脆弱性対策は、どのようにして行われるか? 製品開発元が発見 対策バージョンの提供 対策バージョン 開発元 善意な第三者による発見 情報通知 善意な第三者 対策バージョンの提供 開発元 対策バージョン 脆弱性情報が安全に流通されたケース 上記パターンは、最も危険度の小さいケース © Hitachi Systems, Ltd. 2014. All rights reserved. 14 2-2 脆弱性の仕組み(4) 脆弱性公開件数=開発元、研究者により発見された件数 脆弱性公開件数の推移 (件数) 7,000 6,088 6,000 5,000 5,568 5,136 4,966 4,362 4,000 脆弱性公開件数の増加は、多くのソフトウェアの脆弱性が 修正され、より安全になっていることを示している 3,000 2,000 1,000 0 2010年 2011年 2012年 2013年 2014年 出典:米国NIST NVD(Natinal Vulnerability Database) より参照 © Hitachi Systems, Ltd. 2014. All rights reserved. 15 2-3 脆弱性を悪用した攻撃の傾向(1) 脆弱性を悪用した攻撃件数は、減少傾向に 7,000 脆弱性とExploit公開件数の推移 6,088 6,000 5,000 主に開発元や 善意な第三者が 発見 5,568 5,136 4,966 4,362 4,000 公開件数 3,000 Exploit公開 2,380 リモート実行タイプのExploitの割合 1,841 2,000 714 1,000 463 538 2013年 2014年 0 2010年 2011年 2012年 (NVDとExploitDBの件数を集計) 攻撃者が実際に 悪用した件数 出典:Microsoft Security Intelligence Report v16 © Hitachi Systems, Ltd. 2014. All rights reserved. 16 2-3 脆弱性を悪用した攻撃の傾向(2) 標的型攻撃における脆弱性を悪用したマルウェアの割合 出典:トレンドマイクロ株式会社「セキュリティインテリジェンスホワイトペーパー/「2013年 国内における持続的標的型攻撃の分析」 脆弱性を狙った攻撃の総数が下降なので安全かと言うと・・・? そうではない!他の傾向に目を向けるべきである! © Hitachi Systems, Ltd. 2014. All rights reserved. 17 2-4 攻撃の変化(1) ~攻撃までの期間が短い~ <脆弱性を狙った攻撃傾向> 脆弱性公開から攻撃までの期間が短い HeartBleadを悪用した攻撃 対策情報公開 (4/7)後に攻撃が急増 Apache Struts2 の脆弱性を悪用した攻撃 対策情報公(4/25) 後に攻撃が急増 出典:IBM Security Services「2014 上半期 Tokyo SOC 情報分析レポート」 © Hitachi Systems, Ltd. 2014. All rights reserved. 18 2-4 攻撃の変化(1) ~攻撃までの期間が短い~ ゼロデイのExploitの件数は、一定して悪用される Microsoft製品に関するExploitの発見タイミング 出典:Microsoft:「Microsoft Security Intelligence Report v16」 © Hitachi Systems, Ltd. 2014. All rights reserved. 19 2-4 攻撃の変化(2) ~狙われるソフトウェアの集中~ <脆弱性を狙った攻撃傾向> 悪用されるソフトウェアが集中してきている ExploitKitにより悪用される脆弱性 出典:Microsoft:「Microsoft Security Intelligence Report v16」 © Hitachi Systems, Ltd. 2014. All rights reserved. 20 2-4 攻撃の変化(2) ~狙われるソフトウェアの集中~ IPAから発信された緊急対策情報(脆弱性を悪用した攻撃) 日付 1月15日 2月5日 2月12日 2月21日 3月12日 3月25日 4月9日 4月15日 4月17日 4月30日 5月2日 8月13日 8月13日 9月10日 10月2日 10月14日 10月15日 11月12日 11月19日 12月10日 概要 Windowsの脆弱性悪用 Adobe Flash Player の脆弱性を悪用した攻撃 Internet Explorer の脆弱性を悪用した攻撃 Adobe Flash Player の脆弱性を悪用した攻撃 Internet Explorer の脆弱性の悪用 Microsoft Word の脆弱性対策について Internet Explorer の脆弱性を悪用した攻撃の確認 OpenSSL の脆弱性を悪用した攻撃 Apache Struts2 の脆弱性対策について Adobe Flash Player の脆弱性を悪用した攻撃 Internet Explorer の脆弱性を悪用した攻撃 Adobe Reader/Acrobat の脆弱性を悪用した攻撃 Internet Explorer の脆弱性を悪用した攻撃 Internet Explorer の脆弱性を悪用した攻撃 bashの脆弱性を悪用した攻撃 SSL プロトコルにおける平文データを取得される脆弱性 Microsoftの脆弱性を悪用した攻撃 Microsoftの脆弱性を悪用した攻撃 Microsoft Windows Serverの脆弱性を悪用した攻撃 Adobe Flash Player の脆弱性を悪用した攻撃 サーバの脆弱性を 悪用した攻撃に 注目が集まった。 2013年はJava! 2014年は、IEの当たり年 サーバ系ソフト クライアント系ソフト 出典:IPA注意喚起情報の情報を基に編集 © Hitachi Systems, Ltd. 2014. All rights reserved. 21 2-5 脆弱性に関する標準規格 CVEの仕様変更 <CVEとは?> Common Vulnerabilities and Exposures(共通脆弱性識別子) プログラム上のセキュリティ問題に一意の番号(CVE識別番号)を 付与して管理 CVE番号で説明され ているウェブページ CVE番号の仕様 CVE識別番号の構成 西暦 連番 CVE-2014-1000 CVE-2014-10000 CVE-2014-100000 CVE-2014-1000000 連番は4桁から始め、 必要に応じて拡張 (2014年1月改訂) © Hitachi Systems, Ltd. 2014. All rights reserved. 22 2-6 脆弱性攻撃手口の傾向 ~まとめ~ 脆弱性発見から攻撃までのタイムが短くなっている • Exploitの件数は減っているが、ゼロデイについては、一定で推移している • 30日以上経過してパッチを適用しても対策効果は薄い サーバ・組込系などインパクトが増大している • インターネット系のインフラシステムの脆弱性を狙った攻撃が徐々に拡大 • 業務的な制約から即時にパッチを当てられないケースが増加 対策については、パッチのカバー率重視ではなく、スピード重視で臨む 「脆弱性対策≒パッチ適用」と考え、パッチ適用しない対策も準備しておく パソコンについては、WindowsUpdateに加え、Java、Adobeのアップデート を確実に行う © Hitachi Systems, Ltd. 2014. All rights reserved. 23 3. 金銭目的のサイバー攻撃 © Hitachi Systems, Ltd. 2014. All rights reserved. 24 3-1 金銭目的のハッキング状況 金銭を目的とした攻撃の実情 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 諜報機関 インテリジェンス活動 内部 犯行 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous 詐欺集団 個人 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 ★インターネットバンキング不正送金 ★ランサムウェアによる攻撃 ★リスト型攻撃 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 25 3-2 インターネットバンキング不正送金 ~ 攻撃の手口~ フィッシングサイトやマルウェアにより認証情報が窃取される Web改ざん Web改ざん ウイルス感染 犯罪者 よく閲覧するWebサイトに ウイルスを埋め込み Webサーバ Webサイトを閲覧し ウイルスに感染 未知ウイルス感染 ユーザー 不正行為 通常の行動 © Hitachi Systems, Ltd. 2014. All rights reserved. 26 3-2 インターネットバンキング不正送金 ~ 攻撃の手口~ 攻撃者が被害者のアカウントでログインし、不正に送金する Web改ざん ウイルス感染 不正送金 不正な引出し Web改ざん 犯罪者 不正送金 不正なログイン画面 インターネット バンキング Webサーバ 未知ウイルス感染 第二の認証 不正Webページ表示 ユーザー 不正行為 ログインID パスワード ウイルスが通信をフックし インターネットバンキングに 不正なWebページを表示 アクセス 通常の行動 © Hitachi Systems, Ltd. 2014. All rights reserved. 27 3-2 インターネットバンキング不正送金 ~被害状況~ 個人から法人、都銀から地銀、信用金庫までターゲットが広がる 件数・金額共に 増大傾向に 地銀・信用金庫もターゲット 法人にも被害 出典:警察庁「平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況について」 © Hitachi Systems, Ltd. 2014. All rights reserved. 28 3-2 インターネットバンキング不正送金 ~預金者保護~ <不正送金の被害の払戻しの実情> 不正送金の補償率は、100%ではない(90%~97%) 全銀協の申し合わせにより、各銀行毎に個別判断により補償 を行っており、預金者保護法の対象外 払い戻しには、預金者に瑕疵が無いことが前提 参考:三菱東京UFJダイレクトの場合の補償要件 銀行無過失の場合でもお客様に過失がないときは原則補償する 出典:全銀協:http://www.zenginkyo.or.jp/news/2008/02/19160000.html © Hitachi Systems, Ltd. 2014. All rights reserved. 29 3-2 インターネットバンキング不正送金 ~対応状況~ <不正送金における捜査・取組状況> 不正送金先口座の約7割が中国人名義 69事件で133人を検挙。うち中国人が83人(62.4パーセント) FBI及びEuropolと警察庁が連携して、(Game Over Zeus)の ネットワーク崩壊作戦に参加。 国内の約15万5,000件の感染端末利用者に対する注意喚起 根本的には、利用者側での最低限度のセキュリティ対策が重要 出典:全銀協:https://www.zenginkyo.or.jp/topic/sagijiken_ib_co/ © Hitachi Systems, Ltd. 2014. All rights reserved. 30 3-3 ランサムウェアの脅威 ~ハードディスクが人質に~ <ランサムウェアとは?> ユーザーのデータを「人質」にとり、データの回復のために 「身代金」(ransom)を要求するマルウェアを指し示す。 傾向・課題 出典:IPA「 2014年:情報セキュリティ10大脅威」 • 個人がターゲットにされることが多いが、企業を狙うものも確認されだした • パソコンのドライブ共有設定で、ファイルサーバ全体が暗号化されるケースも • 身代金を支払っても復元の保障はない。支払った場合、犯罪者への利益供与 として、 (国によっては)罰則を受けるケースも © Hitachi Systems, Ltd. 2014. All rights reserved. 31 3-3 ランサムウェアの脅威 ~分布状況~ 全体件数として、日本への被害は小さいが、日本語に対応した ランサムウェアが確認されだしている 出典:Microsoft Security Intelligence Report v17 出典:トレンドマイクロ「http://blog.trendmicro.co.jp/archives/8801」 © Hitachi Systems, Ltd. 2014. All rights reserved. 32 3-4 金銭目的のサイバー攻撃 ~まとめ~ インターネットユーザすべてが影響を受ける可能性のある攻撃 パスワード管理、セキュアな端末環境が重要 • ID/PW窃取によるリスト型攻撃が減らない • 攻撃者は、複数のユーザをターゲットにして、大規模に情報を窃取する 次第に法人へも影響を及ぼす存在に • 法人企業に対しても個人と同様の攻撃が及ぶ機会が散見 • 不正送金被害について、法人の取扱について議論されだした(全銀協) 金銭被害に限らずデータ破壊に及ぶ機会の増大 • パソコンのデータ消去に限らず、ファイルサーバにまで影響が及ぶケースあり • エンドポイントのセキュリティがより重要になってくる © Hitachi Systems, Ltd. 2014. All rights reserved. 33 4. 内部不正・内部犯行 © Hitachi Systems, Ltd. 2014. All rights reserved. 34 4-1 内部不正・内部犯行 内部不正・内部犯行の実情 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 諜報機関 インテリジェンス活動 内部 ★教育通信会社顧 犯行 客情報漏えい 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous ★人材派遣会社 顧客情報漏えい 詐欺集団 個人 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 35 4-1 内部不正・内部犯行 2014年に発生した主な内部犯行・不正事件 発生月 事件の概要 不正行為者 動機 2月 地方銀行のATMの保守業務委託業者の元社員が、ATM取引データ から顧客カードを不正に取得し、偽造キャッシュカードを作成・保持 していた容疑で逮捕 委託先 技術者 金銭の取得 3月 大手電機メーカの業務提携先の元社員が、大手電機メーカの機密 情報を不正に持ち出し、転職先の韓国企業に提供したとして、不正 競争防止法違反の容疑で逮捕された 提携先 技術者 処遇(給与 等)の不満 5月 自動車会社の元社員が退職する直前、同社のサーバにアクセスし、 販売計画など営業上の秘密を不正に得ていたとして不正競争防止 法違反の疑いで逮捕された。 退職者 金銭取得? (容疑否認) 7月 大手通信教育会社の顧客データベースを保守管理するグループ会 社の業務委託先の元社員が、大量の個人情報を流出させたとして 不正競争防止法違反の疑いで逮捕された。 委託先 SE 金銭の取得 10月 医師や看護師ら計約1万7千人分の個人情報を勤務先から不正に 持ち出した として、求人情報紹介会社の社員を不正競争防止法違 反容疑で逮捕 委託先 SE 新規設立会 社で流用 (報道を基に作成) © Hitachi Systems, Ltd. 2014. All rights reserved. 36 4-2 事例1) 委託SEによる個人情報漏えい 大手通信教育会社の顧客データベースを保守管理するグループ会社の業務 委託先の元社員が、大量の個人情報を流出させたとして不正競争防止法違反 の疑いで逮捕された。 (報道を基に作成) 個人情報保護法改正の 切っ掛けとなった 最大で2,070万人の顧客情報 が流出した疑い ④名簿業者から複数企業に転売 顧客データベース 業務委託先SE 名簿業者 ①付与されている 特権IDでアクセス 顧客データ ③名簿業者に売却 ②顧客情報をダウン ロードしスマートフォン に保存して持ち出し © Hitachi Systems, Ltd. 2014. All rights reserved. 37 4-2 事例2) 委託SEによる個人情報漏えい 大大手電機メーカの業務提携先の元社員が、大手電機メーカの機密情報を 不正に持ち出し、転職先の韓国企業に提供したとして、不正競争防止法違反の 容疑で逮捕された。 (報道を基に作成) 経営的なインパクトが 非常に大きな課題 被害は1,000億円を超える 大手電機メーカ 提携先 元社員 待遇に 不満 韓国企業 業務提携 研究 データ 研究 データ ①研究データを持 ち出し退職 研究 データ ③新製品の開発 ②研究データを提 供する見返りにこ う待遇で就職 © Hitachi Systems, Ltd. 2014. All rights reserved. 38 4-3 内部不正・内部犯行のインパクト サイバー攻撃 内部犯行・ 内部不正 サイバー攻撃よりもインパクトの大きな内部不正・内部犯行 極秘情報 R&D情報 知財情報 顧客・個人情報 組織の経営上の存続が脅かされる 財政的な損失→競争力の急激な低下 企業の信用失墜 故意有 最も対策が難しい 監視の目を光らせる システム・運用的 な対策不備 権限無 権限有 無知・教育の不備 故意無 © Hitachi Systems, Ltd. 2014. All rights reserved. 39 4-4 内部不正の気持ちを高める要因 職場への不満や経済利益を目的とした犯行 動機・プレ 不当だと思う解雇通知を受けた シャー 条件のいい企業に対して有利に転職ができる 社内の人事評価に不満がある 環境機会 職場で頻繁にルール違反が繰り返されている 社内ルールや規則を違反した場合、罰則がない システム管理者がずさんで、顧客情報を簡単に持ち出せることを知っている 知識経験 自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる 社内のだれにも知られずに、顧客情報などの重要な情報を持ち出させる方法を知っている これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなかった (IPA:「組織内部者の不正行為によるインシデント調査 」より抜粋掲載) 潤滑な人間関係・不満の解消、不正行為を起こしにくい社内風土と合わせて、 システム的な対策を施すことが重要 © Hitachi Systems, Ltd. 2014. All rights reserved. 40 4-5 内部犯行・不正 ~まとめ~ 経営や組織運営にまで影響を及ぼす課題 特権アカウントの管理が組織で統一されていない • 特権アカウントの管理が適切に行われていない為、被害を検知できない • 組織で特権アカウントの使用方法をポリシーとして統一しておくことが肝要 監視の目が行き届いていない • 相互監視の原則が、定着していない • 重要なデータにアクセスする際は、二人以上で実行する 業務委託先管理の問題 • 業務委託先のセキュリティ対策が形骸化している • 委託先のセキュリティ責任者を選出させ、定期的に報告させるスキーム強化 © Hitachi Systems, Ltd. 2014. All rights reserved. 41 5. サイバーインテリジェンス © Hitachi Systems, Ltd. 2014. All rights reserved. 42 5-1 サイバーインテリジェンスの位置づけ サイバーインテリジェンスの位置づけ 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 諜報機関 インテリジェンス活動 ★国会議員を標的にした攻撃 ★DarkHotel 内部 犯行 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous 詐欺集団 個人 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 43 5-2 インテリジェンスの基礎知識 -諜報と言えば- スノーデン事件が世界中を賑わせました 出典:産経ニュース 出典:朝日デジタル 出典:Daily Yomiuri 出典:TechCrunch 出典:ロイター © Hitachi Systems, Ltd. 2014. All rights reserved. 44 5-2 インテリジェンスの基礎知識 -諜報と言えば- 諜報(インテリジェンス)とは? 危機管理・安全保障など特定のテーマに対して、情報を収集・分析し、将来 発生しうる事象に対して、先手を打つ為の一連の活動 主な諜報活動(インテリジェンス)の分類 ヒューミント(Human Intelligence) • 人やメディアを使ったインテリジェンス活動 • 国家スパイ・海外駐在武官 シギント(Signal Intelligence) • 通信、電磁波、信号等を媒介とした諜報活動 • 通話盗聴、通信傍受などの手法が有名。テロリストの会話盗聴 イミント(Image Intelligence) • 偵察衛星や偵察機によって撮影された画像を継続的に分析する事で情報を得る手法 • 北朝鮮のミサイル発射、軍事作戦など © Hitachi Systems, Ltd. 2014. All rights reserved. 45 5-2 インテリジェンスの基礎知識 -世界の状況- 諸外国では、当たり前のように行われている 世界の主な諜報機関 米国:CIA、NSA 英国:SIS、MI6 ロシア:KGB(旧ソ連)→SVR イスラエル:モサド 韓国:国家情報院 日本国内は? 内閣情報調査室(通称:内調)が、国家の情報機関に相当 国家の中央情報局にあたる組織は保持していない 諜報(インテリジェンス)活動がサイバー空間まで広がっ てきている。その手段の1つが、標的型攻撃である © Hitachi Systems, Ltd. 2014. All rights reserved. 46 5-3 攻撃の発生状況 -世界の状況- 攻撃の背景 攻撃の目的⇒企業や政府機関の機密情報窃 ⇒知的財産情報、組織の活動情報の収集 狙われた情報 国家機密情報、ソースコード、メールアーカイブ、交渉計画、新規油田・ガ ス田開発に関する詳細な調査結果、ドキュメントストア、契約書、システム 設計図面など 業種 攻撃数 航空宇宙・防衛 41組織 エネルギー関係 34組織 金融 26組織 ソフトウェア産業 19組織 法律関係 17組織 メディア・出版 17組織 情報通信 14組織 出典:Mandiant © Hitachi Systems, 47Ltd. 2014. All rights reserved. 47 5-4 サイバーインテリジェンスの歴史 技術課題から政治、外交的な課題に Titan Rain(米) 2003 ~ 2005 国内政府機関への 米政府サイバー空間ドクトリン発表 MANDIANT 標的型メールの観測 国内重工業事案 レポート Operation Aurora 国家安全保 政府・技術機関への攻撃 Stuxnet(イラン) 障戦略策定 J-CSIP発足 リン国防副 高度解析協議会 サイバー 長官論文 CYMAT発足 セキュリティ 基本法案成立 ~ 2010 2011 2013 2012 2014 不審メール問題 海外でインシデント発生 国内での被害の顕在化 対策に向けた制度の発足 ・ ・ ・ 外交・安全保障 などの国際政治 問題に © Hitachi Systems, 48Ltd. 2014. All rights reserved. 48 5-5 攻撃手口 攻撃者によるウイルスを使ったリモートハッキング 対策できない ウイルス 感染 計画 ①計画立案: 攻撃目標選定、偵察 ②攻撃準備: メール、攻撃用サーバ準備 ③初期潜入: 標的型メールの送付 人が行う不正アクセス ④攻撃基盤構築: ・バックドア開設 ・端末情報入手 ・ネットワーク構成把握 ⑤内部調査侵入: ・サーバ不正ログイン ・管理サーバ乗っ取り ・他端末への攻撃範囲拡大 ⑥目的遂行: ・情報窃取 ・情報破壊 © Hitachi Systems, Ltd. 2014. All rights reserved. 49 5-6 サイバーインテリジェンス ~まとめ~ サイバー空間における諜報活動がくり広げられている 組織内部の情報が窃取される • 知らぬ間にシステム内部に侵入され、内部のデータを巧みに取っていく • 攻撃者は、ターゲット組織の動向やデータに興味がある 複数の技術を戦略的に組合せた一連のオペレーション • 攻撃者は、用意周到に情報を探りながら、徐々に侵入範囲を広げていく • 単発の攻撃でなく、執拗に攻撃を行っていく 政策課題、外交問題に発展 • 米中首脳会談において、米国政府から中国政府に抗議を実施 • 国際的なルール作りが求められている © Hitachi Systems, Ltd. 2014. All rights reserved. 50 6. 社会インフラを狙った攻撃 © Hitachi Systems, Ltd. 2014. All rights reserved. 51 6-1 社会インフラを狙った攻撃 社会インフラへの攻撃の位置づけ 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 諜報機関 インテリジェンス活動 内部 犯行 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous 詐欺集団 個人 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 52 6-2 社会インフラへの攻撃と影響 年々報告されるインシデントが増加傾向に 社会インフラを狙った攻撃 近年、重要インフラ(エネルギー、生産ライン、化学プラント、輸送、通信 など)に対する攻撃が懸念 米国内の重要インフラに対するインシデントの報告件数は • 2009年:9件、2010年:41件、2011年:198件 国家の安全保障、危機管理上の重要な課題となりつつある 社会インフラ(とりわけ、制御システム)が狙われることの影響 機器が故障、誤動作するなどの「物理的な被害」に発展 電気・ガス・水道・交通システムが攻撃を受けた場合、社会生活に影響 国内では表立った被害は無いが、海外では被害事例あり © Hitachi Systems, Ltd. 2014. All rights reserved. 53 6-3 社会インフラとは 10分野14事業に分類されている 国土交通省 厚生労働省 総務省 経済産業省 国土交通省 金融庁 総務省 出典:NISC http://www.nisc.go.jp/active/infra/pdf/c_katsudou_2012.pdf © Hitachi Systems, Ltd. 2014. All rights reserved. 54 6-4 制御システムの環境変化 攻撃者が攻撃しやすい環境が整ってきた 出典:「工業用装置等における汎用IT技術応用に起因する脅威と対策に関する実態調査事業」報告書 2009.3月時点 © Hitachi Systems, Ltd. 2014. All rights reserved. 55 6-5 制御システムを狙ったインシデントの状況 攻撃者が攻撃しやすい環境が整ってきた © Hitachi Systems, Ltd. 2014. All rights reserved. 56 6-5 制御システムを狙ったインシデントの状況 社会混乱が起こる事態は、発生する危険性は? © Hitachi Systems, Ltd. 2014. All rights reserved. 57 6-5 制御システムを狙ったインシデントの状況 サイバー攻撃の特質を考える場合、「偶発的な事故」と 「意図的な攻撃」を分けて考える必要がある 報告されている情報の大半は、偶発的な事故 であり、意図・目的を持った攻撃は少ない © Hitachi Systems, Ltd. 2014. All rights reserved. 58 6-6 国内と海外の制御システムの環境差 日本と海外の制御システムの環境差 攻撃指令が行えず、 継続的な攻撃が行え ない 出典:トレンドマイクロ株式会社 攻撃指令 内部構造を知ってい ることが前提の攻撃 戦術 © Hitachi Systems, Ltd. 2014. All rights reserved. 59 6-6 国内と海外の制御システムの環境差 Honey Pot による制御システムへの攻撃状況 大部分は、諜報型 の攻撃であった 出典:Black Hat USA https://media.blackhat.com/us-13/US-13-Wilhoit-The-SCADA-That-Didnt-Cry-Wolf-Whos-Really-Attacking-Your-ICS-Devices-Slides.pdf © Hitachi Systems, Ltd. 2014. All rights reserved. 60 6-6 国内と海外の制御システムの環境差 社会インフラへの攻撃の位置づけ 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 諜報機関 インテリジェンス活動 内部 犯行 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous 詐欺集団 個人 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 61 6-6 国内と海外の制御システムの環境差 社会インフラへの諜報的な活動が侵攻している 国家機関・テロ集団 社会 インフラ 軍事機関 軍事オペレーション インテリジェンス活動 委託先・社員 内部 犯行 詐欺集団 個人 諜報機関 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 ハクティビズム ( 抗議活動) 国家 機関 社会インフラへの攻撃 Anonymous 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 愉快犯/抗議 プロのハッカー 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 62 6-8 制御システムの標準化動向 セキュリティマネジメントとセキュアな製品開発が主軸 国内2社が 認証取得 国内2社が 認証取得 出典:CSSC http://www.css-center.or.jp/sympo/2014/documents/sympo20140115_03_cssc_kobayashi.pdf © Hitachi Systems, Ltd. 2014. All rights reserved. 63 7. 国内外の政策的な動向 © Hitachi Systems, Ltd. 2014. All rights reserved. 64 7-1 セキュリティ事故と政策動向の流れ 事件 事故 2001 2002 2003 2004 2005 2006 2007 2008 2009 ・Nimda流行 ・CodeRed流行 ・米韓同時DDoS ・イランへのStuxnet攻撃 ・政府機関への標的型攻撃 ・ハクティビストによる攻撃 ・NSAによる盗聴疑惑 ・バカッター投稿 ・リスト側攻撃の増加 ・不正送金の増加 ・SQL Slammar 流行 ・MS Blaster 流行 ・P2Pソフトによる情報漏洩 ・スパイウェアによる情報流出 2010 2011 2012 2013 2014 ★サイバーセキュリティ 基本法案 成立 組織のマネジメント体制整備 ・不正アクセス禁止法 施行(2000年) ・電子署名法 施行 政策 法律 ・個人情報保護法 全面施行 ・e-文書法 施行 ・ISO/IEC27001 発行 ・政府統一基準 発行 ・不正競争防止法 改正 犯罪関連 ・刑法改正(ウイルス作成罪 施行) ・不正アクセス禁止法 改正 ・著作権法改正 ・通称 リベンジポルノ 法案成立 外交・安全保障の流れ ・サイバー空間ドクトリン発表(米国) ・官民連携スキームの発足 ・サイバー攻撃 日米連携 ・国家安全保障戦略発表 (サイバー空間のリスクを念頭) ・サイバー防衛隊 発足 © Hitachi Systems, Ltd. 2014. All rights reserved. 65 7-2 セキュリティ分野毎の法律整備状況 法整備の位置づけとカバー範囲 ★サイバーセキュリティ基本法案 社会 インフラ 軍事機関 軍事オペレーション 委託先・社員 インテリジェンス活動 ★不正競争防止法 ★個人情報保護法 ★リベンジポルノ/児童ポルノ 個人 諜報機関 内部 犯行 金銭目的の ハッキング 攻 撃 対 象 企業・ 組織 社会インフラへの攻撃 Anonymous ハクティビズム ( 抗議活動) 国家 機関 国家機関・テロ集団 詐欺集団 恨み・興味本位の攻撃 ネット詐欺 2ちゃんねら・素人 ネットへの犯行予告 ★不正アクセス禁止法 ★特定電子メール法 プロのハッカー ★詐欺罪 ★恐喝・業務妨害罪 愉快犯/抗議 経済欲 諜報・破壊 攻撃目的(攻撃の意図性) © Hitachi Systems, Ltd. 2014. All rights reserved. 66 7-3 サイバーセキュリティ基本法案 概要 (1) <何が変わる> 政府主導でサイバーセキュリティ戦略が立案される 戦略には、一定の強制力を持たせる為、“閣議決定”扱いとなる サイバーセキュリティ戦略本部の設置 出典:NISC http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf © Hitachi Systems, Ltd. 2014. All rights reserved. 67 7-3 サイバーセキュリティ基本法案概要(2) 出典:NISC http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf © Hitachi Systems, Ltd. 2014. All rights reserved. 68 7-4 2015年 政策・法整備の動き 法整備 法整備 概要 サイバーセキュリティ基本法 ・関連法案の整備 ・各種戦略方針の発布 個人情報保護法 改正 ・政府が独立したプライバシー保護の専門機関を設置 ・企業の自主規制ルールの後押し ・特定要件を満たした個人データを他社に渡して活用できるよ うに規制を緩和 有事法制の見直し 有事法制の見直しにおける、サイバー空間の位置づけをどうす るか その他 海外とのサイバー連携の強化 サイバー防御に向けた官民連携 人材の育成強化戦略 © Hitachi Systems, Ltd. 2014. All rights reserved. 69 8. 企業における対策 © Hitachi Systems, Ltd. 2014. All rights reserved. 70 8-1 サイバー攻撃に対する対策の考え方 <近年のサイバー攻撃の特徴> 攻撃ボリュームの急激な増大 ⇒従来のパターンマッチの限界 内部への侵入 ⇒従来の境界防御の限界 対象範囲の拡大 ⇒限りないセキュリティ対策コスト 第1世代 第2世代 第3世代 脅威の動向 ・外部からの脅威 ・シングル攻撃 ・侵入してくる脅威 ・戦術的な攻撃(APT) ・対象領域の拡大 ・脅威の増大 防御戦略 ・外部脅威からの防御 (境界防御による対応) ・内部脅威の検出 (境界防御の崩壊) ・出口対策、内部監視 ・インテリジェンスを絡 めた攻撃検出 ・高度人材の育成 対策手段 ネットワーク機器中心の 対策 (FW,IDS/IPS,AntiVirus etc) 内部の不正検知 (SIEM , 内部対策) ・インテリジェンスとの 融合 ・対策の自動化 © Hitachi Systems, Ltd. 2014. All rights reserved. 71 8-2 クラウドを用いたセキュリティ対策(1) セキュリティを不安視されてきたクラウド・コンピューティング 5年経過してみて… 出典:IPA:「2010年版 10大脅威」 インシデントの大半は、「オペレーションミス」「ハードウェア障害」「アカウント ハッキング」であり、オンプレミスと同様な脅威となっている © Hitachi Systems, Ltd. 2014. All rights reserved. 72 8-2 クラウドを用いたセキュリティ対策(2) AWSがサポートしている情報セキュリティ規格 FedRAMP(米国連邦政府に適用するクラウドのセキュリティ基準) FISMA(システムについて連邦情報セキュリティマネジメント法) PCI/DSS レベル1 米国国防総省 暫定認証 取得など 出典:アマゾン ウェブ サービス: リスクとコンプライアンス2013 年 6 月 より抜粋 http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS%20Risk%20and%20Compliance%20Whitepaper.pdf 重要なシステムがAWS上で稼働 米国国防総省、NASA、金融機関など多数の政府・研究機関や 金融機関のシステムがAWS上で稼働している 出典:AWS導入事例の情報から転載 © Hitachi Systems, Ltd. 2014. All rights reserved. 73 8-2 クラウドを用いたセキュリティ対策(3) 国内銀行においてもAWSの活用が始まる 出典:2014年7月17日付 日経新聞 出典:ITPro:http://itpro.nikkeibp.co.jp/article/NEWS/20120910/421781/ © Hitachi Systems, Ltd. 2014. All rights reserved. 74 9. まとめ © Hitachi Systems, Ltd. 2014. All rights reserved. 75 9 まとめ 情報セキュリティに関係する様々な部分で変化が起きています 攻撃側の変化 • 脆弱性を狙った攻撃の減少。しかし、攻撃までの時間が短い • 金銭を狙った犯罪、サイバースパイなど目的が多様化 インパクトの増大 • 企業の経営を揺るがすような機密情報の流出 • 1つの脆弱性が与える世間へのインパクトの増大 政府の動向/対策 • サイバーセキュリティ基本法案成立による、統一的なサイバー戦略の遂行 • クラウドなど新たなセキュリティ対策の考え方 © Hitachi Systems, Ltd. 2014. All rights reserved. 76 END © Hitachi Systems, Ltd. 2014. All rights reserved. 人と I T のチカラで、驚きと感動のサービスを。
© Copyright 2024 ExpyDoc
