2015年5月20日 テレコムISACジャパン 会長 (株)ぐるなび 副社長 飯塚 久夫 テレコムISACの概要 https://www.telecom-isac.jp/ ● 2002年7月に日本で最初のISACとして発足 ● 通信事業者の商用サービスの安全かつ安心な運用の確立を目的に、テレコム通信事業者を含む会員が関連 情報を共有分析し、業界横断的な問題に対してタイムリーな対策をとる場を提供する活動を行う ● 世界に広がるサイバー空間の中で、「日本(jpドメイン)」が消失しないようサイバー脅威からネットワークを守る ● 事業者単独では手に負えない大規模なサイバー脅威に共同で立ち向かう「互助会型」の通信事業者連携 ● ビジネス競合関係にある国内大手ISPが、会社の壁を越えて協力・連携するための会費会員制の民間組織 会員企業 会長: 副会長: 会員企業: 白文字はISPまたは通信事業者を示す 飯塚 久夫 NTT コミュニケ―ションズ株式会社、ニフティ株式会社、一般財団法人日本データ通信協会 日本電気株式会社 、NTTコミュニケーションズ株式会社 、KDDI株式会社 、株式会社NTTドコモ、 株式会社インターネットイニシアティブ 、ニフティ株式会社、株式会社日立製作所、沖電気工業株式会社 ソフトバンクBB株式会社、東日本電信電話株式会社、西日本電信電話株式会社、日本電信電話株式会社 株式会社KDDI研究所 、ビッグローブ株式会社 、富士通株式会社 、インターネットマルチフィード株式会社 NTTコムテクノロジー株式会社 、エヌ・ティ・ティ・データ先端技術株式会社 、ソネット株式会社 アライアンスメンバー: 株式会社ラック 、日本アイ・ビー・エム株式会社、トレンドマイクロ株式会社 マイクロソフト株式会社 、株式会社サイバーディフェンス研究所 株式会社FFRI、株式会社情報通信総合研究所 一般社団法人日本ネットワークインフォメーションセンター 、BBIX株式会社 日本インターネットエクスチェンジ株式会社、NRIセキュアテクノロジーズ株式会社 オブザーバー: 総務省、独立行政法人情報通信研究機構(NICT) 一般社団法人日本インターネットプロバイダ協会(JAIPA) 一般社団法人テレコムサービス協会、一般社団法人電気通信事業者協会(TCA) 2 サイバー攻撃の変遷 2000 2002 2004 2006 2008 2010 2014 2012 攻撃手法・事例 『 脅威』 の変遷 マルウェア ▼GameOver ▼Happy99/Melissa ▼CodeRed ▼Slammer ▼Mydoom/Netsky ▼Zotob/Bobax ▼Conficker ▼Gumblar ▼SpyEye ▼PWS-Zbot Zeus ・LoveLetter/Sircam /Nimda /Blaster/Sasser /Bagle ▼Antinny ▼Silly/Autorun ▼Geimini ▼ZeroAccess ▼CryptoLocker メール添付型 マスメール型 ▼ DoS攻撃 ファイル共有型 脆弱性を利用した ネットワークワーム ▼ SPAMメール 標的 ・目的 ○ 個人情報窃取 Web感染型 ▼ ドライブ・バイ・ダウンロード攻撃 ▼ DNSキャッシュポイズニング ▼ Web改ざん Android ウイルス ○ 機密情報窃取 ▼Exploitツール ランサム ウェア ▼リスト型攻撃 ▼モバイルマルウェア ▼ 偽AVソフト ▼ 標的型攻撃 ○ 組織活動妨害 不正送金 マルウェア ▼DrDoS攻撃 ▼アカウントハッキング ● 重要インフラ ● 組織 ○ 金銭目的 USB型 ▼ SQLインジェクション▼ ゼロデイ攻撃 ▼ ウォードライビング ● 個人 ○ 愉快犯 ボット型 トロイの木馬 ▼ スパイウェア ▼ フィッシング詐欺 ▼ パスワードクラッキング P2P型 ▼ ボットネット ▼ DDoS攻撃 ▼ サーバへの不正アクセス マスメール型 ▼DNS Amp攻撃 ● 国家 ○ サイバーテロ ○ ハクティビズム ○ 不正送金 ▼DDos as a Service 日本のインターネットセキュリティ状況(2005年頃) •ブロードバンドユーザの2~2.5%がボット(ウィルス)に感染していた •ボットは金銭搾取のツールとして利用されていた • 多くの場合、ウイルス対策ソフトではボットを見つける事が出来なかった •多くのユーザがウイルス対策ソフトを使用していなかった •ボットに感染したPCを持つユーザは被害者であると同時に加害者でもあった 民間だけで対策を講じる ことは難しい 政府の介入はインターネットの安 全性を確保するために必要 総務省と経済産業省とで連携したプロジェクト(「テレコムISAC」で実施) Cyber Clean Center Telecom Information Sharing & Analysis Center 5 CCCにおけるボットウィルス対策の概要 ISP ・・ ・・ ④感染PCの識別要求 ⑥感染の通知と駆除の推進を eメールにて送信 ⑤感染PCの識別 Cyber Clean Center ボット感染PC ・ ・ Analysis Internet Honeypots ①感染 ②感染の検知とボット収集 ⑦対策用WEBサイトへアクセス 分析及び関連情報 ⑧ボット駆除ツールのダウンロード 対策 WEBサイト ・ ・ ③ボット駆除ツールの準備 6 結果として 日本のブロードバンドユーザのボット感染率低下 国内ブロードバンドユーザ数 70 60 2000万人 3000万人 3170万人 50 40 30 40~50万人 感染率 2~2.5% 20 30万人 感染率 1% 10 19万人 感染率 0.6% 0 2005年 2005 2008年 2008 2010年 2010 しかし、次なる対策が必要 様々なサイバー攻撃手法が日々開発され、防御側は 既存の対策では対応が難しくなっている サイバー攻撃被害を最小限に留めるため、サイバー 攻撃を予知・即応できる仕組みの必要性が指摘され ている サイバー攻撃は国境を越えて行われるが、現行法制 度下では国外のサイバー攻撃を止めることは難しい こうした中、様々なレベル(事業者間、業界、官民、 国際)での連携の必要性が提起されているが、具体 的にどのような情報をどのレベルでどのように共有 し、どのような連携をするのが効果的であるかは 整理されていない 様々なサイバー攻撃を把握し、 情報を共有する仕組みが必要! 8 マルウェア感染経路が変化してきた ネットワーク感染型マルウェア Web感染型マルウェア ・ネットワーク経由で感染するマルウェア ・Webサイトの閲覧により感染するマルウェア ・OSの脆弱性を攻撃して感染 ・ブラウザまたはブラウザのプラグインの脆弱性を 攻撃して感染 ・ハニーポットにて捕獲可能であり、Cyber Clean Centerの取り組み(2006~2010年度)の駆除 ・ネットワーク感染型からWEB感染型への変化が 対象 急速に進行 リダイレクト 感染PC ハニーポット 国内外のサイト 変 遷 感染PCの特定が可能 マルウェア 配布サイト 改ざんされたWebサイト 感染PCの特定が難しい 捕獲不可 ハニーポット 9 近年のサイバー攻撃の発生状況 時期 2011年 インシデント ・4月 SONY アノニマスによる大規模な抗議活動 によりWeb閲覧停止 1億人超の個人情報流出 2012年 2013年 ・6月 政府系Webサイト 違法ダウンロード罰則化抗議活動に よる改竄、閲覧停止 ・7~11月 衆参議院 標的型攻撃による情報漏洩 ・9月 三菱重工 国家防衛機密漏えい事件 攻撃傾向 ・ハクティビズムの台頭、攻撃者の組織化 ・9月 公共機関等Webサイト 尖閣諸島問題によるWeb改竄・ 閲覧停止 ・10月~ 各金融機関 ネットバンキングを中心に 不正送金・出勤事件の多発 ・3月 韓国内の銀行・放送局 3万台超のPC/サーバダウン ・3月 Spamhause DNSリフレクション攻撃による最大 300Gbps超の大規模DoS攻撃 ・5月~ Web改ざん多発 トヨタをはじめ、多数の国内 Webサイトが改ざん被害 ・7月 ISP-N 不正アクセスにより約2万件超 の会員情報流出の可能性 ・高度な脆弱性攻撃(Exploit)ツールの流行による攻撃の容易化・多発化 ・国家/競合企業間の情報戦争、標的型攻撃の増大 ・オープンリゾルバを利用したDDoS攻撃の大規模化 サイバー攻撃には大きく、Web改竄による示威行為に代表されるハクティビズム目的の攻撃と、国家/競合 企業の機密情報、銀行口座/クレジットカード情報等の個人情報詐取等による営利目的とみられる情報漏 洩・詐取目的の攻撃がみられる しかし、その攻撃手法は非常に多様になっており、標的型攻撃による特定ターゲットへの攻撃が顕著になる 一方で、マルウェア拡散のような不特定へのマス型攻撃も継続している 10 サイバー攻撃は広範、多岐に渡る サイバー攻撃の高度化、多様化の背景として攻撃者の組織化、ブラックマーケットを介した個人情報売買の 市場拡大、攻撃ツール・ボットネットの売買などが挙げられる Webサイト 個人情報の 大量流出 SQLインジェ クション 攻撃用ツールの開 発・販売 Web 改ざん マス形攻撃 マルウェア 感染 個人情報の 流出 (水飲み場攻撃) 悪性URLをクリック 個人情報の売買 ブラック マーケット ユーザ ボットネット への新規参加 機密情報の詐取 ボットネットのリー ス利用・クラウド化 Web閲覧者が次々 とマルウェア感染 攻撃者 NWダウン 標的型攻撃 サーバダウン ボットネット 攻撃 指示 攻撃指示の 伝達 C&Cサーバ (ボットネット制御サーバ) SPAM メール DDoS 攻撃対象 ホスト このように攻撃者側にとっての環境が充実したことによって、特別な知識を持たずともDoS攻撃や マルウェア作成ができるようになり、今日の多様なサイバー攻撃が生まれている 11 金銭 [2012年]偽画面表示機能持つマルウェア 2012年10月以降、3メガバンク、ゆうちょ・楽天やその他ネット銀行等、国内金融機関を狙ったマルウェアが銀行各社に て確認され、注意喚起が相次いだ 犯行手口としてマルウェアが利用されており、感染被害者のPC端末からネットバンキングの認証情報等を窃取した上で、 犯人が送金用口座へ不正送金していた ■2012年10月30日 •SMBCダイレクトで200万円の不正送金が行われた。 不正送金後、送金先口座を凍結し、 水際でブロック。 ・他にも、488件の不正画面の表示があり、うち364件で顧客が暗 証番号などを入力していたことが警察庁により確認されている。 http://sankei.jp.msn.com/affairs/news/121102/crm12110211140004-n1.htm 被害は、5件 計約450万円(2012/11/9時点) http://www.asahi.com/national/update/1109/TKY201211090884.html http://www.tokyo-np.co.jp/article/national/news/ CK2012103002000224.html?ref=rank ■注意喚起を行った国内金融機関 ・三菱東京UFJ銀行(2012/10/26) ・三井住友銀行(2012/10/26) ・ゆうちょ銀行(2012/10/26) ・みずほ銀行(2012/10/28) ・楽天銀行(2012/10/30) ・三菱UFJニコス(2012/10/31) ・住信SBIネット銀行(2012/11/1) http://www3.nhk.or.jp/news/html/20121031/t10013140281000.html 13 偽装ポップアップ画面例 三菱東京UFJ銀行、三井住友銀行、みずほ銀行などで正規ホームページへの ログイン過程において下記のように「暗証番号(コード)」や「秘密の合い言葉」の入力 を促す偽装ポップアップが表示される (三菱東京UFJ銀行) (三井住友銀行) (みずほ銀行) 被害拡大防止のために、各行ともにログインまでに表示される正規の画面遷移について解説している 14 偽装画面と不正送金の手口 ⑤ネットバンクへの不正ログイン ①マルウェア配布サイトの構築 ⑥中継口座へ 不正送金指示 主犯 ⑦送金 中継用口座 マルウェア配布サイト ⑧送金 ④偽装画面からの ②マルウェア配布 ③ネットバンキングにアクセス 暗証番号等送信 ⑩送金 偽装画面のポップアップ表示 被害者 ⑨出金 出し子 15 金銭 [2013年]オンライン銀行詐欺ツールの流行・拡大 Citadelと呼ばれるオンライン銀行詐欺ツールが流行しており、このツール被害の96%以上が日本であった 本ツールが情報詐欺の対象とする金融機関(6行)が全て国内銀行であったことからも、本ツールが国内を標的としているこ とが伺える。海外に対して比較的小規模に収まっていた国内でのオンライン銀行詐欺攻撃がより本格化してきた可能性 Zeus キーロガー、画面キャプチャ等の豊 富な情報詐取機能持つ 2011年5月にソースコードがネット に流出し、亜種マルウェアが一気に 拡大 SpyEye Zeusとならぶ有名マルウェア 中間者(MITB)攻撃の機能等を提供 後継ツール = 機能の進化 出典: 2013/7/23 トレンドマイクロセキュリティブログ http://blog.trendmicro.co.jp/archives/7547 自身の高度な隠蔽化機能、「ダイナミック・コンフィグ」機 能等、高度なボットネット管理・制御機能を保有 アンダーグラウンドにおいて強固な開発環境・サポート体制 を持っていることも急拡大の一因 なお、ネットバンキング用アカウント情報のほか、GmailやYahooメール等のWebメールのアカウント 情報も詐取する機能を持つといい、詐取したアカウント情報を他サイトへの攻撃へ転用するリスト型攻 撃の温床となっている可能性もある 16 金銭 [2014年]ワンタイムパスワードを回避するマルウェア 2014年1~11月の被害額(速報値)は1257件、18億5500万円に上る。2013年通年(661件、8億1000万 円)の2倍以上に上り、過去最悪のペース 2014年は法人の被害急増が目立つ。件数が97件と昨年の約7倍、被害額は5.6億円と10倍超に及ぶ 被害拡大は不正送金マルウェアの巧妙化が要因。 VAWTRAK/NEVERQUESTら最新のマルウェアはユー ザ端末上の操作を監視し、送金操作を行うタイミングで処理を改ざんすることで暗証番号やワンタイム パスワードらの不正対策を回避して犯行を行う 2014年4~6月期における不正送金マルウェアの検出台数国別割合で米国を抜いて日本が世界1位になっ ており、従来まで欧米中心に発生していた不正送金被害が国内で本格化している 不正送金マルウェア検出台数(出典:トレンドマイクロ社) ネットバンキング不正送金被害増加の報道(日経) 2014年第2四半期検出台数国別割合(出典:トレンドマイクロ社) (出典) 日本経済新聞 http://www.nikkei.com/ (出典) トレンドマイクロ セキュリティブログ http://blog.trendmicro.co.jp/archives/9884 17 世界的なGOZボットネットテイクダウン作戦 そしていよいよ インターネットバンキング不正送金に使用されるマルウェア「Game Over Zeus」が世界的に蔓延している 状況に対し、米国連邦捜査局(FBI)及び欧州刑事警察機構(ユーロポール)が中心となり、日本を含む協力 国の法執行機関と連携した大規模なテイクダウン作戦が行われている。本作戦では犯行者が使用する関連サー バの押収と共に、より多くの感染端末の特定・注意喚起を行うことでマルウェア駆除・感染端末の減少を目指 している(2015年4月にはVAWTRAKマルウェア・サーバのテイクダウン) (出典) http://www.fbi.gov/news/stories/2014/june/gameover-zeusbotnet-disrupted (出典) http://www.npa.go.jp/cyber/goz/ 作戦の内容 C&C (Command & Control) サーバ・中継サーバのテイクダウン(捕捉・撲滅) テイクダウンしたC&Cサーバ上で感染端末からの通信を観測し、当該ユーザへの注意喚起を 行う 18 個人情報窃取・諜報 アンダーグラウンドで売買される個人情報 1件あたりのクレジットカード番号=$0.5~$20、パスポート情報=$1等、攻撃者によって不正窃取さ れた個人情報がアンダーグラウンドの市場相場によって売買されている DDoS攻撃(1日あたり)=$ 10~$1000等、ボットネットやDDoS攻撃自体は As a Service化され、 ユーザ(攻撃者)が容易に利用できる形で提供されている 闇市場の各商品取引価格(Symantecレポート) (出典) Symantecアンダーグラウンドの闇市場: 盗難データ、マルウェア、攻撃サービスの取引が盛況 http://www.symantec.com/connect/ja/blogs-367 20 個人情報窃取・諜報 [2014年9月]米国iCloudプライベート情報流出 2014年9月、iPhone利用者向け情報管理用クラウドサービス「iCloud」上に保存された米国著名人のプライ ベート写真等が何者かによって流出させられた事件が発生。本攻撃は他の不正ログイン事件同様、ID/パス ワードを不正使用したアカウント攻撃だったとされており、対策としてユーザへ2段階認証を利用する等の 注意喚起が行われた 2014年12月、ロシアにて「iCloud2段階認証を突破するツール」がリリースされたとのニュース。認証シス テムへの攻撃はいたちごっこの様相を見せており、ID/パスワードによる本人認証の限界・抜本的な認証シ ステムの改善が求められている iCloud 情報流出に関する報道(日経新聞) (出典) http://www.nikkei.com/article/DGXMZO76499620S4A900C1000000/ iCloud追加対策(2段階認証)を突破するツールの登場 (出典) http://gigazine.net/news/20141219-icloud-phone-breaker/ 21 NWデバイスの脆弱性問題 ■攻撃パターン: 認証の脆弱性(デフォルトパスワード、平文保存等) L社製ルータ問題に見られるケースで、多くのNWデバイスに搭載されている Web管理画面のID/パスワードが周知のもの、もしくは容易に推測可能である ことを利用して、悪意のユーザがNWデバイス管理画面へ不正アクセスを行う 脆弱性① 脆弱性② 悪意の 第三者 (出典) http://www.logitec.co.j p/info/2012/0516.ht ml?link_id=out_oshirase _20120516_2_2 一般的に… ユーザはBBルータのWeb画面上から、 プロバイダ提供のアカウント情報を登 録してインターネットを使用する インターネット 脆弱性③ アカウント情報(PPPoE認証ID/PW)が詐取される BBルータ ISPが提供するID・ PWを設定 ユーザ ■BBルータのある機種に実在するセキュリティ脆弱性の例 ① BBルータ管理画面の初期ID/PWが“admin”“password”のように平易なもの ② WAN(インターネット)側からBBルータ管理画面へアクセス可能 ③ BBルータ管理画面上において、設定されているISP提供のPPPoEアカウント(ID/PW)情報が容易に読み取り可能 な状態(平文)で保存されている 22 DNSオープンリゾルバー問題 (2013年3月に発生した大規模サイバー攻撃事例) 図: INTERNET Watch ネットを崩壊の瀬戸際に追い込んだ「史上最大のサイバー攻撃」が明るみに 今年の3月18日~22日ごろにかけて、インターネット上で大規模なDDoS攻撃が発生して いた。ピーク時にはトラフィックが300Gbpsに達したと言われており、過去最大級の攻撃 規模だった インターネット利用者にとっても、ウェブサイト閲覧が遅くなったり、配信動画を見れない 等といった影響を受けることもあった 24 DNSリフレクション(Amp)攻撃の仕組み ■DNSのデータ増幅性・オープンリゾルバを悪用して、攻撃者はDoS攻撃の増幅を行う。具体的には、オープンリ ゾルバに対して大容量のDNS応答を持つドメイン名を検索対象とし、攻撃対象サーバのIPアドレスを騙ったDNS問 合せを行うとその応答を攻撃対象サーバへ送信する DNS問合せ (なりすまし) 攻撃者PC (攻撃対象サーバになりすまし) 「私は10.0.0.1です。 xxx.netに関するDNS 情報を下さい」 キャッシュ DNS DNS応答が攻撃 対象サーバに届く トラフィックの増幅 (数倍~数十倍) 攻撃対象 サーバ (例. 10.0.0.1) ■実際には、攻撃者はボットネットと呼ばれる(不正に)遠隔操作可能なPC群をまとめて制御し、各PCから攻撃対象 サーバになりすましたDNS通信をオープンリゾルバに対して行うことで、攻撃対象サーバに対してより強大な攻撃を 行うことができる キャッシュ DNS NWダウン サーバダウン 攻撃 命令 キャッシュ DNS 攻撃者 攻撃対象 サーバ キャッシュ DNS ボットネット (不正遠隔操作PCの 集まり) キャッシュ DNS オープンリゾルバ 使用される技術は新しいものではないが、効 果が高い攻撃法としてDDoS攻撃に活用され るケースが多くなっている。 (大容量データをキャッシュ) 25 NTP Amp攻撃の発生 ■2014年に入り確認された以下の各攻撃では、NTP(時刻同期)サーバの機能を利用したNTP Amp攻撃という手法が 使用されていた (NTP: Network Time Protocol) 2014年1月初頭、“League of Legends”等オンラインゲーム サービスに対して、最大約100 Gbps のDDoS攻撃が発生 2014/2/10頃、米国セキュリティ企 業「CloudFlare」社の顧客に対し、 約400Gbps におよぶ大規模DDoS 攻撃が発生 (出典) http://arstechnica.com/security/2014/01/new-dos-attackstaking-down-game-sites-deliver-crippling-100-gbps-floods (出典) http://blog.cloudflare.com/technical-detailsbehind-a-400gbps-ntp-amplification-ddos-attack NTP Amp攻撃が利用するNTP通信のトラフィック増幅性は DNSを越えるものであり、特にCloudFlare社が発表した 2014年2月10日の事例では 約400Gbps にまで及んだ 2014/2/10頃、フランスのホスティング会社 OVH 社に対し 350Gbps のDDoS攻撃が発生 (出典) https://twitter.com/olesovhcom/status/433036769924116481 26 NTPAmp攻撃の仕組み ■NTPはPCやサーバ等の時刻同期に利用される通信プロトコルである。NTPサービスは公的機関やISP等の公開NTPサーバで提供されて いる他、ユーザ側のサーバ・NWデバイス上で自営目的・または無意識の内に動作していることがある ソースIPアドレスを詐称した NTP monlist 要求 monlist 公開NTP サーバ 攻撃者 NTPサーバは詐称されたIPアドレ スに対し、monlist を返却する ISP INTERNET ISP =攻撃の増幅 (数十~数百倍) NWダウン ISP ISP提供 NTPサーバ 攻撃対象 サイト・ユーザ 時刻同期要求/応答 NWデバイス LAN 2014/1/1 19:00 DMZ 時刻同期 ユーザ自営 NTPサーバ PC 個人 サーバダウン 法人 : NTPサーバ (凡例) : 正常なNTP通信 : NTP Amp攻撃 NTPサーバは通常の時刻同期を行う他、当該サーバへの接続履歴(monlist)を要求に応じて返却する機能を有する。攻撃者はこれを悪用 し、「ソースIPアドレスを攻撃対象IPアドレスに詐称したNTP monlist要求」パケットを踏み台となる公開NTPサーバへ大量に送信し、monlist 応答パケットを攻撃対象へ送信させることで 攻撃トラフィックの増幅を実現する 27 ここで 6月 “誤認逮捕事件”の教訓…まず経過・時系列 7月 6/29 ●横浜市小学校襲撃予告 8月 10月 9/10 ●伊勢神宮破壊予告 ●任天堂破壊予告 7/29 ●大阪市HP大量殺人予告 8/1 ●JAL航空機爆破予告 7/1 ●杉並区男性(19)逮捕 9月 8/27 ●お茶の水女子大付属幼稚園襲撃予告 ●芦田愛菜への脅迫 8/29 ●AKB48握手会襲撃予告 8/15 ●保護観察処分 10/9~10 ●犯行声明メール (10/9 落合弁護士 宛) (10/10 TBSラジオ「Dig」宛) ※安倍総裁殺害予告 10/17 ●再聴取 10/23 ●処分取消 申し立て 8/26 ●吹田市男性(42)逮捕 9/14 9/21 ●起訴 ●釈放 10/19 ●起訴取消 9/1 ●福岡市男性(28)逮捕 9/21 9/27 ●釈放 ●釈放 ●再逮捕 10/23 ●不起訴処分 9/14 ●津市男性(28)逮捕 9/21 ●釈放 10/23 ●不起訴処分 9/18 ●津市男性PCのウイルス感染判明 2chへの書き込み ●7/27タイマーソフト偽造 ●8/24クリップボード監視ソフト偽造 ●8/28テキストエデイタ偽造 ●9/10exif情報編集ソフト偽造 10/18●警察庁長官誤認逮捕会見 29 犯行予告 <犯行声明で関与が記載された犯行予告事件> 日時 犯行予告対象 1 6月29日 横浜市 市立小学校襲撃予告 2 7月29日 大阪日本橋 大量殺人予告 3 7月29日 皇居ランナー大量殺人予告 4 8月1日 日本航空機爆破予告 5 8月9日 6 8月9日 天皇陛下殺害予告 コミックマーケット大量殺人予 告 お茶の水女子大付属幼稚園襲撃 予告 遠隔操作の対 犯行予告先 象 杉並区男性 メールフォー (19) ム 吹田市男性 メールフォー (42) ム 手法 捜査担当 CSRF 神奈川県警 ウイルス 大阪府警 〃 不明 ウイルス 届出なし 〃 メールフォー ム ウイルス 警視庁 愛知会社員 2ちゃんねる ウイルス 不明 〃 2ちゃんねる ウイルス 不明 福岡市男性 (28) メール ウイルス 警視庁 7 8月27日 8 8月27日 芸能プロダクション脅迫 〃 メール ウイルス 警視庁 9 8月27日 学習院初等科襲撃予告 〃 メール ウイルス 届出なし 10 8月27日 部落解放同盟襲撃予告 〃 メール ウイルス 届出なし 11 8月29日 AKB48握手会襲撃予告 〃 2ちゃんねる ウイルス 警視庁 津市男性(27) 2ちゃんねる ウイルス 三重県警 ウイルス 三重県警 12 9月10日 伊勢神宮破壊予告 13 9月10日 任天堂本社破壊予告 〃 2ちゃんねる 30 遠隔操作ウイルスの犯行手口(大阪市のケース) ② Torを利用し2chに レス代行依頼 ⑥ 【真犯人】 Torを利用してコマンド送信 Tor Tor ① 【2ちゃんねる】 ウイルスをアップロード シベリア超速報版 (無料ホスティング) ⑤ Timer.zip 【代行者】 無料レンタル掲示板 ④ ソフトウェア版 ソフトウェア版よりソフトを ダウンロード実行し感染 ウイルスが掲示板に 定期的にアクセスし コマンドを実行 【boxhost.me】 ※ウイルス解析の結果 判明したUpload先 ⑦ 遠隔操作により犯行予告送信 ③ ソフトウェア版へ 代行書込み 【大阪市男性(42)】 ⑨ 発信元IPアドレスを元に男性を逮捕 【大阪府警】 ⑧ 犯行予告に ついて相談 【大阪市】 【日本航空】 区政・市制 へのご意見 顧客相談窓口 「ヲタロード で大量殺人」 航空機爆破 予告 31 遠隔操作ウイルスの機能 • • ユーザのキー入力操作情報およびマウスの操作の記録 (いわゆるキーロガー、入力したパスワードなどはすべて筒抜け) 隠しブラウザで特定のURLを操作および開く • ファイルのダウンロード (この機能によって感染したパソコンの持ち主が誰なのかといった情報を収集可能) • ファイルのアップロード (児童ポルノ画像でも何でも送りつけることができるのでさらなる犯人として捏造しようと思えば可能) • スクリーンショットの取得(これによってもそのパソコンの持ち主の情報をいろいろと得ることが可能) • ファイルおよびフォルダの列挙(重要なファイルを見つけてダウンロードされてしまう) • ファイルの実行(ファイルのコピーや削除も自由自在ということ) • デフォルトのインターネットブラウザの取得 • 自身のアップデート(アンチウイルスソフトが更新される前に自分自身を更新し続けることで検知されな いようにすることも可能になるような機能で、もっと高機能なボットやバックドアではよくある機能) • 環境設定ファイルの更新(遠隔操作用) • 利用した掲示板のスレッドの更新(遠隔操作用) • コンピュータを一定の時間スリープする • コンピュータから自身を削除する(自分自身を削除することで証拠を一切無くすことができる) 32 ICT の環境変化に伴う脅威への対応 スマートグリッドやIoTの普及、自動車のインターネット化などにより、新たな領域に おいて情報セキュリティ上の脅威が生ずる可能性 社会環境や技術環境等の変化に伴って ICT 障害を引き起こす新たな脅威が顕在化した際、 それらの脅威を要因とするサービスへの影響等を考慮し、適切な対策を導入する必要がある (出典) http://www.hitachi.co.jp/environment/showcase/solution/energy/smartgrid.html http://ideahack.me/article/156 http://www.bosch.co.jp/press/group-1405-05/ 34 ACTIVE InitiatiVE) (Advanced Cyber Threats response 推進フォーラムの発足 多種多様なマルウェア 感染経路が存在 • • • • ネットワーク感染(ボット型) Web経由の感染 メール経由の感染 USB経由の感染 など マルウェア感染時には さまざまな脅威が存在 • • • • 不正アクセスインシデント 他人のPCを踏み台にしたサイバー攻撃 フィッシング、SPAMメール PCの破壊活動 など ・昨今、マルウェア感染による国家機密の情報窃取等、サイバー攻撃の脅威が増大 ・悪性サイトの閲覧によりマルウェア感染するなど、その感染手法が巧妙化し、 利用者が自力で検知することが困難 ISP等 = 顧客対応、インシデント対応の観点からマルウェアの感染率の低下を実施する 必要性がある 行政 = 安全なインターネットの利用環境の向上、維持の観点から マルウェアの感染率の低下が望まれる 35 ACTIVE(Advanced Cyber Threats response InitiatiVE)推進 フォーラム ■ ISP等の通信事業者やセキュリティベンダなどが参画 総務省 財政支援、全体支援 Telecom-ISAC Japan 主査 :エヌ・ティ・ティ・コミュニケーションズ株式会社 副主査:ニフティ株式会社、T-ISAC-J企画調整部 参画事業者間の調整 NECビッグローブ株式会社 エヌ・ティ・ティ・コミュニケーションズ株式会社 エヌ・ティ・ティレゾナント株式会社 株式会社NTTぷらら 株式会社インターネットイニシアティブ 株式会社エヌ・ティ・ティピー・シーコミュニケーションズ 株式会社ハイホー KDDI株式会社 ソネット株式会社 ソフトバンクBB株式会社 ソフトバンクテレコム株式会社 ニフティ株式会社 インターネットサービスプロバイダー など NTTコムテクノロジー株式会社 NRIセキュアテクノロジーズ株式会社 エヌ・ティ・ティ・コムチェオ株式会社 エヌ・ティ・ティ・ソフトウェア株式会社 エヌ・ティ・ティラーニングシステムズ株式会社 株式会社FFRI 株式会社カスペルスキー 株式会社日立製作所 トレンドマイクロ株式会社 日本電信電話株式会社 日本マイクロソフト株式会社 マカフィー株式会社 マルウェア収集・駆除のための技術支援 36 これもセキュリティに関わる! 『受動的な無責任』改めよ 多くの人が「安全・安心」を強調する。しかし、大事な のは安全の確保であって、安心の確保ではない…国民 が安心を求め、リスクをゼロにせよといえば、政府は これに答えて、リスクはゼロだという。こういうフィ クションはやめるべきだ。人生はリスクに満ちている。 リスクを直視し、これをできるだけ減らすように様々 な努力をし、あとはリスクを取って行動することが必 要だ。日本の経済発展の停滞も根源にあるのはリスク を取らない精神ではないだろうか。 (北岡伸一 © NEC BIGLOBE, Ltd. 2011 政策研究大学院大学特別教授) 37 問題の根源はリスクへの対処法 “自己の確立”でなく“自我の確立”に走ってきた戦後 日本の歴史 「安全・安心」は誰かが与えてくれるという観念 <日本> リスク不安に際し、最大限の回避をしよう(してもらおう)とする 安心優先のリスク観が顕著 <米国> 外国との軍事緊張、多文化・他民族、多様な価値観が作り出す社会 的葛藤を抱えているゆえ、社会の内部に異質な要素を含みながら社会 的合意を形成しなければならない。リスクに対する配慮よりも、本来 の課題遂行や目的達成を重視する。この結果、リスクを受け入れやす い風土が形成される。この場合、リスクは回避でなく、低減すべき対 象となる 38 <日本人のリスク対応> ・論理的・合理的・統計的なリスク対応が不得手 ・異常を背景の中に埋没させてしまったり、他者が行動するまで何もせ ず行動が鈍くなる傾向 ・日本社会の同化構造があり、社会通念から逸脱せずに、雰囲気も壊さ ないで、皆と一緒であろうとする ・自助努力より公助・共助によるリスク引き受け ・従って、自分で事前にリスクを発見したり、そのための準備を行った りすることは必要なかった ・しかし、相互扶助システムは崩壊しつつあり、自己責任・自助努力が 求められる程度が大きくなっている <リスク文化の転換が必要!> ・文化の問題でもあり、個々人のリスク観やリスク対応を変えることは そう簡単ではない ・しかし、リスクをとらない/とりたくない⇒無責任な指導者と役人 ⇒民間人までその傾向(経営)が多かった“失われた20年”!! それにより世界に遅れをとった典型例が以下の三項目①②③ 39 ここからはセキュリティと「リスク論」 リスク(≒責任)をとらない、 とりたくないことの最たる例が ・「国民共通番号(マイナンバー)」反対論 ・「個人情報保護」原理主義 もちろんプライバシー確保、適切な個人情報保護は必須 これらの問題が克服され、他先進国並みになれば、 セキュリティを含め日本のICT利活用も前進する! 40 40 ① 不幸な日本の国民共通番号の歴史(石川宏NTT-AT元社長資料) 1968年佐藤栄作内閣が「各省庁統一個人コード連絡研究会議」を設置 大蔵、警察、外務、厚生、運輸など12省庁が国民総背番号制の導入 を目指したが頓挫した 1980年「グリーンカード(少額貯蓄等利用者カード)法案」が可決 1985年、「海外への資金流出」、「プライバシー保護」などの反対運動 により、同法廃止 2002年「住民基本台帳ネットワーク」 さまざまな反対の中で稼働 2007年「消えた年金問題」発覚 氏名や住所の異動を管理する台帳の裏づけが無い番号を使っていたため、 年金の納付記録が行方不明に 2008年麻生太郎内閣 「定額給付金政策」発表 すべての国民の所得捕捉ができていないために、所得制限をかけること ができず、莫大な経費をかけて全ての国民に給付 2010年「消えた高齢者問題」発覚 死亡届が出されない限り生存していることを前提とした住基台帳制度の 機能不全 2011年「東日本大震災」 死亡確認ができない。避難所が全国に。被災者支援ができない 41 日本の個人番号の現状 (石川宏NTT-AT元社長資料より) 漢字の姓名だけでは、名寄せができない 一人にたくさんの公的ID番号 結果として膨大な不整合作業による非効率とユーザの不便 運転免許: パスポート: 住基カード: 基礎年金番号: 介護保険: 国税納税システム: 健康保険: etc. 42 日本のICT産業活性化のためにも… 「通信の秘密」の原点(真の自由と公益)に立ち返り 行き過ぎた「個人情報保護法」を見直し 先進国の中でも日本が最も遅れをとっている マイナンバー(国民共通番号ID) を早く官民分野ともに導入し(16年1月必守) 悪平等でなく、真に公平な社会を改めて実現することが、 技術者のインセンティブ向上、 世界の中における日本のICT産業復活、 そして(今後益々増大する)ネット犯罪抑制につながる! 「過度のプライバシー保護」⇒ 国民の「自己確立の未熟さ」 43 ② “通信の秘密” 日本国憲法第21条第2項 検閲は、これをしてはならない。通信の秘密はこれを侵してはならない 電気通信事業法第4条 電気通信事業者の取り扱いに係る通信の秘密は、侵してはならない (有線電気通信法第9条と電波法第59条にも、同趣旨の規定) インターネット時代の今日、クラウドやビッグデータの扱いが技術面、サ ービス面で一般化しており、個人情報をベースに便利で満足度の高いサ ービスがいわゆるネット企業によって提供されるようになっています。通信 事業者は通信の秘密保護の刑罰規定で通信の取り扱い中の秘密を守る ことが規定されているのに対し、通信事業者ではない、いわゆるネット企 業にはこの種の規定はなく、バランスを欠いた状況。もちろん、個人情報 等の機密保持は事業者の契約上の責務であり、民事上の責任を負ってい る。 44 ネット企業において、個人情報を得て(引き換えに)検索や情報 提供などのサービスを提供することが、クラウド技術やビッグ データ解析によって一層便利に、素早く、快適に行われるように なっている。ところが、通信事業者に対しては、通信の秘密につ いて厳しい刑事罰をもって臨み、ネット企業に対しては約款内容 を含めて十分な吟味がなされていないといった不均衡状態が生じ ている。 当然のことだが、現行憲法の下で長い間、通信事業者によって厳 格に守られてきた通信の秘密を、個人情報の利活用を優先するあ まり、無視してよいと言っている訳ではない。 ネット企業との極端な不均衡、国内外企業による適用の有無の差、 さらには厳格であるが故の当事者個人の契約約款への無関心、 サービス提供者の約款整備の遅れなどの現実を踏まえて、これを 是正するために通信事業者に対する刑事罰適用領域の運用面の明 確化を求めたい。 (情報通信総合研究所 相談役 平田正之) 45 “通信の秘密”について論議することは、憲法に関わる 問題でもあり、その憲法でも、最も大事な“言論の自 由”と同じ条文に書かれていることもあり、アンタッ チャブルに近い状況が続いてきた しかし、世界は“スノーデン事件”が物語る現実! インターネット・セキュリティ問題の変化に伴い、“通 信の秘密”は、今やむしろ犯罪者に有利、場合によって は隠れ蓑になる恐れ! 憲法論まで行かなくても、勇気を持って(リスクを とって)法解釈を見直していくことは可能なはず 総務省の解釈も変わり始めた! 時間的(歴史的)・空間的(国際的)な推移論・比較 論も、より深めていく必要 46 緊急避難 ○ 緊急時に行われる対策については、一般的に、緊急避難の要件を満たす場合には通信の秘密の 侵害について違法性が阻却される C&Cサーバ蓄積情報に基づくマルウェア感染ユーザへの注意喚起に関する違法性阻却の考え方 現在の危難の 存在 C&Cサーバと通信している端末はマルウェア感染しており、C&Cサーバによる制御が実際に行 われていることから現在の危難が存在する 法益の権衡 前項に示すような看過しがたい害に対し、侵害される範囲はIPアドレス・時刻から該当利用者 を割り出す程度 補充性 本対策以外に有効性が認められる手立てはない 緊急避難の例 (C&Cサーバ情報によるユーザへの注意喚起) 緊急避難による対策の例 ユーザ申告に基づく、特定ユーザへ向けた大 量通信(DDoS攻撃等)のブロッキング 大量ユーザへ影響を及ぼし得るISP設備への 緊急的な大量通信のブロッキング テイクダウンしたC&Cサーバ内情報に基づ くマルウェア感染被疑ユーザへの注意喚起 47 正当業務行為 ○ 常時行われる対策については、急迫性、現在の危難といった要件を満たさないものと思われるが、 正当業務行為に当たる場合には違法性が阻却される DNSAmp攻撃防止(IP53B)に関する違法性阻却の考え方 目的の正当性 攻撃に依る回線逼迫やDNSサーバの過負荷は利用者の電気通信役務利用を妨げるため、目 的は妥当 行為の必要性 踏み台DNSサーバを全て発見して対策することは現実的でない。通常通信と攻撃通信の区別 が難しいことからISPでの常時ブロッキングは必要 手段の相当性 通秘の侵害範囲は、宛先IPアドレス及びポート番号程度。ユーザ向けのDNSクエリは通常想定 されない通信で、ブロックは影響少ない 正当業務行為の例 (IP53B) 正当業務行為による対策の例 SPAMメール送信ブロック (IP25B/OP25B) DNSリフレクション攻撃ブロック (IP53B) NTPリフレクション攻撃ブロック (IP123B) 48 ③ パーソナルデータの利活用 Ⅰ パーソナルデータの利活用に関する制度見直しの背景 及び趣旨 今年で個人情報保護法の制定から10年を迎えたが、情報通信技術 の進展は、多種多様かつ膨大なデータ、いわゆるビッグデータを 収集・分析することを可能とし、これにより新事業・サービスの 創出や我が国を取り巻く諸課題の解決に大きく貢献する等、我が 国発のイノベーション創出に寄与するものと期待されている。特 に利用価値が高いとされているパーソナルデータについては、個 人情報保護法制定当時には想定されていなかった利活用が行われ るようになってきており、個人情報及びプライバシーに関する社 会的な状況は大きく変化している。 49 その中で、個人情報及びプライバシーという概念が広く認識され、 消費者のプライバシー意識が高まってきている一方で、事業者が 個人情報保護法上の義務を遵守していたとしても、プライバシー に係る社会的な批判を受けるケースも見受けられるところである。 また、パーソナルデータの利活用ルールの曖昧さから、事業者が その利活用に躊躇するケースも多いとの意見もある。 さらに、企業活動がグローバル化する中、情報通信技術の普及に より、クラウドサービス等国境を越えた情報の流通が極めて容易 になってきている。国内に世界中のデータが集積し得る事業環境 の整備を進めるためにも、海外における情報の利用・流通とプラ イバシー保護の双方を確保するための取組に配慮し、制度の国際 的な調和を図る必要がある。 (EU:「データ保護規則」提案、 米国:「消費者プライバシー権利章典」公表、 OECD:「OECDプライバシーガイドライン」改正等) 50 このような状況の変化を踏まえ、平成25年6月に決定された 「世界最先端IT国家創造宣言」において、 IT・データの利活用は、グローバルな競争を勝ち抜く鍵であ り、その戦略的な利活用により、新たな付加価値を創造する サービスや革新的な新産業・サービスの創出と全産業の成長 を促進する社会を実現するもの とされていることから、個人情報及びプライバシーの保護を 前提としつつ、パーソナルデータの利活用により民間の力を 最大限引き出し、新ビジネスや新サービスの創出、既存産業 の活性化を促進するとともに公益利用にも資する環境を整備 する。さらに、事業者の負担に配慮しつつ、国際的に見て遜 色のないパーソナルデータの利活用ルールの明確化と制度の 見直しを早急に進めることが必要である。 内閣府 IT戦略本部 パーソナルデータ検討会 (2013.12.10) 51 パーソナルデータの利活用に関する 制度改正大綱(平成 26 年 6 月 24 日) 制度改正内容の基本的な枠組み 1. 本人の同意がなくてもデータの利活用を可能とする 枠組みの導入等 2. 基本的な制度の枠組みとこれを補完する民間の自 主的な取組の活用 3. 第三者機関の体制整備等による実効性ある制度執 行の確保 52 最後に...ハンナ・アーレントの警鐘! 近代的な市民社会に生きているつもりの我々は前近代社会 の人達よりも複眼的な思考が出来るはずだと、思っている。 しかし、市民権を有する国民全てが参加する現代において は、人々の利害、関心、意見を集約するために、各種のメ ディアを使って情報の操作・加工が行われている。分かり 易くする、わけである。というより、情報の操作・加工に よってみんなの考えを分かり易い形にまとめておかないと、 物事を決定しようがない。しかし、そうした分かり易さに 慣れすぎると、我々一人一人の思考が次第に単純化してい き、複雑な事態を複雑なままに捉えることができなくなる。 53 とにかく、味方が言っているからという理由だけで同調し続 けることになる。そういう思考停止したままの同調が政治を 根底から掘り崩すと、ナチズムや旧ソ連のスターリン主義の ような「全体主義」に繋がっていく。 密かに世界支配をねらっている悪の大組織と、それに対抗し て同胞を守ってくれる正義の味方の間の闘争という二項対立 図式は、分かり易いし、敵・味方をはっきりさせるうえで便 利なので、条件さえ整えば、簡単に大衆に感染する。 「全体主義の起源」(1951) 54
© Copyright 2024 ExpyDoc