More Related Content Similar to 【事前教育資料2022】情報セキュリティインシデント対応手順と対応項目について.pdf Similar to 【事前教育資料2022】情報セキュリティインシデント対応手順と対応項目について.pdf (20) 【事前教育資料2022】情報セキュリティインシデント対応手順と対応項目について.pdf3. はじめに
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 3
人事院勧告を受け、「広島大学における職員の懲戒処分の指針」が
一部改正(平成29年3月27日)され、第2の1 (7) ロ が追加。
・具体的に命令され,又は注意喚起された情報セキュリ
ティ対策を怠ったことにより,業務上の秘密が漏えいし,
本学の運営に重大な支障を生じさせた職員は,停職,出
勤停止,減給又は戒告とする。
情報セキュリティ対策の不備は、法人運営に重大な支障
を来すおそれがあることを再確認すること。(文科省)
4. 標的型メール攻撃の脅威
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 4
標的型メール攻撃は、対象の組織から重要な情報を盗む
ことなどを目的に組織の担当者が開封してしまうように
巧妙に作り込まれたウィルス付きのメールを用いた攻撃
業務に関する内容に加え、件名、送信
元アドレス、署名等も真似ている
<偽造に気づきにくい>
標的型攻撃に特化したウィルスは対策
ソフトで検出されないものが多い
<感染に気づきにくい>
感染拡大
管理者権限盗難
情報漏洩
100%防御可能な事前対策は無く早急な事後対処がより重要
6. 2022年大学におけるインシデント
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 6
時期 大学 被害・影響の可能性 原因
1/8 朝日大学 教員のメールアカウントに不正アクセスされ、個人情報等
が含まれる電子メールが不正に閲覧される
教員が不審メールに記載されたフィッシングサイトへア
クセス、パスワード等のアカウント情報を入力した
1/11 関西大学 複数のICTサービスが利用できなくなった 一部のシステムに対する不正アクセス
1/27 弘前大学 同学Webサイトを外部から閲覧できない、メールサービス
を利用できない
インターネットに接続するための学外ネットワーク障害
2/28 琉球大学 大学移転事業Webサイトの改ざん 当該Webサイトが第三者からの不正アクセスを受けた
2/28 琉球大学 卒業生275人, 教員12人の個人情報が漏えいの可能性 教員の管理しているWebサーバが第三者に不正アクセ
ス
5/16 名古屋大学 システムに保存されていたメールアドレス2,086件が漏洩
した可能性
ブラインドSQLインジェクションと呼ばれる、Webア
プリケーションのデータベースを不正に操作する攻撃
5/24 埼玉大学 大量の不正メール送信 教職員のパソコンがマルウェア「Emotet」に感染、
メールアカウント情報が漏えい
6/1 京都大学 大量の不正メール送信 教職員のパソコンがマルウェア「Emotet」に感染、
メールアカウント情報が漏えい
7/14 愛媛大学 添付ファイルに「Emotet」が含まれる不正メールが大量
に送信される
教員の自宅PCがマルウェア「Emotet」に感染し,PCで
使用していたメールのパスワードが搾取された
7/29 埼玉大学 不正ログイン時に、メールボックスに残っていた個人情報
が含まれる電子メール128件が閲覧された可能性がある
教員1名分のメールアカウントが第三者により不正にア
クセスされた
8/13 関西国際大学 同学Webサイトアクセス時にセキュリティ警告画面が表示
され、一時閲覧不可能になった
同学WebサイトのSSL証明書が有効期限切れになった
8/17 徳島大学 システムを利用した学生等の個人情報(7,208人)が一定期
間インターネット上で閲覧可能
同システムにて、機能拡張を目的としたシステム改修を
担当した委託業者での不備
9/2 室蘭工業大学 大量の不正メール送信 教職員等が利用していたパソコンが、「Emotet」と考
えられるコンピュータウイルスに感染
7. 本学の対応訓練の位置づけ
1. 事前調査
• ターゲットの組織の情報を収
集する
2. 侵入
• 標的型メールやWebサイト等
を介してマルウェアに感染さ
せる
3. 攻撃環境整備
• C&Cサーバ*1との通信を確立
する
4. 攻撃準備
• 対象の情報の特定や不正プロ
グラムを仕掛ける
5. 攻撃遂行
• 対象の情報を搾取する
7
標的型攻撃の流れ
標的型メール訓練
【目的】怪しいメールを見極め
る力を養う
【効果】メールを介した不正侵
入確率の低減
インシデント対応訓練
【目的】事後対応力を養う
【効果】事後対応スピードの向上
侵入後
の訓練
標的型攻撃の訓練
標的型メール訓練
【目的】怪しいメールを見極め
る力を養う
【効果】メールを介した不正侵
入確率の低減
標的型メール訓練
【目的】怪しいメールを見極め
る力を養う
【効果】メールを介した不正侵
入確率の低減
侵入方
法毎の
訓練
侵入前
侵入後
年 月 日
2022 10 24
本学が実施する
情報セキュリティインシデント対応訓練 事前教育
【 2022】
*1 C&C(Command and Control)サーバは攻撃者がマルウェアに指令等を出して制御する指令サーバのこと
8. インシデント・トラブル発生時の対応
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 8
情報化推進G
メディア
センター
情報セキュリティ
推進機構(CSIRT)
部局 通信遮断
対応指示
報告
該当機器
利用者
情報セキュリ
ティ責任者
異常が検知された場合、該当機器の通信は遮断されます。
情報セキュリティ推進機構の指示に従い、迅速な調査・対応を行っ
てください。
• 一次対応(P9-P12)と二次対応(P13-P15)を行ってください。
• 具体的な対応フローはこちらをご覧ください
機器
特定
切断
保全
調査 対応
※インシデントとは外部の情報セキュリティ機関へ報告するに至る重大事案のこと、
トラブルは報告するに至らない事案のこと
9. 一次対応手順
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 9
*1 二次対応の指示があるまではデータを削除したり状態を変更しないでください。
*2 CSIRTは調査報告書の内容をもとにトラブル事案かインシデント事案かの判断
(トリアージ)を行います。
*3 二次対応の手順はトラブル事案の場合とインシデント事案の場合の2種類あります。
1. 機構からメールで通知された警報情報の内容を確認する。
2. 警報情報(MACアドレス等)を参考に該当機器を特定する。
3. 被害拡大防止のために該当機器をネットワークから切断する。
5. 現状を把握するために該当機器および被害の状況を調査する。
6. 機構に調査報告書を提出(一次報告)する*2。
7. 機構の指示に従い二次対応する*3。
4. 機構の指示があるまで該当機器を保全*1する。
10. 警報情報のサンプル
• 警報情報から該当機器を特
定するには、IPアドレスと
MACアドレスが有益な情報
になります。
• IPアドレスはインターネット上
の情報機器を識別するために割
り振られる識別番号
• MACアドレスはネットワーク機
器のハードウェアに一意に割り
当てられる固有識別子
==========================
通知元: NII-SOCS
通知原因: マルウェア感染の可能性
遮断の実施: あり(該当機器MACアドレス)
遮断時間: 2022/10/●● 〇〇:〇〇:〇〇
==========================
■ 対象ホスト情報 (HINET Wi-Fi)
IPアドレス 133.41.XX.XX
MACアドレス AB12CD56EF78(〇〇社)
SSID HU-CUP10
広大ID B22XXXX
ユーザ名 広大 太郎(ヒロダイ タロウ)
メールアドレス b22XXXX@hiroshima-u.ac.jp
通信時間 2022/10/●● △△:△△:△△
最終認証日時 2022-10-●● □□:□□:□□
[詳細情報]
(以下省略)
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 10
迅速なインシデント対
応に向けてIPアドレス
とMACアドレスを確認
できるようになってお
くことは重要です。
11. 一次対応報告の内容
(マルウェア感染の疑いの場合)
• 該当コンピュータの利用目的
• 共同利用や出張時使用など
• 該当コンピュータの形状
• コンピュータの種類、メーカ、型
番など
• 該当コンピュータの使用状況
• OSの種類とbit数、OSの最終更新
日、ウィルス対策ソフト名、パ
ターンファイルの最終更新日、最
終スキャン日など
• ウィルススキャンの検知結果
• フルスキャン時の検知の有無、検
知された場合のウィルス名や駆除
状況など
• 暗号化されて開けないファイルの有
無
• 該当コンピュータに保存されている
情報
• 個人情報や法人文書などのデータ
の有無、データの内容、暗号化の
有無など
• フリーソフトのインストール状況
• 指摘された原因
• 思い当たる事象など
• 今後の対策
• 初期化、ソフトウェア更新、フル
スキャン実施など
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 11
いつでも自分で調査できるよう
になっておくことが重要です。
12. 一次対応報告の内容
(フィッシングの疑いの場合)
• 該当コンピュータ/スマートフォン
の利用目的
• 研究室専用利用や私物など
• 該当コンピュータ/スマートフォン
情報
• メーカ、型番など
• 該当コンピュータ/スマートフォン
のOSの種類
• 該当コンピュータ/スマートフォン
で使用しているメールソフト名
• ウィルススキャンの検知結果
• フルスキャン時の検知の有無、検知
された場合のウィルス名や駆除状況
など
• 指摘されたフィッシングメール/サ
イトについての状況
a. 該当のメールを受け取った覚えはない
b. 該当のメールの件名をみてすぐに削除
した
c. 該当のメールの内容を確認してすぐに
削除した
d. 該当のメール内のリンクを開いたが何
も入力しなかった
e. 該当のメール内のリンクを開き、サイ
トに入力した
f. その他( )
• 上記eを選択した場合の入力内容
• 今後の対策
• 初期化、ソフトウェア更新、フル
スキャン実施など
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 12
いつでも自分で調査できるよう
になっておくことが重要です。
17. 【注意喚起】Windows8.1
2023年1月10日サポート終了
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 17
https://support.microsoft.com/ja-jp/windows/windows-8-1%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF-2023-
%E5%B9%B4-1-%E6%9C%88-10-%E6%97%A5%E3%81%AB%E7%B5%82%E4%BA%86%E3%81%97%E3%81%BE%E3%81%99-
3cfd4cde-f611-496a-8057-923fba401e93
18. 【注意喚起】macOSのサポート状況
2022 10 24
年 月 日
【 2022】
情報セキュリティインシデント対応訓練
事前教育
18
• サポート期間の終了した古いOSを使い続けていると、PCの
セキュリティの低下、動作不良等の不具合が起こります。
• 【学内限定】【参考】 Mac OSのサポート期間について
• 例)ESET for Macのサポート状況
• 広島大学が提供するmacOSに対するウィルス対策ソフト
• 【重要】Mac向け旧バージョンプログラム(V6.7 以前)のサポー
ト終了について
• 以下のOSのサポートが終了
• Mac OS X v10.6 Snow Leopard
• Mac OS X v10.7 Lion
• OS X v10.8 Mountain Lion
• ウィルス対策ソフトのサポートが終了すると、最新のウィルスの対
応ができなくなり、セキュリティが低下します。
• 可能な限り新しいOSをご利用ください。
20. 対応訓練の目的
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 20
事前教育
•インシデント対応
に関する学習と知
識の再確認
対応訓練
•インシデント対応
に関する適切な行
動の可否の確認
結果集計
•インシデント対応
に関する行動の実
態の把握とフィー
ドバック
利用者
利用者
CSIRT
1. 実際にインシデントが発
生した場合に迅速な対応
を行い、その被害を最小
限に留める
2. 必要な情報(MACアドレ
ス等)を実際に収集し、
インシデント発生時の対
応の迅速化を図る
21. 対応訓練全体の流れ
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 21
③ 結果集計
評価指標
・事前教育受講状況
・対応訓練実施状況
※所属別に集計・報告
対象者:メールを受け取った全員(約20,000名)
※役員及び教職員(非常勤職員、休職の者を除く)
※学生(非正規生、休学、留学の者を除く)
① 事前教育
LMS(Moodle)で受講
標的型メール攻撃の脅威
インシデント発生時の対応
手順
ネットワーク管理者の対応
利用者の対応(調査方法)
11月上旬に実施
対象者宛に
広大メールで通知
(日本語・英語)
② 対応訓練
対応訓練回答フォームで報告
ウィルス対策ソフトの動
作状態などを調査・報告
(一次対応手順の一部)
使用しているPC
の感染を想定
11月上旬
22. 対応訓練の実施手順
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 22
CSIRTから訓練開始のメー
ルを受信(11月上旬)
対応訓練回答フォームの内
容に従って,大学で
普段使う1台のPCの
状況を調査し回答する。
業務用PC、
必携PC、
研究室共用PC
等
一次対応の調査と
報告の訓練を想定
してください
23. 【参考】メーカー名・型番の調査方法
• メーカー名は本体に印字された文字やロゴ等から確認
できます。
• Microsoft, Apple, Panasonic, NEC, 富士通, 東芝, Lenovo,
DELL, ASUS, Hewlett-Packard (HP)など
• 型番は本体背面のシール等から確認できます。
• 記載がない・不明な場合はシリーズ名を報告しても良い
• シリーズ名は本体に印字された文字やロゴ等から確認
できます。
• Surface (Microsoft), Macbook (Apple), LetsNOTE
(Panasonic), Lavie (NEC), FMV (富士通) など
• OSのバージョンなどを確認する際に表示されることもある
2022 10 24
年 月 日 【 2022】
情報セキュリティインシデント対応訓練 事前教育 23
29. システム情報・OS更新状態の確認方法
(Mac OS Monterey)
① 画面の左上部にある Apple( ) メ
ニューから「この Mac について」
を選択します。
② システム情報が確認できます。
• Mac OSの種類、バージョン、コン
ピュータモデル名、プロセッサ情報
等が確認できます。
③ 「ソフトウェアアップデート」から
OSの更新状態が確認できます。
④ 「詳細」から自動アップデートの有
効を確認できます。
①
②
③
③
④
④