「情報セキュリティ10大脅威2017」から読み取る最新セキュリティ傾向とその対策

2017年2月20日
NHNテコラス株式会社データホテル事業本部
セキュリティ・エンジニア香取弘徳
「情報セキュリティ10大脅威2017」から読み取る
最新セキュリティ傾向とその対策

NHN テコラス株式会社の「ITインフラ・マネージド」を担う事業部門です。
インターネットインフラを安心してご利用頂けますように、セキュリティ強化
に取組んでいます。
東京都新宿区新宿6-27-30
新宿イーストサイドスクエア 13階
https://datahotel.jp

http://www.itmedia.co.jp/author/211284/
ITmedia エンタープライズ
現場エキスパートに学ぶ実践的サイバー攻撃対策塾
DATAHOTEL で、開発業務をしています。
でも、本当は…セキュリティ・エンジニアです。
（専門はWeb セキュリティ）
香取弘徳（かとりひろのり）

【出典】情報セキュリティ10大脅威 2017：IPA 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2017.html
「情報セキュリティ10大脅威2017」から読み取る
最新セキュリティ傾向とその対策

昨年順位個人順位組織昨年順位
1位
インターネットバンキングやクレジットカー
ド情報の不正利用
1位標的型攻撃による情報流出 1位
2位ランサムウェアによる被害 2位ランサムウェアによる被害 7位
3位
スマートフォンやスマートフォンアプリを
狙った攻撃
3位ウェブサービスからの個人情報の窃取 3位
5位ウェブサービスへの不正ログイン 4位サービス妨害攻撃によるサービスの停止 4位
4位ワンクリック請求などの不当請求 5位
内部不正による情報漏えいとそれに伴う
業務停止
2位
7位ウェブサービスからの個人情報の窃取 6位ウェブサイトの改ざん 5位
6位匿名によるネット上の誹謗・中傷 7位ウェブサービスへの不正ログイン 9位
8位情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化ランク外
10位インターネット上のサービスを悪用した攻撃 9位
攻撃のビジネス化
（アンダーグラウンドサービス）
ランク外
ランク外 IoT機器の不適切管理 10位
インターネットバンキングやクレジット
カード情報の不正利用
8位

IDDoS
2016年9月
Krebs on Security に 620Gbps と言われる DDoS攻撃
【出典】KrebsOnSecurity Hit With Record DDoS – Krebs on Security
https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

300
620
0
100
200
300
400
500
600
700
2013年
Spamhaus or CloudFlare
2016年
Krebs on Security
(Gbps)
【出典】The DDoS That Almost Broke the Internet
https://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/

mirai
Linux で動作するコンピュータを、大規模なネットワーク
攻撃の一部に利用可能な、遠隔操作できるボットにする
マルウェア

OS / ミドルウェアの脆弱性
アプリケーションの脆弱性
ITインフラの脆弱性
設定の不備
脆弱な IoT デバイス

23/TCP
Telnet で
アクセスできるとか...

1,560
1,719
1,611
1,948
3,592
2,980
2,442
1,985
1,526
1,654
1,520
1,098
0
1,000
2,000
3,000
4,000
【出典】JPCERT コーディネーションセンターインシデント報告対応四半期レポート
https://www.jpcert.or.jp/ir/report.html
スキャン報告件数の推移
（件）
脆弱IoTデバイスを探しているかも

2016年パスワード 2015年
1 123456 1
2 password 2
3 12345 5
4 12345678 3
5 football 7
6 qwerty 4
7 1234567890 12
8 1234567 9
9 princess 21
10 1234 8
【出典】Worst Passwords of 2016
https://www.teamsid.com/worst-passwords-2016/
脆弱なパスワード

ランサム
ウェア
マルウェア
不正かつ有害に動作させる意図で作成された
悪意のあるソフトウェアや悪質なコードの総称
マルウェアの一種である。これに感染した
コンピュータはシステムへのアクセスを制
限される。この制限を解除するため、被害
者はマルウェアの作者にransom（身代金）
を支払うよう要求される。
【出典】ウィキペディア日本語版 - Wikipedia
https://ja.wikipedia.org/wiki/

昨年順位個人順位組織昨年順位
1位
インターネットバンキングやクレジットカー
ド情報の不正利用
1位標的型攻撃による情報流出 1位
2位ランサムウェアによる被害 2位ランサムウェアによる被害 7位
3位
スマートフォンやスマートフォンアプリを
狙った攻撃
3位ウェブサービスからの個人情報の窃取 3位
5位ウェブサービスへの不正ログイン 4位サービス妨害攻撃によるサービスの停止 4位
4位ワンクリック請求などの不当請求 5位
内部不正による情報漏えいとそれに伴う
業務停止
2位
マルウェア関係が上位に
問題の本質は侵入経路？

マルウェア３大侵入経路
• メール添付ファイル
• Drive by Downloads
• 不正なアプリケーションの
インストール

標的型攻撃メールの
添付ファイル
60%
27%
6%
3% 4%
添付（圧縮）添付（非圧縮）
URLリンク添付・URLリンクなし
不明
【出典】IPA J-CRAT 標的型攻撃メールの傾向と見分け方
https://www.ipa.go.jp/files/000052612.pdf

PDF
文書exe.pdf
文書fdp.exe
RLO（Right-to-LeftOverride）
ここから先は「右から左に読む」という unicode 制御文字
• アイコン偽装
• ファイル名偽装
60% が圧縮ファイル
添付資料.zip
展開

Drive by Downloads
Web 閲覧者が iframe 等により、
悪意のあるWebサイトにアクセスしてしまう。
ブラウザやアドオンの脆弱性を突かれてしまう。
（Exploit）

改ざんされた
Webサイト
悪意のある
Webサイト
ユーザーの
ブラウザ
リクエスト
危険なコードを含む
レスポンス
コードを取得
危険なコード
JavaScript により
タグ生成（iframe等）
リクエスト
Drive by Downloads

不正なアプリケーションの開発
リバース
エンジニアリング
正規コード
悪性コード
リパッケージ
正規アプリケーション不正アプリケーション
カメラ操作
遠隔操作
…等

不正なアプリストア
不正なアプリストアから、
悪性コードアプリをダウンロードさせる。

Next-Generation Firewall
Sandbox Endpoint
Security Solutions
+ SOC

VM
添付資料.zip
添付資料.zip
Sandbox
仮想マシン上でメールを開き
マルウェアと思われるものを検知
？

一点豪華主義は意味がない

何にしても、費用がかかる...
情報セキュリティ戦略に
合った投資を！

戦略
戦争・闘争のはかりごと。
戦争の総合的な準備・計画・運用の方策
【出典】google 辞書

情報セキュリティ戦略
情報セキュリティの総合的な準備・計画・運用の方策
自組織の利益となる様に構築する。

ITインフラ事業者の我々の場合は...

エンドユーザーの
幸せから考えてみよう。

エンドユーザーショッピングサイト運営事業者データホテル
マネージドホスティング
エンドユーザーに安心・安全なお買い物をしてもらえる
ショッピングサイトのITインフラを提供する。
例.

では、ショッピングサイト運営事業者がどうであると、
エンドユーザーに安全・安心を提供できるのだろうか？
1. サイバーセキュリティ経営ガイドラインに準拠する。
2. CSIRTを設置し、活動報告を内外に示す。
3. サービス／組織内システムの多層防御を実施し、
耐性を高めること。

1.サイバーセキュリティ
経営ガイドラインへの準拠
組織の共通認識にする。
経営層の把握・理解
【出典】サイバーセキュリティ経営ガイドライン（METI/経済産業省）
http://www.meti.go.jp/policy/netsecurity/mng_guide.html

自組織用に最適化した
セキュリティガイドラインを作成する。
用語、システム名、責任者・担当者、
業務フローなどを具体的に記述する。

CSIRT （ Computer Security Incident Response
Team、シーサート）とは、コンピュータやネットワー
ク（特にインターネット）上で何らかの問題（主にセ
キュリティ上の問題）が起きていないかどうか監視する
と共に、万が一問題が発生した場合にその原因解析や影
響範囲の調査を行ったりする組織の総称。
2. CSIRT
【出典】CSIRT - Wikipedia
https://ja.wikipedia.org/wiki/CSIRT

CSIRTが活躍するのは
インシデント発生時だけではない。
• 活動報告
• 現場の工夫
• エンドユーザーの安心・安全のための取組み
情報発信

対策 A. 検知 B. 拒否 C. 中断 D. 低下 E. 惑わす
1. 偵察攻撃者に情報を与えない Web分析 Firewall / ACL ユーザー教育虚偽の資料
2. 武器化エクスプロイトコード、
マルウェアへの対応
IDS IPS アプリ数の削減
3. デリバリマルウェアが添付された
メール、悪意のあるURL
へのアクセスを妨害
慎重なユーザープロキシ
フィルター
サンドボックス
4. エクスプロイト脆弱性を突く攻撃からの
防御
ホストIPS バッチ対策ホストIPS 最小権限
5. インストールマルウェアをインストー
ルさせない
ホストIPS アプリの
ホワイトリスト
ウイルス対策エンドポイント型
サンドボックス
6. C2 C2との通信を検知・遮断ホストIPS Firewall / ACL IPS
7. 目的の実行外部への情報の持ち出し
を妨害
ログの監視リソースのACL 通信の遮断ファイル暗号化
【出典】紙とペンで見つけていくセキュリティ対策の落とし穴 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1608/02/news013.html
３．多層防御

SEチーム
監視チーム
運用チーム
要件定義・設計・構築
アラート監視・検知
定常運用・障害対応
専用回線
または、インターネットVPN
DATAHOTEL
マネージドホスティング
セキュリティ機器／ソリューション
DATAHOTEL IDC
サーバー
ネットワーク機器
サポートチーム
お客様サポート
専用回線または、インターネットVPNGSX-SOC
ログやアラート等、相互突合／分析
セキュリティ・アナリスト
ログ解析・アラート分析
解析・分析結果のレポートを作成
GSX-SOC 分析システム
DATAHOTEL::SI2
Cloud
Computing
各種パブリック／プライベートクラウド

ITインフラ事業者の我々の場合は...
1. サイバーセキュリティ経営ガイドラインに準拠する。
2. CSIRTを設置し、活動報告を内外に示す。
3. サービス／組織内システムの多層防御を実施し、
耐性を高めること。
お客様の情報セキュリティ戦略の
実現・運用をサポートすること。

チームとして、
一緒に取り組みましょう。

Managed & Secured
Hosting Service

DATAHOTEL::SI2
https://si2.datahotel.jp

「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策

More Related Content

What's hot

Viewers also liked

Similar to 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策

More from NHN テコラス株式会社