2012/08/23 私立大学情報教育協会 平成24年度(2012年度) 大学情報セキュリティ研究講習会 B.情報セキュリティマネジメントコース http://www.juce.jp/sec2012/

1. 大学におけるｻｲﾊﾞｰ攻撃の
事例紹介
東海大学総合情報センター
横田 秀和

2. インシデントの概要
• 他組織へ標的型攻撃のﾒｰﾙに大学名が悪用された
– メールの内容に実在する組織名・教員名
– Flashの脆弱性を悪用したウィルスを含むメール
• 標的型攻撃の内容がｾｷｭﾘﾃｨﾍﾞﾝﾀﾞによって公開された
– 当事者は情報を公表していないにも関わらず
– ニュースサイトで拡散
• 学内の危機管理委員会に報告し対応した
– 調査・対応の限界
– 組織としての判断
2

3. インシデントの図解
?
?
教員
ﾒｰﾙ受信者
標的型攻撃ﾒｰﾙ
対象組織
標的型攻撃の内容を
ﾌﾞﾛｸﾞで公開
標的型攻撃ﾒｰﾙ
送信者
ｾｷｭﾘﾃｨﾍﾞﾝﾀﾞ
3

4. インシデント対応のポイント
• 標的型攻撃ﾒｰﾙに大学名が悪用されている為，
学内外からの問い合わせへの対応が必要
– 危機管理委員会を通じて広報部門へ連絡
• 攻撃者が標的型攻撃ﾒｰﾙに用いたﾒｰﾙ文章を
どこから入手したのか調査が必要
– ﾒｰﾙ送受信者・攻撃対象組織と連携した調査
• ｾｷｭﾘﾃｨﾍﾞﾝﾀﾞがﾌﾞﾛｸﾞに公開した情報を
どこから入手したのか調査が必要
– そもそも調査できるのか？
4

5. インシデントのスピード感①
1月
28日
• Flashの脆弱性がCVE-2012-754として登録される
2月
15日
• AdobeがCVE-2012-754のセキュリティアップデートを公開する
2月
27日
• 教員が関係者にメールを送信する
3月
2日
• 何者かが対象組織に標的型攻撃のメールを送信する
3月
6日
• セキュリティベンダのブログで標的型攻撃の情報が公開される
4日後
16
日
後
4日後
34日後
5

6. インシデントのスピード感②
3月
12日
• 教員より総合情報ｾﾝﾀｰへインシデントに関する連絡が入る
3月
13日
• 総合情報ｾﾝﾀｰが教員PC等の調査を実施する
3月
14日
• 危機管理委員会へ緊急連絡票(第1報)を提出する
3月
15日
• メール受信者からPC調査結果の連絡が入る
3月
16日
• 危機管理委員会へ緊急連絡票(第2報)として調査報告書を提出する
攻撃ﾒｰﾙの10日後
ﾌﾞﾛｸﾞ公開の6日後
攻撃ﾒｰﾙの12日後
ﾌﾞﾛｸﾞ公開の8日後
攻撃ﾒｰﾙの14日後
ﾌﾞﾛｸﾞ公開の10日後
4
日
後
6

7. インシデントの地理感
東海大学
標的型攻撃
対象組織
ｾｷｭﾘﾃｨﾍﾞﾝﾀﾞ
標的型攻撃ﾒｰﾙ
送信元ﾈｯﾄﾜｰｸ
7

8. 技術的対応の問題点
• セキュリティアップデート
– 脆弱性が明らかになってからウィルス作成までが早い
• ウィルス対策ソフト
– 定義ファイルの更新が追い付いていない
• 最終手段はOS再インストール
– データのバックアップが必須
8

9. 人的対応の問題点
• 当事者の問題意識
– 問題の重要度をどう捉えるか？
• 教育研究活動のスケジュール
– 不在だと迅速な対応が難しい
• 組織の対応とのジレンマ
– 個人的な対応を取る訳にはいかない
9

10. 組織的対応の問題点
• 他組織の人・機器の扱い
– お伺い・対応の依頼しかできない
– 回答・対応の結果を信じるしかない
• 自組織の対応責任者
– 当事者・情報部門・大学運営部門・委員会
– 対応を指示する人は誰か？
– 対応を決定する人は誰か？
10

11. 事例紹介のまとめ
• 大学に直接ｻｲﾊﾞｰ攻撃があった訳ではない(?)
• 第三者によってｻｲﾊﾞｰ攻撃の情報が公開された
• このような事例を，
そもそもインシデントと見なすかどうか？
• 有効な対策は？
– 未然に防ぐ事は不可能
– 起きた時にどう対応するか?を備えておく
11

12. 12