セキュリティ動向2020

Copyright Internet Initiative Japan Inc.
2020/12/14
株式会社インターネットイニシアティブ
セキュリティ本部
齋藤衛
IIJ technical week 2020
セキュリティ動向2020

Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc.
Agenda
この1年の概況
メールで伝播するマルウェア
標的型ランサムウェア
DDoS攻撃
コロナ禍の影響

3
この１年の概況
• PulseSecure社製品の脆弱性が多数のVPN装置に影響。
• Emotet の感染活動2019年9月と12月に活発に。
• 神奈川県で破棄したはずのHDDがネットオークショ
ンで転売された。
• 米国とイランの双方がミサイル攻撃などを実施。
• 米カリフォルニア州で IoT セキュリティ法施行。
• 三菱電機と日本電気が標的型攻撃を受けたと発表。
• 2018年のコインチェックへの不正アクセス事件で流
出した NEM を Bitcoin に交換した会社役員と医師の
2人が逮捕。
• コロナ禍関連情報の悪用目立つように。

4
この１年の概況(2)
• ビデオ会議サービスの Zoom にさまざまなセキュリ
ティ上の問題点が発覚。
• 改正新型インフルエンザ等対策特別措置法 (特措法)
第32条第1項の規定に基づき、緊急事態宣言を発出。
• NTTコミュニケーションズで外部からの不正アクセ
スによる情報漏洩。
• ホンダの国内外の複数の工場でサイバー攻撃により
システム障害。
• 国内企業においてランサムウェアによる障害と情報
漏洩が顕著に。
• 7月にEmotet が感染活動再開、国内外でメールの送
信が確認される。

5
この１年の概況(3)
• 恐喝DDoS攻撃再び。昨年と同じ被害者へ。
• ドコモ口座を利用した不正送金事案。
• Microsoft ADサーバにZerologon 脆弱性 (CVE-
2020-1472)。詳細と PoC を発見者が公開。攻撃に
悪用される危険性がきわめて高い。
• 東京証券取引所でシステム障害が発生し、東京証券
取引所における全銘柄の売買を停止。
• クラウドサービスの障害による業務や生活環境への
影響。

Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc.
Agenda
この１年の概況
DDoS攻撃

7
• メールで伝播するマルウェアの歴史
– Mellissa(1999),LoveLetter(2000),Klez(2002)
• Emotet(2014)
– 発現当初はオンラインバンキングの認証情報を盗む
活動に使われた。
– 現在ではボットや他のマルウェアのダウンローダと
しての活動。
• 感染したPCの情報は覗き見られる。
• 社内や外部組織への攻撃の踏み台となる。
• ランサムウェア感染などの事案に発展する。

8
• 感染活動の状況
– 2019年9月、12月～2020年2月
– 2020年7月、2020年9月
– 特に7月においては全マルウェア検出数の80％以上
をEmotetが占める日もあった。
https://wizsafe.iij.ad.jp/2020/08/1028/

9
• 感染に使われるメールの様子
– お客様カード情報、信用情報
– 請求、助けてください
– 異動のご挨拶
• 一時はコロナ関連話題も悪用
• 一部にやりとり型攻撃に類似のメールも
– 正当なメールに返信する形で感染活動。
– 多くの人が読みそうなメールだけを適切に選んで返
信している（感染端末内のメールをすべて読まれて
いる）。

10
• EmotetとPPAP
– まず Password付zipファイルを送ります。次にPasswordを
送ります。というAn合化（暗号化）、Protocol。
– 「くたばれPPAP」JIPDEC 大泰司章
https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf
– 「PPAPを何とかしたいのだがPHSも何とかしたい」立命館
大学上原哲太郎
https://www.slideshare.net/tetsutalow/ppapphs
• もともとはメール誤送信対策や暴露型ウイルスの対
策として定着。
• 現状、百害あって一利なし
– 情報漏洩のほとんどは通信路ではなく端末で起きている。
– パスワード付きzipは暗号として使うには脆弱である。
– パスワード付きzipファイルを添付されると、多くのゲート
ウェイ型セキュリティ装置で検査されない。

11
• EmotetとPPAP(2)
– 本文にPasswordが記載されたメール。
– 受信者が手作業で解凍、実行してしまう。
• マルウェアIcedID
– 11月第一週より流行。
– パスワード付きzipファイルが添付されたメールで感
染活動。

13
• 歴史
– 標的型攻撃（2004）、ランサムウェア
（CryptoLocker 2013）
• ランサムウェア
– マルウェアによりHDDなどに記録された情報を勝手
に暗号化し、利用者から不当にアクセスできなくす
る（人質にとる）。効果を上げるためのばらまき型。
• 標的型ランサムウェア
– 身代金を支払いそうな特定の標的に対してランサム
ウェアによる攻撃を仕掛ける。身代金は高額。

14
• 標的型ランサムウェアと情報漏洩
– ランサムウェアを感染させた後、情報を暗号化す
るまえに窃取（外部に転送）。
– その後、情報を暗号化して人質にとることで身代
金を要求。
– さらに、秘密の情報をリークサイトに暴露すると
恐喝して金銭を要求。
– リークサイトはランサムウェアの種類、もしくは
感染活動を行っている主体ごとに設置。
– 通常はダークウェブ上にあるが、暴露が目的なの
でダークウェブにアクセスできる人は誰でも見ら
れる状態になる。

16
DDoS攻撃
• 歴史
– DDoS攻撃(2003)、恐喝DDoS攻撃(2007)
• DDoS攻撃の発生状況
– 1日平均10回以上、規模では100Gpbsを越える攻撃
も発生している。
– 依然としてIoTボットは脅威。
– 攻撃手法も多様。

17
DDoS攻撃
• 恐喝DDoS攻撃の継続
– 8/11 頃から世界中の組織に対して、DDoS攻撃が発
生。銀行、保険、証券取引所、決済サービスなど金
融系が多いが、攻撃対象の業種、国は多岐に渡る。
– 8/14から 8/17にかけて、韓国で新韓銀行、カカ
オバンク、K Bank が DDoS 攻撃を受ける。
– 国内でも暗号資産関連サイト、金融機関などを対象
に攻撃が発生。
– 8/25-8/27 ニュージーランド証券取引所 (NZX) で
DDoS 攻撃により取引一時停止。
– 国外のDDoS対策事業者では、数百 Gbps の攻撃規
模も観測。

18
DDoS攻撃
• 恐喝DDoS攻撃の継続(2)
• 攻撃発生後、より大きな攻撃を受けたくなけれ
ば金を払えと脅迫状が届く。
• 脅迫状ではArmada collectiveや fancy bearを
自称。
• 一旦停止すると狙われやすくなる
– 昨年10月の恐喝DDoS攻撃と同じ被害者に対する攻
撃。
– 11月には8月の攻撃で影響のあった対象にのみ、再
度攻撃が発生。
– 昨年と同じ行為者によるものか、攻撃先リストが複
数の行為者の間で弱いサイトが共有されている可能
性も。

20
• 社会生活の変化
• 無くなったもの
– マスク、消毒薬、ハンドソープ、粉もの、家庭用
ゲーム、家庭用ゲーム機、家庭用プリンタ
• 減少したもの
– 移動（通勤、旅行）、外食、宴会、買い物、ア
ミューズメント、病院通い、友達と遊ぶこと
• 増えたもの
– 通信、家での食事、テイクアウト、家族で遊ぶ、家
での仕事、水筒

21
• ネットワーク上の変化
– テレワーク関連通信の増加（2月から6月単純増加）
– 通信の方向の変化
– 動画配信増加
• 仕事の仕方の変化
– テレワーク
– 接待の減少
– リモート会議の増加
– リモート国際会議
– 仕事をする場の多様化（会社、自宅、サテライトオ
フィス）

22
オンプレミス環境
クラウド環境
インターネット
• テレワーク環境
• 利用者はオンサイトかリモートか
• 情報はオンプレミス環境かクラウド環境か
• テレワークセキュリティの勘所
• 会社とリモート環境の違い
• 本人性確認と認可
• 通信機器、通信路の安全性
• クラウドとオンプレミス環境の違い

23

セキュリティ動向2020

More Related Content

What's hot

Similar to セキュリティ動向2020

More from IIJ

セキュリティ動向2020