Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
10 Major Security Threats and Current Status of Japan
Have you already updated?
Copyright © 2009, IPA all right reserved.
独立行政法人 情報処理推進機構(IPA) セキュリティセンター情報セキュリティ技術ラボラトリー長 小林 偉昭 [email protected]
PacSec 2009
HIDEAKI KOBAYASHIIT Security Center
Information-technology Promotion Agency (IPA), JapanNovember 5, 2009
セキュリティ10大脅威と現状アップデートしていますか?
1
発表内容
2
• IPA ?• Security Activities in Japan 日本でのセキュリティ活動
• 10 Major Security Threats and Case study of Attacks targeting Vulnerabilities
10大脅威と脆弱性を突く攻撃の例
• Countermeasures 対策は
• Continuous Improvement in security 日本のセキュリティレベル向上に向けて
Copyright © 2009, IPA all right reserved.
Information-technology Promotion Agency, Japan (IPA)
Government Organisation under the Ministry of Economy, Trade and Industry (METI)
Chairman : Mr. Koji Nishigaki
Organisation StructureIT Security Center (ISEC)<Security>Software Engineering Center (SEC) <Reliability>Open Software Center (OSC)IT Human Resources Development HQ
IT Skill Standards Center (ITSSC)Japan IT Engineer Examination Center (JITEC)
IPA
Invigorating Japan through IT
3Copyright © 2009, IPA all right reserved.
Mission of IT Security Center (ISEC), IPA
The IT Security Center (ISEC) is the core and leading unit for promoting Japanese ITsecurity countermeasures, including diffusing and enlightening security awareness tothe Japanese citizens, providing alert information on latest security vulnerabilitiesand publishing security guidelines for enterprises and personal computer users.
Vulnerability Handling Framework
Countermeasures on Virus and Hacking
IT Security Evaluation and Certification
Cryptographic Module Testing and
Validation
Cryptography Research and
Evaluation
Security Economics Laboratory Activities
IT Security Promotion
International Collaboration
JCMVP : Japan Cryptographic Module Validation ProgramCC : Common Criteria 4Copyright © 2009, IPA all right reserved.
発表内容
5
• IPA ?• Security Activities in Japan 日本でのセキュリティ活動
• 10 Major Security Threats and Case study of Attacks targeting Vulnerabilities
10大脅威と脆弱性を突く攻撃の例
• Countermeasures 対策は
• Continuous Improvement in security 日本のセキュリティレベル向上に向けて
Copyright © 2009, IPA all right reserved.
Security Countermeasures in Japan is perfect?
How to continue this status?日本のセキュリティへの対応は十分か?今後も維持するためには。
感染率は、MSRT を 1,000 回実行するごとに駆除されるコンピューターの台数を表すComputers Cleaned per Mil (CCM) と呼ばれる測定基準を使用して表しています。MSRT(Malicious Software Removal Tool:悪意のあるソフトウェアの削除ツール)
domestic BOT infection rate is
very low感染率は
最低レベル
Distribution Map of the Number of PCs Infected by Malware per 1000 PCs2008 年下半期の国/地域ごとの感染率 During the second half of 2008
6Copyright © 2009, IPA all right reserved.
出典:マイクロソフト セキュリティ インテリジェンス レポート(最終更新日: 2009年4月9日)
http://www.microsoft.com/japan/security/contents/sir.mspx
Activity 1 : Cyber Clean CenterCooperation with public and private
・succeeded in reducing the number of computers infected by botnet malwareto 1 percent in June 2008, from 2.5 percent in April 2005ボット感染クライアントPCを2.5% (2005/4)から1% (2008/6)に削減する事に成功
・contributed to improving the detection rate of malware on users’computersby providing security vendors with samples collected by honey potsハニーポットで収集された検体を各セキュリティ対策ベンダーに提供することで、ユーザーPCのマルウェア検出率の向上にも寄与
https://www.ccc.go.jp/https://www.ccc.go.jp/en_index.html
7Copyright © 2009, IPA all right reserved.
2006.12.12 Open2006年12月12日開設
Click here to see Bot-infection
Checkprocedures.
https://www.ccc.go.jp/en_index.html
Main activities主な活動内容
・Alert promotionwith ISP
ISPと連携した注意喚起活動
・CCC Cleaner supply
ボットの駆除ツール提供
・Information for preventing infection
感染防止のための対策情報提供
Cyber Clean Center Main Activities
8Copyright © 2009, IPA all right reserved.
サイバークリーンセンターの活動概要
Critical Information Infrastructures Protection (CIIP) in Japan
Activities 2 : National Strategy on Information Security
9Copyright © 2009, IPA all right reserved.
第1次情報セキュリティ基本計画~「セキュア・ジャパン」の実現に向けて~
第2次情報セキュリティ基本計画~IT時代の力強い「個」と「社会」の確立に向けて~
情報セキュリティ国家戦略
情報共有が大切
Information Sharing / Analysis Frameworkamong CEPTOAR, NISC and IPA, etc.
10Copyright © 2009, IPA all right reserved.
情報共有と解析のフレームワーク
Activity 3 : Protect IT Systems from Vulnerability
Vulnerability Information Handling Framework“Information Security Early Warning Partnership” (From July 8. 2004 )
Security researchers, engineers, etc. 経済産業省告示
産総研AIST:National Institute of Advanced Industrial Science and Technology
11Copyright © 2009, IPA all right reserved.
脆弱性からITシステムを守る
脆弱性情報取り扱いフレームワーク
情報セキュリティ早期警戒パートナーシップ
Total number of reports exceeded 5,800 in about 5 years (3Q2004–3Q2009)Software Product 994, Website 4,832Increased about 3,000 in a recent year (4Q2008 – 3Q2009)On average, 4.56 reports a day
Reports about software products
Reports about Websites
Reports about software products (Accumulated Total)
Reports about Websites (Accumulated Total)
Num
ber of reports (for QTR
)
Accumulated Total
Vulnerability-Related Information Reported
http://www.ipa.go.jp/security/vuln/report/vuln2009q2-e.pdf
Started2004.7
12Copyright © 2009, IPA all right reserved.
脆弱性関連情報の届出
JVN(Japan Vulnerability Notes) & JVN iPedia
Vulnerability Countermeasure Information Portal Site and Database
IPAとJPCERT/CCの共同運営
13Copyright © 2009, IPA all right reserved.
脆弱性対策情報ポータルサイトとDB
JVN (Vulnerability Handling Coordination DB)Providing vulnerability countermeasure information and Japanese vendor status for reported vulnerabilities by “Information Security Early Warning Partnership”JVN iPedia (Vulnerability Archiving DB)Providing countermeasure information database for covering overall vulnerabilities MyJVNProviding vulnerability countermeasure information via machine readable interface such as Web APIs and Version Checker.
Vulnerability Countermeasure Information Portal Site and Database (Continued)
As of 3Q. 2009
14Copyright © 2009, IPA all right reserved.
脆弱性対策情報ポータルサイトとDB
SCAPへの取り組み : CVSS, CWE, CPE, OVAL etc.CVE Compatible
IPA’s Security Guidelines and Mitigation/Prevention Tools
for Vulnerability countermeasures
http://www.ipa.go.jp/security/vuln/documents/website_security_en.pdf
How to Secure Your Web Site 10 Major Security Threatshttp://www.ipa.go.jp/security/vuln/documents/10threats2009_en.pdf
Secure Programming Do you know Vulnerability?
iLogScanner Report and Inspection tester for known Vulnerabilities
of TCP/IP
Secure Critical Infrastructure Information Security Forum
Check tool for attack-evidence of SQL Injection, XSS, ・・・・
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
( Japanese only )
( Japanese only )
( Japanese only ) ( Japanese only )
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
Vulnerability Countermeasure Information Portal Site and Database
MyJVN - Version CheckerImprovement of the keeping
up-to-date environment
15Copyright © 2009, IPA all right reserved.
IPAのセキュリティガイドや脆弱性対策に向けた低減・防止ツール等
Analyzing Tool sets
Analyzing Tool sets for Malware targeting Vulnerabilities 脆弱性を突くマルウエアは、ますます複雑・巧妙になってきていて、対策のための分析を困難にしている。このためマルウエア解析ツールを開発した。
16Copyright © 2009, IPA all right reserved.
脆弱性を突くマルウエア解析ツール
発表内容
17
• IPA ?• Security Activities in Japan 日本でのセキュリティ活動
• 10 Major Security Threats and Case study of Attacks targeting Vulnerabilities
10大脅威と脆弱性を突く攻撃の例
• Countermeasures 対策は
• Continuous Improvement in security 日本のセキュリティレベル向上に向けて
Copyright © 2009, IPA all right reserved.
10 Major Security ThreatsTrend of Information Security Threats in Japan
Outline of the ProblemMajor case of the 2008 virus infection is “Virus-infection via PDF, Flash or Microsoft Office files (such as Word, Excel or Powerpoint) that are in electronic document file format”.
10大脅威 情報セキュリティ脅威の傾向
■組織への脅威【1位】 DNSキャッシュポイズニングの脅威【2位】 巧妙化する標的型攻撃【3位】 恒常化する情報漏えい■利用者への脅威【1位】 多様化するウイルスやボットの感染経路【2位】 脆弱な無線LAN暗号方式における脅威【3位】 減らないスパムメール【4位】 ユーザ ID とパスワードの使いまわしによる危険性■システム管理者・開発者への脅威【1位】 正規のウェブサイトを経由した攻撃の猛威【2位】 誘導型攻撃の顕在化【3位】 組込み製品に潜む脆弱性
18Copyright © 2009, IPA all right reserved.
Trend of Information Security Threats
Sophisticated Targeted Attacks
Exploit the vulnerability of PDF and MS Office files.
標的型攻撃は、攻撃対象を特定の組織や人に限定した攻撃である。2008年は、人間の心理・行動の隙を突くことで情報を不正に取得する「ソーシャル・エンジニアリング」の手口を利用し、ソフトウェアの脆弱性を利用したウイルスなどを配布など、攻撃手法が巧妙化した。
Targeted Attack is an attack whose target is limited to a specific organization or person. In 2008, a sophisticated attack method appeared that distributes a computer virus through the exploitation of vulnerability in software products, such as by using "Social Engineering - a technique to illicitly obtain people's personal information by exploiting an off-guard state in their mind and behavior.
PDFやMSオフィスのファイルの脆弱性が狙われる
巧妙化する標的型攻撃
19Copyright © 2009, IPA all right reserved.
Exploit the vulnerability of PDF and MS Office files.
Trend of Information Security Threats
Threats of Attacks via a Legitimate Website
As in the previous year, we also saw the spread of "Attacks via a Legitimate Website" in 2008, in which a legitimate Website is defaced and users accessing it suffer from certain damages.
2008年も正規のウェブサイトが改ざんされ、その結果、改ざんされたウェブサイトを閲覧した利用者も被害を受ける攻撃が猛威を振るっている。
PDFやMSオフィスのファイルの脆弱性が狙われる
正規のウェブサイトを経由した攻撃の猛威
20Copyright © 2009, IPA all right reserved.
Exploit the vulnerability of PDF and MS Office files.
Trend of Information Security Threats
Actualized Passive Attacks 誘導型攻撃の顕在化
脆弱な正規ウェブサーバが狙われて正規ウェブサイト上に偽りのページが表示され、そのページに利用者が誘導される形(誘導型攻撃[1])の被害が増加している。また、脆弱なソフトウェア製品を狙った誘導型攻撃も増加している。[1] このような攻撃は、受動的攻撃(Passive Attack)とも呼ばれている。
There have been an increasing number of incidents caused by "Passive Attack"[1] - an attack in which users are induced or directed to the phony Website containing false information that is created by an attacker exploiting a vulnerable legitimate Web server.[1] Passive Attacks: Attacks where the attacker induces or directs the user to perform a specific action.
PDFやMSオフィスのファイルの脆弱性が狙われる 21Copyright © 2009, IPA all right reserved.
desktop applications such as Internet Explorer, Firefox, Microsoft Office,middleware products such as web servers, application servers, databases, development/management platforms such as PHP, Java, and GNU libraries.
Increase of vulnerability for Application softwareincrease annually for application software
Each year, many new applications are developed and, since they are accompanied by new vulnerabilities, improving security measures concerning application software should be of especially high priority.
the type of products registered to JVN iPedia
22Copyright © 2009, IPA all right reserved.
アプリケーションソフトの脆弱性増加
アプリケーションソフトの脆弱性増加
発表内容
23
• IPA ?• Security Activities in Japan 日本でのセキュリティ活動
• 10 Major Security Threats and Case study of Attacks targeting Vulnerabilities
10大脅威と脆弱性を突く攻撃の例
• Countermeasures 対策は
• Continuous Improvement in security 日本のセキュリティレベル向上に向けて
Copyright © 2009, IPA all right reserved.
Motivation:動機
How to Address This Problem 問題点はFor these threats, we can apply traditional measures such as keeping up-to-date operating systems, applications, plug-ins (such as ActiveX) and virus definition files of antivirus software. この種の脅威への対策は、伝統
的なやり方、OS、アプリケーション、プラグインや定義ファイルのアップデートです。
It's simple solution, but it's difficult to keep the latest environment.
Keeping up-to-date operating systems: Easy ... Microsoft Updateapplications: Poor ... Each products provide individual methodplug-ins (such as ActiveX) : Poor … Each products provide individual method
Our motivation ... Improvement of the keeping up-to-date environment.
簡単なソリューション(やり方)ですが、いつも最新にしておくのは難しいことです。
最新の環境を保つ方法の改善が目標
24Copyright © 2009, IPA all right reserved.
Improvement of the keeping up-to-date environment
Improvement of the keeping up-to-date environmentSplitting the keeping up-to-date steps into two phase.
Step 1: Check phaseIs your PC keeping the latest version ?Step 2: Remedy phaseLet's update the applications and the plug-ins on your PC.
… MyJVN - Version Checker
… Our Next issue.
MyJVN - Version Checkersupports the check phase.
Simple and easy operation.
最新の環境を保つ方法の改善
2つのフェーズ分け
修正のフェーズ
チェックのフェーズ
アップデートしましょう
最新のバージョンですか
MyJVNバージョンチェッカはチェックのフェーズをサポート
単純・簡単な操作
25Copyright © 2009, IPA all right reserved.
Simple and easy operation
Step 1: Check phase - 2 clicksClick the Select ALL and the Start buttons.
(1) Click the Select ALL button.
単純・簡単な操作
ステップ1 : チェックフェーズ分 2クリックだけ
すべてを選択そして実行の2クリック
すべてを選択ボタンを押すと、ソフトウエア製品名のすべてにチェックが入ります。必要な製品だけを選択してチェックすることもできます。
「すべてを選択」ボタンを押す
26Copyright © 2009, IPA all right reserved.
Simple and easy operation
Step 1: Check phase - 2 clicksClick the Select ALL and the Start buttons.
(2) Click the Start button.
keeping the latest version or not
単純・簡単な操作
ステップ1 : チェックフェーズ分 2クリックだけ
すべてを選択そして実行の2クリック
「実行」ボタンを押す
「最新のバージョンです」、「最新のバージョンではありません」、「インストールされていません」の3つのチェック結果が得られます。最新のバージョンでない製品のアップデートが促されます。 27Copyright © 2009, IPA all right reserved.
Simple and easy operation
Step 2: Remedy phase - 2 clicksNavigation to the application update Website
(1) Click the details
(2) Jump to the application update Web site
単純・簡単な操作
ステップ2 : 修正フェーズ分 2クリックだけ
アプリケーションアップデートのウエブサイトへ誘導
(2)アプリケーションアップデートのウエブサイトへジャンプの2クリック
(1)チェック結果詳細の「表示」をクリックすると
28Copyright © 2009, IPA all right reserved.
Copyright © 2009, IPA all right reserved.
Microsoft Update(Windows Update)
Update JRE,pdf etc.
MyJVN - Version Checker
MyJVN - Version Checker
Keep the latest version on your PC
29各種の標準化が必要
We need to develop Standards
あなたのパソコンを最新バージョンに維持MyJVNバージョンチェッカ
マイクロソフトの製品は、マイクロソフトアップデートを使用してアップデートできます。パッチの自動更新もできます。
しかし、マイクロソフト以外のベンダの製品の対策は、ばらばらの状況。JRE、pdf、解凍ソフト等のアップデートを単純・簡単化し機械化するのがMyJVNバージョンチェッカです。
発表内容
30
• IPA ?• Security Activities in Japan 日本でのセキュリティ活動
• 10 Major Security Threats and Case study of Attacks targeting Vulnerabilities
10大脅威と脆弱性を突く攻撃の例
• Countermeasures 対策は
• Continuous Improvement in security 日本のセキュリティレベル向上に向けて
Copyright © 2009, IPA all right reserved.
出典:マイクロソフト セキュリティ インテリジェンス レポート(最終更新日: 2009年4月9日)
http://www.microsoft.com/japan/security/contents/sir.mspx
Security Countermeasures in Japan is perfect?
How to continue this status? 日本のセキュリティへの対応は十分か?今後も維持するためには。
感染率は、MSRT を 1,000 回実行するごとに駆除されるコンピューターの台数を表すComputers Cleaned per Mil (CCM) と呼ばれる測定基準を使用して表しています。MSRT(Malicious Software Removal Tool:悪意のあるソフトウェアの削除ツール)
domestic BOT infection rate is
very low感染率は
最低レベル
Distribution Map of the Number of PCs Infected by Malware per 1000 PCs2008 年下半期の国/地域ごとの感染率 During the second half of 2008
今後も維持するためには。
31Copyright © 2009, IPA all right reserved.
Information systems
Control systems
At home
Outside
Embedded systems
E-marketplace, Social system, etc.
InternetInternet of ThingsInternet of Energy
How to continue this status?Embedded systems and Control systems
今後も維持するためには?組み込みシステムと制御システムのセキュリティ対策は?
社会や経済活動の基盤はITに依存。 32Copyright © 2009, IPA all right reserved.
Around the year 2005, vulnerabilities have slowly proceeded to become published concerning embedded software products in intelligent home appliances such as network devices, mobile phones, and DVD recorders.
Increase of vulnerability for Embedded systems
the type of products registered to JVN iPedia
組込みシステムの脆弱性が増加
2005年以降、家庭内のネットワーク機器(ルータ・スイッチ)、携帯電話、DVDレコーダ等の情報家電に組み込まれるソフト製品の脆弱性が少しずつ増加してきている。
33Copyright © 2009, IPA all right reserved.
34
Potential Vulnerability in Embedded Systems/ Devices
Network environment for embedded systems/devices are improving and an increasing number of embedded systems/devices are using open source operating systems and middleware. This means that, any vulnerability in embedded system/device, as in other systems, could be exploited for an attack.
組込み製品でもネットワーク環境が整いつつあり、またOSやミドルウェアなどソフトウェアの汎用化が進んでいる。そのため、組込み製品に脆弱性があった場合、攻撃に悪用され易くなってきている。
組込み製品に潜む脆弱性
Copyright © 2009, IPA all right reserved.
Guide for Embedded Systems Security
http://www.ipa.go.jp/security/fy20/reports/emb_app/index.html
• T o Know the Current Level of your Organization : you can compare yourorganization’s “approach for IT security” with the 4 security levels defined in thisapproach and check for the current level of your organization.
• Set your Sight on a Higher Security Level:you may set your sight on a highersecurity level than you are at now. The higher the level, the more proactively theorganization is addressing IT security.
• More Secure Products:As the organization’s IT security level increase, so doesthe security level of embedded systems developed by the organization, whichwould result in more secure products.
(Japanese only)
組込みシステムセキュリティ対策のガイド
IPAでは、2006年以降情報家電や自動車の組込みシステムセキュリティやSCADA等の制御システムセキュリティの脅威や対策についての報告書を公開。組み込みシステムセキュリティ対策のガイドも公開。
35Copyright © 2009, IPA all right reserved.
IT Security CenterInformation-technology Promotion Agency, Japan
http://www.ipa.go.jp/index-e.html
2-28-8 HonkomagomeBunkyo, Tokyo 113-6591, Japan
Tel: +81-3-5878-7501Fax: +81-3-5978-7510
Thank You !
36Copyright © 2009, IPA all right reserved.