「情報セキュリティ10大脅威2017」から読み取る最新セキュリティ傾向とその対策

2017年2月20日

NHNテコラス株式会社データホテル事業本部

セキュリティ・エンジニア香取弘徳

「情報セキュリティ10大脅威2017」から読み取る

最新セキュリティ傾向とその対策

NHN テコラス株式会社の「ITインフラ・マネージド」を担う事業部門です。

インターネットインフラを安心してご利用頂けますように、セキュリティ強化

に取組んでいます。

東京都新宿区新宿6-27-30

新宿イーストサイドスクエア 13階

https://datahotel.jp

http://www.itmedia.co.jp/author/211284/

ITmediaエンタープライズ

現場エキスパートに学ぶ実践的サイバー攻撃対策塾

DATAHOTEL で、開発業務をしています。

でも、本当は…セキュリティ・エンジニアです。

（専門はWeb セキュリティ）

香取弘徳（かとりひろのり）

【出典】情報セキュリティ10大脅威 2017：IPA 独立行政法人情報処理推進機構https://www.ipa.go.jp/security/vuln/10threats2017.html

「情報セキュリティ10大脅威2017」から読み取る

最新セキュリティ傾向とその対策

昨年順位個人順位組織昨年順位

1位インターネットバンキングやクレジットカード情報の不正利用

1位標的型攻撃による情報流出 1位

2位ランサムウェアによる被害 2位ランサムウェアによる被害 7位

3位スマートフォンやスマートフォンアプリを狙った攻撃

3位ウェブサービスからの個人情報の窃取 3位

5位ウェブサービスへの不正ログイン 4位サービス妨害攻撃によるサービスの停止 4位

4位ワンクリック請求などの不当請求 5位内部不正による情報漏えいとそれに伴う業務停止

2位

7位ウェブサービスからの個人情報の窃取 6位ウェブサイトの改ざん 5位

6位匿名によるネット上の誹謗・中傷 7位ウェブサービスへの不正ログイン 9位

8位情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化ランク外

10位インターネット上のサービスを悪用した攻撃 9位攻撃のビジネス化（アンダーグラウンドサービス）

ランク外

ランク外 IoT機器の不適切管理 10位インターネットバンキングやクレジットカード情報の不正利用

8位









2位





ランク外


8位

IDDoS

2016年9月

Krebs on Security に 620Gbps と言われる DDoS攻撃

【出典】KrebsOnSecurity Hit With Record DDoS – Krebs on Securityhttps://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

300

620

0

100

200

300

400

500

600

700

2013年

Spamhaus or CloudFlare

2016年

Krebs on Security

(Gbps)

【出典】The DDoS That Almost Broke the Internethttps://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet/

miraiLinux で動作するコンピュータを、大規模なネットワーク

攻撃の一部に利用可能な、遠隔操作できるボットにする

マルウェア

OS / ミドルウェアの脆弱性

アプリケーションの脆弱性

ITインフラの脆弱性

設定の不備

脆弱な IoT デバイス

23/TCP

Telnet で

アクセスできるとか...

1,560

1,719

1,611

1,948

3,592

2,980

2,442

1,985

1,526

1,654 1,520

1,098

0

1,000

2,000

3,000

4,000

【出典】JPCERT コーディネーションセンターインシデント報告対応四半期レポートhttps://www.jpcert.or.jp/ir/report.html

スキャン報告件数の推移（件）

脆弱IoTデバイスを探しているかも

2016年パスワード 2015年

1 123456 1

2 password 2

3 12345 5

4 12345678 3

5 football 7

6 qwerty 4

7 1234567890 12

8 1234567 9

9 princess 21

10 1234 8【出典】Worst Passwords of 2016https://www.teamsid.com/worst-passwords-2016/

脆弱なパスワード

https://si2.datahotel.jp









2位





ランク外


8位

ランサムウェア

マルウェア

不正かつ有害に動作させる意図で作成された

悪意のあるソフトウェアや悪質なコードの総称

マルウェアの一種である。これに感染した

コンピュータはシステムへのアクセスを制

限される。この制限を解除するため、被害

者はマルウェアの作者にransom（身代金）

を支払うよう要求される。

【出典】ウィキペディア日本語版 - Wikipediahttps://ja.wikipedia.org/wiki/









2位

マルウェア関係が上位に

問題の本質は侵入経路？

マルウェア３大侵入経路

• メール添付ファイル

• Drive by Downloads

• 不正なアプリケーションの

インストール

標的型攻撃メールの

添付ファイル

60%

27%

6%3% 4%

添付（圧縮）添付（非圧縮）

URLリンク添付・URLリンクなし

不明

【出典】IPA J-CRAT 標的型攻撃メールの傾向と見分け方https://www.ipa.go.jp/files/000052612.pdf

PDF

文書exe.pdf

文書fdp.exe

RLO（Right-to-Left Override）

ここから先は「右から左に読む」という unicode 制御文字

•アイコン偽装

•ファイル名偽装

60% が圧縮ファイル

添付資料.zip

展開

Drive by DownloadsWeb 閲覧者が iframe 等により、

悪意のあるWebサイトにアクセスしてしまう。

ブラウザやアドオンの脆弱性を突かれてしまう。

（Exploit）

改ざんされた

Webサイト

悪意のある

Webサイト

ユーザーの

ブラウザ

リクエスト

危険なコードを含む

レスポンス

コードを取得

危険なコード

JavaScript により

タグ生成（iframe等）

リクエスト

Drive by Downloads

不正なアプリケーションの開発

リバース

エンジニアリング

正規コード

悪性コード

リパッケージ

正規アプリケーション不正アプリケーションカメラ操作遠隔操作

…等

不正なアプリストア

不正なアプリストアから、

悪性コードアプリをダウンロードさせる。

Next-Generation Firewall

Sandbox EndpointSecurity Solutions

+ SOC

VM添付資料.zip

添付資料.zip

Sandbox

仮想マシン上でメールを開き

マルウェアと思われるものを検知

？

一点豪華主義は意味がない

何にしても、費用がかかる...

情報セキュリティ戦略に

合った投資を！

戦略戦争・闘争のはかりごと。

戦争の総合的な準備・計画・運用の方策

【出典】google 辞書

情報セキュリティ戦略

情報セキュリティの総合的な準備・計画・運用の方策

自組織の利益となる様に構築する。

ITインフラ事業者の我々の場合は...

エンドユーザーの幸せから考えてみよう。

エンドユーザーショッピングサイト運営事業者データホテルマネージドホスティング

エンドユーザーに安心・安全なお買い物をしてもらえる

ショッピングサイトのITインフラを提供する。

例.

では、ショッピングサイト運営事業者がどうであると、

エンドユーザーに安全・安心を提供できるのだろうか？

1. サイバーセキュリティ経営ガイドラインに準拠する。

2. CSIRTを設置し、活動報告を内外に示す。

3. サービス／組織内システムの多層防御を実施し、

耐性を高めること。

1.サイバーセキュリティ経営ガイドラインへの準拠

組織の共通認識にする。

経営層の把握・理解

【出典】サイバーセキュリティ経営ガイドライン（METI/経済産業省）http://www.meti.go.jp/policy/netsecurity/mng_guide.html

自組織用に最適化した

セキュリティガイドラインを作成する。

用語、システム名、責任者・担当者、

業務フローなどを具体的に記述する。

CSIRT（Computer Security Incident Response

Team、シーサート）とは、コンピュータやネットワー

ク（特にインターネット）上で何らかの問題（主にセ

キュリティ上の問題）が起きていないかどうか監視する

と共に、万が一問題が発生した場合にその原因解析や影

響範囲の調査を行ったりする組織の総称。

2. CSIRT

【出典】CSIRT - Wikipediahttps://ja.wikipedia.org/wiki/CSIRT

CSIRTが活躍するのは

インシデント発生時だけではない。

• 活動報告

• 現場の工夫

• エンドユーザーの安心・安全のための取組み

情報発信

対策 A. 検知 B. 拒否 C. 中断 D. 低下 E. 惑わす

1. 偵察攻撃者に情報を与えない Web分析 Firewall / ACL ユーザー教育虚偽の資料

2. 武器化エクスプロイトコード、

マルウェアへの対応

IDS IPS アプリ数の削減

3. デリバリマルウェアが添付された

メール、悪意のあるURL

へのアクセスを妨害

慎重なユーザープロキシ

フィルター

サンドボックス

4. エクスプロイト脆弱性を突く攻撃からの

防御

ホストIPS バッチ対策ホストIPS 最小権限

5. インストールマルウェアをインストー

ルさせない

ホストIPS アプリの

ホワイトリスト

ウイルス対策エンドポイント型

サンドボックス

6. C2 C2との通信を検知・遮断ホストIPS Firewall / ACL IPS

7. 目的の実行外部への情報の持ち出し

を妨害

ログの監視リソースのACL 通信の遮断ファイル暗号化

【出典】紙とペンで見つけていくセキュリティ対策の落とし穴 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1608/02/news013.html

３．多層防御

SEチーム

監視チーム

運用チーム

要件定義・設計・構築

アラート監視・検知

定常運用・障害対応

専用回線または、インターネットVPN

DATAHOTELマネージドホスティング

セキュリティ機器／ソリューション

DATAHOTEL IDC

サーバー

ネットワーク機器

サポートチーム

お客様サポート

専用回線または、インターネットVPNGSX-SOC

ログやアラート等、相互突合／分析

セキュリティ・アナリスト

ログ解析・アラート分析

解析・分析結果のレポートを作成

GSX-SOC 分析システム

DATAHOTEL::SI2

Cloud

Computing

各種パブリック／プライベートクラウド

ITインフラ事業者の我々の場合は...

1. サイバーセキュリティ経営ガイドラインに準拠する。

2. CSIRTを設置し、活動報告を内外に示す。

3. サービス／組織内システムの多層防御を実施し、

耐性を高めること。

お客様の情報セキュリティ戦略の

実現・運用をサポートすること。

チームとして、

一緒に取り組みましょう。

Managed & Secured

Hosting Service

DATAHOTEL::SI2

https://si2.datahotel.jp

Services

「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策

「情報セキュリティ10大脅威2017」から読み取る最新セキュリティ傾向とその対策