...

近時のセキュリティ事件の総合的考察

by user

on
Category: Documents
25

views

Report

Comments

Transcript

近時のセキュリティ事件の総合的考察
近時の情報セキュリティ事件の
総合的考察
駒澤綜合法律事務所
弁護士 高橋郁夫
(株式会社ITリサーチ・アート)
近時の情報セキュリティ事件
ケーススタディ
大手通信教育情報漏えい事件
• 株式会社BC
– 株式会社Bホールディングスの完全子会社(以下
、会社)
– 平成26年7月に個人情報漏えい事故が発覚
– 平成26年9月25日に調査報告書
調査委員会報告書の内容(1)
•
第1章 序
– 調査に至る経緯
• 6月27日-顧客からの問い合わせ
– 社長の指揮のもと、緊急対策本部を設置
– 社内調査を開始した
• 7月7日 会社からの漏えい情報であることが確認
– 危機管理本部を設置
• 調査結果
– データベースから、社外に不正に持ち出されていた事実が存在する
可能性が高い
• 7月15日 刑事告訴
• 7月17日 警視庁
• グループ会社の業務委託先の元社員M –逮捕(不正競争防止法容疑)
– 調査主体・調査の目的・報告方法・調査期間・調査方法
調査委員会報告書の内容(2)
• 第2章 調査結果
– 発生当時の情報セキュリティ
• 本件データベースおよびシンフォームの執務室
– 入退室管理規定等による管理、監視カメラの設置
• クライアントPC のセキュリティ対策
– ワイヤロック(利用場所制限)
– 認証ID/パスワードの定期的変更
– 不要なソフトのインストール制御
– URLフィルタリングツール
• 個人情報保護に関する教育
– 定期的に適切な教育
– 情報セキュリティ研修およびテスト
調査委員会報告書の内容(3)
– Mによる不正行為等
• 不正行為
– M 本件データベース内に保管されていたBC の顧客等の個
人情報を抽出
– M のクライアントPC に保存-不正行為の準備
– M 顧客等の個人情報を、USB ケーブル用いてM所有のスマ
ートフォンに転送/内蔵メモリに保存
– 顧客等の個人情報を不正に領得
– 警察の捜査により、その後、松崎は、不正に領得した個人情
報の全部又は一部を、名簿業者3 社に対して、それぞれ売
却
• 漏えいした顧客等の個人情報の件数
– 2 億1,639 万件と推定される
– 重複/同一を削除-約4858万人
調査委員会報告書の内容(4)
– 不正行為を防げなかったシステムの問題点
• 不正行為等の原因となった情報処理システム
– アラートシステム
» クライアントPCと本件データベースとの通信を本件アラートシス
テムの対象として設定する措置が講じられていなかった
– スマートフォンへの書出し制御設定
» 特定の新機種のスマートフォンを含む一部の外部メディアへの
書出しについて、書出し制御機能が機能しない状態が生じた
– アクセス権限の管理
» 業務担当者が担当する作業に必要であれば、申請受付部門
が承認しアクセス権限が付与された
– データベース内の情報管理
» 個人情報をより細分化又は階層化しグルーピングした上で、異
なるアクセス権限を設定する等の対策までは講じていなかった
調査委員会報告書の内容(5)
– 不正行為等の原因となったベネッセグループの体制/コーポレート・カルチャー
• 組織体制の問題点
– 内部者による情報漏えい等を現実に発生する可能性がある具体的なリ
スクと想定した上での、二重、三重の対策を講じるといった徹底的な体
制までは構築できていなかった
– グループ全体の統括責任者が必ずしも明確に定められていなかった/
情報セキュリティについてグループ全体で統括的に管理を行う部署が
存在しなかった。
– 頻繁な組織再編
» 従前行われていた業務が再編後の組織に承継されなかったり、各
組織間で責任・権限の所在が不明確になる
– 実効性を持った監査は行われていなかった
• 役職員の意識及びコーポレート・カルチャー
– 情報セキュリティについて相当なレベルにあると認識していた可能性
– 社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得な
いという意識
調査委員会報告書の内容(6)
– その他の情報処理システムに関する改善点
• 業務委託先の管理及びその担当者に対する審査等
– 業務委託先の担当者
» 二次委託先、三次委託先等のどの委託先に所属する従業員かと
いうシンフォームとの間の契約上の位置付け等について把握なし
» 個人情報等に広範囲にアクセスする権限を付与する場合
• 本件データベースへのアクセス・通信ログ等についてのモニタ
リング方法
– シンフォームは、本件データベースについて、業務担当者が使用するク
ライアントPC からのアクセスについて、自動的にアクセスログを記録し、
更に通信ログまで取得
– 意図的な不正行為等に対しても万全を期す場合には、上記ログに関す
る定期的で効果的なモニタリング方法を採用する余地があった
調査委員会報告書の内容(7)
•
第3章 再発防止策
– システムに関する再発防止策
• アラートシステムの設定
• 書出し制御設定
• アクセス権限の管理
• 本件データベース内の情報の管理
• その他の情報処理システムに関する改善点
– 組織体制に関する再発防止策
• 内部不正対策の基本方針の策定
• 組織上の責任の明確化
• 監視機能の組織的強化
• 個人情報に関する組織上の責任の明確化
• 情報セキュリティに関するシンフォーム(システム開発・運用のグループ会社)の独立性
の確保・向上
• 実効的な監査
• 第三者機関の設置
– 役職員の意識およびコーポレート・カルチャーに関する再発防止策
SPE事件 1
(Sony pictures Entertainment)
• Interview(SPE社が公開を予定)
– トーク番組の司会者が、金正恩(ジョンウン)朝鮮
労働党第一書記へのインタビューを許されたこと
から、始まるコメディ映画である。
事件の経緯1
– 2014年11月21日
• SPE幹部への脅迫のメール
– 同24日
• 大規模なシステム障害
– 従業員、俳優等の社会保障番
号、住所、氏名等の個人情報
、女優のパスポートの写真、多
数のパスワードも漏えい
– 映画出演のギャラの実際の数
字、インタビューに対する内部
での評価も漏洩
– 未公開作品を含む映画5本が
、漏えい
経緯2
• 同12月5日
– 「Sony Picturesは崩壊する」電子メール
• 同13日
– 従業員に対してプライバシーの公開を行う
• 16日
– ギフトであるとして、インタビューの映画を上映する映画
館に対して911テロを思い出せ
– 上映を予定していた映画館は、上映をとりやめるところ
が相次
• 同18日-予定-プレミアは、中止
アクティブ防衛(?)
• 報道ベース
– 盗まれたデータを流出するサイトにDDoS攻撃
– 流出したデータの読み込みを遅くするような対応
オバマ大統領の発言(12月21日
http://edition.cnn.com/2014/12/21/politics/obama-to-doeverything-i-can-to-close-gitmo/index.html
)
• 映画の上映中止は、適切
ではない
•
行為
北朝鮮が、一連の攻撃をな
している
• 攻撃が、多大な損害を引き
起こしており
結果
• 「私たちは、これに応じて(
proportionately)対応する、
私たちの選択する時と場所
に応じて、対抗する」
法的
効果
president of the Harvard Law Review
対抗措置
– 被害を被っている国家が違法な行為の中止を求め、あるいは救済を確
保するために、武力行使にいたらない範囲で相手国に対してとりうる措
置
• 種類
– 「復仇」違法な行為による対抗
– 「報復」それ自身は違法ではない行為により対抗
外交
インテリ
ジェンス
軍事的
政策
法
経済
日本年金機構情報漏えい事件(1)
• 日本年金機構「不正アクセスによる情報流出事案に関する
調査結果報告」
• サイバーセキュリティ戦略本部「日本年金機構における個人
情報流出事案に関する原因究明調査結果」
• 日本年金機構における不正アクセスによる情報流出事案検
証委員会「検証報告書
日本年金機構情報漏えい事件(2)
• 機構が2015年5月8日から5月20日にかけて何者からか4度
にわたる標的型メールによる攻撃を受け、約125万件の年金
情報が流出したというもの
• 巧妙に細工された「標的型攻撃」
– APT攻撃(Advanced persistent threat)
– もともとは、中国関係のものが行った執拗な標的型攻撃
日本年金機構情報漏えい事件(3)
• 4度にわたる標的型電子メール
– 5月8日 不審メールⅠ
• 件名 「厚生年金基金制度の見直しについて」
• 公開メールアドレス (2つ)
• リンク 商用オンラインストレージ
– 5月18日 不審メールⅡ
• 件名 「給付研究委員会オープンセミナーのご案内」
• 非公開の個人メールアドレス(121名)
• 添付ファイル 給付研究委員会オープンセミナーのご案内.lzh
– 5月18日-19 不審メールⅢ
•
件名 「厚生年金徴収関係研修資料」
• 非公開の個人メールアドレス
• 添付ファイル 厚生年金徴収関係研修資料料(150331厚生年金徴収支援G).lzh(
• リンク 商用オンラインストレージ(4)
– 5月18日 不審メールⅣ
• 件名 【医療費通知
• 公開のメールアドレス
• 添付ファイル医療費通知のお知らせ.lzh
日本年金機構情報漏えい事件(4)
• キャンペーンとしての攻撃 (キル・チェーン 攻撃のシークエンス)
– 4月22日 厚労省年金局・地方厚生局を対象
• 職員の端末が感染
• C&Cサーバに対する不正な通信が発生
• NISCから通達を受け厚労省がURLブロックをなした
– 5月8日 (第一段階)
• 受信した機構職員1名が開封
• リンクをクリック、外部との不審な通信が開始
• Lanケーブルを抜線 不審な通信の停止(4時間は、継続)
– 5月18日-19(第二段階)
• 機構職員のうち3名がメールを開封
• 通信先C&Cサーバへの通信がブロックされており、被害は防止されたものと考え
られる。
– 5月20日(第三段階)
• 機構職員のうち1名がメールを開封/使用端末がマルウエアに感染
• C&Cサーバとの通信の確立に成功
• 感染端末/ディレクトリサーバの管理者権限が窃取
• 共有フォルダに保管されていた大量の受給者等の個人情報が窃取/外部流出
日本年金機構情報漏えい事件(5)
• 流出した情報
– 職員が共有フォルダに保管していた情報の一部
• 「基礎年金番号」「氏名」「生年月日」「住所」の4情報 5・2万円
• 「住所」を除く3情報116・7万件
• 「基礎年金番号」「氏名」2情報 約3・1万件
– 保管?
• 機構は年金情報をオフラインの基幹系システム「社会保険オンラインシステム」で
管理しているが、2010年9月以降、DVDなどで個人情報を機構LANシステムにコピ
ーしていた。その際、内規に反してパスワードをかけていないデータが約55万件
あった。
根本原因
• セキュリティ体制
– 機構・厚労省ともに標的型攻撃に対する認識が
不足
– 事前の人的体制と技術的な対応が不十分
• インシデント発生後
– 情報や危機感の共有がない
• (機構と厚労省、同一組織間の各部署、機構と運用委
託会社など)
特効薬はあるのか?
• 「わが社の出口対策キットを購入いただけれ
ば、完璧」?
• 現実は、
– 「基本に帰ろう(Back to basics)」
• 敵を知ろう(リスク分析)
• トレーニングの重視-マネジメントの脆弱性発見の糸口
– 情報共有
• インセンティブの設計
情報共有の意義
• キャンペーンという一定の目的のための継続
的な活動であれば、その活動のポイントを知
ることが重要
– 「敵を知り己を知れば..」(孫子)
– どのような脆弱性が悪用されているのか、誰が、
どのような動機から
サイバー「キャンペーン」
• キャンペーン
– 一連の活動を示す
– APT攻撃については、以下のような一連の動きを
示すことが一般的な理解
① 偵察
② 武器化
③ 配送
④ 攻撃
⑤ インス
トール
⑥ (C2)
(遠隔制御)
⑦ 実行
情報共有の分類
ピアー
(Peer)型
• 特定の目的について共同の利害を有するものが集まって
お互いに情報を交換・共有
• 情報共有分析センター(ISAC)
営利型
• 営利企業がサイバー脅威情報を収集・分析し、それを有
料のメンバーと共有
• iDefense、Symantec、McAfee、Mandiant、Arbor Network
政府型
• コミュニティが政府によって設立・維持されている
• 防衛産業ベース (DIB)、協調情報共有環境(DCISE)
情報共有のメリット
分析(Analyzing Cyber Threats)
パターンの特定(Specifying Indicator Patterns for Cyber
Threats)
対応行動の管理(Managing Cyber Threat Response
Activities)(予防・探知・対応)
サイバー脅威情報の共有(Sharing Cyber Threat
Information)
Spectrum of Cyber Attack
武力攻撃事態
武力攻撃
武力の
行使
緊急対処
事態
Cyber Warfare
重要インフラ
への損害
Cyber
Intelligence/
経済的
terrorism
動機
Cyber crime
組織犯罪
国家
nature
トレーニングの目的/
アプローチ
• 防止
• 脆弱性の減少
• 損害の最小化/回復
実際のやり方を考えてみよう
• TTX(テーブルトップエクササイズ)
•
•
あなたが総務を担当する取締役だとして以下の問題について考えてみよう。
1.1 ○月x日
•
あなたの会社のカスタマー担当者のところに、あなたの会社にしか明らかにして
いない子供の名前で、他の会社から連絡が来ているという苦情が相次いでいる。
–
–
(1)この場合、どのようなことが問題になるのか。
(2)あなたならば、どうするか。
•
○月(x+1)日
•
経済誌の記者というものから「情報漏えい対応の件で、取材をしたい」という連
絡がきた。担当の取締役と話をしたいと指名されたうえに、会う場所を指定してき
た。
–
–
•
(1)この場合、どのようなことが問題になるのか。
(2)あなたならば、どうするか。
(以下、○月(x+10)日などと続く)
ご質問は
• 2F駒澤綜合法律事務所
• 4 株式会社ITリサーチ・
アート
• [email protected]
Fly UP