...

情報セキュリティ - 東芝ITサービス株式会社

by user

on
Category: Documents
18

views

Report

Comments

Transcript

情報セキュリティ - 東芝ITサービス株式会社
Toshiba IT-Services Corporation Mail Magazine
情報セキュリティ
~ 最近のインシデント状況と
リスク・脅威への対策 ~
Vol . 8
はじめに
はじめに
日頃より、弊社サービスをご利用頂き、誠にありがとうございます。全国的に梅雨入りし
じめじめと湿気の多い時期となりました。湿気といえばカビ・・・。充分にカビ対策を行い爽
やかに初夏を向かえましょう。
さて今回は、前回に引き続き、『情報セキュリティ』にスポットをあて、最近のインシデン
トや、リスク・脅威への対策についてご紹介をさせて頂きます。今回は特に昨年から話題なっ
ている『標的型攻撃』を中心に話をすすめていきます。
昨年は、大手重工業メーカーをはじめとする国内企業や、政府機関への高度で執拗なサイ
バー攻撃が次々と明るみに出ています。企業は、より巧妙さを増すサイバー攻撃に、どのよう
に立ち向かっていけばよいでしょうか?そもそも、なぜ『標的型攻撃』は脅威なのか?どうし
て防げないのでしょうか?
1
最近の主なインシデント発生状況
最近の主なインシデント発生状況
以下は、最近の主なインシデントの発生状況になります。様々な分野、様々な方法で、毎日
のように情報漏洩やセキュリティインシデントが発生しています。
2012/02/13 患者情報約35,000件含むUSBメモリを委託先が誤廃棄(某薬局)
2012/02/10 個人情報含むDVDを地下鉄車内に置き忘れ
2012/02/09 某育児情報サイト不正アクセス 会員情報約17万件が流出
2012/02/07 社内メールを外部へ誤送信、顧客情報が流出(某商工ローン業者)
2012/02/07 官庁の端末3台がウイルス感染
2012/02/02 原発関連の政府関連サイトで改ざん相次ぐ
2011/12/28 官庁へ対する不正アクセスによる個人情報漏洩が判明
2011/12/26 某レンタルブログサービス企業に不正アクセス 会員5万人が一時退会状態に
2011/12/21 某携帯電話キャリアのスマホサービスで他利用者のメルアドに置き換わる不具合
10万件に影響か
2011/12/19 顧客情報2万4000件含むCD-ROMが所在不明に(某信用金庫)
2011/12/07 往診用車両が車上荒らし被害、ノートPC盗まれる(某医院)
2011/11/28 某オンラインゲーム会社の子会社に不正アクセス 顧客情報1,320万件が流出
2011/11/21 24支店で6万3000件の本人確認資料を誤廃棄(某銀行)
2011/11/11 官庁のパソコン23台が新種ウイルスに感染
外部に情報送信
2011/11/09 顧客リストや制服などが車上荒らしで盗難(某電力会社)
2011/11/02 参院に対しても衆院同様の標的型攻撃が発生
2011/10/25 某議員のパソコンにウイルスが感染
2011/10/25 患者情報の入ったPC・USBメモリが車上荒らしで盗難(某病院)
2011/10/12 某大手企業に不正アクセス、他社アカウント情報用いた「なりすまし攻撃」
2011/09/21 個人情報約2万5000人分含むUSBメモリが盗難
2011/09/05 元委託先が顧客情報約3万5000件を不正売却か(大手通信販売メーカー)
2011/08/08 官庁PCのウイルス感染、個人情報886件が流出のおそれ
2011/05/03 大手電子機器メーカーのPC向けゲームサービスに不正アクセス
約2,460万件のアカウント情報流出の可能性
2011/04/28 大手電子機器メーカーのネットワークサービスシステムに不正侵入
日米はじめ全世界で最大7,700万人のユーザーの個人情報が流出
2011年は、国内の大手重工メーカーが情報窃取型の『標的型攻撃』を受け、特に話題となり
ました。『標的型攻撃』とは、特定の企業や組織のユーザーを狙った攻撃で、実在する組織や
人、官公庁等に成りすまし、ウイルスメールを送信。名前を出し信用させる事で成功率を高め
ています。それでは、『標的型攻撃』について具体的に見てみましょう。
2
メールによる標的型攻撃
メールによる標的型攻撃
『標的型攻撃』は、攻撃対象を特定の企業や組織・人に限定した攻撃です。皆さんは知人や
取引先からメールが来れば閲覧するでしょう。これは、ごく自然な事です。また、文面に怪し
い要素が無ければウイルスが添付されているとは、思わないのではないでしょうか?
この盲点を突いているのが、『標的型攻撃』の特徴です。この攻撃手段に対する防衛手段は、
このような事例がある事を充分認識し、自己のセキュリティ感度を高める事が重要です。
■
特定の企業/組織/人が狙われる標的攻撃
企業A
企業A
企業B
企業B
企業C
企業C
公開前の情報
経営戦略情報 等
㊙
【攻撃者】
公開されているSNSやブログの
情報から、標的を選び知人や取引
先に成りすましてウイルスを添付
したメールを単発で送りつける。
新種・亜種のウイルスに
対してはワクチンが無く
ゼロディ攻撃となる
件名:取引の件
件名:取引の件
企業A ○○様
企業A ○○様
企業Bの☐☐です。
企業Bの☐☐です。
取引の件で打合せ資料を
取引の件で打合せ資料を
個別に特化した
ウイルスを添付
送ります。
送ります。
添 付
3
攻撃者は、メールのタイトルを「重要なお知らせ」や「歓迎会のお知らせ」など一般的なタ
イトルにし、送信するメールアドレスを社内や官公庁のドメインに詐称し一見しただけでは、
攻撃メールだと気付かれないように工夫します。あらかじめSNSやブログの情報を元に選出
した標的に対し、個別に特化させたウイルスを添付しメール送信します。
標的となった企業Aの社員は、怪しむこと無くメールを閲覧。ウイルス感染します。このウ
イルスは、ウイルス検知ソフトで検出できないように作成されている為、感染している事自体
気付かない場合もあります。昨年発生した大手重工業メーカーの事例でも添付されていたファ
イルは、ソフトウェアの脆弱性を利用して作成されており、アンチウイルスソフトの検出パ
ターンファイルで対応できないように作成されていました。
新種や亜種のウイルス等の脆弱性が発見されても修正プログラム(セキュリティパッチ)が
ダウンロードできるようになるまでには、マイクロソフトでも平均して24日かかっています。
さらにサーバーやPCに適用する事を考えると更に時間を必要とします。攻撃者は、この修正
プログラムがが適用されるまでの時間を狙っているのです。このような攻撃をゼロディ攻撃と
呼びます。
■
ゼロディ攻撃
この間に攻撃
脆弱性発見
パッチ公開
最近では、複数の攻撃を組み合わせた新しいタイプの攻撃(APT)が発生しています。ま
ず、メールやWEBサイト、USB等から脆弱性を狙い標的のPCやサーバー等のシステムに、
ウイルス等のマルウェア(悪意のあるソフトウェア/コード)を進入させます。
標的に進入したマルウェアは、更に外部の悪意あるサーバと接続し活動ウイルスをダウロー
ドし進化します。
活動ウイルスをダウンロードし進化したマルウェアは、機密情報の窃取や流出、システム破
壊などの攻撃を開始します。
4
事故発生後の影響
事故発生後の影響
ひとたびサイバー攻撃の被害にあうと、企業は、どのような対応を迫られるのでしょうか?
サイバー攻撃の被害を受けた場合の、企業に求められる対応と損害費用は、以下の通りとなり
ます。
■発生後の影響
行 政
:
行政指導、業務停止処分、免許剥奪、刑事責任(懲役/罰金)、損害賠償責任
社
会
:
社会的信用低下、会社イメージの失墜、マーケットシェア低下、株価下落
業
績
:
顧客からの取引停止/中止、システム停止による機会損失(指名停止など)
コスト
:
損害賠償費用、情報システムの対策費用、緊急調査対策費用
■事故発生後の費用
情報漏洩の場合の損害賠償負担額
:
1社あたりの損害賠償負担額
:
1社あたりの平均被害
:
4万円 /
1人
(※1)
7,400万円
(※2)
約4.8億円 (※2)
※1
出典:NPO 日本ネットワークセキュリティ協会 2011年上半期個人情報漏えいインシデント
※2
出典:経済産業省 標的型サイバー攻撃への対応について
上記のような損害を出さないよう、少しでも「おかしいな」と思えるようなことがあれば
疑ってかかる事が重要です。情報セキュリティ感度を高めることで防ぐ事ができる被害も多い
と考えます。
今回は、『標的型攻撃』を中心にご紹介いたしました。次回は、いよいよ多発するサイバー
犯罪に対する対策について紹介します。
❏
本資料は2012年6月現在です。本内容は予告なく変更する場合があります。
お問合せ先:
発
行 :
下記メールアドレスか、弊社営業担当者またはCSE担当者へご連絡ください
[email protected]
東芝ITサービス株式会社 営業企画部
ホームページ http://www.it-serve.co.jp/
copyright (C) 2012
Toshiba IT-Services Corporation. All Rights Reserved .
5
Fly UP