Comments
Description
Transcript
情報セキュリティ - 東芝ITサービス株式会社
Toshiba IT-Services Corporation Mail Magazine 情報セキュリティ ~ 最近のインシデント状況と リスク・脅威への対策 ~ Vol . 8 はじめに はじめに 日頃より、弊社サービスをご利用頂き、誠にありがとうございます。全国的に梅雨入りし じめじめと湿気の多い時期となりました。湿気といえばカビ・・・。充分にカビ対策を行い爽 やかに初夏を向かえましょう。 さて今回は、前回に引き続き、『情報セキュリティ』にスポットをあて、最近のインシデン トや、リスク・脅威への対策についてご紹介をさせて頂きます。今回は特に昨年から話題なっ ている『標的型攻撃』を中心に話をすすめていきます。 昨年は、大手重工業メーカーをはじめとする国内企業や、政府機関への高度で執拗なサイ バー攻撃が次々と明るみに出ています。企業は、より巧妙さを増すサイバー攻撃に、どのよう に立ち向かっていけばよいでしょうか?そもそも、なぜ『標的型攻撃』は脅威なのか?どうし て防げないのでしょうか? 1 最近の主なインシデント発生状況 最近の主なインシデント発生状況 以下は、最近の主なインシデントの発生状況になります。様々な分野、様々な方法で、毎日 のように情報漏洩やセキュリティインシデントが発生しています。 2012/02/13 患者情報約35,000件含むUSBメモリを委託先が誤廃棄(某薬局) 2012/02/10 個人情報含むDVDを地下鉄車内に置き忘れ 2012/02/09 某育児情報サイト不正アクセス 会員情報約17万件が流出 2012/02/07 社内メールを外部へ誤送信、顧客情報が流出(某商工ローン業者) 2012/02/07 官庁の端末3台がウイルス感染 2012/02/02 原発関連の政府関連サイトで改ざん相次ぐ 2011/12/28 官庁へ対する不正アクセスによる個人情報漏洩が判明 2011/12/26 某レンタルブログサービス企業に不正アクセス 会員5万人が一時退会状態に 2011/12/21 某携帯電話キャリアのスマホサービスで他利用者のメルアドに置き換わる不具合 10万件に影響か 2011/12/19 顧客情報2万4000件含むCD-ROMが所在不明に(某信用金庫) 2011/12/07 往診用車両が車上荒らし被害、ノートPC盗まれる(某医院) 2011/11/28 某オンラインゲーム会社の子会社に不正アクセス 顧客情報1,320万件が流出 2011/11/21 24支店で6万3000件の本人確認資料を誤廃棄(某銀行) 2011/11/11 官庁のパソコン23台が新種ウイルスに感染 外部に情報送信 2011/11/09 顧客リストや制服などが車上荒らしで盗難(某電力会社) 2011/11/02 参院に対しても衆院同様の標的型攻撃が発生 2011/10/25 某議員のパソコンにウイルスが感染 2011/10/25 患者情報の入ったPC・USBメモリが車上荒らしで盗難(某病院) 2011/10/12 某大手企業に不正アクセス、他社アカウント情報用いた「なりすまし攻撃」 2011/09/21 個人情報約2万5000人分含むUSBメモリが盗難 2011/09/05 元委託先が顧客情報約3万5000件を不正売却か(大手通信販売メーカー) 2011/08/08 官庁PCのウイルス感染、個人情報886件が流出のおそれ 2011/05/03 大手電子機器メーカーのPC向けゲームサービスに不正アクセス 約2,460万件のアカウント情報流出の可能性 2011/04/28 大手電子機器メーカーのネットワークサービスシステムに不正侵入 日米はじめ全世界で最大7,700万人のユーザーの個人情報が流出 2011年は、国内の大手重工メーカーが情報窃取型の『標的型攻撃』を受け、特に話題となり ました。『標的型攻撃』とは、特定の企業や組織のユーザーを狙った攻撃で、実在する組織や 人、官公庁等に成りすまし、ウイルスメールを送信。名前を出し信用させる事で成功率を高め ています。それでは、『標的型攻撃』について具体的に見てみましょう。 2 メールによる標的型攻撃 メールによる標的型攻撃 『標的型攻撃』は、攻撃対象を特定の企業や組織・人に限定した攻撃です。皆さんは知人や 取引先からメールが来れば閲覧するでしょう。これは、ごく自然な事です。また、文面に怪し い要素が無ければウイルスが添付されているとは、思わないのではないでしょうか? この盲点を突いているのが、『標的型攻撃』の特徴です。この攻撃手段に対する防衛手段は、 このような事例がある事を充分認識し、自己のセキュリティ感度を高める事が重要です。 ■ 特定の企業/組織/人が狙われる標的攻撃 企業A 企業A 企業B 企業B 企業C 企業C 公開前の情報 経営戦略情報 等 ㊙ 【攻撃者】 公開されているSNSやブログの 情報から、標的を選び知人や取引 先に成りすましてウイルスを添付 したメールを単発で送りつける。 新種・亜種のウイルスに 対してはワクチンが無く ゼロディ攻撃となる 件名:取引の件 件名:取引の件 企業A ○○様 企業A ○○様 企業Bの☐☐です。 企業Bの☐☐です。 取引の件で打合せ資料を 取引の件で打合せ資料を 個別に特化した ウイルスを添付 送ります。 送ります。 添 付 3 攻撃者は、メールのタイトルを「重要なお知らせ」や「歓迎会のお知らせ」など一般的なタ イトルにし、送信するメールアドレスを社内や官公庁のドメインに詐称し一見しただけでは、 攻撃メールだと気付かれないように工夫します。あらかじめSNSやブログの情報を元に選出 した標的に対し、個別に特化させたウイルスを添付しメール送信します。 標的となった企業Aの社員は、怪しむこと無くメールを閲覧。ウイルス感染します。このウ イルスは、ウイルス検知ソフトで検出できないように作成されている為、感染している事自体 気付かない場合もあります。昨年発生した大手重工業メーカーの事例でも添付されていたファ イルは、ソフトウェアの脆弱性を利用して作成されており、アンチウイルスソフトの検出パ ターンファイルで対応できないように作成されていました。 新種や亜種のウイルス等の脆弱性が発見されても修正プログラム(セキュリティパッチ)が ダウンロードできるようになるまでには、マイクロソフトでも平均して24日かかっています。 さらにサーバーやPCに適用する事を考えると更に時間を必要とします。攻撃者は、この修正 プログラムがが適用されるまでの時間を狙っているのです。このような攻撃をゼロディ攻撃と 呼びます。 ■ ゼロディ攻撃 この間に攻撃 脆弱性発見 パッチ公開 最近では、複数の攻撃を組み合わせた新しいタイプの攻撃(APT)が発生しています。ま ず、メールやWEBサイト、USB等から脆弱性を狙い標的のPCやサーバー等のシステムに、 ウイルス等のマルウェア(悪意のあるソフトウェア/コード)を進入させます。 標的に進入したマルウェアは、更に外部の悪意あるサーバと接続し活動ウイルスをダウロー ドし進化します。 活動ウイルスをダウンロードし進化したマルウェアは、機密情報の窃取や流出、システム破 壊などの攻撃を開始します。 4 事故発生後の影響 事故発生後の影響 ひとたびサイバー攻撃の被害にあうと、企業は、どのような対応を迫られるのでしょうか? サイバー攻撃の被害を受けた場合の、企業に求められる対応と損害費用は、以下の通りとなり ます。 ■発生後の影響 行 政 : 行政指導、業務停止処分、免許剥奪、刑事責任(懲役/罰金)、損害賠償責任 社 会 : 社会的信用低下、会社イメージの失墜、マーケットシェア低下、株価下落 業 績 : 顧客からの取引停止/中止、システム停止による機会損失(指名停止など) コスト : 損害賠償費用、情報システムの対策費用、緊急調査対策費用 ■事故発生後の費用 情報漏洩の場合の損害賠償負担額 : 1社あたりの損害賠償負担額 : 1社あたりの平均被害 : 4万円 / 1人 (※1) 7,400万円 (※2) 約4.8億円 (※2) ※1 出典:NPO 日本ネットワークセキュリティ協会 2011年上半期個人情報漏えいインシデント ※2 出典:経済産業省 標的型サイバー攻撃への対応について 上記のような損害を出さないよう、少しでも「おかしいな」と思えるようなことがあれば 疑ってかかる事が重要です。情報セキュリティ感度を高めることで防ぐ事ができる被害も多い と考えます。 今回は、『標的型攻撃』を中心にご紹介いたしました。次回は、いよいよ多発するサイバー 犯罪に対する対策について紹介します。 ❏ 本資料は2012年6月現在です。本内容は予告なく変更する場合があります。 お問合せ先: 発 行 : 下記メールアドレスか、弊社営業担当者またはCSE担当者へご連絡ください [email protected] 東芝ITサービス株式会社 営業企画部 ホームページ http://www.it-serve.co.jp/ copyright (C) 2012 Toshiba IT-Services Corporation. All Rights Reserved . 5