...

~標的型サイバー攻撃(従業員編)~

by user

on
Category: Documents
18

views

Report

Comments

Transcript

~標的型サイバー攻撃(従業員編)~
映像で知る情報セキュリティ
~標的型サイバー攻撃(従業員編)~
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
Copyright © 2016 独立行政法人 情報処理推進機構
映像で知る情報セキュリティ
 情報セキュリティに関する様々な脅威と対策を10分
程度のドラマで分かりやすく解説した映像コンテン
ツ12タイトルをDVDで提供中です。
 YouTube「IPAチャンネル」では19タイトルを
いつでも試聴できます。
Copyright © 2016 独立行政法人 情報処理推進機構
2
映像で知る情報セキュリティ
社内研修用教材
主な対象
主に組織内の情報セキュリティ教育担当者、PマークやISMSの事務局担当者、コンプライ
アンス部門担当者、その他情報セキュリティの最新状況を入門的に理解したい方
概要
IPAが制作した情報セキュリティ啓発映像とプレゼン資料を活用して組織内の情報セキュ
リティ教育を行う方法を学ぶ。各テーマについて10分程度の映像を上映し、セキュリティ
上の脅威と対策についてポイントを絞った解説を行う。受講者が組織に持ち帰り、メン
バーの情報セキュリティ意識と対策知識に向けた教育を行えることを目指した実践的コー
ス。
コース
一覧
映像① 「ウイルスはあなたのビジネスもプライベートも狙っている!」
映像② 「あなたの組織が狙われている!-標的型攻撃 その脅威と対策-」
映像③ 「大丈夫?あなたのスマートフォン-安心・安全のためのセキュリティ-」
映像④ 「あなたのスマートフォン、ウイルスが狙っている!」
映像⑤ 「今 制御システムも狙われている! -情報セキュリティの必要性-」
映像⑥ 「3つのかばん -新入社員が知るべき情報漏えいの脅威-」
映像⑦ 「あなたの書き込みは世界中から見られている -適切なSNS利用の心得-」
映像⑧「情報を漏らしたのは誰だ?-内部不正と情報漏えい対策-」
※各コース30分程度
Copyright © 2016 独立行政法人 情報処理推進機構
3
サンプルスケジュール
1. 映像を上映します
0分
映像
10分
2. 映像を振り返りながら解説資料を
使って解説します
解説
15分
30分
Q&A
5分
Copyright © 2016 独立行政法人 情報処理推進機構
3. 質疑応答の時間をとります
4
映像で知る情報セキュリティ
標的型サイバー攻撃(従業員編)
セキュリティコンサルタントの田口を招き
サイバー攻撃の模擬訓練を実施するA社。
田口が繰り出す標的型メールに社員は次々とかかり・・・
手口の具体例から対策を学びます。
Copyright © 2016 独立行政法人 情報処理推進機構
5
映像をご覧ください
Copyright © 2016 独立行政法人 情報処理推進機構
6
標的型サイバー攻撃メールの手口(1)
Copyright © 2016 独立行政法人 情報処理推進機構
7
標的型サイバー攻撃メールの手口(2)
Copyright © 2016 独立行政法人 情報処理推進機構
8
標的型サイバー攻撃メールの手口
メール種別割合
悪意のある添付ファイルやURLリンクからの誘導が多い
Copyright © 2016 独立行政法人 情報処理推進機構
9
標的型サイバー攻撃メールの手口
添付ファイル種別割合
拡張子の例)
マクロ機能を悪用
exe、scr、cpl
には要注意
Copyright © 2016 独立行政法人 情報処理推進機構
10
標的型サイバー攻撃メールの手口
送信元メールアドレスの種類
国内外のフリーメールアドレスを使う割合が高い
Copyright © 2016 独立行政法人 情報処理推進機構
11
メールを見分けるポイント(1)
《着眼点》
①日本語の言い回しが不自然である。
②日本語では使用されない漢字(繁体字、簡体字)が使用されている。
⇒日本語を理解していない攻撃者が自動翻訳ソフトを利用し作成している場合がある。
Copyright © 2016 独立行政法人 情報処理推進機構
12
メールを見分けるポイント(2)
《着眼点》
業務の発注メールにも関わらず、差出人がフリーアドレスである。
⇒業務でフリーメールアドレスを使用することは少ない
Copyright © 2016 独立行政法人 情報処理推進機構
13
メールを見分けるポイント(3)
《着眼点》
①差出人のメールアドレスと本文に記載された署名のメールアドレスが一致しない。
②rar圧縮形式は国内で使用されることは少ない。
Copyright © 2016 独立行政法人 情報処理推進機構
14
メールを見分けるポイント(4)
《着眼点》
①実在する名称を一部に含むURLが記載されている。
②HTMLメールの場合は、記載されているURLと実際にクリックした際に表示
されるWebページのURLが異なる場合があるので注意。
Copyright © 2016 独立行政法人 情報処理推進機構
15
対策の基本
① ソフトウェアを最新に保つ


OSやアプリケーションの脆弱性の解消
Adobe Flash Player、Adobe Reader、Oracle JAVA(JRE)など
② ウイルス対策ソフトを導入、定義ファイルも常に最新
の状態に



新種のウイルスが日々増加している
(推奨)ウイルス定義ファイルの自動更新設定
ウイルス対策ソフトは万能薬ではない、過信は禁物
③ 添付ファイルを安易に開かない。本文中のURLを安
直にクリックしない

アイコンや拡張子の偽装に注意
Copyright © 2016 独立行政法人 情報処理推進機構
16
参考資料
 対策のしおり
「標的型攻撃メール<危険回避>対策のしおり」
https://www.ipa.go.jp/security/antivirus/shiori.html
 IPAテクニカルウォッチ
「標的型攻撃メールの例と見分け方」
https://www.ipa.go.jp/security/technicalwatch/20150109.html
 サイバー情報共有イニシアティブ(J-CSIP)
2014年度活動レポート(2015年5月)
http://www.ipa.go.jp/security/J-CSIP/index.html
Copyright © 2016 独立行政法人 情報処理推進機構
17
《中小企業対象》
講習能力養成セミナーのご案内
情報セキュリティ対策を実施・支援する担当者に必要な実践的な
知識を学んで頂くために全国30ヵ所でセミナーを開催します。
【開催予定】
【プログラム】
日程
開催地
7/6
千葉県船橋市
7/12
宮崎県宮崎市
7/20
鹿児島県鹿児島市
7/28
大阪府大阪市
8/5
北海道札幌市
8/23
長野県長野市
8/31
奈良県奈良市
9/1
沖縄県宜野湾市
※申込は、各団体のWebページより行ってください。
Copyright © 2016 独立行政法人 情報処理推進機構
13:00 開会、主催者挨拶
<第一部>
13:10
「10大脅威」や「映像で知る情報セ
▼
キュリティ」を用いた講習会の組立
14:40
て方や効果的な進め方を学びます。
<第二部>
14:50
セキュリティ関連ガイドラインやマ
▼
イナンバー安全管理措置について、
16:20
事例を交えた解説をします。
16:20 <各種案内>
▼
講習会を開催される際の各種支援
16:30 策等をご案内します。
16:30 閉会
18
新試験はじまる!
情報セキュリティマネジメント試験
情報セキュリティの基礎知識から管理能力まで、
組織の情報セキュリティ確保に貢献し、脅威から
継続的に組織を守るための基本的スキルを認定する試験
◆受験をお勧めする方◆
・個人情報を扱う全ての方
・業務部門・管理部門で
情報管理を担当する全ての方
◆28年度秋期試験実施時期◆
初回応募者
約2万3千人!!
Copyright © 2016 独立行政法人 情報処理推進機構
・実施日 2016年10月16日(日)
・申込受付 2016年7月11日(月)から
19
ITパスポート公式キャラクター
上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき
ITに関する基礎的な知識が証明できる国家試験です。
Copyright © 2016 独立行政法人 情報処理推進機構
20
Copyright © 2016 独立行政法人 情報処理推進機構
21
Fly UP