行政メールの例

I
P
A
標的型サイバー攻撃の流れと防御
組織にとって深刻な脅威となっている
攻撃の流れを
多層防御で検知、
抑止する
。 [事前調査]
ー
ターゲ、
ツトとなる組織を攻撃
する為の情報を収集
C&Cサーバ
指令
。 [初期潜入段階]
標的型メールや U
SBメモリ 、
ウェフ、
サイト閲覧を通してウイ
ルスに感染する o
事前調
4
.管理統制¥
『
，
匂
〉
、
、
、
，
I
。 [攻撃基盤構築段階]
2内
部
侵入した P
C内で Jミックドアを
作成し、 外部の C&C
サーバと
通信を行い、新たなウイルス
をダウンロードする
1
。 [システム調査段階]
情報の存在箇所特定や情
報の取得を行う 。攻撃者は
取得情報を基に新たな攻
撃を仕掛ける
。 [攻撃最終目的の遂行段階]
攻撃専用のウイルスをダウン
ロードして、攻撃を遂行する
t
、
、
ωp
内 h
t@ 2015独立行政法人情報処理推進機構
、
、
〆
、
、
、
、
、
、
ミ情報
〆ノ
、
、
〆ノ
J
、一."、ー'
、、ーー-一-ーーーーーーーーーーーーーーーーー四ー'汁7
対策の全体像(1) -入口対策
l
ρ
A
(
1)システムへの入口と経路での防御
ロファイアウオール
口最新のウイルス対策ソフト〈ネットワーク、サーバー、クライアント)
口侵入検知システム/防止システム
A
P
T
対応〉
ロサンドボックス型システム(
(
2
) 脆弱性対策
口 0
8やサーバーソフトウエアの定期的な脆弱性診断
ロウエブサイトで・使用している08
やサーバーソフトウエアに関する
臆弱性情報の、時期を逸しない収集とパッチの反映
ロウエプアプリケーションへの脆弱性の作り込みの回避
ロウエブアプリケーションファイアウオール(
W
A
F
)
(
3
) 標的型攻撃ルートでの対策
ロスパムフィルター
R
L
フィルター
口 U
口外部メディア利用規則、強制利用抑止
(
4
) 攻撃の回避および情報共有による早期検知・対応
口ユーザのリテラシーの向上〈畏、臨しのテクニツクに引っかからない〉
に報告
口異常検知時、システム管理部門 /C8IRT
C
o
p
y
r
i
g
h
t~ 2015独立行政法人情報処理推進機構
18
対策の全体像(
2)-内部対策、情報保護-
I
P
A
(
5
)ウイルス活動の検知、阻害および抑止<設計対策 >
口端末問、他部署聞のネットワーク通信の制限、
ネットワーク構成の見直し〈ウイルスの組織内蔓延抑止〉
ロネットワーク構造/設計〈重要なサーバーに対するルート制御や
ネットからの隔離〉
口組織の端末からの外部通信はプロキシを経由させる等の経路制御
口組織内ネットワーク量の監視〈異常さを早期に検知し、
ウイルスの蔓延、情報の窃取・送出を早期に発見〉
(
6
) アクセス制御<情報保護 >
口ユーザ認証
ロアクセスするプログラムの特定〈ホワイトリスト化〉
口知財等のある重要なサーバーは裏書化、隔離
(
7
)情報の暗号化
口 通 信 路 の 暗 号 化(
V
i
r
t
u
a
lP
r
i
v
a
t
eN
e
t
w
o
r
kなどの利用〉
口ファイルの暗号化
口暗号鍵管理
C
o
p
y
r
i
g
h
t~ 2015独立行政法人情報処理推進機構
1
9
対策の全体像(3) -監視、管理統制
I
P
A
(
8
) システム監視、ログ分析
ロネットワークログ取得・分析
ロサーバログ取得・分析
ロアクセスログの監査(
DB監査ツールなど含む〉
(
9
)管理統制およびコンテンジエンシープラン(事前準備・事後対応)
ロセキュリティポリシー
口海外を含むグループ会社聞でのセキュリティガパナンス
S
I
R
T (インシデント対応チーム〉
口 C
口危機対応体制の整備
それぞれの組織において、
.現状把握
・
リスク分析〈資産、脅威、脆弱性〉
・システムのライフサイクル〈拡張や更改など〉
などに基づいて、緊急対策、計画的対策を組み合わせて、
かつ、多層的なセキュリティ対策が重要となります。
C
o
p
y
r
i
g
h
t<
<
:
l2
015独立行政法人情報処理推進機構
20
紹介:標的型攻撃対策の参考資料①
l
ρ
A
• IPA
テクニカルウォッチ「標的型攻撃メールの例と見分け方」
h
t
t
p
s
:
/
/
w
w
w
.
i
p
a
.
Q
o
.
j
p
/
s
e
c
u
r
i
t
v
/
t
e
c
h
n
i
c
a
l
w
a
t
c
h
/
2
0
1
5
0
1
0
9
.
h
t
m
l
メールの見分け方
注意するときの着眼点
標的型攻撃メールの例
・ 添イ寸ファイ Jレの手重類と解説
副~!・C:riI岡市11'，~岡田市
I
P
A・
2
!
?
r
I
P
Aテクニカルウォッ チ
『極的笠攻圏
直 メー ルの僚 と見分け方』
昨年 6月以降、ダウンロードが急増!
0万件以上のダウンロード:
累計 1
-組織での教育素材に
-個人のリテラシ一向上に
ご活用下さい。
C
o
p
y
r
i
g
h
t@2
0
1
5独立行政法人情報処理推進機構
I
P
A2
2
5
0
?
?
を
空
襲
糊
甑
2
1
標的型攻撃メール訓練の目的と活用
効果を上げる方法
訓練の目的
期待する効果
I
P
A
Step1. 社員が攻撃メールの畏にひっかからなくする
Step2. 組織の感染可能性の芽を早期に摘む
Step3. 引っかかった社員を早期に発見し、初動対応をとる
Step4. 組織として、被害を低減、最終甚大被害を回避する
Step11①メールを怪しい(タイトル、送信者/アドレス e
t
c
.
)と判断したら開封しない。
Ste021②スパム(業務外)と判断すれば廃棄、怪しければシステム管理部門に報告する。
'--1③開封して、怪しければ(業務や組織を踊っている、心当りのない組織から e
t
c
.
)、
添付ファイルや記載リンクをクリックせず、システム管理部門に報告する。
システム管理部門は、分析をして、組織内ヘ注意喚起し、報告を呼びかける。
Step31
④誤って添付ファイルや記載リンクをクリックした際、表示内容が業務外で
あったり、適切な表示がなかったり、動作に違和感を覚えたら、 即座に
システム管理部門に報告し、指示を仰ぐ。
⑤システム管理部門は、当該端末の緊急措置(ネットからの隔離等)、
攻撃メールの着弾を組織内ヘ注意喚起、報告の呼びかけと、
同一攻撃メールの着信の有無と処理状況をログ(アーカイブ)等で確認する。
Step41
⑥当該端末のウイルスの駆除、可能であればウイルスの分析で得られた情報
による組織内汚染状況の検査などを実施、さらにその分析で得られた今後の
攻撃を回避するための情報を、ネットワークサーハ等に設定する。
C
o
p
y
r
i
g
h
t@ 2015 独立行政法人情報処理推進機構
22
紹介 :
標的型攻撃対策の参考資料②
「高度標的型攻撃」対策に向けたシステム設計
ガイド
I
P
A
田極圏唖霊園
ーλロ菱電さ
a
τ
.
・
.
a
向い向.輯・t:..，.-
M
t
o
s
:
/
/
w
w
w
.
i
o
a
.
Q
o
.
j
o
/
s
e
c
u
r
i
t
v
/
v
u
l
n
/
n
e
w
a
t
t
a
c
k.
h
t
m
l
-攻撃者が歩きづらいシステム設計
ーおとりアカウント、おとりサーバー(デコイ)
I
P
A2
2
1
2
?
?
t
努
.
.
"
臥
剛帽醐
攻撃者に狙われる設計・運用上の弱点、について い
のレポート
1
:
I
!
.
r
:
:
i
I
i
1
'
i
1
'
r
r
.
1
"
"
'
f
n
I
h
t
t
p
s:
//w
w
w
.
i
p
a
.
g
o
j
p/s
e
c
u
r
i
t
y
/
t
e
c
h
n
i
c
a
l
w
a
t
c
h/2
0
1
4
0
3
2
8
.
h
t
m
l
仙
...
に.創れるa
t
t.
i
I
畑 Lの・a
についてのレポート
ー 田 山 崎!
.;
¥
.
，.醐 酎 ‘
・・ 船 山 咽 ー
ー弱点を生む 10の落とし穴
I
P
A鈴2
2
t
沼零蒋j
ν安
23