大学における 最新の情報セキュリティ脅威事例 -...
TRANSCRIPT
![Page 1: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/1.jpg)
独立行政法人 情報処理推進機構 (IPA)
セキュリティセンター
情報セキュリィ技術ラボラトリー
大学における最新の情報セキュリティ脅威事例
1
![Page 2: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/2.jpg)
Copyright © 2009, IPA all right reserved.
目次
大学における最新の情報セキュリティ脅威事例
情報セキュリティ10大脅威1. 情報セキュリティ10大脅威とは2. 情報セキュリティ10大脅威の解説
脆弱性対策促進に向けた各種施策紹介
2
![Page 3: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/3.jpg)
多様化するリスク
Copyright © 2009, IPA all right reserved. 3
![Page 4: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/4.jpg)
情報セキュリティ早期警戒パートナーシップ(脆弱性関連情報の届出制度)
直近1年間の届出が急増。
2008年8月以降、DNSキャッシュポイズニングの届出が多くを占める。
クロスサイト・スクリプティングやSQLインジェクションの届出も
4
![Page 5: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/5.jpg)
大学関係への脆弱性情報の届出/対応状況
大学(関係組織含む)への届出が増加。累計168件。
組織数は、102組織。
XSS、SQLI、DNSキャッシュポイズニングで9割を占める。
脆弱性対応中案件 93 件。攻撃を受ける前に対応を。
5
![Page 6: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/6.jpg)
大学におけるセキュリティインシデント事例 その1
フィッシングの踏み台
日付 インシデント事例
2007年3月19日 A大学のある研究室のウェブサイトに、フィッシング詐欺目的の偽サイトが構築されていた。偽サイトは、米国のWells Fargo銀行をかたるもの。
同銀行のログイン画面に見せかけたウェブページを用意し、ユーザ名やパスワードなどを入力させて盗むのが狙い。典型的なフィッシング詐欺である。不正侵入により偽サイトを構築された可能性がある。
2007年10月22日 B大学のウェブサイトが不正アクセスを受け、フィッシング詐欺サイトが設置された。21日深夜に海外のインターネット決済サービス会社から同大学に連絡メールがあり、
個人情報と財務情報を収集するための偽サイトが開設されているとして、閉鎖するよう要請された。同大学では翌朝にサーバを停止し、ウェブサイトへのアクセスを遮断した。
2008年4月27日 C大学にあるウェブサーバが外部より不正アクセスを受け、海外のインターネット決済サービス会社を装ったフィッシング詐欺サイトが開設された。26日に海外の決済サービス会社が同大に対し、不正サイトの閉鎖を要請するメールを送信。翌27日、同大で不正サイトの設置を確認した。問題判明後にウェブサーバへのアクセスを遮断した。
6
【以下に挙げる事例は全てニュースサイトからの情報】
![Page 7: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/7.jpg)
大学におけるセキュリティインシデント事例 その2
不正アクセス
日付 インシデント事例
2009年4月3日 D大学は、一部サーバが不正アクセスを受けたおそれがあるとして、調査を進めた。同大によれば、留学生課のサーバが、ネットワーク経由で不正アクセスを受けたもので、一部データが削除されたという。
内部犯行
日付 インシデント事例
2004年6月2日 E大学の職員男性を不正アクセス禁止法違反容疑で逮捕した。男性は、昨年後半に同大学のサーバへ自宅から不正アクセスを行い、掲示板の改ざんや消去、電子メールの盗聴などを行っていた。男性は、同大学の情報メディアセンターにてシステム管理者を努めていたが、セキュリティ不備により配置変更され、そのことを不満に思っていたという。
2009年6月30日 F大学のブログを書き換えたとして、警視庁○○署は電子計算機損壊等業務妨害の疑いで、ブログを書く立場ではない同大職員を逮捕した。2008年8月12日~18日頃までの間、自宅のパソコンから同大のブログにアクセスし、ブログのタイトルを「【緊急】8/30、31のオープンキャンパスは中止になりました-F大学生惨殺の哀悼のため」と書き換えたとしている。書き込み直前の昨年7月下旬には、同大4年の女子学生がアルバイト先の○○市内の書店で刺殺される通り魔事件が起きていた。 7
![Page 8: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/8.jpg)
大学におけるセキュリティインシデント事例 その3
設定ミス
日付 インシデント事例
2008年10月29日 G大学は、卒業生や大学院修了生428人分の氏名、生年月日、卒業後の進路など個人情報がネット上に流出していたことを明らかにした。ファイアウォールの設定ミスが原因だという。
同大によれば、ファイアウォールの設定ミスにより、大量の内部資料がインターネット上へ流出したもので、10月29日に卒業生から指摘を受け、問題が発覚した。不正利用の報告などはないという。
2008年8月19日 H大学の教員が私的に利用していたレンタルサーバから、学生505人の氏名、学籍番号、成績評価などの個人情報が流出していたことがわかった。同教員が非常勤講師を務める I 大学の学生49人の情報も含まれる。
同教員が個人的に利用しているレンタルサーバ内のデータが外部から閲覧できる状態となり、サーバに格納されていた担当科目の成績情報などに対して外部から閲覧されていたという。8月19日に流出を指摘するメールが教員に届き判明した。
8
![Page 9: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/9.jpg)
大学におけるセキュリティインシデント事例 その4
ウイルス感染
日付 インシデント事例
2007年10月23日 J大学病院の患者127人分や○○病院の患者68人分について、患者の氏名や病名などの情報がファイル交換ソフト「Winny」経由でインターネット上に流出したことがわかった。
流出したデータは、現在J大学大学院医歯薬学総合研究科の大学院生が、研修医時代に自宅の私用パソコンで作成したもので、ウイルス感染をきっかけにインストールされていたファイル交換ソフト「Winny」を通じて外部に流出したと見られている。10月23日にJ大学病院へ外部から指摘があり判明した。
紛失
日付 インシデント事例
2009年2月13日 K大学の○○学科の女性准教授が、学生72人分の氏名と学籍番号、29人分の成績の点数が保存されたUSBメモリを紛失した問題で、同大は13日、USBメモリが発見さ
れたと発表した。パスワードもかかったままで情報流出の可能性はないとみられるという。同大では「申し訳ない。情報管理を徹底する」とした。
9
![Page 10: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/10.jpg)
情報セキュリティ10大脅威~ 攻撃手法の『多様化』が進む ~
1. 情報セキュリティ10大脅威とは
2. 情報セキュリティ10大脅威の解説
10
![Page 11: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/11.jpg)
1. 情報セキュリティ10大脅威とは
2008年にIPAへ届けられたウイルス・不正アクセス・脆弱性に関する情報や、一般に公開された情報を、「情報セキュリティ検討会」で精査
社会的影響の大きさから情報セキュリティ上の“10大脅威”を選考
利用者・管理者・開発者のそれぞれから見た脅威を分析、今後の対策を記述
11
次の URL からダウンロードできます。http://www.ipa.go.jp/security/vuln/10threats2009.html
![Page 12: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/12.jpg)
2. 情報セキュリティ10大脅威の解説
12
組織への脅威【1 位】 DNSキャッシュポイズニングの脅威【2 位】巧妙化する標的型攻撃【3 位】恒常化する情報漏えい
利用者への脅威【1 位】多様化するウイルスやボットの感染経路【2 位】脆弱な無線LAN暗号方式における脅威【3 位】減らないスパムメール【4 位】ユーザ ID とパスワードの使いまわしによる危険性
システム管理者・開発者への脅威【1 位】正規のウェブサイトを経由した攻撃の猛威【2 位】誘導型攻撃の顕在化【3 位】組込み製品に潜む脆弱性
攻撃手法の「多様化」が進む
大学関係で考慮すべき脅威を紹介
![Page 13: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/13.jpg)
13
組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
DNS キャッシュポイズニング
DNSサーバの情報が偽の情報に書き換えられると、正しいメールアドレスを指定しても、偽のメールサーバに誘導されてしまう。ウェブページの場合は偽のウェブサーバに誘導されてしまう。
example.jp
example.jp
攻撃者
本来のexample.jp
偽の example.jp
一般利用者
example.jpのIPアドレスを改ざん
![Page 14: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/14.jpg)
14
組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
2008年7月 Dan Kaminsky 氏が新たな攻撃手法を発見し、顕著となった脆弱性が原因
米国のISPが運営する DNS サーバが攻撃され、本来辿りつくべきウェブサイトとは異なるウェブサイトに誘導される被害が発生
DNS:DNS(Domain Name System)は、ホスト名(例:www.ipa.go.jp)とIPアドレス(例:202.229.63.242)とを結び付ける情報を提供する仕組み
![Page 15: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/15.jpg)
15
組織への脅威
【1位】 DNSキャッシュポイズニングの脅威
各ベンダから公表されている対策は、あくまで
暫定的な対策
IPA: DNSキャッシュポイズニング対策http://www.ipa.go.jp/security/vuln/DNS_security.html
根本的な対策方法は、インターネット関連技術
の標準化を進めるIETF(Internet Engineering Task Force)などで議論されている
システム管理者は本問題の被害を軽減するため、DNS関連ソフトウェアを対策版へバージョンアップした上で、ファイアウォールやDNSの設定による対策を行う
![Page 16: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/16.jpg)
16
組織への脅威
【2位】巧妙化する標的型攻撃
標的型攻撃の事例
From ●● 広報 <[email protected]>題名 ●●からのプレスリリースのお知らせ
プレスリリース(詳細) (72kb)
▼▼▼社 営業部各位。
お世話になっております。●●の■■です。
日頃より●●をご愛顧頂きありがとうございます。
●●はX月X日に、新商品として次の製品をリリースいたしました。詳しくは、添付のファイルをご覧下さい。
・△ △ △ △ △ △・◇ ◇ ◇ ◇ ◇ ◇
発信元を信頼ある組織に偽装
実際の組織のウェブページの公表内容等を元に偽装
文章を開くと感染するウイルスを添付
攻撃の例
メールソフトウェア
![Page 17: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/17.jpg)
17
組織への脅威
【2位】巧妙化する標的型攻撃
対象を特定の組織や人に限定した攻撃
ソーシャル・エンジニアリングの手口により、攻撃であることに気づきにくいことが最大の脅威
信頼ある取引先や人物からのメールとして差出人を偽装されている
信ぴょう性の高い内容
メールに添付されている文書ファイルや圧縮ファイルには、脆弱性を悪用するウイルスが仕込まれていることがある
![Page 18: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/18.jpg)
18
組織への脅威
【2位】巧妙化する標的型攻撃
標的型攻撃の特徴
⑦情報窃取
無差別型攻撃
攻撃手法と対策の難しさ
標的型攻撃
![Page 19: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/19.jpg)
感染予防策利用者のOS、アプリケーションソフトを常に最新の状態にさせておく
ウイルス対策ソフトのウイルス定義ファイルを常に最新に維持し、定期的にスキャンを実施
標的型攻撃に関する情報収集と組織内への周知徹底
19
組織への脅威
【2位】巧妙化する標的型攻撃
二次被害の防止策不要な外向けTCPポートを閉じる
HTTP/HTTPSアクセスをプロキシサーバ経由に限定する
![Page 20: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/20.jpg)
20
組織への脅威
【3位】恒常化する情報漏えい
メール等の誤送信
記録媒体等の紛失・盗難
内部不正行為
ウイルス・ワーム
情報漏えいの様々な原因
ファイル交換ソフト
紙媒体の紛失・盗難
![Page 21: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/21.jpg)
21
組織への脅威
【3位】恒常化する情報漏えい
出典:NPO日本ネットワークセキュリティ協会 - 「2008年上半期 情報漏えいインシデント報告書 速報版Ver1.1」
http://www.jnsa.org/result/2008/pol/incident/
![Page 22: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/22.jpg)
流出した情報は回収できない!
22
組織への脅威
【3位】恒常化する情報漏えい
![Page 23: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/23.jpg)
漏洩させない為のルール作り従業員の意識向上がキモ
23
組織への脅威
【3位】恒常化する情報漏えい
情報資産へのアクセス制限および管理「いつ」、「誰が」、「どの権限」でアクセスしたかが調べられる仕組みも有効
情報を持ち出す場合には、「暗号化」が必須条件
「電子政府推奨暗号リスト」に掲載されている暗号アルゴリズムを推奨
![Page 24: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/24.jpg)
24
利用者への脅威
【3位】減らないスパムメール
スパムメールをめぐる攻防のいろいろ
送信側
受信側
ブラックリスト
コンテンツフィルタ
画像文書ファイル
送信ドメイン認証
○○○.com = OK!△△△.com = NG!
ホワイトリスト
グレイリスト
ボットネット
差出人偽装
OP25B
第三者中継
統計的フィルタ
![Page 25: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/25.jpg)
【参考】OP25B(Outbound Port25 Blocking)の仕組み
ISP会員ISPネットワーク網
ISPメールサーバ
送信先メールサーバ
外部のメールサーバ
25番ポート
受信者
悪意あるユーザ
25
(送信側)
(送信側)
(受信側)
利用者への脅威
【3位】減らないスパムメール
![Page 26: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/26.jpg)
【参考】 SPF(Sender Policy Framework)の仕組み
(a) 電子メールソフトから電子メールを送信する。(b) メールサーバは送信先ドメインに対応するメールサーバへ配送する。(c) 受信したメールサーバは、送信元のメールアドレスのドメイン(example.com)に
対しSPFリソースレコードを問い合わせる。(d) 送信元のメールアドレスのドメイン(example.com)のDNS*サーバは、登録された
メールサーバのIPアドレスを回答する。(e) SMTPの接続元IPアドレスと、(d)で得たIPアドレスを比較し、同一であれば正規の
メールサーバと判断する。
DNS*
サーバ
メールサーバ
メールサーバ
(c)SPFリソースレコード
(a) (b)
(d)
(e)
example.comexample.com に
偽装しても送れない
受信者送信者
26
悪意あるユーザ
利用者への脅威
【3位】減らないスパムメール
![Page 27: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/27.jpg)
システム管理者向け対策メールサーバのログ管理(特にエラーメール)
メールサーバが不正なメール中継可能な設定になっていないかの定期的な確認
スパムメール対策アプライアンスの利用
27
利用者への脅威
【3位】減らないスパムメール
一般利用者向け対策
スパムメールフィルタや、プロバイダが提供するフィルタリングサービスの利用
![Page 28: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/28.jpg)
28
システム管理者・開発者への脅威
【1位】正規のウェブサイトを経由した攻撃の猛威
正規ウェブサイトを改ざんして利用者が攻撃される
○○○○○○○○
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
http://△△△.or.jp/
http://▼▼▼.ne.jp/
http://○○○.co.jp/
![Page 29: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/29.jpg)
29
システム管理者・開発者への脅威
【1位】正規のウェブサイトを経由した攻撃の猛威
DB(データベース)と連携したウェブサイトが一般的となっている一方、SQLインジェクション対策が不十分であるウェブサイトが依然として減っていない
SQLインジェクション攻撃が行われると・・
ウェブサイトで稼働しているDB内部の情報を盗まれたり、改ざんされたり、消去されたりするさらに踏み台としてウェブサイトを悪用されてしまうまたはウェブサイトの一部にウイルスを仕込むように改ざんされ、そのウェブサイトを閲覧したユーザをウイルスに感染させる。このような改ざんは目には見えない手法で行われ、この攻撃手法が主流となり被害が拡大しているこれらの攻撃を自動的に行うツールがインターネット上で流通しており、誰でも比較的容易に入手が可能な状況
![Page 30: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/30.jpg)
システム管理者・開発者への脅威
【1位】正規のウェブサイトを経由した攻撃の猛威
ウェブサイトの脆弱性対策新規開発:企画設計から運用を見据えたセキュリティ対策
組織内PCの保護OS、ブラウザ、利用ソフトウェア製品の脆弱性解消
定期的なウェブアプリケーション検査および問題点解消IDS/IPS や WAF の利用、リアルタイム監視
ウイルス対策ソフトのウイルス定義ファイルを常に最新に維持し、定期的にスキャンを実施ブラウザのセキュリティ設定を高めに(通常はスクリプトを止める)スパムメールフィルタの導入URL フィルターの導入
30
![Page 31: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/31.jpg)
脆弱性対策促進に向けた各種施策紹介
31
![Page 32: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/32.jpg)
IPAセキュリティセンターの活動とは
普及対策
調査普及啓発組込みシステムセキュリティ、バイオメトリクス中小企業のセキュリティ対策
情報セキュリティ対策ベンチマーク(http://www.ipa.go.jp/security/benchmark/index.html)
ウイルス・不正アクセス対策
ウイルス・不正アクセスの届出・相談受付「今月の呼びかけ」等の情報提供
セキュリティの第3者認証
脆弱性対策脆弱性関連情報の届出受付・分析攻撃手法等の収集・分析脆弱性情報の提供 JVN (http://jvn.jp/)
調査・社会経済分析意識調査、被害実態調査情報セキュリティ関連の社会経済的分析情報セキュリティ白書
国際協力・貢献
ITセキュリティ評価・認証制度(コモンクライテリア)
暗号モジュール試験認証制度(JCMVP)
世界の情報セキュリティ機関との連携安全性技術の国際標準化活動
32
![Page 33: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/33.jpg)
IPAが取り組んでいる脆弱性対策
促進施策を、
1.脆弱性を作りこまない、
2.安全に運営する、
3.問題有無を確認する、
という3つの視点から紹介します。
IPAが取り組んでいる脆弱性対策促進施策
33
![Page 34: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/34.jpg)
1.脆弱性を作りこまない
セキュリティを確保したウェブアプリケーションの開発や
ウェブサイトの構築にはセキュリティ(脆弱性)の知識が必要
脅威の仕組みや問題の原因を正しく理解する。「知っていますか?脆弱性(ぜいじゃくせい)」
安全なプログラムを作成するためのマナーを身に付ける。「セキュア・プログラミング講座」
失敗から学ぶ。「安全なウェブサイトの作り方」
セキュリティの脅威を学ぶ。「10大脅威 攻撃手法の『多様化』が進む」
「DNSキャッシュポイズニングの脆弱性」の対策を促進。「DNSキャッシュポイズニング対策」
34
![Page 35: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/35.jpg)
知っていますか?脆弱性 (ぜいじゃくせい)http://www.ipa.go.jp/security/vuln/vuln_contents/index.html
脅威の仕組みや問題の原因を
正しく理解する。
ウェブサイト運営者やソフトウェア製品開発者や一般利用者向け
ウェブサイトにおける代表的な10種類の脆弱性について、アニメーションでわかりやすく解説
アクセス数2007年7月 ~ 2009年6月の2年間で23万7535件(就業日1日平均約500件)
35
![Page 36: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/36.jpg)
セキュア・プログラミング講座http://www.ipa.go.jp/security/awareness/vendor/programmingv2/
安全なプログラムを作成する
ためのマナーを身に付ける。
安全なプログラムについて要求定義や設計段階からの対策について記載
WEBアプリケーション編
C/C++言語編
36
![Page 37: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/37.jpg)
安全なウェブサイトの作り方http://www.ipa.go.jp/security/vuln/websecurity.html
失敗から学ぶ。
IPAに届出られた脆弱性関連情報をもとに、対策をまとめたガイド
脆弱性ごとに解説と「根本的解決」「保険的対策」を記載
「失敗例」について記載
ウェブセキュリティの実装状況のチェックリストつき
ダウンロード数初版からの累計で、130万件
IPA ヒット商品!
37
![Page 38: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/38.jpg)
10大脅威 攻撃手法の『多様化』が進むhttp://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf
ダウンロード数初版からの累計で、約7万件
組織への脅威【1 位】 DNSキャッシュポイズニングの脅威【2 位】巧妙化する標的型攻撃【3 位】恒常化する情報漏えい
利用者への脅威【1 位】多様化するウイルスやボットの感染経路【2 位】脆弱な無線LAN暗号方式における脅威【3 位】減らないスパムメール【4 位】ユーザ ID とパスワードの使いまわしによる
危険性
システム管理者・開発者への脅威【1 位】正規のウェブサイトを経由した攻撃の猛威【2 位】誘導型攻撃の顕在化【3 位】組込み製品に潜む脆弱性
38
![Page 39: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/39.jpg)
DNSキャッシュポイズニング対策http://www.ipa.go.jp/security/vuln/websecurity.html
第1章 DNSキャッシュポイズニング1.1 DNSの仕組み1.2 DNSキャッシュポイズニング
第2章 DNSの動作と関連ツール2.1 DNSの動作概説2.2 whoisサービス2.3 nslookupコマンド2.4 まとめ
第3章 検査ツールの使い方と注意点3.1 Cross-Pollination Check 3.2 DNS-OARC Randomness Test (Web版)3.3 DNS-OARC Randomness Test (コマンドライン版)3.4 まとめ
第4章 再帰問合せ設定4.1 BIND DNSサーバでの対策4.2 Windows DNSサーバでの対策4.3 まとめ
ダウンロード数 約5万件 39
![Page 40: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/40.jpg)
2.安全に運営する
脆弱性は日々発見されるため、脆弱性情報を継続的に入手し、
ソフトウェアの更新や問題の回避が必要
事件や事故が発生した場合の被害を想定し、事前に対策を
準備することが必要
日頃から情報収集に心がける。「脆弱性対策情報ポータルサイト & データベース」
具体的な事件を体験する。「安全なウェブサイト運営入門」
脆弱性が発見された際の対応。「ウェブサイト運営者のための脆弱性対応ガイド」
生体認証活用による安全な運用環境の確保。
「生体認証システムの導入・運用事例集」他40
![Page 41: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/41.jpg)
脆弱性対策情報ポータルサイト & データベースhttp://jvn.jp/ http://jvndb.jvn.jp/
JVN 日頃から情報収集に心がける。
JVNhttp://jvn.jp/製品開発者と調整した脆弱性対策情報をタイムリーに公開
JVN iPediahttp://jvndb.jvn.jp/国内で利用されている製品を対象にした脆弱性対策情報を網羅し蓄積
JVN iPedia
JVN iPediaアクセス数 月間 40 万件登録数 2009年6月末 6,666件
41
![Page 42: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/42.jpg)
安全なウェブサイト運営入門http://www.ipa.go.jp/security/vuln/7incidents/index.html
プレイヤーが主人公として7つのセキュリティ事件を題材に、ロールプレイング形式で体験し、対応する。
ダウンロード数2008年6月 ~ 2009年6月の約1年間で、2万2150件(就業日1日平均約90件)
7つのインシデント1. 電子メールの誤送信2. クロスサイト・スクリプティング3. SSLサーバ証明書の期限切れ4. ウイルス感染5. サービス運用妨害6. セッション管理の不備7. SQLインジェクション
42
![Page 43: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/43.jpg)
ウェブサイト運営者のための脆弱性対応ガイドhttp://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf
ウェブサイトで脆弱性が発見されたら?
ウェブサイト運営者に向けて、ウェブサイトの脆弱性がもたらすトラブルや必要な対策の概要、さらにウェブサイト運営者による脆弱性対応の望ましい手順を紹介。
脆弱性や修正に関する基本的な知識。
脆弱性を放置することの問題。
外部から脆弱性の存在を指摘された場合どうするべきか。
具体的な脆弱性の確認・修正の作業手順、など
ダウンロード数 22,586件(2008年2月28日公開)43
![Page 44: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/44.jpg)
「生体認証システムの導入・運用事例集」他
• 各種啓発資料の作成
– 生体認証利用のしおり:
• 生体認証を使っていなかったり,不安がある利用者にむけた資料
– 生体認証導入・運用のためのガイドライン:
• 生体認証システムを管理する管理者にむけた資料
– 生体認証システムの導入・運用事例集:
• これから生体認証を導入するシステム構築者にむけた資料
• 生体認証に係る脆弱性についての報告書の公開
• 生体認証製品情報を収集したデータベース作成
生体認証利用のしおり(2007年19日公開)
生体認証導入・運用のためのガイドライン(2007年12月公開現在改訂作業中)生体認証システムの
導入・運用事例集(2008年8月公開現在改訂作業中)
今後の活動
今後も国内外に関する生体認証のセキュリティに係る事例の調査や脆弱性に関する情報を収集していく。それらの結果を一般利用者やシステム管理者にむけた啓発資料として取りまとめていく。
![Page 45: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/45.jpg)
3.問題有無を確認する
セキュリティに関する作業を手作業で行なうと、設定ミスや
管理者のセキュリティ知識の程度や判断の相違などにより
セキュリティ要件を損なう可能性大
⇒ 脆弱性対策に関わる処理の機械化の推進
ウェブサイトへの危険な攻撃と思われる痕跡を確認する。「iLogScanner(ウェブサイトの脆弱性検出ツール)」
製品視点から脆弱性対策情報を選別する。「MyJVN脆弱性対策情報収集ツール」
ソフトウェアのバージョンが最新であるかを確認する。「MyJVNバージョンチェッカ」
45
![Page 46: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/46.jpg)
iLogScanner(ウェブサイトの脆弱性検出ツール)http://www.ipa.go.jp/security/vuln/iLogScanner/
ウェブサイトへの危険な攻撃と
思われる痕跡を確認する。
ウェブサイトのアクセスログを解析し、攻撃痕跡の確認が可能
一部の痕跡に関しては、攻撃が成功した可能性を確認可能
ただし、攻撃と思われる痕跡を全て網羅し、確実に検出するものではない。誤検出もあり得る。
アクセス数 約3万件(累計)46
![Page 47: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/47.jpg)
MyJVN脆弱性対策情報収集ツールhttp://jvndb.jvn.jp/apis/myjvn/mjcheck.html
製品視点から脆弱性対策
情報を選別する。
JVN iPedia の情報を、利用者が更に効率的に活用できるように、製品視点のフィルタリング条件設定機能を有した脆弱性対策情報収集ツール
常に、利用者に関係する製品視点の脆弱性対策情報のみの表示
アクセス数2008年10月公開から10万2千件
47
![Page 48: 大学における 最新の情報セキュリティ脅威事例 - IPA独立行政法人情報処理推進機構(IPA) セキュリティセンター 情報セキュリィ技術ラボラトリー](https://reader036.vdocuments.pub/reader036/viewer/2022081405/5f0ca55a7e708231d436700a/html5/thumbnails/48.jpg)
MyJVNバージョンチェッカ
ソフトウェアのバージョンが
最新であるかを確認する。
利用者のPCにインストールされているアプリケーションソフトウェアのバージョンが最新であるかを、簡単な操作で確認するツール
バージョンが最新であるかどうかのチェックリストを手作業ではなく、機械的に確認
現在、準備中(2009年11月予定)
48