5分で振り返られない情報セキュリティ白書2019 / info-sec-hakusyo-2019-by-over-5min

Transcript

1. 5分で振り返られない 情報セキュリティ白書2019 @kitkatayama 片山 和朗 2019年8月24日(土) FGNエンジニアMeetup vol.2

2. 5分で振り返られない情報セキュリティ白書2019 @kitkatayama 無職 片山 和朗 カタヤマ カズオ 2019/8/24 2 ※情報処理安全確保支援士しか使えない

   あまり使われてないロゴマーク About

3. 5分で振り返られない情報セキュリティ白書2019 5分で話すこと • 注意 • 統計的な話が主です。「ふーん」と思ってくれると嬉しいです。 • 話すこと • 情報セキュリティ白書2019とは

   • 2018年度の情報セキュリティの概況 2019/8/24 3

4. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ白書2019とは 2019/8/24 4 https://www.ipa.go.jp/security/publications/hakusyo/2019.html 情報セキュリティ白書2019 -

5. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ白書2019とは 2019/8/24 5 （世の中はCVEを始め英語資料ばかりだし） 2018年度のセキュリティを振り返りましょう （日本語資料で）

6. 5分で振り返られない情報セキュリティ白書2019 2018年度の情報セキュリティの概況 2019/8/24 6 「情報セキュリティ白書2019」p.7 https://www.itmedia.co.jp/news/articles/ 1808/08/news090.html https://www.itmedia.co.jp/news/article s/1908/09/news053.html

7. 5分で振り返られない情報セキュリティ白書2019 2018年度の情報セキュリティの概況 2019/8/24 7 「情報セキュリティ白書2019」p.7 https://techtarget.itmedia.co.jp/tt/news/ 1902/20/news08.html https://japan.zdnet.com/article/35132 132/

8. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 8 順位 個人 昨年 1位 クレジットカード情報の不正利用

   1位※ 2位 フィッシングによる個人情報等の詐取 1位 3位 不正アプリによるスマートフォン利用者への被害 4位 4位 メール等を使った脅迫・詐欺の手口による金銭要求 NEW 5位 ネット上の誹謗・中傷・デマ 3位 6位 偽警告によるインターネット詐欺 10位 7位 インターネットバンキングの不正利用 1位 8位 インターネットサービスへの不正ログイン 5位 9位 ランサムウェアによる被害 2位 10位 IoT 機器の不適切な管理 9位 （*）クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレ ジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、 ③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。 https://www.ipa.go.jp/security/vuln/10threats2019.html 情報セキュリティ10大脅威 2019 -

9. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 9 順位 組織 昨年 1位 標的型攻撃による被害

   1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 6位 サービス妨害攻撃によるサービスの停止 9位 7位 インターネットサービスからの個人情報の窃取 6位 8位 IoT機器の脆弱性の顕在化 7位 9位 脆弱性対策情報の公開に伴う悪用増加 4位 10位 不注意による情報漏えい 12位 https://www.ipa.go.jp/security/vuln/10threats2019.html 情報セキュリティ10大脅威 2019 -

10. 情報セキュリティ10大脅威 2019 - 5分で振り返られない情報セキュリティ白書2019 情報セキュリティ10大脅威 2019 2019/8/24 10 順位 組織

    昨年 1位 標的型攻撃による被害 1位 2位 ビジネスメール詐欺による被害 3位 3位 ランサムウェアによる被害 2位 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW 5位 内部不正による情報漏えい 8位 6位 サービス妨害攻撃によるサービスの停止 9位 7位 インターネットサービスからの個人情報の窃取 6位 8位 IoT機器の脆弱性の顕在化 7位 9位 脆弱性対策情報の公開に伴う悪用増加 4位 10位 不注意による情報漏えい 12位 https://www.ipa.go.jp/security/vuln/10threats2019.html https://www.itmedia.co.jp/enterprise/articles/1 811/28/news082.html npmパッケージの依存性(”event-stream”等) を利用した攻撃 https://internet.watch.impress.co.jp/docs/news/ 1176553.html 自動アップデートサーバーを 利用した攻撃

11. 5分で振り返られない情報セキュリティ白書2019 世界における情報セキュリティインシデント状況 2019/8/24 11 「情報セキュリティ白書2019」pp.8-10 なりすましは CEO、取締役、社長といった 職位の高い人のメールに注意 フィッシングサイトは ピークを越えたとはいえ

    フィッシングサイトは依然健在

12. 5分で振り返られない情報セキュリティ白書2019 国内における情報セキュリティインシデント状況 2019/8/24 12 「情報セキュリティ白書2019」p.12 Webサイト改ざんは 昨年より横ばい、全体として減少傾向 フィッシング詐欺は昨年より倍増、 金融機関狙いからEコマース狙いに

13. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 2019/8/24 13 アンケート ビジネス用途でメールは使用していますか？

14. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 「情報セキュリティ白書2019」pp.14-24 • 標的型攻撃 • なりすましメールと正規のオンラインストレージ サービスを組み合わせた標的型攻撃 • OneDrive、Dropbox等を利用することでURLのフィ

    ルタリングがかからない • LNK ファイルを悪用する手口 • cmd, powershellを使ったファイルレス攻撃 • ビジネスメール詐欺（BEC） • 取締役、弁護士等を装った高度な自作自演 • 「詐称用ドメイン」に注意 2019/8/24 14

15. 5分で振り返られない情報セキュリティ白書2019 情報セキュリティインシデント別の手口と対策 「情報セキュリティ白書2019」pp.14-24 • 標的型攻撃 • なりすましメールと正規のオンラインストレージ サービスを組み合わせた標的型攻撃 • OneDrive、Dropbox等を利用することでURLのフィ

    ルタリングがかからない • LNK ファイルを悪用する手口 • cmd, powershellを使ったファイルレス攻撃 • ビジネスメール詐欺（BEC） • 取締役、弁護士等を装った高度な自作自演 • 「詐称用ドメイン」に注意 2019/8/24 15 また、トレンドマイクロ社の「ビジネスメール詐欺に関する実態調査 2018」（調 査対象：日本在住の法人組織の情報セキュリティ・社内IT・経理責任者ら1,030 人）によると、調査対象全体の約4 割（39.4％）がビジネスメール詐欺の攻撃を受 けた経験があり、送金依頼メール受信者（253 人）のうち8.7％（22 人）が、実際 に騙されて送金していたという。 2018年「法人」を狙う三大脅威：仮想通貨流出とビジネスメール詐欺から考える今後の対策 https://blog.trendmicro.co.jp/archives/20196

16. 5分で振り返られない情報セキュリティ白書2019 情報システムの脆弱性の動向 「情報セキュリティ白書2019」pp.45 2019/8/24 16 • 2018年は1万件超 • 脆弱性情報の件数は2011年より年々増加 •

    2017年以降はNVD から公開される 脆弱性対策情報の件数が増加 • CVEの採番期間になる認定基準が緩和 （2016/12時点 47社→ 2018/12 93社）

17. 5分で振り返られない情報セキュリティ白書2019 情報システムの脆弱性の動向 「情報セキュリティ白書2019」pp.46 2019/8/24 17 クロスサイト・スクリプティングが首位 (注記) レベルⅢ:リ モートからシステムを完全に制御されるような場合や大部分の情報が漏え いするような脅威等。

    レベルⅡ:一部の情報が漏えいするような場合やサービス停止につながるような脅威等。 レベルⅠ:攻撃するために複雑な条件を必要とする脅威等。 5件中1件は危険、引き続き警戒を

18. 5分で振り返られない情報セキュリティ白書2019 例：JVN iPediaでのKubernetesの検索結果 2019/8/24 18 2018年度は10件、危険に分類されるものは2件 https://jvndb.jvn.jp/

19. 5分で振り返られない情報セキュリティ白書2019 早期警戒パートナーシップの届出状況から見る脆弱性の動向 2019/8/24 19 「情報セキュリティ白書2019」pp.48 減少傾向ではあるものの、 1営業日に1件は脆弱なWebサイトが見つかっている IPAから通知があった場合は 早めの対応をお願いします

20. 5分で振り返られない情報セキュリティ白書2019 早期警戒パートナーシップの届出状況から見る脆弱性の動向 2019/8/24 20 情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版 p.1 - https://www.ipa.go.jp/security/ciadr/partnership_guide.html 参考: 情報セキュリティ早期警戒パートナーシップとは

21. 5分で振り返られない情報セキュリティ白書2019 5分で話したこと、話さなかったこと 2019/8/24 21 • 話したこと • 情報セキュリティ白書2019とは • 2018年度の情報セキュリティの概況

    • 話さなかったこと • 国内外の情報セキュリティ政策の状況 • 情報セキュリティ人材の現状と育成 • 組織・個人における情報セキュリティの取り組み • 安全な政府調達に向けて • 制御システムの情報セキュリティ • IoTの情報セキュリティ • AIのトラストとセキュリティ • スマートフォンの情報セキュリティ

22. 5分で振り返られない情報セキュリティ白書2019 5分で話したこと、話さなかったこと 2019/8/24 22 • 話したこと • 情報セキュリティ白書2019とは • 2018年度の情報セキュリティの概況

    • 話さなかったこと • 国内外の情報セキュリティ政策の状況 • 情報セキュリティ人材の現状と育成 • 組織・個人における情報セキュリティの取り組み • 安全な政府調達に向けて • 制御システムの情報セキュリティ • IoTの情報セキュリティ • AIのトラストとセキュリティ • スマートフォンの情報セキュリティ 全体で200ページ以上あるものなので 興味のある部分だけでも・・・ 無料です！！