$30 off During Our Annual Pro Sale. View Details »

5分で振り返られない情報セキュリティ白書2019 / info-sec-hakusyo-2019-by-over-5min

5分で振り返られない情報セキュリティ白書2019 / info-sec-hakusyo-2019-by-over-5min

「5分で振り返られない情報セキュリティ白書2019」

「FGNエンジニアMeetup vol.2」の資料です。
https://fgn.connpass.com/event/138373/

Kazuo KATAYAMA

August 24, 2019
Tweet

More Decks by Kazuo KATAYAMA

Other Decks in Technology

Transcript

  1. 5分で振り返られない
    情報セキュリティ白書2019
    @kitkatayama 片山 和朗
    2019年8月24日(土)
    FGNエンジニアMeetup vol.2

    View Slide

  2. 5分で振り返られない情報セキュリティ白書2019
    @kitkatayama
    無職
    片山 和朗
    カタヤマ カズオ
    2019/8/24 2
    ※情報処理安全確保支援士しか使えない
    あまり使われてないロゴマーク
    About

    View Slide

  3. 5分で振り返られない情報セキュリティ白書2019
    5分で話すこと
    • 注意
    • 統計的な話が主です。「ふーん」と思ってくれると嬉しいです。
    • 話すこと
    • 情報セキュリティ白書2019とは
    • 2018年度の情報セキュリティの概況
    2019/8/24 3

    View Slide

  4. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティ白書2019とは
    2019/8/24 4
    https://www.ipa.go.jp/security/publications/hakusyo/2019.html
    情報セキュリティ白書2019 -

    View Slide

  5. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティ白書2019とは
    2019/8/24 5
    (世の中はCVEを始め英語資料ばかりだし)
    2018年度のセキュリティを振り返りましょう
    (日本語資料で)

    View Slide

  6. 5分で振り返られない情報セキュリティ白書2019
    2018年度の情報セキュリティの概況
    2019/8/24 6
    「情報セキュリティ白書2019」p.7
    https://www.itmedia.co.jp/news/articles/
    1808/08/news090.html
    https://www.itmedia.co.jp/news/article
    s/1908/09/news053.html

    View Slide

  7. 5分で振り返られない情報セキュリティ白書2019
    2018年度の情報セキュリティの概況
    2019/8/24 7
    「情報セキュリティ白書2019」p.7
    https://techtarget.itmedia.co.jp/tt/news/
    1902/20/news08.html
    https://japan.zdnet.com/article/35132
    132/

    View Slide

  8. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティ10大脅威 2019
    2019/8/24 8
    順位 個人 昨年
    1位 クレジットカード情報の不正利用 1位※
    2位 フィッシングによる個人情報等の詐取 1位
    3位 不正アプリによるスマートフォン利用者への被害 4位
    4位 メール等を使った脅迫・詐欺の手口による金銭要求 NEW
    5位 ネット上の誹謗・中傷・デマ 3位
    6位 偽警告によるインターネット詐欺 10位
    7位 インターネットバンキングの不正利用 1位
    8位 インターネットサービスへの不正ログイン 5位
    9位 ランサムウェアによる被害 2位
    10位 IoT 機器の不適切な管理 9位
    (*)クレジットカード被害の増加とフィッシング手口の多様化に鑑み、2018年個人1位の「インターネットバンキングやクレ
    ジットカード情報等の不正利用」を本年から、①インターネットバンキングの不正利用、②クレジットカード情報の不正利用、
    ③仮想通貨交換所を狙った攻撃、④仮想通貨採掘に加担させる手口、⑤フィッシングによる個人情報等の詐取、に分割。
    https://www.ipa.go.jp/security/vuln/10threats2019.html
    情報セキュリティ10大脅威 2019 -

    View Slide

  9. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティ10大脅威 2019
    2019/8/24 9
    順位 組織 昨年
    1位 標的型攻撃による被害 1位
    2位 ビジネスメール詐欺による被害 3位
    3位 ランサムウェアによる被害 2位
    4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
    5位 内部不正による情報漏えい 8位
    6位 サービス妨害攻撃によるサービスの停止 9位
    7位 インターネットサービスからの個人情報の窃取 6位
    8位 IoT機器の脆弱性の顕在化 7位
    9位 脆弱性対策情報の公開に伴う悪用増加 4位
    10位 不注意による情報漏えい 12位
    https://www.ipa.go.jp/security/vuln/10threats2019.html
    情報セキュリティ10大脅威 2019 -

    View Slide

  10. 情報セキュリティ10大脅威 2019 -
    5分で振り返られない情報セキュリティ白書2019
    情報セキュリティ10大脅威 2019
    2019/8/24 10
    順位 組織 昨年
    1位 標的型攻撃による被害 1位
    2位 ビジネスメール詐欺による被害 3位
    3位 ランサムウェアによる被害 2位
    4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
    5位 内部不正による情報漏えい 8位
    6位 サービス妨害攻撃によるサービスの停止 9位
    7位 インターネットサービスからの個人情報の窃取 6位
    8位 IoT機器の脆弱性の顕在化 7位
    9位 脆弱性対策情報の公開に伴う悪用増加 4位
    10位 不注意による情報漏えい 12位
    https://www.ipa.go.jp/security/vuln/10threats2019.html
    https://www.itmedia.co.jp/enterprise/articles/1
    811/28/news082.html
    npmパッケージの依存性(”event-stream”等)
    を利用した攻撃
    https://internet.watch.impress.co.jp/docs/news/
    1176553.html
    自動アップデートサーバーを
    利用した攻撃

    View Slide

  11. 5分で振り返られない情報セキュリティ白書2019
    世界における情報セキュリティインシデント状況
    2019/8/24 11
    「情報セキュリティ白書2019」pp.8-10
    なりすましは
    CEO、取締役、社長といった
    職位の高い人のメールに注意
    フィッシングサイトは
    ピークを越えたとはいえ
    フィッシングサイトは依然健在

    View Slide

  12. 5分で振り返られない情報セキュリティ白書2019
    国内における情報セキュリティインシデント状況
    2019/8/24 12
    「情報セキュリティ白書2019」p.12
    Webサイト改ざんは
    昨年より横ばい、全体として減少傾向
    フィッシング詐欺は昨年より倍増、
    金融機関狙いからEコマース狙いに

    View Slide

  13. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティインシデント別の手口と対策
    2019/8/24 13
    アンケート
    ビジネス用途でメールは使用していますか?

    View Slide

  14. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティインシデント別の手口と対策
    「情報セキュリティ白書2019」pp.14-24
    • 標的型攻撃
    • なりすましメールと正規のオンラインストレージ
    サービスを組み合わせた標的型攻撃
    • OneDrive、Dropbox等を利用することでURLのフィ
    ルタリングがかからない
    • LNK ファイルを悪用する手口
    • cmd, powershellを使ったファイルレス攻撃
    • ビジネスメール詐欺(BEC)
    • 取締役、弁護士等を装った高度な自作自演
    • 「詐称用ドメイン」に注意
    2019/8/24 14

    View Slide

  15. 5分で振り返られない情報セキュリティ白書2019
    情報セキュリティインシデント別の手口と対策
    「情報セキュリティ白書2019」pp.14-24
    • 標的型攻撃
    • なりすましメールと正規のオンラインストレージ
    サービスを組み合わせた標的型攻撃
    • OneDrive、Dropbox等を利用することでURLのフィ
    ルタリングがかからない
    • LNK ファイルを悪用する手口
    • cmd, powershellを使ったファイルレス攻撃
    • ビジネスメール詐欺(BEC)
    • 取締役、弁護士等を装った高度な自作自演
    • 「詐称用ドメイン」に注意
    2019/8/24 15
    また、トレンドマイクロ社の「ビジネスメール詐欺に関する実態調査 2018」(調
    査対象:日本在住の法人組織の情報セキュリティ・社内IT・経理責任者ら1,030
    人)によると、調査対象全体の約4 割(39.4%)がビジネスメール詐欺の攻撃を受
    けた経験があり、送金依頼メール受信者(253 人)のうち8.7%(22 人)が、実際
    に騙されて送金していたという。
    2018年「法人」を狙う三大脅威:仮想通貨流出とビジネスメール詐欺から考える今後の対策
    https://blog.trendmicro.co.jp/archives/20196

    View Slide

  16. 5分で振り返られない情報セキュリティ白書2019
    情報システムの脆弱性の動向
    「情報セキュリティ白書2019」pp.45
    2019/8/24 16
    • 2018年は1万件超
    • 脆弱性情報の件数は2011年より年々増加
    • 2017年以降はNVD から公開される
    脆弱性対策情報の件数が増加
    • CVEの採番期間になる認定基準が緩和
    (2016/12時点 47社→ 2018/12 93社)

    View Slide

  17. 5分で振り返られない情報セキュリティ白書2019
    情報システムの脆弱性の動向
    「情報セキュリティ白書2019」pp.46
    2019/8/24 17
    クロスサイト・スクリプティングが首位
    (注記)
    レベルⅢ:リ モートからシステムを完全に制御されるような場合や大部分の情報が漏え
    いするような脅威等。
    レベルⅡ:一部の情報が漏えいするような場合やサービス停止につながるような脅威等。
    レベルⅠ:攻撃するために複雑な条件を必要とする脅威等。
    5件中1件は危険、引き続き警戒を

    View Slide

  18. 5分で振り返られない情報セキュリティ白書2019
    例:JVN iPediaでのKubernetesの検索結果
    2019/8/24 18
    2018年度は10件、危険に分類されるものは2件 https://jvndb.jvn.jp/

    View Slide

  19. 5分で振り返られない情報セキュリティ白書2019
    早期警戒パートナーシップの届出状況から見る脆弱性の動向
    2019/8/24 19
    「情報セキュリティ白書2019」pp.48
    減少傾向ではあるものの、
    1営業日に1件は脆弱なWebサイトが見つかっている
    IPAから通知があった場合は
    早めの対応をお願いします

    View Slide

  20. 5分で振り返られない情報セキュリティ白書2019
    早期警戒パートナーシップの届出状況から見る脆弱性の動向
    2019/8/24 20
    情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版 p.1 - https://www.ipa.go.jp/security/ciadr/partnership_guide.html
    参考: 情報セキュリティ早期警戒パートナーシップとは

    View Slide

  21. 5分で振り返られない情報セキュリティ白書2019
    5分で話したこと、話さなかったこと
    2019/8/24 21
    • 話したこと
    • 情報セキュリティ白書2019とは
    • 2018年度の情報セキュリティの概況
    • 話さなかったこと
    • 国内外の情報セキュリティ政策の状況
    • 情報セキュリティ人材の現状と育成
    • 組織・個人における情報セキュリティの取り組み
    • 安全な政府調達に向けて
    • 制御システムの情報セキュリティ
    • IoTの情報セキュリティ
    • AIのトラストとセキュリティ
    • スマートフォンの情報セキュリティ

    View Slide

  22. 5分で振り返られない情報セキュリティ白書2019
    5分で話したこと、話さなかったこと
    2019/8/24 22
    • 話したこと
    • 情報セキュリティ白書2019とは
    • 2018年度の情報セキュリティの概況
    • 話さなかったこと
    • 国内外の情報セキュリティ政策の状況
    • 情報セキュリティ人材の現状と育成
    • 組織・個人における情報セキュリティの取り組み
    • 安全な政府調達に向けて
    • 制御システムの情報セキュリティ
    • IoTの情報セキュリティ
    • AIのトラストとセキュリティ
    • スマートフォンの情報セキュリティ
    全体で200ページ以上あるものなので
    興味のある部分だけでも・・・
    無料です!!

    View Slide