FUJITSUファミリ会 2020 秋季大会のオンラインセミナー 「新たなサイバー攻撃に関する脅威の認知」 で使用したスライド

1. 新たなサイバー攻撃に
関する脅威の認知
サブタイトル

2. 自己紹介
▪ 佐藤元彦
▪ 伊藤忠商事株式会社
IT企画部 ITCCERT 上級サイバーセキュリティ分析官
▪ 国立大学法人 千葉大学
運営基盤機構 情報環境部門 准教授
▪ 文部科学省 サイバーセキュリティアドバイザー
▪ JPCERT/CC専門委員
▪ JASA特任研究員
2

3. Background
▪ それなりに長い間、この業界で色々と働いています
▪ 脆弱性検査(NW・Webアプリ)
▪ 情報セキュリティ監査・システム監査
▪ インシデントレスポンス(複数の政府機関・民間事案をクローズ)
▪ セキュリティコンサルティング(方針策定・規程作り・体制整備・リスク分析)
▪ 政府の基準作り(情報セキュリティ管理基準・クラウドセキュリティ管理基準等)
▪ ISO SC27国内委員
▪ その他、情報セキュリティに関わる仕事(もちろん営業活動も)
3

4. 現在は
▪ 伊藤忠商事のIT企画部内のITCCERTにて、CSIRTの業務に専
門職として携わっています
• インテリジェンスリサーチ(プロアク
ティブ対応)
• インシデントハンドリング / インシ
デントレスポンス
• セキュリティ機器のアラート・ログ
のモニタリング
• 脆弱性検査(簡易なもの)
• 教育・ワークショップ
• グループ会社向け講演
• 内部不正対応(フォレンジクス
含む)
• マルウェア分析(簡易なもの)
• セキュリティ監査・システム監査
• マネジメント層向け報告作成
• その他ビジネスも含めセキュリティ
に関わる相談にも対応
4

5. 伊藤忠商事内でのCSIRT業務については
▪ 伊藤忠商事のサイバーセキュリティのトラックで詳細を紹介
させていただくため、本トラックでは、
サイバー攻撃に対する備えに対して投資をする経営者
組織のセキュリティ対策を起案・遂行する実務者の方
向けに、
『今備えるべきサイバーセキュリティの脅威』
について解説いたします。
5

6. 本トラックの目的

7. “新た”って何？
▪ このトラックを聞かれる皆さんはセキュリティに興味がある方だと思い
ます。
▪ そのため、普段から色々なセキュリティ情報に触れると、「高度化」
「巧妙化」し続ける攻撃に対し、何をしてよいのかわからず「不安」
になってしまっていないでしょうか。
▪ そこで、どこが「古くて」でどこが「新た」なのか、全体的なリスク意識
の棚卸をしていただくことを本トラックでは目的にさせていただきます。
7

8. リスクと脅威の変遷 1
(無知の時代 ‘95～‘98)

9. パソコンのスペック ‘95
▪ CPUにPentium(TM)（133MHz／
120MHz／100MHz）を採用しました。
▪ 拡張RAMモジュール用スロットを4スロッ
ト用意し、Windows3.1モデルは4MBを
2枚、Windows95モデルは8MBを2枚
標準搭載（FMV-DESKPOWER Sは
4MBを2枚）しました。
▪ 標準搭載の内蔵ハードディスク
（850MB）は、拡張IDEインタフェース・
PIO model4をサポートします。ストレー
ジベイとして3.5インチHDD装着エリアを2
つ備えています（内1つに標準実装済）。
CPU133Mhz / MEM16MB / HDD850MB
https://www.fmworld.net/product/former/dp9511/dph.html より
9

10. こんな”流行り”が。。。
ポスペ(‘97)
https://www.so-net.ne.jp/postpet/
あやしいわーるど(‘96)
カルトブックマーク(‘97)
あめぞう(‘97)
街の灯(‘97)
BM98(‘98)
10

11. インターネットビジネス
▪ オンラインショップが300
店舗(‘96)
インターネット白書 1996 [Vol.1] P137,P138より
https://iwparchives.jp/iwp1996
11

12. 日本のセキュリティサービス 黎明期
▪ (1991年 トレンドマイクロ社ウイルスバスター販売開始)
▪ (1991年 特別認可法人情報処理振興事業協会(当時:現IPA) コンピュータウイルス対策室を設置)
▪ (1994年 フォーバルクリエイティブ社(当時) チェック・ポイント社のファイアウォールソフト「FireWall-1」国内販売開始)
▪ (1994年 IIJ社 ファイアウォールサービスを開始)
▪ 1995年 トレンドマイクロ社 ウイルスバスター95販売開始(以降毎年発売)
▪ 1995年 LAC社 ネットワークセキュリティ事業を開始
▪ 1995年 野村総合研究所 マネージドセキュリティサービス提供開始(社内ベンチャーとして立ち上げた事業部 後のNRIセキュアテクノロジーズ)
▪ 1997年 GSX社 脆弱性診断サービスをタイガーチームとして開始
▪ 1997年 ヒューコム社(当時) NetRanger(Cisco Secure Intrusion Detection System)国内販売開始
▪ 1997年 網屋 セキュリティ事業を開始
12

13. この頃(～‘98)の主要なリスク要素
▪ 脅威 : ウイルス
▪ 脆弱性 : ソフトウェア内に悪用できる機能がある
▪ 手法 : ウイルス感染したオフィスファイルの受け渡し(フロッピーディス
ク経由)
▪ リスク : 端末内のファイル破損・端末が起動しないなど
▪ リスク顕在化時のインパクト : 何かおかしい、困った、程度？
13

14. サイバーセキュリティキーワードの変遷 (1)
Windows
OS
.co.jpドメ
イン登録
数(12月)
認証・団
体等
経営者の
意識
セキュリ
ティ担当
者
攻撃者 インシデ
ント
社会的な
サイバー
事案
主要なセ
キュリ
ティ対策
1995-
1998
Windows
95発売
(‘95)
Windows
NT 4.0発
売(‘96)
Windows
98発売
(‘98)
2,635 (‘95)
9,956 (‘96)
23,512
(‘97)
42,472
(‘98)
BS7799(‘9
5)発行
JPCERT/C
C発足(‘96)
プライバ
シーマー
ク制度運
用開始
(‘98)
会社にパ
ソコンっ
て何に使
うの？
ワープロ
と何が違
うの？
インター
ネットて
すごいら
しい？
いない(も
しくは電
算セン
ターの担
当者)
総務担当
が兼務
愉快犯
こっそり
リソース
を悪用す
るフリー
ライダー
フロッ
ピーディ
スクの
ブートセ
クタ /
Word /
Excel の”
ウイルス”
ウイルス
対策ソフ
ト
ファイア
ウォール
ドメイン登録数 https://jprs.jp/about/stats/domains/ より(以降同じ)
14

15. リスクと脅威の変遷 2
(問題意識萌芽の時代
’99-’00)

16. こんな”流行り”が
▪ 2ちゃんねる (‘99)
▪ Google日本語検索開始
(‘00)
▪ インターネット博覧会(インパク)
(‘00) #え？流行っていない？
あれ以外の何か with "任意
“ (‘00)
http://priest.so.land.to/nisesakura/index3.html
16

17. インターネットビジネス
▪ 60%が自社サイ
トを持つように
▪ ただし、企業紹
介としての静的な
コンテンツ中心の
ウェブサイトです
インターネット白書 1999 P57より
https://iwparchives.jp/iwp1999
17

18. セキュリティビジネスはまだまだ
’99ネットワークセキュリティビジネス調査総覧
https://www.fcr.co.jp/report/993q03.htm
18

19. この頃(‘99-’00)のセキュリティ
▪ ファイアウォールの導入率 30%??
インターネット白書 1999 P62より
https://iwparchives.jp/iwp1996
19

20. セキュリティインシデント
中央省庁ホームページ改ざん事件
日経パソコン,2000/02/21号 P15Happy99蔓延 (’99)
https://www.ipa.go.jp/security/topics/ska.html
20

21. セキュリティインシデント
▪ 企業サイトの改ざんが相
次ぐ(’01)
https://scan.netsecurity.ne.jp/category/incident/incident/2001/03/
21

22. みんな気にしていなかったセキュリティ
▪ 中央省庁のウェブサ
イトの価値は当時は
そんなに高くなかった
(リアルタイム性・情
報量)と考えられるが、
レピュテーションや公
共財としての価値をリ
スクとして捉えていな
かった。
▪ そのため、この事件で
国家としてセキュリ
ティに目覚めた http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html
22

23. 大急ぎで対応しないと!!
▪ 国家としてセキュリティ
対策を意識
▪ 対応策を考える
▪ とはいえ、専門性が高
くて難しい -> セキュリ
ティ産業の官需が発
生
情報セキュリティ戦略元年
https://www.jpcert.or.jp/present/2007/ciip2007_01.pdf
23

24. セキュリティインシデント
▪ 京都府宇治市の住民基本
台帳データ約22万人分が
流出(‘99)
▪ 宇治市がメンテナンスを委託
していた電算業者の下請に
児童検診用データを預けて
いたところ、アルバイト大学院
生が自分でデータをコピーし
て持ち出し名簿業者に無断
売却、インターネット上で販
売された。 https://www.law.co.jp/cases/uji2.htm
24

25. 当時の常識
▪ 情報に価値を見出
さなかった時代から
の転換点
▪ 情報を扱う「ルー
ル」を意識しなけれ
ばいけないことにな
る
解説●相次ぐ個人情報漏えい，内部犯行は防げないのか（上）
https://xtech.nikkei.com/it/members/NOS/ITARTICLE/20030120/1/
25

26. 日本のセキュリティサービス 形成期
▪ 1999年 IIJ社 ファイアウォール機器をフルマネージドで提供
▪ 1999年 ソフテック社 脆弱性情報提供サービス SIDfm(セキュ
リティインフォメーションディレクトリ) 事業開始
▪ 2000年 アズジェント社 セキュリティポリシー構築平準化ツール
「M@gicPolicy」を提供開始
▪ 2000年 LAC社 「監視センター」を設置
▪ 2000年 ネットエージェント社(当時) PacketBlackHole販売開
始
26

27. この頃(‘99-’00)の主要なリスク要素
▪ 脅威 : ウイルス(Happy99 : EXE, Melissa : VBA,
LoveLetter : VBS)
▪ 脆弱性 : ソフトウェアの脆弱性
▪ 手法 : ウイルスが添付されたメールを実行して感染
▪ リスク : ウイルスメールでメールボックスが溢れたり、メールサーバが負荷に
より停止する
▪ リスク顕在化時のインパクト : 周りにウイルスをばらまいて恥ずかしい!!
27

28. この頃(‘99-’00)の主要なリスク要素
▪ 脅威 : サイト改ざん
▪ 脆弱性 :管理機能の不適切な管理(外部公開・アカウント)
▪ 手法 : ブルートフォースによるパスワード取得
▪ リスク : サイト改ざん
▪ リスク顕在化時のインパクト : かっこわるい!!
28

29. 小まとめ(‘99-’00)
▪ この頃はサイバー攻撃のリスクは組織にとっては大きくなかった
▪ とはいえ、この頃のセキュリティを振り返ると既に「サイバーセキュリティの脅
威対策への基本の要素」が出来上がっていることに気づきませんか？
▪ ウイルス(マルウェア) VBA・VBS・EXE
▪ 改ざん(不正アクセス) アカウント管理不備・管理アクセス設定不備
▪ 内部不正・サプライチェーンリスク
29

30. セキュリティ基本形ができる
▪ 現在とはあまり変わ
らない仕組みが出
来上がっていたよう
に見える(クラウドが
ないだけ？)
情報セキュリティの現状 ２０００年版 情報処理振興事業協会 セキュリティセンター
https://www.ipa.go.jp/security/fy12/sec2000/sec2000.pdf
30

31. 攻撃者のモチベーション
▪ 「愉快犯」から、「より被害を増やすことを楽しむ愉快犯」
▪ そして、「政治的な主張」を技術力とともに示す愉快犯
▪ 少なくとも公的機関として事故を起こしてはならない「中央省庁の
サイト改ざん」と、宇治市の個人情報流出事案はサイバーセキュリ
ティを考える上で、最初の「ブラックスワン」であったといえます
※ブラックスワン = 今まで観測されたことのなかった事象
31

32. 危機意識を持つことから開始
▪ セキュリティ
ホールという
意識と、イン
ターネットと
いう概念
情報セキュリティの現状 ２０００年版 情報処理振興事業協会セキュリティセンター
https://www.ipa.go.jp/security/fy12/sec2000/sec2000.pdf
32

33. サイバーセキュリティキーワードの変遷 (2)
OSイベン
ト
.co.jpドメ
イン登録
数(12月)
認証・団
体等
経営者の
意識
セキュリ
ティ担当
者
攻撃者 社会的なサ
イバー事案
インシデ
ント
主要なセ
キュリ
ティ対策
1999-
2000
Windows
ME発売
(‘00)
Windows
2000発売
(‘00)
91,501
(‘99)
184,430
(‘00)
JIS Q
15001制定
(‘99)
JNSA発足
(‘00)
ISO/IEC17
799:2000
成立(‘00)
個人情報
保護基本
法制に関
する大綱
(‘00)
インター
ネットの
波に乗り
遅れない
情報化・IT
化
情報シス
テム部門
が運用・
構築の片
手間で兼
務
世の中を
混乱させ
る愉快犯
(進化!)
こっそり
リソース
を悪用す
るフリー
ライダー
政治的主
張(New!)
Happy99の
蔓延(‘99)
Melissaの蔓
延(‘99)
LoveLetter
の蔓延(‘00)
中央省庁サ
イト改ざん
(‘00)
メールマ
ルウェア
による業
務影響
サイト改
ざん
ウイルス
対策ソフ
ト
ファイア
ウォール
IDS(New!)
33

34. リスクと脅威の変遷 3
(ルール模索の時代 ‘01)

35. こんな”流行り”が
WinMX (‘01)
KaZaA(‘01)
バーチャルネットアイドル
ちゆ12歳 (‘01)
35

36. ▪ CodeRedとNimda
画像は https://www.f-secure.com/v-descs/bady.shtml と
https://nakedsecurity.sophos.com/2011/09/16/memories-of-the-nimda-virus/
重大インシデント発生
36

37. パッチをあてていないシステムへの攻撃 1
▪ Code Red
IISで拡散
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871747
37

38. 教訓 1
▪ 脆弱性情報を集める
▪ サーバにパッチをあてる
▪ 必要なサービスだけ稼
働させる
Microsoft IIS の脆弱性を使って伝播するワーム“Code Red II”(更新)
https://www.jpcert.or.jp/at/2001/at010020.html
38

39. パッチをあてていないシステムへの攻撃 2
▪ Nimda
IISだけでなく
複数の製品を
介して蔓延
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871814
39

40. 教訓 2
▪ クライアントにもパッチをあてる
解説●最悪のワームNimdaの教訓
https://xtech.nikkei.com/it/members/NOS/ITARTIC
LE/20011105/1/
40

41. この頃(‘01)のセキュリティビジネス
▪ 製品にサービスが
追加された？
情報処理振興事業協会セキュリティセンター 情報セキュリティビジネスに関する調査報告書
https://www.ipa.go.jp/security/fy12/report/sec_biz.pdf
41

42. 日本のセキュリティサービス 活況期
▪ 2001年 セキュアヴェイル社 ファイアウォール運用・監視サービス開始
▪ 2001年 三井物産 セキュリティ監視サービス・ Webアプリケーション、
ネットワークシステムの脆弱性診断サービス・ペネトレーションテストサービ
スを開始(社内プロジェクト(当時) 後の三井物産セキュアディレクション)
▪ 2001年 IIJ社 ネットワーク侵入検知サービス開始
▪ 2001年 ソースネクスト社 マカフィーウイルススキャン販売開始
▪ 2001年 アズジェント社 ジャスダック上場
42

43. この頃(‘01)の主要なリスク要素
▪ 脅威 : ワーム
▪ 脆弱性 :未パッチのサーバ・クライアント
▪ 手法 : 脆弱性攻撃
▪ リスク : 全システム停止
▪ リスク顕在化時のインパクト : 業務が停止するなどビジネスに影
響!!
43

44. ▪ 当時のセキュリティ課
題
情報処理振興事業協会セキュリティセンター 情報セキュリティビジネスに関する調査報告書
https://www.ipa.go.jp/security/fy12/report/sec_biz.pdf
セキュリティ課題
44

45. ’01 経営者がセキュリティを少し意識する
▪ この一年を切り出したのは、
▪ 「サイバーセキュリティにおける大きな変革」があったからです。
▪ ゼロデイ(とまではいかない)ですが、パッチをあてていないシステムへの攻撃が続
発し、システムの運用にルールが求められることになったからです。
▪ そして、システムが停まる = 業務が停まるという事態が発生した組織では、経
営者がシステムにはセキュリティが必要(らしい)と認知した年でもありました。
▪ セキュリティ被害はビジネスに影響がある、というブラックスワンが来たのです。
45

46. サイバーセキュリティキーワードの変遷 (3)
OSイベン
ト
.co.jpドメ
イン登録
数(12月)
認証・団
体等
経営者の
意識
セキュリ
ティ担当
者
攻撃者 社会的なサ
イバー事案
インシデ
ント
主要なセ
キュリ
ティ対策
2001 Windows
XP(‘01)
225,159
(‘01)
なんか大
変なこと
になった!!
最低限の
投資で再
発防止を
なんとか
しろ!!
情報シス
テム部門
が運用・
構築の片
手間で兼
務
->セキュ
リティを
勉強しな
いといけ
ないか
も??
世の中を
大混乱さ
せる愉快
犯(進化!)
政治的主
張
Code Red
の蔓延(‘01)
Nimdaの蔓
延(‘01)
メールマ
ルウェア
による業
務影響
サイト改
ざん
Wormに
よる業務
停止
(New!)
ウイルス
対策ソフ
ト
ファイア
ウォール
IDS
パッチ適
用(New!)
46

47. リスクと脅威の変遷 4
(ルールの時代 ‘02-’03)

48. こんな”流行り”が
Winny(‘02)
画像は https://ascii.jp/elem/000/000/420/420558/ より
48

49. 各組織がセキュリティを模索
▪ 昨年いろいろあったけれど、セキュリ
ティって、いったい何をしたらよいの
か？
▪ わかりやすい答えがほしい
▪ やることのルールはないのか？
2002年出版のセキュリティ関連本 Amazonより
49

50. 個人情報保護法が来るぞ!!
▪ 二年後(2005)には個人情報の
「適切」な取り扱いが求められる
▪ 「適切」な中に「安全管理措置」
がある。
▪ 安全管理措置？ セキュリティ
か!!
▪ 法律ができたら守らなければ(当
然)
2003年出版の個人情報保護法関連本 Amazonより
50

51. ISMS
▪ セキュリティマネジ
メントの「指針」
ができる
▪ ISMS制度で本
格運用が開始
(‘02)
https://isms.jp/doc/V3.2ismspanf.pdf
51

52. 具体策は？
▪ 情報セキュリティ管
理基準が経産省か
ら発出(‘03)
52

53. 内部のルール(ポリシー)が必要らしい
▪ JNSA(特定非営
利活動法人 日本
ネットワークセキュリ
ティ協会)が雛形文
書を発行(‘03)
53
https://www.jnsa.org/policy/guidance/

54. 悪夢の再来 Blaster(‘03)
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871732
54

55. そして情報管理問題が再発
▪ Winnyを使っている
ユーザが、マルウェア
に感染してドキュメ
ントフォルダ内のファ
イルを開示してしま
う事案が多発
https://www.telecom-isac.jp/antinny/measure/index.html
55

56. 二つの原因
▪ 組織内の端末にWinnyを導入して暴露ウイルスに感染(組織内
のリソースの私的利用)
▪ 自宅の端末にWinnyを導入して暴露ウイルスに感染(組織内の
書類が自宅端末にある問題)
▪ 暴露したデータにより組織全体の「責任」が問われる事態に
56

57. とはいえ
▪ この二つの事象は既に過去の事案を経験して対策を進めていた組
織にとっては、再テストのようなものでした。
▪ そして、この事案を不幸にも経験してしまった組織は、対策推進を
後押しする事案となった。
▪ その証拠に。。。
57

58. 2004年の調査では
▪ 実際に2004年のJNSAの調査では数値に現れている
▪ この時点で「ほぼセキュリティ対策」ができている -> 完了?
58
https://www.jnsa.org/active/topics/20041027_2.pdf

59. この頃の主要なリスク要素
▪ 脅威 : 社会の規範
▪ 脆弱性 :法令違反・倫理違反
▪ 手法 : さまざまな手法が想定される
▪ リスク : 社会的な譴責
▪ リスク顕在化時のインパクト : 経営陣の責任
59

60. サイバーセキュリティキーワードの変遷 (4)
OSイベン
ト
.co.jpドメ
イン登録
数(12月)
認証・団
体等
経営者の
意識
セキュリ
ティ担当
者
攻撃者 社会的な
サイバー
事案
インシデ
ント
主要なセ
キュリ
ティ対策
2002-
2003
Windows
Server
2003 (’03)
239,582
(‘02)
247,784
(‘03)
情報セキュリ
ティポリシー
サンプル
0.92a(‘02)
ISMS認証制度
開始(144組織
で取得)(‘02)
個人情報の保
護に関する法
律公布(‘03)
情報セキュリ
ティ管理基準
(‘03)
日本セキュリ
ティ監査協会
発足(‘03)
担当者を
作って責
任を持た
せればや
るだろう。
セキュリ
ティを勉
強してこ
い。
ポリシー
の番人が
任命され
る(New!)
技術的な
セキュリ
ティは情
報システ
ム部門が
兼務
(New!)
世の中を大
混乱させる
愉快犯
政治的主張
世論 (New!)
Blasterの
蔓延(‘02)
ANTINNY
による情
報暴露の
多発(‘03)
メールマ
ルウェア
による業
務影響
サイト改
ざん
ウイルス
対策ソフ
ト
ファイア
ウォール
IDS
パッチ適
用
セキュリ
ティマネ
ジメント
(New!)
60

61. ここで「昔」の振り返りはストップ
▪ 歴史を全て振り返ることが目的ではないので、詳細な振り返りはここまで(本当はやり
たいのですが。。。)
▪ とはいえ、2004年の時点で多くの会社が2005年の個人情報保護法の全面施行も
見据えた体制が整備されていたといえます。(セキュリティ対策の完了？)
▪ 注：実際は、金融システムなどではオンライン処理が先行していたことと、金融機関と
しての「信頼」の概念があったため、この枠組みとは外れるセキュリティがあったと認識し
ています
▪ 注：本資料は一般化、普遍化してまとめたため、誤りや抜け漏れが多数あります。と
はいえ、ここまではあくまで、この後のコンテンツのための資料のため、概念を認識して
いただければと考えています。
61

62. ゲームチェンジ事案

63. 以降のブラックスワン
▪ 完成したと思われるセキュリティ対策を無効にするような攻撃が時折発
生し、これらの対策をかいくぐりました。
▪ 2004 : 日本語フィッシングメールの登場
▪ 2005 : 価格.com Webサイト 改ざん・SQLインジェクション事案
▪ 2011 : 衆議院・参議院 標的型攻撃事案
▪ 2017 : 日本航空がビジネスメール詐欺の被害を公表(BEC)
▪ 2019 : Maze (情報公開も行う二重ランサム)
63

64. それ以降のブラックスワン(1)
▪ 日本語フィッシングメールの登場
64
https://www.ipa.go.jp/security/personal/protect/phishing.html

65. 何が新ただったのか
▪ 日本語という言語バリアを破る攻撃者が登場
▪ この時のフイッシングメールの日本語が稚拙だったため、「日本語の
おかしい」メールに注意するよう啓発されたが。。。
▪ とはいえ、日本を狙う、という明確な意思を持った攻撃者が現れた
ということを認識したのでした
65

66. それ以降のブラックスワン(2)
▪ 価格.com Webサイト SQLイン
ジェクションによる サイト改ざん・
個人情報窃取事案
▪
※価格.comは手法や被害を公
表しなかったが同一犯の他サイト
への攻撃内容から類推
66
https://www.itmedia.co.jp/news/articles/0505/16/news077.html

67. 何が新ただったのか
▪ SQLインジェクションによるWebアプリケーションへの攻撃があること、
さらにそれにより個人情報が盗まれることを世間が認知した
▪ 組織は、OSやサービスのセキュリティパッチを当てるだけでなく、高い
レイヤのセキュリティも意識しなければならないことに気付かされた
▪ Webアプリケーションのセキュアプログラミングや、脆弱性検査、そし
てWAF(Web Application Firewall)などの対策が齎される
67

68. それ以降のブラックスワン(3)
▪ 衆議院・参議院 標的型攻撃事案
68
https://www.ipa.go.jp/files/000024536.pdf

69. 何が新ただったのか
▪ 被害者だけに特化したマルウェアや通信先(C2)が発生したこと
▪ そして、情報窃取というモチベーションを持つ国家が支援する攻撃
者が存在することが明らかになったことです
▪ つまり、今までのような汎用のウイルス対策ソフトや通信先を制限
するセキュアプロキシでは防げない攻撃が現れたのです
▪ 対抗措置としてサンドボックス・ふるまい型検知という対策が現れま
した
69

70. 長い標的型攻撃が最大の脅威の時代
▪ ’11の標的型攻撃事案以降、複数の攻撃グループが明らかになり日本
を狙いました
▪ そして、その対策に組織は追われましたが。。。反面の問題も生みました
▪ うちにはそのような高度な攻撃者に「狙われるような情報はない」と判断
する経営者があらわれたのです。そして、その逆に「狙われるような情報
があっても、国家を背景にした攻撃者には太刀打ちできない」組織もあ
らわれはじめました。ルールだけでは守れない攻撃者のスキルに防御者
が屈しはじめたのです。
70

71. それ以降のブラックスワン(4)
▪ 日本航空がビジネス
メール詐欺(BEC)の被
害を発表
71
https://www.sankei.com/affairs/news/171220/afr1712200056-n1.html

72. 何が新ただったのか
▪ マルウェアのない文面だけの詐欺でビジネス被害が発生したこと
▪ 今までのセキュリティ対策の機器では検知できない
▪ 対抗措置として何をしたらよいのか、IT部門は困惑
(実際の対策としては、IT側で技術的に軽減・感知する策はありま
すが、本質は詐欺のため、会計・経理部門で防ぐ原則が有効)
72

73. それ以降のブラックスワン(5)
▪ Maze (情報公開も行
う二重ランサム) (‘19)
73

74. 何が新ただったのか
▪ 攻撃者がシステム全体の暗号化と、盗んだ情報の公開という「二
重の脅迫」を行ってきたこと
▪ 今までのランサムウェアと何が変わったか。。。それは、侵入されて
データを持ち出されたら公開脅迫の被害に遭うという「一度の侵入
も許されない完全なセキュリティ」が求められる世界になってしまった
という点です
74

75. 簡単な整理
▪ さて、長々とセキュリティの歴史を振り返ってきましたが、これを少し
整理してみましょう
▪ わかりやすくするために、手法や事象を混ぜて表記しまっている点、
ご容赦ください
75

76. サイバー攻撃の整理(1)
1999 2000 2001 ～2003 ～2010 ～2017 直近
マルウェア ウイルス Happy99の
蔓延(‘99)
Melissaの蔓
延(‘99)
LoveLetter
の蔓延(‘00)
Antinnyの蔓
延(‘03)
Ursnifのつい
た日本語ぱら
まきメール
(’16)
Emotetの蔓
延(‘19)
ワーム Code Redの
蔓延(‘01)
Nimdaの蔓
延(‘01)
Blasterの蔓
延(’03)
Confickerの
蔓延(‘08)
Wannacryの
蔓延(‘17)
ランサムウェア CryptoLocke
r(’13)
Locky(‘16)
ウェブサイト攻
撃
サイト改ざん 中央省庁サイ
ト改ざん(‘01)
尖閣諸島関
連改ざん
(‘12)
ウェブアプリ攻
撃
価格.com
Webサイト
SQLインジェク
ション事案
(‘05)
多数のため割
愛
7Pay不正利
用(‘19)
76

77. サイバー攻撃の整理(2)
1999 2000 2001 ～2003 ～2010 ～2017 現在
標的型攻撃/
システム侵入
型ランサムウェ
ア
メール APT1 (‘06)
Tick+(‘08)
APT10(’09)
衆議院・参議
院 サイバー
攻撃事案
Icefog (‘11)
DragonOK(‘
14)
年金機構 サ
イバー攻撃事
案 Emdivi
(‘15)
APT12(‘15)
富山大学サイ
バー攻撃事案
Darkhotel
(‘16)
BlackTeck
(‘18)
Taidoor(‘18
)
Loadinfo(‘1
9)
Maze(‘19)
HONDAラン
サムウェア事案
EKANS(‘20)
水飲み場 Tick+(16)
脆弱性(持ち
出し/ペリメー
タ)
Tick+(18)
77

78. サイバー攻撃の整理(3)
78
1999 2000 2001 ～2003 ～2010 ～2017 現在
フィッシング 日本語フィッシ
ングメールの登
場(‘04)
Ursnifのつい
た日本語ばら
まきメール
(’16)
日本語BECの
登場(’17)
Emotetのつ
いた日本語ば
らまきメール
(‘19)
内部不正・情
報持ち出し
京都府宇治
市の住民基
本台帳データ
流出(’99)
Antinnyの蔓
延(‘03)
Yahoo!BB(
個人情報流
出事件(‘04)
三菱UFJ証券
顧客情報売
却事件(‘09)
ベネッセ個人
情報流出
(‘14)

79. 簡単な整理
▪ この表の正確性ではなく、現在のセキュリティ問題は過去にも同様
のことが起きていたり、過去にあった攻撃を組み合わせてできあがっ
ているということがそこはかとなくわかっていただければ、今回のトラッ
クとしては目的を達します。
▪ この整理から見えてくることは、攻撃者は過去のその他の攻撃事案
からも学び、目的を達するために智識を積み重ねていること、そして、
防御側は残念ながら過去に学ばなかったり、10年以上前に提唱
されているセキュリティ管理策すらまだ実装できておらず、組織を危
険なままにしている現状があることです。
79

80. もっと知りたい人のための参考資料
▪ インターネット白書ARCHIVES
https://iwparchives.jp/
▪ JPCERT/CCセキュリティインシデント年表
https://www.jpcert.or.jp/magazine/chronology/
▪ JPCERT/CC セキュリティインシデントとJPCERT/CC歴史年表
https://www.jpcert.or.jp/magazine/10th/index.html
▪ IIJ IIJサービスの歴史
https://www.iij.ad.jp/25th/introduction/history/index.html
▪ ウイルスの歴史
http://www.kogures.com/hitoshi/history/virus/index.html
▪ 歴史を紐解くセキュリティ技術，その現在，そして未来
https://www.ipsj.or.jp/dp/contents/publication/35/S0903-S01.html
80

81. では何をすべきなのか

82. 昔からできていないパッチマネジメント
▪ 昨年、VPNへの侵入により
サイバー攻撃の被害を受け
た組織が多数ありました。
▪ VPN機器の脆弱性によるも
のですが、パッチは提供され
ていました。
▪ つまり未だ多くの組織がパッ
チマネジメントができていない
ということです。
82
https://www.jnsa.org/policy/policy092a.pdf

83. 例えばログ分析
▪ 様々な組織でメールや
VPNやRDPであったり、横
展開されてサーバに不正
アクセスされてしまう事案
は後を絶ちません。
▪ ログを確認できているで
しょうか？(そもそもログがと
れていますか？)
83
https://www.jnsa.org/policy/policy092a.pdf

84. パッチをあてる、ログを分析する
▪ この二つの過去から言われている施策を徹底するだけでも今の多く
のセキュリティ事案に対処できるのですが、なぜかそこに手を触れな
いままにしていませんか？
▪ 十数年前に提唱されていたセキュリティ対策が欠けたままの状態に
なっていませんか？
84

85. よく聞くフレーズは2003年に既に
▪ 2003年に既に 高度化・複雑化・巧妙化 という言葉が
▪ この頃の対策すらできていなければ、今の攻撃に脆弱といえます
85
2003ネットワークセキュリティビジネス調査総覧
https://www.fcr.co.jp/report/032q09.htm

86. もう一度見直せばよい？
▪ では、昔を学びそれを徹底するだけでよいのか？
▪ 実は、最近になってそれだけでは足りなくなったポイントが三つありま
す
▪ 従来の施策に、この三つのポイントを意識することで、今のサイバー
セキュリティを確保することができるようになると考えています
86

87. 今のセキュリティに必要な三要素
▪速度対応 : 攻撃速度に対応した防衛速度
▪全方位対応 : 複数のエントリポイント
▪物量対応 : 複数の観測点・大量の攻撃
87

88. 速度対応 : 攻撃速度に対応した防衛速度
▪今、攻撃者のスピードが格段にあがっています
▪自動処理が組み込まれ、マルウェアの開封・
C2への通信と同時に、情報の窃取とシステム
への侵攻が行われるということを意識して対策
しなければいけません
88

89. 全方位対応 :複数のエントリポイント
▪BECでもシステム侵入型ランサムでも標的型攻撃
でも、すべての攻撃者が狙うのはシステムへの「侵
入」です
▪どこから入られるのか、どうやって入られるのか、その
仕組みを意識して、狙われている時、入られた時
に検知できる仕掛けを設置する必要があります
89

90. 物量対応 : 複数の観測点・大量の攻撃
▪様々な攻撃者が様々な手法でシステムへの侵入
を狙ってきます。
▪大量のメールにはフィッシングもあり、マルウェアもあ
り、ログインにはブルートフォースもあれば、リスト型
攻撃もあります。これらの徴候をとらえるためには複
数のセンサーと、それを見る人の能力をカバーする
仕組みが必要です
90

91. 具体的には？
▪ 次のトラックで伊藤忠商事として行っている取り組みをお伝
えします。
▪ 具体的な取り組み事例について興味がある方は、ぜひ視
聴してください。
91

92. 終わりに

93. まとめ
▪ 本日は、過去の対策を今一度見直して、まずは組織の基礎として
弱い部分がないかを意識してもらうことを目標に話をさせていただき
ました
▪ 今あるセキュリティ対策がいきなり現れたものではなく、過去の事案
等に基づいて出来上がったことを認識していただき、リスクと脅威か
せセキュリティ対策を今一度見直すきっかけになったとしたら幸いで
す

94. 経営者の方へのお願い
▪ うちはセキュリティが長年うまくいっていないと感じていたらそれは、仕
組みに問題があるはずです。
▪ 担当者の権限は適切ですか？ 担当者の力量は適切ですか？
チームの仕事量は適切ですか？ 最新の脅威に対応したツールが
与えられていますか？ 新たにシステムを作る際にセキュリティが意
識されていますか？
▪ セキュリティマネジメント”マネジメント”は経営者の仕事です
94

95. 担当者の方へのお願い
▪ 新たな情報だけに振り回されず、過去の歴史も学び、なぜその管
理策が生み出されたのか、何に有効なのか、何に効かないのかを
分解して学んでください。
▪ 10年前のことができていないのであれば、10年前の攻撃被害に遭
うと意識してください。そして、過去の管理策を潜り抜ける今の攻撃
を知って、その差分を埋める管理策を検討して導入してください。
▪ “愚者は経験に学び、賢者は歴史に学ぶ”は担当者の仕事です
95

96. セキュリティ専門家の方へのお願い
▪ セキュリティもまたビジネスです。新たなものやサービスではないと顧
客の興味をひかないことはよくわかっています。
▪ ですが、それらの新製品やサービスも基礎部分がしっかりしていない
と効果を発揮しないことがあります。お金にならないかもしれません
がレガシー部分のアドバイスもぜひしてください。
▪ ”セキュリティを脅かすビジネスを小さくすること”は我々の仕事です
96

97. 今回のトラックの内容が皆様
の組織やセキュリティ対策の
一助になれば幸いです
ご視聴ありがとうございました
motohiko-sato@itochu.co.jp
@58_158_177_102