「情報セキュリティ白書2020」を読む(遅い)




こんにちは。はなくとです。
今更ですが冬休みを利用して、IPAより発行された「情報セキュリティ白書2020」の気になった点をつらつらと書いてみます。発行は8月だったのですがすっかり忘れていました。年内に読んだからセーフ(と思っている)。

今回からIPAの会員登録の上、アンケートの回答は不要になりました。
どなたでも入手できますので是非読んでみてください。何を大事と思うかはそれぞれの専門や興味によって異なりますし、全文を読むことで得るものはきっと多いと思います。

原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2020.html

1章で気になった箇所

1章では、国内外のセキュリティインシデント・脆弱性、攻撃・手口の動向、セキュリティ対策等について記載されていました。知らない用語や気になった箇所を書いていきます。

・フィッシングサイト数は、約79万2000件で、2017年度より0.7%増加。
 ターゲットは、ぺイメント(22.4%)、金融(18.2%)

・ビジネスメール詐欺のなりすましに利用されるのは高位職(CEO、取締役)が40%以上

・ランサムウェアの検出件数は、6000万件超(前年比10%増)
 標的は工場の制御システムや自治体、金融システム等、身代金を支払えそうな組織。

・攻撃手法の傾向と変化
 IoT機器を狙う機器破壊型ウィルスが発見された。
   Emotet検出数の急増
 
・標的型攻撃の手口
 ①添付ファイルの手口
   アイコンの偽装、拡張子の偽装、ショートカットファイルの悪用(スクリプト埋め込み)
    
 ②オンラインストレージサービスを悪用する手口
  正規のストレージサービスからウィルスをダウンロードさせる。 

・標的型攻撃への対策
 ①利用者向けの対策
    ソーシャルエンジニアリング/不審メールに対する注意力向
  攻撃手口の理解
 ②組織体制の構築(CSIRT設置等) 
 ③ウィルス感染を想定した訓練と教育 
 ④システムによる対策
  不審メールの確保できる仕組み
      修正プログラムの適用
    ファイルの実行防止

・IoT機器を対象とした攻撃
 開発者は各組織が公開しているガイドラインに準じて開発する。
 利用者は開発者が提供するアップデートを確認する。

・ばらまき型メールによる攻撃
 不特定多数の一般利用者を狙った、ウィルス感染を目的としたメール。Emotet。

・パスワードリスト攻撃
 不正に入手したID/パスワードをリスト化し、不正ログインを試みる。
 複数のWebサービスでパスワードの使い回しをしていると被害に遭う可能性大。

・個人をターゲットにした騙しの手口
 ①SMSをきっかけとする手口
  宅配便の不在通知
  送信元を偽装して携帯通信会社を装うSMS
      偽のセキュリティ警告
  不正アプリのインストール

2章で気になった箇所

2章では、情報セキュリティインシデント・脆弱性の現状/対策、国内外のセキュリティ政策、人材育成、国際標準化について状況が記載されていました。知らない用語や気になった箇所を書いていきます。あまり書いてないのですが、気になるところが少なかったということで。。

・5G セキュリティ対策の検証開始

・セキュリティ対策評価(リスク評価)を定期的に実施する企業の割合は、米国が約90%、シンガポールが約80%である一方、日本は50% に満たない。

・中小企業向けにサイバーセキュリティ事後支援事業
 サイバーレスキューお助け隊

・ISO/IEC 23837 の開発
 量子鍵配信(QKID)のセキュリティ要件やテスト手法の標準化

・ISO/IEC 27030: Cybersecurity – IoT security and privacy

・ISO/IEC 24391: Security techniques – Guidelines for IoT-domotics security and privacy

・ISO/IEC 27402: Cybersecurity – IoT security and privacy – Device baseline requirements

・個人情報保護法改正

3章で気になった箇所

3章では、個別のテーマとして制御システム、IoT、クラウドに関するセキュリティや青少年を取り巻くネット環境について記載されていました。知らない用語や気になった箇所を書いていきます。

制御システム

・制御システムではネットワーク化・オープン化が進む一方で、外部との接続やサイバー攻撃を想定していないシステムが多数稼働しており、サイバー攻撃の対象となりつつある。

・2019年の制御システムを標的としたサイバー攻撃による重大インシデントはゼロ。一方で制御システムへの侵入や運用障害が一定数発生。

・持ち込み機器や媒体によるウィルス感染が多い。

・制御システム内部ではセキュリティ観点での通信制限をしていない場合が多い。
 →ウィルスが拡大しやすい。

・ウクライナの送電網へのウィルスを使用したサイバー攻撃では、ウィルスが停電を引き起こし、復電の際に機器損壊などの物理的被害や大規模停電を引き起こすことが本来の目的だった。

IoT

・IoT機器への攻撃手法は、辞書攻撃と特定の機器が持つ脆弱性を狙う攻撃を併用。

・IoT機器に感染するウィルスは、3つに分類できる。
 ①機器乗っ取り型ウイルス
   感染した機器上で不正なプログラムを実行し、ボットネット構成、サイバー攻撃への悪用を試みる。
 ②機器保護型ウイルス
  感染した機器上で不正なプログラムを実行し、ボットネット構成、他のウィルスから感染しないようにポート遮断
 ③機器破壊型ウイルス
  感染した機器上で不正なプログラムを実行し、機器を破壊に分類できる

・fbot
 Miraiの亜種。HiSilicon Technology Co., Ltd. 製のDVR(デジタルビデオレコーダー)/ NVR(ネットワークビデオレコーダー)用SOC チップセットを用いたIoT 機器に感染。

・ECHOBOT
 Miraiの亜種。感染時に悪用する脆弱性や辞書攻撃用の認証情報が更に追加。

クラウドの情報セキュリティ

・政府のクラウド利用について、クラウド・バイ・デフォルト原則が明示された。

・インシデントの原因として、システムのバグ、設定不備、故障、情報提供先での管理不備、不正アクセスとデータ保護の不備がある。

・クラウドサービスの情報セキュリティは事業者と利用者が責任を分担して実現すべき

おしまい。

error: Content is protected !!