狠狠撸

Copyright Internet Initiative Japan Inc.
2020/12/14
株式会社インターネットイニシアティブ
セキュリティ本部
齋藤衛
IIJ technical week 2020
セキュリティ动向2020

Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc.
Agenda
この1年の概況
メールで伝播するマルウェア
標的型ランサムウェア
DDoS攻撃
コロナ禍の影響

3
この１年の概況
? PulseSecure社製品の脆弱性が多数のVPN装置に影響。
? Emotet の感染活動2019年9月と12月に活発に。
? 神奈川県で破棄したはずのHDDがネットオークショ
ンで転売された。
? 米国とイランの双方がミサイル攻撃などを実施。
? 米カリフォルニア州で IoT セキュリティ法施行。
? 三菱電機と日本電気が標的型攻撃を受けたと発表。
? 2018年のコインチェックへの不正アクセス事件で流
出した NEM を Bitcoin に交換した会社役員と医師の
2人が逮捕。
? コロナ禍関連情報の悪用目立つように。

4
この１年の概況(2)
? ビデオ会議サービスの Zoom にさまざまなセキュリ
ティ上の問題点が発覚。
? 改正新型インフルエンザ等対策特別措置法 (特措法)
第32条第1項の規定に基づき、緊急事態宣言を発出。
? NTTコミュニケーションズで外部からの不正アクセ
スによる情報漏洩。
? ホンダの国内外の複数の工場でサイバー攻撃により
システム障害。
? 国内企業においてランサムウェアによる障害と情報
漏洩が顕著に。
? 7月にEmotet が感染活動再開、国内外でメールの送
信が確認される。

5
この１年の概況(3)
? 恐喝DDoS攻撃再び。昨年と同じ被害者へ。
? ドコモ口座を利用した不正送金事案。
? Microsoft ADサーバにZerologon 脆弱性 (CVE-
2020-1472)。詳細と PoC を発見者が公開。攻撃に
悪用される危険性がきわめて高い。
? 東京証券取引所でシステム障害が発生し、東京証券
取引所における全銘柄の売買を停止。
? クラウドサービスの障害による業務や生活環境への
影響。

Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc.
Agenda
この１年の概況
DDoS攻撃

7
? メールで伝播するマルウェアの歴史
– Mellissa(1999),LoveLetter(2000),Klez(2002)
? Emotet(2014)
– 発現当初はオンラインバンキングの認証情報を盗む
活動に使われた。
– 現在ではボットや他のマルウェアのダウンローダと
しての活動。
? 感染したPCの情報は覗き見られる。
? 社内や外部組織への攻撃の踏み台となる。
? ランサムウェア感染などの事案に発展する。

8
? 感染活動の状況
– 2019年9月、12月～2020年2月
– 2020年7月、2020年9月
– 特に7月においては全マルウェア検出数の80％以上
をEmotetが占める日もあった。
https://wizsafe.iij.ad.jp/2020/08/1028/

9
? 感染に使われるメールの様子
– お客様カード情報、信用情報
– 請求、助けてください
– 異動のご挨拶
? 一時はコロナ関連話題も悪用
? 一部にやりとり型攻撃に類似のメールも
– 正当なメールに返信する形で感染活動。
– 多くの人が読みそうなメールだけを適切に選んで返
信している（感染端末内のメールをすべて読まれて
いる）。

10
? EmotetとPPAP
– まず Password付zipファイルを送ります。次にPasswordを
送ります。というAn合化（暗号化）、Protocol。
– 「くたばれPPAP」JIPDEC 大泰司章
https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf
– 「PPAPを何とかしたいのだがPHSも何とかしたい」立命館
大学上原哲太郎
/tetsutalow/ppapphs
? もともとはメール誤送信対策や暴露型ウイルスの対
策として定着。
? 現状、百害あって一利なし
– 情報漏洩のほとんどは通信路ではなく端末で起きている。
– パスワード付きzipは暗号として使うには脆弱である。
– パスワード付きzipファイルを添付されると、多くのゲート
ウェイ型セキュリティ装置で検査されない。

11
? EmotetとPPAP(2)
– 本文にPasswordが記載されたメール。
– 受信者が手作業で解凍、実行してしまう。
? マルウェアIcedID
– 11月第一週より流行。
– パスワード付きzipファイルが添付されたメールで感
染活動。

13
? 歴史
– 標的型攻撃（2004）、ランサムウェア
（CryptoLocker 2013）
? ランサムウェア
– マルウェアによりHDDなどに記録された情報を勝手
に暗号化し、利用者から不当にアクセスできなくす
る（人質にとる）。効果を上げるためのばらまき型。
? 標的型ランサムウェア
– 身代金を支払いそうな特定の標的に対してランサム
ウェアによる攻撃を仕掛ける。身代金は高額。

14
? 標的型ランサムウェアと情報漏洩
– ランサムウェアを感染させた後、情報を暗号化す
るまえに窃取（外部に転送）。
– その後、情報を暗号化して人質にとることで身代
金を要求。
– さらに、秘密の情報をリークサイトに暴露すると
恐喝して金銭を要求。
– リークサイトはランサムウェアの種類、もしくは
感染活動を行っている主体ごとに設置。
– 通常はダークウェブ上にあるが、暴露が目的なの
でダークウェブにアクセスできる人は誰でも見ら
れる状態になる。

16
DDoS攻撃
? 歴史
– DDoS攻撃(2003)、恐喝DDoS攻撃(2007)
? DDoS攻撃の発生状況
– 1日平均10回以上、規模では100Gpbsを越える攻撃
も発生している。
– 依然としてIoTボットは脅威。
– 攻撃手法も多様。

17
DDoS攻撃
? 恐喝DDoS攻撃の継続
– 8/11 頃から世界中の組織に対して、DDoS攻撃が発
生。銀行、保険、証券取引所、決済サービスなど金
融系が多いが、攻撃対象の業種、国は多岐に渡る。
– 8/14から 8/17にかけて、韓国で新韓銀行、カカ
オバンク、K Bank が DDoS 攻撃を受ける。
– 国内でも暗号資産関連サイト、金融機関などを対象
に攻撃が発生。
– 8/25-8/27 ニュージーランド証券取引所 (NZX) で
DDoS 攻撃により取引一時停止。
– 国外のDDoS対策事業者では、数百 Gbps の攻撃規
模も観測。

18
DDoS攻撃
? 恐喝DDoS攻撃の継続(2)
? 攻撃発生後、より大きな攻撃を受けたくなけれ
ば金を払えと脅迫状が届く。
? 脅迫状ではArmada collectiveや fancy bearを
自称。
? 一旦停止すると狙われやすくなる
– 昨年10月の恐喝DDoS攻撃と同じ被害者に対する攻
撃。
– 11月には8月の攻撃で影響のあった対象にのみ、再
度攻撃が発生。
– 昨年と同じ行為者によるものか、攻撃先リストが複
数の行為者の間で弱いサイトが共有されている可能
性も。

20
? 社会生活の変化
? 無くなったもの
– マスク、消毒薬、ハンドソープ、粉もの、家庭用
ゲーム、家庭用ゲーム機、家庭用プリンタ
? 減少したもの
– 移動（通勤、旅行）、外食、宴会、買い物、ア
ミューズメント、病院通い、友達と遊ぶこと
? 増えたもの
– 通信、家での食事、テイクアウト、家族で遊ぶ、家
での仕事、水筒

21
? ネットワーク上の変化
– テレワーク関連通信の増加（2月から6月単純増加）
– 通信の方向の変化
– 動画配信増加
? 仕事の仕方の変化
– テレワーク
– 接待の減少
– リモート会議の増加
– リモート国際会議
– 仕事をする場の多様化（会社、自宅、サテライトオ
フィス）

22
オンプレミス環境
クラウド環境
インターネット
? テレワーク環境
? 利用者はオンサイトかリモートか
? 情報はオンプレミス環境かクラウド環境か
? テレワークセキュリティの勘所
? 会社とリモート環境の違い
? 本人性確認と認可
? 通信機器、通信路の安全性
? クラウドとオンプレミス環境の違い

23

狠狠撸

セキュリティ动向2020

More Related Content

セキュリティ动向2020