Submit Search
Upload
2014年の不正アクセス(まっちゃ139 2014.12.13)
•
34 likes
•
10,468 views
UEHARA, Tetsutaro
Follow
2014年12月13日 まっちゃ139勉強会でのネタ
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 14
Download Now
Download to read offline
Recommended
セキュリティはじめのいっぽ #cmujp
セキュリティはじめのいっぽ #cmujp
tama200x Kobayashi
Web3という概念が生まれるまでとこれから
Web3という概念が生まれるまでとこれから
AtsushiSasaki9
ハードディスクの正しい消去(2015.7)
ハードディスクの正しい消去(2015.7)
UEHARA, Tetsutaro
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
UEHARA, Tetsutaro
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
UEHARA, Tetsutaro
150828大学のセキュリティ
150828大学のセキュリティ
UEHARA, Tetsutaro
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
UEHARA, Tetsutaro
情報ネットワーク法学会2014個人情報保護条例パネル
情報ネットワーク法学会2014個人情報保護条例パネル
UEHARA, Tetsutaro
More Related Content
Viewers also liked
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
UEHARA, Tetsutaro
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
UEHARA, Tetsutaro
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
UEHARA, Tetsutaro
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
UEHARA, Tetsutaro
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
UEHARA, Tetsutaro
WordPress 不正アクセス事例の傾向と対策(さくらのビアバッシュ in DEP.@神戸元町)
WordPress 不正アクセス事例の傾向と対策(さくらのビアバッシュ in DEP.@神戸元町)
さくらインターネット株式会社
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
UEHARA, Tetsutaro
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
UEHARA, Tetsutaro
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
UEHARA, Tetsutaro
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
UEHARA, Tetsutaro
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
UEHARA, Tetsutaro
20160924自治体セキュリティ
20160924自治体セキュリティ
UEHARA, Tetsutaro
Sql server これだけはやっておこう 最終版
Sql server これだけはやっておこう 最終版
elanlilac
Viewers also liked
(14)
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
WordPress 不正アクセス事例の傾向と対策(さくらのビアバッシュ in DEP.@神戸元町)
WordPress 不正アクセス事例の傾向と対策(さくらのビアバッシュ in DEP.@神戸元町)
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
第2回情報法制研究会・上原「マイナンバー法が情報システムに求めるもの」
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
今さら聞けないマイナンバー
今さら聞けないマイナンバー
マイナンバーがもたらすインパクト
マイナンバーがもたらすインパクト
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
学習者用端末の運用とセキュリティ
学習者用端末の運用とセキュリティ
20160924自治体セキュリティ
20160924自治体セキュリティ
Sql server これだけはやっておこう 最終版
Sql server これだけはやっておこう 最終版
More from UEHARA, Tetsutaro
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
UEHARA, Tetsutaro
Dbsj2020 seminar
Dbsj2020 seminar
UEHARA, Tetsutaro
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
UEHARA, Tetsutaro
シンクライアントの解説
シンクライアントの解説
UEHARA, Tetsutaro
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
UEHARA, Tetsutaro
データベースセキュリティの重要課題
データベースセキュリティの重要課題
UEHARA, Tetsutaro
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
UEHARA, Tetsutaro
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
UEHARA, Tetsutaro
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
UEHARA, Tetsutaro
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
UEHARA, Tetsutaro
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
UEHARA, Tetsutaro
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
UEHARA, Tetsutaro
サマータイム実施は不可能である
サマータイム実施は不可能である
UEHARA, Tetsutaro
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
UEHARA, Tetsutaro
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
UEHARA, Tetsutaro
証拠保全とは?
証拠保全とは?
UEHARA, Tetsutaro
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
UEHARA, Tetsutaro
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
UEHARA, Tetsutaro
More from UEHARA, Tetsutaro
(18)
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
Dbsj2020 seminar
Dbsj2020 seminar
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
シンクライアントの解説
シンクライアントの解説
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
データベースセキュリティの重要課題
データベースセキュリティの重要課題
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
サマータイム実施は不可能である
サマータイム実施は不可能である
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
証拠保全とは?
証拠保全とは?
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
2014年の不正アクセス(まっちゃ139 2014.12.13)
1.
今年の不正アクセス どんなんやったかな 立命館大学
情報理工学部 上原哲太郎
2.
今年の不正アクセスの状況 去年から続く「リスト型攻撃」
ただ主な犯人グループが捕まったことで減る? ネットバンキング不正送金被害激増 これも例のグループが関連? 高度標的型攻撃は相変わらず 今年は脆弱性が当たり年?! 番外:不正アクセスではないけど… 今年は改めて「内部犯行」の年 ダークホテル:はっきりした日本狙い事案
3.
今年の主なリスト型攻撃 (件数/成功率はKangoさんから)
3/23~4/21 Club Panasonic(78361件1.7%) 4/14~28 MySoftbank(724件) 4/19~29 ソニーポイントサービス(273件) 5月? チケットぴあ(約100人) 5/27~6/4 ニコニコ動画(約22万件9.98%) 5/30~ Mixi(約26万件6.1%) 6/12 LINEアカウント乗っ取り(&不正送信) 6/19~23 Amoeba(38280件1.7%) 6/23 CAPAT(11502件?%) 6/28~ バンダイナムコID(14399件0.8%)
4.
今年の主なリスト型攻撃 (件数/成功率はKangoさんから)
7/11~ ポイントーク不正アクセスとポイント詐取 (OCNで1265件gooで568件) 8/13 無印良品ネットストア(20957件0.5%) ここは9月にもやられる… 8/18 Suicaポイントクラブ(756件0.3%) 9/7 リクルートポンパレモール等(9749件?%) 9/10 JR東日本My JR-East(21000件0.2%) 9/26 クロネコメンバーズ(10689件5.6%) 9/27 docomo ID (6072件0.3%) 9/28 佐川急便(34161件?%) 時期の「波」から同一グループ犯である可能性?
5.
ネットバンキング不正送金 6月11日中国人グループ13名逮捕
ネットバンク狙いのマルウェア かなり組織的被害総額6億円? 6月松山市の男が不正アクセスで逮捕される ネットバンク狙いのフィッシングサイト ゆうちょ、楽天、セブンなど 狙われたのはオンラインショップの業者 その後ウイルス供用罪でも逮捕(12/5) 実は2008年にも不正アクセスで逮捕
6.
標的型攻撃? 5/24~
CDNetworks侵入改ざん バッファロー、JUGEM、Aimingなどが水飲み 場に 7/30~ JALマイレージバンク情報流出 報道は9/29 マルウェア経由で不正アクセス 不正アクセスは8万人社外流出は1万? 9/5~ 法務省民事局・法務局 不正アクセスを公表(9/22)詳細不明
7.
脆弱性の当たり年?! OpenSSL(heartbleed)問題
世界的にはカナダ歳入庁などで大きな被害 国内での被害は4/11三菱UFJニコス(894件) DNS移転Injection まだ実被害なし? Struts問題 公共サイトに結構使われていることが明らかに POODLE問題 SSLについにトドメが 忘れちゃいけないShellShock
8.
ホームページ改ざんなど (いずれも水飲み場的に…)
GomPlayer(時期不明) 1/7 もんじゅ事務端末へのマルウェア感染が報道 日本バスケットボール協会(2月~3月) セガ(5/12) EmEditorサポートサイト(8/13) アップデートファイル改ざん、 サポートサイトへのログイン情報詐取 日産自動車価格シミュレーション(9/9) パロアロトネットワークス日本法人(9/11) Webサイト委託先がやられた? 技術評論社(12/5) さくらVPSのアカウント乗っ取り フィッシングだがマス攻撃かどうかは不明
9.
11/19プロキシ8業者一斉捜査 大光、SUNテクノ
中国で日本での接続向けVPN/proxyを展開 ネットバンク不正送金の多くに関与 内部で指南?主犯? その他はISPへの不正アクセスやOSの著作 権法違反で逮捕だが、本丸はこれから? 注目:ロジテックのルータLAN-W300Nの 脆弱性が使われた?
10.
Sony Pictures Entertainment
(SPE)事件 11/24 大規模システム障害と発表 #GOPを名乗るグループによるシステム破壊 漏洩データを人質にした脅迫 Guardians of Peace? Twitterアカウント乗っ取りなど外部にも見え る害がすぐ出始める #GOPが盗んだ情報 映画女優のパスポート写し 機密文書、パスワード類など 未公開の映画
11.
SPEが受けた攻撃の手法 割と周到な高度標的型攻撃
使われたマルウェアに既に攻撃先情報が 北朝鮮の関与が噂されているが? 韓国テロとの類似 The Interview(金正恩総書記が登場するパロ ディ映画)公開中止を要求されたと報道 ただ便乗犯かも?鵜呑みにしにくい 事後対策もちょっと注目
12.
日本人を明らかに狙った ダークホテル
ホテルWiFi経由攻撃2/3が日本での被害 かなり凝った手法(Adobe Readerの アップデート、Bittorrent上で のマンガなど) 電子証明書の偽造も 謎は残ってる 攻撃者集団はハングル語圏? そもそもどうやって 標的がそのホテルに いることを知るのか
13.
番外:内部不正 国立国会図書館事案(5/15)
入札を有利にしようと下請けが… ベネッセ事案(7/9) 孫請け技術者による名簿不正持ち出し転売 ドコモ法人顧客情報事案(9/9) MRT事案(10/14) 元社員が顧客情報を持ち出し新会社iDoctor設立
14.
思うこといろいろ リスト型にせよマルウェアにせよ
やられ放題って感じがするんですが 対策の熱が上がらないのは何故? 結果責任ばかりで過程にケアがないのも心配 パスワード終わってるよね… FIDOにちょっと期待 不正アクセス禁止法このままでいいの? 認証という手法が多様化するが 今のままでカバー出来るのか不安 実被害が発生した場合は 他の法律がよい気がする 内部不正どうするか(不正競争防止法?) 大事なんだけど…優先順位としてどうか?
Download Now