パソコンユーザのためのウイルス対策 7 箇条 1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること 2. メールの添付ファイルは開く前にウイルス検査を行うこと 3. ダウンロードしたファイルは使用する前にウイルス検査を行うこと 4. アプリケーションのセキュリティ機能を活用するこ

Size: px

Start display at page:

Download "パソコンユーザのためのウイルス対策 7 箇条 1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること 2. メールの添付ファイルは開く前にウイルス検査を行うこと 3. ダウンロードしたファイルは使用する前にウイルス検査を行うこと 4. アプリケーションのセキュリティ機能を活用するこ"

しょうりつまがみ
5 years ago
Views:

1 情報セキュリティ技術の基礎

2 パソコンユーザのためのウイルス対策 7 箇条 1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること 2. メールの添付ファイルは開く前にウイルス検査を行うこと 3. ダウンロードしたファイルは使用する前にウイルス検査を行うこと 4. アプリケーションのセキュリティ機能を活用すること 5. セキュリティパッチをあてること 6. ウイルス感染の兆候を見逃さないこと 7. ウイルス感染被害からの復旧のためデータのバックアップを行うこと IPA( 情報処理推進機構 ) ホームページから 2

3 パソコンユーザのためのスパイウェア対策 5 箇条 1. スパイウェア対策ソフトを利用し定期的な定義ファイルの更新およびスパイウェア検査を行う 2. コンピュータを常に最新の状態にしておく 3. 怪しいサイトや不審なメールに注意 Web サイトの参照便利なツールのダウンロード不審なメール理解できないポップアップ画面や確認メッセージ 4. コンピュータのセキュリティを強化するパーソナルファイアウォールを使うブラウザのセキュリティ設定を行う必要な場合以外は管理者モードを使わない 5. 万が一のために必要なファイルのバックアップを取るスパイウェアの定義はいまだ明確なものはないがパソコンユーザにとってのスパイウェアとは利用者の意図に反してインストールされ利用者の個人情報やアクセス履歴などの情報を収集し利用者以外のものに自動的に送信するソフトウェア IPA( 情報処理推進機構 ) ホームページから 3

4 スマートフォン情報セキュリティ 3 か条 ( 利用者が最低限取るべき情報セキュリティ対策 ) 1.OS( 基本ソフト ) を更新スマートフォンは OS の更新 ( アップデート ) が必要です古い OS を使っているとウイルス感染の危険性が高くなります更新の通知が来たらインストールしましょう 2. ウイルス対策ソフトの利用を確認ウイルスの混入したアプリケーションが発見されていますスマートフォンでは携帯電話会社などによってモデルに応じたウイルス対策ソフトが提供されていますウイルス対策ソフトの利用については携帯電話会社などに確認しましょう 3. アプリケーションの入手に注意アプリケーションの事前審査を十分に行っていないアプリケーション提供サイト ( アプリケーションの入手元 ) ではウイルスの混入したアプリケーションが発見される例があります OS 提供事業者や携帯電話会社などが安全性の審査を行っているアプリケーション提供サイトを利用するようにしましょうインストールの際にはアプリケーションの機能や利用条件に注意しましょうスマートフォンクラウドセキュリティ研究会報告書 (H ) から 4

5 無線 LAN 情報セキュリティ 3 つの約束 ~ パソコンやスマートフォンの一般利用者が最低限取るべき対策 ~ パソコンやスマートフォンからケーブルを気にすることなく利用できて便利な無線 LAN は電波を使って情報をやりとりするため利用者自身が適切な情報セキュリティ対策を取ることが必要ですまたスマートフォンは設定によっては利用者が無意識のうちに無線 LANに接続されている場合がありますのでスマートフォン利用者はそのことを認識するべきです無線 LANを便利に安心して活用するために一般利用者が最低限取るべき情報セキュリティ対策である 3つの約束を守りましょう約束 1. 無線 LAN を利用するときは大事な情報は SSL でやりとり約束 2. 無線 LAN を公共の場で利用するときはファイル共有機能を解除約束 3. 自分でアクセスポイントを設置する場合には適切な暗号化方式を設定一般利用者が安心して無線 LAN を利用するために (H ) から 5

6 6 約束 1. 無線 LAN を利用するときは大事な情報は SSL でやりとりインターネットは一般に通信内容を盗み見られる危険性があるものですが無線 LAN 利用時にはケーブルの代わりに電波を使っているためその危険性が高まりますそのため ID パスワード等のログイン情報クレジットカード番号やセキュリティコード暗証番号といった決裁に関する情報のほかプライバシー性の高い情報など大事な情報を無線 LAN でやりとりする場合には SSL により暗号化がされていることを確認しましょう

7 7 約束 2. 無線 LAN を公共の場で利用するときはファイル共有機能を解除公共の場で無線 LAN を利用する際にファイルの共有機能が有効になっていると他人からパソコンやスマートフォン内のファイルが読み取られたりウイルスなどの不正なファイルを送り込まれたりすることがありますファイル共有機能の利用は家庭内や職場の LAN に接続したときに限るようにして公共の場での無線 LAN 接続時には解除しましょう

8 8 約束 3. 自分でアクセスポイントを設置する場合には適切な暗号化方式を設定自分で設置したアクセスポイント ( 親機 ) でも電波の届くところから気がつかないうちに通信内容が盗み見られたり無断でウイルスの配付等に悪用されたりする危険性がありますそのため家庭の無線 LAN の親機やモバイル Wi-Fi ルータスマートフォンのテザリング機能を設定する場合には WPA や WPA2 により暗号化しましょうその際アクセスポイントと端末との間に設定する共通のパスワードはなるべくランダムで長いものにしましょう

9 WEP(Wired Equivalent Privacy= 有線と同等な安全性 ) 9 アクセスポイントと端末間を WEP キーを使い暗号化して通信 WEP キーはアクセスポイントと端末で事前に共有 ( ユーザーが設定 ) WEP キーの長さは 64bit と 128bit を選択可能 ( 長いほどセキュリティ高 ) WEP には脆弱性が指摘されていてより強化された WPA あり

10 WPA:Wi-Fi Protected Access WPA-PSK PSK: 事前共有鍵 (Pre-Shared Key) WPA は IEEE802.11i の一部の規格 ( フルサポートしたものが WPA2) アクセスポイントとこれを通信を行うすべての端末に共通の文字数の多い文字列 ( パスフレーズ = 最小 8 文字最大 63 文字の ASCII 文字列 ) を登録しておきその文字から生成される 128bit の PSK により端末を認証 WEP と比べ強固な暗号方式を採用 (TKIP,AES) TKIP Temporal Key Integrity Protocol WEP を拡張した暗号方式で WEP との違いは次のとおり共有鍵を端末毎接続毎に異なるよう 1 パケット毎に変更暗号方式の複雑化のためパケット毎に使われる鍵の不規則性を高める AES Advanced Encryption Standard : 高度暗号標準米国政府が使用する暗号方式として標準化されたもので WPA のオプション WEP 及び TKIP で使用されている RC4 より強固な Rijndael という秘密鍵暗号化アルゴリズムを採用ハードウエア処理を行わないと 54Mbps の速度には対応できない 10

11 SSID(Service Set Identifier) 11 SSID は無線 LAN のネットワークの識別子でありアクセスポイントと同一の SSID を設定した端末のみが通信可能端末側で SSID の設定を ANY か空欄にしておくとすべての SSID で通信可能となるそのためアクセスポイント側で SSID を遮蔽する機能 ( ステルス機能 ) を持つ製品も出ている

12 12 MAC アドレス (Media Access Control address) フィルタリング接続する端末の MAC アドレスをアクセスポイントに登録それ以外の端末は接続できない MAC アドレスは 48bit で上位 24bit は IEEE で管理する固有 ID 下 24bit が機種シリアル番号となり世界中で同じアドレスを持つ通信機器は存在しない

13 IEEE802.1X 認証 13 有線でも用いられるネットワーク認証の規格である PPP(Point to Point Protocol ) を拡張したプロトコルである EAP(Extensible Authentication Protocol) を採用しておりパスワード電子証明書等により端末及びアクセスポイント双方又は端末を認証する方式端末に搭載された認証用ソフトウェア認証に対応したアクセスポイント RADIUS(Remote Authentication Dial-In User Service) サーバ等の 3 つの要素により構成される RADIUS サーバにおいて一元的に認証が行われるため端末及びアクセスポイントの増加に対応可能であることから大規模な組織における運用にも耐えうる認証方式

14 14 メールのセキュリティ対策標的型攻撃メールの特徴 (1) 不特定多数に送られて次々と感染拡大するマスメール型ウイルスメールと標的型攻撃メールの比較特徴の比較 ( 傾向 ) 攻撃者の目的感染数検体収集言語件名本文送信者添付ファイル感染後の PC の症状マスメール型ウイルスメール社会騒乱多数の PC を操りたい多い容易主に英語一般的な用件一般勧誘指示 : 添付ファイルを開封等個人名不明組織実行形式重い PC ダウン標的型攻撃メール特定の組織の情報窃取システムの妨害少ない困難日本語自分に関係ありそうな用件関心事用件の説明が適切 ( 詐称 ) 官公庁大企業文書形式特に変わらず

15 15 メールのセキュリティ対策標的型攻撃メールの特徴 (2) 標的型攻撃メールの目的は特定の組織の情報を窃取することなので無関係な組織に送られる可能性は低い新種のウイルスが使われているのでウイルス対策ソフトにより検知することは困難ウイルス対策ソフトで検知できなくてもメール受信者がそのメールを不審に思い添付ファイルを開かなければウイルスに感染する可能性はほとんどない信頼できそうな組織から自分に関係ありそうな表題や内容の日本語のメールが送られており添付ファイルも文書ファイルなのでウイルスメールと気付かずに開いてしまう可能性が高い添付ファイルを開いてウイルスに感染してもパソコン等に特に異常な症状が現れないケースが多く感染に気付かずに使い続け長期間に渡ってウイルスが活動し組織内の他のパソコンやサーバ等に感染を拡大したり情報窃取等の被害を及ぼすことになる

16 メールのセキュリティ対策受信者側での対策 ( 技術面 ) ウイルス対策ソフトの適切な運用常時監視 + 定期的に全ファイルをスキャン OS やアプリケーションの既知の脆弱性の速やかな修正近年脆弱性の修正プログラムが公開されるとその脆弱性を悪用したウイルスが短期間に作られてサイバー攻撃に使われることが多い添付ファイルのファイル識別子の確認登録されている拡張子を表示しない設定にしてあると xxx.doc.exe のような二重拡張子のファイルが xxx.doc のように表示されることがあるのですべての拡張子を表示する設定にするメールヘッダの確認標的型攻撃メールにおいてはメールの表題やメール送信者情報メール本文メール送信時刻添付ファイル名はメール受信者が信用するような内容で表示されるように加工してあることが多いがメールヘッダには実際のメール発信元 IP アドレスなど詐称することが困難な情報が多数含まれている万一ウイルスに感染した場合の対策 1 ウイルスの活動 ( 組織内蔓延や外部通信 ) を阻害抑止する < 出口対策 > 2 重要な情報の利用制限 ( アクセス制御 ) をする 3 情報にアクセスされても保護するための鍵 ( 暗号 ) をかける 4 操作や動き ( ログ証跡 ) を監視分析し不審な行為を早期に発見する等 IPA( 独立行政法人情報処理推進機構 ) の標的型攻撃メールの分析に関するレポートから 16

17 17 メールのセキュリティ対策 ISP メールサーバ側での対策 (1) SMTP-AUTH (SMTP Authentication) メール送信に使うプロトコルである SMTP にユーザ認証機能を追加したもの SMTP はもともと認証を持たない単純な仕様であったためスパムメールの横行を許してしまい対策として認証機能の導入によりメール送信を制限することとしたメール送信の際に SMTP サーバとユーザとの間でユーザアカウントとパスワードの認証を行い認証された場合のみメールの送信を許可する AUTH-LOGIN AUTH PLAIN AUTH CRAM-MD5 などいくつかのユーザ認証方式があるこのうち AUTH CRAM-MD5 はパスワード文字列がそのままネットワークを流れることがないように暗号化が施される SMTP-AUTH が普及するまでに過渡的に POP before SMTP も利用された

メールのセキュリティ対策 ISP メールサーバ側での対策 (2) Outbound Port 25 Blocking ISP の悪意ある顧客が自前のメールサーバからスパム ( いわゆる迷惑メール ) を送信したり SMTP 拡大型のウイルスに感染した PC からウイルスメールが送信されることなどを防止するために ISP 側で許可した特定のサーバ以外の SMTP( 通常使用される TCP ポートの

18 メールのセキュリティ対策 ISP メールサーバ側での対策 (2) Outbound Port 25 Blocking ISP の悪意ある顧客が自前のメールサーバからスパム ( いわゆる迷惑メール ) を送信したり SMTP 拡大型のウイルスに感染した PC からウイルスメールが送信されることなどを防止するために ISP 側で許可した特定のサーバ以外の SMTP( 通常使用される TCP ポートの 25 番 ) の送信をブロックするという対策方法仕組み ISP のメールサーバを経由しないメール送信 ( スパムウイルス等 ) をブロックできる他の ISP のメールサーバへの直接の送信 (25 番ポート ) もブロックされる正規の利用者はサブミッションポート (587 番ポート認証機能付き ) を利用することにより送信可 ISP の導入状況ほとんどの ISP が対応 (H 現在日本データ通信協会調べ ) (NTT コミュニケーションズのホームページから ) 18

レコードを問い合わせる 3 SPF レコードに示される IP アドレスのリストに送信者のメールサーバが含まれていれば認証完了 (Sendmail 社のホームページから ) 1 DNS(Domain Name System) に

19 メールのセキュリティ対策 ISP メールサーバ側での対策 (3) 送信ドメイン認証送信元 IP アドレスにより認証する技術 SPF (Sender Policy Frameworks) 送信メールに電子署名を付与して認証する技術 DKIM (DomainKeys Identified Mail) 1 DNS(Domain Name System) にあらかじめ SPF レコードを公開しておく 2 メールを受信した相手のメールサーバは送信者の DNS へ SPF レコードを問い合わせる 3 SPF レコードに示される IP アドレスのリストに送信者のメールサーバが含まれていれば認証完了 (Sendmail 社のホームページから ) 1 DNS(Domain Name System) にあらかじめ電子署名に使う公開鍵と SSP(Site Signing Policy) を公開しておく 2 電子署名がついたメールを受信した相手のメールサーバは送信者の DNS へ公開鍵を問い合わせる 3 取得した公開鍵で電子署名を照合して OK であれば認証完了 19

20 メールのセキュリティ対策 ISP メールサーバ側での対策 (4) 送信ドメイン認証の導入状況送信側はほとんどの ISP が対応しているが受信側の対応はまだ十分には進んでいない ISP の種別送信受信サービス数の合計 SPF DKIM SPF DKIM IPS % 13% 24% 20% CATV % 13% 21% 15% 携帯 PHS % 0% 50% 0% フリーメール % 60% 100% 60% 合計 % 14% 25% 17% H 日本データ通信協会調べ 20

21 暗号アルゴリズムの安全性 (1) H 情報セキュリティ政策会議資料 21

22 暗号アルゴリズムについて SHA SHA(Secure Hash Algorithm) は一群の関連したハッシュ関数でありアメリカ国立標準技術研究所 (NIST) によってアメリカ政府標準のハッシュ関数として採用されている生成するビット長が異なる SHA-1 (160 ビット ) SHA2(SHA-224 SHA-256 SHA-384 SHA-512) がある SHA-1 は TLS SSL PGP SSH S/MIME IPSec などさまざまなセキュリティのアプリケーションやプロトコルに採用されている RSA Ronald Rivest 氏 Adi Shamir 氏 Leonard Adleman 氏の 3 人が 1978 年に開発した公開鍵暗号方式の一つ開発者の名前をとって名付けられた公開鍵暗号の標準として広く普及している RSA 暗号を解読するには巨大な整数を素因数分解する必要があり効率の良い鍵の発見方法はまだ見つかっていない RSA1024 は鍵長が 1024 ビット将来的には Wikipedia 等から 22

23 暗号アルゴリズムの安全性 (2) H 情報セキュリティ政策会議資料 23

24 公的個人認証サービスにおける暗号方式等の移行に関する検討会資料 24

25 公的個人認証サービスにおける暗号方式等の移行に関する検討会資料 25

26 公的個人認証サービスにおける暗号方式等の移行に関する検討会資料 26

27 27

28 28

29 29

30 30

AirStationPro初期設定

AirStationPro初期設定 AirStationPro 初期設定 AirStationPro の検索 1. エアステーション設定ツール Ver.2 を立ち上げて次へをクリックする注 ) エアステーション設定ツール Ver.2 は製品に付属している CD からインストールするか http://buffalo.jp/do wnload/driver/lan/ai rnavilite.html にあるエアナビゲータライト Ver.12.71