その WiFi 本当に大丈夫? ~WiFi 利用に潜む落とし穴 ~ 公衆 WiFi 利用時の注意点を中心にお話しします 神奈川県警察本部サイバー犯罪対策プロジェクトサイバー攻撃対策プロジェクト h t t p : / / w w w. p o l i c e. p r e f. k a n a g a w a. j p /
サイバー犯罪の情勢
とはコンピュータやインターネットを悪用する犯罪のことです
サイバー犯罪で多いものは? 全国警察におけるサイバー犯罪の検挙状況の内訳 ( 平成 29 年上半期 ) 警察庁 平成 29 年上半期におけるサイバー空間をめぐる脅威の情勢等について より
インターネットバンキングでの 不正アクセス 不正送金被害 ネットバンキングで知らない間に見知らぬ口座へお金が不正に送金される被害が発生 平成 29 年上半期の被害額は全国で 約 5 億 6400 万円 パソコンが不正プログラム ( ウイルス ) に感染していたことが被害のきっかけとなっている
インターネットバンキングマルウェアなどに感染させるウイルス付メールに注意 昨今 インターネットバンキングマルウェアなどの感染拡大を図るウイルス付メールが日本を標的として大量に送信されています 件名は 御請求書 発注依頼書 など取引関係を装ったものや 写真を添付致します 公共料金請求書データ送付の件 等 日常生活にかかわる内容など様々なものがあります
このところ多い不審メール
ウイルス感染防止対策 ( 様々な感染方法があるため 複合的な対策が不可欠です!! ) 1. ウイルス対策ソフトを利用し更新を行いましょう 2. OS や利用しているプログラムを最新の状態にアップデートしましょう 3. 信頼のおけないプログラムはインストールしないようにしましょう 4. 怪しいサイトや必要のないサイトには罠が仕掛けられていることがあるためアクセスしないようにしましょう 5. メールの添付ファイルは安易に開けないようにしましょう 6. USB メモリなどの外部記憶媒体は必ずウイルスチェックをしましょう 7. ファイアウォールなどを適切に利用しましょう 8. 使わないときは電源を切りましょう
サイバー攻撃の情勢 9
サイバー攻撃の情勢 サイバー攻撃は世界的規模で発生してお 第 4 の戦場 宇宙 り 国の治安や安全保障に影響を及ぼす おそれがある 第 2 の戦場 海 第五の戦場 で生き抜くためには 第 5 の戦場 サイバースペース 第 3 の戦場 空 サイバーセキュリティの知識と技能 を身に付ける必要があります!! 第 1の戦場 陸
標的型メール攻撃の情勢 平成 29 年上半期に警察が把握した標的型メール攻撃の件数は589 件で 平成 28 年下半期より1,506 件減少している
スマートフォンの セキュリティ対策の必要性 Android 端末を狙った標的型メール攻撃 Android OS を搭載したスマートフォンを狙った標的型メール攻撃も確認されている メール本文に記載されたリンクをタップすることで インターネット上のウェブサイトに接続し Android 向けの不正プログラムをダウンロード 今後もモバイル端末を狙ったサイバー攻撃が発生するおそれがある 12
13
~ ここから本番!?~ 14
無料の WiFi を見つけたとき やった! SSID:cyber-free-wifi パスワード ( 暗号化 ) なし ラッキー!!
パスワード ( 暗号化 ) なしの WiFi 通信内容を盗み見られてしまう メールの内容を見られる パスワードを盗まれるなどのリスクがある 自前で通信の暗号化を行う 悪意のアクセスポイント (AP) 通信傍受のほか 情報漏洩 ウイルス感染などのリスクがある 信頼できる AP かどうか確認する
野良 AP 利用における問題点 住宅地等でパスワード ( 暗号化 ) 設定がされていないアクセスポイント (AP) を見かけることがありますが ラッキー!! などとは思わな いですよね!?
野良 AP 利用における問題点 しかし 子どもたちは 携帯型のゲーム機等を野良 AP に接続して使ってしまう場合があります WiFi 使えるラッキー!
野良 AP 利用における問題点 AP にセキュリティ設定をしていないような家庭などは セキュリティに対する意識が低いことが考えられるため そのような所有者の AP に接続するとウイルス感染などのリスクがある
野良 AP 利用における問題点 情報搾取の目的で 意図的にセキュリティ設定をしていない AP を設置している者もいるため ゲームで利用する ID/ パスワードや他の利用者とのやりとりを盗み見られるなどのリスクがある インターネット
野良 AP 利用における問題点 まんじゅう落ちてるラッキー!
暗号化された AP でも パスワード ( 暗号化 ) 設定がされているWiFiでも 偽アクセスポイント (Evil Twin: 悪魔の双子 ) によるリスクは防げません Fake 悪魔の双子 とは 無線ネットワーク上で正規のアクセスポイントを偽装し ユーザーを騙す攻撃手法 (WiFi フィッシング ) 自動接続設定をしていると 知らぬ間に偽 AP へ接続してしまうことがあります SSID:Secure-wifi P/W: passpass Fact SSID:Secure-wifi P/W: passpass
暗号化された AP でも ホテルや観光地等の公衆無線 LAN サービスでは SSID とパスワード ( 暗号化キー ) が公開されているため 偽 AP が設置される恐れがあります 正規の AP につながっているか 偽 AP につながっているかどうかを判断するのは困難です WiFi を提供していないホテルなどの周辺で そのホテル名などを騙った偽 AP が設置されることもあります
暗号化された AP でも WiFi 通信に関するの複数の脆弱性 KRACKs WiFi 通信暗号化等で利用されている WPA2 等において KRACKs(Key Reinstallation AttaCKs) と呼ばれる暗号キーを特定されるなどの複数の脆弱性が発見されています この脆弱性を悪用されると 無線 LAN の通信範囲に存在する第三者により暗号化された通信を傍受される恐れがあります
暗号化された AP でも KRACKs を悪用した攻撃 現時点で 攻撃コードおよび攻撃被害は確認されていませんが 今後本脆弱性を悪用する攻撃が発生する可能性があります 影響範囲 WPA/WPA2 を利用する無線 LAN 機器 (AP IoT 機器も含む ) クライアントと AP 間の無線通信が対象 無線 LAN の電波が届く範囲に攻撃者は入る必要がある
暗号化された AP でも KRACKs 攻撃への対策 機器のアップデートをする Windows ios(iphone 等 ) は最新のアップデートで対応済 Android は機種メーカー毎に対応の有無の確認必要 AP IoT 機器もメーカー毎に対応の確認が必要 アップデートできない場合 SSL/TSL 等の暗号化通信や VPN サービスを利用する KRACKs 以外にも暗号化解析を行うなどの WiFi に対する攻撃が存在しています!
VPN による暗号化について VPNとは Virtual Private Network( 仮想専用線 ) の略であり 本来は企業等の拠点間を専用線で結んでいる様にインターネットを通じて安全に通信させるもの WiFiのセキュリティ対策として提供されているVPNサービスでは 利用者端末 ( スマホ等 ) と事業者のサーバー間でのVPNを行うものです サービスの利用規約を確認しておきましょう
暗号化される通信の範囲 ( イメージ ) 利用者端末 SSL 暗号化 SSL 対応 事業者の VPN サーバ SSL 暗号化 SSL 対応
まとめ 29
公衆 WiFi 利用時の注意点 大切な情報は暗号化通信 (SSL 等 ) を利用する WiFi 通信は有線通信よりも盗み見られる危険性が高く 特に公衆 WiFi は通信の傍受や偽 AP に接続させられる危険性があるため 大切な情報を扱う際には暗号化通信 (SSL 等 ) を利用する 暗号化通信ができない場合には 通信内容が盗み見られる危険性を理解した上で 大事な情報をやりとりするかどうか判断してください
公衆 WiFi 利用時の注意点 ファイル共有機能を解除しておく 他人と同じネットワークに接続することになるので パソコンのファイル共有機能を解除しておく WiFi 経由でのファイル共有機能があるスマートフォンのアプリは停止しておく
公衆 WiFi 利用時の注意点 知らないアクセスポイントを利用しない 野良 AP は絶対利用しない!!( 道端の饅頭 ) 店舗やホテル等のアクセスポイントは SSID 等を確認して利用する 携帯電話事業者の提供する公衆 WiFi を優先的に利用する
公衆 WiFi 利用時の注意点 不正なサイトへのアクセスやを防ぐ するためのする 不正利用対策が不十分なアクセスポイントでは 不正な利用者からの攻撃等に備える必要があります
公衆 WiFi 利用時の注意点 公衆 WiFi を利用する際には様々なリスク があることを理解し どこまでのリスクを容認するか考える 容認できないリスクについては 十分な対策を行う 対策できない場合には 扱う情報を検討する ことなどが必要です 大切な機械と情報は シッカリ守りながら使いましょう!!
無料の WiFi を見つけたとき やった! SSID:cyber-free-wifi パスワード ( 暗号化 ) なし ラッキー!!
インターネットを 安全安心に利用するためには 36
利用者が認識すべきこと サイバー犯罪 サイバー攻撃が日々進化する中 であるため リスクを低減し 攻撃を受ける前提で が必要
日頃からの情報収集 日々 巧妙化 複雑化するサイバー犯罪 サイバー攻撃に対応していくためには 日頃からの情報収集が不可欠 手口を知っているか知らないかが 被害に遭うか遭わないかの分かれ目 警察をはじめとしたサイバーセキュリティ関係の機関のホームページやツイッターなどで確認 インターネットのニュースサイト等でも情報収集
サイバー社会で必要な 3 つの力 ネットの情報の正否 危険性の有無 行動の善悪を見極める力が必要 興味本位や好奇心 軽い気持ちで行ったことが思わぬ犯罪やトラブルになることがあるため 誘惑に負けない 周りに流されない力が必要 ネット社会は自己責任が原則 自分の行動に責任が取れる力が必要
サイバーセキュリティ対策は 知識よりも意識 が大切です