情報セキュリティ 第 2 回 2016 年 4 月 15 日 ( 金 ) 1/17
本日学ぶこと 本日の授業を通じて マルウェア 踏み台攻撃 など, 日常生活におけるセキュリティ脅威とその対策 ( ユーザサイドのセキュリティ ) を学びます. 2
情報セキュリティ 10 大脅威 情報処理推進機構 (IPA) が公表 https://www.ipa.go.jp/security/vuln/10threats2016.html 第 1 位 : インターネットバンキングやクレジットカード情報の不正利用 第 2 位 : 標的型攻撃による情報流出 第 3 位 : ランサムウェアを使った詐欺 恐喝 第 4 位 : ウェブサービスからの個人情報の窃取 第 5 位 : ウェブサービスへの不正ログイン 3
情報セキュリティ 10 大脅威 第 6 位 : ウェブサイトの改ざん 第 7 位 : 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ 第 8 位 : 内部不正による情報漏えいとそれに伴う業務停止 第 9 位 : 巧妙 悪質化するワンクリック請求 第 10 位 : 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 脅威は古い? 新しい? 新旧さまざま. ただしこの1 年で発生した脅威は見当たらない. 基本的な仕組み を知る. まず我が身を守り, そして周囲に目をやる. 4
代表的なセキュリティ脅威 マルウェア 踏み台攻撃 無線 LANへの攻撃 ソーシャルエンジニアリング 標的型攻撃 5
マルウェア (malware) 不正かつ有害な動作を行う意図で作成された, 悪意のあるソフトウェアや悪質なプログラムコード 悪意のある不正ソフトウェア 不正プログラム とも呼ばれる.malwareの語源はmalicious + software 例 : コンピュータウイルス, ワーム, バックドア, キーロガー, トロイの木馬, マクロウイルス, ブートセクタウイルス, スパイウェア, 悪質なアドウェア, ランサムウェア 6
コンピュータウイルス JIS X 0008における定義 : 自分自身の複写, 又は自分自身を変更した複写を他のプログラムに組み込むことによって繁殖し, 感染したプログラムを起動すると実行されるプログラム 主要な機能 自己伝染機能 : 自らの機能によって他のプログラムや他のシステムにコピー ( 感染 ) 潜伏機能 : 特定時刻, 一定時間, 処理回数といった条件により発病するまで, 症状を出さない発病機能 : ファイルの破壊やユーザの意図しない動作など 多くは.exe や.com ファイルだが,Excel などのマクロに潜む マクロウイルス や, ブートセクタに潜む ブートセクタウイルス もある コンピュータウイルス対策基準 : http://www.ipa.go.jp/security/antivirus/kijun952.html 7
コンピュータウイルス ウイルスでないもの (?) ワーム : 宿主となるファイルは不要. しかし自身を複製して他の計算機に拡散し得るし, 自己増殖機能も持つボット : 遠隔から制御可能なプログラム. 主要な機能はウイルスと同じ. ユーザに気づかれずにバックドアが作られ, 攻撃の一端を担うことも 対策 : アンチウイルスソフトウェア (Anti-Virus Software) を導入し, 監視させる スキャンによって, ウイルスが見つかったら, 駆除 隔離 削除有償 無償や, ファイアウォール機能などを組み合わせたものも更新を忘れずに 8
トロイの木馬 (Trojan horse) セキュリティ上問題のあるプログラムをユーザが受け取り, 実行したときに, 悪意のある動作が発生 データの破壊, 外部への情報流出など受動的攻撃を行う. 自己増殖機能を持たない 語源はギリシア神話 トロイアの木馬 トロヤの木馬 とも 木馬の中にギリシア軍兵士らが入り, 隙を見てトロイア人を襲撃した こんな攻撃, 本当に成立するの? 2005 年, 日本国内でも, ネットバンキングサービスのユーザへ, 銀行と偽り CD-ROM を送りつけ, 不正送金を実行させた事件が発生した 9
キーロガー (Keylogger) キー入力を監視して記録するもの ハードウェアでもソフトウェアでも実現されている ユーザビリティ評価など研究でも用いられているが, 悪用すると, 打ち込んだ内容が筒抜けになってしまう 通信を暗号化していても, 知られてしまう! ネットカフェや公共施設のPCに設置されていることも 通信の死角をついた, 他の悪用 ショルダーハック : パスワードや暗証番号などの入力を肩越しに盗み見ること テンペスト : 漏洩電磁波 ( 電子機器から発生する微弱な電磁波 ) を解析して, 情報を盗み見ること 10
スパイウェア, アドウェア, ランサムウェア スパイウェア (spyware) ユーザが使用する計算機の情報 ( キーボード マウスの入力, ブラウザ履歴, ファイル, 画面など ) を収集し, 外部へ自動的に送信するソフトウェア アドウェア (adware) 広告を目的としたソフトウェア. 中でも, 利用者に十分な情報提供をせずにインストールされ, 起動時に必ず表示されるものはマルウェアとされる ランサムウェア (ransomware) 計算機に不具合 ( ファイルを暗号化してユーザが読めなくするなど ) を引き起こし, 解除に身代金を要求するソフトウェア 11
ソフトウェア使用の基本 脆弱性が報告されているソフトウェアはインストールしない 脆弱性が報告されているバージョンは使用しない 計算機やソフトウェアが, 外部とどのような通信を行うかを理解する 不明なソフトウェアは使用しない 贈り物 にも注意を払う セキュリティ対策ソフトウェアをインストールし, データを最新版にする ( 使用期限にも注意 ) OSのアップデートも忘れずに 12
計算機管理を怠ると 計算機管理を怠ると ウイルスなどが蔓延する秘密の情報を放出してしまう踏み台攻撃の被害者になるで加害者 ソフトウェア面以外の対応は? あなた 踏み台攻撃のイメージ 異変に気づけば, まずネットワークからの遮断 隔離 LANケーブルを引っこ抜け! 無線をオフに! 13
無線 LAN の脅威と対策 脅威の例 無線 LAN 環境に侵入され, 重要な情報を盗まれる. 無線 LAN 環境を無断で利用される. 通信データを盗聴される. 対策 ( ルータ設置時 ) SSIDをデフォルトから変更し, 可能ならMACアドレスフィルタリングを行う暗号化方式にはWEPやWPAではなくWPA2を使用し, 認証のために安全なパスワードを設定する 対策 ( 子機利用時 ) 暗号化方式には WEP や WPA ではなく WPA2 を使用する HTTPS や SSH など, より上の層の暗号化を併用する ( なりすましアクセスポイント対策 ) 14
データ管理 情報流出 ( 情報漏洩 ) の原因 リムーバブルメディア (USB フラッシュメモリなど ) P2P ソフトウェア (Winny など ) Web 日記,SNS(Facebook など ), ミニブログ (Twitter など ) データ管理の考え方 外部に出していい情報, いけない情報について, ルールを定める. 研究成果は, 公刊日まで,Webなどで報告しない. 情報の持ち主 ( 収集者, 保有者 ) を意識する 便利だから は流出のもと 運搬 伝送方法に応じて適切に暗号化 暗号化 ZIP,PGP,SSH,SSL/TLS など 計算機の安全性 データの安全性 通信の安全性 は異なる! 15
ソーシャルエンジニアリング エンドユーザの安全性 ソーシャルエンジニアリングの例 ご利用のオンラインバンクですが, 手違いでパスワードを消失してしまいました. 誠に申し訳ございませんが,http://~~/ にて, 再登録をお願いします. というメール ソーシャルエンジニアリングを知らないと 機密情報やアクセス権限が奪われる では, どうすればいいか? 善意を装った情報収集, 情報操作には応じない 保護すべき計算機や情報を把握しておく 日々ニュースを見聞きする Web ならまず, セキュリティホール memo http://www.st.ryukoku.ac.jp/~kjm/security/memo/ 16
標的型攻撃 攻撃者が, 特定の組織に対して特定の目的 ( 情報の窃取や削除 ) のために行うサイバー攻撃の一種. 例えば, 標的型メールを送りつけ, 受信者が本文中のリンクをクリックするか添付ファイルを開いたら, 目的が達成できてしまう. Web サイト閲覧による攻撃もある. ウイルス対策ソフトウェアでは検出できないことも. 17E