Upgrade to Pro — share decks privately, control downloads, hide ads and more …

情報処理応用B第13回資料 /advancedB13

情報処理応用B第13回資料 /advancedB13

Kazuhisa Fujita

January 19, 2022
Tweet

More Decks by Kazuhisa Fujita

Other Decks in Education

Transcript

  1. 情報セキュリティとは • 外部とつながったネットワークやコンピュータは常に外部から の攻撃の脅威にさらされている.その脅威から守ることを情報 セキュリティという. • 情報セキュリティ対策の必要性 • 企業などの組織の運営は情報システムへ依存している. •

    情報システムの停⽌による損失,情報漏えいによるイメージの失墜. • 情報システムへの被害は,組織に⼤きい被害をもたらすだけではなく,取 引先や顧客など広く影響を与える.
  2. 機密性 • 許可された⼈だけが決められた範囲内で情報資産にアクセスで き,情報漏洩しないようにすること. 'â ´Ÿ¥ C΃ qi,;޺“+;JK'ÑKJèg ! ͯƁ

    #   ̡ ं ҵ  5 ʼn 5 ʼn U  r  ô   \   4 "  ڢ I НƁ U ͤƴĤ    ϴ þ  փs@ Ŝ Ú çççŦ୉ Ú ހ­ƒƒЇ  ¼Ť #  y x U A l ưÆ Ì   ǖ ȾƁ #  S Ń P "  : e ô   &   ǖ    y Ĺ ¾ Ǡ ĥ  $ 0Ȟ¼
  3. 完全性 • 情報資産の内容が書き換えられたりすることなく,正しい状態 を保っていること (⠞Ž¥ ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔˆ¿

    # $  ųʉŻ #  Wï  ҃ þ  ػsޣ ŜȀ çççŦس Ú୉Ҫ­ƒƒЇ  ¼Ť #  y x U A  l ưÆü    լĕ " ¤ &ƎÎ »     w  Ӛ¿(ϝʉŻ  IJĿWx     %  D + < ) %  șǵ¼
  4. 可⽤性 • 利⽤者が必要なときに必要な情報資産を使⽤できるようにする こと )⠗»¥ ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~  ͯȲ

    #  ҵ  5 ʼn 5 ʼn Rı   & 4 ࡼ e á  $  ųƀI ȲT  ҃ ̛  փs@ ŜÚ çççŦ࣏Ȁ Ҩ­ƒƒЇ ¼Ť #   % x U A 4 l ưÆǯ    œ  Đ  Յˮ 0 w  ȾƁ #  MIS vR  &  : e á   &         H?J ı&DždžƜǀ L Ȋɚ¼
  5. その他の要素 • 真正性 • ある主体または資源が主張通りであることを確実にする特性 • 責任追及性 • あるエンティティの動作が,その動作から動作主のエンティティまで⼀気 に追跡できることを確実にする特性

    • 信頼性 • 意図した動作および結果に⼀致する特性 • 否認防⽌ • ある活動または事象が起きたことを,あとになって否認されないように証 明する能⼒
  6. セキュリティー10⼤脅威(個⼈) 1. フィッシングによる個⼈情報等の詐取 2. ネット上の誹謗・中傷・デマ 3. メール,SNSなどを使った脅迫・詐取の⼿⼝による⾦銭要求 4. クレジットカード情報の不正利⽤ 5.

    スマホ決算の不正利⽤ 6. 偽警告によるインターネット詐欺 7. 不正アプリによるスマートフォン利⽤者への被害 8. インターネット上のサービスからの個⼈情報の窃取 9. インターネットバンキングの不正利⽤ 10.インターネットサービスへの不正ログイン (IPA情報セキュリティ10⼤脅威 2022より)
  7. セキュリティー10⼤脅威(企業) 1. ランサムウェアによる被害 2. 標的型攻撃による情報流出 3. サプライチェーンの弱点を悪⽤した攻撃 4. テレワーク等のニューノーマルな働き⽅を狙った攻撃 5.

    内部不正による情報漏えい 6. 脆弱性対策情報の公開に伴う悪⽤増加 7. 修正プログラム公開前を狙う攻撃(ゼロデイ攻撃) 8. ビジネスメール詐欺による被害 9. 予期せぬIT基盤の障害に伴う業務停⽌ 10.不注意による情報漏えい等の被害 (IPA情報セキュリティ10⼤脅威 2022より)
  8. コンピュータウイルス関連の⽤語 • マルウェア • 不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアの総 称 .(wikipedia) • コンピュータウイルス •

    コンピュータに感染して破壊活動を⾏ったりトラブルを引き起こしたりす るプログラム.(IT⽤語辞典) • マルウェアの⼀種で,⾃⽴せず,動的に活動せずプログラムファイルから プログラムファイルへと静的に感染するもの .感染先のプログラムの⼀部 を書き換え,⾃分のコピーを追加し,宿主が実⾏された時に⾃分⾃⾝をコ ピーするコードを実⾏させることで増殖する.(wikipedia) • トロイの⽊⾺ • 有⽤なプログラムあるいはデータファイルのように偽装されていながら, その中にマルウェアを隠し持っているファイル .(wikipedia)
  9. 事例 • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け,アク セスできない状況になった. • 2016年MiraiというマルウェアによりDNSサービスサービスプロ バイダの Dynが攻撃をうけ,その影響でTwitter,Spotify, Redditなどのサービスが利⽤できなくなった. •

    IoT機器に感染 • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器 • Miraiに感染したIoT機器は感染可能なIoT機器を探し,⾒つけたら攻撃者に 報告. • 感染したIoT機器はボットネットを構成し,攻撃に⽤いられる.
  10. DoS攻撃・DDoS攻撃の対策 • 個⼈としての対策 • ソフトウェアを最新のものにしておく. • 最新だからといって安⼼できない • セキュリティソフトを導⼊する. •

    万能ではない. • 怪しげなファイルを不⽤意に開かない. • 怪しげなものが分かれば苦労しない. • 怪しげなサイトを開かない. • 怪しげなものが分かれば苦労しない. • 管理者としての対策 • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する. • 単位時間あたりのアクセス回数に制限を設ける. • ネットワークトラッフィクの監視システムを導⼊し,攻撃と思われる接続を遮断 する.
  11. ウェブサイト改ざん • 企業や⾃治体のページが、他の誰かに改ざんされる • 改ざんはどのウェブサイトでも起こりうる • 有名かどうかは関係ない • マルウェア散布 •

    価格コム(2005年) • 政治的なメッセージの配信 • ⻄宮観光協会(2015年) • ルスツリゾート加森観光(2015年) • カメラバック販売代理店銀⼀(2015年) • 他のページに誘導 • 五島市(2015年)
  12. フィッシング詐欺 • クレジットカード会社や銀⾏からのお知らせを装って,クレ ジットカード番号や暗証番号などを聞き出す. • 銀⾏やgoogleなどの偽のウェブサイトに誘導し,クレジット カード番号,暗証番号,パスワードなどを偽のウェブサイトに ⼊⼒させ盗む. • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難.

    • URLも本物と似ているもの(oが0になっているなど)を使っておりURLで も判別は難しい. • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能. • 偽のショートメッセージを送り,不正サイトに誘導し,スマホ の不正アプリをインストールさせそのアプリから個⼈情報を盗 む. (https://is702.jp/news/3352/)
  13. 標的型攻撃 • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を 不正に取得する. • 不特定多数を狙ったものではなく,特定の企業などを狙ってい る. • 典型的な攻撃⼿順 •

    標的の企業の社員にマルウェアを添付したメールを送る. • 関係者や取引先を装い,業務関連のメールだと思わせることで標的の社員 を信⽤させる.そして,添付されたマルウェアを開かせる. • マルウェアを通し標的の企業のPCを遠隔操作し,機密データを盗む.
  14. 事例 • 2014年⽇本航空から顧客管理システムの不正アクセスが発⽣し た. • メールに添付されたマルウェアに感染. • 2017年には⽇本航空は3.8億円の詐欺にもあった(メールにはマルウェアで はなく偽の銀⾏⼝座がついていた). •

    2015年⽯油連盟が標的型攻撃により内部情報が漏洩した. • 外部組織から指摘があったため発覚 • 2015年⽇本年⾦機構をターゲットにした標的型攻撃によって個 ⼈情報が125万件流出した.
  15. 標的型攻撃の対策 • ウイルス対策ソフト,セキュリティソフトの導⼊. • 万能ではない. • ソフトウェアの更新する. • やらないよりまし. •

    安易にメールの添付ファイルを開かない. • 開かせるように⼯夫してあるので開いてしまう. • ソーシャルエンジニアリングの⼿法が⽤いられる事があり,技術的な 対策だけではなく各⼈のセキュリティに関するリテラシも必要. • 異常な(不審な)通信を⾒つけ,通信を遮断する • データは暗号化しておく. • 騙されるものだと思っておく.
  16. 故意ではない情報漏洩 • 忘れ物 • ノートパソコン,USBフラッシュメモリ,書類. • ファイル交換ソフト • ウイルスに感染することで機密ファイルが共有され全世界にばら撒かれる. •

    メールの送信先の間違い • インターネットサービスの設定ミス • パスワードを掛けるべきところをかけていなかった. • 公開してはいけないファイルを公開する. • 2015年FRBが誤って内部資料を公開 (https://www.nikkei.com/article/DGXLASGM25H21_V20C15A7NNE000/) • 2018年Amazonが誤ってメールアドレスを公開 • 2018年経産省が⼊札情報を誤って公開
  17. 故意ではない情報漏洩 • パスワードが簡単すぎ不正アクセスされ情報漏洩 • ハードディスクの捨てる際,OSのゴミ箱フォルダに機密ファイ ルを移し削除する. • OS上では消えたように⾒えても,データはハードディスク上に残ったまま. データ復旧ソフトを⽤いると,消したデータをもとに戻せることがある. •

    確実に削除するには,ディスクを破壊するかディスクを何度か乱数などで 上書きする必要がある. • 事例 • 2019年HDDの処理を委託されたブロードリンクの社員が,そのHDD持ち出しをオーク ションサイトで転売した.そのHDDは神奈川県のPCから取り出されたもので,落札者 がデータ復旧ソフトを⽤いると神奈川県の公⽂書がそのHDDから⾒つかった.
  18. 意図的な情報漏洩 • 従業員が故意に内部情報を外部に漏洩させる • 処遇の不満などによるストレスの発散 • 借⾦返済のため情報を売る • 事例 •

    2014年ベネッセの顧客情報が漏洩していることが発覚. • システム開発・運⽤を⾏っていた⼦会社のシンフォームに再委託先企業の社員が顧客 情報を持ち出し,250万で売却.
  19. ランサムウェアとは • マルウェアの⼀種 • コンピュータの利⽤者のシステムへの利⽤を制限する. • 制限を解除するために⾝代⾦ (ransom)を⽀払うよう要求する. • ウェブサイトの閲覧,メールの添付ファイル,ネットワークの

    接続により感染する. • ランサムウェアによる利⽤制限の例 • コンピュータを操作不能にする. • ファイルの暗号化によりファイルを読み取り不可能にする.
  20. 全般的な対策 • すべてのソフトを常に最新の状態にしておく. • ウイルス対策ソフトの導⼊する. • しかし,全てのウイルスを検知できるわけではない. • 簡単なパスワードにしない. •

    セキュリティの⾼い設定にする. • 機密情報を持ち出さない. • メールに添付されているファイルを安易に開かない. • ITセキュリティに関わる事案が起こった後のことを考えておく.
  21. ファイヤウォール • LANの中と外とを区切る壁として働くシステムをファイア ウォールという. • パケットフィルタリング • 予め指定されたルールに則ってパケット(情報)を通過させる. • 例:IPアドレス,ポート番号など

    • アプリケーションゲートウェイ(プロクシサーバ) • LAN内のコンピュータはアプリケーションゲートウェイを通じ外へつなが る. • 外からはアプリケーションゲートウェイしか⾒えないため,LAN内のコン ピュータが不正アクセスの標的になることを防ぐことができる.
  22. 演習 • 情報セキュリティに関して発⽣したインシデントのうち,可⽤ 性が損なわれる直接の原因となったものはどれか。(ITパスポー ト平成23年特別) 1. PCがウイルスに感染し,知らないうちにPC内の情報が流出し た。 機密性 2.

    空調の故障で温度が上がり,サーバが停⽌した。 3. サーバに不正侵⼊されて個⼈情報が盗まれた。 機密性 4. ファイルの中の取引データの⾦額を誤って更新した。 完全性
  23. 演習 • ランサムウェアの説明として,適切なものはどれか。(ITパス ポート平成31年春期) 1. PC内のファイルを暗号化して使⽤不能にし,復号するための キーと引換えに⾦品を要求するソフトウェア 2. キーボードの⼊⼒を不正に記録するソフトウェア 3.

    システムログを改ざんすることによって,⾃らを発⾒されにく くするソフトウェア 4. ⾃ら感染を広げる機能をもち,ネットワークを経由して蔓延し ていくソフトウェア
  24. 演習 • ランサムウェアの説明として,適切なものはどれか。(ITパス ポート平成31年春期) 1. PC内のファイルを暗号化して使⽤不能にし,復号するための キーと引換えに⾦品を要求するソフトウェア 2. キーボードの⼊⼒を不正に記録するソフトウェア キーロガーです.

    3. システムログを改ざんすることによって,⾃らを発⾒されにく くするソフトウェア ルートキットです. 4. ⾃ら感染を広げる機能をもち,ネットワークを経由して蔓延し ていくソフトウェア • ワームです.