情報処理工学13資料 /infoeng13

Transcript

1. 情報処理⼯学 第13回 藤⽥ ⼀寿 公⽴⼩松⼤学保健医療学部臨床⼯学科

2. セキュリティ問題

3. 情報セキュリティとは • 外部とつながったネットワークやコンピュータは常に外部からの攻撃 の脅威にさらされている．その脅威から守ることを情報セキュリティ という． • 情報セキュリティ対策の必要性 • 企業などの組織の運営は情報システムへ依存している． •

   情報システムの停⽌による損失，情報漏えいによるイメージの失墜． • 情報システムへの被害は，組織に⼤きい被害をもたらすだけではなく，取 引先や顧客など広く影響を与える．

4. 情報セキュリティの3要素 • 機密性 • 完全性 • 可⽤性

5. 機密性 • 許可された⼈だけが決められた範囲内で情報資産にアクセスでき，情 報漏洩しないようにすること． 'â ´Ÿ¥ C΃ qi,;޺“+;JK'ÑKJèg ! ͯƁ

   #   ̡ ं ҵ  5 ʼn 5 ʼn U  r  ô   \   4 "  ڢ I НƁ U ͤƴĤ    ϴ þ  փs@ Ŝ Ú çççŦ୉ Ú ހ­ƒƒЇ  ¼Ť #  y x U A l ưÆ Ì
    ǖ ȾƁ #  S Ń P "  : e ô   &   ǖ    y Ĺ ¾ Ǡ ĥ 
   $ 0Ȟ¼

6. 完全性 • 情報資産の内容が書き換えられたりすることなく，正しい状態を保っ ていること (⠞Ž¥ ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔ
   ˆ¿

   # $  ųʉŻ #  Wï  ҃ þ  ػsޣ ŜȀ çççŦس Ú୉Ҫ­ƒƒЇ  ¼Ť #  y x U A  l ưÆü
     լĕ " ¤ &ƎÎ »     w  Ӛ¿(ϝʉŻ  IJĿWx     %  D + < ) %
    șǵ¼

7. 可⽤性 • 利⽤者が必要なときに必要な情報資産を使⽤できるようにすること )⠗»¥ ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~  ͯȲ #

    ҵ  5 ʼn 5 ʼn Rı   & 4 ࡼ e á  $  ųƀI ȲT  ҃ ̛  փs@ ŜÚ çççŦ࣏Ȁ Ҩ­ƒƒЇ ¼Ť #   % x U A 4 l ưÆǯ
     œ  Đ
   Յˮ 0 w  ȾƁ #  MIS vR  &  : e á   &         H?J ı&DždžƜǀ
   L Ȋɚ¼

8. その他の要素 • 真正性 • ある主体または資源が主張通りであることを確実にする特性 • 責任追及性 • あるエンティティの動作が，その動作から動作主のエンティティまで⼀気 に追跡できることを確実にする特性

   • 信頼性 • 意図した動作および結果に⼀致する特性 • 否認防⽌ • ある活動または事象が起きたことを，あとになって否認されないように証 明する能⼒

9. 情報セキュリティポリシ • 企業や組織において実施する情報セキュリ対策の⽅針や⾏動指針のこ と． • 情報セキュリティポリシには，組織全体のルールからどのように情報 資産をどのような脅威から守るかといった基本的な考え⽅，情報セ キュリティを確保するための体制，運⽤規定，基本⽅針，対策基準な どを具体的に記載するのが⼀般的． (総務省，国⺠のための情報セキュリティサイトより)

10. 情報セキュリティポリシ • 基本⽅針 • 情報セキュリティに対する組織の基本⽅針・宣⾔を記述． • 対策基準 • 基本⽅針を実践するための擬態的な規則を記述． •

    実施⼿順 • 対象者や⽤途によって必要な⼿続きを明確にして記述．

11. 演習 • 情報セキュリティは機密性，完全性，可⽤性の3つの基本概念でできて いる．可⽤性を⾼めるのはどれか．第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ 2. 2段階認証の使⽤ 3. ファイルの暗号化

    4. ハードウェアの⼆重化 5. 廃棄メディアの裁断処理

12. 演習 • 情報セキュリティは機密性，完全性，可⽤性の3つの基本概念でできてい る．可⽤性を⾼めるのはどれか．第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ データの改ざんを防ぐため完全性 2. 2段階認証の使⽤ 特性の⼈しかアクセスさせない⽅法なので機密性

    3. ファイルの暗号化 特定の⼈しかアクセスできないので機密性，また，元のファイルを改変させない ため完全性 4. ハードウェアの⼆重化 データの消失を防ぎ使える状態を保つ，もしくは１つのサーバが故障してももう ⼀台が稼働し続けるので，可⽤性 5. 廃棄メディアの裁断処理 機密性

13. まず事件は起こるものだと考 える

14. セキュリティー１０⼤脅威（個⼈） 1.フィッシングによる個⼈情報等の詐取 2.ネット上の誹謗・中傷・デマ 3.メール，SNSなどを使った脅迫・詐取の⼿⼝による⾦銭要求 4.クレジットカード情報の不正利⽤ 5.スマホ決算の不正利⽤ 6.偽警告によるインターネット詐欺 7.不正アプリによるスマートフォン利⽤者への被害 8.インターネット上のサービスからの個⼈情報の窃取 9.インターネットバンキングの不正利⽤

    10.インターネットサービスへの不正ログイン (IPA情報セキュリティ10⼤脅威 2022より)

15. セキュリティー１０⼤脅威（企業） 1.ランサムウェアによる被害 2.標的型攻撃による情報流出 3.サプライチェーンの弱点を悪⽤した攻撃 4.テレワーク等のニューノーマルな働き⽅を狙った攻撃 5.内部不正による情報漏えい 6.脆弱性対策情報の公開に伴う悪⽤増加 7.修正プログラム公開前を狙う攻撃（ゼロデイ攻撃） 8.ビジネスメール詐欺による被害 9.予期せぬIT基盤の障害に伴う業務停⽌

    10.不注意による情報漏えい等の被害 (IPA情報セキュリティ10⼤脅威 2022より)

16. サービス妨害攻撃によるサー ビスの停⽌

17. DoS(Denial of Service)攻撃 • DoS攻撃とは，サーバーなどのネットワーク機器に対するアクセスを ⼤量に⾏い負荷をかけ，サービスを停⽌させる． • 攻撃を効率良く⾏うために，⼤量のコンピュータを⽤いる事が多い（ DDoS攻撃）．

18. DDoS (Distributed DoS) 攻撃 • DDoS攻撃とは⼤量のマシンから1つのサービスに⼀⻫にDoS攻撃をす ること．攻撃にはボットネットと呼ばれる乗っ取られたPCで構成され るネットワークが使われる． https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html

19. 事例 • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け，アクセスで きない状況になった． • 2016年MiraiというマルウェアによりDNSサービスサービスプロバイ ダの Dynが攻撃をうけ，その影響でTwitter，Spotify，Redditなどの サービスが利⽤できなくなった． •

    IoT機器に感染 • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器 • Miraiに感染したIoT機器は感染可能なIoT機器を探し，⾒つけたら攻撃者に 報告． • 感染したIoT機器はボットネットを構成し，攻撃に⽤いられる．

20. DDoS攻撃に無関係な⼈はいない • DDoS攻撃を効率良く⾏うために⼤量なPCを世界中から集める． • PCにセキュリティホールがあると、第三者に攻撃の道具として⾃分の PCが使われる． • トロイの⽊⾺などのマルウェアによりPCが乗っ取られ，知らない間に 加害者なることがある． •

    DDoS攻撃は攻撃対象のサービスだけではなく，攻撃に参加している PCがあれば，そのPCがある家や会社のネットワークにも負荷がかか る．

21. DoS攻撃・DDoS攻撃の対策 • 個⼈としての対策 • ソフトウェアを最新のものにしておく． • セキュリティソフトを導⼊する． • 怪しげなファイルを不⽤意に開かない． •

    怪しげなサイトを開かない． • システム管理者としての対策 • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する． • 単位時間あたりのアクセス回数に制限を設ける． • ネットワークトラッフィクの監視システムを導⼊し，攻撃と思われる接続 を遮断する．

22. ゼロデイ攻撃

23. ゼロデイ攻撃 • ソフトなどのセキュリティホールが発⾒されたから，それの対策が講 じられる前にそのセキュリティホールに攻撃を仕掛けること． ソフトベンダー 脆弱性あり ソフトベンダー 脆弱性なし ソフトに脆弱性があります． まだ修正していません．

    ソフトに脆弱性がありました． 修正しました． 修正されてない間に，脆弱性を使っ て攻撃しよう． 修正まで時間があ る． 攻撃

24. ウェブサイトの改ざん

25. ウェブサイトの改ざん • 企業や⾃治体のサイトが、他の誰かに改ざんされる • 改ざんはどのウェブサイトでも起こりうる • 有名かどうかは関係ない • マルウェア散布 •

    価格コム(2005年) • 政治的なメッセージの配信 • ⻄宮観光協会(2015年) • ルスツリゾート加森観光(2015年) • カメラバック販売代理店銀⼀(2015年) • 他のページに誘導 • 五島市(2015年)

26. 何が⽬的で改ざんされるか • 違法なものを販売するページに誘導するため • 政治的なメッセージを発信するため • 個⼈情報を抜き出すため（フィッシング詐欺も含む） • 機密情報を盗むため •

    マルウェアを拡散させるため

27. Web site改ざんの対策 • ソフトウェアのアップデート • 2段階認証の導⼊ (CMSの) • ファイアーウォールなどによるIPアドレスの制限 •

    改ざん検知システムの導⼊ • 定期的なバックアップ

28. フィッシング詐欺

29. フィッシング詐欺 • クレジットカード会社や銀⾏からのお知らせを装って，クレジット カード番号や暗証番号などを聞き出す． • 銀⾏やgoogleなどの偽のウェブサイトに誘導し，クレジットカード番 号，暗証番号，パスワードなどを偽のウェブサイトに⼊⼒させ盗む． • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難． •

    URLも本物と似ているもの（oが0になっているなど）を使っておりURLで も判別は難しい． • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能． • 偽のショートメッセージを送り，不正サイトに誘導し，スマホの不正 アプリをインストールさせそのアプリから個⼈情報を盗む． (https://is702.jp/news/3352/)

30. フィッシングメール例

31. 標的型攻撃

32. 標的型攻撃 • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を不正に 取得する． • 不特定多数を狙ったものではなく，特定の企業などを狙っている． • 典型的な攻撃⼿順 • 標的の企業の社員にマルウェアを添付したメールを送る．

    • 関係者や取引先を装い，業務関連のメールだと思わせることで標的の社員 を信⽤させる．そして，添付されたマルウェアを開かせる． • マルウェアを通し標的の企業のPCを遠隔操作し，機密データを盗む．

33. 事例 • 2014年⽇本航空から顧客管理システムの不正アクセスが発⽣した． • メールに添付されたマルウェアに感染． • 2017年には⽇本航空は3.8億円の詐欺にもあった（メールにはマルウェア ではなく偽の銀⾏⼝座がついていた）． • 2015年⽯油連盟が標的型攻撃により内部情報が漏洩した．

    • 外部組織から指摘があったため発覚 • 2015年⽇本年⾦機構をターゲットにした標的型攻撃によって個⼈情報 が125万件流出した．

34. 標的型攻撃の対策 • ウイルス対策ソフト，セキュリティソフトの導⼊． • 万能ではない． • ソフトウェアの更新する． • やらないよりまし． •

    安易にメールの添付ファイルを開かない． • 開かせるように⼯夫してあるので開いてしまう． • ソーシャルエンジニアリングの⼿法が⽤いられる事があり，技術的な対策 だけではなく各⼈のセキュリティに関するリテラシも必要． • 異常な（不審な）通信を⾒つけ，通信を遮断する • データは暗号化しておく． • 騙されるものだと思っておく．

35. ソーシャルエンジニアリング • ⼈間の⼼理的な隙や⾏動のミスにつけ込み，機密情報の⼊⼿やネット ワークへの侵⼊を⾏うこと． • なりすまし • 電話やメールで知り合い，取引先，官公庁などになりすまし，重要な情報 を盗み出すなどする． •

    ショルダハッキング • パスワードやクレジットカードなど重要な情報を覗き⾒る． • トラッシング • 攻撃する上で必要となる様々な情報をゴミ箱から拾う．

36. 期末試験 • 第15回（2⽉1⽇）講義の後半に実施 • 時間は30分 • 範囲は第8回（ハードウェア）から第14回（セキュリティ）の講義で 取り扱った内容 • 国家試験，ME2種の過去問を改変したものを出題

    • 筆記⽤具，スマホorPCのみ持ち込み可能 • 不合格となった学⽣がいた場合は，再試の連絡を掲⽰板する． • 定期試験ができると国家試験もできるようになるので頑張ろう．