Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報処理工学13資料 /infoeng13
Search
Kazuhisa Fujita
December 19, 2022
Education
1
370
情報処理工学13資料 /infoeng13
Kazuhisa Fujita
December 19, 2022
Tweet
Share
More Decks by Kazuhisa Fujita
See All by Kazuhisa Fujita
人工知能ゼミ04 /aizemi04
kfujita
0
30
人工知能ゼミ03 /aizemi03
kfujita
1
20
情報処理工学問題集 /infoeng_practices
kfujita
0
130
人工知能ゼミ1-ガイダンス- /aizemi01
kfujita
0
25
人工知能ゼミ02 /aizemi02
kfujita
0
26
電気工学問題集 /eleceng2_practices
kfujita
0
880
臨床工学技士国家試験・ME2種RLC回路まとめ/RLC
kfujita
0
800
臨床工学技士国家試験・ME2種変圧器まとめ/trans
kfujita
0
520
臨床工学技士国家試験電磁気学まとめ/elecmag
kfujita
0
680
Other Decks in Education
See All in Education
Kaggle 班ができるまで
abap34
1
200
20241002_Copilotって何?+Power_AutomateのCopilot
ponponmikankan
1
170
CSS3 and Responsive Web Design - Lecture 5 - Web Technologies (1019888BNR)
signer
PRO
1
2.5k
セキュリティ・キャンプ全国大会2024 S17 探査機自作ゼミ 事前学習・当日資料
sksat
3
880
学習指導要領から職場の学びを考えてみる / Thinking about workplace learning from learning guidelines
aki_moon
1
730
HCI Research Methods - Lecture 7 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
720
技術を楽しもう/enjoy_engineering
studio_graph
1
430
オープンソース防災教育ARアプリの開発と地域防災での活用
nro2daisuke
0
180
Requirements Analysis and Prototyping - Lecture 3 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
820
construindo uma carreira com opensource
caarlos0
0
250
TP5_-_UV.pdf
bernhardsvt
0
110
Library Prefects 2024-2025
cbtlibrary
0
110
Featured
See All Featured
A better future with KSS
kneath
238
17k
Agile that works and the tools we love
rasmusluckow
327
21k
BBQ
matthewcrist
85
9.3k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Docker and Python
trallard
40
3.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
150
Optimizing for Happiness
mojombo
376
70k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Faster Mobile Websites
deanohume
305
30k
How GitHub (no longer) Works
holman
310
140k
Music & Morning Musume
bryan
46
6.2k
Being A Developer After 40
akosma
87
590k
Transcript
情報処理⼯学 第13回 藤⽥ ⼀寿 公⽴⼩松⼤学保健医療学部臨床⼯学科
セキュリティ問題
情報セキュリティとは • 外部とつながったネットワークやコンピュータは常に外部からの攻撃 の脅威にさらされている.その脅威から守ることを情報セキュリティ という. • 情報セキュリティ対策の必要性 • 企業などの組織の運営は情報システムへ依存している. •
情報システムの停⽌による損失,情報漏えいによるイメージの失墜. • 情報システムへの被害は,組織に⼤きい被害をもたらすだけではなく,取 引先や顧客など広く影響を与える.
情報セキュリティの3要素 • 機密性 • 完全性 • 可⽤性
機密性 • 許可された⼈だけが決められた範囲内で情報資産にアクセスでき,情 報漏洩しないようにすること. 'â ´¥ C qi,;+;JK'ÑKJèg ! ͯƁ
# ̡ ं ҵ 5 ʼn 5 ʼn U r ô \ 4 " ڢ I НƁ U ͤƴĤ ϴ þ փs@ Ŝ Ú çççŦ Ú ހЇ ¼Ť # y x U A l ưÆ Ì ǖ ȾƁ # S Ń P " : e ô & ǖ y Ĺ ¾ Ǡ ĥ $ 0Ȟ¼
完全性 • 情報資産の内容が書き換えられたりすることなく,正しい状態を保っ ていること (â ¥ ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔˆ¿
# $ ųʉŻ # Wï ҃ þ ػsޣ ŜȀ çççŦس ÚҪЇ ¼Ť # y x U A l ưÆü լĕ " ¤ &ƎÎ » w Ӛ¿(ϝʉŻ IJĿWx % D + < ) % șǵ¼
可⽤性 • 利⽤者が必要なときに必要な情報資産を使⽤できるようにすること )â »¥ ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~ ͯȲ #
ҵ 5 ʼn 5 ʼn Rı & 4 ࡼ e á $ ųƀI ȲT ҃ ̛ փs@ ŜÚ çççŦ࣏Ȁ ҨЇ ¼Ť # % x U A 4 l ưÆǯ Đ Յˮ 0 w ȾƁ # MIS vR & : e á & H?J ı&DždžƜǀ L Ȋɚ¼
その他の要素 • 真正性 • ある主体または資源が主張通りであることを確実にする特性 • 責任追及性 • あるエンティティの動作が,その動作から動作主のエンティティまで⼀気 に追跡できることを確実にする特性
• 信頼性 • 意図した動作および結果に⼀致する特性 • 否認防⽌ • ある活動または事象が起きたことを,あとになって否認されないように証 明する能⼒
情報セキュリティポリシ • 企業や組織において実施する情報セキュリ対策の⽅針や⾏動指針のこ と. • 情報セキュリティポリシには,組織全体のルールからどのように情報 資産をどのような脅威から守るかといった基本的な考え⽅,情報セ キュリティを確保するための体制,運⽤規定,基本⽅針,対策基準な どを具体的に記載するのが⼀般的. (総務省,国⺠のための情報セキュリティサイトより)
情報セキュリティポリシ • 基本⽅針 • 情報セキュリティに対する組織の基本⽅針・宣⾔を記述. • 対策基準 • 基本⽅針を実践するための擬態的な規則を記述. •
実施⼿順 • 対象者や⽤途によって必要な⼿続きを明確にして記述.
演習 • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念でできて いる.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ 2. 2段階認証の使⽤ 3. ファイルの暗号化
4. ハードウェアの⼆重化 5. 廃棄メディアの裁断処理
演習 • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念でできてい る.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ データの改ざんを防ぐため完全性 2. 2段階認証の使⽤ 特性の⼈しかアクセスさせない⽅法なので機密性
3. ファイルの暗号化 特定の⼈しかアクセスできないので機密性,また,元のファイルを改変させない ため完全性 4. ハードウェアの⼆重化 データの消失を防ぎ使える状態を保つ,もしくは1つのサーバが故障してももう ⼀台が稼働し続けるので,可⽤性 5. 廃棄メディアの裁断処理 機密性
まず事件は起こるものだと考 える
セキュリティー10⼤脅威(個⼈) 1.フィッシングによる個⼈情報等の詐取 2.ネット上の誹謗・中傷・デマ 3.メール,SNSなどを使った脅迫・詐取の⼿⼝による⾦銭要求 4.クレジットカード情報の不正利⽤ 5.スマホ決算の不正利⽤ 6.偽警告によるインターネット詐欺 7.不正アプリによるスマートフォン利⽤者への被害 8.インターネット上のサービスからの個⼈情報の窃取 9.インターネットバンキングの不正利⽤
10.インターネットサービスへの不正ログイン (IPA情報セキュリティ10⼤脅威 2022より)
セキュリティー10⼤脅威(企業) 1.ランサムウェアによる被害 2.標的型攻撃による情報流出 3.サプライチェーンの弱点を悪⽤した攻撃 4.テレワーク等のニューノーマルな働き⽅を狙った攻撃 5.内部不正による情報漏えい 6.脆弱性対策情報の公開に伴う悪⽤増加 7.修正プログラム公開前を狙う攻撃(ゼロデイ攻撃) 8.ビジネスメール詐欺による被害 9.予期せぬIT基盤の障害に伴う業務停⽌
10.不注意による情報漏えい等の被害 (IPA情報セキュリティ10⼤脅威 2022より)
サービス妨害攻撃によるサー ビスの停⽌
DoS(Denial of Service)攻撃 • DoS攻撃とは,サーバーなどのネットワーク機器に対するアクセスを ⼤量に⾏い負荷をかけ,サービスを停⽌させる. • 攻撃を効率良く⾏うために,⼤量のコンピュータを⽤いる事が多い( DDoS攻撃).
DDoS (Distributed DoS) 攻撃 • DDoS攻撃とは⼤量のマシンから1つのサービスに⼀⻫にDoS攻撃をす ること.攻撃にはボットネットと呼ばれる乗っ取られたPCで構成され るネットワークが使われる. https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html
事例 • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け,アクセスで きない状況になった. • 2016年MiraiというマルウェアによりDNSサービスサービスプロバイ ダの Dynが攻撃をうけ,その影響でTwitter,Spotify,Redditなどの サービスが利⽤できなくなった. •
IoT機器に感染 • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器 • Miraiに感染したIoT機器は感染可能なIoT機器を探し,⾒つけたら攻撃者に 報告. • 感染したIoT機器はボットネットを構成し,攻撃に⽤いられる.
DDoS攻撃に無関係な⼈はいない • DDoS攻撃を効率良く⾏うために⼤量なPCを世界中から集める. • PCにセキュリティホールがあると、第三者に攻撃の道具として⾃分の PCが使われる. • トロイの⽊⾺などのマルウェアによりPCが乗っ取られ,知らない間に 加害者なることがある. •
DDoS攻撃は攻撃対象のサービスだけではなく,攻撃に参加している PCがあれば,そのPCがある家や会社のネットワークにも負荷がかか る.
DoS攻撃・DDoS攻撃の対策 • 個⼈としての対策 • ソフトウェアを最新のものにしておく. • セキュリティソフトを導⼊する. • 怪しげなファイルを不⽤意に開かない. •
怪しげなサイトを開かない. • システム管理者としての対策 • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する. • 単位時間あたりのアクセス回数に制限を設ける. • ネットワークトラッフィクの監視システムを導⼊し,攻撃と思われる接続 を遮断する.
ゼロデイ攻撃
ゼロデイ攻撃 • ソフトなどのセキュリティホールが発⾒されたから,それの対策が講 じられる前にそのセキュリティホールに攻撃を仕掛けること. ソフトベンダー 脆弱性あり ソフトベンダー 脆弱性なし ソフトに脆弱性があります. まだ修正していません.
ソフトに脆弱性がありました. 修正しました. 修正されてない間に,脆弱性を使っ て攻撃しよう. 修正まで時間があ る. 攻撃
ウェブサイトの改ざん
ウェブサイトの改ざん • 企業や⾃治体のサイトが、他の誰かに改ざんされる • 改ざんはどのウェブサイトでも起こりうる • 有名かどうかは関係ない • マルウェア散布 •
価格コム(2005年) • 政治的なメッセージの配信 • ⻄宮観光協会(2015年) • ルスツリゾート加森観光(2015年) • カメラバック販売代理店銀⼀(2015年) • 他のページに誘導 • 五島市(2015年)
何が⽬的で改ざんされるか • 違法なものを販売するページに誘導するため • 政治的なメッセージを発信するため • 個⼈情報を抜き出すため(フィッシング詐欺も含む) • 機密情報を盗むため •
マルウェアを拡散させるため
Web site改ざんの対策 • ソフトウェアのアップデート • 2段階認証の導⼊ (CMSの) • ファイアーウォールなどによるIPアドレスの制限 •
改ざん検知システムの導⼊ • 定期的なバックアップ
フィッシング詐欺
フィッシング詐欺 • クレジットカード会社や銀⾏からのお知らせを装って,クレジット カード番号や暗証番号などを聞き出す. • 銀⾏やgoogleなどの偽のウェブサイトに誘導し,クレジットカード番 号,暗証番号,パスワードなどを偽のウェブサイトに⼊⼒させ盗む. • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難. •
URLも本物と似ているもの(oが0になっているなど)を使っておりURLで も判別は難しい. • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能. • 偽のショートメッセージを送り,不正サイトに誘導し,スマホの不正 アプリをインストールさせそのアプリから個⼈情報を盗む. (https://is702.jp/news/3352/)
フィッシングメール例
標的型攻撃
標的型攻撃 • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を不正に 取得する. • 不特定多数を狙ったものではなく,特定の企業などを狙っている. • 典型的な攻撃⼿順 • 標的の企業の社員にマルウェアを添付したメールを送る.
• 関係者や取引先を装い,業務関連のメールだと思わせることで標的の社員 を信⽤させる.そして,添付されたマルウェアを開かせる. • マルウェアを通し標的の企業のPCを遠隔操作し,機密データを盗む.
事例 • 2014年⽇本航空から顧客管理システムの不正アクセスが発⽣した. • メールに添付されたマルウェアに感染. • 2017年には⽇本航空は3.8億円の詐欺にもあった(メールにはマルウェア ではなく偽の銀⾏⼝座がついていた). • 2015年⽯油連盟が標的型攻撃により内部情報が漏洩した.
• 外部組織から指摘があったため発覚 • 2015年⽇本年⾦機構をターゲットにした標的型攻撃によって個⼈情報 が125万件流出した.
標的型攻撃の対策 • ウイルス対策ソフト,セキュリティソフトの導⼊. • 万能ではない. • ソフトウェアの更新する. • やらないよりまし. •
安易にメールの添付ファイルを開かない. • 開かせるように⼯夫してあるので開いてしまう. • ソーシャルエンジニアリングの⼿法が⽤いられる事があり,技術的な対策 だけではなく各⼈のセキュリティに関するリテラシも必要. • 異常な(不審な)通信を⾒つけ,通信を遮断する • データは暗号化しておく. • 騙されるものだと思っておく.
ソーシャルエンジニアリング • ⼈間の⼼理的な隙や⾏動のミスにつけ込み,機密情報の⼊⼿やネット ワークへの侵⼊を⾏うこと. • なりすまし • 電話やメールで知り合い,取引先,官公庁などになりすまし,重要な情報 を盗み出すなどする. •
ショルダハッキング • パスワードやクレジットカードなど重要な情報を覗き⾒る. • トラッシング • 攻撃する上で必要となる様々な情報をゴミ箱から拾う.
期末試験 • 第15回(2⽉1⽇)講義の後半に実施 • 時間は30分 • 範囲は第8回(ハードウェア)から第14回(セキュリティ)の講義で 取り扱った内容 • 国家試験,ME2種の過去問を改変したものを出題
• 筆記⽤具,スマホorPCのみ持ち込み可能 • 不合格となった学⽣がいた場合は,再試の連絡を掲⽰板する. • 定期試験ができると国家試験もできるようになるので頑張ろう.