Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報処理工学13資料 /infoeng13
Search
Kazuhisa Fujita
December 19, 2022
Education
1
360
情報処理工学13資料 /infoeng13
Kazuhisa Fujita
December 19, 2022
Tweet
Share
More Decks by Kazuhisa Fujita
See All by Kazuhisa Fujita
臨床工学技士国家試験・ME2種RLC回路まとめ/RLC
kfujita
0
84
臨床工学技士国家試験・ME2種変圧器まとめ/trans
kfujita
0
58
臨床工学技士国家試験電磁気学まとめ/elecmag
kfujita
0
72
臨床工学技士国家試験・ME2種電気回路まとめ-交流-/ac
kfujita
0
47
人工知能時代の到来/IntroAI
kfujita
0
120
情報処理応用B第02回/InfoAdv02
kfujita
0
580
情報処理応用B第03回/InfoAdv03
kfujita
0
370
情報処理応用B第04回/InfoAdv04
kfujita
0
320
情報処理応用B第05回/InfoAdv05
kfujita
0
240
Other Decks in Education
See All in Education
phygital__le_magasin_augmenté.pdf
martine
0
2.5k
自由の森学園学校紹介資料
jiyunomori
0
1.1k
人生の転機からチャンスを掴む「シュロスバーグの4Sモデル」/4s-models
yuko_yokouchi
0
350
Analysis and Validation - Lecture 4 - Information Visualisation (4019538FNR)
signer
PRO
0
1.4k
Human Perception and Colour Theory - Lecture 2 - Information Visualisation (4019538FNR)
signer
PRO
0
1.7k
【滋賀大学データサイエンス学部】PropTech(不動産テック)における AI・データサイエンス活用
takehikohashimoto
0
4k
Railsチュートリアルの歩き方 (第7版)
yasslab
PRO
1
1M
はじめに。『Synchronic』を作った本当の理由
akane69
PRO
1
110
財務分析 - 入門編
lsuzuki
0
330
Часто задаваемые вопросы
pnuslide
0
11k
2024年度げんさい未来塾プログラム案内
makikoyama
0
110
リンゴゲームと貧富の差 / Origin of the disparity of wealth
kaityo256
PRO
12
13k
Featured
See All Featured
How GitHub Uses GitHub to Build GitHub
holman
467
290k
Building Adaptive Systems
keathley
29
1.8k
Why Our Code Smells
bkeepers
PRO
330
56k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
2.2k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
The MySQL Ecosystem @ GitHub 2015
samlambert
242
12k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
11
1.4k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Atom: Resistance is Futile
akmur
258
25k
Designing on Purpose - Digital PM Summit 2013
jponch
109
6.4k
Done Done
chrislema
178
15k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
Transcript
情報処理⼯学 第13回 藤⽥ ⼀寿 公⽴⼩松⼤学保健医療学部臨床⼯学科
セキュリティ問題
情報セキュリティとは • 外部とつながったネットワークやコンピュータは常に外部からの攻撃 の脅威にさらされている.その脅威から守ることを情報セキュリティ という. • 情報セキュリティ対策の必要性 • 企業などの組織の運営は情報システムへ依存している. •
情報システムの停⽌による損失,情報漏えいによるイメージの失墜. • 情報システムへの被害は,組織に⼤きい被害をもたらすだけではなく,取 引先や顧客など広く影響を与える.
情報セキュリティの3要素 • 機密性 • 完全性 • 可⽤性
機密性 • 許可された⼈だけが決められた範囲内で情報資産にアクセスでき,情 報漏洩しないようにすること. 'â ´¥ C qi,;+;JK'ÑKJèg ! ͯƁ
# ̡ ं ҵ 5 ʼn 5 ʼn U r ô \ 4 " ڢ I НƁ U ͤƴĤ ϴ þ փs@ Ŝ Ú çççŦ Ú ހЇ ¼Ť # y x U A l ưÆ Ì ǖ ȾƁ # S Ń P " : e ô & ǖ y Ĺ ¾ Ǡ ĥ $ 0Ȟ¼
完全性 • 情報資産の内容が書き換えられたりすることなく,正しい状態を保っ ていること (â ¥ ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔˆ¿
# $ ųʉŻ # Wï ҃ þ ػsޣ ŜȀ çççŦس ÚҪЇ ¼Ť # y x U A l ưÆü լĕ " ¤ &ƎÎ » w Ӛ¿(ϝʉŻ IJĿWx % D + < ) % șǵ¼
可⽤性 • 利⽤者が必要なときに必要な情報資産を使⽤できるようにすること )â »¥ ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~ ͯȲ #
ҵ 5 ʼn 5 ʼn Rı & 4 ࡼ e á $ ųƀI ȲT ҃ ̛ փs@ ŜÚ çççŦ࣏Ȁ ҨЇ ¼Ť # % x U A 4 l ưÆǯ Đ Յˮ 0 w ȾƁ # MIS vR & : e á & H?J ı&DždžƜǀ L Ȋɚ¼
その他の要素 • 真正性 • ある主体または資源が主張通りであることを確実にする特性 • 責任追及性 • あるエンティティの動作が,その動作から動作主のエンティティまで⼀気 に追跡できることを確実にする特性
• 信頼性 • 意図した動作および結果に⼀致する特性 • 否認防⽌ • ある活動または事象が起きたことを,あとになって否認されないように証 明する能⼒
情報セキュリティポリシ • 企業や組織において実施する情報セキュリ対策の⽅針や⾏動指針のこ と. • 情報セキュリティポリシには,組織全体のルールからどのように情報 資産をどのような脅威から守るかといった基本的な考え⽅,情報セ キュリティを確保するための体制,運⽤規定,基本⽅針,対策基準な どを具体的に記載するのが⼀般的. (総務省,国⺠のための情報セキュリティサイトより)
情報セキュリティポリシ • 基本⽅針 • 情報セキュリティに対する組織の基本⽅針・宣⾔を記述. • 対策基準 • 基本⽅針を実践するための擬態的な規則を記述. •
実施⼿順 • 対象者や⽤途によって必要な⼿続きを明確にして記述.
演習 • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念でできて いる.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ 2. 2段階認証の使⽤ 3. ファイルの暗号化
4. ハードウェアの⼆重化 5. 廃棄メディアの裁断処理
演習 • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念でできてい る.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ データの改ざんを防ぐため完全性 2. 2段階認証の使⽤ 特性の⼈しかアクセスさせない⽅法なので機密性
3. ファイルの暗号化 特定の⼈しかアクセスできないので機密性,また,元のファイルを改変させない ため完全性 4. ハードウェアの⼆重化 データの消失を防ぎ使える状態を保つ,もしくは1つのサーバが故障してももう ⼀台が稼働し続けるので,可⽤性 5. 廃棄メディアの裁断処理 機密性
まず事件は起こるものだと考 える
セキュリティー10⼤脅威(個⼈) 1.フィッシングによる個⼈情報等の詐取 2.ネット上の誹謗・中傷・デマ 3.メール,SNSなどを使った脅迫・詐取の⼿⼝による⾦銭要求 4.クレジットカード情報の不正利⽤ 5.スマホ決算の不正利⽤ 6.偽警告によるインターネット詐欺 7.不正アプリによるスマートフォン利⽤者への被害 8.インターネット上のサービスからの個⼈情報の窃取 9.インターネットバンキングの不正利⽤
10.インターネットサービスへの不正ログイン (IPA情報セキュリティ10⼤脅威 2022より)
セキュリティー10⼤脅威(企業) 1.ランサムウェアによる被害 2.標的型攻撃による情報流出 3.サプライチェーンの弱点を悪⽤した攻撃 4.テレワーク等のニューノーマルな働き⽅を狙った攻撃 5.内部不正による情報漏えい 6.脆弱性対策情報の公開に伴う悪⽤増加 7.修正プログラム公開前を狙う攻撃(ゼロデイ攻撃) 8.ビジネスメール詐欺による被害 9.予期せぬIT基盤の障害に伴う業務停⽌
10.不注意による情報漏えい等の被害 (IPA情報セキュリティ10⼤脅威 2022より)
サービス妨害攻撃によるサー ビスの停⽌
DoS(Denial of Service)攻撃 • DoS攻撃とは,サーバーなどのネットワーク機器に対するアクセスを ⼤量に⾏い負荷をかけ,サービスを停⽌させる. • 攻撃を効率良く⾏うために,⼤量のコンピュータを⽤いる事が多い( DDoS攻撃).
DDoS (Distributed DoS) 攻撃 • DDoS攻撃とは⼤量のマシンから1つのサービスに⼀⻫にDoS攻撃をす ること.攻撃にはボットネットと呼ばれる乗っ取られたPCで構成され るネットワークが使われる. https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html
事例 • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け,アクセスで きない状況になった. • 2016年MiraiというマルウェアによりDNSサービスサービスプロバイ ダの Dynが攻撃をうけ,その影響でTwitter,Spotify,Redditなどの サービスが利⽤できなくなった. •
IoT機器に感染 • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器 • Miraiに感染したIoT機器は感染可能なIoT機器を探し,⾒つけたら攻撃者に 報告. • 感染したIoT機器はボットネットを構成し,攻撃に⽤いられる.
DDoS攻撃に無関係な⼈はいない • DDoS攻撃を効率良く⾏うために⼤量なPCを世界中から集める. • PCにセキュリティホールがあると、第三者に攻撃の道具として⾃分の PCが使われる. • トロイの⽊⾺などのマルウェアによりPCが乗っ取られ,知らない間に 加害者なることがある. •
DDoS攻撃は攻撃対象のサービスだけではなく,攻撃に参加している PCがあれば,そのPCがある家や会社のネットワークにも負荷がかか る.
DoS攻撃・DDoS攻撃の対策 • 個⼈としての対策 • ソフトウェアを最新のものにしておく. • セキュリティソフトを導⼊する. • 怪しげなファイルを不⽤意に開かない. •
怪しげなサイトを開かない. • システム管理者としての対策 • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する. • 単位時間あたりのアクセス回数に制限を設ける. • ネットワークトラッフィクの監視システムを導⼊し,攻撃と思われる接続 を遮断する.
ゼロデイ攻撃
ゼロデイ攻撃 • ソフトなどのセキュリティホールが発⾒されたから,それの対策が講 じられる前にそのセキュリティホールに攻撃を仕掛けること. ソフトベンダー 脆弱性あり ソフトベンダー 脆弱性なし ソフトに脆弱性があります. まだ修正していません.
ソフトに脆弱性がありました. 修正しました. 修正されてない間に,脆弱性を使っ て攻撃しよう. 修正まで時間があ る. 攻撃
ウェブサイトの改ざん
ウェブサイトの改ざん • 企業や⾃治体のサイトが、他の誰かに改ざんされる • 改ざんはどのウェブサイトでも起こりうる • 有名かどうかは関係ない • マルウェア散布 •
価格コム(2005年) • 政治的なメッセージの配信 • ⻄宮観光協会(2015年) • ルスツリゾート加森観光(2015年) • カメラバック販売代理店銀⼀(2015年) • 他のページに誘導 • 五島市(2015年)
何が⽬的で改ざんされるか • 違法なものを販売するページに誘導するため • 政治的なメッセージを発信するため • 個⼈情報を抜き出すため(フィッシング詐欺も含む) • 機密情報を盗むため •
マルウェアを拡散させるため
Web site改ざんの対策 • ソフトウェアのアップデート • 2段階認証の導⼊ (CMSの) • ファイアーウォールなどによるIPアドレスの制限 •
改ざん検知システムの導⼊ • 定期的なバックアップ
フィッシング詐欺
フィッシング詐欺 • クレジットカード会社や銀⾏からのお知らせを装って,クレジット カード番号や暗証番号などを聞き出す. • 銀⾏やgoogleなどの偽のウェブサイトに誘導し,クレジットカード番 号,暗証番号,パスワードなどを偽のウェブサイトに⼊⼒させ盗む. • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難. •
URLも本物と似ているもの(oが0になっているなど)を使っておりURLで も判別は難しい. • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能. • 偽のショートメッセージを送り,不正サイトに誘導し,スマホの不正 アプリをインストールさせそのアプリから個⼈情報を盗む. (https://is702.jp/news/3352/)
フィッシングメール例
標的型攻撃
標的型攻撃 • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を不正に 取得する. • 不特定多数を狙ったものではなく,特定の企業などを狙っている. • 典型的な攻撃⼿順 • 標的の企業の社員にマルウェアを添付したメールを送る.
• 関係者や取引先を装い,業務関連のメールだと思わせることで標的の社員 を信⽤させる.そして,添付されたマルウェアを開かせる. • マルウェアを通し標的の企業のPCを遠隔操作し,機密データを盗む.
事例 • 2014年⽇本航空から顧客管理システムの不正アクセスが発⽣した. • メールに添付されたマルウェアに感染. • 2017年には⽇本航空は3.8億円の詐欺にもあった(メールにはマルウェア ではなく偽の銀⾏⼝座がついていた). • 2015年⽯油連盟が標的型攻撃により内部情報が漏洩した.
• 外部組織から指摘があったため発覚 • 2015年⽇本年⾦機構をターゲットにした標的型攻撃によって個⼈情報 が125万件流出した.
標的型攻撃の対策 • ウイルス対策ソフト,セキュリティソフトの導⼊. • 万能ではない. • ソフトウェアの更新する. • やらないよりまし. •
安易にメールの添付ファイルを開かない. • 開かせるように⼯夫してあるので開いてしまう. • ソーシャルエンジニアリングの⼿法が⽤いられる事があり,技術的な対策 だけではなく各⼈のセキュリティに関するリテラシも必要. • 異常な(不審な)通信を⾒つけ,通信を遮断する • データは暗号化しておく. • 騙されるものだと思っておく.
ソーシャルエンジニアリング • ⼈間の⼼理的な隙や⾏動のミスにつけ込み,機密情報の⼊⼿やネット ワークへの侵⼊を⾏うこと. • なりすまし • 電話やメールで知り合い,取引先,官公庁などになりすまし,重要な情報 を盗み出すなどする. •
ショルダハッキング • パスワードやクレジットカードなど重要な情報を覗き⾒る. • トラッシング • 攻撃する上で必要となる様々な情報をゴミ箱から拾う.
期末試験 • 第15回(2⽉1⽇)講義の後半に実施 • 時間は30分 • 範囲は第8回(ハードウェア)から第14回(セキュリティ)の講義で 取り扱った内容 • 国家試験,ME2種の過去問を改変したものを出題
• 筆記⽤具,スマホorPCのみ持ち込み可能 • 不合格となった学⽣がいた場合は,再試の連絡を掲⽰板する. • 定期試験ができると国家試験もできるようになるので頑張ろう.