Upgrade to Pro — share decks privately, control downloads, hide ads and more …

情報処理工学13資料 /infoeng13

情報処理工学13資料 /infoeng13

Kazuhisa Fujita

December 19, 2022
Tweet

More Decks by Kazuhisa Fujita

Other Decks in Education

Transcript

  1. 情報処理⼯学 第13回
    藤⽥ ⼀寿
    公⽴⼩松⼤学保健医療学部臨床⼯学科

    View Slide

  2. セキュリティ問題

    View Slide

  3. 情報セキュリティとは
    • 外部とつながったネットワークやコンピュータは常に外部から
    の攻撃の脅威にさらされている.その脅威から守ることを情報
    セキュリティという.
    • 情報セキュリティ対策の必要性
    • 企業などの組織の運営は情報システムへ依存している.
    • 情報システムの停⽌による損失,情報漏えいによるイメージの失墜.
    • 情報システムへの被害は,組織に⼤きい被害をもたらすだけではなく,取
    引先や顧客など広く影響を与える.

    View Slide

  4. 情報セキュリティの3要素
    • 機密性
    • 完全性
    • 可⽤性

    View Slide

  5. 機密性
    • 許可された⼈だけが決められた範囲内で情報資産にアクセスで
    き,情報漏洩しないようにすること.
    'â ´Ÿ¥
    C΃ qi,;޺“+;JK'ÑKJèg ! ͯƁ #

    ̡ ं ҵ 5 ʼn 5 ʼn U
    r  ô \ 4 " ڢ I НƁ U ͤƴĤ ϴ þ փ[email protected]
    Ŝ
    Ú çççŦ୉ Ú ހ­ƒƒЇ ¼Ť #
    y x U A l ưÆ Ì ǖ ȾƁ # S Ń P
    " : e ô &
    ǖ y
    Ĺ
    ¾
    Ǡ
    ĥ

    $ 0Ȟ¼

    View Slide

  6. 完全性
    • 情報資産の内容が書き換えられたりすることなく,正しい状態
    を保っていること
    (⠞Ž¥
    ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔˆ¿ # $ ųʉŻ # Wï ҃ þ ػsޣ
    ŜȀ çççŦس Ú୉Ҫ­ƒƒЇ ¼Ť #
    y x U A l ưÆü լĕ " ¤
    &ƎÎ » w Ӛ¿(ϝʉŻ IJĿWx %
    D +
    < )
    %
    șǵ¼

    View Slide

  7. 可⽤性
    • 利⽤者が必要なときに必要な情報資産を使⽤できるようにする
    こと
    )⠗»¥
    ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~ ͯȲ # ҵ 5 ʼn 5 ʼn Rı & 4 ࡼ
    e á $ ųƀI ȲT ҃ ̛ փ[email protected]
    ŜÚ çççŦ࣏Ȁ Ҩ­ƒƒЇ ¼Ť #

    % x U A 4 l ưÆǯ œ Đ Յˮ 0 w ȾƁ # MIS vR
    & : e á &

    H?J
    ı&DždžƜǀ
    L Ȋɚ¼

    View Slide

  8. その他の要素
    • 真正性
    • ある主体または資源が主張通りであることを確実にする特性
    • 責任追及性
    • あるエンティティの動作が,その動作から動作主のエンティティまで⼀気
    に追跡できることを確実にする特性
    • 信頼性
    • 意図した動作および結果に⼀致する特性
    • 否認防⽌
    • ある活動または事象が起きたことを,あとになって否認されないように証
    明する能⼒

    View Slide

  9. 情報セキュリティポリシ
    • 企業や組織において実施する情報セキュリ対策の⽅針や⾏動指
    針のこと.
    • 情報セキュリティポリシには,組織全体のルールからどのよう
    に情報資産をどのような脅威から守るかといった基本的な考え
    ⽅,情報セキュリティを確保するための体制,運⽤規定,基本
    ⽅針,対策基準などを具体的に記載するのが⼀般的.
    (総務省,国⺠のための情報セキュリティサイトより)

    View Slide

  10. 情報セキュリティポリシ
    • 基本⽅針
    • 情報セキュリティに対する組織の基本⽅針・宣⾔を記述.
    • 対策基準
    • 基本⽅針を実践するための擬態的な規則を記述.
    • 実施⼿順
    • 対象者や⽤途によって必要な⼿続きを明確にして記述.

    View Slide

  11. 演習
    • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念で
    できている.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠
    国家試験
    1. 電⼦署名の使⽤
    2. 2段階認証の使⽤
    3. ファイルの暗号化
    4. ハードウェアの⼆重化
    5. 廃棄メディアの裁断処理

    View Slide

  12. 演習
    • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念ででき
    ている.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験
    1. 電⼦署名の使⽤
    データの改ざんを防ぐため完全性
    2. 2段階認証の使⽤
    特性の⼈しかアクセスさせない⽅法なので機密性
    3. ファイルの暗号化
    特定の⼈しかアクセスできないので機密性,また,元のファイルを改変させないた
    め完全性
    4. ハードウェアの⼆重化
    データの消失を防ぎ使える状態を保つ,もしくは1つのサーバが故障してももう⼀
    台が稼働し続けるので,可⽤性
    5. 廃棄メディアの裁断処理
    機密性

    View Slide

  13. まず事件は起こるものだと考える

    View Slide

  14. セキュリティー10⼤脅威(個⼈)
    1. フィッシングによる個⼈情報等の詐取
    2. ネット上の誹謗・中傷・デマ
    3. メール,SNSなどを使った脅迫・詐取の⼿⼝による⾦銭要求
    4. クレジットカード情報の不正利⽤
    5. スマホ決算の不正利⽤
    6. 偽警告によるインターネット詐欺
    7. 不正アプリによるスマートフォン利⽤者への被害
    8. インターネット上のサービスからの個⼈情報の窃取
    9. インターネットバンキングの不正利⽤
    10.インターネットサービスへの不正ログイン
    (IPA情報セキュリティ10⼤脅威 2022より)

    View Slide

  15. セキュリティー10⼤脅威(企業)
    1. ランサムウェアによる被害
    2. 標的型攻撃による情報流出
    3. サプライチェーンの弱点を悪⽤した攻撃
    4. テレワーク等のニューノーマルな働き⽅を狙った攻撃
    5. 内部不正による情報漏えい
    6. 脆弱性対策情報の公開に伴う悪⽤増加
    7. 修正プログラム公開前を狙う攻撃(ゼロデイ攻撃)
    8. ビジネスメール詐欺による被害
    9. 予期せぬIT基盤の障害に伴う業務停⽌
    10.不注意による情報漏えい等の被害
    (IPA情報セキュリティ10⼤脅威 2022より)

    View Slide

  16. サービス妨害攻撃によるサービス
    の停⽌

    View Slide

  17. DoS(Denial of Service)攻撃
    • DoS攻撃とは,サーバーなどのネットワーク機器に対するアク
    セスを⼤量に⾏い負荷をかけ,サービスを停⽌させる.
    • 攻撃を効率良く⾏うために,⼤量のコンピュータを⽤いる事が
    多い(DDoS攻撃).

    View Slide

  18. DDoS (Distributed DoS) 攻撃
    • DDoS攻撃とは⼤量のマシンから1つのサービスに⼀⻫にDoS攻
    撃をすること.攻撃にはボットネットと呼ばれる乗っ取られた
    PCで構成されるネットワークが使われる.
    https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html

    View Slide

  19. 事例
    • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け,アク
    セスできない状況になった.
    • 2016年MiraiというマルウェアによりDNSサービスサービスプロ
    バイダの Dynが攻撃をうけ,その影響でTwitter,Spotify,
    Redditなどのサービスが利⽤できなくなった.
    • IoT機器に感染
    • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器
    • Miraiに感染したIoT機器は感染可能なIoT機器を探し,⾒つけたら攻撃者に
    報告.
    • 感染したIoT機器はボットネットを構成し,攻撃に⽤いられる.

    View Slide

  20. DDoS攻撃に無関係な⼈はいない
    • DDoS攻撃を効率良く⾏うために⼤量なPCを世界中から集める.
    • PCにセキュリティホールがあると、第三者に攻撃の道具として
    ⾃分のPCが使われる.
    • トロイの⽊⾺などのマルウェアによりPCが乗っ取られ,知らな
    い間に加害者なることがある.
    • DDoS攻撃は攻撃対象のサービスだけではなく,攻撃に参加して
    いるPCがあれば,そのPCがある家や会社のネットワークにも負
    荷がかかる.

    View Slide

  21. DoS攻撃・DDoS攻撃の対策
    • 個⼈としての対策
    • ソフトウェアを最新のものにしておく.
    • セキュリティソフトを導⼊する.
    • 怪しげなファイルを不⽤意に開かない.
    • 怪しげなサイトを開かない.
    • システム管理者としての対策
    • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する.
    • 単位時間あたりのアクセス回数に制限を設ける.
    • ネットワークトラッフィクの監視システムを導⼊し,攻撃と思われる接続
    を遮断する.

    View Slide

  22. ゼロデイ攻撃

    View Slide

  23. ゼロデイ攻撃
    • ソフトなどのセキュリティホールが発⾒されたから,それの対
    策が講じられる前にそのセキュリティホールに攻撃を仕掛ける
    こと.
    ソフトベンダー
    脆弱性あり
    ソフトベンダー
    脆弱性なし
    ソフトに脆弱性があります.
    まだ修正していません.
    ソフトに脆弱性がありました.
    修正しました.
    修正されてない間に,脆弱
    性を使って攻撃しよう.
    修正まで時間
    がある.
    攻撃

    View Slide

  24. ウェブサイトの改ざん

    View Slide

  25. ウェブサイトの改ざん
    • 企業や⾃治体のサイトが、他の誰かに改ざんされる
    • 改ざんはどのウェブサイトでも起こりうる
    • 有名かどうかは関係ない
    • マルウェア散布
    • 価格コム(2005年)
    • 政治的なメッセージの配信
    • ⻄宮観光協会(2015年)
    • ルスツリゾート加森観光(2015年)
    • カメラバック販売代理店銀⼀(2015年)
    • 他のページに誘導
    • 五島市(2015年)

    View Slide

  26. 何が⽬的で改ざんされるか
    • 違法なものを販売するページに誘導するため
    • 政治的なメッセージを発信するため
    • 個⼈情報を抜き出すため(フィッシング詐欺も含む)
    • 機密情報を盗むため
    • マルウェアを拡散させるため

    View Slide

  27. Web site改ざんの対策
    • ソフトウェアのアップデート
    • 2段階認証の導⼊ (CMSの)
    • ファイアーウォールなどによるIPアドレスの制限
    • 改ざん検知システムの導⼊
    • 定期的なバックアップ

    View Slide

  28. フィッシング詐欺

    View Slide

  29. フィッシング詐欺
    • クレジットカード会社や銀⾏からのお知らせを装って,クレ
    ジットカード番号や暗証番号などを聞き出す.
    • 銀⾏やgoogleなどの偽のウェブサイトに誘導し,クレジット
    カード番号,暗証番号,パスワードなどを偽のウェブサイトに
    ⼊⼒させ盗む.
    • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難.
    • URLも本物と似ているもの(oが0になっているなど)を使っておりURLで
    も判別は難しい.
    • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能.
    • 偽のショートメッセージを送り,不正サイトに誘導し,スマホ
    の不正アプリをインストールさせそのアプリから個⼈情報を盗
    む. (https://is702.jp/news/3352/)

    View Slide

  30. 標的型攻撃

    View Slide

  31. 標的型攻撃
    • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を
    不正に取得する.
    • 不特定多数を狙ったものではなく,特定の企業などを狙ってい
    る.
    • 典型的な攻撃⼿順
    • 標的の企業の社員にマルウェアを添付したメールを送る.
    • 関係者や取引先を装い,業務関連のメールだと思わせることで標的の社員
    を信⽤させる.そして,添付されたマルウェアを開かせる.
    • マルウェアを通し標的の企業のPCを遠隔操作し,機密データを盗む.

    View Slide

  32. 事例
    • 2014年⽇本航空から顧客管理システムの不正アクセスが発⽣し
    た.
    • メールに添付されたマルウェアに感染.
    • 2017年には⽇本航空は3.8億円の詐欺にもあった(メールにはマルウェアで
    はなく偽の銀⾏⼝座がついていた).
    • 2015年⽯油連盟が標的型攻撃により内部情報が漏洩した.
    • 外部組織から指摘があったため発覚
    • 2015年⽇本年⾦機構をターゲットにした標的型攻撃によって個
    ⼈情報が125万件流出した.

    View Slide

  33. 標的型攻撃の対策
    • ウイルス対策ソフト,セキュリティソフトの導⼊.
    • 万能ではない.
    • ソフトウェアの更新する.
    • やらないよりまし.
    • 安易にメールの添付ファイルを開かない.
    • 開かせるように⼯夫してあるので開いてしまう.
    • ソーシャルエンジニアリングの⼿法が⽤いられる事があり,技術的な
    対策だけではなく各⼈のセキュリティに関するリテラシも必要.
    • 異常な(不審な)通信を⾒つけ,通信を遮断する
    • データは暗号化しておく.
    • 騙されるものだと思っておく.

    View Slide

  34. ソーシャルエンジニアリング
    • ⼈間の⼼理的な隙や⾏動のミスにつけ込み,機密情報の⼊⼿や
    ネットワークへの侵⼊を⾏うこと.
    • なりすまし
    • 電話やメールで知り合い,取引先,官公庁などになりすまし,重要な情報
    を盗み出すなどする.
    • ショルダハッキング
    • パスワードやクレジットカードなど重要な情報を覗き⾒る.
    • トラッシング
    • 攻撃する上で必要となる様々な情報をゴミ箱から拾う.

    View Slide

  35. 演習
    • 標的型攻撃メールの特徴について誤っているのはどれか.第34
    回臨床⼯学技⼠国家試験
    1. 特定の組織(官公庁,企業,医療機関など)の機密情報の窃取
    を⽬的とする.
    2. 件名,本⽂,添付ファイル名を業務に関連したものに偽装する.
    3. 本⽂や添付ファイルに記載したリンク先にウイルスを仕込む.
    4. 組織が頻繁に利⽤するウェブサイトを改ざんしウイルスを仕込
    む.
    5. ⼤量のスパムメールを不特定多数に送信する.

    View Slide

  36. 演習
    • 標的型攻撃メールの特徴について誤っているのはどれか.第34
    回臨床⼯学技⼠国家試験
    1. 特定の組織(官公庁,企業,医療機関など)の機密情報の窃取
    を⽬的とする.
    2. 件名,本⽂,添付ファイル名を業務に関連したものに偽装する.
    3. 本⽂や添付ファイルに記載したリンク先にウイルスを仕込む.
    4. 組織が頻繁に利⽤するウェブサイトを改ざんしウイルスを仕込
    む.
    5. ⼤量のスパムメールを不特定多数に送信する.
    不特定多数を対象としたフィッシング詐欺です.

    View Slide

  37. 中間試験
    • 第15回(2⽉2⽇)講義の後半に実施
    • 時間は30分
    • 範囲は第8回(ハードウェア)から第14回(セキュリティ)の講
    義で取り扱った内容
    • 国家試験,ME2種の過去問を改変したものを出題
    • 持ち込みあり
    • 不合格となった学⽣がいた場合は,再試の連絡を掲⽰板する.
    • 定期試験ができると国家試験もできるようになるので頑張ろう.

    View Slide