教師・教育支援者のための情報セキュリティ第一回

Transcript

1. 教師・教育支援者の ための 情報セキュリティ 第一回：パスワード 園田道夫

2. 自己紹介 • 国立研究開発法人情報通信研究機構(NICT)ナショナルサイバートレーニングセンター長 • 独立行政法人情報処理推進機構（IPA）専門委員 • NPO日本ネットワークセキュリティ協会（JNSA）研究員 • 元サイバー大学IT総合学部専任教授（2017年まで） •

   東京学芸大学非常勤講師 • 大阪大学非常勤講師 • 中央大学理工学研究所客員研究員 • 日本ハッカー協会理事 • 経済産業省、IPAなど主催、セキュリティ（＆プログラミング）・キャンプ企画、講師、 実行委員、トラックリーダー、プロデューサー等 • 白浜サイバー犯罪シンポジウム情報危機管理コンテスト審査委員 • 2008年、経済産業省商務情報政策局長表彰 • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • 2018年、情報セキュリティ文化賞を受賞 • SECCON実行委員(事務局長） • SecHack365実行委員 • AVTokyoやってる • 主な関係書籍「ブラウザハック」「ファジング」「ハニーネットプロジェクト」「実践 パケット解析第一版」「実用SSH第二版」「暗号技術大全」「Snort2.0侵入検知」「ア クセス探偵IHARA」「アクセスガール明日香危機一髪」「企業情報ネットワークの保護 管理」「Winnyはなぜ破られたのか」等 2

3. 講義の流れ • 毎度出席とります • 議論しながら進めます（グループ） • テーマ：情報セキュリティの社会的に未解 決の課題いろいろ • 期末レポート出してもらいます

   – 宛先：[email protected] • レポートのテーマは、これからやる講義の 中で興味を持ったテーマor情報セキュリ ティに関わる何か • 自分ならそれをどう思うか、そして学生、 生徒にどう教えるかをまとめて下さい • 出席とレポートで評価します 3

4. 扱うテーマ • パスワード • 情報漏洩 • ウイルス • 社会制度、ルール •

   ランサムウェア （データの身代金） • 特定 • 炎上 • ダークウェブ • 怪しいアプリ • 無線LAN • ヒューマンエラー 4 なお、講義資料は公開するので、 そのまま写すノートを取る必要はありません。

5. 質問：良いパスワードとは？ • 強いパスワード？ • パスワード管理？ 5

6. 6

7. 多発するパスワード漏洩事件 • Last.fm – http://www.lastfm.jp/passwordsecurity • LinkedIn（650万件） – http://jp.techcrunch.com/archives/2012 06066-5-million-linkedin-passwords-

   reportedly-leaked-linkedin-is-looking- into-it/ • Sony（7700万件） 7

8. IDとパスワードの危機 2013/07/19 不正アクセスで「NAVERアカウント」が169万件が漏洩 2013/07/18 7月16日に公開されたApache Struts 2の脆弱性、翌17日より攻撃多発 2013/07/18 共同通信社の電子新聞配信サービスに不正アクセス 2013/07/17

   ニフティに不正アクセス、2万1184件のIDに不正ログイン 2013/07/16 日本食品化工、不正アクセスによりウェブサイトが改ざん 2013/07/16 西鉄のウェブサイトが改ざん被害、ウイルス感染のおそれ 2013/07/11 楽天でなりすましによる不正ログイン、ポイント窃取が発生、補償実施 2013/07/10 コナミのIDポータルで約3万5000件の不正ログインが発生 - 1カ月弱にわたり 394万回の試行 2013/07/09 市立伊勢総合病院のサイトが改ざん、ウイルス感染のおそれ 2013/07/05 「クラブニンテンドー」で不正ログインが2万3926件 - 他社PWで1545万回にわた る試行 2013/07/05 トヨタへの不正アクセス、攻撃者が期間中に改ざんと修復を繰り返す 2013/07/05 「さいたま市食育・健康なび」サイトに不正アクセス、情報流出やウイルス感染 は否定 2013/07/02 JAXA、宇宙ステーションなどの技術情報が漏洩 - PW破られシステム5カ所に侵 入許す

9. IDとパスワードの危機 2015/6/12 パスワード管理ソリューション「LastPass」で情報漏洩 （攻撃） 2015/6/18 「Retrospect」にパスワードが容易に把握される脆弱性 2015/6/16 金融機関装うSMSに注意 - 「パスワードが失効」と騙し

   て偽サイトへ（三井住友銀行、三菱東京UFJ銀行） 2015/6/25 日本茶販売ショップに不正アクセス - カード情報が流 出 2015/6/22 早大、「医療費通知」でマルウェア感染 - 管理者PW窃 取で複数台へ拡大 年金機構を始めとする多数機関にマルウェア感染

10. パスワードへの攻撃 • 辞書攻撃 • 総当たり攻撃（ブルートフォース） • レインボーテーブル攻撃 • フィッシング詐欺 •

    パスワードリスト攻撃 10

11. http://www.bk.mufg.jp/info/phishing/ransuu.htmlより引用 11

12. Sonyパスワード解析 • 文字列長6～10が93％、最少は4 • 文字種数字、英大文字、英小文字、その他 のうち3種以上は4％のみ – 小文字のみ45％、数字のみ4％ – その他（記号等）を含むものは1％のみ

    • 辞書に有るものは36％ • 再利用されたパスワードは92％ http://www.troyhunt.com/2011/06/brief-sony-password-analysis.htmlより引用 12

13. １ 123 ２ password ３ liverpool（イングランドの人気サッ カーチーム） ４ letmein（「入れてくれ」――現代版 「開けゴマ」）

    ５ 123456 ６ qwerty（キーボード左上のキー配 列） ７ charlie（英国でよくある人名） ８ monkey（理由不明） ９ arsenal（イングランドの人気サッ カーチーム） １０ thomas（もう1つよくある人名） １ 123456 ２ 12345 ３ 1234 ４ password ５ test ６ 123 ７ test123 ８ 1qaz2wsx ９ passwd １０ qwerty http://www.itmedia.co.jp/news/articles/0606/30/news020.html、 http://www.cyberpolice.go.jp/server/rd_env/pdf/20060817_SSH.pdfより引用 13

14. 14

15. パスワード解析の所要時間 数字 英大文字 英大小文字 英数字 英数字＋記号 3桁 1000通り/2.5ミ リ秒 1万7576通り/43

    ミリ秒 14万通り/351ミ リ秒 23万通り/595ミリ 秒 80万通り/2秒 4桁 1万通り/25ミリ 秒 45万通り/1.1秒 731万通り/18 秒 1477万通り/36秒 7488万通り/3.1分 5桁 10万通り/250 ミリ秒 1188万通り/29秒 3億8020万通り /15分 9億1613万通り /38分 69億通り/4.8時間 6桁 100万通り/2.5 秒 3億891万通り /12.8分 197億通り/13 時間 568億通り/1.6日 6469億通り/18日 7桁 1000万通り /25秒 80億通り/5.5時 間 1兆280億通り /29日 3兆5216億通り /3.3月 60兆通り/4.7年 8桁 1億通り/4.1分 2088億通り/6日 53兆通り/4.2年 218兆通り/17年 5595兆通り/443年 9桁 10億通り/41 分 5兆4295通り/5.2 月 2779兆通り /220年 1京3537兆通り /1073年 52京通り/4万1255 年 10桁 100億通り/6.9 時間 141兆通り/11.1 年 14京通り/1万 1459年 83京通り/6万 6535年 4839京通り/383万 年 数字は毎秒40万回解析するものとして計算した値。 15

16. パスワードの理想形 • 長い • 複雑 • 定期的な変更？ 16

17. パスワードの長さ • 何文字が良いのか？ • 鍵長の問題？ • SSHは1024～2048ビット≒128～256文 字相当 • 指紋認証？（576バイト：

    http://www.dit.co.jp/products/puppy/p df/PUPPY_catalog.pdf） 17

18. 1000万個＝25秒 • 単語100万個×バリエーション10＝1000 万 • sonoda、s0n0d@、sonoda01、 sonoda123、sonoda1、sonoda2、 sonoda3・・・ – バリエーション100でも250秒

    • 辞書なら瞬殺 18

19. パスワード＋ID＝リスト攻撃 • 攻撃者にとっては、IDも突き止めないと ならない • 同じIDとパスワードの組み合わせを他で 使う例は多い＜狙い目 19 sonodam sonodam01

    test test admin password

20. パスワード攻撃の成功率 社名 成功数 試行数 成功率 eBookJapan 779 2,210 35.25％ ディノス

    15000 1,110,000 1.35％ ニッセン 126 11,031 1.14％ コナミ 35,252 3,945,927 0.89％ JR東日本 97 26,000 0.37％ NTT東日本 77 24,000 0.32％ 資生堂 682 240,000 0.28％ 三越伊勢丹 8,289 5,202,002 0.16％ 任天堂 23,926 15,457,485 0.15％ 20 http://security-t.blog.so-net.ne.jp/2013-07-24より引用

21. アメリカでの 社会実験的アンケート • http://www.itmedia.co.jp/enterprise/art icles/1510/29/news055.html • 「アンケートでは、全体の94％が普段から ノートPCやモバイル端末で公衆Wi-Fiに接続 していると答え、うち69％は公衆Wi-Fiで仕 事関連のデータを扱っていた。「仕事用の

    パスワードを私用でも使っている」は38％、 「2要素認証とは何かを知らない」は41％、 「職場でのサイバー研修は受けていない」 は45％に上った。」 21

22. パスワード覚えられますか？ • 強いパスワード≒覚えにくい • たくさん作る≒覚えにくい • 定期的に変更する≒覚えにくい 22

23. 良いパスワードの作り方 • 長文を短文化 – When I Was Younger, So Much

    Younger Than Today.→「W1wySmYTT」 • 日本語を英語化 – 人間五十年、天下の内をくらぶれば、夢幻の 如くなり→「N50tuKMgn」 • パスワードで人生を変える（笑） – http://curazy.com/archives/48452 23

24. 24

25. 25

26. 質問：定期的な変更？ • メリット？ • デメリット？ • 変更すべき場面？ • 定期的に変更すべきか？ 26

27. 定期的な変更？ • 3ヶ月に1回変更せよ？ –長く、複雑なパスワードは 記憶可能？？？ –むしろヒューマンエラー？ • メモすれば良い！ 27

28. password password 「鍵」の管理が重要 28

29. パスワードマネージャー 29

30. 認証局が狙われた • オランダの認証局DigiNotarが狙われて、 不正な証明書を発行させられてしまった • Firefox、InternetExplorerなど主要ブラ ウザすべてパッチ出し • セキュリティ対策めっさ酷かったので会 社畳みました

    30

31. 31

32. 32

33. 33

34. 定期的な変更が機能する場面 • 定期的に変更する習慣があれば、盗まれ て悪用されている状況を改善することが できる（保険的） • 「パスワードの変更」という特殊なプロ セスに慣れることができる – 非常事態に慌てないで済む

    • →パスワード管理のキモ部分を体感 34

35. 質問：生体認証？ • 指紋？ • 虹彩？ • 静脈？ • 顔？ •

    サイン？ 35

36. 指紋認証は安全？ • パスワードを覚えなくて良いので便利･･･ • 指紋はノーパソに付いている • 「生体認証」破り入国、韓国人女がテープ で指紋変造 – http://www.yomiuri.co.jp/national/news/2

    0081231-OYT1T00608.htm 36

37. 生体認証は安全？ 認証方法 代替？ 指紋 テープ、接着剤、グミ指 顔 マスク、顔写真 静脈 大根（笑）？ 虹彩

    同じ反射の模型 サイン タイミングと筆跡の模倣訓練 37

38. BIOSパスワード 38

39. BIOSパスワードは安全か？ • 「よーし、BIOSとやらのパスワードをかけた らめっちゃ安全らしいし、かけておくか」 • 数日後「あれ、なんか起動しないな･･･」 • 「あれ？そういえばパスワード忘れちゃった ！どうしよ？とりあえずサポートに電話して 何とかしてもらうしか･･･」

    • サポート「××××って入力してみてくださ い」 39

40. バックドアパスワード 40

41. 41

42. 終わり