教師・教育支援者のための情報セキュリティ第十三回

Transcript

1. 教師・教育支援者の ための 情報セキュリティ 第十三回：インシデント対応 園田道夫

2. インシデントとは何か • セキュリティ上の事件、事故 • 情報漏洩、ウイルス感染など • 「行く末を危うくしない対 応」が重要

3. 予兆の検知 • 検知体制は重要だが、内部での検知 →エスカレーションは困難？ –ルール違反検知 –（例えば）いじめ検知 –ウイルス感染前検知←辛うじてできて いるのはこれくらい？

4. 他人から知らされる • 外部からの通報やお知らせ – 外部のセキュリティ組織から「おたくや られてまっせ。他に迷惑なんで何とかし て」とお知らせが来る – 保護者からの連絡 –

   第三者からの連絡 – いきなり弁護士が来る – いきなり訴状が来る • 警察からのお知らせ

5. 事例：「先生は危機感不足」の封書、 中から紛失ＵＳＢ • 岡山県奈義町教委は９日、町立奈義小学校の３０歳代女性教諭が２０１ ２年４月、児童の個人情報が入った個人所有のＵＳＢメモリーを紛失して いたと発表した。 • 今月８日にＵＳＢが町教委に郵送され、紛失の事実が判明。同小校長は 事実を町教委に伝えていなかった。今のところ、悪用された形跡はないと いう。

   • 町教委によると、女性教諭は１２年４月下旬、２００８～１２年度に勤 務した美咲町や鏡野町の小学校や奈義小の児童計２２８人の名前や電話番 号、成績などが入ったＵＳＢを紛失したことに気付き、校長に報告して校 内などを探したが見つからなかった。教諭は職員室の机の中に保管してい ると思っていたが、自宅に時々持ち帰っていたという。 • 紛失したＵＳＢは「１住民」と書かれた封書で届き、「先日拾って、中 身を確認したが、小学校のものではないか。個人情報を扱う先生として危 機感が不足しているのではないか」などと指摘する手紙が同封されていた。 • 笠木義孝教育長は「情報管理検討会議を設置して検証し、校内の情報管 理体制の見直しや再発防止の研修を実施したい」と話している。 • （2014年1月10日08時09分 読売新聞）

6. 事例：SQLインジェクション攻撃 • http://www.security-next.com/102017 • 1月5日にウェブサーバを管理する委託先よ り異常を検知したとの連絡があり、その後 の調査で「脆弱性診断ツール」を用いたと 見られる不正アクセスが行われていたこと が判明したという。

7. 事例：なりすましサイト • http://www.security-next.com/101811 • ベースボール・マガジン社は、同社になりす ました不正サイトが確認されているとして、 注意を喚起した。詐欺の可能性がある。 • 同社によれば、問題のサイトは「日用品、生 活雑貨」の販売をうたっており、有名スポー

   ツブランドのウェアなどを販売しているかの ように偽装。会社概要に同社の名称や住所、 電話番号などを記載していた。 • 一方、会社概要には同社と無関係である担当 者名とメールアドレスを表示していたという。

8. 質問： • 学校という組織にはどんな リスクがあるのか？ • 例えば東京学芸大学？

9. 学校が抱えるリスク？ • ウイルス感染パソコンが出た – そのパソコンは学校の備品か個人の持ち物か • 学校の持つWebサービスがサイバー攻撃 にやられてしもうた • 成績データを誤送信してしまった

   • 学生の個人情報入りのUSBメモリを紛失 してしもうた • なりすましメールにおカネを盗られた

10. 初動対応？ • ウイルス感染パソコンが出た – そのパソコンは学校の備品か個人の持ち物か • 質問：このあとどうする？

11. 初動対応？ • 学校の持つWebサービスがサイバー攻撃に やられてしもうた • 質問：このあとどうする？ • 質問：みなさんに何かできることがある？

12. 初動対応？ • 成績データを誤送信してしまった • 質問：このあとどうする？

13. 初動対応？ • 学生の個人情報入りのUSBメモリを紛失 してしもうた • 質問：このあとどうする？

14. 初動対応？ • なりすましメールにおカネ盗られた • 質問：このあとどうする？

15. 初動対応とは • 対応できること、対応できないことを はっきりさせておく – ウイルス感染事例？ – サイバー攻撃？ – 誤送信？

    – USB紛失？ – 送金（振り込み）しちゃった？ • できないときにどうするか？ – そりゃ専門家に頼むしかなかろうｗ

16. 初動対応のために • 事前にできることは何か？ – 避難訓練的なもの – ご参考：CYDER演習 • https://cyder.nict.go.jp/ •

    事前に準備しておくものは？ – 誰（どの組織）にどう報告・連絡するのか？ – 誰が責任者になるのか？ – 誰がどの担当になるのか？

17. サイバー攻撃 • ウイルス感染、サービスへの攻撃などの事 件は、最終的には警察に届けることも考慮 する必要がある • 届けられた警察は証拠保全、鑑識活動を行う • 証拠保全＝コンピューターの中身を極力い じらず、可能なら中身のコピーを作る

    • 証拠保全できないのなら、自分たちで調べ る（＝証拠汚染）などせず、できるだけ早 く警察に渡す

18. サービスを止める、復活させる • 攻撃されたサービスを止めるの か止めないのか • 止めたサービスをいつ復活させ るのか –何が揃ったら復活させる？

19. 質問：広報的初動対応 • 例えば、学生情報の漏洩が発覚したとき • 誰に何をどういうタイミングで知らせる のか？

20. 事例：宅ふぁいる便 • 2019年1月25日、インターネットでファイルを転送する「宅 ふぁいる便」のサーバーが不正アクセスされて、約480万件の 個人情報が漏洩していたことが発覚した。 – https://www.filesend.to/ • 漏洩したのは以下の情報： •

    （１）2005年以降、全期間を通じてお客さまにご回答いただい ている情報 • 氏名（ふりがな）、ログイン用メールアドレス、ログインパス ワード、生年月日、性別、 職業・業種・職種※、居住地の都道 府県名、メールアドレス2、メールアドレス3 • （２）上記に加えて、2005年～2012年の期間でのみ、お客さ まに回答いただいていた情報 • 居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配 偶者※、子供※ • ※該当する選択肢番号を選ぶ形式のため、具体的な職業・業 種・職種、配偶者や子供の有無などは明記されていません

21. 第1報～第3報、FAQ • 1月25日、26日、28日 • FAQ：29日更新が最新 • ちなみにFAQがエグい –パスワード暗号化してなかった

22. インシデント対応アワード • 最優秀賞は全員一致で決定! 第2回情報セ キュリティ事故対応アワード開催レポー ト – https://news.mynavi.jp/itsearch/article/ security/2536 –

    「情報セキュリティ事故対応アワードは、セ キュリティ事故が起きてしまった後、説明責 任・情報開示の観点から見て、優れた対応を 行った団体・企業を表彰するイベントだ。」

23. インシデント対応アワード • 「富山大学は昨年、標的型メールによって研究者の PCがウイルス感染し、大量の通信が発生する事態に 陥った。ただし、PC内のデータは既に発表済みのも のばかりだったという。 • 受賞の決め手となったのは、攻撃手法やC2サーバ情 報など、情報セキュリティの専門家に役立つ貴重な 情報を提供したこと。根岸氏は「（接続先の内容を

    リリースに含めていた企業は）富山大学以外で2016 年には見たことがない」と賞賛する。 • 辻氏は「富山大学が提供した情報は、関係者の安心に つながる部分です。そうした貴重な情報を出したと いうことが評価のポイントになりました」とコメン トした。」

24. インシデント対応アワード • 「最優秀賞は審査員全員の意見が一致! • 今回、最優秀賞に選ばれたのはパイプドHDだ。対象 となったのは、同グループ傘下の企業が提供するアパ レル特化型ECプラットフォーム「スパイラルEC」で 構築されたサイトに、外部からの不正アクセスが発生 し、個人情報が不正にダウンロードされたという事件 である。

    • 北河氏は「第1報から第4報まで非常に詳細な報告書が 出ています。さらに、そのタイミングで社長自身が出 演した20分にも及ぶ報告動画がYoutubeにアップされ、 経営課題として全社的に取り組む姿勢を見せています。 会社の規模にもよりますが、最初だけ社長が登場して 後は担当者が説明するという発表形式が多いなか、直 接社長が説明するのは珍しいことです」と高く評価す る。」

25. インシデント対応アワード • 「次に重要なのは情報公開のチャネルだ。 piyokango氏は、「一般的には、Webサイトに公 開するべきです。ただし、情報共有と言ってもイ ンターネット上への公開が全てではありません。 サイバー情報共有イニシアティブ（J-CSIP）な ど、情報を共有する枠組みは既に複数存在します。 自分の組織が参加可能なところを確認し、そうし た既存の枠組みの活用も検討してほしいと思いま

    す」とコメントする。また、「Webサイトはダ ウンする場合もある」(根岸氏)ので、非常時に備 え、Twitterなど複数のチャネルをあらかじめ用 意しておくことが必要だ。」

26. まとめ • 緊急連絡網の整備 – 連絡がつかないときにどうするかも考えておく • 誰が何を担当するのか決めておく – できれば手順も決めておく •

    ケースに依っては、できるだけ早く警察に 通報する • 被害者や社会に対し、安心させるような情 報をできるだけ早期に発信する • 社会的経験値になるようにできるだけ詳細 な情報をレポートする

27. PostScript • 予兆に気づくには、予兆の知識 があるか、普段との違いに気づ くしか無い • 「普段」をどれだけ観察してい るかがキモ

28. レポートについて • 期末レポート提出先 – 宛先：[email protected] – ＋学芸Web？のメール – 複数のルートで確実に届くように –

    学籍番号と名前記入お願いします • レポートのテーマは、講義の中で興味を 持ったテーマor情報セキュリティに関わる 何か • スライドはこちら： https://speakerdeck.com/sonodam • 自分ならそれをどう思うか、そして学生、 生徒にどう教えるかをまとめて下さい 28

29. テーマ一覧 • パスワード • ソーシャルエン ジニアリング • 法律と社会制度 • ウイルス

    • 特定 • 匿名性と誹謗中傷 • 怪しいアプリ • 情報漏洩 • 遠隔操作事件 • 無線LAN • インシデント対応

30. 提出期限 • レポートの締め切りは • 卒業・修了年度の方は2月18日（月）の12 時 • それ以外の方は25日（月）の12時 • いずれも日本時間

    • ちなみにわたしが成績を付ける締め切りは それぞれ19日（火）の24時、26日（火）の 24時。時間がないのでよろしく

31. 終