教師・教育支援者のための情報セキュリティ第五回

Transcript

1. 教師・教育支援者の ための 情報セキュリティ 第五回：ウイルス 園田道夫

2. 質問 • コンピューターウイルス（マ ルウェア）は年間何個ぐらい の新種が出現しているか？

3. 7億 ≒200万/日

4. http://www.av-test.org/en/statistics/malware/ Mpackアウト ブレイク 4

5. 超沢山

6. Mpack大安売り • 米シマンテックは 2007年7月5日（米 国時間）、ソフトウ エアのぜい弱性を悪 用する有料の攻撃 ツール「MPack」が 格安で販売されてい ることを、同社の公

   式ブログで明らかに した。通常は1000 ドルのところを、 150ドルで販売して いるWebサイトがあ るという。 http://itpro.nikkeibp.co.jp/article/NEWS/ 20070706/276930/より引用

7. 参入障壁が無くなる • パッケージ化 • サポートサービス • →文化が違う技術者と仲間 にならなくて良い • →分業ビジネスモデルの

   確立 7

8. 8 オールドタイプのウイルス • 止める・妨害する • ただ拡散する • イタズラ書きをする • 画面を溶かす

   • 花火を打ち上げる • 画面をフリーズさせる…etc.

9. 近年のウイルスが狙うもの • ＩＤとパスワード • 企業や組織の重要情報 • 企業や組織のそれほど重要ではない情報 • 個人情報 •

   個人の課金関連情報 • クレジットカード、銀行口座情報 • 企業内部のネットワーク等の情報 金になる!!

10. 感染端末への指令 • C&Cサーバーに アクセス • 命令や追加モジ ュールをGET • さらなる感染、 情報窃取活動へ

    • 世界には多数の 命令＆モジュール配布サーバー有り – 国境を越えている http://itpro.nikkeibp.co.jp/article/NEWS/20140306/5 41765/?ST=securityより引用

11. 身代金を取るウイルス • ランサムウェア（ランサムなマルウェア） • データ、ハードディスクなどを暗号化し、復号して 欲しいならビットコイン寄越せ、というビジネスモ デル – RaaS（Ransomware as

    a Service） • 「被害総額30億円以上--実際の事件から考えるラン サムウェアへの対策」 – http://japan.zdnet.com/article/35082093/ – 「FBIは2015年6月、「CryptoWall」というランサム ウェアで寄せられた相談件数が992件、被害総額は1800 万ドル（約20億円）に達したと報告、オンラインニュー スサイトであるGeek.comは「CryptoLocker」の作者が これまでに3000万ドル（約34億円）相当の身代金を手に 入れた可能性があるとしている。」

12. 被害事例 • 南カリフォルニアの病院（2016年2月） –アクセス復旧のために40ビットコイン（お よそ1万7000ドル相当）を支払った – http://japan.zdnet.com/article/35078156/ –北米は他にも多数の病院が被害に • ドイツの2病院（2016年3月）

    –身代金支払いは拒否 – http://japan.zdnet.com/article/35078708/ • 支払は仮想通貨 12

13. ウイルス感染を防ぐには • 感染手口を知ること • バックアップを取ること –→ランサムウェア対策

14. 手口：おまえのパスワードはわ かったぜ • どこかで漏洩したID（メールアドレス） とパスワードを使って、「お前のパス ワードこれだろ？なんでわかるかってマ ルウェア仕込んだからさ。お前が人に言 えない動画とか見てるの全部録画してあ るぜ。消して欲しかったらビットコイン 寄越しな」というメールが

    • 漏洩させたヤツ出てこいや（怒

15. https://monitor.firefox.com/ 元ネタはセキュリティ研究者がやってる https://haveibeenpwned.com/

16. 手口：宅配便 • ご依頼の荷物の配送状況は添付ファイル の通りです。という本物そのまま、だけ ど添付ファイル有り、というメールが来 る。 • ショートメッセージで来て、リンクク リックすると見た目が本物と同一のWeb サイトに飛び、「配送状況が確認でき

    る」アプリをインストールさせようとす る
17. None

18. 18 複数の宛先 おかしなURL 上と同じURL http://fi.isabellebellamodel.com/diejewcmjpt5679/nkcabbpmkduh26790wcavp5m- snduxno319206634/ophlcxpoo7542760の中に、メールアドレスの一部が埋め込まれている

19. 手口：請求書 • いつもお世話になっております。 請求の内容が確定しましたのでお 送りします。

20. 20

21. 21 https://idmsjp.secureaccountlogins.keynumber90sds3234asf3asf.akusayangkamuastri.co m/manage/?view=login&appIdKey=653ba26d7d4bf51&country=JP

22. 手口：セキュリティメール • あなたのアカウントで異常な活動 が検知されたので一時的にアカウ ントを停止しています。ロックさ れた場合はログインしてアカウン トを復元してください

23. 手口：BEC （間接的、将来応用の可能性） • BEC=Business E-mail Compromise ＝ビジネスメール詐欺 • 正規の取引先からの航空機リースの請求 （PDFファイル）が来て、その直後に送

    信元アドレス以外は正規と同じメールが 届き、「振り込み先が変わったのでこち らに」と偽造PDF付きでメールが。送信 者名は正規のメールの送信者名になって た

24. ウイルス感染予防に必要なこと＝ 手口を把握して備える＆ 未知の手口も怪しいと思える感覚

25. 対策1. ウイルス対策ソフトウエア

26. ウイルス対策ソフトウエア の種類と売り文句 対策 実効性 過去ウイルスのリスト ゼロではないが100％にはほど遠い ソフトウエア解析 それっぽさをベースにするので正 常っぽいウイルスに弱い 動作解析

    いちいち動かすのはリスクもあるし 大変だけども確実性は高い。しかし 実装が･･･ AI 未知のウイルスには強いが、既知の ものを確実に捕捉する別物のサポー トが必要 AIAIと言っていれば良いと 思ってる印象ｗ

27. 対策1. ウイルス対策ソフトウエア ＝入れておいた方が良い

28. 対策2. 標的型メール対策訓練

29. 標的型メール＝組織の中の 人っぽいメールで誘い込み ～対策訓練＝中の人っぽい メールにどれだけ引っかか るか

30. 訓練は効果があるのか？ http://www.jpcert.or.jp/research/2011/inoculation20110309.pdfより引用 30

31. 対策訓練の効果 • 一定の効果はあるが、ゼロにはなら ない • むしろ悪くなってる場合もある • メールは大量に来るといちいち注意 していられなくなる •

    一見さんのメールを開かないと怒ら れる人たちも居る

32. 対策2. 標的型メール対策訓練 適材適所的に訓練する必要

33. 質問 • 生徒や学生の父母ではない、一 般市民からあなたの勤める学校 にクレームが来た！ • 「あなたの学校の学生がこんな ことをやらかした→添付ファイ ル」 •

    どうする？？

34. 対策3. 調べてもらう

35. None
36. None

37. 34/60

38. 対策3. 調べてもらうと いろいろ教えてくれる

39. 対策4. 無害化

40. メールの無害化 • 添付ファイルを別なファイル形式や データに変換してしまう –例：PDFファイル→画像ファイル • 添付ファイルからプログラム的な部 分（マクロ等）を削り落とす • →悪い人たちが使いそうな機能を

    データから落として、「無害」にす る • URL誘導には効かない

41. http://www.kawaguchi.com/webinar/sanitizer /index.html

42. 対策4. 無害化 URL以外は頼りになるかも

43. ウイルス対策ざっくりまとめ • それぞれ100%ではないが、 合わせ技なら対抗できそう • でもまだ検知できないものもある • URLとかIoTは課題 – URLはブラウザやVirusTotalが教えてく

    れることもある – ただし、怪しいと思えるかが重要 • 意外と何とかなるじゃん感

44. 学校の現実？ • 未だにWindowsXPがある • ウイルス対策ソフトウエアのライセンス期限が切れている場合もある • 子供らが勝手にいろいろ入れまくる場合もある • WindowsUpdateは重要だけど月一以上電源入らないPCもある –

    ちなみに月一以上電源入らないマシンは起動するとすかさずWindowsUpdateが始まり、いつ まで経っても終わらない（終わるけどｗ） • 再起動したらすべてリセットされる（≒ある意味安全？）PCもある • ウイルス対策ソフトウエアのライセンス期限が切れている場合もある • インターネット利用が許可制、あるいは端末限定になっている場合もある • 所有者不明な（学校の備品？）USBメモリでデータのやり取りしている場合もある • ウイルス対策ソフト（トレンド、マカフィー、カスペル）無しでWin10のDefenders、 加えてEDR（Endpoint Detection and Response）が入っている現場もある • ウイルス対策ソフト（セキュリティソフト）が複数入っている場合もある • パソコン音痴の先生がやむを得ず使わざるを得ないので、一つ一つの操作について聞い て回って結局何もできないってなこともある • 家にパソコンが無いため、ものすごい勢いで私的な利用をしている先生が居ることもあ る • 私物のパソコンで仕事しなければならない場合もある（学校、自宅） • 最初はすごい勢いで多数のiPad的なものが導入されたけど、そのうち全然使わなくなっ てしまって仕方無く先生たちが利用していることがある • パソコンは不自由なくらい堅く設定され、保護状態にあるのにスマホは繋ぎ放題、みた いな現場もある

45. 対策5. EDR 感染してもすぐ復旧すれば OK（ランサムとの競争！）

46. ウイルス所持＆販売で逮捕 • パソコンから個人情報を盗み出すコンピューターウイルスの作成ソフトを 不正に所持していた疑いで、札幌市の中学２年の男子生徒が逮捕されまし た。警視庁は、生徒がインターネットの掲示板を通じてウイルス作成ソフ トを売っていたとみて購入者の特定などを進めています。 • 逮捕されたのは札幌市に住む中学２年の１４歳の男子生徒で、警視庁の調 べによりますと、ことし６月から９月にかけて、自分のパソコンなどにコ ンピューターウイルスの作成ソフトを不正に所持していたとして、不正指

    令電磁的記録保管の疑いが持たれています。 このソフトは「Ｚｅｕｓ」と呼ばれ、パソコンから個人情報を盗み取るウ イルスを作成するもので、インターネットバンキングの不正送金でパス ワードなどを盗み取る際にも悪用されています。

47. 中学生の犯罪 • 「警視庁によりますと、調べに対して男子 生徒は「小学校高学年ごろからパソコンに 興味を持ち始めた。ソフトはインターネッ トで無料で入手した」と話し、容疑を認め ているということです。 これまでの調べで男子生徒は、インター ネットの掲示板に複数のウイルス作成ソフ トを１万円から５万円程度の電子マネーで

    売ると書き込んでいたということです。警 視庁は、男子生徒がソフトを売っていたと みて購入者の特定や、悪用されていないか など調べを進めています。」 http://www3.nhk.or.jp/news/html/20151104/k10010293671000.htmlより引用

48. ウイルス作成罪 • 不正指令電磁的記録作成等 • 正当な理由がないのに、1項1号に掲げる電磁的 記録を人の電子計算機における実行の用に供し た場合も同様とされる（168条の2第2項）。 • 不正指令電磁的記録取得等 –

    正当な理由がないのに、168条の2第1項の目的 で、同項各号に掲げる電磁的記録その他の記録 を取得し、又は保管した場合、2年以下の懲役又 は30万円以下の罰金に処される。 • 未遂 – 供用罪（168条の2第2項）については、未遂も 処罰される（168条の2第3項）。

49. http://www.sankei.com/west/news/161203/wst1612030028-n1.html

50. サイバー犯罪被疑者年齢分布 50

51. 一番多いのは若年層 51

52. 質問 •子どもに持たせない、 作らせない、 売らせないようにする ためには？