Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
身近な情報システムと情報セキュリティ対策の意義
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
身近な情報システム
• 皆がどこかで使っている情報システム– メールやWebで
– 銀行で、コンビニで、旅行するときに
• 企業の中で活用される情報システム
– 人事システム、財務システム、販売管理システム等々
• 国や公共サービスで使われている情報システム
– 県庁や市役所の窓口で
• 重要な社会インフラで使われている情報システム
– 電気、ガス、水道、鉄道、航空、金融、情報通信
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
参考:データで読むIT利活用動向
企業のLAN導入率
LAN導入率:部門LAN,基幹LAN,WAN,企業間ネットワークを含む。(集計企業数に占める該当と回答した企業数の割合)
0.66台92%2002年
0.60 台95%2001年
0.84台94%2000年
-93%1999年
従業員1人当りPC所有台数
LAN導入率
経済産業省「情報処理実態調査」より
PC やLAN などインフラ整備はほぼ充足
ブロードバンド接続
ダイアルアップ接続
接続していない
インターネット接続状況
ブロードバンド接続
69%
ダイアルアップ30%
0.4% 接続していない
2004年1月ECOM「中小企業におけるEC実態調査」より
ITを安全・快適に使うための情報セキュリティの確保
現在の課題
大容量のデータ交換が可能
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報システムが使えないとどうなる?
・Webを閲覧させることができない → Web販売ができない
・Webが閲覧できない → 情報収集ができず、業務が滞る
・E-mailが使えない → 業務連絡や業務自体が滞る
もしも情報システムが停止したら?
・製造業 -- モノをつくるのが企業活動の中心
→モノをつくるためのエンジニアリングシステムが停止
・販売業 -- モノを売るのが企業活動の中心
→ 受発注システムや在庫管理システムが停止
・金融業、運輸業、航空会社などの業務システムが停止
→ お金が引き出せない、電車が動かない、
飛行機が飛ばない
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
大事が情報が消えるとどうなる?・納期に間に合わせるため徹夜して仕上げた調査報告書のデータが
消えた → 納品できない → ビジネスの損失、損害賠償も?・明日のセミナーで使うデータが消えた → 実施不能!!!!
もしも情報が消えてしまったら?
財務情報、人事情報、技術情報、顧客情報、販売情報、在庫情報など
企業の情報システムに蓄積された重要な情報が消えたら?
情報の復元費用・業務の中断による時間ロスと機会損失復元できなかった情報による利益の消失
基幹業務に係る情報が復元できなかった場合業務継続不能
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報漏洩事例と損害額
もしも情報が漏洩したら?
2004年9月 クレジット会社の顧客情報571件が漏洩うち88件の顧客情報が不正に使われ、1350万円の被害
2004年2月 大手インターネット接続事業者から約460万件の顧客情報流出該当する顧客全員に500円相当の金券を送ると発表。
金券を送るための費用総額は約40億円と推定。
2004年3月 ある大手通信販売会社から約306万件の顧客情報が流出
この会社は、顧客情報流出を謝罪し、テレビ等による通信販売活動を1ヶ月以上も自粛。自粛による売上損失数十億円と試算
犯罪の不可視性 + 発生時の被害額の大きさ + 社会的信用の失墜
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
損害額は本当はもっと大きい
もしも情報が漏洩したら?
2004年3月 大手インターネット接続事業者から約460万件の顧客情報流出該当する顧客全員に500円相当の金券を送ると発表。
金券を送るための費用総額は約40億円と推定。
この金額は対応費用の一部のみ
セキュリティ事故の際の損失の種類:
直接損失:紛失や破壊などによる物的、人的な直接的被害
間接損失:業務停止、機会損失、賠償被害、社会的信用の失墜など
→ 顧客離れ、解約、入会保留等
対応費用:再発防止対策費用、顧客対応費用(金券送付、窓口対応、
メールアドレス変更)、マスコミ対応、漏洩情報の回収費用等
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ITの光と影:利便性の影に潜む脅威
リモートからの不正侵入が可能(不正の発見が困難・情報窃盗、改ざん、
破壊などあらゆる不正が可能)
リモート操作が可能(外出先からのアクセスが可能)
改ざんが容易変更や修正が容易
盗み出しの発見が困難コンパクト性(USB, CD-ROM等)
オリジナルとコピーの見分けが難しい複製が劣化しない
瞬時に大量破壊が可能大量一括処理が可能
短時間にコピーされて盗まれる高速な処理が可能
影の部分(脅威とリスク)光の部分(利便性・高効率)
IT依存度が高い程利便性は増すが脅威は高まる
電子的データの特性による利便性の向上と脅威の増大
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
◆ 企業財産の保護情報の価値は思っている以上に高い
◆ 社会的責任 (個人情報の保護)顧客データ等プライバシー情報を守る社会的責任がある
◆ 企業の社会的信用の向上、維持情報の流出、加害者への加担は企業の信頼を失墜させる
◆ セキュリティ対策はビジネス上必須に情報セキュリティ対策に不安のある企業とは… …
情報セキュリティ対策の意義
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
身近な事件・事故の事例検証
1. 個人情報漏洩2. パスワード盗聴とキーロガー3. 無線LANのセキュリティ
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. 個人情報漏洩
多発する個人情報漏洩
漏洩情報の内容によるインパクト
漏洩情報の種類によるインパクト
漏洩事例の原因傾向分析
なぜ「流出経路不明」となるのか
なぜ「過失」が多くなるのか
関係者タイプによる分析
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
多発する個人情報漏洩
• 2004年はすでに報道されているだけで70件以上
• そのほとんどの原因が内部関係者
• 漏洩件数数百件から数百万件まで、月数回のアベレージで続いている
• 漏洩する情報も昨年までは基礎的な情報が多かったが、現在はもっと危機的
– 基礎的な情報とは「住所」、「氏名」、「職業」など
– 現在は信販会社の情報までもが漏洩し始めている
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
漏洩情報の内容によるインパクト
• 住民票データで1万円、弁護士費用5千円(U市事例)– 住民票データは世帯主、生年月日、本籍、続柄、住所、氏名他
– 裁判所の判断は、慰謝料は1人につき1万円、弁護士費用は1人につき5千円とする。 」というもの
• 大手ISPに対し10万円請求の訴訟– 住所、氏名、電話番号、申し込み時のメールアドレス、ISPメールアド
レス、ISPのサービス用 ID、申し込み日
• 大手エステサロンに対し115万円請求の訴訟– 住所や名前、職業、電話番号、メールアドレスなど約3万件分。さら
に「二の腕を細くしたい」といったエステに関心を持っている理由についての記述や体のサイズについて記されているデータも
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
漏洩情報の種類によるインパクト
• 現在のところの主な被害など
– 架空請求に応じてしまう被害
– 恐喝未遂
– 情報管理元への損害賠償請求
• 予想される被害
– クレジットカード関連の情報漏洩による勝手に買い物、勝手に借り入れ(現金引き出し)被害
– おれおれ系詐欺への利用
– 恐喝への利用
– ストーキング被害
– フィッシングへの利用
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
漏洩事例の原因傾向分析
• 過失や紛失が多い
– ただし、過失の背後には管理不十分や技術的対策の不足があると思われる
• しかし「流出経路不明」というのが最も多い
– こちらも背景には管理不十分や技術的対策の不足があると思われる
• 意外に少ない「技術的対策不足」
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
なぜ「流出経路不明」となるのか
• 情報の持ち出し等管理が適切でない
– 持ち出し、複製、送信などの承認(ワークフロー)等が行われていない
• 事後に記録を見ても操作されていた状況がわからない、そもそも記録が無い
• 情報に対するアクセス管理が適切でない
– アカウント管理、個人認証が適切でない
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
なぜ「過失」が多くなるのか
• 情報の持ち出し等管理が適切でない
– 持ち出し、複製、送信、廃棄などの承認(ワークフロー)等が行われていない、あるいは手順が適切でない
• 情報の持ち出し等行為の設定が適切でない
– そもそも持ち出したりしてもいいものなのか?
– 持ち出すリスクについてちゃんと考えているのか?
• 情報の持ち出し時などの取り扱い方が適切でない
– 手順と技術的対策
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
関係者タイプによる分析
• やはり、最大の敵は内部にあり
– 権限を持ったアクセスこそ最大の脅威
– 過失の多さと合わせて考えると、安全な取り扱い手順の確立とその遵守、そしてその技術的なサポートこそ急務か
• 「擬似」内部にも要注意か
– 外部関係者による開示請求に応じたりするケースもある
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2. パスワード盗聴とキーロガー
パスワード盗聴
キーロガーとは
デモ
パスワード盗聴の実例
引き起こされる被害
被害に遭わないために
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パスワード盗聴
• ショルダーハッキング– 入力しているIDやパスワードを肩越しにのぞき見る
• ネットワークモニタリング– パソコンとウェブサイトなどの間のどこかでネットワークを盗聴する
– 通信経路などを暗号化されていると盗聴は困難 (VPN, SSL)• キーロガー
– パソコンにインストールされ、キー入力やマウス操作などを監視
– 収集した情報をファイルに保存、あるいはネットワーク経由で送信
– 通信経路が暗号化されていても盗聴可能
– 最近はキーボード端子に接続するハードウェア型もある
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
キーロガーとは
• インストールされるとWindowsなどのOSに入り込
み、キー入力やマウス操作などを監視
– 表向きは起動しているように見えない
– タスクマネージャのプロセス画面には表示される場合がある(表示されないものもある)
– レジストリを書き換えて、起動時に自動的に実行される
• 盗聴した情報はファイルに保存
– しばらくの間、情報を収集した後にファイルを回収
• あるいはネットワーク経由で送信
– 悪意ある人がリモートで収集
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
デモ
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パスワード盗聴の実例
インターネットカフェのパソコンにキーロガーを無断でインストール
オークションサイトのIDとパスワードを収集し、偽の出品で金銭をだまし取った疑い
オークションで商品代金をだまし取り逮捕 (2001年12月)
都内100カ所以上のインターネットカフェのパソコンにキーロガーを無断でインストール
インターネットバンキングのIDとパスワードを収集し、他人の口座に不正にアクセスして預金を
自分の口座に振り込み
不正アクセス禁止法違反、電子計算機使用詐欺、電磁的記録不正作出等の容疑で逮捕
ネットバンキングに不正アクセス、1600万円盗む (2003年3月)
インターネットカフェのパソコンにキーロガーを無断でインストール
インターネットバンキングのサイトに盗聴したパスワードを使ってアクセス
住所を自分の私書箱に変更し、キャッシュカードを「紛失した」として再発行させ、このカードを使って口座から約300万円を引き出した疑い
不正アクセスで新たに300万円被害 (2003年5月)
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
引き起こされる被害
• 情報の漏洩
– 個人情報
– ID、パスワード
– メールの送信内容
• 漏洩した情報の悪用による二次被害
– 預金を不正に引き出す、振り込む
– オンラインショッピングで不正に注文
– 個人情報を不正に転売
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害に遭わないために(1)
• 予防
– ワクチンソフトの利用
• 定義ファイルを頻繁に更新する
• キーロガーを仕込むウイルスもあります
– むやみにアプリケーションをインストールしない
– パーソナルファイアウォールの利用
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害に遭わないために(2)
• 対策
– 重要な情報は、信頼できないパソコンでは絶対に入力しない◎自宅のパソコン、 ◎会社の自分専用パソコン
インターネットカフェ、 会社の共用パソコン
– オンラインバンキングなど、特に重要な情報を送信するサイトは、ID/パスワードによる認証だけで
はなく、複数の本人確認手段を取り入れているところを選ぶ
– パスワードを入力する時は周囲に注意する
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
3. 無線LANのセキュリティ
無線LANの特徴無線LAN利用の現状無線LANセキュリティに関する調査
ウォードライビングデモWEP※の脆弱性
引き起こされる被害セキュリティに関するガイドライン被害に遭わないために用語集
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
無線LANの特徴
• メリット– 配線の手間が軽減できる
– ネットワークに接続したまま移動できる
– 配線に伴うトラブルが軽減できる
– 迅速なLAN構築が可能である
– レイアウト変更が容易になる
• デメリット– 有線LANほどのスピードは得られない
– カバー範囲があまり広くない
– 複数の人が同時に使うと速度が低下する
– 電波干渉を起こす場合がある
– 接続している機器が見えない
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
無線LAN利用の現状
• 利用者は増加傾向
– 高速化
11Mbps(802.11b) → 54Mbps(802.11a/g)– 低価格化
– 高機能化• WPA※
対応, IEEE802.1x※
– ノートPCに無線LAN機能が標準搭載
– ホットスポットサービスのエリア拡大
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
無線LANセキュリティに関する調査(1)
• JEITAが2003年11月に行ったアンケート調査
– ほとんどのアクセスポイントが対応しているMACアドレスフィルタリング
※
やWEP※
暗号化でさえ、利用しているのは
約1/3– 何らかのセキュリティ設定の有無
何も設定していない/設定しているかどうかわからない 50%
出典: (社)電子情報技術産業協会 無線LANのセキュリティに関するガイドライン(改訂版)http://it.jeita.or.jp/perinfo/committee/pc/wirelessLAN2/
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
無線LANセキュリティに関する調査(2)
– SSID※
を変更していますか?出荷時設定のまま 31.3%変更したかどうかわからない 25.8%
– 無線LANのセキュリティ機能を知っていますか?
Any接続拒否
使っていない 79%SSID秘匿(ステルス)機能
使っていない 86.73%MACアドレスフィルタリング
使っていない 62.75%WEP暗号化
使っていない 64.95%WPAを使っているか
使っていない84.9%出典: (社)電子情報技術産業協会 無線LANのセキュリティに関するガイドライン(改訂版)http://it.jeita.or.jp/perinfo/committee/pc/wirelessLAN2/
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウォードライビング
• セキュリティの設定が甘いアクセスポイントを探す– 外部に洩れた電波を探索して、正しく設定されていないアクセスポイ
ントを見つける
– 無線LANの電波を検出できるようにセットしたコンピュータを自動車などに積み込み、無線LANのアクセスポイントを求めてオフィス街を走り回る
– 自動車でなくとも、自転車や徒歩でも実行可能
– ツールが入手できれば、誰でも簡単に実行できる
– 特別なツールが不要な場合もある
デモ
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
WEPの脆弱性
• 2001年2月にWEP※の脆弱性が発見された
• http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html– ISAAC (Internet Security, Applications,
Authentication and Cryptography)• http://www.isaac.cs.berkeley.edu/
• もはやWEP※は安全とは言えないが、設定すべき
– WEP※キーはできるだけ長いビット長を使う
(128ビットもしくは152ビット)
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
引き起こされる被害
• ネットワークの不正利用– 他人にただ乗りして使われる– 帯域を使われてアクセスが遅くなる– 自分に割り当てられているIPアドレスで
アクセスされる– 不正アクセスの踏み台に悪用される
(迷惑メール送信など)• データの盗難、改ざん、消去
– ファイル共有のアクセス権限に注意– 不用意にファイル共有を使用していると、
ファイルを盗難、改ざん、消去される– 機密情報や個人情報などの漏洩に直結
• 通信内容を盗聴される– ID、パスワードの漏洩– プライベートな情報の盗聴による
ストーカー被害
第2の被害者
侵入者
接続(侵入)
踏み台(攻撃)
改ざん
消去
盗聴
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティに関するガイドライン
• 経済産業省 無線LANのセキュリティに関するガイドライン(2004年4月)– http://www.meti.go.jp/kohosys/press/0005134/– 2003年8月策定したガイドラインの改訂版
– 無線LAN機器のセキュリティ機能設定に関するガイドライン
• 初期セットアップの流れでセキュリティ機能設定画面を必ず通過し、暗号化機能(WEP※、TKIP※、AES※等)の設定を促す。
• 暗号化機能を有効にせずに初期セットアップを終了した場合、ユーザに対して警告を行う。
• 初期セットアップでユーザが意図してオフに設定しない限り、ユーザ使用時には機器毎にユニークな暗号化キーを使った暗号化機能がオンの状態となる。
• 暗号化機能が有効になっていない無線LANアクセスポイントと接続する場合、ユーザに対して警告を行う。
→2005年4月に適用開始
27Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害に遭わないために(1)
• SSID※を正しく設定する
– 「Any接続拒否」を有効にする
– 「SSID※秘匿(ステルス)機能」を有効にする
→ウォードライビングで発見されにくくなる
• MACアドレスフィルタリング※を設定する
– 使用しているパソコンやアダプタのMACアドレス
を登録する
28Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
被害に遭わないために(2)
• 暗号化機能を設定する– WEP※は、暗号化キー(WEP※キー)をより長い
ビット長で設定する(128bitもしくは152bit)– WPA-PSK※を利用する場合は以下に留意する
• なるべく辞書に載っている単語を使わない
• 無意味な英数字と記号を適宜組み合わせる
• パスフレーズの文字数はできれば20文字以上、最低でも13文字以上
• IEEE802.1x※やEAP※などを組み合わせて利
用する
Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
用語集
アクセスポイントを識別するためのID。SSIDにはBSSID(Basic SSID)とESSID(Extended SSID)の2種類がある。BSSIDは48bitの識別子で、通常はアクセスポイントのMACアドレスと同じものが使用される。ESSIDは最大32文字までの英数字が利用でき、アクセ
スポイントを識別するために設定する。
SSID(Service Set ID)
WPAのうち、外部の認証サーバを使用せずに事前共有鍵(PSK)を使用して暗号化を行う方式。暗号鍵の自動更新を行うが、鍵長が短いとディクショナリ攻撃による解読の危険性があるため、できれば20文字以上、最低でも13文字以上の暗号鍵を使うことが望まし
い。
WPA-PSK(WPA Pre-Shared Key)
Wi-Fi Allianceが2002年10月に発表した、無線LAN暗号化方式の規格。脆弱性の発見されたWEPに代わるものとして、ユーザ認証機能、暗号鍵の自動更新、新しい暗号化方式が採用するなどの改善が加えられている。現在IEEE標準化委員会で策定が進められているIEEE802.11iの一部を先行的に策定、公開されたものである。
WPA(Wi-Fi Protected Access)
RC4アルゴリズムをベースにした秘密鍵暗号方式で、IEEEによって標準化されている。暗号鍵の長さには64bit、128bit、152bitがあるが、WEPそのものに脆弱性が発見されているため、利用する場合にはできるだけ長い暗号鍵を使うことが望ましい。
WEP(Wired Equivalent Privacy)
WPAで使用されている暗号化プロトコル。従来利用されていたWEPの欠点を克服するために、TKIPでは一定時間ごと、もしくは一
定パケット量ごとに自動的に暗号化キーを変更するため、暗号化キーの解読がより困難になり、セキュリティの向上を図ることができる。
TKIP(Temporal Key Integrity Protocol)
NICや無線LANアダプタには、MACアドレスと呼ばれる固有のID番号が割り当てられているが、そのMACアドレスによってアクセスポイントへの接続を制限することができる機能。同一のMACアドレスを持つものは原則として存在しないため、特定のPCのみを接続可能にするといったことも可能であるが、MACアドレスを書き換えることが可能なNICや無線LANアダプタも存在するため、過信は禁
物である。
MACアドレスフィルタリング
LANに接続するためのユーザ認証方式を定めた規格。現在では特に無線LANでのユーザ認証方式として強く認知されているが、有線LANにも対応している。IEEE 802.1xでは暗号化は規定されていないため、暗号化の必要がある場合は別の暗号化方式を使用す
る必要がある。
IEEE802.1x
ユーザー認証に用いられるプロトコルで、PPP(Point-to-Point Protocol)を拡張し、追加的な認証方法をサポートする。認証方式として、MD5、TLS(Transport Layer Security)、S/Keyなどをサポートしている。EAPにはさまざまな方式があり、EAP-TLS、EAP-TTLS、LEAP、マイクロソフトとシスコなどが開発したPEAP、そのほかEAP-MD5、EAP-RADIUSなどがある。IEEE802.1xで利用される認
証プロトコル。
EAP(Extensible Authentication Protocol)
米国商務省標準技術局(NIST)によって選定作業が行われている、米国政府の次世代標準暗号化方式。1977年に制定されたDES(Data Encryption Standard)に代わる次世代の暗号標準として、2000年10月にベルギーの暗号開発者Joan Daemen氏とVincent Rijmen氏が開発した「Rijndael」という方式が選ばれた。無線LANでは、WPAの暗号化方式 として、TKIPとともに採用され
ている。
AES(Advanced Encryption Standard)
解説用語
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インターネットに潜む危険
1.コンピュータウイルスによる被害
2.ネットサーフィンに潜む危険
3.メールの利用に伴う危険
4.身近な不正アクセス被害
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. コンピュータウイルスによる被害- 感染症状と受ける被害 -
再起動を繰り返すインターネットを停止させるDoS攻撃を仕掛ける情報漏洩を引き起こすフィッシング詐欺を働く目に見えないところで大きな被害
ユーザが気づかないところで大量のウイルス付きメールを送信
ウイルスに感染すると・・・
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
(1) ファイルを開くと感染するメールの添付ファイルを開くと感染Webよりダウンロードしたファイルから感染P2Pアプリケーションにより入手したファイルから感染USBメモリなどの媒体より入手したファイルから感染
(2) メールをプレビューしただけで感染
(3) Webを閲覧しただけで感染
(4) ネットワークに繋いだだけで感染
(2)(3)(4)(2)(3)(4)は脆弱性は脆弱性((セキュリティホールセキュリティホール))を悪用を悪用→→ 脆弱性を解消すれば基本的に被害は防げる脆弱性を解消すれば基本的に被害は防げる
1. コンピュータウイルスによる被害- なぜウイルスに感染するのか -
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パソコンユーザのためのウイルス対策7箇条
1.最新のウイルス定義ファイルに更新しワクチンソフトを活用すること2.メールの添付ファイルは、開く前にウイルス検査を行うこと3.ダウンロードしたファイルは、使用する前にウイルス検査を行うこと4.アプリケーションのセキュリティ機能を活用すること5.セキュリティパッチをあてること
(※ここまでが感染防止対策)
6.ウイルス感染の兆候を見逃さないこと
7.ウイルス感染被害からの復旧のためデータのバックアップを行うこと
実際の対策:ウイルス対策7箇条
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. ワクチンソフトを導入し定期的に更新する-ウイルス対策の第1歩-
2. 不審なメールの添付ファイルは開かない-メール機能を悪用するウイルスが多数存在-
3. セキュリティホールを解消する-脆弱性を悪用するウイルスが多数存在-
ウイルス対策3つの基本ウイルス対策3つの基本
感染予防対策
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス感染予防 - その1 -
各PCにワクチンソフトを導入するユーザには、定期的な更新を徹底する(自動更新を推奨)
ワクチンソフトでできることを周知するウイルスの発見と駆除パターンファイルによる検知→定義ファイルは更新が必要
・ワクチンソフトで定期的にパソコンをスキャンする・メールの添付ファイルは、開く前にウイルス検査を行う・ダウンロードしたファイルは、使用する前にウイルス検査を行う・メールに添付ファイルをつける場合は、ワクチンソフトで検査を行う
ワクチンソフトの活用
更新やスキャンは1日一回定期的に
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不審なメールの添付ファイルは開かない・件名が英語のメールやなんとなく怪しいメールは要注意・相手先に問い合わせを行う(確認がとれない場合は削除)
メールの添付ファイルの取り扱い5つの心得1. 見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意する
2. 添付ファイルの見た目に惑わされない
3. 知り合いから届いたどことなく変な添付ファイル付きのメールは疑ってかかる
4. メールの本文でまかなえるものをテキスト形式等のファイルで添付しない
5. 各メーラー特有の添付ファイルの取り扱いに注意する
メールの添付ファイルは、開く前にウイルス検査を行う
ウイルス感染予防 -その2 -
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティホール(脆弱性)を解消するWindows Update (マイクロソフト社)http://windowsupdate.microsoft.com/
・OSやソフトウェア(Webブラウザやメールソフト)に脆弱性があると、
そこが突破口となって、ウイルスに感染したり、その他の攻撃を受ける。
・現在の不正アクセスの大半は脆弱性を悪用した攻撃である。
脆弱性の解消はセキュリティ対策の最も基本的対策
ウイルス感染の90%以上はメール機能と脆弱性悪用→ メールに注意 + 脆弱性対策で90%以上は防げる
ウイルス感染予防 -その3 -
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
「スタート」ボタン
↓
すべてのプログラム
↓
Windows Update
Windowsユーザの場合: Windows Updateの活用
セキュリティホールの解消
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス感染の早期発見
ウイルス感染の兆候を見逃さない→ 怪しいと思ったらウイルス検査
1. システムやアプリケーションが頻繁にハングアップする。システムが起動しない。再起動を繰り返す。
2. ファイルが無くなる。見知らぬファイルが作成されている。3. タスクバーなどに妙なアイコンができる。4. いきなりインターネット接続をしようとする。5. ユーザの意図しないメール送信が行われる。6. 直感的にいつもと何かが違うと感じる。
最近のウイルスは症状の無いものが多い→兆候があってもなくても、定期的にウイルス検査を
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. マシンの使用を停止する
2. 最新のワクチンで検査を行い、ウイルス名を特定する
3. ウイルスにあった適切な駆除を行う
4. 破壊されたデータ等は、バックアップから復旧する
5. 最新のワクチンソフトで再検査を行う
6. 再発防止のための措置を行う
ウイルスに感染したら
一般的な復旧手順
バックアップが最後の砦
ウイルスに削除されたデータはワクチンソフトでは復旧できない!!最も確実な復旧方法 = 「初期化」 → 「再インストール」
→ ワクチンはウイルスを事前に発見し、感染を未然に防ぐために使うもの
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2. ネットサーフィンに潜む危険
1. 安易なダウンロードはしない2. 不審なサイトには近づかない3. クレジットカード番号などの個人情報を無闇に入力しない
1. トロイの木馬(不正プログラム)の自動ダウンロード2. Webページの閲覧によりブラウザの設定を改ざんされる3. URLを不用意にクリックして会員サービスに登録され、会員料金を
請求されてしまう4. クレジットカードを使用され、身に覚えの無い請求が届く
インターネットサーフィンに伴う危険
危険を回避するための注意事項
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ブラウザのセキュリティ設定=「中」以上
インターネットゾーンでは
セキュリティレベル=中以上
インターネットエクスプローラで「ツール」→「インターネットオプション」→「セキュリティ」
ブラウザのセキュリティレベルの設定(1)
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
信頼済みサイトの利用設定
ベンダの公式サイトなどを登録
インターネットエクスプローラで
「ツール」 → 「インターネットオプション」→ 「セキュリティ」「信頼済みサイト」→ 「サイト」
ブラウザのセキュリティレベルの設定(2)
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ブラウザの設定=アクティブスクリプトを無効に
ブラウザのセキュリティレベルの設定(3)
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
「編集」→「設定」→「詳細」
Java を無効に
ネットスケープの設定例
ブラウザのセキュリティレベルの設定(4)
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
クッキー(Cookie) とは
• Webサーバーが、クライアントの情報(状態)を
保持するために利用
– オンラインショッピング時などは、誰が・どのパソコンから注文したか等を管理
利用者
例)オンラインショッピングのサイト
いらっしゃいませ。この間はご注文いただきまして
有難うございました。
先日オンラインショッピングしたサイトへアクセス
Cookie情報=1234567890ABCDEF
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
クッキー(Cookie)の設定
• プライバシーのレベル設定
警告(ダイアログ)を表示する
規定値「中」のレベルを上げる
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
クッキー (Cookie)の管理
• クッキー管理ツールの利用
「ツール」→「Cookieマネージャ」
Netscape Cookie マネージャー
Internet Explorerプライバシー操作
インターネットエクスプローラで
「ツール」 → 「インターネットオプション」
→ 「プライバシー」 「編集」
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インターネットのWebサイトでは、コンテンツの魅力を高めたり、特殊な処理を行うために、JavaScript、ActiveXコントロールなどのさまざまな技術が使用されています。また、アクセスしてきたユーザの識別などのために、Cookieも使用されています。これらはいずれも優れた技術で、Webサイトにさまざまな機能もたらし、利便性を向上させます。しかし、別の観点から見ると、悪用される可能性を増やしている、ともいえます。セキュリティレベルの設定によって、どの機能を許可し、どの機能を制限するのかを設定しますが、セキュリティレベルと利便性は相反する関係となっています。たとえば、JavaScriptを無効にすると、JavaScriptを悪用した攻撃を避けることができます。しかし、動画が見れなかったり、音楽が聞こえないなど、思うように操作ができないという場合もあります。どのようなセキュリティレベルを設定するかは利用者が決めることですが、不要な機能はできるだけ無効にしてセキュリティを高めることが基本です。
ブラウザのセキュリティ設定について
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. メールに記載されたURLを不用意にクリックしない
2. 身に覚えのない請求は無視する
3. フィッシング詐欺の手口を理解し、被害に遭わないように注意する
1. スパムメールの横行2. 携帯宛のメールやスパムメールに記載されているURLを不用意に
クリックすると、アクセスしたWebページで会員サービスに登録されたり、携帯番号が収集されて高額な会員料金を請求されてしまう
3. 詐欺メールにより身に覚えの無い料金が請求される4. フィッシングメールにより個人情報を盗まれ、悪用されて被害に遭う
メールの利用に伴うトラブルや危険
危険を回避するための注意事項
3. メールの利用に伴う危険
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
メールソフトのセキュリティレベルを設定する(1)
Outlook Express等で、「ツール」→「オプション」→「セキュリティ」
セキュリティゾーンを制限付きに
セキュリティゾーンの設定
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
(EUDORA)「ツール」→「オプション」→
「メッセージの表示」その他のメーラの場合も確認が必要。
HTML実行をオフに
例)Eudoraのプログラム実行排除の設定
プログラム実行排除の設定
メールソフトのセキュリティレベルを設定する(2)
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
※ デマメールについて
デマメールは、騒動を起こすために人為的に流された嘘の情報で、チェーンメールの効果を狙う電子版「不幸の手紙」と言えるものです。このような内容の情報を含むメールを受け取っても転送したりしないようにしてください。
デマメールの特徴としては、『知り合いに知らせてほしい』、『できるだけ多くの人に転送してほしい』などの記述がよく見受けられますので、それらにより判断して下さい。
例:『jdbgmgr.exeというファイルはウイルスに感染しているので、以下の手順で
検索して、見つけたら削除してください。』
・・・日本語訳まで出回る。このファイルは正規のプログラム。
偽ウイルスのデマメール
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
「フィッシング(Phishing)」とは、銀行等の企業からのメール
を装い、メールの受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて個人の金融情報(クレジットカード番号、ID、パスワード等)を入力させるなどして個人の金融情報を不正に入手するような行為 (警察庁 )。
詐欺メールの件名は「おめでとうございます一万円分の○○カードの当選です」。メールの本文では,「当選を確定させるため,あなたの会員番号(カード番号)や有効期限などをこのメールの返信として送ってください」といった内容が書かれている。送信者アドレスは同社とは無関係の,あるプロバイダから付与されたと思われるアドレスで,特に“工夫”はされていないという。ただ,本文には「暗証番号は他人には絶対に知らせないでください」といった,もっともらしい文章も書かれている。
(http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040521/144613/)
用語解説:フィッシング詐欺
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1. ワクチンソフトの導入、セキュリティホールの解消
2. 不審な請求に対して事実関係を確認する
3. パスワード等、個人情報の管理に注意する
1. 不正プログラムを仕込まれてメールの内容が盗み見された→ 不正プログラム(バックドア等)による被害
2. 利用した覚えの無い情報料の請求が来た→ ユーザの不注意、架空請求
3. プロバイダから接続していない期間の請求が来た→ なりすまし、ID・パスワードの盗難
身近にあるトラブルや危険
危険を回避するための対策
4. 身近な不正アクセス被害
27Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス対策
・OS、ブラウザなどのセキュリティパッチ(修正プログラム)の適用 (脆弱性の解消)
・ブラウザのセキュリティ設定・パーソナルファイアウォールの導入
その他の一般的な対策として
・信頼できないサイトからむやみにプログラムをダウンロードして実行しない
・安易にホームページのリンクをクリックしない・パスワードや個人情報の管理に注意する
最低限の対策として
28Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パーソナルファイアウォールの利用
攻撃や不正なアクセスを制限
通常利用
自分が攻撃してしまう場合
侵入者
インターネット
パーソナルファイアウォール
利用者
外部からの不正な侵入を阻止
29Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
サービスの利用
プロバイダーが不正な侵入をブロック
侵入者
利用者
攻撃
プロバイダー
通常利用
インターネット
30Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
適切なパスワード設定
• 不適切なパスワード– 長さが不十分、辞書に載っている単語の利用、IDと同じ、
自分・家族の情報、固有名詞、単純な数字や文字の並び、過去に使用したパスワードの再利用等
• 適切なパスワード– 大文字・小文字・数字・記号の組み合わせ、長いパス
ワード、推測しづらく自分が忘れないパスワード→例えばパスフレーズによる設計
• パスワード盗難対策– 定期的な変更、紙に書き留めない、マシンに保存しない、
人に教えない
31Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
パスフレーズによるパスワード設計
• パスフレーズ
「JINSEI IROIRO」
母音を抜き記号や数字を挿入
• パスワード
「J#NS2R&R」
32Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
各種パスワード設定の例
• 起動時(BIOS)のパスワード設定
– ノートパソコンには推奨
• スクリーンセーバーのパスワード設定
– オフィス環境には推奨
• ドキュメントファイルのパスワード機能
– メール添付によるファイル交換時には推奨