Comments
Description
Transcript
情報セキュリティ - biocomputing.cc
Information Security 2014 情報セキュリティ(2014年10月17日) 情報セキュリティ基礎その2 学術情報基盤センター 升屋正人 [email protected] Information Security 2014 コンピュータウイルスの感染経路 • 電子メール • 以前は添付ファイル、今はURLで不正サイト誘導 • ファイル交換ソフト • 映像・音楽に見せかけたウイルスが多数 • 暴露ウィルスによる情報漏洩 • USBメモリ • 自動実行の仕組みを悪用→巧妙化 • ホームページ閲覧 • ホームページ書き換えによりウイルスを仕掛ける • 電子メール併用 Information Security 2014 USBメモリによる感染 • Vistaでは感染USBメモリを刺しただけでウイル スが実行されPCが感染 • 標準で搭載されている「機能」 • XPではUSBメモリドライブを開くと感染 • 7ではウイルス実行ショートカットを実行すると感染 • 刺しただけ・開いただけでは感染せず • 感染PCにUSBメモリを刺すと感染する • USBメモリにウイルス本体とウイルス実行指示ファイ ル(autorun.inf)をコピー • 最近のものは、既存フォルダを隠し、ウイルスを実行 したあとでフォルダを開くショートカットを作成 Information Security 2014 USBメモリ感染型に感染すると… • オンラインゲームのパスワードが盗まれる • データが破壊される • 他のウイルスをダウンロード • ボットネットに参加 • 迷惑メール送信 • サービス妨害攻撃 • 他のPCに感染 • PCに刺したUSBメモリに感染 • フォルダがショートカットに • 開かなくなる場合も Information Security 2014 USBメモリ感染型の予防 • USBメモリを使わない • ウイルス感染・紛失のリスクが無い • クラウドストレージを活用(機密データは×) • 書き込み禁止スイッチ付きUSBメモリを使う • 書き込む必要がない限りスイッチはON • 「AUTORUN.INF」フォルダを作成する • ウイルス実行指示ファイルをコピーさせない • ウイルス自体はコピーされるが自動実行を防ぐ • ショートカット作成型が作成するショートカットに対しては無力 • USBメモリの自動実行を無効化(XP、Vista) • Windows 7と同じ動作に変更 • 「KB971029」で検索・必要な修正プログラムを適用 Information Security 2014 ホームページ閲覧による感染 • セキュリティホールを悪用した自動実行ウイルス • ホームページを閲覧しただけで感染する • ウイルスプログラムを画像ファイルに偽装 • Webブラウザのセキュリティホールを悪用して感染させる • Flash(swf)やAcrobat(pdf)のファイルに埋め込み • 自動実行してしまうセキュリティホールを利用 • ウイルスそのものを巧みに実行させる • 「あなたのPCにウイルスが発見されました。駆除するには○○を ダウンロードして…」 • Gumblar型ウイルスによるものが多い • Webサイトを改ざんし、Web感染型ウイルスを埋め込む • セキュリティ業者も被害にあっている Information Security 2014 ホームページ閲覧型の予防 • 感染すると… • 最初に実行されるのはウイルスをダウンロード・インストールす るためのプログラム • 多数のウイルスに次々に感染 • Adobe Reader・Adobe Flash Player・ QuickTime・Javaを最新版に • これらの古いバージョンにはウイルスを自動実行するセキュリ ティホールがある • 「MyJVN」バージョンチェッカで調べる • 怪しいメールのURLをクリックしない • 怪しいサイトは閲覧しない • 大企業・検索結果も完全に信頼はできない Information Security 2014 すべてのウイルスに共通の対策 • ウイルス対策ソフトをインストールし、定義ファ イルを最新に更新する • 「Microsoft Security Essentials」は無料(個人) • 大学保有機器には「NOD32 AntiVirus」 • Windows UpdateでOS・Officeを最新に保つ • Mac OS Xの場合は「ソフトウェアアップデート」 • データをバックアップしておく • データが破壊された場合に備える • 駆除を容易にする Information Security 2014 ウイルス感染時の駆除 • システムリカバリ • 簡単・確実・完全・迅速 • 購入時にリカバリディスクを作成しておく • 共用PCの場合は環境復元ソフトのインストールを推奨 • 「瞬快」、「ドライブシールド」など • いつでもシステムリカバリできるようにバックアップし ておく • ウイルス駆除ソフトによる駆除は…複雑・不確実・不完 全・時間がかかる • 感染後にウイルス対策ソフトをインストールしてもダメ • ウイルス対策ソフトでウイルスが検知された場合には感 染していないのであわてないこと! Information Security 2014 スマートフォン向けの不正プログラム • iOSの場合 • Jailbreak(脱獄)しなければほぼ安全 • AppStoreはAppleが認可したアプリのみで比較的安全 • 脱獄ツールそのものが不正プログラムである場合も • アドレス帳を無断送信する正規アプリもある • 無断ではないがわかりにくいものもある→LINEなど • Androidの場合 • 「提供元不明のアプリ」をONにするとGoogleが認可していない アプリもインストール可能 • auではOFF推奨なので任意のアプリがインストール可能な状態が多い • Google Play(Android Market)は審査無し • 「ウイルス」は今のところ存在しない • 評価の高いアプリのみ使用すればほぼ安全 • ウイルス対策アプリの有効性は現時点では未知数 • ドコモあんしんスキャン(無償)、au・ソフトバンクは有償 Information Security 2014 情報セキュリティ(2014年10月17日) インターネットの仕組みと関連技術 学術情報基盤センター 升屋正人 [email protected] Information Security 2014 インターネットの歴史 • 1969年ARPANET • 中央集約型→分散型ネットワーク(軍事目的) • 1983年MILNETを分離、研究目的になりIP(Internet Protocol)を採用「Internet」 • TCPにより信頼性確保 • 1990年にNSFNETが吸収 • 1986年NSFNET • 複数の研究機関が接続・学術目的限定 • 1991年CIX設立、商用利用開始 • CIX=商用インターネット相互接続協会 Information Security 2014 日本のインターネットの歴史 • 1984年JUNET(後のWIDE) • 1992年商用プロバイダ設立 • 1993年JPNIC設立 • 1995年 Windows 95 • 1999年 携帯電話からのインターネットアクセス Information Security 2014 インターネットの構成 • 単位=ネットワーク(LAN) • 複数台のコンピュータ • 他のネットワークとの接続装置であるルータ • ルータ • 異なるネットワーク同士を接続する機器 • データを宛先ネットワークに正しく配送 • ISP(Internet Service Provider)に集約 • IX(Internet eXchange)でISPどうしが接続 • IXには大きな「ルータ」が置いてある • 複数のISPと接続するよりコストがかからない • バックボーンネットワーク • IXどうしやISPの基幹ネットワーク Information Security 2014 パケット • インターネットではデータを「パケット」に分割して流 す • データを送り終わるまで他のデータが流れない→分割しないと待 ち時間が長くなる • 送り元のコンピュータでデータをパケットに分割 • 送り先のコンピュータでパケットをつなぎ合わせてデー タに戻す Information Security 2014 経路制御 • ルーティング • 異なるネットワークまでの通信は複数のルータを経由。このルー タを選択すること。 • ルーティングの手順を経路制御といい2つある • スタティックルーティング • あらかじめ書いておく(経路表:ルーティングテーブル) • ルータ同士は情報を交換しない • 手動で設定→負荷はかからない • ダイナミックルーティング • ルータ同士が情報を交換 • 自動で設定→負荷がかかる • 故障があっても自動的につながる Information Security 2014 通信プロトコル • OSI参照モデル • 第7層:アプリケーション層 • 第6層:プレゼンテーション層 • 第5層:セッション層 • 第4層:トランスポート層 • TCP/UDP • 第3層:ネットワーク層 • IP • 第2層:データリンク層 • 電気信号の変換 • 第1層:物理層 • ケーブル Information Security 2014 IP • インターネットの基本通信規約 • IPv4とIPv6の2つ • IPで使われる宛先情報がIPアドレス • パケット(宛先情報を付加したデータ)をやりとりする しくみ • 宛先情報はIPヘッダに含まれる • 送りっぱなし! • 制御はTCPで Information Security 2014 ○○キャスト • データ送信の方法(IPv4) • ユニキャスト • 1台から1台へ • 通常の通信 • マルチキャスト • 1台から複数台へ • 動画配信などに利用 • ブロードキャスト • 1台からネットワーク上のすべてのクライアントへ • DHCPサーバを探す場合など Information Security 2014 IPアドレス(IPv4) • 32ビットの数値 • 8ビットずつ「.」で区切り10進数で • 例:192.168.0.1 • 相互に通信可能なネットワーク範囲で重複は許さ れない=インターネット上では一意 • 2の32乗 • アドレスクラスによりネットワークを分類して組 織に割り当てられていた • ネットワーク部とホスト部に便宜的に分け、ネットワーク部を割 り当て • 現在は枯渇し、割り当ては行われていない Information Security 2014 アドレスクラス • クラスA • ネットワーク部8ビット • ホスト部24ビット(およそ1677万台) • クラスB • ネットワーク部16ビット • ホスト部16ビット(65534台) • 鹿児島大学もこれ(163.209.0.0/16) • クラスC • ネットワーク部24ビット • ホスト部8ビット(254台) • クラスレス • クラスを使わずネットワーク部を自由に設定 • ネットワークアドレスとブロードキャストアドレス以外がホストで使える Information Security 2014 サブネットマスク • サブネット • 割り当てられたアドレスを独自にネットワーク部とホスト部に分割し て生成される複数のネットワーク • 情報生体システム工学科は163.209.130~132.0/24 • サブネットを表現するために使われるのがサブネットマスク • ネットワーク部の長さを32ビットの数値で示す • 「255.255.255.0」など • IPアドレスと同じ表記方法だが、IPアドレスではない • 255.255.255.0というIPアドレスも存在する • 表記方法 • ネットワーク部24ビットの場合、以下のように表記される • 163.209.130.0/255.255.255.0 • 163.209.130.0/24 • 163.209.130/24 Information Security 2014 デフォルトゲートウェイ • 外部ネットワークへの既定の出入り口となるルータ • 「同じネットワーク」に存在していないとダメ • =IPアドレスのネットワーク部が同じ • デフォルトゲートウェイのIPアドレスが設定されていな いと外部とは通信できない • 「デフォルト」=既定・標準 • デフォルトでないゲートウェイもある • 外部ネットワークとの出入り口のルータ(ゲートウェイ)は複数 設定できる。複数設定した場合に、標準で用いる1台が「デフォ ルト」ゲートウェイ Information Security 2014 プライベートIPアドレス • インターネットに直接接続しない場合に使われるアドレ ス⇔グローバルIPアドレス • クラスA:10.0.0.0/8 • クラスB:172.16.0.0/12(16~31) • クラスC:192.168.0.0/16 • 自由に使ってよいが、インターネットにつなげてはいけない • グローバルIPアドレスは割り当てられたもの以外は使っ てはいけない • ICANNなどが管理 • プライベートIPアドレスはNAT/NAPTを使ってグローバ ルIPアドレスに変換してインターネットに接続 Information Security 2014 特殊なアドレス • ネットワークアドレス • ホスト部が0(例:163.209.130.0) • ブロードキャストアドレス • ホスト部の全ビットが1(例:163.209.130.255) • ネットワーク内の全ホスト向け通信 • ルータでブロック • ループバックアドレス • ホスト自身 • 127.0.0.0~127.255.255.255が使えるが通常は127.0.0.1 • リンクローカルアドレス • 別のネットワークへの通信ができないアドレス • 169.254.0.0~169.254.255.255 • DHCPによる割り当て失敗時に自動的に割り当てられる場合が多い • OSのAPIPA(AutoIP)機能 Information Security 2014 DHCP • IPアドレスを自動的に割り当てる(リース)仕組み • ブロードキャストでDHCPサーバに要求 • IPアドレス • サブネットマスク • ゲートウェイ(ルータ)のアドレス • DNSアドレス • を得る • リース期間あり • 過ぎると再度割り当て要求 Information Security 2014 IPv6 • 1994年にIETFにより標準化 • 128ビットのアドレス • プレフィックス64ビット(IPv4のネットワーク部) • インターフェースID64ビット(IPv4のホスト部) • プレフィックス長は可変(スラッシュで表記) • 16ビットずつ8つに「:」で区切ってそれぞれを16進数 • 2001:0380:06B5:0000:0000:CE76:0000:0000 • 先頭から続く「0」は省略可能 • 2001:380:6B5:0:0:CE76:0:0 • 「0」のみが連続する場合「::」(1カ所のみ) • 2001:380:6B5::CE76:0:0 Information Security 2014 IPv6の特徴 • 2つのユニキャストアドレス • グローバルユニキャストアドレス • 2000::/3 • リンクローカルアドレス • ルータを超えない通信に使用される自動設定アドレス(手動設定も可) • 「fe80::」で始まる • ループバックアドレスは「::1」 • IPv6 over IPv4トンネル • IPv4の中にIPv6を通す • デュアルスタック • IPv6とIPv4両方のアドレスを設定し双方で通信可能に • マルチプレフィックス問題 • プレフィックスが異なる複数のIPv6アドレスを割り当てられるが、適 切に通信できない場合がある Information Security 2014 IPv6アドレスの自動設定 • ステートレスアドレス自動設定 • ルータから情報取得 • ホストがRSパケットを送出 • →RSを受け取ったルータがRA(プレフィックス含む)を 返す • →ホストはMACアドレスを元にインターフェースIDを生 成してプレフィックスにつなげる • ステートフルアドレス自動設定 • DHCPサーバから情報取得 • IPv4のDHCPと同等の仕組み Information Security 2014 ICMP • ネットワークの状況を調べるプロトコル • IPの上位プロトコル(プロトコル1) • 宛先到達不能や時間超過で パケット作成(ルータ・ホスト) • ICMPタイプ • 0:エコー応答(ping) • 3:宛先到達不能 • • コード0: ネットワーク到達不能 • コード1: ホスト到達不能 • コード2: プロトコル到達不能 • コード3: ポート到達不能 • 4:発信抑制 • 5:リダイレクト • 8:エコー要求(ping) • 11:時間超過←TTLが0 Information Security 2014 TCPとUDP • コネクション型=TCP • 確認を待つ • エラーがあったら再送→速度低下 • コネクションレス型=UDP • 確認を待たない=送りっぱなし • パケットロスがあっても構わない通信→映像、音楽の ストリーミング Information Security 2014 TCPでのファイル送信 • [C→S]ファイルAを要求 • [S]ファイルAをパケットに分割 • データA、データB • [S→C]データAを送信 • [C→S]データAの受信を確認 • [S→C]次のデータ(データB)を送る • 受信確認が一定時間たっても届かなければデータAを再 送信 • [C→S]データBの受信を確認 • [C]受信したデータからファイルAを生成 Information Security 2014 TCPのヘッダ Information Security 2014 TCPの制御ビット(6ビット) (左→右) • URG • ほとんど使われない • ACK • TCPコネクションの最初の要求以外のすべてのTCPパケットでON • PSH • 上位のアプリケーションに速やかにデータを引き渡す • セットされていなくても速やかに引き渡される場合がほとんど • RST • TCP接続を中断・拒否する時にセット • 受信した側は現在のTCP接続を破棄または強制終了 • SYN • TCP接続確立の時に双方でセットしたパケットをやりとり • FIN • TCP接続終了の時に双方でセットしたパケットをやりとり Information Security 2014 Information Security 2014 Information Security 2014 「ウィンドウサイズ」フィールド • 受信側のウィンドウサイ ズを相手に伝える →フロー制御 • 16ビット幅なので216 (65,535)バイトまで • 受信確認なしに受け取る ことができる最大のサイ ズ • ウィンドウスケールオプ ション(0~14)で20~ 214倍 • 最大1,073,725,440バイ ト Information Security 2014 スロースタート • 接続開始時にはウィンドウサイズを小さく、時間の経過 にしたがって大きくしてゆく →輻輳制御 • ACKが返ってこなくなる(=輻輳発生)までがスロース タート(倍々~+1) • その後は輻輳回避(様々なアルゴリズム有) • ウィンドウサイズの最大は受信側から通知されたウィン ドウサイズ(フロー制御)を超えない! Information Security 2014 Information Security 2014 UDPでのファイル送信 • [C→S]ファイルAを要求 • [S]ファイルAをパケットに分割 • データA、データB • [S→C]データAを送信 • [S→C]次のデータ(データB)を送る • データAが届いたかどうかは確認しないでデータBを送 信 • [C]届いた順にアプリケーションにデータを渡す Information Security 2014 UDPのヘッダ Information Security 2014 ポート番号 • インターネット上のアプリケーションを識別する番号 番号 TCP/UDP プロトコル 番号 TCP/UDP プロトコル 20 TCP FTP Data 443 TCP HTTPS 21 TCP FTP 445 TCP/UDP CIFS 22 TCP SSH 514 UDP Syslog 23 TCP telnet 515 TCP LPR 25 TCP SMTP 554 TCP/UDP RTSP 53 TCP/UDP DNS 993 TCP IMAPS 69 UDP TFTP 995 TCP POP3S 80 TCP HTTP 1701 UDP L2TP 110 TCP POP3 1723 TCP PPTP 123 TCP/UDP NTP 1812 UDP RADIUS Auth 137 TCP/UDP WINS 1813 UDP RADIUS Account 138 UDP NETBIOS 2049 TCP/UDP NFS 139 TCP SMB 3306 TCP MySQL 143 TCP IMAP 3389 TCP RDP 161 UDP SNMP 5060 UDP SIP 389 TCP LDAP 5432 TCP PostgreSQL Information Security 2014 ドメインの構造 • ドメイン名 • 電子メールアドレスの場合は@の右側 • [email protected] • URLの場合はFQDN(完全なドメイン名)から 最初の「.」まで(ホスト名)を除いた部分 • http://www.kagoshima-u.ac.jp • 「.」で区切る • 右側の文字列ほど上位の階層 • 最上位がTLD(Top Level Domain) • 次がSLD(Second Level Domain) Information Security 2014 トップレベルドメイン(TLD) • gTLD(Generic TLD) • 組織の種別を表すTLD、別名一般TLD • ccTLD(Contry Code TLD) • 国や地域に割り当てられたTLD、別名nTLD(national TLD) Information Security 2014 gTLD • edu, gov, milのみ米国限定、他は国際的に登録 可能(赤字はよく使われているgTLD) • com, net, org, int(iTLD) • 古くから使われる • aero, biz, coop, info, museum, name, pro • 2000年追加 • jobs, travel, mobi, cat, tel, asia • 2005~2006年追加 • sTLDとも言う • 2011年任意のTLD→.canonとか Information Security 2014 ccTLD • ISO3166で規定されている2文字の国 コードを用いる • au, ca, cn, de, fr, jp, kr, us, eu • 一部に例外(英国はgbだがukも使用) • 割り当て対象をどうするかは各国が決定 • 通常はその国で活動する個人や組織だが例外も • cc, to, tv, fmなどは国際的に使用可能 Information Security 2014 セカンドレベルドメイン(jp) • 組織種別(属性型)ドメイン • 一組織に一つだけ割り当て • ac, ad, co, ed, go, gr, ne, or, lg • 地域型JPドメイン • 一般地域型ドメイン • 組織や個人が取得可能 • 地方公共団体ドメイン • 地方公共団体が取得可能 • 汎用JPドメイン • jpの直下のドメイン名 Information Security 2014 汎用JPドメイン • 日本国内に住所があれば登録できる • いくつでも登録できる • 日本語文字を使ったドメイン名も可能 • ブラウザが対応している必要有り • ドメイン名の移転(登録名義の変更)が可能 • 組織種別ドメインとの併用も可能 Information Security 2014 鹿児島大学が持っているドメイン • 組織種別ドメイン • kagoshima-u.ac.jp • 汎用JPドメイン • kagoshima-u.jp • 鹿児島大学.jp • 鹿児島大.jp • 鹿大.jp • kadai.jp → 生涯メールアドレスで使用 • kadai.ne.jpは鹿児島大学生協が登録 • ドメイン登録は早い者勝ち Information Security 2014 ドメイン名管理組織 • ドメイン名、IPアドレス、プロトコルなどのイン ターネット資源は全世界で調整 • 全世界 • ICANN(1998年まではIANAが管理) • IPアドレスは地域別に管理 • ARIN, RIPE-NCC, LACNIC, AfriNIC, APNIC • 日本の管理組織JPNICはアジア太平洋地域を担当する APNICの下部組織 • ドメイン名は国別に管理 • JPNICがドメイン名の登録管理業務を行うために2000 年12月に設立した会社がJPRS