なりすまし対策 - Symantec

Ver.1.0 2013.7.16
1
ネット選挙解禁って？
2
• 日本では、公職選挙法でインターネットを用いた選挙活動が禁じられ
ていましたが、2013年4月に公職選挙法が改正され、2013年7月に予
定されている参院選から解禁されることとなりました。
• 「ネット選挙」と言うとインターネット上で投票できるような印象を受け
ますが、今回の解禁は投票に関するものではなく、選挙活動に関す
るものです。
• また、もともと公職選挙法はインターネットでの政治活動すべてを禁
じていたわけではなく、選挙期間中の選挙活動のみを禁じていて、こ
れが解禁されました。
これを「ネット選挙解禁」と言います
3
様々な場所でネット選挙が解禁になります
ネット選挙解禁対象
議員
候補者
解
禁
さ
れ
る
情
報
発
信
方
法
ウェブサイト
Social media
電子メール
ネット広告
政党
有権者
○ ○
○
○ ○
○
△ △
×
（※） 条件を満たせば可
× ○
×
選挙へのかかわり方
によって、出来ること
出来ないことが違って
きます。
4
選挙におけるインターネットの利用
（ネット選挙に関する意識調査より）
• あなたは、選挙で投票する候補者を知る際に、どのような媒体
の情報を参考にしていますか？
有権者にとって、インターネットは、
テレビ、新聞に次ぐ重要な情報源と
なっています。
5
皆さんは狙われています！
6
情報発信方法ごとの代表的攻撃手法
ネット選挙解禁対象
議員
候補者
解
禁
さ
れ
る
情
報
発
信
方
法
ウェブサイト
Social media
電子メール
ネット広告
攻撃手法
政党
有権者
○ ○
○
なりすまし
改ざん
○ ○
○
なりすまし
△ △
×
なりすまし
改ざん
× ○
×
改ざん
（※） 条件を満たせば可
主な攻撃手法として、「なりすまし」と「改ざん」があげられます。
7
「なりすまし」って？
• インターネット上では、対面での確認ができないため、本当に
その本人かどうかが確認できません。
• 政党太郎さんを名乗ったウェブサイトが存在したとして、その
ウェブサイトが本当に政党太郎さんのものかを確認する手段
が必要になります。
URL（アドレス）の確認は必ずしも有効と
は言えません。
このネズミは、URLの
- like.cheeze.com
- 1ike.cheeze.com
の違いが読み取れずに迷っていますね。
8
なりすましの手口
1. なりすましメールを
送付します
2. メールを開けると、ニ
セのURLが記載され
ています
3. そのURLをクリック
すると、ニセのサイ
トに誘導されます
4. ニセサイトにカード情
報など個人情報を登
録すると、その情報
が悪用されます
なりすましメールによってなりすましサイトに誘導するという複合
的な手口によって、不正に情報発信や個人情報を取得します
9
「改ざん」って？
• ウェブサイトなどに不正に侵入するなどして、ウェブサイトを書
き換えてしまうことを言います。
• サイト訪問者に見えるように内容を書き換えて、政治的な主張
などをねじ曲げてしまう攻撃と、サイト訪問者にはわからないよ
うにウィルス（マルウェア）を仕込んで、サイト訪問者の感染を
狙う攻撃があります。
特に昨今では、このマルウェアを仕込んで間接
的にサイト訪問者を狙う「水飲み場攻撃」が盛ん
です
砂漠などのオアシスに集まる動物を狙って毒を
仕込む様子になぞらえて名づけられています
10
その他にもさまざまな攻撃手法が存在します
1. Phisher ・・・ フィッシング詐欺を行う攻
撃者。
2. Malware ・・・悪意のあるソフトウェア。
「Malicious（マリシャス）」と「Software」を
組み合わせた造語。
3. SPAM ・・・ 無差別かつ大量に一括して
送信されるメールやデータ
4. Botnet ・・・ 乗っ取られたコンピュータ
が集まったネットワーク。サイバー攻撃
者はこのネットワークを利用して、攻撃
対象のサイトを攻撃するケースがある。
5. Cracker ・・・ サイバー攻撃を行う者。シ
ステム破壊を意図した攻撃者。
ネット選挙を安全に行うには、
総合的なセキュリティ対策が必要です。
11
有権者が心配していること
（ネット選挙に関する意識調査より）
あなたは、ネット検索や候補者のホームページの閲覧、メールの
受信など選挙に関する情報をインターネットを利用する際に、ど
のようなことを不安に思われますか？
80%
63.9
66.3
65.3
60%
71.2
70.1
58.2
70.0
64.6
57.1
40%
20%
0%
閲覧したＷｅ
ホームペー ホームペー
閲覧したＷｅ
候補者の方
候補者から ｂサイトが候
ジなどで自 ジなどで自
ｂサイトから
からメール
勝手にメー 補者本人の
入力を求め 分が登録し 分が登録し
やＳＮＳでコ
ウィルスな
ルが送られ ものではな
られること た個人情報 た個人情報
ンタクトされ
どに感染す
てくること いこと（偽サ
が悪用され が外部に流
ること
ること
イト）
ること
出すること
63.9
66.3
65.3
58.2
71.2
70.1
70.0
候補者から
頻繁にコン
タクトやメー
ルがあるこ
と
64.6
その他
57.1
多くの有権者がネット上での情報
収集に対するセキュリティを不安に
思っていることがわかりますね。
12
ウェブサイトは狙われています
13
政府機関・政党に関する被害実例
 なりすまし
— ホームページ
• 厚生労働省を騙るフィッシングサイト（2007年）
‒ メール（日本国内からだけではなく、海外からも攻撃）
• 額賀防衛庁長官（当時）に成りすましたウィルスメールを有権者に送信
（2006年）
• 福田首相（当時）に成りすましたウィルスメールを有権者に送信 （2007年）
‒ Twitter
• 細野民主党幹事長が故三宅久之氏に成りすましたツイートに返信 （2013年）
 ホームページの改ざん
– ブログの荒らし（スパム攻撃）
– 改正著作権法を受けてアノニマスによるサイバー攻撃(2012年)
– 尖閣諸島問題を契機に海外からのサイバー攻撃（2012年）
– 改ざんを行ってマルウェア配布（『水飲み場攻撃』）（海外で2012年に多発）
– マルウェアがデータを破壊（2012年 Shamoon攻撃・2013年韓国サイバー攻撃）
ネット選挙によって人が集まるウェブサイトはまさに「水飲み場」
14
なりすましへの対策
- ウェブサイトのなりすまし
- メールのなりすまし
15
SSLサーバ証明書のふたつの機能
①ネットワークを経由するデータの
「暗号化」機能
個人情報の不正取得（窃取）
への対策
②ウェブサイトが本物であると
いうことを証明する機能
「実在証明」
なりすましへの対策
16
そのウェブサイトは安全ですか？
（ネット選挙に関する意識調査より）
あなたは、インターネットサービスを利用する際に、アクセスする
Ｗｅｂサイト／ホームページやその運営組織の安全性を確認す
るために、どんなことを確認しますか？
60%
45.1
40%
38.8
21.0
29.6
28.0
18.0
13.4
20%
4.7
0.3
0%
ＳＳＬサーバ
プライバシ インターネッ
プライバシ
証明書のマ
友人・知人
ＳＳＬに対応 有名な団体 ーポリシー ト上での評
ーマークが
ークが提示
からの評判
していること であること が提示され 判が良いこ
提示されて
されているこ
が良いこと
ていること
と
いること
と
45.1
21.0
28.0
13.4
29.6
18.0
4.7
その他
0.3
特に確認は
していない
38.8
多くの有権者がSSLに対応している
かどうかを気にしていることがわか
ります
17
EV SSL証明書って？
• SSLの中には、より安全性の視認性を高めたEV SSL(Extended Validation)と
いうものがあります
• 全世界的に定められた「EVガイドライン」に基づき、厳格な認証を行ったうえ
で発行されるSSLサーバ証明書のことです
• 厳格な認証の証として、アドレスバーがグリーンになって表示されます
18
EV SSL証明書による「なりすまし防止」
• ブラウザのアドレスバーが安全の印「グリーンバー」に
• 発行先「政党名」と認証元「VeriSign（シマンテック認証事業ブランド）」とが交
互に表示される
ブラウザ内に表示される組織名称
は厳格な認証によるもので、技術
的になりすまし困難です
19
常時SSLって？
• メルマガ登録ページなど特定の個人情報登録ページだけでなく、すべての
ページをSSL化することを「常時SSL」といいます
• Twitter / Facebookなどの大手ソーシャルメディアから、政党では自由民主
党や公明党が常時SSLを導入し、すべてのページでなりすましへの対策を
行っています
• 暗号化目的であれば特定のサイトだけでよいのですが、なりすまし対策と
いう意味ではすべてのページがSSL化されているのが望ましいです
20
ホームページへの入り口、「検索」
（ネット選挙に関する意識調査より）
• あなたは、政党や候補者などのホームページを閲覧する際に、
どのようにしてそのページにアクセスしますか？
検索バーに、候
補者の名前を
入れて検索し、
出てきた結果
から、ホームペ
ージのリンク先
をクリックする
事前に、政党や
候補者のホー
ムページのアド
レス（ＵＲＬ）を
調べて、そのＵ
ＲＬを直接入力
する
50.1
まず、メルマガ
などに登録し、
送られてくるメ
ールの中身に
あるＵＲＬをクリ
ックして、その
ページにいく
事前にお気に
入り／ブックマ
ークなどに登録
しておいて、都
度そのリンクを
利用する
5.2 4.0 4.80.4
その他
よくわからない
／特に決まった
やり方はない
35.5
多くの有権者が、検索を使って政
党や候補者の情報を探しているこ
とがわかります
21
検索結果の1位は必ずしも正しいサイトとは限りません
2007年、Googleで「厚生労働省」「厚労省」と検索すると偽サイト
が１位に表示される事件がありました。
検索順位１位のサイトは、信頼されやすくクリックが集まりやすい
のですが、実はそのサイトがフィッシングサイト（偽サイト）だった
という事例です。
Googleで１位表示の
厚生労働省をクリック
（2007.12月）
22
検索サイトに見える信頼のシール
シマンテックのSSLサーバ証明書を利用しているサイトは、Googleなどで
の「検索結果」へのリンクに、ノートンセキュアドシールが表示(*)されます。
このマークは、ネット
ユーザの約8割**
が知っている目印
23
*Norton Internet Security利用の場合など
** 日本ベリサイン 消費者意識調査 2012年5月（ボーダーズ調査協力）
23
検索サイト上に表示されるシールの安心感
（ネット選挙に関する意識調査より）
• 検索結果に表示された政党のホームページを閲覧したいとき、
あなたは、【A：シール表示あり】、【B：シール表示なし】のどちら
のページのリンクをクリックしたいと思いますか？
×
A
B
90%を超える有権者が検索結果で
のシール表示に安心を感じていま
すね
24
つまり、
• SSLは、そのウェブサイトの「実在性」を証明します
• EV SSLは、グリーンバーに政党名が表示されるため、
公認候補であることが一目瞭然となります
• グリーンバーが政党の全てのウェブページで表示さ
れる「常時EV SSL」によって、更なる安心感を提供でき
ます
• グーグルなどの検索サイトで表示されるシールによっ
て、ウェブサイト訪問前にも安心感を提供できます
25
電子メールに施す電子署名
• 電子メールの送信者は、自分の実在性を証明する電子証明書
を用いて電子メールに電子署名付与することができます
メーラー
送信PC
SMTPサーバ
POPサーバ
IMAPサーバ
インターネット
受信PC
メーラー
メール自体の電子署名
電子署名を表すマークとしてリボン
のマークが表示され、クリックすると
電子署名の詳細が表示されます
26
90%近くの有権者はリボンが表示されたメールに安心
感を感じています （ネット選挙に関する意識調査より）
• 電子メールでは、安全な仕組みを用いて送信されたものには
受信メールにリボンのようなマークが表示されます。あなたが
ご利用のメール・ソフトで以下のどちらのメールを受け取るほう
が安心だと思われますか？
リボンのマークがあるメール
リボンのマークがないメール
×
なりすましの対策として、電子署名
付きの電子メールが求められてい
ることがわかりますね
27
改ざん・サイバー攻撃への対策
- WAF(Web Application Firewall)
28
実は、ウェブサイトを安全に保つのは大変なんです
Webサイトの脆弱性
実に、98%のウェブサイトが何らか
の脆弱性を抱えていて、全体の
2/3以上 (68%)に危険度の高い脆
弱性が存在しています
水飲み場攻撃の対象となっている
ウェブサイトのうち61%が、正規の
サイトに知らず知らずのうちに仕込
まれたものです
インターネットセキュリティ脅威レポート 第 18 号 より
29
改ざんへの対策としてのWAF (Web Application Firewall)
• サイバー攻撃対策と聞くと、セキュリティの専門家を配しての対
策と思われがちですが、クラウド型のWAFサービスを用いるこ
とによって、速やかに最低限の改ざん攻撃対策を施すことがで
きます
• これによって、有権者が集まる「水飲み場」を危険にさらさない
ための最低限の責任をはたすことができます
30
有権者に意識してほしいこと
31
正しいウェブサイトの確認方法を理解しましょう
①URLがhttpS:// で開始
②鍵のマークが表示
SSLサーバ証明書が導入され
ているウェブサイトです
32
Internet Explorer 8 の場合
https://www.jp.websecurity.symantec.com
• 「https://～」のWebページで表示された「錠マーク」をクリックす
ると、電子証明書の内容を確認することができます。
32
アンチウィルスソフトによって、自分のパソコンに最低
限の防御を施しましょう
• セキュリティを気にせずパソコンを使っていては、いつ犯罪に
巻き込まれるかわかりません。
• 快適なインターネットライフを送るために、悪意のある攻撃や脅
威についての正しい知識を身につけましょう。
詳しくはこちら >> 知っておきたい!! セキュリティの話
http://jp.norton.com/portal-security/promo
33
Nortonを利用して、正しいウェブサイトを確認しましょう
 ノートンセキュリティ、ノートンインターネットセキュリティ、およびノートン360がインストールされて
いて、IE、Firefox上でGoogle/YAHOO!/Bingを検索した場合に、ベリサイントラストシール顧客の
サイトに、黄色のチェックマーク表示。マウスオーバーするとポップアップで詳細画面表示。
シールを表示するにはマルウェア検知に合格していることが前提になります
34
Thank you!
調査出典 ： ネット選挙に関する意識調査（シマンテック・クロスマーケティング）
イラスト ： aico (小悪魔女子大生のサーバエンジニア日記)
Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
ネット選挙に関するセキュリティリスクとその対策について
35