...

プレゼン資料

by user

on
Category: Documents
15

views

Report

Comments

Transcript

プレゼン資料
パソコンの
セキュリティ対策してますか?
インターネット時代の
パソコンセキュリティ対策
--- 株式会社ウェブインパクト 酒井智宏 --2008年5月25日
セキュリティ侵害の実例 1/7
フィッシング・ファーミング
金融機関を名乗るメール「あなたの預金を守る
ために、下記ホームページへログインしてくだ
さい」
偽ホームページでパスワード盗難
→預金を盗まれる
セキュリティ侵害の実例 2/7
不正請求(架空請求・ワンクリック詐欺)
このホームページは1回の閲覧に89,760円か
かります。
支払わない場合はご自宅・職場へ請求します。
あなたの利用記録
IPアドレス xxx.xxx.xxx.xxx
Internet Explorer 6.0
セキュリティ侵害の実例 3/7
不正プログラムをインストールさせる
「あなたのPCがウィルスに感染しています!」
「パソコンのエラーが発生しました」
セキュリティ侵害の実例 4/7
ファイル共有ソフトと暴露ウィルス
パソコンに保存してあった私的なデータがいつ
の間にかネット上で公開されていた
Winny, Shareの利用
→ウィルスによるプライバシー暴露
→個人情報からmixi、Google Mapsへリンク
セキュリティ侵害の実例 5/7
スパイウェア・キーロガー
パソコン内の個人情報やパスワード、アクセス履歴を
攻撃者の元へ送信
アドウェア
Webサイト閲覧履歴をアドウエア制作者に送信するなどし
て広告表示に役立てる
ハイジャッカー
Webブラウザーのホームページを、勝手に特定のWebペー
ジに置き換える
キーロガー
パソコンに常駐してユーザーのキー操作を記録。ID、パス
ワードなどを盗む
リモートコントロールソフト
ユーザーのパソコンを遠隔操作するプログラム
ダイヤラー
勝手に海外のアクセスポイントに接続するプログラム。後日、
高額請求が届くことが多い
セキュリティ侵害の実例 6/7
偽アプリ
多くのユーザが利用するPC(インターネットカ
フェ、図書館、学校など)にパスワード収集用
プログラムを仕掛ける。
→パスワード盗難
→被害
手口の分類
• テクニカルハッキング
ハードウェア・ソフトウェアの技術的な欠陥(=セ
キュリティホール)を突く。ユーザが介在しなくても自
動的に被害が出る。
対策=software updateを頻繁に行う。
• ソーシャルハッキング
技術的なセキュリティホールだけでは攻撃を完結で
きず、ユーザ(=被害者)の操作を必須とする。
対策=手口のパターンを記憶し、怪しいサイトに近
づかない、一人で悩まない。
テクニカルハッキング対策
1. 修正プログラムの適用
2. ウィルス対策ソフトの適切な運用
3. ホームページブラウザの適切な設定
4. メールソフトの適切な設定
5. パソコン以外のハードウェアの適切な運用
6. パスワード設定
テクニカルハッキング対策 1/6 (1)
OS/アプリケーションの修正プログラムを適用
1. Windows Update (毎月第2火曜=日本時間第2水曜にリリース)
IEで http://windowsupdate.microsoft.com/
2. Mac OS X
リンゴマークアイコン→[ソフトウェア・アップデート]
3. Office Update (毎月第2火曜=日本時間第2水曜にリリース)
IEで http://www.microsoft.com/japan/security/bulletins/offup.mspx
4. Acrobat(Adobe) Reader (PDFファイル閲覧ソフト)
http://www.adobe.com/jp/ で [Get Adobe Reader]リンク
ver.8以降は起動して [ヘルプ]→[アップデートの有無をチェック]
5. QuickTime (マルチメディアプレーヤー)
起動して [ヘルプ]→[既存のソフトウェアを更新]
6. Flash Player (リッチコンテンツプレーヤー)
http://www.adobe.com/jp/ で [Get Flash Player]リンク
テクニカルハッキング対策 1/6 (2)
7.
Java JRE (リッチコンテンツプレーヤー)
[コントロールパネル]→[Java]→[アップデート]タブ→[今すぐアップデート]
8.
圧縮解凍ソフト (zip, Lhaplus)
ダウンロード元サイト
Secunia Personal Software Inspectorを使う
https://psi.secunia.com/
Insecure Softwareのスキャンツール; 無償だが、不正確なことも
セキュリティサポート切れOSを使わない
http://www.st.ryukoku.ac.jp/~kjm/ms-windows/support.html
•
•
•
•
•
Windows 98/Me = 2006/7/11 にサポート切れ
Windows 2000 = 早くても 2010/7/13 までOK
Windows XP = 2014/4/8(SP3の導入が前提)
Vista Home Basic/Home Premium/Ultimate = 2012/4/10
Vista Business/Enterprise = 2017/4/11
テクニカルハッキング対策 2/6 (1)
ウィルス対策ソフトの導入
–
–
–
–
–
–
トレンドマイクロ
シマンテック
マカフィー
カスペルスキー
free ClamAV (Clam AntiVirus)
free AVG (商用利用は有償)
機能
–
–
–
–
–
–
ウィルス駆除
スパイウェアの駆除
ファイアウォール(外部からの侵入阻止+内部からの不正送信阻止)
URLフィルタ(有害サイトへのアクセス遮断=未成年保護)
個人情報保護
迷惑メール判定
テクニカルハッキング対策 2/6 (2)
ウィルス対策ソフトの運用
定期的なアップデート
• ウィルスや有害サイトの情報(パターンファイル)は
日々更新され、これを常に取り込まないと最新の攻
撃手法に対応できない。
• ウィルスによっては、感染すると最初にウィルス対
策ソフトの更新機能をつぶしてくるものも。
定期的なウィルススキャン
• パターンファイルの供給より早くウィルスを受信・接
触した場合(ゼロデイ攻撃)、感染を防げない。
• このため、定期的なウィルススキャンも欠かせない。
テクニカルハッキング対策 3/6 (1)
ブラウザの守りを固める-1
IEのセキュリティ設定を上げる
[コントロールパネル][インターネットオプション]
セキュリティレベルは
「中」以上
http://www.ipa.go.jp/security
/antivirus/documents/1_virus_v5.pdf
テクニカルハッキング対策 3/6 (2)
ブラウザの守りを固める-2
IEのJavaScript自動実行をOffにする
[コントロールパネル]-[インターネットオプション]
[セキュリティ]タブ
[レベルのカスタマイズ]ボタン
[スクリプト]
-[アクティブスクリプト]
「無効」または
「ダイアログを表示する」
http://itpro.nikkeibp.co.jp/article
/COLUMN/20070307/264158/
テクニカルハッキング対策 3/6 (3)
ブラウザの守りを固める-3
Internet Explorerを使わない
Firefox
Netscape Navigatorの流れをくむ;急速にシェアを
拡大;現在10-15%
Opera
ノルウェーのソフトウェア会社;携帯機器やゲーム機
にも組み込まれる
Safari
Mac OS Xの標準ブラウザ;現在はWindows版も
テクニカルハッキング対策 4/6 (1)
メールソフトの守りを固める-1
Outlook Expressのプレビューで
HTML形式をOffにする
[ツール]-[オプション]
[読み取り][メッセージはすべて
テキスト形式で
読み取る]
テクニカルハッキング対策 4/6 (2)
メールソフトの守りを固める-2
Outlook Expressを使わない
• Becky!
• Thunderbird
• Sylpheed
etc.
テクニカルハッキング対策 5/6 (1)
ハードウェアのセキュリティ保持
ルータ
ファイアウォール代わりになる
とにかく設置する(数千円~)
プロバイダから渡される装置が兼ねることも
確認方法
Windowsのコマンドプロンプトで ipconfig コマンド
IPアドレスが以下のいずれかならまずOK
• 192.168.xxx.xxx
• 172.16.xxx.xxx
テクニカルハッキング対策 5/6 (2)
ハードウェアのセキュリティ保持
市販ブローバンドルータ
ファームウェアの更新=メーカーのサイトのプ
ログラムと手順書を取得して適用
UPnPを無効化=Universal Plug and Playを
利用したセキュリティホール(ルータのファイ
アウォール機能を実質的に無効化する)が発
覚
テクニカルハッキング対策 5/6 (3)
ハードウェアのセキュリティチェック
無線LANルータ
パスワード変更=出荷状態のままでは危険
ファームウェアの更新
暗号化(WEP/WPA)を有効にする
MACアドレス認証を有効にする=接続できる
機器を制限できる
無線LANを使用しない
テクニカルハッキング対策 5/6 (4)
ハードウェアのセキュリティチェック
個別製品のメーカー情報チェック
メーカーのサイトで公開される
ルータ
USBメモリ
プリンタ
テクニカルハッキング対策 6/6 (1)
パスワード
パスワードを出荷状態から変更する
パスワードなしのまま放置しない
ランダムパスワード生成
プログラムを使用
8桁以上・英(大小)数字
混在
テクニカルハッキング対策 6/6 (2)
パスワードの安全性
理想論は無理
ランダムな英数字・できるだけ長く・メモ禁止
危険なパスワード
ユーザIDと同じ・パスワード無し・一般or固有名詞そのまま・短い
文字列・キー配列順・4桁数字
攻撃手法
辞書攻撃・総当たり攻撃・個人情報に基づく(生年月日など)
手っ取り早くて「比較的」安全なパスワード
辞書単語に記号(ハイフン以外)を混ぜる
http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295931/
http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295946/
http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295939/
http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295947/
ソーシャルハッキング対策
1. セキュリティ侵害の仕組み
2. 罠・偽サイトへの誘導
3. 不正プログラムのインストール誘導
4. 世間体や社会的地位を利用した脅し
5. ログアウトの励行
ソーシャルハッキング対策 1/5
セキュリティ侵害の仕組み
そもそもパソコンはそれほど脆弱ではない;上述のテク
ニカルハッキング対策を継続して行えば、セキュリティ
ホール無しの状態を維持できる
↓
セキュリティホールを見つけられない場合、悪者は被害
者側の無知と油断を利用して、自分に都合のいい状
況を作り出す
↓
• 偽サイトへ誘導してパスワードを入力させる
• マルウェア(悪意のあるソフト)をダウンロードさせる
ソーシャルハッキング対策 2/5 (1)
罠・偽サイトへの誘導
フィッシング
金融機関などを名乗るメールがログインを求めてくる 「あなた
の預金を守るために以下の手続きを・・・」
勧められるホームページアドレスを開かない
偽アドレスの可能性
→ブラウザのブックマークに登録した「いつもの」アドレスから
ログインする
httpsと鍵の確認
不安なら金融機関へ問い合わせを
セキュリティ対策の甘い金融機関は解約する
セキュリティを強化した金融機関を利用する
NTTコムウェア PHISHCUT
http://www.nttcom.co.jp/phishcut/about_phishcut_alternate.html
ソーシャルハッキング対策 2/5 (2)
罠・偽サイトへの誘導
ファーミング
偽サイトという点ではフィッシングと同じだが、
ホームページアドレスは本物;インターネットの
名前解決システムを乗っ取って行われる;アド
レスをいくら確認しても無駄
偽サイトの出来が良ければ被害を防げない可能
性も
ソーシャルハッキング対策 3/5 (1)
不正プログラムのインストール誘導
メールの添付ファイル
ウィルス対策ソフトを導入・正しく運用すれば、ほぼ防げる
拡張子に注意
信頼できない送信元には注意
exe, com, pif, scr, batは怪しい
添付ファイルを開く前にウィルススキャン
http://www.virustotal.com/jp/
• ゼロデイ攻撃(パターンファイルの対応が間に合っていない
ことも→後日再度スキャン)
ソーシャルハッキング対策 3/5 (2)
不正プログラムのインストール誘導
トロイの木馬・スパイウェア
「月食のビデオが見られる」と誘惑
不正プログラムをダウンロードさせる
http://www.itmedia.co.jp/enterprise/articles/0802/
22/news018.html
対策
• 誘惑に打ち勝つ
• 怪しいプログラム専用パソコンを持つ
ソーシャルハッキング対策 3/5 (3)
不正プログラムのインストール誘導
フリーソフトのダウンロード
勧められるままダウンロードしない
• トロイの木馬の可能性
信頼できる有名サイトからダウンロードする
• Vector
• 窓の杜
ソーシャルハッキング対策 3/5 (4)
不正プログラムのインストール誘導
ファイル共有ソフト(Winny, Shareなど)
• ソフトウェアの不正コピー
• 著作権違反アニメ番組
• 違法わいせつ画像
暴露ウィルスにより、PC内の情報が漏洩
ソーシャルハッキング対策 3/5 (5)
不正プログラムのインストール誘導
偽アプリ・キーロガー
信頼できないPCで重要なパスワードを入力しない
• ネットカフェ
• 図書館
ソーシャルハッキング対策 3/5 (6)
不正プログラムのインストール誘導
偽アンチウィルスメッセージ
「あなたのPCがウィルスに感染しています!
このプログラムをダウンロードすれば安心です」
ソーシャルハッキング対策 4/5
世間体や社会的地位を利用した脅し
ワンクリック詐欺→架空請求
架空請求
• 対策=無視;不安なら警察へ
• 狙い=被害者が弱気になって振り込むのを期待し
ている
ソーシャルハッキング対策 1/5
ログアウトの励行
Web mail, 銀行サイトなど
ログアウトは鍵かけと同じ
鍵を開けっ放しで放置しない
ログアウトしないと、サーバのログイン情報がブラウザ
に残り、これを盗まれる可能性
重要なサイトと怪しいサイトを同時に開かない
サイトを跨いだ攻撃の可能性
参考文献
• 独立行政法人 情報処理推進機構(情報セキュリティ)
http://www.ipa.go.jp/security/
• 日経BP IT Pro
http://itpro.nikkeibp.co.jp/
• アットマークIT
http://www.atmarkit.co.jp/
• US-CERT Vulnerability Notes
http://www.kb.cert.org/vuls/
• Japan Vulnerability Notes
http://jvn.jp/
• JPCERT/CC
http://www.jpcert.or.jp/
• Slashdot
http://slashdot.jp/
• セキュリティホールメモ
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
Fly UP