Comments
Description
Transcript
プレゼン資料
パソコンの セキュリティ対策してますか? インターネット時代の パソコンセキュリティ対策 --- 株式会社ウェブインパクト 酒井智宏 --2008年5月25日 セキュリティ侵害の実例 1/7 フィッシング・ファーミング 金融機関を名乗るメール「あなたの預金を守る ために、下記ホームページへログインしてくだ さい」 偽ホームページでパスワード盗難 →預金を盗まれる セキュリティ侵害の実例 2/7 不正請求(架空請求・ワンクリック詐欺) このホームページは1回の閲覧に89,760円か かります。 支払わない場合はご自宅・職場へ請求します。 あなたの利用記録 IPアドレス xxx.xxx.xxx.xxx Internet Explorer 6.0 セキュリティ侵害の実例 3/7 不正プログラムをインストールさせる 「あなたのPCがウィルスに感染しています!」 「パソコンのエラーが発生しました」 セキュリティ侵害の実例 4/7 ファイル共有ソフトと暴露ウィルス パソコンに保存してあった私的なデータがいつ の間にかネット上で公開されていた Winny, Shareの利用 →ウィルスによるプライバシー暴露 →個人情報からmixi、Google Mapsへリンク セキュリティ侵害の実例 5/7 スパイウェア・キーロガー パソコン内の個人情報やパスワード、アクセス履歴を 攻撃者の元へ送信 アドウェア Webサイト閲覧履歴をアドウエア制作者に送信するなどし て広告表示に役立てる ハイジャッカー Webブラウザーのホームページを、勝手に特定のWebペー ジに置き換える キーロガー パソコンに常駐してユーザーのキー操作を記録。ID、パス ワードなどを盗む リモートコントロールソフト ユーザーのパソコンを遠隔操作するプログラム ダイヤラー 勝手に海外のアクセスポイントに接続するプログラム。後日、 高額請求が届くことが多い セキュリティ侵害の実例 6/7 偽アプリ 多くのユーザが利用するPC(インターネットカ フェ、図書館、学校など)にパスワード収集用 プログラムを仕掛ける。 →パスワード盗難 →被害 手口の分類 • テクニカルハッキング ハードウェア・ソフトウェアの技術的な欠陥(=セ キュリティホール)を突く。ユーザが介在しなくても自 動的に被害が出る。 対策=software updateを頻繁に行う。 • ソーシャルハッキング 技術的なセキュリティホールだけでは攻撃を完結で きず、ユーザ(=被害者)の操作を必須とする。 対策=手口のパターンを記憶し、怪しいサイトに近 づかない、一人で悩まない。 テクニカルハッキング対策 1. 修正プログラムの適用 2. ウィルス対策ソフトの適切な運用 3. ホームページブラウザの適切な設定 4. メールソフトの適切な設定 5. パソコン以外のハードウェアの適切な運用 6. パスワード設定 テクニカルハッキング対策 1/6 (1) OS/アプリケーションの修正プログラムを適用 1. Windows Update (毎月第2火曜=日本時間第2水曜にリリース) IEで http://windowsupdate.microsoft.com/ 2. Mac OS X リンゴマークアイコン→[ソフトウェア・アップデート] 3. Office Update (毎月第2火曜=日本時間第2水曜にリリース) IEで http://www.microsoft.com/japan/security/bulletins/offup.mspx 4. Acrobat(Adobe) Reader (PDFファイル閲覧ソフト) http://www.adobe.com/jp/ で [Get Adobe Reader]リンク ver.8以降は起動して [ヘルプ]→[アップデートの有無をチェック] 5. QuickTime (マルチメディアプレーヤー) 起動して [ヘルプ]→[既存のソフトウェアを更新] 6. Flash Player (リッチコンテンツプレーヤー) http://www.adobe.com/jp/ で [Get Flash Player]リンク テクニカルハッキング対策 1/6 (2) 7. Java JRE (リッチコンテンツプレーヤー) [コントロールパネル]→[Java]→[アップデート]タブ→[今すぐアップデート] 8. 圧縮解凍ソフト (zip, Lhaplus) ダウンロード元サイト Secunia Personal Software Inspectorを使う https://psi.secunia.com/ Insecure Softwareのスキャンツール; 無償だが、不正確なことも セキュリティサポート切れOSを使わない http://www.st.ryukoku.ac.jp/~kjm/ms-windows/support.html • • • • • Windows 98/Me = 2006/7/11 にサポート切れ Windows 2000 = 早くても 2010/7/13 までOK Windows XP = 2014/4/8(SP3の導入が前提) Vista Home Basic/Home Premium/Ultimate = 2012/4/10 Vista Business/Enterprise = 2017/4/11 テクニカルハッキング対策 2/6 (1) ウィルス対策ソフトの導入 – – – – – – トレンドマイクロ シマンテック マカフィー カスペルスキー free ClamAV (Clam AntiVirus) free AVG (商用利用は有償) 機能 – – – – – – ウィルス駆除 スパイウェアの駆除 ファイアウォール(外部からの侵入阻止+内部からの不正送信阻止) URLフィルタ(有害サイトへのアクセス遮断=未成年保護) 個人情報保護 迷惑メール判定 テクニカルハッキング対策 2/6 (2) ウィルス対策ソフトの運用 定期的なアップデート • ウィルスや有害サイトの情報(パターンファイル)は 日々更新され、これを常に取り込まないと最新の攻 撃手法に対応できない。 • ウィルスによっては、感染すると最初にウィルス対 策ソフトの更新機能をつぶしてくるものも。 定期的なウィルススキャン • パターンファイルの供給より早くウィルスを受信・接 触した場合(ゼロデイ攻撃)、感染を防げない。 • このため、定期的なウィルススキャンも欠かせない。 テクニカルハッキング対策 3/6 (1) ブラウザの守りを固める-1 IEのセキュリティ設定を上げる [コントロールパネル][インターネットオプション] セキュリティレベルは 「中」以上 http://www.ipa.go.jp/security /antivirus/documents/1_virus_v5.pdf テクニカルハッキング対策 3/6 (2) ブラウザの守りを固める-2 IEのJavaScript自動実行をOffにする [コントロールパネル]-[インターネットオプション] [セキュリティ]タブ [レベルのカスタマイズ]ボタン [スクリプト] -[アクティブスクリプト] 「無効」または 「ダイアログを表示する」 http://itpro.nikkeibp.co.jp/article /COLUMN/20070307/264158/ テクニカルハッキング対策 3/6 (3) ブラウザの守りを固める-3 Internet Explorerを使わない Firefox Netscape Navigatorの流れをくむ;急速にシェアを 拡大;現在10-15% Opera ノルウェーのソフトウェア会社;携帯機器やゲーム機 にも組み込まれる Safari Mac OS Xの標準ブラウザ;現在はWindows版も テクニカルハッキング対策 4/6 (1) メールソフトの守りを固める-1 Outlook Expressのプレビューで HTML形式をOffにする [ツール]-[オプション] [読み取り][メッセージはすべて テキスト形式で 読み取る] テクニカルハッキング対策 4/6 (2) メールソフトの守りを固める-2 Outlook Expressを使わない • Becky! • Thunderbird • Sylpheed etc. テクニカルハッキング対策 5/6 (1) ハードウェアのセキュリティ保持 ルータ ファイアウォール代わりになる とにかく設置する(数千円~) プロバイダから渡される装置が兼ねることも 確認方法 Windowsのコマンドプロンプトで ipconfig コマンド IPアドレスが以下のいずれかならまずOK • 192.168.xxx.xxx • 172.16.xxx.xxx テクニカルハッキング対策 5/6 (2) ハードウェアのセキュリティ保持 市販ブローバンドルータ ファームウェアの更新=メーカーのサイトのプ ログラムと手順書を取得して適用 UPnPを無効化=Universal Plug and Playを 利用したセキュリティホール(ルータのファイ アウォール機能を実質的に無効化する)が発 覚 テクニカルハッキング対策 5/6 (3) ハードウェアのセキュリティチェック 無線LANルータ パスワード変更=出荷状態のままでは危険 ファームウェアの更新 暗号化(WEP/WPA)を有効にする MACアドレス認証を有効にする=接続できる 機器を制限できる 無線LANを使用しない テクニカルハッキング対策 5/6 (4) ハードウェアのセキュリティチェック 個別製品のメーカー情報チェック メーカーのサイトで公開される ルータ USBメモリ プリンタ テクニカルハッキング対策 6/6 (1) パスワード パスワードを出荷状態から変更する パスワードなしのまま放置しない ランダムパスワード生成 プログラムを使用 8桁以上・英(大小)数字 混在 テクニカルハッキング対策 6/6 (2) パスワードの安全性 理想論は無理 ランダムな英数字・できるだけ長く・メモ禁止 危険なパスワード ユーザIDと同じ・パスワード無し・一般or固有名詞そのまま・短い 文字列・キー配列順・4桁数字 攻撃手法 辞書攻撃・総当たり攻撃・個人情報に基づく(生年月日など) 手っ取り早くて「比較的」安全なパスワード 辞書単語に記号(ハイフン以外)を混ぜる http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295931/ http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295946/ http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295939/ http://itpro.nikkeibp.co.jp/article/COLUMN/20080311/295947/ ソーシャルハッキング対策 1. セキュリティ侵害の仕組み 2. 罠・偽サイトへの誘導 3. 不正プログラムのインストール誘導 4. 世間体や社会的地位を利用した脅し 5. ログアウトの励行 ソーシャルハッキング対策 1/5 セキュリティ侵害の仕組み そもそもパソコンはそれほど脆弱ではない;上述のテク ニカルハッキング対策を継続して行えば、セキュリティ ホール無しの状態を維持できる ↓ セキュリティホールを見つけられない場合、悪者は被害 者側の無知と油断を利用して、自分に都合のいい状 況を作り出す ↓ • 偽サイトへ誘導してパスワードを入力させる • マルウェア(悪意のあるソフト)をダウンロードさせる ソーシャルハッキング対策 2/5 (1) 罠・偽サイトへの誘導 フィッシング 金融機関などを名乗るメールがログインを求めてくる 「あなた の預金を守るために以下の手続きを・・・」 勧められるホームページアドレスを開かない 偽アドレスの可能性 →ブラウザのブックマークに登録した「いつもの」アドレスから ログインする httpsと鍵の確認 不安なら金融機関へ問い合わせを セキュリティ対策の甘い金融機関は解約する セキュリティを強化した金融機関を利用する NTTコムウェア PHISHCUT http://www.nttcom.co.jp/phishcut/about_phishcut_alternate.html ソーシャルハッキング対策 2/5 (2) 罠・偽サイトへの誘導 ファーミング 偽サイトという点ではフィッシングと同じだが、 ホームページアドレスは本物;インターネットの 名前解決システムを乗っ取って行われる;アド レスをいくら確認しても無駄 偽サイトの出来が良ければ被害を防げない可能 性も ソーシャルハッキング対策 3/5 (1) 不正プログラムのインストール誘導 メールの添付ファイル ウィルス対策ソフトを導入・正しく運用すれば、ほぼ防げる 拡張子に注意 信頼できない送信元には注意 exe, com, pif, scr, batは怪しい 添付ファイルを開く前にウィルススキャン http://www.virustotal.com/jp/ • ゼロデイ攻撃(パターンファイルの対応が間に合っていない ことも→後日再度スキャン) ソーシャルハッキング対策 3/5 (2) 不正プログラムのインストール誘導 トロイの木馬・スパイウェア 「月食のビデオが見られる」と誘惑 不正プログラムをダウンロードさせる http://www.itmedia.co.jp/enterprise/articles/0802/ 22/news018.html 対策 • 誘惑に打ち勝つ • 怪しいプログラム専用パソコンを持つ ソーシャルハッキング対策 3/5 (3) 不正プログラムのインストール誘導 フリーソフトのダウンロード 勧められるままダウンロードしない • トロイの木馬の可能性 信頼できる有名サイトからダウンロードする • Vector • 窓の杜 ソーシャルハッキング対策 3/5 (4) 不正プログラムのインストール誘導 ファイル共有ソフト(Winny, Shareなど) • ソフトウェアの不正コピー • 著作権違反アニメ番組 • 違法わいせつ画像 暴露ウィルスにより、PC内の情報が漏洩 ソーシャルハッキング対策 3/5 (5) 不正プログラムのインストール誘導 偽アプリ・キーロガー 信頼できないPCで重要なパスワードを入力しない • ネットカフェ • 図書館 ソーシャルハッキング対策 3/5 (6) 不正プログラムのインストール誘導 偽アンチウィルスメッセージ 「あなたのPCがウィルスに感染しています! このプログラムをダウンロードすれば安心です」 ソーシャルハッキング対策 4/5 世間体や社会的地位を利用した脅し ワンクリック詐欺→架空請求 架空請求 • 対策=無視;不安なら警察へ • 狙い=被害者が弱気になって振り込むのを期待し ている ソーシャルハッキング対策 1/5 ログアウトの励行 Web mail, 銀行サイトなど ログアウトは鍵かけと同じ 鍵を開けっ放しで放置しない ログアウトしないと、サーバのログイン情報がブラウザ に残り、これを盗まれる可能性 重要なサイトと怪しいサイトを同時に開かない サイトを跨いだ攻撃の可能性 参考文献 • 独立行政法人 情報処理推進機構(情報セキュリティ) http://www.ipa.go.jp/security/ • 日経BP IT Pro http://itpro.nikkeibp.co.jp/ • アットマークIT http://www.atmarkit.co.jp/ • US-CERT Vulnerability Notes http://www.kb.cert.org/vuls/ • Japan Vulnerability Notes http://jvn.jp/ • JPCERT/CC http://www.jpcert.or.jp/ • Slashdot http://slashdot.jp/ • セキュリティホールメモ http://www.st.ryukoku.ac.jp/~kjm/security/memo/