Comments
Description
Transcript
知っておきたい 情報セキュリティーの話
いわき明星大学∼いわき市 大学等と地域の連携モデル創造事業 ITリーダ養成講座 第4回(12月8日)講義 知っておきたい 情報セキュリティーの話 あなたの情報は大丈夫ですか? いわき明星大学科学技術学部電子情報学科 中尾 剛 今日のお話の流れ あなたの情報は大丈夫ですか? 自宅からの情報流出 サーバからの情報流出 通信経路からの情報流出 電子メールのあまい罠 「便利」と「危険」は表裏一体 →IT社会の危険性を教えるのもITリーダの仕事 危険性を理解し、安全性を確保する インターネットでの情報流出 インターネット 通信経路からの流出 盗聴など クライアントコンピュータからの流出 スパイウェア、ボットなど サーバコンピュータからの流出 ハッキング、内部流出など 自分のコンピュータからの情報流出 勝手に入り込んで悪さをする ウイルス コントロール不能にしたり、データを破壊する スパイウェア ユーザの行動や個人情報などを収集する スパイウェアの作成元に送る ボット 攻撃者が用意したネットワークに接続して攻撃者からの指令を待つ 指令通りの処理を感染者のコンピュータ上で実行する (感染者のコンピュータが攻撃者の意のままに動く) 対策ソフトウェアをインストールする 怪しいサイト、怪しいソフトウェアはダウンロードしない 共用のコンピュータからの情報流出 図書館、インターネットカフェなど、 不特定多数のコンピュータ すでにウィルス、スパイウェアに感染している危険性がある? キーロガーなどが仕掛けられている危険性が高い? キーボードから入力した情報が記録される インターネットバンキングでの、URL、口座番号、パスワードが記録される 共用のパソコンからは、個人情報を入力するサイトは利用しない サイトが提供するソフトウェアキーボードなどを利用する 家庭の無線LANが不正使用される 無線LANはケーブルを引き回す必要がないので、 一般家庭にも多く普及している 購入したままの状態では、不特定多数の人に使われてしまう危険性が高い 数十m程度は電波が届いている 接続制限がされていない (自由に利用できる) 暗号化されていない 回線の不正利用 ID通知をしている フォルダの盗み見 (存在を広報) 盗聴される危険 無線LANの安全対策 暗号化 WEPなどで、通信そのものを暗号化してしまう 接続制限 MACアドレスなどで、接続できるパソコンを制限する SSID通知停止 SSIDを非通知にして、無線LAN基地局があることを隠す 少なくともこの3つを確認することが安全性を確保する上で重要! 家庭の電話からの情報流出 家庭用コードレスフォンからの情報流出 電波を使っているため半径100m程度の範囲で受信可能 第五十九条 何人も法律に別段の定めがある場合を除くほか、特定の相 手方に対して行われる無線通信(電気通信事業法第四条第一項 又は第 百六十四条第二項 の通信であるものを除く。第百九条並びに第百九条の 二第二項及び第三項において同じ。)を傍受してその存在若しくは内容を 漏らし、又はこれを窃用してはならない。 ちなみに罰則は 第百九条 無線局の取扱中に係る無線通信の秘密を漏らし、又は窃用した 者は、1年以下の懲役又は50万円以下の罰金に処する。 第百九条の二 暗号通信を傍受した者又は暗号通信を媒介する者であって 当該暗号通信を受信したものが、当該暗号通信の秘密を漏らし、又は窃用す る目的で、その内容を復元したときは、一年以下の懲役又は五十万円以下の 罰金に処する。 サーバからの情報流出 インターネット上のサーバから情報が漏れる原因 ・サーバがウィルスなどに感染 ・社員や技術者の内部漏洩 ユーザ側に効果的な対策はない (不必要な情報は送信しない) ・フィッシングサイトへの誤接続による流出 接続しようとしているサイトのURLを確認する 電子メールによるフィッシングサイトへの誘導が多い ので、ブラウザのブックマークから接続する 判断できない場合は、サーバ管理者へ必ず確認する 通信経路からの情報流出 そもそもインターネット(の前身)は、一般人は利用できなかった ・元々はアメリカの軍事用コンピュータのネットワーク ・大学などの研究機関のみが接続したネットワーク 1990年(日本では1992年)に、商用利用が可能になった ・利用者が爆発的に増えた ・商売、金融関係の情報が通信されるようになった 途中経路での盗聴、改ざんが可能になり、 動機(旨み?)ができた インターネットの接続形態 C研究所 ルータ 専用線 B会社 A大学 専用線とルータ(パケット交換機)で各組織のネットワークを 結んだ世界規模のネットワーク 途中の経路は動的に変化する 基本的な通信方法 利用者(クライアント)の要求(リクエスト)に対して、 サーバが返答(レスポンス)する インターネット 情報を要求 情報を送信 サーバコンピュータ クライアントコンピュータ (ホームページを送り出す コンピュータ) (ホームページをユーザが見る コンピュータ) データの盗み見 インターネットでは、目的のコンピュータまで様々な経路を 通るため、途中で盗聴(盗み見)されている危険性が高い 盗聴できる インターネット サーバコンピュータ クライアントコンピュータ (ホームページを送り出す コンピュータ) (ホームページをユーザが見る コンピュータ) 通信データの暗号化 サーバコンピュータとクライアントコンピュータ間で暗号化して 通信することにより途中では意味不明のデータとなる 通常のページ http:// 暗号化されたページ https:// https:// で始まり、ブラウザの右下に鍵の絵が出ている ページは暗号化して通信を行っているので盗聴される可能 性は極めて低い 電子メールの仕組みと盗聴 ③宛先アドレスを見て相手の メールサーバに送信 ④相手の私書箱に メッセージを保管 インターネット ①メッセージを書く ②メールサーバに送信 ⑤自分の私書箱から メッセージを取得 インターネット経路上での盗聴 受信サーバのファイルの盗み見(危険性は少ない?) メール受信 受けるユーザ側の メールサーバ POP (Post Office Protocol) という方式で通信される 受ける側 ユーザ名とパスワードが平文で通信される パスワードを暗号化するAPOP (Authenticated Post Office Protocol)を 用いる必要がある メール本文を含むPOP通信すべてを暗号化するPOP over SSLが安全で あるが、現時点で対応していないサーバがある GoogleなどのWebメールは、httpsで接続されているか確認する (ログイン時のみhttpsで接続し、メールの読み書きはhttpの場合がある) メールの危険性 電子メールは、インターネット上をSMTPという通信方法で配送リレーされる (Simple Mail Transfer Protocol:単純にメールを送信するだけ、平文) 盗聴以外にも、改ざんの危険性がある 電子メールを安全に使用するためには、PGPなどでメール本文を暗号化し、 メールサーバからメールを受信する場合は、APOPでパスワードを暗号化 する必要がある。 PGP : Pretty Good Privacy 暗号化ソフトウェア(無料) 公開鍵暗号方式 知らない人と安全に 通信するためには? 「公開鍵」と「秘密鍵」の2つ用意する 非公開 一般に公開 相手 I LOVE YOU B WUOT GUE 平文 暗号文 インターネット B WUOT GUE 暗号文 暗号化されているので 盗み見しても意味不明 公開鍵で暗号化したものは 公開鍵では元に戻せない I LOVE YOU 平文 デジタル署名 I LOVE YOU B WUOT GUE 平文 暗号文 インターネット 暗号化されているので 盗み見しても意味不明 相手 B WUOT GUE 暗号文 I LOVE YOU 平文 途中で改ざんされると元に戻らない →送信文が正しいことが確認できる 電子メールの罠 電子メールで、宣伝や詐欺の疑いがあるような情報が送られている 営利目的のダイレクトメールを無差別に大量配信されたメールをSPAMという 標的となるメールアドレスは、ホームページで公開されている電子 メールアドレスを収集したり、会員登録時などの情報が漏れたも ので、業者間で取引されている 「無料メニュー」とか「配信拒否」というリンクが付いているものが 多いが、決してクリックすることなく、無視するのが得策 (「配信停止要求」などを返信すると受信者がいることがわかり、逆効果となる) こんなメールは要注意 「無料でお試しできます」という甘い言葉(タダほど高くつく?)。 リンクをクリック後に表示される登録情報などいう項目にだまされ、 お金を払うように仕向けられる IPアドレスとは、インターネット上のアドレスであって、契約プロバイダが 情報を提供しない限り、通常は個人を特定されることはない http://pooh.iwakimu.ac.jp/itl/[email protected] 「?」から後ろは引数といって、サーバ渡される (接続した人が特定する情報かも知れない) ……/itl/pc-sagi-m2.php?ma=686f6765406977616b696d752e61632e6a70 自分の情報ではなさそうだから大丈夫? 符号化されて直接にはわからないようにしているだけ! 携帯電話の個体識別番号の罠 携帯電話には、固体識別番号が製造時に書き込まれる 個体識別番号や、携帯電話内のICカードの番号を読み出して、 あたかも個人を特定したことを装うサイトがある これらを用いると、携帯電話会社は契約者を特定できるが、 携帯電話会社が情報を公開しない限り、個人を特定すること はできない 安全に利用するための注意点 誰もが気軽に情報発信ができるようになったため 情報の信憑性と質の低下 情報の良し悪しを判断するのは受け手の判断 デマなど嘘の情報もありうる 匿名で情報発信が可能 新聞、TV、ラジオは報道に責任を持っている 誹謗中傷など情報発信者のマナーが問われる 詐欺などの犯罪に係わるサイトも多数ある 途中の通信経路が保障されない 善意のネットワークなので、どこを経由しているか不明 途中で盗聴されている可能性がある 必ず情報が伝わるとは限らない 情報セキュリティー関連サイト 総務省「国民のための情報セキュリティサイト」 http://www.soumu.go.jp/joho_tsusin/security/index.htm 警察庁「サイバー犯罪対策」 http://www.npa.go.jp/cyber/ 国民生活センター http://www.kokusen.go.jp/ (トップページ > 困った時のヒント > 消費者からの相談事例 > ネット・電話)