Comments
Description
Transcript
情報系のリスク回避・低減 - 化学工学会産学官連携センター SCE・Net
S07B04 H.YAMAZAKI 【リスクの回避と工学の役割】 情報系のリスク回避・低減 山 博 (化学工学会 SCE・Net) 1. 講義の目標 情報社会の到来と共に多くの新しいリスクが発生してきた。インターネットの人口普及率は 60% を超え、全体がカード社会に移行するなか、新たな手口のサイバー犯罪が年々増加し、企業活動 や市民生活で情報系リスクが拡大している。個人情報の流出防止、ネット社会の情報管理、サイ バーテロ対策など新しい工学的な手法が求められていることを解説する。 2. 講義概要 (1) 報化社会を取り巻くリスク 情報技術を利用する犯罪(サイバー犯罪)は急激に増加している。詐欺・悪質商法、インターネ ット・オークション、名誉既存・中傷、不正アクセス、迷惑メールなどにかかわるサイバー犯罪の検 挙件数や警察への相談受理件数はこのところ増加の一途にある。これらの情報システム絡みの 安全を脅かす事件や事故をインシデントと呼ぶ。 1.3 情報システムを取り巻くリスク 最近の例では、 1.クレジットカード情報の流出 米国カード情報会社の情報漏洩 管理・活動 インシデント(安全を脅かす事故・事件) 情報管理 情報漏洩 情報漏洩 2.顧客情報の流出 ネットワーク 価格コムのHPからの侵入、情報漏洩 3.フィッシング詐欺事件 企業活動 情報資産 サービス サービス 妨害 妨害 詐欺犯罪 詐欺犯罪 情報改竄(ざん) 情報改竄(ざん) 破壊 破壊 なりすまし 盗聴 なりすまし 盗聴 持ち出し 持ち出し 物理的破壊 物理的破壊 略奪 略奪 訴訟 訴訟 不正侵入 不正侵入 地震・自然災害 地震・自然災害 火災による消滅 火災による消滅 UFJ 銀行の偽 HP 4.ウイルス対策ソフトの更新ファイルの不具合発生 などが記憶に新しい。 また、「ネット上のオレオレ詐欺」 といわれるフィッシング詐欺は、Phishing の発音は釣りの Fishing と同じだが、巧妙な Sophisticated との造語で巧妙にユーザーの個人情報を釣りあげる 詐欺で、偽電子メールや偽造 Web サイトを使い、クレジットカード番号や ID、パスワード等を入力さ せ、その個人情報を元に金銭等を騙し取るという巧妙な詐欺犯罪で、フィッシングメールによる被 害額は米国では年間180万人で約12億ドルといわれている。 情報系のリスク回避・低減 Copyright© 山 博 1/3 S07B04 H.YAMAZAKI (2) コンピュータウイルス 情報セキュリティソフト大手のトレンドマイクロは一般ユーザーからウイルス検体を募集する「ウ イルスハンタープロジェクト」において、一年間に 2400 もの新種ウイルスに対応したとしている。 その中で、猛威を振るっているのが W32/Netsky(ネットスカイ)である。 このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行う。 感染すると、自分自身を Windows ディレクトリに services.exe としてコピーし、Windows の起動 時に必ずウイルスが実行されるように設定する。Netsky は、もともとは「Skynet AntiVirus」と呼ば れ、「Mydoom」や「Bagle」などのウイルスのセキュリティ・パッチ・ソフトとして作成された。Netsky はソースコードが公開されているため、亜種のウイルスが次々に発生する。 (3) 内部情報流出とリスク対策 ウェブ経由でダウンロードされた「トロイの木馬」、「バックドア」、「ワーム」、「スパイウエア」、 「Winny 関連」、「ワンクリックウェア」などは、コンピュータの内部情報を流出させる危険がある。イ ンターネットバンキングなどの被害が 2007 年第一四半期に 3 倍に急増しており、これらのウイル ス・スパイウエアは危険である。 「トロイの木馬」は、添付メールやプログラムに紛れて侵入するアプリケーションプログラムで、メ ールソフトの履歴にあるメールアドレスに自分と同じプログラムを送りつけるように仕組み、パスワ ードや暗証番号などを悪意の第三者に勝手に送信する。破壊目的でなく、情報を集めることが目 的のトロイの木馬は一種の「スパイウエ ア」である。 4.5 ハイブリッド方式での電文 (4) 暗号技術 他人に情報を知られないようにインタ 受信者の秘密鍵 受信者の公開鍵 受信者の公開鍵入手 ーネット上で情報をやり取りするのに、 ① 暗号技術が使われる。暗号技術にはと 暗号化 された 共通鍵 共通鍵 公開鍵暗号方式がある。 共 通 鍵 暗 号方 式 は 、 発 信 者 ( 暗 号 化)と受信者(復号)に同じ鍵を使う。発 平文 商品の 値段は △△円です ② 暗号文 ③ 011001011 100010111 100101001 暗号化 された 共通鍵 共通鍵 暗号文 ④ 011001011 100010111 100101001 平文 ⑤ 商品の 値段は △△円です 信者はあらかじめ何らかの方法で受信 者に共通鍵を渡しておく。欠点は相手が増えると、安全に鍵を送るのが困難な点にある。 公開鍵暗号方式では、発信者(暗号化:公開鍵を使用)と受信者(復号:秘密鍵を使用)が別の 鍵を使う。同時に生成される公開鍵と秘密鍵のうち公開鍵で暗号化し、秘密鍵で復号する。公開 鍵では復号化できない。欠点は処理が遅く、大量データの暗号化には不向きな点にある。 情報系のリスク回避・低減 Copyright© 山 博 2/3 S07B04 H.YAMAZAKI なお、暗号技術は両方式の欠点をカバーするように、共通鍵の受け渡しに公開鍵方式を用いて 共通鍵をやり取りし、共通鍵で平文の暗号化と復号化をおこなうハイブリッド鍵方式も多く用いら れている。 5.3 米国のサイバー演習 (5) サイバーテロとリスク対策 サイバーテロとは、コンピュータ・ 演習名 手法 概要 The Day After 机上演習 政府や大学など情報インフラ関係がサイバー攻撃 を受けた場合を想定。早期回復の戦略やそのため のシステム構築の必要性が指摘された。 Eligible Receiver 模擬攻撃 米国内の電力システム、国防省、CIAの情報システ ムに対するサイバー模擬攻撃を実施。電力系統網 に深刻な脆弱性が発見された。 データを破壊、改ざんするなどの Digital Pearl Harbor セミナー 形式 手段で国家又は社会の重要な基 Livewire 机上演習 経済的損失を目的とした攻撃想定。主要な通信サー ビスへの混乱検証。広範囲の停電により重要な有 線回線が不通になり修復作業に支障がでる。 ネットワークを通じて国防、治安、 電力、産業、金融など各種分野の コンピュータ・システムに侵入し、 盤を機能不全に陥れるテロ行為を 国家の重要インフラを抱えるIT責任者を招集しテロ リストの視点に立って様々なサイバーテロ攻撃を想 定し検証した。主要な4つの電力網を攻撃し、局所 的に停電を発生させうることが検証された。 出典:「電力重要インフラ防護演習に関する調査報告書」P.8 (IPA 2004) いい、ハイテク犯罪の中でも最も 甚大で深刻な被害を及ぼす危険性があると考えられる。 産業分野でも、従来クローズしていた電力プラントや化学プラントの運転制御システムが、電力 の自由化やサプライチェーン化などで、統合情報ネットワークの中のサブシステムへと移行してき ている。システムがオープン化し外部ネットワークとの接点が広がると、インターネット経由の不正 アクセスやコンピュータウイルス、さらにはサイバーテロの標的になる危険性が高まる。 ここでは、 ・米国の電力網システムの脆弱性についての、システムがオープン化されることの危険性しつい て ・米国のサイバーテロ演習 ・プラント・ネットワーク・セキュリティについて概説する。 (6) まとめ インターネットの人口普及率は 60%を超え、全体がカード社会に移行するなか、新たな手口のサ イバー犯罪が年々増加し、企業活動や市民生活で情報系リスクが拡大している。パソコンの盗難、 ホームページサーバーへの攻撃、クレジットカード情報の大量流出など事件が多発。サイバー犯 罪も愉快犯から金目当ての確信犯へ。また、様々な攻撃ツールがネットで流通している。 利便性と効率を追求してきた情報化社会への新たな脅威に対して、情報系リスクを回避・低減 する社会システム、法制度整備、技術開発、リスク教育など広い対応が強く求められる。基盤とな る認証技術、暗号技術なども重要である。 さらに、国民生活や社会生活を支える国防、金融、産業、交通などの重要インフラへの機能不 全、破壊を狙ったサイバーテロの脅威も懸念され、国家レベルの対策が求められる。 情報系のリスク回避・低減 Copyright© 山 博 3/3