11/16/2014 システムセキュリティ論５インターネットのセキュリティとその他の問題点のまとめ ◎ セキュリティ（安全性）と利便性セキュリティ（安全性）と利便性はシーソーの関係にある．利便性が良くなれば，必ずセキュリティ（安全性）は低くなる．これを，セキュリティ（安全性）と利便性はトレードオフの関係にあると言う．例）自動車が普及して移動が便利になったが，交通事故が急増した．インターネットは色々便利だが，危険性があることを忘れてはならない．先週学習したウィルスプログラムなどもその一例である．特にインターネットは匿名性，ボーダレス性，アナキー性の高いメディアであることが問題．現実社会で起こりうることはインターネットでも必ず起こる（よりスピーディに，より広範囲に）． ◎ 認証パスワード認証パスワードを暗号化して保存（DES, MD5）パスワード認証の危険性（復習）ネットワーク上をパスワードが流れる（telnet. ftp, httpのBasic認証）無線LANでパスワードが洩れる（WEP）辞書アタックブルートフォースアタック (John the ripper http://www.openwall.com/john/) 簡単なパスワード（ssh で代表的なアカウントで簡単なパスワードを試す）ごみ漁り，直接聞き出す（ソーシャルエンジニアリング）ショルダーハックトロイの木馬?（パスワード入力の偽画面，キー入力を記憶して転送）フィッシングファーミング NIS, LDAP で（暗号化された）パスワードを転送 → 設定によっては簡単なプログラムで盗聴可能？バイオメトリクス認証指紋，手のひら静脈，顔，瞳の虹彩コスト高．不正確．標準化されていない．誤魔化す手法もある． 1 11/16/2014 ◎ 電子メール電子メールは葉書と同じ簡単に第３者に内容を知られる．成りすましで偽名のメールを簡単に出せる．対策: 公開鍵暗号の使用ウィルスメールウィルスプログラムが添付されたメールスパムメール大量のダイレクトメール（宣伝用のメール）を送りつける．メールボム大量の巨大メールを送りつけて，個人の環境の麻痺（メールの保存用スプールが一杯になって，新規メールが受け取れなくなる）やメールサーバの機能をダウンさせる．白紙の巨大な画像を圧縮して添付する等．チェーンメールねずみ算式にメールが増えていく．不幸のメール．幸福のメール．善意によるメール．デマメール．サイバーストーカー電子メールによるストーカー携帯メール出会い系サイト．メル友（相手は本当は誰なの？）．メールアドレスの売買ロボットプログラムによるメールアドレスの収集． WEBにメールアドレスを書かない．アドレスを変形させる．会社からの顧客（個人）情報の流出． ◎ 携帯電話ワン切り暗証番号（簡単に解析可能．キャッシュカードと同じ場合は問題有り）メモリーが残ったままの古い携帯電話が売られている 2 11/16/2014 ◎ WWW，掲示板（BBS），SNS，Twitter ねずみ講．違法行為．詐欺．個人販売のトラブル．嘘，デマ，まやかし．あらし（串刺しによる掲示板荒し）．日本の匿名文化，個人告発．腹いせ．誹謗中傷．暴露，SPAM, 便所の落書き？自分の違法または道徳的に問題のある行為をUP，炎上個人情報の流出（名前，写真，電話番号，住所）．懸賞サイト（個人情報の収集）画像に情報を残したままUP (緯度経度，ファイル名) 設定ミスアングラ．（自殺，殺人依頼，ポルノ，麻薬，薬物）著作権無視（あるいは気がついていない場合）の画像提示 URLを指定してアクセスさせる（URLに情報が埋め込まれている）ワンクリック詐欺（いまだにある）フィッシング，ファーミング HTTPS: 自己（オレオレ）証明書．一般ユーザからは暗号化しない方が安全に見える？ Extended Validation SSL証明書（従来の証明書の立場は？） ◎ 不正コピーワレズアプリケーションの不正コピー．アプリケーションのキーコードの収集不正防止対策 -> アクティベーション（正規ユーザにはものすごい迷惑）．音楽データのアップロードとダウンロード違法アップロード（裁判になる例）違法アップロードと知ってダウンロードするのも違法． CD/DVD の不正コピー（コピープロテクトを解除しなければ合法?）映画の VideoCD, DVD 最新の映画データがインターネット上にある？！ Winny, Bit Torrent など P2Pによる違法ファイルコピー接続IPは丸分かり漫画，画像の炊き（自炊） 3 11/16/2014 ◎ 不正アクセスクラッカーＷｅｂページの書き換え．システムの破壊．ウィルスプログラムの作成と送りつけ．データの盗聴，改ざん，成りすまし．パスワード解析．バックドア．踏み台．ショルダーハック．アプリケーションのバグによるセキュリティホール．不正アクセス防止法（不正アクセスしただけで犯罪）．スクリプトキディ他人のプログラムを使って面白半分に他者を攻撃．攻撃ツール．セキュリティチェックツール．ウィルス作成ツール．ハッカープログラムやインターネットのことを深く知るコンピュータの達人の尊称．インターネットを作ってきた人たち．無知なマスコミによりクラッカーと同一視される． ◎ ソーシャルエンジニアリング Social Engineering コンピュータを騙すより人間を騙す方が簡単振り込め詐欺，フィッシング等 4 11/16/2014 ◎ 国家権力による統制国家によるインターネットの支配．暗号技術の独占（キーを政府と裁判所で半分づつ持つ）．国際盗聴網エシェロン．プリズム．良いのか悪いのか？ ◎ 情報格差コンピュータ・インターネットを使えるものと使えない者の格差．待遇や貧富，機会の格差．個人間の格差の他に，国家間，地域間の格差も指す持てる者は益々裕福に，持たざる者は益々貧困に．インターネットガバナンス問題インターネットの南北問題インターネットの管理権は？ DNSのトップサーバ（13台）は殆ど，アメリカ＆ヨーロッパ（アジアでは唯一日本に1台）．一つの国家でIPアドレスが 256個しかない国も．国連の世界情報社会サミット（WSIS 2003-2005）チュニジア ’05 11/16～11/18 チュニスアジェンダ：管理の仕組みについては現状を容認する http://www.itu.int/wsis/ 5