close

Enter

Log in using OpenID

システムセキュリティ論5 - e-Learning of MML

embedDownload
11/16/2014
システムセキュリティ論5
インターネットのセキュリティとその他の問題点のまとめ
◎ セキュリティ(安全性)と利便性
セキュリティ(安全性)と利便性はシーソーの関係にある.利便性が良くなれば,必ず
セキュリティ(安全性)は低くなる.これを,セキュリティ(安全性)と利便性はトレー
ドオフの関係にあると言う.
例)自動車が普及して移動が便利になったが,交通事故が急増した.
インターネットは色々便利だが,危険性があることを忘れてはならない.先週学習した
ウィルスプログラムなどもその一例である.特にインターネットは匿名性,ボーダレス性,
アナキー性の高いメディアであることが問題.
現実社会で起こりうることはインターネットでも必ず起こる(よりスピーディに,よ
り広範囲に).
◎ 認証
パスワード認証
パスワードを暗号化して保存(DES, MD5)
パスワード認証の危険性(復習)
ネットワーク上をパスワードが流れる(telnet. ftp, httpのBasic認証)
無線LANでパスワードが洩れる(WEP)
辞書アタック
ブルートフォースアタック (John the ripper http://www.openwall.com/john/)
簡単なパスワード(ssh で代表的なアカウントで簡単なパスワードを試す)
ごみ漁り,直接聞き出す(ソーシャルエンジニアリング)
ショルダーハック
トロイの木馬?(パスワード入力の偽画面,キー入力を記憶して転送)
フィッシング
ファーミング
NIS, LDAP で(暗号化された)パスワードを転送
→ 設定によっては簡単なプログラムで盗聴可能?
バイオメトリクス認証
指紋,手のひら静脈,顔,瞳の虹彩
コスト高.不正確.標準化されていない.誤魔化す手法もある.
1
11/16/2014
◎ 電子メール
電子メールは葉書と同じ
簡単に第3者に内容を知られる.成りすましで偽名のメールを簡単に出せる.
対策: 公開鍵暗号の使用
ウィルスメール
ウィルスプログラムが添付されたメール
スパムメール
大量のダイレクトメール(宣伝用のメール)を送りつける.
メールボム
大量の巨大メールを送りつけて,個人の環境の麻痺(メールの保存用スプールが一杯に
なって,新規メールが受け取れなくなる)やメールサーバの機能をダウンさせる.
白紙の巨大な画像を圧縮して添付する等.
チェーンメール
ねずみ算式にメールが増えていく.不幸のメール.幸福のメール.善意によるメール.
デマメール.
サイバーストーカー
電子メールによるストーカー
携帯メール
出会い系サイト.メル友(相手は本当は誰なの?).
メールアドレスの売買
ロボットプログラムによるメールアドレスの収集.
WEBにメールアドレスを書かない.アドレスを変形させる.
会社からの顧客(個人)情報の流出.
◎ 携帯電話
ワン切り
暗証番号(簡単に解析可能.キャッシュカードと同じ場合は問題有り)
メモリーが残ったままの古い携帯電話が売られている
2
11/16/2014
◎ WWW,掲示板(BBS),SNS,Twitter
ねずみ講.違法行為.詐欺.個人販売のトラブル.
嘘,デマ,まやかし.あらし(串刺しによる掲示板荒し).
日本の匿名文化,
個人告発.腹いせ.誹謗中傷.暴露,SPAM, 便所の落書き?
自分の違法または道徳的に問題のある行為をUP,炎上
個人情報の流出(名前,写真,電話番号,住所).
懸賞サイト(個人情報の収集)
画像に情報を残したままUP (緯度経度,ファイル名)
設定ミス
アングラ.(自殺,殺人依頼,ポルノ,麻薬,薬物)
著作権無視(あるいは気がついていない場合)の画像提示
URLを指定してアクセスさせる(URLに情報が埋め込まれている)
ワンクリック詐欺(いまだにある)
フィッシング,ファーミング
HTTPS: 自己(オレオレ)証明書.一般ユーザからは暗号化しない方が安全に見える?
Extended Validation SSL証明書 (従来の証明書の立場は?)
◎ 不正コピー
ワレズ
アプリケーションの不正コピー.アプリケーションのキーコードの収集
不正防止対策 -> アクティベーション(正規ユーザにはものすごい迷惑).
音楽データのアップロードとダウンロード
違法アップロード(裁判になる例)
違法アップロードと知ってダウンロードするのも違法.
CD/DVD の不正コピー (コピープロテクトを解除しなければ合法?)
映画の VideoCD, DVD
最新の映画データがインターネット上にある?!
Winny, Bit Torrent など
P2Pによる違法ファイルコピー
接続IPは丸分かり
漫画,画像の炊き(自炊)
3
11/16/2014
◎ 不正アクセス
クラッカー
Webページの書き換え.システムの破壊.
ウィルスプログラムの作成と送りつけ.
データの盗聴,改ざん,成りすまし.
パスワード解析.バックドア.踏み台.ショルダーハック.
アプリケーションのバグによるセキュリティホール.
不正アクセス防止法(不正アクセスしただけで犯罪).
スクリプトキディ
他人のプログラムを使って面白半分に他者を攻撃.
攻撃ツール.セキュリティチェックツール.ウィルス作成ツール.
ハッカー
プログラムやインターネットのことを深く知るコンピュータの達人の尊称.
インターネットを作ってきた人たち.
無知なマスコミによりクラッカーと同一視される.
◎ ソーシャルエンジニアリング Social Engineering
コンピュータを騙すより人間を騙す方が簡単
振り込め詐欺,フィッシング等
4
11/16/2014
◎ 国家権力による統制
国家によるインターネットの支配.
暗号技術の独占(キーを政府と裁判所で半分づつ持つ).
国際盗聴網エシェロン.プリズム.
良いのか悪いのか?
◎ 情報格差
コンピュータ・インターネットを使えるものと使えない者の格差.
待遇や貧富,機会の格差.個人間の格差の他に,国家間,地域間の格差も指す
持てる者は益々裕福に,持たざる者は益々貧困に.
インターネットガバナンス問題
インターネットの南北問題
インターネットの管理権は?
DNSのトップサーバ(13台)は殆ど,アメリカ&ヨーロッパ(アジアでは唯
一日本に1台).
一つの国家でIPアドレスが 256個しかない国も.
国連の世界情報社会サミット(WSIS 2003-2005)
チュニジア ’05 11/16~11/18
チュニスアジェンダ:管理の仕組みについては現状を容認する
http://www.itu.int/wsis/
5
Author
Document
Category
Uncategorized
Views
2
File Size
478 KB
Tags
1/--pages
Report inappropriate content