サイバーセキュリティ概論 ~便利と脅威~ 平山 敏弘 2016 年 5 月 9日 目次 はじめに 1.就業観・職業観・キャリアパス 2.なぜセキュリティを学ぶ必要がある? 3.インターネットの発展とWebシステム概説 4.クロスサイトにまたがるサイバーセキュリティ脅威 5.暗号化と認証 6.自分の身の回りでも気をつけよう 7.ITの現状と未来予測そしてセキュリティの重要性 8. Q&A Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 2 1.就業観・職業観・キャリアパス Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 3 1.1 JEITA講座 IT最前線とは 【背景と目的】 通常の寄附講座とは異なり、一般社団法人 電子情報技術産業協 会(JEITA:Japan Electronics and Information Technology Industries Association)講座では技術そのものではなく「技術の面 白さ」を伝えることによって、学生が大学時代に何を学んだらよいか 気づきを与えるとともに、電子・情報産業の業界で働くことの楽しさ や意義を理解してもらうことを狙いとしました。そのため、講座の趣 旨・目的を次のように設定しています。 企業の第一線で活躍する技術者・研究者が、企画・研究・開発・設 計など実際に体験したことを中心に講義し、その中で、産業界が必 要としている人材像、技術者としての姿勢、創造の厳しさ・喜びなど を自らのことばで直接学生に伝え、交流を図ることによって、高度 化・多様化する産業界で将来活躍できる人材を育成すること。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 4 Thinking Time #1(あなたは何のために?) 1.2 やりがい・モチベーションアップ 皆さんは、 何のために勉強? 何のために研究? Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 5 1.2 やりがい・モチベーションアップ 皆さんは、 何のために勉強? 何のために研究? 人に感謝される事がモチベーションアップに有効 ⇒やりがい Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 6 1.3 内発的モチベーション ~モチベーション3.0 ダニエル・ピンク著 『モチベーション3.0』 社会にも基本ソフト(Operating System)が組み込まれており、モチ ベーション自体も基本ソフトの一つと考え、変遷をバージョンアップで 表現している。 モチベーション 3.0 ・人間には、学びたい、創造したい、世界をよくしたいという 第三の動機づけ。 内発的動因(第三の動機づけ) ・今までの信賞必罰とは異なり、内面から湧き出るやる気 に基づいている。 モチベーション 2.0 ・報酬を求める一方、罰を避けたいという第二の動機づけ。 外発的動因(信賞必罰) モチベーション 1.0 生理的動因(睡眠欲、食欲、排泄欲) ・ビジネスに多く適用されている。 ・人間が生命を維持するための欲求。 ・アブラハム・マズローの唱える欲求段階説の最も低次の 欲求。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 7 1.4 就業観・職業観・キャリアパス 社会や今までの商習慣に変化を与え、 人々の暮らしに影響を与える ITは、そんな社会の変化に携わることが できる仕事です Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 8 1.5 こんな世界はもうすぐ IBMコグニティブ・コンピューティングの未来 https://www.youtube.com/watch?v=tKE4Mxsg2y0&cm_mc_uid=79766885400214611443535&cm_mc_sid_50200000=1461226571 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 9 2.なぜセキュリティを学ぶ必要がある? Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 10 2.1 セキュリティ技術者が大幅に足りない? IPAの試算によれば、 国内のユーザー企 業において、情報セ キュリティ人材は大 幅に不足(約8万人 の不足)。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 11 2.2 セキュリティの専門家が足りないわけではない? 特に情報関連以外 の製造業や卸売 業・小売業、医療・ 福祉等のユーザ業 種における人材不 足が顕著。 出典 http://www.meti.go.jp/committee/sankoushin/ shojo/johokeizai/it_jinzai_wg/pdf/002_03_00 .pdf Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 12 2.3 今後必要となるセキュリティ人材像とは? ①ホワイトハッカーのような高度セキュリティ技術者 ②安全な情報システムを作るために必要なセキュリティ技術を身につけた人材 今後必要となるセキュリティ人材は、 ③ユーザー企業において、社内セキュリティ技術者と連携して企業の情報セキュ リティ確保を管理する人材。 平成27年3月 経済産業省情報処理振興課「情報セキュリティ分野の人材ニーズについて」より抜粋 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 13 2.4 情報系教育の新しい潮流 「デザイン学」 その領域でもITが絡む、そこにはセキュリティ 現代社会における問題や課題を解決するには、ひとつの領域ではなく、各専門領域を結 びつける必要がある。その取り組みをデザイン学という。現代社会では、IT はすべての分 野に存在しており、切り離すことは不可能であり、様々な専門領域を結びつけるとき、情報 学は必須の要素と言える。 出典:「IT人材白書2015」より 【デザイン学における情報学の位置づけのイメージ】 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 14 3.インターネットの発展とWebシステム概説 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 15 3.1 インターネットと携帯電話の発展 さらにIoTの世界へ 発展する事により、いろいろ 問題も発生してきている 携帯電話(SNS) SNS利用 PC→携帯 携帯電話(スマホ) SNS(PC利用) 一般社会 への浸透 商用インターネット(BtoC) 携帯電話(メール) 2000年頃 ~ 商用インターネット(BtoB) ブロードバ 1995年頃~ WWW一般利用 1991年 1983年 TCP/IP 商用に 軍事用 開放 携帯電話(通話) から分離 ンドの普及 インターネッ トの普及 PC(1台3役) NW接続 1969年 4台でスタート Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 16 3.2 Webシステム接続構成概要 センター側 商品購入の処理やユーザ ー情報の登録など商取引を 実現する重要データを保管 重要情報 DBサーバー アプリサーバー 基本情報 Webサーバー IPアドレス ユーザー側 192.x.x.x 80 443 重要情報は 「DMZ」には置かない 9.x.x.x Web ブラウザー ポート コネクション 重要情報は 「https」で暗号化 1234 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 17 3.3 インターネットが流行った理由 QoSネットワークからベストエフォートサービスへ 電話回線の延長から、大容量データの転送も実現 交換機ネットワークをベースにTCP/IPネットワークを実現 ⇒ATM(Asynchronous Transfer Mode:非同期転送モード ) は、 音声、画像、データを [ 53バイト ] の固定長セル ( ATMセル)とし て伝送する方式。このATMセルは、5バイトのヘッダーと48バイト のデータから構成される。 ATM 1セル ヘッダー5byte 5byte 48byte 5byte 48byte ペイロード(データ部分)48byte 5byte 48byte 5byte 48byte 5byte 48byte QoS(Quality Of Service)を保障するギャランティ型サービスであり、 帯域保証のため高価格であった Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 18 3.4 電話回線ネットワークからベストエフォートサービスへ ベストエフォート型でよいので安価なネットワークへ ベスト・エフォートという言葉自体は、国内で一般に広く使われる ようになったのは1996年以降のことで、インターネット接続サービ ス「OCN」の仕様を、NTT(当時)が説明するために使ったとされる。 OCNは、当時としては破格の安さでインターネットへの接続を提 供するサービだった。その秘密は、多くのユーザーで回線を共有 する構成にあった。 帯域 100M 帯域 100M 100Mppsが占有 100Mppsを共有 100Mppsを共有 100Mppsを共有 今では当たり前のことだが、OCNがスタートした当時はこうし た考え方自体が画期的であった。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 19 4.クロスサイトにまたがる サイバーセキュリティ脅威 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 20 4.1 Webの脆弱性の脅威別内訳 XSS・DNS関連・SQLインジェクションで全体の83%を占めている *件数は、2004年7月からの累計 ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第4四半期(10月~12月)] 出展:https://www.ipa.go.jp/files/000050439.pdf Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 21 4.2 クロスサイト・スクリプティング(XSS) • 現象 – 攻撃者が作成したスクリプトを、脆弱なWebサイトを介して他のユーザのブラ ウザ上で実行させる(最近のWebではPC側からも情報が盗まれてしまう) 脆弱サイト 攻撃者サイト ② ここをクリック ① https://脆弱サイト/ <script>悪意スクリプト</script>” スクリプト実行! Cokkieの漏えいなど • 対策 – 入力値チェック – サニタイジング ③ スクリプトを 排除しない 脆弱Webサイト ① 悪意のあるスクリプトがしかけられた ページにアクセスし、無意識にクリック ② 脆弱サイトにスクリプトを含んでアクセス ③ スクリプトを含んだページがブラウザに 表示され、スクリプトが実行される ⇒想定している文字列かどうかをチェック ⇒特殊文字(「<」など)を置き換え、無害化 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 22 4.3 クロスサイト・リクエストフォージェリ (CSRF:Cross-Site Request Forgeries) • 現象 – 比較的最近注目されている新しいタイプの攻撃。Webアプリケーションの認 証セッション管理の脆弱性を悪用する。例えば、Webサイトにスクリプトや HTTPダイレクト(自動転送)を仕込むことによって、別のWebサイト上で何ら かの操作を行わせる ⇒勝手に買い物をさせられる、勝手に振り込むなど 脆弱サイト 攻撃者サイト 30万円 ここをクリック リダイレクト させる 攻撃者が悪意 あるスクリプトを 埋め込む • 注文完了 無意識に クリック 1クリックで 注文完了! 対策 – 正規の手順を踏んで、正しい画面遷移で来たかを管理する。また処理確定の際には、 ユーザーに確認処理をさせるなどのなりすまし防止策が必要 ⇒1クリックで処理が完了するようなサイトを作成しない Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 23 4.4 SQLインジェクション 脅威例 • 現象 ユーザ入力を使用してSQL文を発行しているアプリケーションに 対して、不正な入力が与えられることにより、意図しないSQL文が 発行される • 対策 – 入力値チェック ユーザID dummy パスワード ’OR ’A’=’A 実行 ログオン SELECT * FROM user WHERE userid=’dummy’ AND password=’ ’OR ’A’=’A’ userテーブルの 全てを閲覧可能 – 準備済みSQL文の使用 ⇒SQL文はサーバー側で用意する SELECT * FROM user WHERE userid = ? AND password = ? Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 24 4.5 SQLインジェクション 演習デモ http://localhost/main.php?scenario=Scenario108&stage=stage3 正しい ID:yamada PASS:P@ssword わからなくても ID:dummy PASS:’OR’A’=’A Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 25 4.6 クロスサイト・リクエストフォージェリ 2012年10月 事件例 トロイではなくJavaScriptのクロスサイトリクエストフォージェリ「頭 に置いてなかった」 誤認逮捕で県警、誘導は明言避ける 遠隔操作「頭に置いてなかった」 神奈川県警、誘導は明言避ける 誤認逮捕した少年(19)に20日、捜査ミスを認め謝罪した神奈川県警。真犯 人に欺かれ、 少年と家族に計り知れない苦しみを与えた捜査経過を幹部らが 報道陣に説明した。 小学校への襲撃予告がわずか2秒間で横浜市のホーム ページに書き込まれていた点について、 幹部は「捜査段階で疑問を抱いていた のは事実」と話し、捜査を尽くさなかったことを認めた。 真犯人が仕掛けた、予 告文を自動送信するプログラムは 「サーバーから削除されていて見つけられな かった。存在を頭に置いて解析できなかった」と釈明した。 産経新聞 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 26 4.7 クロスサイト・リクエストフォージェリ 書き込みの流れと手口 犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。 1:真犯人がCSRF脆弱性のあるサイトを探す CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横浜市の掲示 板はCSRF脆弱性を持っていた(現在は対策済み)。 2:CSRF脆弱性を攻撃するページを作成 真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対象の掲示板・ SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。 3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む 真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事件では、ソフト ウエアのダウンロードリンクとして書き込まれたようだ。 4:被害者がリンクをクリックしてしまう 被害者がリンクをクリックし、攻撃用ページを開いてしまう。 5:対象の掲示板・SNSに勝手にメッセージが書き込まれる 開いただけで別のサイト(この場合は横浜市へのホームページ)への書き込みが行われる。被害者が 気づく可能性はほとんどない。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 27 4.7 クロスサイト・リクエストフォージェリ 書き込みの流れと手口 (2) 犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。 1:真犯人がCSRF脆弱性のあるサイトを探す CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横浜市の掲示 板はCSRF脆弱性を持っていた(現在は対策済み)。 2:CSRF脆弱性を攻撃するページを作成 ③2ちゃんねる ②独自サイト 真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対象の掲示板・ 攻撃ページ ここをクリック SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。 リダイレクト ④無意識にク 攻撃者が悪意 3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む させる リック あるスクリプトを 真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事件では、ソフト 埋め込む ウエアのダウンロードリンクとして書き込まれたようだ。 ⑤横浜市 4:被害者がリンクをクリックしてしまう HP 被害者がリンクをクリックし、攻撃用ページを開いてしまう。 ①脆弱性のある 自動的に殺害予告 サイトを探す 5:対象の掲示板・SNSに勝手にメッセージが書き込まれる メッセージの書き込 み完了! 開いただけで別のサイト(この場合は横浜市へのホームページ)への書き込みが行われる。被害者が 気づく可能性はほとんどない。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 28 4.7 クロスサイト・リクエストフォージェリ 書き込みの流れと手口 (2) 犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。 1:真犯人がCSRF脆弱性のあるサイトを探す 「威力業務妨害」 CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横浜市の掲示 板はCSRF脆弱性を持っていた(現在は対策済み)。 ②独自サイト 裁判長は「被告は国家権力に対する個人的な恨みから、 2:CSRF脆弱性を攻撃するページを作成 ③2ちゃんねる 無実の人を誤認逮捕させることで捜査機関を出し抜こうと考 真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対象の掲示板・ 攻撃ページ ここをクリック SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。 えた。無関係な第三者の人生に与える影響を顧みない自己 リダイレクト ④無意識にク 攻撃者が悪意 中心的な犯行に全く酌むべき点がない。保釈中にも真犯人 3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む させる リック あるスクリプトを を名乗る自作自演のメールを送るなどサイバー犯罪の中で 真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事件では、ソフト 埋め込む ウエアのダウンロードリンクとして書き込まれたようだ。 も悪質だ」と指摘して被告に懲役8年を言い渡しました。 ⑤横浜市 4:被害者がリンクをクリックしてしまう HP *威力業務妨害・・・威力を用いて人の業務を妨害すること。この場合の 被害者がリンクをクリックし、攻撃用ページを開いてしまう。 ①脆弱性のある 自動的に殺害予告 「威力」とは、直接的、有形的な方法であり、具体的な暴力その他よりも サイトを探す 5:対象の掲示板・SNSに勝手にメッセージが書き込まれる メッセージの書き込 軽微と言える文書・インターネットなどによる犯罪予告も含まれる。 み完了! 開いただけで別のサイト(この場合は横浜市へのホームページ)への書き込みが行われる。被害者が 気づく可能性はほとんどない。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 29 Thinking Time #2 身の回りで見たり・聞いたり ・発生したりした問題 どんなものがありますか? Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 30 5.暗号化と認証 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 31 5.1 HTTPとは 1) HTTP HTTP は HTML (HyperText Markup Language) や XML (Extensible Markup Language) によって記述されたハイパー テキストを転送することを主な目的としています。画像、音声 などの様々なデータを送ることができます。 HTTP はリクエスト-レスポンス型のプロトコルです。すなわ ち、クライアントがサーバにリクエストメッセージを送信し、 サーバーがこれにレスポンスメッセージを返します。標準の ポート番号は80を使用しています。 http://www.u-tokyo.ac.jp/は、東京大学のwwwサーバー上 のhttpポートである80番ポートとコネクションを確立し、通信を 行うことを意味します。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 32 5.2 HTTP画面例 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 33 5.3 HTTPSとは 2) HTTPS HTTP over SSL/TLSは、メッセージを平文のままで送受信 するHTTPと異なり、メッセージの暗号化、セッション管理を行 うことによって、盗聴やなりすましによる攻撃からの保護を行 ないます。標準のポート番号は443を使用しています。 Secure Sockets Layer(セキュアソケットレイヤー、SSL)は、 セキュリティーを要求される通信のためのプロトコルです。 https://www.xxx.co.jp/は、xxxのwwwサーバーと暗号化を 用いてhttpsポートである443番ポートとコネクションを確立し、 通信を行うことを意味します。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 34 5.4 HTTPS画面例 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 35 5.5 認証の種類 基本認証 (ログイン) フォーム認証 (クッキー使用) X.509証明書 (暗号化) Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 36 5.6 基本認証 1. セキュリティで保護されたページのリンクをクリック GET http://server/restricted.html 2.サーバーはアクセス許可を検査し、要求を拒否 Status 401 Realm “Private” 3.ユーザー名とパスワードを入力 ブラウザーにキャッシュ 暗号化されない 4.ブラウザーはヘッダーにユーザー名とパスワードを含め要求を再送 GET http://server/restricted.html Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 37 5.7 フォーム認証(セッションベース認証) 1.ユーザーがセキュリティで保護されたページのリンクをクリック GET http://server/restricted.html 2.サーバーはアクセス許可を検査し、 ログイン・フォームを送信 Status 200 “OK” 3.フォームにユーザー名とパスワードを入力 ・ブラウザを停止することなく ログアウト可能 暗号化されない 4.クッキーに認証済み証明書 ユーザー認証/セッション生成/セッションID発行 クッキー送信、資源の送信 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 38 参考 暗号化していないと丸見え IDとパスワード を⼊⼒ ⾒える ⾒える Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 39 5.8 秘密鍵と公開鍵 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 40 5.9 X.509証明書(デジタル証明書)の仕組み Webサーバー 認証局 ② ① Webサーバー 公開鍵 電子証明書 ③ 認証局公開鍵 Webサーバー公開鍵 ④ ①Webサーバーは秘密鍵と公開鍵を作成 ②その公開鍵を認証局へ送る ⑤ ③認証局デジタル証明書を発行 ④Aさんは、Webサーバーへ証明書の送付を依頼 ⑦ ⑤WebサーバーはAさんに公開鍵証明書を送付 ⑥認証局へ証明書が正しいか確認 ⑦サーバーの公開鍵を認証局の公開鍵で複合し 入手 クライアント ⑥ Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 41 5.10 証明書 • サーバ側 – 信頼できる認証局からサーバ証明書(サーバの公開鍵+認証局のデジタル署名) と秘密鍵を取得し、サーバに設定する • クライアント側 – Webサーバには、複数の認証局の証明書(認証局の公開鍵)が設定されている – 信頼できる認証局からクライアント証明書(クライアントの公開鍵+認証局のデジタ ル署名)を取得し、Webブラウザに設定する Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 42 6.自分の身の回りでも気をつけよう Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 43 6.1 ハッキングでの「車乗っ取り」が簡単な理由 ロイターコラム2015年9月18日版http://jp.reuters.com/article/column-car-hack-idJPKCN0RI04920150918?pageNumber=1 ワイアード誌のアンディー・グリーンバーグ記者はこの夏、自分の「ジープ ・チェロキー」が運転中にハッカーに乗っ取られることが可能であることを実 証した実験について記事を書き、話題を呼んだ。 実験とはいえ、勝手に車のワイパーが作動したり、ラジオからひどい音楽 が大音量で流れたり、エンジンが止まったりという数々のハッカーによる仕 業にグリーンバーグ氏は驚きを隠さない。 大半の自動車は「CAN」と呼ばれる比較的原始的な車載ネットワークで 動いている。CANはイグニッション(点火)やステアリング、アンチロック・ブ レーキなどを制御する高度なシステムを含むあらゆる複雑な操作をコントロ ールする。 しかし、多くのメーカーのハッキング対策はお粗末である ことが判明した。最も危険なのは、ブレーキやエンジン、トラ ンスミッションを制御するCANがハッキングされることだ。 CANに侵入するには大抵、ダッシュボードなどから電子 システムに物理的にアクセスする必要があるが、ブルートゥ ースやWiFiを介して侵入可能になってきている。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 44 6.2 ⽶国の無⼈偵察機はイランのサイバー攻撃で 落とされた? 参照:日系ビジネス ONLINE 2011年12⽉16⽇版 イラン国営テレビに登場したイラン⾰命防衛隊のAmir Ali Hajizadeh准将はこう述べて、イラン軍が「洗練されたサイバー 攻撃」を使って⽶国の無⼈機をほぼ無傷のまま落とした、という 信じ難い説明を得意げにしてみせた。 「この無⼈機は、⾮常に⾼度な偵察、 データ収集、電⼦通信やレーダーシステム を搭載している」 と同准将は続けて述べ、この極秘情報とハイテクシステム満載 の最新兵器を⼿にしたことの重要性を強調した。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 45 6.3 イランの原子力発電所にハッキング? 参照:TheNewYorkTimes 『NY Times』は2012年6月1日 付記事で、「Stuxnetは、米国とイ スラエルの両政府が開発し、実 際に使用したとしている。このウ イルスの目的は、イランの核施 設における遠心分離機を破壊す ることであり、そのため、遠心分 離機の回転速度に関わる制御シ ステムに特定のコマンドを出した という。」 Stuxnetは、電気やガス、水道 といった社会インフラのシステム 、また、工場の生産管理システ ムなどに海外で広く導入されて いる「SCADA」システムの不正 操作を狙ったコンピュータウィル スと言われている。 http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-ofcyberattacks-against-iran.html?pagewanted=2&_r=2&seid=auto&smid=twnytimespolitics&pagewanted=all& Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 46 6.4 ICチップにバックドア 参照:http://www.theguardian.com/technology/2012/may/29/cyber-attack-concerns-boeing-chip Boeing 787 chip's 'back door‘ B787にも使われているチップにバックドアが存在していた ことが研究者により発見された Actel社のProASIC3というチップに 格納されているデータはAESで暗 号化されている。 本来AESの鍵がなければデータは 読み出せないが、暗号鍵をもたなく ても、このデータを読み出す手段が あった(back door) Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 47 6.5 PCを狙った攻撃 広告表示でマルウェアに感染(1) ネット広告を表示しただけでPC がマルウェアに感染 http://www.yomiuri.co.jp/science/goshinjyutsu/20151016-OYT8T50148.html http://www.yomiuri.co.jp/science/goshinjyutsu/20151002-OYT8T50139.html Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 48 6.5 PCを狙った攻撃 広告表示でマルウェアに感染(2) Webページを見ただけでマルウェアに感染 ~ドライブ・バイ・ダウンロード攻撃~ Step0: 攻撃準備 Step1: 誘導 Step2: 感染 Step3:別システム 侵入 ③ Webサイトの不正コ ードにより攻撃用サ イトへ誘導される ① 不正な広告を 配信 不正な広告を表示 ④ 攻撃用サイトからクライ アントFlashの脆弱性を 悪用され、マルウェアを 自動ダウンロード・自動 実行し感染 ② 公開サーバー の脆弱性を悪用 して侵入 ⑤ 最終目的の遂行 ・目標システムからの 情報窃取 ・システム破壊 ・別組織への侵入 (別組織へ①を実行) 攻撃用不正 Webサイト Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 49 6.5 PCを狙った攻撃 広告表示でマルウェアに感染(3) ドライブ・バイ・ダウンロード攻撃は約3倍に増加 • Webサイト閲覧を通じてマルウェアに感染させるドライブ・バイ・ダウンロード攻 撃は、Adobe Flash Player の脆弱性が多数公開された影響もあり、 2014年下半期と比較して約3倍に増加 • 2015年に検知されたドライブ・バイ・ダウンロードの 90% 以上が Adobe Flash Player の脆弱性を使用していた。 ドライブ・バイ・ダウンロード攻撃の月別検知数推移(日本国内) (Tokyo SOC調べ:2012年7月1日~2015年7月31日) ドライブ・バイ・ダウンロード攻撃で悪用された脆弱性の割合(日本国内) (Tokyo SOC調べ:2015年1月1日~2015年6月30日) Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 50 6.6 PCを狙った攻撃 添付ファイルの形式 検知された不正な添付ファイルの形式別の割合 ・圧縮形式ファイル ZIP形式が引き続き多数を占めてい る。展開後のファイルは実行形式ファ イルであることが多く、「exe」と「scr」が ほとんどを占めている。 ・非圧縮形式ファイル 主にWord形式ファイルが 多数を占めている。その他 のファイルとしてはExcel形 式やリッチテキスト形式 (rtf)を確認している。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 51 6.7 PCを狙った攻撃 不正なマクロを実行することで感染 メールに添付されていた不正なマクロを実行することで感染するマルウェア IBM Tokyo SOC調べ:2015年7月1日~2015年12月31日 1位、2位のDRIDEX、 BARTALEXはオンライン バンキングのアカウントを 盗み出すことを主の目的と した金融マルウェアです。 メールの送信先を調査す ると、送信者はグループで 活動しており、また複数の グループが存在しているこ とがわかっています。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 52 6.8 PCを狙った攻撃 PCを狙った攻撃の仕組み概要 PCをマルウェア感染させるための主な手法は、不正なWebサーバーに誘導する (ドライブ・バイ・ダウンロード)手法か、メールの添付ファイルを開かせる手法の いづれかに分かれる Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 53 6.9 監視カメラなど15万台、サイバー攻撃踏み台に 出典:YOMIURIONLINE http://www.yomiuri.co.jp/science/20160321-OYT1T50001.html インターネットにつながる世界中の監視カメラや火災報知機などのIoT機器約15 万台がウイルスに感染し、サイバー攻撃の「踏み台」となっていることが分かった。 横浜国立大の吉岡克成准教授の研究室は 昨年4~7月、同大のネットワークへ約90 万回のサイバー攻撃を確認した。その通信 元を調べた結果、中国やトルコ、ロシアなど 世界各国の火災報知機やIP電話、ビルの 空調制御システムなど、361種類のIoT機 器約15万台だったことが判明した。こうした 機器は、外部の第三者によるサイバー攻撃 が経由する「踏み台」になっており、大量の データを送りつけるDDoS攻撃や、ウイル スのばらまきに悪用されていたとみられる。 侵入検知システムなどのセキュリティー対 策の機器が踏み台になっているケースもあ った。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 54 6.10 自分がDDoS踏み台に? 簡単セルフチェック例 参照:http://www.atmarkit.co.jp/ait/articles/0506/14/news113_2.html Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 55 6.11 国際間の法律に絡む話 サイバー犯罪条約:インターネットでの犯罪等に関しての対応を取り決めた国 際条約。正式名称はサイバー犯罪に関する条約(英語:Convention on Cybercrime)。日本おいては、2012年11月1日にやっと効力が生じることとなった。 平成13年11月 8日 平成13年11月23日 平成16年 4月21日 平成24年 7月 4日 平成24年11月 1日 ストラスブールで採択 ブタペストで署名 国会承認 公布及び告示(平成24年条約第7号及び外務省告示第231号) 我が国について効力発生 この条約は,サイバー犯罪から社会を保護することを目的として,コンピュータ ・システムに対する違法なアクセス等一定の行為の犯罪化,コンピュータ・デー タの迅速な保全等に係る刑事手続の整備,犯罪人引渡し等に関する国際協力 等につき規定している。 平成28年(2016年)2月現在,締約国48か国(全てのG7諸国を含む。) Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 56 6.12 個人情報漏えいインシデントの事件対応 情報を盗んだら ・情報の窃盗自体には刑事罰がない ・窃盗罪の対象:物(=有体物)(無体物では「電気」だけが、財物とみなされている。) ・情報は財物と見なされていない。 → 情報を盗む行為自体は、違法とならない。 宇治市 1999年 22万人 内部犯 個人情報漏えいによるプライバシー侵害で, 初めて損害賠償請求の裁判 が行われた事例. 個人情報を名簿売買目的で盗み出したが, 現行法では 情報が財物に該当しないために窃盗罪に問えなかった。民事上の慰謝 料のみ住民勝訴。 Yahoo BB 2004年 452万人 内部犯 漏えい人数が452 万人と大規模な事例. 会員へ500 円相当の金券送付 した. 個人情報を盗んだYahoo BB 代理店の役員は恐喝未遂で逮捕. 裁 判により5 名へ6,000 円を損害賠償した 三菱UFJ証券 2009年 149万人 高い権限を持った人(部長代理)による内部犯. 不正アクセス禁止法違反 で逮捕. 高額のお見舞金(商品券1 万円)を5 万人へ配布した ベネッセ 2014年 4858万人 内部犯 過去最大の個人情報の漏えい人数.3504万世帯へ金券500 円分を配布 し, 特別損失約260 億円を計上. 不正競争防止法違反(営業秘密の複製) で逮捕 出典:NPO日本ネットワークセキュリティ協会 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 57 6.13 プロバイダー責任制限法とは ・インターネットや携帯電話の掲示板などで誹謗中傷を受けた ・個人情報を掲載されて、個人の権利が侵害されるなどの事案が発生した 上記のような場合の対応として、下記の2点を規定している ①損害賠償責任の制限 ②発信者情報の開示(発信者の氏名・住所、メールアドレス、IP アドレス、ポート番号、 SIMカード識別番号 など) 出典:総務省http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/pdf/zukai.pdf Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 58 7.ITの現状と未来予測 そしてセキュリティの重要性 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 59 7.1 実生活に利用される コグニティブコンピューティング「ワトソン」 「ワトソン」は、IBMが開発したコグニティブ(認知、認識の(できる))コンピュー ティングで、2009年4月に米国の人気クイズ番組「ジョパディ!」にチャレンジす るコンピューターとして発表。 1.銀行でのフィナンシャルプランナー支援 オーストラリアのANZ銀行では、ファイナンシャルプランナーが顧客からの質 問への対応にWatsonを利用する。質問に対する理解を深め、迅速に回答を返 せるようにすることを目的としている。 2.がん治療計画支援 タイの病院Bumrungrad International Hospitalでは、がんの治療計画を立て る医師の支援にWatsonを活用する。患者の特徴や公開されている研究結果 に基づいて、それぞれの患者にとって最も効果的な治療計画を立てられるよう にする。 3.ワトソンがレシピを提供 料理のレシピを提供してくれるサイト「cookpad」にお いて、ワトソンが今まで思いつかなかったような食材の 組み合わせを提案してくれる。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 60 7.2 「ジョパディ!」 後の「ワトソン」は? https://www.youtube.com/watch?v=UB-Y6vuN7PQ Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 61 7.3 IBMの未来予測「Next 5 in 5」 5 in 5は、2006年からIBMが毎年行っている未来予測。今後の5 年間に世界の人々の働き方、遊び方、生活を一変させる可能性を 持つイノベーションを5点紹介している。今年は人間の五感をコン ピュータ独特の方法で模倣する能力に焦点を当てた。 出展:http://www-06.ibm.com/jp/press/2012/12/1801.html •触覚:電話を通じて触れることができる •視覚:1ピクセルが一千語に値する •聴覚:重要なことをコンピュータが聞く •味覚:デジタル味蕾(みらい)でスマートに食べる •嗅覚:コンピュータが嗅覚を持つ Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 62 7.4 5 Future Technology Innovations from IBM http://www.youtube.com/watch?annotation_id=annotation_958403&feature=i v&src_vid=RYkSvNKdyBM&v=Gg3tmZrwbDs Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 63 7.5 触れる(Touch) 例 電話のようなデバイスはただの通話手段ではなく、自然かつ直 観的な環境との対話(触れる事による)を実現するツールになる 5年後にはモバイル端末を使って製品を「触る」ことが可能にな ることにより、小売などの業界は変化するという。 ・将来、オンラインでセーターを買いたい時は、電話の表面をな でれば、質感、布地、重さ、織り方、そして自分が着たらどのよう になるかを体験できるようになるでしょう。 ・医師は離れた場所にいる患者の傷に触れることで、より迅速な 診断ができるようになるかもしれません。 ・農業従事者は、モバイル端末に触れて作物がいつ収穫できる かを判断するなど、作物の健康状態を把握できるようになるで しょう。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 64 7.6 現代社会はバランスが崩れている? セキュリティ モラル 新技術 利便性 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 65 7.7 シンギュラリティにおける2045年問題 人工知能「2045年問題」 コンピューターは人間超えるか 出展(日本経済新聞)http://www.nikkei.com/article/DGXMZO82144080Q5A120C1000000/ シンギュラリティとは、コンピュータ・テクノロジーが指数関数的 に進化を遂げ続けると、人工知能が自らを規定しているプログラ ムを自身で改良するようになり、永続的に指数関数的な進化を遂 げる。この結果、ある時点で人間の知能を超えて、それ以降の発 明などはすべて人間ではなく人工知能が担うようになるという、仮 説である。 米国のコンピューター研究者であるレイ・カーツワイル氏は、著 書『The Singularity Is Near: When Humans Transcend Biology』の 中で、2045年にその特異点を迎えると予言している。 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 66 参考:シンギュラリティ問題は目前? 出展:The Singularity Movement:Why The Singularity Won’t Be Comeng Any Time Soon (訳)シンギュラリティ運動:なぜ、シンギュラリティは今すぐ来ないのか http://www.godandscience.org/doctrine/singularity_movement.html Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 67 7.8 上手に使っていかなければならない 「人間との関係」を考える会 https://www.youtube.com/watch?v=lXYXY9LzwM4 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 68 7.9 ますます意識する必要性の高まるセキュリティ(1) ・広がる世界(IoT) 外から家のエアコンを操作 と言う事は・・・ 物理的進入 →ネットで進入 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 69 7.10 ますます意識する必要性の高まるセキュリティ(2) ・進む技術 テスラの「オートパイロット」機能 1)自動運転 2)人工知能 アメリカのIT企業マイクロソフトは 24日、インターネット上での会話 を通じて学習する人工知能がネッ ト上で人種差別的な発言をするよ うになり、実験を中断したと発表し ました。 NHK NEWS WEB2016年3月25日 http://www3.nhk.or.jp/news/html/20160325/k100104 56161000.html Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 70 7.11 ますます意識する必要性の高まるセキュリティ(3) ・取り扱うデータの高まる機密性 1)同じデータでも以前の情報 ⇒ 以前の情報 オープンな情報「住所や電話番号」 電話帳や卒業アルバムを見ればわかる ⇒ 最近の情報 「住所や電話番号」 ネットで晒されてしまう 2)新たなデータがネット上を飛び交う時代へ ⇒ 従来であれば機密情報 例えば病歴や服用している薬などの情報 ⇒ 病歴だけでなくてカルテ情報なども(電子カルテや遠隔診療) Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 71 7.12 技術の発展と便利さにはバランスが重要 不の作用 不の影響 Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 技術 便利 Page 72 Thinking Time #3 どんどん技術が進歩 あなたは賛成! 反対! 便利になるのはいいことだ 賛成! 不の面も考慮しなければいけない 反対! Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 73 7.13 まとめ 専門家から一般人・子供へ セキュリティ専門家 社内SE 会社員 学生 主婦 子供 いたずら・改ざんから企業・国家の存亡へ Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 74 7.13 まとめ 専門家から一般人・子供へ 誰もがサイバーセキュリティを セキュリティ専門家 社内SE 会社員 学生 主婦 子供 意識しなければいけない時代に いたずら・改ざんから企業・国家の存亡へ 突入しています! Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 75 8.Q&A Copyright (c) 2016 NPO日本ネットワークセキュリティ協会 Page 76 Copyright (c) 2015 NPO日本ネットワークセキュリティ協会 Page 77
© Copyright 2026 Paperzz
