安全な設定・使い方 サイバーセキュリティ基礎 第7回 サイバーセキュリティ基礎 1 本日の内容 • 個人でもできる、具体的な対策方法 – 所有しているパソコン・スマホなど – 利用しているサービス – 通信経路 サイバーセキュリティ基礎 2 ネットワークの例 データ センタ サーバ 利用者 の情報 ... ... インターネット 九州大学 無線LAN サイバーセキュリティ基礎 3 攻撃の例 偽サイト データ センタ サーバ 利用者 の情報 ... ... インターネット 九州大学 自宅など 乗っ取り 無線LAN サイバーセキュリティ基礎 4 できるところから対策 データ センタ サーバ 利用者 の情報 ... ... インターネット 九州大学 無線LAN 個人でも対策可能な所 サイバーセキュリティ基礎 5 何が守れるのか? • 情報機器そのもの – 自分のパソコン・スマホなどの中身 – より安全な使い方 • サービス側にある自分の情報 – 「アカウント」の保護 • ネット上で受け渡される自分の情報 – 今回は特に無線LANについて – その先については自分では手が出せない サイバーセキュリティ基礎 6 手元の端末を守る サイバーセキュリティ基礎 7 情報機器を守る • 盗難・紛失対策 – 他人に操作されないようにする • パスコード・パスワードでのロック • 内部データの暗号化 – 「iPhoneを探す」などのサービス • 乗っ取られると悪用される危険はある • 「悪意のあるソフトウェア(マルウェア)」対策 – malware = malicious software サイバーセキュリティ基礎 8 パスワードロック • Windows・Mac等のパソコンの場合 – 自分のユーザにパスワードを設定 – スクリーンセーバや画面を閉じた時にロックされるよ うに設定 – 一定時間触らないとロックがかかるように設定 – 起動時の自動ログインはしない • めんどくさい!と思うかもしれないが、それが普 通になるように習慣づけるべき – 自分の自転車に鍵をかけずに放置するようなもの サイバーセキュリティ基礎 9 Windows 7 の例 サイバーセキュリティ基礎 10 パスコードロック • スマートフォンはパスコードを設定する – 4桁の数字でもいいがパスワード文字列の方が より強固 • 面倒くさいが、設定していないと盗難・紛失時に厄介 • 前回説明した「なりすまし」で被害が拡大 – 指紋認証機能などがあれば活用する – パターンロックは画面に残る指の跡からバレるお それがあるので注意する サイバーセキュリティ基礎 11 iPhone 5s の例 サイバーセキュリティ基礎 12 「マルウェア」 • コンピュータウイルスなど、悪意のある活動を するソフトウェアの総称 – 利用者をだましたり、気づかないうちにパソコン 等に入り込んで実行 – 情報を盗む • クレジットカード・オンラインバンキング • ソフトウェアのライセンスキー • いろいろなサービスのログイン情報 – 外部に迷惑メールを送信する – 他のパソコン等にさらに侵入を広げる サイバーセキュリティ基礎 13 マルウェア対策(1) • ウイルス対策ソフト – 基本的には「既知」のウイルスしか検知しない – 新種の出現が早くなり有効性は低下 • 対策ソフトの更新が追いつかない • 半分くらいしかひっかからないという報告もあり – しかし何もしないよりはいい – ただし過信してはいけない • 「検知されなかったから開いていい」わけではない • そもそも危ないファイルを扱わないような心がけ サイバーセキュリティ基礎 14 サンドイッチテスト • このサンドイッチ、食べても大丈夫? • • • • • 自分で作ったサンドイッチ コンビニで買ったサンドイッチ 友達からもらったサンドイッチ 知らない人からもらったサンドイッチ 公園で拾ったサンドイッチ • いろいろな状況を想像してみる • サンドイッチを、アプリやソフトウェア、メールの添付 ファイルなどに置き換えて考える サイバーセキュリティ基礎 15 携帯・スマホ・タブレットは? • iOS(iPhone・iPad・iPod touch) – 仕組み的に対策ソフト自体がほとんど無い – App Storeは事前審査が厳しい(と思われている) • マルウェアが存在しないわけではない – App Store以外からは通常アプリは導入できない • Android – ウイルス対策ソフトはあるが、実効性は疑問 – Google Play Storeの事前審査は甘い – 設定によりGoogle Play Store以外からもアプリが導入 可能 • 自己責任 サイバーセキュリティ基礎 16 マルウェア対策(2) • ソフトウェアには「バグ」(プログラムの誤り)が つきもの – 人間が作るものだから • 多くのマルウェアは「バグ」を利用して攻撃・ 侵入する – 特に攻撃に利用可能な「バグ」を「脆弱性」 • 通常、脆弱性は見つかると修正される – 修正版に更新することで攻撃されにくくなる サイバーセキュリティ基礎 17 ソフトウェア更新 • Window、Mac OS などの基本ソフトウェア(OS = Operating System)は常に最新版に – Windows Updateなどのソフトウェア更新機能 • 特に攻撃に利用されやすいソフトウェアに注意 – – – – Oracle Java Adobe Acrobat Reader Adobe Flash Player Microsoft Office サイバーセキュリティ基礎 18 携帯・スマホ・タブレットは? • iOS(iPhone・iPad・iPod touch) – Appleが不定期に更新 – 旧世代の端末も数年間は対応 • Android – 大元の開発はGoogleだが機種毎に改造 – 携帯キャリア(docomo・au・Softbankなど)がアッ プデートを提供してくれることを祈る • あまり長期間は期待できない… • ガラケーはそもそも攻撃対象になりにくい サイバーセキュリティ基礎 19 サーバ上にある情報を守る サイバーセキュリティ基礎 20 「アカウント」の保護 • 「アカウント」 – 情報システムを利用する「権利」のこと – 利用者の様々な情報が紐づく • 個人の識別 • 個人情報の蓄積 • 利用履歴 • アカウント名(ユーザ名・ユーザID)とパスワード の組での保護が一般的 – そのアカウントの正当な利用者だけが知っているは ずの情報 サイバーセキュリティ基礎 21 パスワード • 「部屋の鍵」「車の鍵」のようなもの – 内容が漏れるとアカウントを勝手に利用される • 現実の部屋や車と違って地球の裏側からでも • いろいろな攻撃方法がある – 総当り – 辞書攻撃 – 盗聴 サイバーセキュリティ基礎 22 パスワードの複雑さ • 数字4桁 – 104 = 10,000通り • 英数字8文字(大文字小文字を区別) – 628 = 218,340,105,584,896通り • 英数字記号8文字(使える記号によるが一例) – 968 = 7,213,895,789,838,336通り • 総当りへの耐性 – 使える文字が多く、長いほど強い • 盗聴の場合はどんなに複雑でも無駄 – ウイルス感染等により サイバーセキュリティ基礎 23 辞書攻撃 • 全ての組み合わせを試すのは時間がかかる • よく使われるパスワードを集めたリストを使う – 英単語・氏名 – なんらかの理由で漏洩したパスワードリスト • 世界中で最も使われているパスワード – 「123456」「password」「qwerty」「abc123」 – 使わないように! サイバーセキュリティ基礎 24 使い回し問題 • 複雑なパスワードはたくさん覚えられない – 同じパスワードを使いまわす事例は多い • ユーザ名もわからないと使えないが、メール アドレスでログインできるサービスも多い – 結果、1つ漏れたら他のサービスも破られる サイバーセキュリティ基礎 25 使いまわさない工夫 • 全部を覚えないでいいようにルールを作る – 数文字の固定文字列に、サービス名などから連 想される文字列を少し足す、など サイバーセキュリティ基礎 26 機械に覚えさせる • ブラウザの保存機能は使うなとよく言われる – そのPCが他人に操作されるとまずい – 保存したデータを吸い取るウイルスもある • 覚えられずに同じパスワードを使いまわすのとどちら がリスクが高いだろう? • パスワード管理ソフトを使う手もある – ランダムパスワード自動生成と併用すると強い – 元データを失うと自分ではパスワードがわからなくなる サイバーセキュリティ基礎 27 通信経路を守る サイバーセキュリティ基礎 28 無線LAN(Wi-Fi)について • 皆さんが使っているパソコンをネットワークに 接続している仕組み • スマートフォンや携帯の「3G」とか「4G」とか 「LTE」とか「Xi」とかとは別の仕組み • ほとんどのスマートフォンは両方使える – 「ガラケー」では使えないことが多い • 扇型のマークで表現されることが多い サイバーセキュリティ基礎 29 無線LANと暗号化 • 携帯電話網は盗聴の心配はまずない • 無線LANは盗聴される可能性を考える • パスワードも何もなしでつながる無線LANは 基本的に盗聴され放題 • kitenetやedunetは安全な方式を使っている サイバーセキュリティ基礎 30 無線LANの安全性 弱い 保護なし WEP(Wired Equivalent Privacy) WPA(Wi-Fi Protected Access) WPA2 強い サイバーセキュリティ基礎 31 Androidでの確認例 サイバーセキュリティ基礎 32 保護のない無線LANの危険性 • 誰でも通信内容を傍受できる – 別途暗号化通信を使わなければ筒抜け – 基本的に接続するべきでない • カフェや公共施設などにある無料の無線LANに 多い – Fukuoka City Wi-Fiも… – 使うなら覚悟の上で • 無線LANの提供者側で決まり、利用者は選択で きない(弱い無線LANは使わない、しかない) サイバーセキュリティ基礎 33 「野良無線LAN」の危険性 • 鍵のかかっていない、公衆向けでない無線 LANを見つけることがある – 鍵がかかっていないので、接続すると使えるかも しれない • このような無線LANは裏で盗聴されていたり、 偽サイトに誘導されたり、ウイルスを送りつけ られたりする危険性があるので触らないこと サイバーセキュリティ基礎 34 公共の共用端末 • インターネットカフェ・ホテルのロビーなど – 無料や、時間あたりいくらで使える物 • どう管理されているかまったくわからない – ウイルス等に感染してキー入力や画面を盗聴されて いる可能性がある • パスワードやクレジットカード番号などを絶対入 力しない – そういう入力が必要なサイトを利用しない • 観光情報を調べるくらいにしておく サイバーセキュリティ基礎 35 まとめ • 個人でもできる、具体的な対策方法 – 所有しているパソコン・スマホなどの保護 • 盗難・紛失対策 • マルウェア対策 – 利用しているサービスの保護 • パスワードの取り扱い – 通信経路の保護 • 無線LANの安全性について – 共用端末の使い方 サイバーセキュリティ基礎 36
© Copyright 2024 ExpyDoc
