サイバー攻撃ってなに? - 内閣サイバーセキュリティセンター

内閣サイバーセキュリティセンター
(NISC)
Ver
サイバーセキュリティ普及啓発
2.01
2016/12/19 発行
目次
はじめに~おうちの CSIRT になってね~.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Black Hat the Cracker.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
プロローグサイバー攻撃ってなに?
11
1.サイバー攻撃のイメージ.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1. サイバー攻撃って誰がやっているの?どうするの?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
コラム:攻撃者とハッカーとクラッカー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
コラム:攻撃者が使う武器
「マルウェア」
2. サイバー攻撃の例.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3. サイバー関連の犯罪やトラブル.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4. 人の心の隙を突く
「ソーシャルエンジニアリング」
攻撃.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
第1章
基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~
19
1.4 つのポイントでセキュリティを守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1. システムを最新に保つ。セキュリティソフトを入れて防ぐ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2. 複雑なパスワードと多要素認証で侵入されにくくする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3. 攻撃されにくくするには侵入に手間
(コスト)
がかかるようにする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
4. 心の隙を作らないようにする
(対ソーシャルエンジニアリング)
2.環境を最新に保つ、セキュリティソフトを導入する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1. セキュリティソフトを導入して守りを固めよう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2. パソコン本体とセキュリティの状態を最新に保とう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3. スマホやネットワーク機器も最新に保とう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
ところ
4. ソフトやアプリは信頼できる場所から。権限にも気をつける. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
コラム:必要ならばスマホにはセキュリティパックを検討しよう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!. . . . . . . . . . . . . . . . . . . . . . . . . 27
3.複雑なパスワードと多要素認証で侵入されにくくする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1. パスワードの安全性を高める.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2. パスワードの使い回しをしない.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3. パスワードを適切に保管する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
コラム:パスワードはどうやって漏れるの?どう使われるの?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.攻撃されにくくするには、手間
(コスト)
がかかるようにする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
5.心の隙を作らないようにする
(対ソーシャルエンジニアリング)
コラム:軍事スパイ、産業スパイに狙われてしまったら. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
コラム:映画
「ザ・ハッカー」
にみるソーシャルエンジニアリング.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
コラム:スパムメールとその由来.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4
第 2 章
セキュリティを理解して、ネットを安全に使う
39
1.パスワードを守る、パスワードで守る. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
1. パスワードってなに?.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2. 3 種類の
「パスワード」
を理解する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.「PINコード」
と
「ログインパスワード」
に求められる複雑さの違い.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.「暗号キー」
に求められる複雑さ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5. どちらの
「パスワード」
か、わかりにくい例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
6. 総当たり攻撃以外のパスワードを破る攻撃や生体認証を使った防御.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
7. パスワードの定期変更は必要なし。流出時は速やかに変更する.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
8. パスワード流出時の便乗攻撃に注意.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
9. 厳重なパスワードの保管.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
10. パスワード情報をクラウドで利用する善し悪し.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
11. ノートやスマホを失くした場合のリカバリ考察.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
12. 次善の策のソーシャルログイン。二段階認証などで防御.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
13. ソーシャルログインで連携される情報に注意.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
14. ソーシャルログインとは性格が違うサービス連携. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
コラム:暗号化の超簡単説明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.通信を守る、無線 LAN を安全に利用する.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
1. それぞれの状況に合わせた暗号化の必要性.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2. 無線 LAN 通信 (Wi-Fi)の構成要素. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3. 暗号化なしや、方式が安全ではないものは危険. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4. 暗号化方式が安全でも
「暗号キー」
が漏れれば危険.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
5. 家庭内での安全な無線 LAN の設定
(暗号化方式)
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
6. 家庭内での安全な無線 LAN の設定
(その他)
7. 公衆無線 LAN の安全な利用.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
8. 個別の
「暗号キー」
を用いる方式の無線 LAN.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
9. 公衆無線 LAN に関して新規に購入したスマホなどで行うこと.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
10. 公衆無線 LAN が安全ではない場合の利用方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
11. 自前の暗号化による盗聴対策.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
12. まとめて暗号化する VPN、現状は過信できないが今後に期待.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.ウェブを安全に利用する、暗号化で守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
1. 無線 LAN の暗号化と VPN の守備範囲.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
2. 全ての通信と、その一部であるウェブの通信. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3. https で始まる暗号化通信にはどんなものがあるか.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
4. より厳格な審査の
「EVSSL 証明書」
5.「EV-SSL 証明書」
を持つサイトを見分ける方法.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6. 有効期限が切れた証明書は拒否する.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7. 他にも証明書に関する警告が出るサイトは接続しない.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8. ウェブサービスのログインは二段階認証などを使う.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
9. 二段階認証を破る
「中間者攻撃」
10. ウェブを使ったサイバー攻撃に対応する.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.メールを安全に利用する、暗号化で守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
1. メールにおける暗号化.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2. スパムメールの嵐と、メールの暗号化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
3. 受信側も暗号化で保護.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4. メールにおける暗号化の守備範囲.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5. 暗号化から見たウェブメールの利用と、同一サービス内の暗号化.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6. 怪しいメールとはなにか. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5
7. マルウェア入りの添付ファイルに気をつける.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
8. メールアドレスのウェブサービスなどからの流出.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
9. 流出・スパム対策としての、変更可能メールアドレスの利用.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
10. 通信の安全と永続性を考えた SNS やメールの利用.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.データファイルを守る、暗号化で守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
コラム:クラウドサービスからのデータ流出。原因は?.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
第 3 章
スマホ・パソコンのより進んだ使い方やトラブルの対処の仕方
73
1.スマホのセキュリティ設定.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
1. スマホにはロックをかけよう。席において離れたり、人に貸したりするのは×. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
2. 情報漏れを防ぐ①.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
3. 情報漏れを防ぐ②.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4. スムーズな機種変更と、予期せぬデータ流出の防ぎ方. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
5. 防水機能を過信してデータを失わないように.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
コラム:GPS、位置情報、ジオタグの管理.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
2.パソコンのセキュリティ設定.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
1. パソコンを買ったら初期設定などを確実に.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
2. 暗号化機能等でセキュリティレベルを高める.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
3. マルウェア感染に備え、バックアップ体制を整える.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4. 売却や廃棄するときはデータを消去する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5. 盗難や紛失、パソコンとスマホ、どっちが安全?.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
コラム:ダブルラインでトラブルに備える.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
3.屋外・海外でのネットワーク利用.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
1. 一見なにもないように見えて、危険がいっぱい.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
2. インターネットカフェの利用.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
3. 海外でスマホやタブレットを活用するために.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.それでも攻撃を受けてしまったときの対処. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
1. 兆候に気をつけて被害が出たら対処.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
コラム:究極の防御手段
「ネットにつながない」
エアギャップ.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
コラム:無料ということの意味は何か.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
第 4 章
被害に遭わないために、知らない間に加害者にならないために
99
1.攻撃者に乗っ取られるとこんなことが起こる.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
1. 被害に遭わない、そして加害者にならないために.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
2. 盗まれた情報は犯罪に使われる.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
3. 乗っ取られた機器はサイバー攻撃に使われる. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4. IoT も乗っ取られる。知らずにマルウェアの拡散も…. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
2.サイバー関連でやってはいけないこと. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
1. アニメ・マンガ・音楽の違法なシェア。パクリなどの著作権の侵害.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
2. ゲームの不正行為。恋人や家族でもプライバシーは守る. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
3. クラッキングはクールじゃない!.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
コラム:モラルを逸脱すると炎上を生む.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
6
第 5 章
自分を守る、家族を守る、災害に備える
109
1.SNS やネットとのつきあい方、守り方.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
1. SNS やネットの楽しみと気をつけること.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
2. SNS やネットの怖さ、こんなことが実際に起こっている.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
3. SNS やネットとのつきあい方の基本. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
4. 存在するデータは流出することがある。流出したら消すことは難しい.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
コラム:SNS や学校裏サイトを使ったいじめに備える
(いじめ経験者からのアドバイス)
コラム:デマに踊らされない! ソースを探せ! 確かめよう!.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
2.デジタルテクノロジーで家族を守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
1. 子ども達を守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
2. お年寄りを守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.大災害やテロに備える.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
1. まずは自分の身の安全を確保する.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
2. 電池をもたす、情報収集をする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
3. ラジオ、ワンセグを使った情報収集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
4. 徒歩帰宅。海外での災害やテロに備えて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
コラム:屋外でのゲームを安全に楽しむ.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
126
5. ネットを使わない移動トレーニング
(現代オリエンテーリング)
コラム:デジタル遺産相続. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
エピローグ来たるべき新世界
129
1. ネットの
「今」
と、どう守っていくか. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
2. デジタルネイティブと未来.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
3. バーチャル空間を超えて世界へ.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
4. おわりに.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
用語集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
情報セキュリティ関連サイト一覧.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
索引. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
※ご注意
本パンフレットでは初心者の方にサイバーセキュリティ関連の問題を理解してもらうために、実際のケースと比較し
てわかりやすく簡略化したり、内容を理解しやすいように関連する事項の一部を省略したりして記述している場合が
あります。ご了承ください。
このパンフレットを読んで、よりサイバーセキュリティに関する理解を深めていきたいと思う方は、ぜひステップアッ
プして、様々な専門誌や最新の記事にチャレンジしていただけると幸いです。
なお、登場する人物および団体は架空のものであり、実在するいかなる人物・団体とも関係はありません。
7
はじめに~おうちの CSIRT になってね~
初めまして、私は NISC
(内閣サ
イバーセキュリティセンター)
の
ゆちゃん、そしてみなさんと一緒
に学んでいきたいと思います。
収まる気配がありません。
そういった状況の中、必要とさ
分析官でザンと言います。こちら、
さて、ネット上では日々、様々
れているのは、サイバー攻撃の対
仕事のしすぎでちょっとくたびれ
なサイバー攻撃が行われています。
象となっている、国民ひとりひと
ているのは私の上司のシーサー。
こうしたサイバー攻撃に対し、
りの手にあるコンピュータやス
政府や民間の関係機関が、総力を
マートフォンのセキュリティを向
題からサイバーセキュリティに関
挙げて対策に取り組んでいます。
上し、攻撃そのものを成立しにく
する知識を紹介し、貴志くんやま
しかし攻撃は増加の一途をたどり
くすることです。
この本では、皆さんの身近な話
ザン
(ZaN)
NISC のサイバー特務第 1 チームの
分析官です。仕事はサイバー攻撃調
査とネットへダイブしてのアンダー
カバー。趣味はダイビングです。
シーサー
(Csirt)
貴志(たかし)
パソコンに興味があって、プログラ
ミングセミナーに出たときに、ザン
さんにお会いして夏休みの自由研究
に協力をお願いしました。セキュリ
ティについて勉強したいです。
NISC のサイバー特務第 1 チームの
リーダーです。背広を着ているのは、
私服がオタク風なのを隠すためです。
専門はサイバー攻撃調査と侵入テス
ト。趣味は内緒です。
まゆ
わ、私は別にセキュリティには興味
ないんだけど、アイツが勉強になる
からっていうから、仕方なくついて
きたのよ。べつに心配だからじゃ、な、
ないんだから。
※ NISC 特務第 1 チームは架空の団体です。
8
そして、近年の振り込め詐欺な
「おうちの CSIRT」となってもらっ
うに、おうちの中、サークルや仲間、
どで見られるように、言葉巧みに
て、一 緒 に ネ ッ ト に ま つ わ る セ
あるいは専門の CSIRT を設けるこ
人々の心の隙を突き、狙った相手
キュリティ啓発や防犯活動を担っ
とができない小さな企業で、サイ
を意のままに操るような手口、こ
てほしいと考えるのです。
バーセキュリティに興味があるあ
れを防ぐことなのです。
表 題 の
「お う ち の CSIRT」
の
なたが
「おうちの CSIRT」
「サーク
そ の た め に は、街 の 安 全 が 警
CSIRT と は
「Computer Security
ルの CSIRT」
「小さな会社の CSIRT」
察官や消防士などのプロフェッ
Incident Response Team」
の 略
になって、その役割を担ってもら
シ ョ ナ ル だ け で は な く、ボ ラ ン
で、本来は企業の中でサイバーセ
えたら、うれしく思います。
ティアの方々の様々な活動によっ
キュリティ関連のインシデント
(事
みんなが安心して使えるネット
て 支 え ら れ て い る よ う に、イ ン
件)
が起こった場合に対処する専門
社会を実現するために、ぜひ協力
ターネットを共有する皆さんに、
組織を意味します。これと似たよ
してくださいね。
一人ひとりがサイバーセキュリティを担うことで、安全なネット社会がをつくることができます
ネットにいる悪意を持った人たちは、みなさんの手の中にあるスマホや家にあるパソコンを狙ってきます。しかし世の中にある
すべてのスマホやパソコンを簡単に守り切ることはできません。街の安全が防犯活動や、それによって醸成される防犯意識、あ
るいは何かあったときに、みんなが助け合うという意志によって守られるように、私たちと一緒にネットを守って下さい。
9
Black Hat the Cracker
サイバー空間
(インターネット)
に
クラッカー」と、その手下たち「ブ
りをきちんと描き分けていきたい
は悪意をもってこれを利用し、自ら
ラックパンプキン」、そして様々
と思いますので、ぜひつぶさに見
の利益のためには平気で他人のも
な「マルウェア」が登場します。
ていて下さいね。
のを奪い、サイバー攻撃をしてこ
また時に、彼らが普通の人の仮
彼(彼女?)の正式名称「ブラッ
れを誇示するといった、様々な悪
面をかぶったり、あるいは普通の
クハット・ザ・クラッカー」の由
事を働くものがいます。
人々が彼らの仮面をかぶったりし
来については、「コラム:攻撃者
この本ではその者たちの仮の姿
て、悪事を働くこともあります。
とハッカーとクラッカー」の項目
として、
「ブラックハット・ザ・
説明のイラストでは、そのあた
10
でお話ししましょう。
情報セキュリティハンドブック Ver 2.01
プロローグ
サイバー攻撃ってなに?
サイバー攻撃という言葉を聞いて何を思い浮かべますか?
どんなことが起こるの?誰がやっているの?
まずサイバー攻撃とは、どのようなものなのか知ってもらいましょう。
個人情報
お金
ボットネット
略取
○○な写真
1 サイバー攻撃のイメージ
1 サイバー攻撃って誰がやっているの?どうするの?
ハッカー?
スパイ?
お金
や情報?
サイバー攻撃はいったい誰が何
が厳重でも侵入を試みます。それ
す。完璧に防ぐことは難しくても、
の目的でやっているのでしょう。
はやっかいな存在で、現状完璧に
努力をすれば被害に遭う確率を減
は防ぐことができません。
らせると考えて良いでしょう。
軍事スパイや産業スパイ? そ
一方、利益目的のサイバー攻撃
サイバー攻撃への対処は、ヒー
は、攻撃する者にとってはビジネ
ローが登場する勧善懲悪のアニメ
密や先進の研究内容など、自国や
スとしての性格を持っています。
のように、すっぱりと解決をした
企業にとって有益な情報の入手で
たとえば「ここはセキュリティが
り、あるいはデジタルのように 0
す。それに対し、私たちが普段遭
しっかりしているので手間がかか
と 1 にかっちりと防いだりするこ
遇するサイバー攻撃は、個人情報
る
(≒値段が高い)のでやめよう」
とはできません。まずは安全を確
れともハッカー?
いわゆるスパイの目的は軍事機
保する手段を、地道に積み上げる
や金銭など、主として攻撃する者
「ここなら手間がかからない(≒安
にとり何らかの利益になるものを
い)
からこちらに行こう」というよ
目的としています。
うに、攻撃しやすい方に流れやす
これから私たちが説明していく
スパイは目的の達成が絶対条件
く、機器のセキュリティレベルを
サイバーセキュリティに関するお話
なので、ありとあらゆる手段で攻
高めることで、ある程度攻撃を受
は、この考えに沿っていることを覚
撃を行い、どんなにセキュリティ
けにくくすることができるもので
えておいてくださいね。
12
必要があるのです。
プロローグ サイバー攻撃ってなに?
ハッカー
WHITEHAT(ホワイトハット)
プロローグ
コラム:攻撃者とハッカーとクラッカー
BLACKHAT
(ブラックハット)
第
章
1
第
章
2
●ホワイトハットハッカー
●ブラックハットハッカー
●善玉ハッカー
●攻撃者
(アタッカー)
●ホワイトハッカー
●クラッカー ●
悪玉ハッカー
はありません。
カー」とも言われます。
者をよく
「ハッカー」
と称しがち
術をもって悪事を行う人も存
い知識や技術を使う人を
「ホワ
です。しかし実はこの呼び方は
在するため、それらを善意の
イトハットハッカー」
や
「ホワイ
あまり正しくありません。
人と区別する意味で、「ブラッ
トハット」
「ホワイトハッカー」
ハッカーとは、もともとはコ
クハットハッカー」や「ブラッ
といい、日本語では
「善玉ハッ
ンピュータに精通しその方面の
ク ハ ッ ト」、あ る い は 防 御 し
カー」
や
「正義のハッカー」
と呼
高い知識と技術を持つ人を指す
ているものを割って侵入する
びます。
ある種の尊称であり、イコール
こ と を 意 味 す る「ク ラ ッ カ ー
本書ではこの本来の意味に基
悪事を行う攻撃者ではありませ (cracker)」や 攻 撃 者 の 意 味 を
づいた用語でお話を進めますの
持つ「アタッカー(attacker)」と
で、皆さんもぜひ覚えてもらっ
使して行う作業を
「ハッキング」 呼ぶのです。一方日本語で「ハッ
て、日常の生活でも正しい名称
と安易に呼ばない場合は
や単に
「ハック」
といいますが、 カー」
が広く用いられるようにご協力
これも本来は悪事とイコールで 「悪玉ハッカー」や「悪意のハッ
ください。
13
5
エピローグ
また逆に善意に基づいて高
章
ただしこういった知識や技
第
レビでは、サイバー攻撃を行う
ん。そして彼等がその技術を駆
4
章
専門ではない新聞や雑誌、テ
第
ハッカーとはコンピュータの知識と技
術に精通した人のことを指し、イコー
ル悪事を働く人という意味ではありま
せん。その用語を自分で使うとき、あ
るいは報道など見るとき、どのような
意味で使われているのかを気にかけま
しょう。
3
章
悪意のハッカー
第
正義のハッカー
コラム:攻撃者が使う武器「マルウェア」
●●どんな種類があるの?
どんな種類があるの?
先ほどのハッカーやクラッ
カーの例と同じように、今ひと
つ正しく用いられていないのが、
「コンピュータウイルス」
や、単
マルウェア
に
「ウイルス」
という用語です。
トロイの木馬
(非自己増殖潜伏型)
攻撃者がサイバー攻撃を行う
場合、何らかの悪意のプログラ
ムに相手のコンピュータを感染さ
せ、これをコントロールする方法
ウイルス(寄生型)
ワーム(自己増殖型)
どんな機能を持つの?
がよく用いられます。この攻撃に
使われるプログラムをまとめて
「ウ
イルス」
と呼びがちです。
しかし攻撃用プログラムは本
来
「マルウェア」
もしくは
「不正プ
ログラム」
と呼ぶのが正しく、
「ウ
イルス」
とはそのマルウェアの中
悪意のボット
(Bot)
ランサムウェア
のです。
キーロガー
意のものは感染すると攻撃者
の一種です。コンピュータ上の
ただ、一般に広がった
「ウイ
ファイルが感染し、そのファイル
ルスという言葉がマルウェアと
別のコンピュータの攻撃など
に寄生して活動するタイプのも
同じ意味で使われる」
事実もあ
に使われる。
のを指す名称なのです。
るため、その整合性を取るため
• ランサムウェア
に
「広義のウイルス」
といった言
感染すると、コンピュータ上
い方も存在します。
のファイルが暗号化された上
現実世界に例えるなら
「マル
ウェア」
とは病気を起こす原因の
総称
「病原体」
にあたり、
「病原体」
皆さんには、この部分もぜひ
からコンピュータが操作され、
で、元に戻すための身代金を
の一種で細胞に寄生しないと増
覚えていただいて、正しい呼び
要求される。
殖できないものをウイルスと呼
方を広めてもらうと同時に、新
• キーロガー
ぶのと同様です。
聞、雑誌やテレビで
「ウイルス」
比較的古いマルウェアでキー
そして病原体にはウイルスの
と使われている時は、それが
「広
ボードの入力を記録して、攻
他にも、単独で存在することが
義のウイルス=マルウェアの
撃者に送信する。攻撃者はこ
できる細菌、原虫や寄生虫など
意味」
なのか
「狭義のウイルス=
れを利用してパスワードなど
があります。マルウェアにも同
ファイルに寄生する感染プログ
を盗む。
様に、独立していて非自己増殖
ラム」
なのかを文脈から読み取っ
またたとえば
「トロイの木馬」
型の
「トロイの木馬」
と呼ばれる
て、正しく理解してもらえると
は、最初にコンピュータに侵入す
ものや、独立していてかつ自己
うれしく思います。
る時は害がないようなふりをし
増殖型の
「ワーム」
があります。
●●どのような機能を持つ
て、侵入したらマルウェアの本
またその機能による分類とし
ては
「ボット」
「ランサムウェア」
「キーロガー」
などの呼び方もあ
ものがあるの?
マルウェアを機能別に分ける
とこのようなものがあります。
性を現したり、外部からボット
やランサムウェアを呼びこんだ
りして悪事を働き始める特性を
ります。これは病原体の行動形
• 悪意のボット
(Bot)
持ちます。これは
「トロイアの木馬」
態を表す症状の名前のようなも
ボットとは Robot の略で、悪
という神話から取った名称ですね。
14
プロローグ サイバー攻撃ってなに?
感染させたり、悪さをす
るようになるの?
パソコン
タブレット
スマホ
第
マルウェアに感染するものと
どんなものが感染したり、感染させたり、
悪さするようになるのか
いえば、おそらく真っ先にパー
ソナルコンピュータ
(以下パソ
マホ)
、タブレットなどを想像
するでしょう。
様々な機器がネットに繋がる
とマルウェアに感染するかも
IoT(Internet of Things)
ネットワーク
ルータ
第
「マルウェアはコンピュータ
1
章
コン)
やスマートフォン
(以下ス
が感染する悪意のプログラム」
ている無線 LAN アクセスルー
ネットワーク
カメラ
POS レジ
スマート
冷蔵庫
一方もっとも深刻な
感染源は人間かも
2
章
この表現も間違いありません。
しかし実際には、ご家庭で使っ
プロローグ
●●どんなものが感染したり、
タ、ネットワークにつながるプ
クカメラ、スマートテレビ、ス
器が感染する可能性があります。
の心の隙を突くタイプの攻撃で
マート冷蔵庫、はては POS レ
しかし、こういった悪意の攻
す。問題はこの心の隙が、コン
ジ、変わったところではネット
撃によってマルウェアに感染し
ピュータのセキュリティホール
につながる業務用餅つき機など
てしまうかもしれないことより
のように簡単にはふさげないこ
も感染するそうです。コンピュー
も、もっと深刻な問題がありま
とにあります。セキュリティ意
タではないのに何で感染するの
す。それは人間の心の隙を突い
識は、本人が必要性を認識しな
でしょうか。
たサイバー攻撃です。
いと向上しないからです。
染させるためには、コンピュー
る防御を固めても、人間をだま
のまで感染している」
ことの矛
タにセキュリティホールと呼ば
す攻撃手法はいくつも存在し、
盾を解く鍵は、
「現代の電子機
れるプログラム上の弱点が必要
こちらはなかなか防げない。こ
器は、コンピュータに見えない
です。セキュリティホールがあ
のこともよく知ってください。
ものでも、実はコンピュータが
るということは、家の鍵が壊れ
そして被害者が友人や職場の
内蔵されている」
というところ
ているようなものです。しかし
仲間に次々に感染を広げていっ
にあります。
日々セキュリティのアップデー
て、様々な機器が持ち主の知ら
こういった機器がネットワー
ト=修理対応が行われ、たいて
ぬところでボットネットの一部
クにつながりデータをやりとり
いのセキュリティホールはふさ
としてサイバー攻撃に加わるこ
する以上、簡単にマルウェアに
がれてしまいます。
ともあるのです。
感染する可能性があるわけです。
そういった場合でも、持ち主
被害者であるはずのあなたが、
特 に IoT
(Internet of Things)
、 をだましコンピュータなどに自
いつの間にか攻撃に参加させら
「モノのインターネット」
の時代が
らインストールさせれば、感染
れ、時に加害者の立場になるこ
訪れ、私たちの周りに存在する
させるまでもなく大手を振って
ともありうるのです。
ありとあらゆる機器がコンピュー
悪事を働くことができるのです。
タ化し、インターネットにつなが
これを実現するのが後ほど説明
15
まずは防ぐための知識を得て
行動をおこしましょう。
4
5
エピローグ
る」
と
「コンピュータじゃないも
章
どんなにサイバー攻撃に対す
第
機器を簡単にマルウェアに感
章
この
「コンピュータが感染す
3
第
する
「標的型メール」
など、人間
章
るようになると、今より多数の機
第
リンタ、監視カメラやネットワー
2 サイバー攻撃の例
では先ほどちょっと紹介したサ
イバー攻撃が、実際にはどのよう
偽サイトでのフィッシング詐欺や重要情報の不正送信
に行われるのか、いくつかの例を
ID・パスワード抜き取り
挙げて見てみましょう。
不正送金
まず攻撃者はメールにマルウェ
偽サイトへ
誘導して感
染させる
アを添付してあなたに送ったり、
あるいはマルウェアを仕込んだサ
イトに誘導したりして、マルウェ
マルウェアを送り
つけて感染させる
アに感染させます。その後、あな
たのパソコンなどから ID やパス
ワードを抜き取ったり、画像や重
要情報を気づかれないように裏で
送信をさせたりします。入手した
ID とパスワードで勝手に物を購入
し、換金できるものはお金に換え
たりもします。
重要ファイルの不正送信
攻撃者はあなたからお金や重要情報を盗むために、偽のメールで偽の銀行サイトなどに誘導す
る「フィッシング詐欺」を行ったり、マルウェアに感染させて重要ファイルを不正に送信させた
りします。どういう方法でだまされてしまうのか、一度調べてみましょう。
ランサムウェアで身代金要求
メールで偽の銀行サイトに誘導
マルウェアに指示、そして
勝手にファイルを暗号化
し、ID・パスワードを盗みお金を
不正送金させる、
「フィッシング詐
欺」
などを行うこともあります。
ファイルは暗号化した。
解除してほしかったら
身代金を払え!
もっと直接的にターゲットにお
金を要求する方法もあります。
「ラ
ンサムウェア」
に感染させあなた
のパソコンやスマホのデータが勝
手に暗号化し、
「暗号化を解除し
てほしければ身代金を払え」
とお
金を要求するのです。
感染させたパソコンや機器を
ランサムウェアに感染すると、パソコンなどのファイルを暗号化され、解除するためには身代
金を要求されます。しかし払っても解除するキーをもらえるとは限りません。普段からシステ
ムやデータのバックアップを取って、元の状態に戻せるように備えましょう。どうやって侵入
されるのか記事で実例をさがして学んでみましょう。
ボットネットに組み込まれる
ボットネットと呼ばれる不正な仕
攻撃せよ
組 み に 勝 手 に 参 加 さ せ、所 有 者
DDoS 攻撃
乗っ取った機器のマルウェアに
サーバ攻撃を指示
が知らないうちにどこかのウェブ
サーバに大量のアクセス要求を
送って反応できなくする「DDoS
攻撃* 1」
などに利用することもあ
ります。持ち主は知らないうちに
攻撃に協力してしまうわけです。
攻撃者はこの攻撃用の不正な仕
組みを時間制で貸し出して、対価
としてお金を稼ぐこともあります。
* 1 DDoS 攻撃:Distributed Denial of Service attack
の略。多数の機器からサーバなどに攻撃をしかけ
通信能力を超えさせ使えない状態にする
どこかのウェブサーバ
悪意のボットに感染すると、攻撃者が管理する攻撃用の仕組みであるボットネットに接続され、
あなたが知らないところでサイバー攻撃に参加させられることになります。気づかずに加害
者の立場になってしまうかもしれません。
16
プロローグ サイバー攻撃ってなに?
プロローグ
3 サイバー関連の犯罪やトラブル
サイバー攻撃の他にも、ネット
を使った犯罪やトラブルはたくさ
なりすましや略取・誘拐(連れ去り)
13 才中学生の○○です。
△△ちゃんお友達に
なってください!
?
よ♪
たとえば
「なりすましや略取・
いい
1
章
誘拐」
。SNS などで未成年と同じ
第
んあります。
年齢や性別になりすまして近づき、
その上で相手を誘い出して誘拐や
略取などに及ぶケース。あるいは
SNS で家出などをした子供の書き
ケースなどもあります。
△△ちゃん?
むかえにきたよ
家で○○が
まってるから
行こう
ハァ
のふりをして近づき、相手の警戒
2
章
また同じようにネットで未成年
第
後日、会う約束をしたら…
込みを見付けて、自宅に連れ込む
心を和らげて、
「私も送るからあな
第
たも 送って」
と裸の写真を要求し
て、入手したらその写真を使って
子供たちが気軽に裸の写真を交
SNSなどであなたに近寄るために、年齢や性別を偽っている人がいます。同じ歳や性別になりす
まし油断させて近づき、誘い出して略取や誘拐に及ぶかもしれません。基本的に実際に会ったこ
とがない人が SNSで近づいてきたら注意し、そういう人かもしれないということを思い出しましょう。
3
章
相手を脅迫するケースもあります。
換し合ってしまうことを海外では
「セクスティング」と言いますが、
た写真は、たとえ誰かに渡さなく
え〜?
…おないどし
だし、まぁ
いいか…
友達だよね。
私も裸の写真送る
からあなたも送っ
て!友情のしるし!
写真を売って
ひとかせぎ…
度相手に渡してしまえば、ネット
4
章
ても流出の危険がありますし、一
セクスティング
第
一度自分のスマホなどに記録され
に流され、その後ずっと自分を苦
しめ続ける可能性があることを考
これは子供に限らず、つきあっ
の画像をインターネットに流す犯
罪
「リベンジポルノ」
として問題に
ネットいじめ
5
章
ていた相手が別れた腹いせに、裸
「セクスティング」とは裸の写真などを気軽に送り合ってしまうことを意味します。しかし、も
しその相手が写真をネットで売ったりあなたを脅すためにやっていたりしたらどうでしょう。
特に一度ネットに流出した写真は完全に消し去ることもできません。絶対にやってはいけません。
ホント
にぃ〜?
あのこヤバイこと
やってるよ
(嘘)
へ〜
エピローグ
なっています。
その他にも SNS やネットの裏
サイトで誰かの悪口を言ったりす
る「ネットいじめ」は、やっている
本人たちは軽い気持ちでも、時に
そう
なんだ…
相手を激しく追い込んで悲劇を招
いたりするので、現実世界のいじ
めとともに、絶対にやってはいけ
ないことです。
第
えなくてはいけません。
現実のいじめはもちろんのこと、ネットを使ったいじめもやってはいけません。ネットはみん
なの未来を創るためのものであって、苦しめるためのものにしてはいけないのです。
17
4 人の心の隙を突く
「ソーシャルエンジニアリング」攻撃
さて
「サイバー攻撃」ではなく一
般的な犯罪で、皆さんがよく聞く
ものには何があるでしょう。たぶ
「ソーシャルエンジニアリング」は現実でも
ネットでも心の隙を突いてだます
ん
「オレオレ詐欺」
や「母さん助け
て詐欺」
とも言われる
「振り込め詐
ばぁちゃん、
オレだよオレ!
欺」
などがあげられると思います。
関係機関が常に注意喚起をして
タカシ ?!
タカシなの ?!
いますが、未だに多くの方が被害
に遭っています。
パソコンに例えると、セキュリ
ティホールを必死に埋めようとし
ばぁちゃん、
オレやっちゃった。
今すぐお金がいるんだ。
ているのになかなか埋まらず、目
の前で次々とサイバー攻撃が行わ
現実の世界
れてしまっているような状況です。
この 2 つの本質は人間の心の隙を突いたもの
その理由は
「人間の心の隙」とい
うセキュリティホールを突いた攻
撃だからであり、人間の心への攻
撃はなかなか防ぐことができない
ネットの世界
❷
ん? 会議?
そんなのあったかな?
まぁとりあえず
クリック!
❶
TO:A さん
SUB:至急確認してください。
先日の会議の議事録です。
からなのです。そしてサイバー攻
Gijiroku-doc.exe
撃でもこの人間の心の隙を突いた
ものがたくさんあります。
たとえば日本年金機構の情報流
感染
マルウェアに
❹
❺
タ
デー
以降
メール」
。送りつける相手をよく
❸
分析した上で、本人宛かつあたか
も仕事の関係のメールに見える文
シ
マ
者が
攻撃
出事件の発端でもあった
「標的型
ン
を
乗
っ取
り
を
盗
み放
題
面にマルウェアを添付して送り、
相手がうっかりファイルを開くと
マルウェアに感染することを狙う。
こういった攻撃による被害を軽
減するためには、多くの人々がサ
イバーセキュリティについて詳し
くなり、サイバーセキュリティに
関する危機意識が常識として根付
くようになることが重要なのです。
この心の隙を突く攻撃は広い意
味で
「ソーシャルエンジニアリン
振り込め詐欺の場合は、たとえばまず相手に「身内が事故やトラブルを起こ
して大変だ!」
と思い込ませ、電話をかけている人間が誰か確かめるなどの、
相手が本来持っている判断能力を奪います。せかしたり、弁護士や警察官に扮
した人物を登場させたり、お金を払えば助かると交換条件を出したりといった
心理的な揺さぶりは、古典的なソーシャルエンジニアリングの、「ハリーアップ」
「ネームドロップ」
「ギブアンドテイク」
などに当たるでしょう。
一方ネットの世界のソーシャルエンジニアリングは、知り合いになりすまし
て「標的型メール」
を送る場合
「フレンドシップ」
という手法に当てはまります。
現実世界でもネットの世界でも、相手の心の隙を突けばどんなセキュリティ
でも破ることができます。そのだますテクニックが「ソーシャルエンジニアリ
ング」なのです。ぜひ、そういうテクニックがあることを覚えてください。
グ」
と呼ばれます。覚えておいて
ください。
18