スライド 1 - IPA 独立行政法人情報処理推進機構

情報セキュリティ読本
情報セキュリティ読本
- IT時代の危機管理入門プレゼンテーション資料
（第3章ウイルスなどの不正プログラムに
よる被害とその対策）
情報セキュリティ読本 – プレゼンテーション資料 -
1
第3章ウイルスなどの不正プログラムによる
被害とその対策
1.
2.
3.
4.
ウイルス
スパイウェア
ボット
ウイルスなどの不正プログラムの
予防とその対策
情報セキュリティ読本 – プレゼンテーション資料 -
2
第3章
1. ウイルス
1）ウイルスとは?
2）ウイルスに感染するとどうなるのか?
3）ウイルス感染の原因
情報セキュリティ読本 – プレゼンテーション資料 -
3
第3章 > 1. ウイルス
1. ウイルスとは?
コンピュータに対して、数々の悪さをする不正プログラム
「コンピュータウイルス対策基準」によると、
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼす
ように作られたプログラムで、自己伝染機能、潜伏機能、発病機能の内１つ
以上を有するもの。【経済産業省（通商産業省）告示】
(1)自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用し
自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
(2)潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、
発病するまで症状を出さない機能
(3)発病機能
プログラム、データ等のファイルの破壊を行ったり、
設計者の意図しない動作をする等の機能
情報セキュリティ読本 – プレゼンテーション資料 -
4
第3章 > 1. ウイルス
2. ウイルスに感染するとどうなるのか?
1）情報漏えい
2） DoS攻撃
3）ウイルスメールの大量送信
4）インターネットの停止
5）ワクチンソフトの停止
6）再起動の繰り返し
7）その他の症状
情報セキュリティ読本 – プレゼンテーション資料 -
5
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
1）情報漏えい
•
P2Pファイル交換ソフトによる情報漏えい
–
–
•
添付ファイルによる情報漏えい
–
•
コンピュータ使用者のユーザ名、組織名、デスク
トップ画面などを共有ネットワークに流す
W32/Antinny（2003年8月）など
コンピュータ内のファイルを添付ファイルとして送
信してしまう（W32/Klezなど）
キーロガーによる情報漏えい
–
キーロガーを仕込む（W32/Fizzerなど）
情報セキュリティ読本 – プレゼンテーション資料 -
6
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
2） DoS攻撃
•
•
•
•
感染したコンピュータを踏み台にして
DoS攻撃（⇔読本p.18 参照）を行うウイルス
W32/Netsky
W32/Mydoom
W32/MSBlaster
DoS攻撃に加担することがないよう、ワクチン
ソフトで定期的に検査をしましょう。
情報セキュリティ読本 – プレゼンテーション資料 -
7
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
3）ウイルスメールの大量送信
送信者を詐称 → 本当の感染者に連絡がとれない
→ 知り合いからのメールと思いファイルを開く
→ 有名な会社やサポートセンターを騙る
大量にウイルスメールを送信 → 感染被害拡大
W32/Netsky （ネットスカイ）のウイルスメールの例
差出人
アドレスを
詐称
・メールの
添付ファイルを
開くと感染
・エラー通知を
装った本文
情報セキュリティ読本 – プレゼンテーション資料 -
8
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
4）インターネットの停止
•
•
•
例: W32/SQLSlammer（2003年1月）
脆弱性を悪用し、インターネットにつな
いだだけで感染
大量のパケットをインターネット上に発
信し、通信量が急増
情報セキュリティ読本 – プレゼンテーション資料 -
9
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
5）ワクチンソフトの停止
検知・駆除されないためのウイルスの手口
・ワクチンソフトを停止する
・ PC内のファイアウォールの機能を停止する
・ワクチンソフトベンダーのサイトにアクセスさせない
例： W32/Klez W32/Netsky W32/Bagle
ワクチンソフトがそのウイルスに対応している場合
ワクチンソフトを停止される前にウイルスを駆除してくれる
→ ワクチンソフトを更新しておらず、そのウイルスを
検出・駆除できない場合に被害に遭う
ワクチンソフトの更新は（毎日）定期的に行う！
→ 自動更新機能の利用も
情報セキュリティ読本 – プレゼンテーション資料 -
10
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
6）再起動の繰り返し
•
•
•
コンピュータが急に再起動を繰り返して
使えなくなる
例: W32/MSBlaster（2003年、夏）
OSの脆弱性を悪用
→ネットワークに接続しただけで感染
情報セキュリティ読本 – プレゼンテーション資料 -
11
第3章 > 1. ウイルス> 2. ウイルスに感染するとどうなるのか?
7）その他の症状
•
ファイル、フォルダが削除される
–
•
アプリケーションソフトが使えなくなる
–
•
例: W32/Nimda(ニムダ)
遠隔地からのアクセスを可能にしてしまう
–
•
例: Stamford（スタンフォード）
Webページが改ざんされる
–
•
例: W32/Navidad（ナビダッド）
コンピュータが起動できなくなる
–
•
例: W32/Klez(クレズ)
例: W32/Mydoom (マイドゥーム)
画面に画像が表示される
–
例: W32/Hybris (ハイブリス)
情報セキュリティ読本 – プレゼンテーション資料 -
12
第3章 > 1. ウイルス
3. ウイルス感染の原因
1）ファイルのオープンによる感染
2）メールの開封やプレビューによる感染
3）ネットワークへの接続による感染
4）Webページの閲覧による感染
情報セキュリティ読本 – プレゼンテーション資料 -
13
第3章 > 1. ウイルス > 3. ウイルス感染の原因
1）ファイルのオープンによる感染
•
メールの添付ファイルを開くと感染
→ 現在このタイプが最も多い
• 次のようなファイルの入手経路も利用される
– ダウンロード、P2Pファイル交換
– IMやIRC経由
– CDやUSBメモリなどの外部ファイル
•
ユーザーの錯誤を誘う巧妙な手口
– ユーザの気を引くようなファイル名
– 二重拡張子、アイコンの偽装
情報セキュリティ読本 – プレゼンテーション資料 -
14
第3章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染
ユーザの気を引くようなファイル名
•
•
•
添付ファイルをユーザに開いてもらう（そして
感染させる）ことが目的
ファイル名を工夫することによってユーザの
気を引く
例: 「(お宝)秘蔵写真集」（W32/Antinny）
情報セキュリティ読本 – プレゼンテーション資料 -
15
第3章 > 1. ウイルス > 3. ウイルス感染の原因 > 1. ファイルのオープンによる感染
二重拡張子やアイコンの偽装
アイコンを偽装する
偽装したアイコンに該当するプログラムを立ち上げる
ダブルクリック
偽装したアイコンに該当する
プログラム（メモ帳）を立ち上げる
テキストファイルに
見せかけたウイルスファイル
テキストファイルを開くプログ
ラムを立ち上げて騙しつつ、
見えないところでウイルスも
動作を開始している。
怪しいファイルの見わけ方？
⇔ 読本 p.46
情報セキュリティ読本 – プレゼンテーション資料 -
16
第3章 > 1. ウイルス > 3. ウイルス感染の原因
2）メールの開封やプレビューによる感染
•
•
メールソフトやOSの脆弱性を悪用
W32/Klez、W32/Bugbear、W32/Nimda、
W32/Badtransなど
情報セキュリティ読本 – プレゼンテーション資料 -
17
第3章 > 1. ウイルス > 3. ウイルス感染の原因
3）ネットワークへの接続による感染
•
•
OSの脆弱性を悪用
ネットワークに繋がっている脆弱性のあるコン
ピュータに対し、ウイルスファイルを送り込む
→ W32/MSBlaster、W32/Welchia、
W32/Sasser など
• 脆弱なパスワード設定のパソコンに対し、
ネットワーク経由でパスワードを攻略して感染
→ W32/Deloder など
情報セキュリティ読本 – プレゼンテーション資料 -
18
第3章 > 2. ウイルス感染の原因
4） Webページの閲覧による感染
•
•
脆弱性を解消していないと、Webページを見
るだけでウイルスに感染することがある
例: W32/Nimda
– Webサーバに感染
– このサーバが管理するページを改ざん
– このページを見たユーザが感染
•
攻撃者がWebページにウイルスを仕掛けて
おくこともある（例: Wscript/Fortnight）
情報セキュリティ読本 – プレゼンテーション資料 -
19
第3章
2. スパイウェア
1）スパイウェアとは?
2）スパイウェアによる被害
3）どのような方法で感染するのか?
情報セキュリティ読本 – プレゼンテーション資料 -
20
第3章 > 2. スパイウェア
1）スパイウェアとは?
利用者や管理者の意図に反してインストールされ、利用者の
個人情報やアクセス履歴などの情報を収集するプログラム等
情報処理推進機構（IPA）と日本ネットワークセキュリティ協会（JNSA）
スパイウェア対策啓発WGによる共同の定義
• 情報を収集することが大きな特徴
• 外部へ送信する機能を持つものもある
⇒ 情報漏えい
情報セキュリティ読本 – プレゼンテーション資料 -
21
第3章 > 2. スパイウェア
2）スパイウェアによる被害
•
キーロガーでキー入力情報を不正取得
– オンラインバンキングやネットショップで利用した
ID、パスワード、クレジットカード番号など
– 銀行口座の不正操作
– クレジットカードの不正使用
– 実際の事件も起きている
キーロガーとは？（用語集より）
キーボードから入力された情報を記録するプログラム。
情報セキュリティ読本 – プレゼンテーション資料 -
22
第3章 > 2. スパイウェア
例）スパイウェアによる被害
ネット銀行の不正引き出しスパイウエアが原因 (2005年7月)
オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メール
に添付されていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルを
クリックした際、本人が気づかないうちに、キーロガーと呼ばれるスパイウエアがインス
トールされた。このキーロガーは、ネット銀行などへのアクセスを監視し、口座番号や暗
証番号を犯人に送信。犯人は、盗んだ情報を悪用して不正に引き出した。
ITmedia Enterprise の記事参照：http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html
ECサイト運営者
悪意を持つ人
写真ではなく、スパイウェア
が添付されていた
お宅で買った商品が壊れていたので交換して
ください。写真を添付したのでご確認ください！
情報セキュリティ読本 – プレゼンテーション資料 -
23
第3章 > 2. スパイウェア
3）どのような方法で感染するのか
•
•
•
•
•
•
•
Webサイトからダウンロードしたプログラム
ウイルスが埋め込まれた添付ファイル
不正なWebページ閲覧
スパムメールや掲示板のリンクをクリック
コンピュータの脆弱性を突く不正アクセス
バックドア経由（⇔用語集p.124(裏口（バックドア）参照）
ファイル交換ソフト
情報セキュリティ読本 – プレゼンテーション資料 -
24
第3章
3. ボット
1）ボットとは?
2）ボットネットワークの脅威
3）どのような方法で感染するのか?
4）感染後の動作
情報セキュリティ読本 – プレゼンテーション資料 -
25
第3章 > 3. ボット
1）ボットとは?
ウイルスの一種で、ユーザのコンピュータに侵入（感染）し、
ネットワークを通じてこのコンピュータを外部から操る目的を持
つ不正プログラム。
•
感染したコンピュータは外部からの指令を
待ち、与えられた指示に従って不正な行為
を実行する
情報セキュリティ読本 – プレゼンテーション資料 -
26
第3章 > 3. ボット
2）ボットネットワークの脅威
情報セキュリティ読本 – プレゼンテーション資料 -
27
第3章 > 3. ボット
3）どのような方法で感染するのか
•
ウイルスやスパイウェアと同様の経路で感染
–
–
–
–
–
–
–
Webサイトからダウンロードしたプログラム
ウイルスが埋め込まれた添付ファイル
不正なWebページ閲覧
スパムメールや掲示板のリンクをクリック
コンピュータの脆弱性を突く不正アクセス
バックドア経由
ファイル交換ソフトなど
情報セキュリティ読本 – プレゼンテーション資料 -
28
第3章 > 3. ボット
4）感染後の動作
•
ネットワークを通じ、外部からの指令に従
い不正行為を実行
–
–
–
–
スパム送信
DoS攻撃、DDoS攻撃
ネットワークへの感染拡大
ネットワークスキャン（脆弱性を持つコン
ピュータの検出）
– 収集した情報を外部に漏えい（スパイ活動）
情報セキュリティ読本 – プレゼンテーション資料 -
29
第3章
4. ウイルスなどの不正プログラムの予防とその対策
1）ウイルスなどの不正プログラムへの対策
2）感染した場合の対処方法
3）もっとも安全な初期化、再インストール
情報セキュリティ読本 – プレゼンテーション資料 -
30
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
1）ウイルスなどの不正プログラムへの対策（1）
•
•
•
•
Windows などの修正プログラムを最新版
に更新する
ワクチンソフトをインストールし、常に最新
版にして活用する
パーソナルファイアウォールを活用する
メールの添付ファイルやダウンロードした
ファイルは、開く前や実行する前にウイル
ス検査を行う
情報セキュリティ読本 – プレゼンテーション資料 -
31
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
1）ウイルスなどの不正プログラムへの対策（2）
•
•
•
見知らぬ相手は当然ながら、知り合いか
らの添付ファイル付きメールも厳重に
チェック注意する
添付ファイルの見た目に惑わされず、添
付ファイルの拡張子とアイコンの表示が正
しいか確認する
アプリケーションソフトのセキュリティ機能
を活用する
情報セキュリティ読本 – プレゼンテーション資料 -
32
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
1）ウイルスなどの不正プログラムへの対策（3）
•
•
•
•
見知らぬウイルス感染の兆候を見逃さない
万が一のために、データは必ずバックアップ
する
ウイルス対策ソフトとは別に、スパイウェア
対策ソフトを使用する
プログラムのダウンロード時や、プログラム
のインストール時に表示される、利用許諾
内容をよく読み、必要のないものはダウン
ロード、インストールを行わない
情報セキュリティ読本 – プレゼンテーション資料 -
33
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
1）ウイルスなどの不正プログラムへの対策（4）
•
•
ファイル交換ソフトでダウンロードしたファ
イルには、ウイルスやスパイウェアが含ま
れているケースがある。出所が不明なファ
イルは開かないようにする
自分で管理できないコンピュータでは、重
要な個人情報の入力は行わない
情報セキュリティ読本 – プレゼンテーション資料 -
34
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
2）感染した場合の対処方法
•
•
•
•
•
•
コンピュータの使用を停止し、システム管理者の
指示を仰ぐ
最新のワクチンソフトで検査を行い、ウイルス名を
特定する
ウイルスに合った適切な駆除を行う
データが破壊されたときは、バックアップから復旧
する
最新のワクチンでもう一度検査を行う
再発防止の予防策を講じる
情報セキュリティ読本 – プレゼンテーション資料 -
35
第3章 > 4. ウイルスなどの不正プログラムの予防とその対策
3）もっとも確実な初期化、再インストール
• ウイルス感染を除去しても、完全な修復は不
可能に近い（システムの重要なファイルが改
ざんされることがある）
• 感染後のもっとも安全で確実な復旧方法は、
システムを初期化し、アプリケーションとデー
タの再インストールすること
情報セキュリティ読本 – プレゼンテーション資料 -
36
本資料の利用条件
1.
著作権は独立行政法人情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
情報セキュリティ読本 – プレゼンテーション資料 -
37

Download Report