コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回 始めに 自分でパソコンを持っていたら 今日,話す内容に注意しないといけない 放置すると,どのようなことになるのか 今日の内容 コンピュータウイルス ソフトウェアの脆弱性 被害者から加害者へ コンピュータウィルス対策入門 ウィルス対策スクール(IPA) コンピュータウィルスとは どのようなことが起きるのか 対策は 事後処置は 届け出 ウィルスはプログラム だから,実行しなければ大丈夫!? 何とかして,実行させようとする仕掛け WordやExcelのデータ 実はプログラムが含まれる場合がある 画像ファイルだと思って,ダブルクリックする 開いただけでアウト 画像データ もっと手の混んだものもある お宝画像.jpg .exe 拡張子を偽装 空白が含まれるファイル名 感 染 経 路 (1) 「 外部記憶メディアのセキュリティ対策を再確認しよう! 」 プログラムの持ち込み ― USB メモリ、便利のウラに落とし穴 ― USBメモリなど (IPA) メールの添付ファイル インターネットのサイトからダウンロード・実行さ 災害情報を装った日本語のウイルスメールについて せる (IPA) うっかりクリック 感 染 経 路 (2) 流行のサービスを狙った攻撃に注意! http://www.ipa.go.jp/security/txt/2010/05outlin e.html Twitterでうっかりフォローすると… 短縮URLに注意 実行するとどうなるか(1) 変なことが起きる ファイルが削除される ファイルをインターネットに送りだす などなど… 個人情報の漏えい しばらく経過してからの場合も 一見,何も起きていないようなことも 実行するとどうなるか(2) 他に広がろうとする USBメモリが接続されると,それにコピーする アドレス帳に登録されているメイルアドレス宛 に,添付ファイルとして送る などなど… いろいろな種類・被害がある 最近はマルウェアと呼ぶことがある ワクチンソフト(1) ウィルスを検出し,対処するソフト これを(最新の状態で)使っていれば大丈夫? すべてのウィルスに対応できるかどうかは? ワクチンソフトにはいろいろある ワクチンソフト(2) 新種が出現 新種への対応が間に合わない場合がある 起 源 コンピュータウイルスの歴史。それは1972年から 始まった http://www.watch.impress.co.jp/broadband/new s/2001/12/07/virus.htm 正しくは1986年というべき(別の説もあり) ソフトウェアの脆弱性 脆弱性とは何か それを放置するとどうなるか 原因 ソフトウェアの脆弱性 設計ミス・プログラミングミス など 脆弱性とは 簡単に言えば,“欠陥” “情報漏えい”などシステムの安全な運用を脅 かす原因になるもの パスワードなしでログイン状態になる,など つまり,インターネットに接続していると 外部からログインされているのと同じ状態になりうる ソフトだけでなく,ハードの脆弱性もある 脆弱性の情報 いろいろなサイトで情報が公開される 開発者のサイト セキュリティ関連企業 公的機関 IPA 警察庁 など ニュースサイト(上記の情報の報道) 対 策(1) 脆弱性情報で指示される修正プログラムを入手 し,適用する 修正ではなく,新しいものに置き換える場合もあ る(バージョンアップ) 利用中の他のアプリケーションとの関係で,これ らを実施できないことがある 対 策(2) 例 マイクロソフト Windows Update 対 策(3) 修正プログラムなどが提供されていない場合も ある “使用上の注意”で対応 “信頼のおけないサイトにアクセスしない” 脆弱性を狙った攻撃を受ける可能性 “信頼のおけるサイト”でも危ない場合がある 乗っ取られている場合がある 対 策(4) 使用しているすべてのソフトウェアに対して対策 をする インストールしたことを忘れていることがある おまけのソフト 意識せずに使っている かなりの注意が必要 対 策(5) このような報告がある ソフトウェアパッチは年平均75本、4.8日ごとに 導入が必要――Secunia調べ http://www.itmedia.co.jp/news/articles/1003 /05/news020.html 実際にはどうか?ただし,ゼロではないことは 間違いない しかし そもそも“脆弱性”という言葉すら知らない その情報が提供されていることを知らない ということがないように! ゼロデイアタック 修正プログラムなどの提供前に,脆弱性をねらっ た攻撃が行われること 脆弱性をつくウィルスなど 直接,防ぎようがない 間接的に防ぐことが可能な場合もある 脆弱性の放置(1) 自分のパソコンには,重要な情報はない だから,脆弱性があってもかまわない 脆弱性の放置(2) パソコンを乗っ取られる場合がある ボット(bot) ネットワーク経由で外部の者の指示通りに命 令を実行する spamの送信(CENT Japan) Webサーバなどへの攻撃 ボットを集めたボットネット 闇市場で貸し出されていたりするらしい 脆弱性の放置(3) 韓国で政府系サイトなどにDDoS攻撃、ボットPC から一斉攻撃、6779台確認 http://internet.watch.impress.co.jp/docs/news/ 20110304_431179.html このようにニュースになることだけでなく,日々 spamの送信などにも使われる 脆弱性の放置(4) つまり,他人に危害を加える可能性がある 自分だけの問題ではない 加害者になっていることが分からない 乗っ取られたことが,はっきり分からない(よう になっている) 脆弱性の放置(5) 「インターネット接続するコンピュータは,39秒ご とに攻撃を受けている」,米調査 http://itpro.nikkeibp.co.jp/article/NEWS/200702 07/261293/ 全部が脆弱性をねらったものではない 脆弱なPCの生存時間は約4分 http://www.itmedia.co.jp/news/articles/0807/15 /news029.html 誇張がある 脆弱性の放置(6) 「スティーブ・ジョブズは生きている」――訃報に 便乗の迷惑メールに注意 http://www.itmedia.co.jp/news/articles/1110/12 /news066.html こんなメールでひっかかる 最近の話題から 事 例 衆議院の院内ネットから議員用ID、パスワードが 盗まれた疑い(Slashdot Japan) 三菱電機やIHI、川崎重工業にもサイバー攻撃~ 狙われた防衛産業 http://internet.watch.impress.co.jp/docs/news/ 20110921_478970.html 標的型メール攻撃 本当のことはよく分からないのであるが… 標的型メール攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2011/at110028.html きっかけ 間違いなく自分宛てみたいなメール 差出人が組織内の人 内容が組織内のこと 自分が狙われているので “標的型メール攻撃” (安心して)添付ファイルを開かないといけないよ うに気になる そして 添付ファイル WordやExcelのファイルで,脆弱性をねらう仕 掛け 偽装した実行ファイル いずれにしろ,開く(実行する)ことにより,危 険な状態にさらされる ポイント 最初のメール ある組織に狙いを定める 特定の組織の者を対象とする内容 ひっかかりやすい 放置した脆弱性を狙われる 対 策 添付ファイルの扱い いつも添付ファイルでやり取りしていると難し い 脆弱性対策 今日のまとめ まとめ:ウィルスと脆弱性(1) ウィルスは,いろいろな手段でやってくる プログラムであり,実行することにより,いろいろ なトラブルが発生する 何とかして実行させようとする仕掛け 他に拡散しようとする 対策には,ワクチンソフトが有効であるが,万能 ではない まとめ:ウィルスと脆弱性(2) 脆弱性とは,簡単に言えば,ソフトの欠陥 外部からそれを利用して,ログインしているのと 同じような状態になることが可能 ファイルへのアクセス(読み書き) プログラムの実行 など 自分が加害者になることもある ボット まとめ:ウィルスと脆弱性(3) 対策は,脆弱性に関する情報を把握し,適切に 対応する ソフトの更新 ただし,ウィルスや脆弱性に対する完全な対策 はない “外部との関係を完全に断つ” まとめ:ウィルスと脆弱性(4) 基本原則 怪しげなメールを開かない 怪しげなサイトを避ける など 情報収集と対策実行 どのようなものが“怪しい”のか見分ける判断 力 まとめ:ウィルスと脆弱性(5) 正当な理由なく,コンピュータウィルスを作成・保 管することは犯罪になる(刑法改正 6/17/11) 「ウイルス作成罪」盛り込んだ刑法改正案が 可決・成立 http://internet.watch.impress.co.jp/docs/new s/20110617_453975.html まとめ:ウィルスと脆弱性(6) 携帯電話もインターネットに接続できるパソコン である 同じように危険がある 怪しげなアプリやJailbreakなどは特に危ない まとめ:ウィルスと脆弱性(7) インターネットに接続可能な家電製品 中味はパソコン 同様な危険がある ハードウェアに欠陥がある場合もある 人の脆弱性 人の脆弱性(1) 例 パスワード 簡単なもの 推測されやすいもの メモして他人に見られそうなところに貼る 人の脆弱性(2) ソーシャルエンジニアリング 人間に隙をついて,情報を不正に得る 上司を装い,社員のパスワードを聞き出す 銀行員を装い,暗証番号を聞き出す 振り込め詐欺
© Copyright 2024 ExpyDoc
