コンピュータウィルスと脆弱性

コンピュータウィルスと脆弱性
情報社会と情報倫理
第13回
始めに

自分でパソコンを持っていたら
 スマホでも

今日,話す内容に注意しないといけない

放置すると,どのようなことになるのか
今日の内容

コンピュータウイルス

ソフトウェアの脆弱性

被害者から加害者へ
コンピュータウィルス対策入門

ウィルス対策スクール(IPA)
 コンピュータウィルスとは
 どのようなことが起きるのか
 対策は
 事後処置は
 届け出
コンピュータウィルスとは(1)


第三者のプログラムやデータベースに対して意
図的に何らかの被害を及ぼすように作られたプ
ログラム(経済産業省,“コンピュータウイルス対
策基準”)
であって,次のうち一つ以上の機能を有するもの
コンピュータウィルスとは(2)



自己伝染機能
 広がる
 被害者を増やす
潜伏機能
 すぐに被害がでない
 その間に,さらに広がる
発病機能
 被害が発生
ウィルスはプログラム(1)

だから,実行しなければ大丈夫!?
 何とかして,実行させようとする仕掛け


無料のゲーム
WordやExcelのデータファイル
 マクロプログラムが含まれる場合がある
 開いただけでアウト
ウィルスはプログラム(2)
画像ファイルだと思って,ダブルクリックする

画像データ
 お宝画像.jpg
 拡張子を偽装
.exe
空白が含まれるファイル名
のプログラム
もっと手の混んだものもある
実行するとどうなるか(1)

変なことが起きる(発病機能)
 被害例
 ファイルが削除される
 ファイルをインターネットに送りだす
などなど…
 個人情報の漏えい
 一見,何も起きていないようなことも
 実はこれが最近問題に
実行するとどうなるか(2)



他に広がろうとする(伝染機能)
 USBメモリが接続されると,それにコピーする
 アドレス帳に登録されているメイルアドレス宛
に,添付ファイルとして送る
などなど…
いろいろな種類・被害がある
最近はマルウェアと呼ぶことがある
感 染 経 路 (1)
USBメモリなどから
「 外部記憶メディアのセキュリティ対策を再確認しよう!
」
― USB メモリ、便利のウラに落とし穴 ―
 自動的に実行する設定にしてあると
(IPA)


メールの添付ファイル
インターネットのサイトからダウンロード・実行さ
災害情報を装った日本語のウイルスメールについて
せる
(IPA)

うっかりクリック
感 染 経 路 (2)

流行のサービスを狙った攻撃に注意!
http://www.ipa.go.jp/security/txt/2010/05outlin
e.html
 Twitterでうっかりフォローすると…
 短縮URLに注意
ワクチンソフト(1)

ウィルスを検出し,対処するソフト

これを(最新の状態で)使っていれば大丈夫?

ワクチンソフトにはいろいろあるが,すべてがす
べてのウィルスに対応できるかどうかは?
ワクチンソフト(2)

新種が出現

新種への対応が間に合わない場合がある

万能ではない
起 源


コンピュータウイルスの歴史。それは1972年から
始まった
http://www.watch.impress.co.jp/broadband/new
s/2001/12/07/virus.htm
正しくは1986年というべき(別の説もあり)
ソフトウェアの脆弱性
脆弱性とは何か
それを放置するとどうなるか
ソフトウェアの脆弱性(1)

脆弱性とは
 簡単に言えば,使用しているソフトウェアの
“欠陥”
 “情報漏えい”などシステムの安全な運用を脅
かす原因になるもの
ソフトウェアの脆弱性(2)


脆弱な点を突かれると,例えば(パスワードを入
力せずに)
 ファイルの読み書き
 正体不明のプログラムの実行
などが可能になる
インターネット経由で外部から,このようなことが
可能になる場合もある
コンピュータウィルスと脆弱性



脆弱性を狙うウィルス
脆弱性をついて,普通のプログラムではできない
ことをする
単なるウィルスよりも大きな被害
脆弱性の情報

いろいろなサイトで情報が公開される
 開発者のサイト
 セキュリティ関連企業
 公的機関
 IPA
 警察庁
など
 ニュースサイト(上記の情報の報道)
対 策(1)



脆弱性情報で指示される修正プログラム(パッチ
)を入手し,適用する
修正ではなく,新しいものに置き換える場合もあ
る(バージョンアップ)
利用中の他のアプリケーションとの関係で,これ
らを実施できないことがある
対 策(2)

例 マイクロソフト Windows Update
対 策(3)

修正プログラムなどが提供されていない場合も
ある
 “使用上の注意”で対応
 “信頼のおけないサイトにアクセスしない”
 脆弱性を狙った攻撃を受ける可能性
 “信頼のおけるサイト”でも危ない場合がある
 乗っ取られている場合がある
対 策(4)

使用しているすべてのソフトウェアに対して対策
をする
 インストールしたことを忘れていることがある
 おまけのソフト
 意識せずに使っている
 かなりの注意が必要
対 策(5)

このような報告がある
 ソフトウェアパッチは年平均75本、4.8日ごとに
導入が必要――Secunia調べ
http://www.itmedia.co.jp/news/articles/1003
/05/news020.html
 実際にはどうか?ただし,ゼロではないことは
間違いない
しかし

そもそも“脆弱性”という言葉すら知らない

その情報が提供されていることを知らない

ということがないように!
ゼロデイアタック


修正プログラムなどの提供前に,脆弱性をねらっ
た攻撃が行われること
直接,防ぎようがない
 間接的に防ぐことが可能な場合もある
脆弱性の放置(1)

自分のパソコンには,重要な情報はない

だから,脆弱性があってもかまわない

本当?
脆弱性の放置(2)

パソコンを乗っ取られる場合がある
 ボット(bot)
 ネットワーク経由で外部の者の指示通りに命
令を実行する
 spamの送信(CENT Japan)
 Webサーバなどへの攻撃
 ボットを集めたボットネット
 闇市場で貸し出されていたりするらしい
脆弱性の放置(3)


韓国で政府系サイトなどにDDoS攻撃、ボットPC
から一斉攻撃、6779台確認
http://internet.watch.impress.co.jp/docs/news/
20110304_431179.html
このようにニュースになることだけでなく,日々
spamの送信などにも使われる
脆弱性の放置(4)

つまり,他人に危害を加える可能性がある

自分だけの問題ではない

加害者になっていることが分からない
 乗っ取られたことが,はっきり分からない(よう
になっている)
脆弱性の放置(5)


「インターネット接続するコンピュータは,39秒ご
とに攻撃を受けている」,米調査
http://itpro.nikkeibp.co.jp/article/NEWS/200702
07/261293/
 全部が脆弱性をねらったものではない
脆弱なPCの生存時間は約4分
http://www.itmedia.co.jp/news/articles/0807/15
/news029.html
 誇張がある
脆弱性の放置(6)


「スティーブ・ジョブズは生きている」――訃報に
便乗の迷惑メールに注意
http://www.itmedia.co.jp/news/articles/1110/12
/news066.html
こんなメールでひっかかる
最近の話題から
事 例


衆議院の院内ネットから議員用ID、パスワードが
盗まれた疑い(Slashdot Japan)
三菱電機やIHI、川崎重工業にもサイバー攻撃~
狙われた防衛産業
http://internet.watch.impress.co.jp/docs/news/
20110921_478970.html (公開終了)
標的型メール攻撃


本当のことはよく分からないのであるが…
標的型メール攻撃に関する注意喚起
http://www.jpcert.or.jp/at/2011/at110028.html
きっかけ


間違いなく自分宛てみたいなメール
 差出人が組織内の人
 内容が組織内のこと
 自分が狙われているので
“標的型メール攻撃”
(安心して)添付ファイルを開かないといけないよ
うに気になる
そして

添付ファイル
 WordやExcelのファイルで,脆弱性をねらう仕
掛け
 偽装した実行ファイル

いずれにしろ,開く(実行する)ことにより,危
険な状態にさらされる
 外部と通信する
ポイント


最初のメール
 ある組織に狙いを定める
 特定の組織の者を対象とする内容
 ひっかかりやすい
放置した脆弱性を狙われる
対 策


添付ファイルの扱い
 いつも添付ファイルでやり取りしていると難し
い
脆弱性対策
今日のまとめ
まとめ:ウィルスと脆弱性(1)




ウィルスは,いろいろな手段でやってくる
プログラムであり,実行することにより,いろいろ
なトラブルが発生する
 何とかして実行させようとする仕掛け
他に拡散しようとする
対策には,ワクチンソフトが有効であるが,万能
ではない
まとめ:ウィルスと脆弱性(2)
脆弱性とはソフトの欠陥
 安全な運用を脅かす原因になる
 欠陥により,
 ファイルの読み書き
 プログラムの実行
などが可能になる

まとめ:ウィルスと脆弱性(3)


放置すると被害者なのに,加害者になることも
 ボット
対策は,脆弱性に関する情報を把握し,適切に
対応する
 修正プログラムの適用(ソフトの更新)
まとめ:ウィルスと脆弱性(4)

基本原則
 怪しげなメールを開かない
 怪しげなサイトを避ける
 怪しげなプログラムをダウンロード・実行しな
い
 ワクチンソフトの使用
 情報収集と対策実行,など
まとめ:ウィルスと脆弱性(5)

ただし,ウィルスや脆弱性に対する完全な対策
はない
 “外部との関係を完全に断つ”
まとめ:ウィルスと脆弱性(6)

正当な理由なく,コンピュータウィルスを作成・保
管することは犯罪になる(刑法改正 6/17/11)
 「ウイルス作成罪」盛り込んだ刑法改正案が
可決・成立
http://internet.watch.impress.co.jp/docs/new
s/20110617_453975.html
まとめ:ウィルスと脆弱性(7)

携帯電話もインターネットに接続できるパソコン
である

同じように危険がある

怪しげなアプリやJailbreakなどは特に危ない
まとめ:ウィルスと脆弱性(8)

インターネットに接続可能な家電製品
 中味はパソコン

同様な危険がある

ハードウェアに欠陥がある場合もある
人の脆弱性
人の脆弱性(1)

例 パスワード
 簡単なもの
 推測されやすいもの
 メモして他人に見られそうなところに貼る
人の脆弱性(2)


ソーシャルエンジニアリング
人間に隙をついて,情報を不正に得る
 上司を装い,社員のパスワードを聞き出す
 銀行員を装い,暗証番号を聞き出す
 振り込め詐欺