内閣サイバーセキュリティセンター (NISC) 2016/02/02 発行 Ver 1.01 サイバーセキュリティ普及啓発 目次 人物紹介.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 おうちの CSIRT になってね. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Black Hat the Cracker.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 プロローグサイバー攻撃ってなに?誰がやっているの?どんなことが起こるの?~サイバー攻撃のイメージ 7 1.サイバー攻撃のイメージ.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1. サイバー攻撃って誰がやっているの?どうするの?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 コラム:攻撃者とハッカーとクラッカー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 コラム:攻撃者が使う武器 「マルウェア」 2. サイバー攻撃の例.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3. サイバー関連の犯罪やトラブル.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 4. 人の心の隙を突く 「ソーシャルエンジニアリング」 攻撃.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう! 15 1.4 つのポイントでセキュリティを守る.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1. システムを最新に保つ。セキュリティソフトを入れて防ぐ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2. 複雑なパスワードと多要素認証で侵入されにくくする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3. 攻撃されにくくするには侵入に手間 (コスト) がかかるようにする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 4. 心の隙を作らないようにする (対ソーシャルエンジニアリング) 2.環境を最新に保つ、セキュリティソフトを導入する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1. セキュリティソフトを導入して守りを固めよう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2. パソコン本体とセキュリティの状態を最新に保とう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3. スマートフォンやネットワーク機器も最新に保とう. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ところ 4. ソフトやアプリは信頼できる場所から。権限にも気をつける. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 コラム:必要ならばスマホにはセキュリティパックを検討しよう.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 コラム:パソコンやスマホを最新の状態に保っても防げない攻撃がある。それがゼロディ攻撃!. . . . . . . . . . . . . . . . . . . . . . . . . 23 3.複雑なパスワードと多要素認証で侵入されにくくする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1. パスワードの安全性を高める.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 2. パスワードの使い回しをしない.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3. パスワードを適切に保管する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4. 秘密の質問にはまじめに答えない。多要素や生体認証を使う.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 コラム:パスワードはどうやって漏れるの?どう使われるの?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.攻撃されにくくするには、手間 (コスト) がかかるようにする.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 5.心の隙を作らないようにする (対ソーシャルエンジニアリング) コラム:軍事スパイ、産業スパイに狙われてしまったら. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 2 ※ご注意 本パンフレットでは初心者の方にサイバーセキュリティ関連の問題を理解してもらうために、実際のケースと比較してわかりやすく簡略化したり、説明を理解しやすい ように関連する事項の一部を省略したりして記述している場合があります。ご了承ください。 このパンフレットを読んでより理解を深めていきたいと思う方は、ぜひステップアップして、様々な専門的な記事にチャレンジしていただけると幸いです。 なお、登場する人物および団体は架空のものであり、実在するいかなる人物・団体とも関係はありません。 3 人物紹介 初めまして、私は NISC (内閣サ 題からサイバーセキュリティに関 ト)」になってもらい、周りの人た イバーセキュリティセンター) の する基本的な知識を紹介し、これ ちにサイバー攻撃の怖さやセキュ 分析官でザンと言います。 を一緒に学んでいきたいと思います。 リティの大切さを広めていってほ しいと思っています。 こちら、仕事のしすぎでちょっ そして皆さんに、おうちや仲間・ とくたびれているのは私の上司の サークルで、まず最初の一人とし それでは今日見学に来てくれた シーサー。 てサイバーセキュリティに詳し 貴志君とまゆちゃんと、いろいろ い人、「おうちの CSIRT (シーサー なお話を見ていきましょう。 この本では、皆さんの身近な話 ザン (ZaN) NISC のサイバー特務第 1 チームの 分析官です。仕事はサイバー攻撃調 査とネットへダイブしてのアンダー カバー。趣味はダイビングです。 シーサー (Csirt) 貴志(たかし) パソコンに興味があって、プログラ ミングセミナーに出たときに、ザン さんにお会いして夏休みの自由研究 に協力をお願いしました。セキュリ ティについて勉強したいです。 NISC のサイバー特務第 1 チームの リーダーです。背広を着ているのは、 私服がオタク風なのを隠すためです。 専門はサイバー攻撃調査と侵入テス ト。趣味は内緒です。 まゆ わ、私は別にセキュリティには興味 ないんだけど、アイツが勉強になる からっていうから、仕方なくついて きたのよ。べつに心配だからじゃ、な、 ないんだから。 ※ NISC 特務第 1 チームは架空の団体です。 4 おうちの CSIRT になってね 日々、ネット上では様々なサイ バー攻撃が行われています。 こうしたサイバー攻撃に対し、 官民の関係機関が、総力を挙げて 言葉巧みに人々の心の隙を突き、 Response Team」の 略 で、本 来 狙った相手を意のままに操るよう は企業の中でサイバーセキュリ な手口、これを防ぐことが大変重 ティ関連のインシデント(事件)が 要になってきています。 起こった場合に対処する専門組織 対策に取り組んでいます。しかし そ の た め に は、現 実 の 街 の 安 を意味します。ですからこれと似 攻撃は増加の一途をたどり収まる 全 が、警 察 官 や 消 防 士 な ど の プ たように、おうちの中、サークル 気配がありません。 ロフェッショナルだけで守られ や仲間、あるいは専門の CSIRT を そういった中、今一番必要とさ て い る の で は な く、ボ ラ ン テ ィ 設けることができない小さな企業 れているのは、サイバー攻撃の対 アの方々の様々な活動によって で、サイバーセキュリティに興味 象となりうる、国民ひとりひとり 支えられているように、インター があるあなたが「おうちの CSIRT」 の手にあるコンピュータやスマー ネ ッ ト を 共 有 す る 皆 さ ん に、一 「サークルの CSIRT」 「小さな会社 トフォンのセキュリティを向上し、 緒にサイバー空間のセキュリティ の CSIRT」として、その役割を担っ 攻撃そのものをしにくくすること 啓発や防犯活動を担ってほしい てもらえたらな、と思うわけです。 です。 と考えるわけです。 みんなが安心して使えるネット社 またそれと同時に、近年の振り 「おうちの CSIRT」の CSIRT とは 込め詐欺などで見られるように、 「Computer Security Incident 5 会を実現するために、ぜひ協力し てくださいね。 Black Hat the Cracker サイバー空間には悪意をもって インターネットを利用し、自らの利 な「マルウェア」が登場します。 また時に、彼らが普通の人の仮 と思いますので、ぜひつぶさに見 ていただけると幸いです。 益のために悪事を働くものがいます。 面をかぶったり、あるいは普通の 彼(彼女?)の正式名称「ブラッ この本ではその人物たちの仮の 人々が彼らの仮面をかぶったりし クハット・ザ・クラッカー」の由 姿として、 「ブラックハット・ザ・ て、悪事を働くこともあります。 来については、「コラム:攻撃者 クラッカー」 と、その手下たち「ブ 説明のイラストでは、そのあた とハッカーとクラッカー」 の項目 ラックパンプキン」、そして様々 りをきちんと描き分けていきたい 6 でお話ししましょう。 プロローグ サイバー攻撃ってなに? 誰がやっているの? どんなことが起こるの? サイバー攻撃のイメージ 個人情報 お金 ボットネット 略取 ○○な写真 1 サイバー攻撃のイメージ 1 サイバー攻撃って誰がやっているの?どうするの? ハッカー? スパイ? サイバー攻撃はいったい誰が何 の目的でやっているのでしょう。 軍事スパイや産業スパイ? そ れともハッカー? お金 や情報? 重でも侵入を試みます。それは、 力をすれば完璧に防ぐことは難し やっかいな存在で、現状完璧には くても、被害に遭う確率を減らせ 防ぐことができません。 ると考えて良いでしょう。 一方利益目的のサイバー攻撃は、 サイバー攻撃への対処は、ヒー いわゆるスパイの目的は軍事機 攻撃する者にとってはビジネスと ローが登場する勧善懲悪のアニメ 密や先進の研究内容、そして自国 しての性格を持っています。たと のように、すっぱりと解決をした や企業によって有益な情報の入手 えば 「ここはセキュリティがしっ り、あるいはデジタルのように 0 です。それに対し、私たちみんな かりしているので手間がかかる(≒ と 1 にかっちりと分類したりする が普段遭遇するサイバー攻撃は、 値段が高い)のでやめよう」 「ここ ことはできません。まずは安全を 個人情報や金銭など、攻撃する者 なら手間がかからない(≒安い)か 確保する手段を、地道に積み上げ にとっては何らかの利益になるこ らこちらに行こう」というように、 る必要があるのです。 とを目的としたものが主でしょう。 攻撃しやすい方に流れやすく、機 これから私たちがご説明してい スパイは目標の入手が絶対なの 器のセキュリティレベルを高める くサイバーセキュリティに関するお で、ありとあらゆる手段で攻撃を ことで、ある程度攻撃を受けにく 話は、この考えに沿っているという 行い、どんなにセキュリティが厳 くすることができるものです。努 ことを覚えておいてくださいね。 8 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの? コラム:攻撃者とハッカーとクラッカー ハッカー WHITE HAT(ホワイトハット) BLACK HAT (ブラックハット) プロローグ 第 章 1 悪意のハッカー ●●ホワイトハットハッカー ●●ブラックハットハッカー ●●善玉ハッカー ●●攻撃者 (アタッカー) ●●ホワイトハッカー ●●クラッカー ● 悪玉ハッカー 第 正義のハッカー 章 2 はありません。 カー」とも言われます。 また逆に高い知識や技術を 者をよく 「ハッカー」 と称しがち 術をもって悪事を行う人も存 善意に基づいて使う人を 「ホワ です。しかし実はこの呼び方は 在するため、それらを善意の イトハットハッカー」 や 「ホワイ あまり正しくありません。 人と区別する意味で、「ブラッ トハット」 「ホワイトハッカー」 ハッカーとは、もともとはコ クハットハッカー」や「ブラッ といい、日本語では 「善玉ハッ ンピュータに精通しその方面の ク ハ ッ ト」、あ る い は 防 御 し カー」 や 「正義のハッカー」 と呼 高い知識と技術を持つ人を指す ているものを割って侵入す んだりするわけです。 ある種の尊称であり、イコール る 者 を 意 味 す る「ク ラ ッ カ ー 本書ではこの本来の意味に基 悪事を行う攻撃者ではありませ (cracker)」や 攻 撃 者 の 意 味 を づいた用語でお話を進めますの 持つ「アタッカー(attacker)」と で、皆さんもぜひ覚えてもらっ 使して行う作業を 「ハッキング」 呼ぶのです。一方日本語で「ハッ て、日常の生活でも正しい名称 と安易に呼ばない場合は や単に 「ハック」 といいますが、 カー」 が広く用いられるようにご協力 これも本来は悪事とイコールで 「悪玉ハッカー」や「悪意のハッ ください。 ん。そして彼等がその技術を駆 9 4 章 ただしこういった知識や技 第 レビでは、サイバー攻撃を行う 3 章 専門ではない新聞や雑誌、テ 第 ハッカーとはコンピュータの知識と技 術に精通した人のことを指し、イコー ル悪事を働く人という意味ではありま せん。その用語を自分で使うとき、あ るいは報道など見るとき、どのような 意味を指すのかを気にかけましょう。 コラム:攻撃者が使う武器「マルウェア」 ●●どんな種類があるの? 先ほどのハッカーやクラッ どんな種類があるの? カーの例と同じように、今ひと つ正しく用いられていないのが、 「コンピュータウイルス」 や、単 マルウェア に 「ウイルス」 という用語です。 トロイの木馬 (非自己増殖潜伏型) 攻撃者がサイバー攻撃を行う 場合、何らかのプログラムを使っ て相手のコンピュータに侵入し、 これを乗っ取る方法がよく用い られます。そして、この攻撃に使 われるプログラムを総称して 「ウ ウイルス(寄生型) ワーム(自己増殖型) どんな機能があるの? イルス」 と呼んでしまいがちです。 しかし本当はこの攻撃用プロ グラム全般を 「マルウェア」 もしく は 「不正プログラム」 と呼ぶのが 正しく、 「ウイルス」 とはそのマル 悪意のボット (Bot) ランサムウェア 状の名前のようなものです。 キーロガー のものは、感染するとコン ただ、一般に広がった 「ウイ ピュータが攻撃者から操作さ タ上のファイルがこれに感染し、 ルスという言葉がマルウェアと れ、別のコンピュータの攻撃 ウェアの中の一種で、コンピュー 同じ意味で使われる」 事実もあ などに使われる。 タイプのものを指す名称なのです。 るため、その整合性を取るため • ランサムウェア そのファイルに寄生して活動する 現実世界に例えるなら 「マル ウェア」 とは病気を起こす原因の 総称 「病原体」 にあたり、 「病原体」 に 「広義のウイルス」 といった言 感染すると、コンピュータ上 い方も存在します。 のファイルが暗号化された上 皆さんには、この部分もぜひ で、元に戻すための身代金を の一種で細胞に寄生しないと増 覚えていただいて、正しい呼び 要求される。 殖できないものをウイルスと呼 方を広めてもらうと同時に、新 • キーロガー ぶのと同様です。 聞、雑誌やテレビで 「ウイルス」 比較的古いマルウェアでキー そして病原体にはウイルスの と使われている時は、それが 「広 ボードの入力を記録して、攻 他にも、単独で存在することが 義のウイルス=マルウェアの 撃者に送信する。攻撃者はこ できる細菌、原虫や寄生虫など 意味」 なのか 「狭義のウイルス= れを利用してパスワード等を があります。マルウェアにも同 ファイルに寄生して存在する感 盗む。 様に、独立していて非自己増殖 染プログラム」 なのかを文脈か またたとえば 「トロイの木馬」 型の 「トロイの木馬」 と呼ばれる ら汲み取って、正しく理解して は、最初にコンピュータに侵入す ものや、独立していてかつ自己 もらえるとうれしく思います。 る時は害がないようなふりをし 増殖型の 「ワーム」 があります。 ●●どのような機能を持つ て、侵入したらマルウェアの本 マルウェアがあるの? 性を現したり、外部からボット またその機能による分類とし ては 「ボット」 「ランサムウェア」 「キーロガー」 などの呼び方もあ マルウェアを機能別に分ける とこのようなものがあります。 やランサムウェアを呼びこんだ りして悪事を働き始める特性を ります。これは病原体に対して、 • 悪意のボット (Bot) 持ちます。これは 「トロイアの木馬」 その病原体の行動形態を表す症 ボットとは Robot の略で悪意 という神話から取った名称ですね。 10 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの? ●●どんなものが感染したり、 感染させたり、悪さをす るようになるの? パソコン タブレット スマホ プロローグ マルウェアに感染するものと どんなものが感染したり、感染させたり、 悪さするようになるのか いえば、おそらく真っ先にパー ソナルコンピュータ (以下パソ コン) やスマートフォン (以下ス マホ) 、タブレットなどを想像 するでしょう。 「マルウェアはコンピュータ 様々な機器が高機能化すると、 マルウェアに感染するかも IoT(Internet of Things) ネットワーク ルータ が感染する悪意のプログラム」 ているネットワークルータ、ネッ ネットワーク カメラ POS レジ スマート 冷蔵庫 一方もっとも深刻な 感染源は人間かも 1 章 しかし実際には、ご家庭で使っ 第 この表現も間違いありません。 トワークにつながるプリンタ、 する 「標的型メール」 など、人間 ラ、スマートテレビ、スマート 器が感染する可能性があります。 の心の隙を突くタイプの攻撃で 冷蔵庫、はては POS レジ、変 しかし、こういった悪意の攻 す。問題はこの心の隙が、コン わったところではネットにつな 撃によってマルウェアに感染し ピュータのセキュリティホール がる業務用餅つき機なども感染 てしまうかもしれない可能性以 のように簡単にはふさげないこ しうるそうです。コンピュータ 上に、もっと深刻な問題があり とにあります。セキュリティ意 じゃないのに何で感染しうるの ます。それは人間の心の隙を突 識は、本人が必要性を認識しな でしょうか。 いたサイバー攻撃です。 いと向上しないからです。 染させるためには、コンピュー る防御を固めても、人間をだま のまで感染している」 ことの矛 タにセキュリティホールと呼ば す攻撃手法がいくつも存在し、 盾を解く鍵は、 「現代の電子機 れるプログラム上の弱点が必要 こちらはなかなか防げない。こ 器は、コンピュータに見えない です。セキュリティホールがあ のことをよく知ってください。 ものでも、実はコンピュータが るということは、家の鍵が壊れ そして被害者が友人や職場の 内蔵されている」 というところ ているようなものです。しかし 仲間に次々に感染を広げていっ にあります。 日々セキュリティのアップデー て、所有する機器が持ち主の知 こういった機器がネットワー ト=修理対応が行われ、たいて らぬところでボットネットの一 クにつながりデータをやりとり いのセキュリティホールはふさ 部としてサイバー攻撃に加わる する以上、簡単にマルウェアに がれてしまいます。 こともあるのです。 感染する可能性があるわけです。 そういった場合でも、持ち主 被害者であるはずのあなたが、 特 に IoT (Internet of Things) 、 をだましコンピュータなどに自 いつの間にか攻撃に参加させら 「モノのインターネット」 の時代が らインストールさせれば、感染 れ、時に加害者の立場になるこ 訪れ、私たちの周りに存在する させるまでもなく大手を振って ともありうるのです。 ありとあらゆる機器がコンピュー 悪事を働くことができるのです。 タ化し、インターネットにつなが これを実現するのが後ほど説明 11 まずは防ぐための知識を得て 行動をおこしましょう。 3 4 章 る」 と 「コンピュータじゃないも 第 どんなにサイバー攻撃に対す 章 機器を簡単にマルウェアに感 第 この 「コンピュータが感染す 2 章 るようになると、今より多数の機 第 監視カメラやネットワークカメ 2 サイバー攻撃の例 では先ほどさわりを紹介したサ イバー攻撃が、実際にはどのよう 偽サイトでのフィッシング詐欺や重要情報の不正送信 に行われるのか、いくつかの例を ID・パスワード抜き取り 挙げて見てみましょう。 不正送金 まず攻撃者はメールにマルウェ 偽サイトへ 誘導して感 染させる アを添付してあなたに送ったり、 あるいはマルウェアを仕込んだサ イトに誘導したりして、マルウェ マルウェアを送り つけて感染させる アに感染させます。その後、あな たのパソコンなどから ID やパス ワードを抜き取ったり、画像や重 要情報を気づかれないように裏で 送信をさせたりします。入手した ID とパスワードで勝手に物を購入 し、換金できるものはお金に換え たりもします。 重要ファイルの不正送信 攻撃者はあなたからお金や重要情報を盗むために、偽のメールで偽の銀行サイトなどに誘導す る「フィッシング詐欺」を行ったり、マルウェアに感染させて重要ファイルを不正に送信させた りします。どういう方法でだまされてしまうのか、一度調べてみましょう。 ランサムウェアで身代金要求 メールで偽の銀行サイトに誘導 マルウェアに指示、そして 勝手にファイルを暗号化 し、ID・パスワードを盗みお金を 不正送金させる、 「フィッシング詐 欺」 などを行うこともあります。 ファイルは暗号化した。 解除してほしかったら 身代金を払え! もっと直接的にターゲットにお 金を要求する方法もあります。 「ラ ンサムウェア」 に感染させあなた のパソコンやスマホのデータが勝 手に暗号化し、 「暗号化を解除し てほしければ身代金を払え」 とお 金を要求するのです。 感染させたパソコンや機器を ランサムウェアに感染すると、パソコンなどのファイルを暗号化され、解除するためには身代 金を要求されます。しかし払っても解除するキーをもらえるとは限りません。普段からシステ ムやデータのバックアップを取って、元の状態に戻せるように備えましょう。どうやって侵入 されるのか記事で実例をさがして学んでみましょう。 ボットネットに組み込まれる ボットネットと呼ばれる不正な仕 攻撃せよ 組みに勝手に参加させ、所有者が DDoS 攻撃 乗っ取った機器のマルウェアに サーバ攻撃を指示 知らない内にどこかのウェブサー バに大量のアクセス要求を送り反 応できなくする 「DDoS 攻撃* 1」 な どに利用することもあります。持 ち主が知らない内に攻撃に協力し てしまうわけです。 攻撃者はこの攻撃用の不正な仕 組みを時間制で貸し出して、対価 としてお金を稼ぐこともあります。 * 1 DDoS 攻撃:Distributed Denial of Service attack の略。多数の機器からサーバなどに攻撃をしかけ 通信能力を超えさせ使えない状態にする どこかのウェブサーバ 悪意のボットに感染すると、攻撃者が管理する攻撃用の仕組みであるボットネットに接続され、 あなたが知らないところでサイバー攻撃に参加させられることになります。気づかずに加害 者の立場になってしまうかもしれません。 12 プロローグ サイバー攻撃ってなに?誰がやっているの?どんなことが起こるの? 3 サイバー関連の犯罪やトラブル サイバー攻撃の他にも、ネット を使った犯罪やトラブルはたくさ なりすましや略取・誘拐(連れ去り) 13 才中学生の○○です。 △△ちゃんお友達に なってください! ? よ♪ たとえば 「なりすましや略取・ いい 誘拐」 。SNS などで未成年と同じ プロローグ んあります。 年齢や性別になりすまして近づき、 その上で相手を誘い出して誘拐や 略取などに及ぶケース。あるいは SNS で家出などをした子供の書き 後日、会う約束をしたら… 込みを見付けて、自宅に連れ込む △△ちゃん? むかえにきたよ 家で○○が まってるから 行こう ハァ のふりをして近づき、相手の警戒 1 章 また同じようにネットで未成年 第 ケースなどもあります。 心を和らげて、 「私も送るからあな たも 送って」 と裸の写真を要求し て、入手したらその写真を使って 子供たちが気軽に裸の写真を交 SNSなどであなたに近寄るために、年齢や性別を偽っている人がいます。同じ歳や性別になりす まし油断させて近づき、誘い出して略取や誘拐に及ぶかもしれません。基本的に実際に会ったこ とがない人が SNSで近づいてきたら注意し、そういう人かもしれないということを思い出しましょう。 「セクスティング」と言いますが、 一度自分のスマホなどに記録され た写真は、たとえ誰かに渡さなく ても流出の危険がありますし、一 セクスティング え〜? …おないどし だし、まぁ いいか… 友達だよね。 私も裸の写真送る からあなたも送っ て!友情のしるし! 写真を売って ひとかせぎ… 第 度相手に渡してしまえば、ネット えなくてはいけません。 これは子供に限らず、つきあっ ていた相手が別れた腹いせに、裸 罪 「リベンジポルノ」 として問題に 「セクスティング」とは裸の写真などを気軽に送り合ってしまうことを意味します。しかし、も しその相手が写真をネットで売ったりあなたを脅すためにやっていたりしたらどうでしょう。 特に一度ネットに流出した写真は完全に消し去ることもできません。絶対にやってはいけません。 ネットいじめ ホント にぃ〜? あのこヤバイこと やってるよ (嘘) へ〜 4 章 なっています。 その他にも SNS やネットの裏 サイトで誰かの悪口を言ったりす る「ネットいじめ」は、やっている 本人たちは軽い気持ちでも、時に そう なんだ… 相手を激しく追い込んで悲劇を招 いたりするので、現実世界のいじ めとともに、絶対にやってはいけ ないことです。 第 の画像をインターネットに流す犯 3 章 に流され、その後ずっと自分を苦 しめ続ける可能性があることを考 2 章 換し合ってしまうことを海外では 第 相手を脅迫するケースもあります。 現実のいじめはもちろんのこと、ネットを使ったいじめもやってはいけません。ネットはみん なの未来を創るためのものであって、苦しめるためのものにしてはいけないのです。 13 4 人の心の隙を突く 「ソーシャルエンジニアリング」攻撃 さて 「サイバー攻撃」ではなく一 般的な犯罪で、皆さんがよく聞く ものには何があるでしょう。たぶ 「ソーシャルエンジニアリング」は現実でも ネットでも心の隙を突いてだます ん 「オレオレ詐欺」 や「母さん助け て詐欺」 とも言われる 「振り込め詐 ばぁちゃん、 オレだよオレ! 欺」 などがあげられると思います。 関係機関が常に注意喚起をして タカシ ?! タカシなの ?! いますが、未だに多くの方が被害 に遭っています。 パソコンに例えると、セキュリ ティホールを必死に埋めようとし ばぁちゃん、 オレやっちゃった。 今すぐお金がいるんだ。 ているのになかなか埋まらず、目 の前で次々とサイバー攻撃が行わ 現実の世界 れてしまっているような状況です。 この 2 つの本質は人間の心の隙を突いたもの その理由は 「人間の心の隙」とい うセキュリティホールを突いた攻 撃だからであり、人間の心への攻 撃はなかなか防ぐことができない ネットの世界 ❷ ん? 会議? そんなのあったかな? まぁとりあえず クリック! ❶ TO:A さん SUB:至急確認してください。 先日の会議の議事録です。 からなのです。そしてサイバー攻 Gijiroku-doc.exe 撃でもこの人間の心の隙を突いて 攻撃するものがたくさんあります。 たとえば日本年金機構の情報流 感染 マルウェアに ❹ ❺ タ デー 以降 メール」 。送りつける相手をよく ❸ 分析した上で、本人宛かつあたか も仕事の関係のメールに見える文 シ マ 者が 攻撃 出事件の発端でもあった 「標的型 ン を 乗 っ取 り を 盗 み放 題 面にマルウェアを添付して送り、 相手がうっかりファイルを開くと マルウェアに感染することを狙う。 こういった攻撃による被害を軽 減するためには、多くの人々がサ イバーセキュリティについて詳し くなり、サイバーセキュリティに 関する危機意識が常識として根付 くようになることが重要なのです。 この心の隙を突く攻撃は広い意 味で 「ソーシャルエンジニアリン 振り込め詐欺の場合は、たとえばまず相手に「身内が事故やトラブルを起こ して大変だ!」 と思い込ませ、電話をかけている人間が誰か確かめるなどの、 相手が本来持っている判断能力を奪います。せかしたり、弁護士や警察官に扮 した人物を登場させたり、お金を払えば助かると交換条件を出したりといった 心理的な揺さぶりは、古典的なソーシャルエンジニアリングの、「ハリーアップ」 「ネームドロップ」 「ギブアンドテイク」 などに当たるでしょう。 一方ネットの世界のソーシャルエンジニアリングは、知り合いになりすまし て「標的型メール」 を送る場合 「フレンドシップ」 という手法に当てはまります。 現実世界でもネットの世界でも、相手の心の隙を突けばどんなセキュリティ でも破ることができる。そのだますテクニックが「ソーシャルエンジニアリング」 なのです。ぜひ、そういうテクニックがあることを覚えてください。 グ」 と呼ばれます。覚えておいて ください。 14 第1章 基本のセキュリティ ステップバイステップでセキュリティを固めよう! 心の隙を作らないようにする (対ソーシャルエンジニアリング) 攻撃されにくくするには、 手間 (コスト) がかかるようにする 複雑なパスワードと多要素 認証で侵入されにくくする 環境を最新に保つ、 セキュリティソフトを導入する 4 つのポイントで 1 セキュリティを守る 1 システムを最新に保つ。セキュリティソフトを入れて防ぐ サイバー攻撃を防ぐための第一 歩は、システムを最新の状態に保 つことです。 まず機器の本体そのものに搭載 されている 「ファームウェアのアッ プデート」 。次に私たちに操作す るインターフェースを提供してい る 「オペレーティングシステム (以 下 OS) のバージョンアップやアッ プデート」 。そしてセキュリティ ホールになりやすい 「ソフトやア プリのアップデート」を行います。 パソコンの場合それに加えてマル ウェア検出などを行う 「セキュリティ ソフトの導入とアップデート」 です。 なおスマホの場合、導入は必要性 に応じてなので、P22を参照してく 様々な段階でセキュリティを守る ❹ セキュリティソフト 等のアップデート セキュリティ ソフト等 ❸ ソフト、アプリの アップデート アプリや ソフト ❷ OS のバージョン アップ等 OS (オペレーティ ングシステム) ❶ 本体のファーム ウェア アップデート 機器本体 スマホ・タブレット パソコン セキュリティソフトには無料のものもありますが、検知機能が有料のものと比べ不十 分なものや、セキュリティソフトを騙ってマルウェアのような挙動をするものもある ので注意してください。どれを導入するか迷った場合は、プロバイダなどが提供する セキュリティパックか、信頼できるメーカーのソフトを導入しましょう。有料でコス トがかかってもセキュリティ向上は安全への投資なのです。 ださい。これらを常時更新してセキュ リティ上の穴をふさぎます。 2 複雑なパスワードと多要素認証で侵入されにくくする 次にサイバー攻撃で的になりや すいのはパスワードです。これを 入手するには 「総当たりで見つけ 出す」 のと 「盗む」攻撃方法があり、 まず総当たりで破られないように、 複雑なパスワードや多要素認証でセキュリティを守る 英大文字小文字数 字記号を混ぜて、 せめて 10 桁 例)Tak@shi(#1) 購入時や初期に設定されたパス オンラインバンク 例) $0.5ChoKin ワードは必ず変更し、サービスや インターネット ショッピング 機器ごとに複雑なパスワードを設 例) K@menRider A--Ma--Zooon! 定しましょう。設定したパスワー ドを盗まれないように保管するこ ネット オークション とも重要です。 れないように、多要素認証などさ ○○銀行 振り込み暗証 番号を入力 □□□□ Secure Login コードを入れ てください □□□□ 第 2 要素 ハードウェア トークン コードジェネレーター (ソフトウェアトークン) 、 使い捨て(ワンタイム) パスワード 例) NoBet!?>$2000 続いて、仮にパスワードを盗ま れても機器やサービスが乗っ取ら 第 1 要素 ID とパスワード 使い回しのない 複雑なパスワードを使う らなる確認手段を追加しましょう。 16 USB キー 多要素認証の導入や、ネットに流出 しない実物としてのキーを利用する 第1章 基本のセキュリティ 3 攻撃されにくくするには侵入に手間(コスト)がかかるようにする サイバー攻撃を行う攻撃者も、 プロフェッショナルであるスパイ kH1oQ!tV6 攻撃しにくいなぁ 重要なので、より手軽に侵入でき る状況を選ぶ傾向があります。 サイバー攻撃 警備や戸締まりがしっかりして いる場所に泥棒が入らず、鍵がか かっていない留守の家に空き巣が 入るのは、その方が危険性 (コスト) プロローグ を除けば、彼等にとっての効率が 守りを何重にもして侵入されにくくする 破られにくい 複雑な パスワード 不正 アクセス 通知 セキュリティ セキュリティ ソフト パッチ ファイアー ウォール 手間がかかるなぁ が低く手軽だからです。 泥棒、 空き巣の侵入 侵入するまでに幾重にも防御がし な、あるいはそもそも侵入できな い対象となり、攻撃されにくくな ります。 ピッキングに 強い ディンプルキー 侵入者を 知らせる 防犯装置 警備員 戸が壊されたら すぐ補修 厳重な扉と壁、 忍び返し の状態に保ちセキュリティホール 導入し、複雑なパスワードや多要 をふさぎ、セキュリティソフトを 素認証が必要になるわけです。 しかしそれでも、ソーシャルエ ンジニアリングなどの手口で、心 心の隙を作らない。攻撃をうけつけない パニック がなければ、いくらシステム面で 同窓会の案内です。 ご確認ください。 会社員 A 3 章 しまうことがあります。それを防 まぁ!! 大変 !! オレだよ! 母さ ん? 事故を起こ して今すぐお金が いるんだ! 第 の隙を突かれて攻撃者に操られ、 家の鍵を中から開ける形になって 2 章 4 心の隙を作らないようにする(対ソーシャルエンジニアリング) 第 そのためには、システムを最新 1 章 てあると、攻撃者にとっては面倒 第 サイバー攻撃でも同じように、 なんだろう? とりあえず 開いちゃえ セキュリティを高めても意味があ りません。システム面でセキュリ らないようにすることは車の両輪 俺って言うけど、 お名前は? 振り込め詐欺ならば、電話で合 い言葉を確認することで防御する。 オレだよ! 母さん? 事故を 起こして… 会議の 議事録です。 4 章 なのです。 そんな会議 あったかな? 確認しよう 第 ティを高めることと、心の隙を作 会社員 A 合い言葉は? 標的型メールなどのサイバー攻撃 では、疑わしい通信手段とは別の 通信手段で情報を確認するなどの 平成ライダー 全員の名前は? もしもし? 今 メールください ましたか? 対処法があります。これは項目の 2 にもあった多要素認証と同じ考 え方で、攻撃を防ぐシンプルかつ いいえ? 送っ ていませんが? 振り込め詐欺 有効な手段なのです。 17 標的型メール 会社員 B 環境を最新に保つ、 2 セキュリティソフトを導入する 1 セキュリティソフトを導入して守りを固めよう 単純なウイルス検知ソフト、あ るいは対策ソフトの場合、マルウェ アを見つける方法は 「手配書」 方式 となっています。 単純なウイルス検知ソフト ウイルス検知ソフト パソコン アウトォ! ちょっと変わってい れば手配書をスルー できるよ! 手配書方式とは、あらかじめ検 出したいマルウェアの特徴を、販 スルー 売元からそれぞれのパソコンなど No Match ! に送信しておき、マッチしたもの を駆除する方式です。手配する内 容は、ファイルサイズはこれこれ、 ファイルの内容はこれこれという ようになっています。 しかし現在では攻撃者が、送信 するマルウェアを発送先ごとに微 進化したセキュリティソフト (ふるまい検知、ヒューリスティック分析) 総合セキュリティソフト 妙に変えたり、狙いを定めてカス パソコン ①セキュリ ティソフト をすり抜け て入っても No Match ! タムメイドする場合もあるので、 この方法では見つけ出すことが難 ③あやしい 行動をした ら ②監視して しくなりつつあります。 そこで 「手配書」方式に加えて、 ④隔離 パソコンに入ってしまった後も監 視し続け、不審な行動を取れば隔 離なり駆除をする、 「ふるまい検知」 や、機能的に怪しい部分を検出す 手配書が間に合わないゼロディ攻撃も ウイルス検知ソフト る 「ヒューリスティック分析」 機能 を持つものが出てきています。こ No Match ! れにより手配書にない未知のマル ウェアにもある程度は対処できる わけです。 パソコン 新しい 手配書です~! しかし、それでも対処しきれな 新しい機能を インターネットから 運び入れる いものもあります。システムのセ キュリティホールが発見され、そ れが修正される前に攻撃する 「ゼ ロディ攻撃」 を行うマルウェアで な手段がほとんどありません。し することには多くのメリットがあ す。この場合は手配書も間に合わ かし、そう言ったことを踏まえて ります。ぜひ導入してパソコンの ないので、現状では決定的に有効 も総合セキュリティソフトを導入 守りを固めましょう。 18 第1章 基本のセキュリティ 2 パソコン本体とセキュリティの状態を最新に保とう パソコンのセキュリティを最新 に保つためには、各種のアップデー 最近の機種ではたいていの場合、 OS 関連のアップデート処理は自 プロローグ ト処理が不可欠です。 本体も OS もセキュリティソフトも重要ソフト もアップデート OS と基本ソフトの更新 本体のファーム ウェアも更新 Windows 動で行われるか、アップデートを Windows Update 画面 行うよう警告が出るようになって ファーム ウェア います。ただ、その場合でも毎日 1 回程度の更新となっていること もあるので、普段からセキュリティ Mac OS Update 画面 流れたら自主的に更新処理をかけ 1 章 ようにし、アップデートの情報が 第 Mac OS 関係のニュースサイトをよく見る るようにしましょう。Office 製品 など OS のメーカーが作っている 重要なソフトもここで同時にアッ 第 プデートされます。 次にサイバー攻撃で狙われやす し ょ う。Adobe Flash Player、 Adobe Acrobat Reader DC、 Oracle Java や各種のウェブブラ ウザはよく使用されるため、攻撃 Microsoft Office W X P N ウイルス定義 ファイル Adobe Acrobat Reader DC Oracle Java ラムを更新するファームウェア 3 章 また本体機器そのもののプログ 2 第 のターゲットになりやすいのです。 Adobe Flash Player セキュリティ ソフトも更新 章 重要ソフトも更新 いソフトの更新を重点的に行いま アップデートにも気を配りましょ う。こちらの更新通知は、自動で 出る機器と出ない機器があるので、 自分の機器にファームウェアアッ プデートがあった場合、どういう 確認して気を配ってください。 セキュリティソフトも基本的に はインストールすると自動更新さ れるようになりますが、なるべく 日に一度は意識的にセキュリティ ソフトの画面を見るようにしま しょう。これはセキュリティの状 態を確認する意味もあります。 ここであげられている重要ソフトは、社会で言えば鉄道や電気ガス水道のよ うな重要インフラに相当し、そのためほとんどのパソコンで利用されています。 たとえばテロ攻撃などでそういったインフラが狙われやすいのは、少ないコス トで多大な影響を与えることができるからで、こういった重要ソフトが狙われ やすいのも同じ理屈なのです。ですから、利用する側も重要ソフトの更新があっ たら速やかに適用して、攻撃者が攻撃できないようにしましょう。使っていな い場合は削除してしまっても良いでしょう。 別項目でも登場したボットネットは攻撃して乗っ取れる機器がなければ成立 しないように、ひとりひとりの行動がネットの安全を作るのです。 19 4 章 ようにその情報を入手するべきか、 第 Google Chrome Mozilla Firefox など 追加された ウェブブラウザ 3 スマートフォンやネットワーク機器も最新に保とう スマホも同様に各種のアップ デートが必要です。 スマホの場合、比較的アップデー トの通知がわかりやすくなってお り、また自動アップデート機能も 充実しています。機器そのものの アプリやセキュリティソフトの更新は 基本的に自動にし、まめにチェック Google Play ストア セキュリティアプリ App Store アップデート画面 アップデート画面 アップデート画面 Google Play ストア セキュリティアプリ App Store アップデート画面 アップデート画面 アップデート画面 ソフトウェアの更新でも OS のアッ プデートでも、いつも使用してい る一般のアプリでも、更新の通知 が出たら、マメにアップデートす るようにしましょう。 そのためには本体のファーム ウェア (ソフトウェア更新やシス テムアップデート)や OS の更新 が、設定メニュー上のどこにある Android iOS Android iOS のか更新手順を確認しておきま しょう。またアプリの更新が自動 になっているかも確認しましょう。 スマホアプリの自動更新は、設 定によっては無線 LAN 接続時の み自動で行うことになっている場 合もあり、またその設定でも更新 スマホの本体ソフト更新(ソフトウェア)や OS 更新も忘れずに スマホの本体ソフト更新(ソフトウェア)や Android ファーム ウェア更新画面 Android ファーム ウェア更新画面 OS 更新も忘れずに Android OS 更新画面 Android OS 更新画面 iOS OS 更新画面 iOS OS 更新画面 時に権限変更で確認が必要な場合 は自動更新されないこともあるの で、気がついたら更新されていな いアプリがたくさんたまっている こともあります。意識してアップ デート画面に行き、更新作業をす るように心がけましょう。 ネットにつながる家電もファームウェア更新 設定ページの ID・パスワードは変更しておくこと またネットワークにつながるス マート家電や IoT 機器などは、こ ういった通知がなく、アップデー トが公開されても、気づかずセキュ リティホールが開いたままになっ ていることもあります。週 1 回で も月 1 回でもアップデートファイ ルが公開されているかチェックし ましょう。特にネットワークカメ ラなどは適切に管理しないと不正 に利用されることがあります。 Wi-Fi ルータ ネットワーク対応プリンタ ネットワークカメラ ネットワーク家電のファームウェアの更新は、通常はウェブブラウザで本体に アクセスして行います。この時の ID・パスワードは必ず購入時に変更してお きましょう。不正アクセスされ、カメラなどでは覗き見される原因になります。 20 第1章 基本のセキュリティ ところ 4 ソフトやアプリは信頼できる場所から。権限にも気をつける 本体やシステムを最新の状態に 保っても、防ぎにくい攻撃があり て検知されていない悪意あるソフ 提供元不明の アプリの設定に注意 導入時や起動時の 権限に注意 トなどの侵入です。 プロローグ ます。それはまだマルウェアとし 不審な場所からアプリをインストールしない。 権限に気をつける ItoDenWa 基本的にセキュリティソフト等 がマルウェアを検出するためには、 過去に収集されたデータが重要で す。このデータが多ければ多いほ どマルウェア検出の精度は高まり 第 ます。病気の検体が多ければより ここ 確実な対応方法を得られるのと同 章 1 じです。 これとは逆に、セキュリティソ フト会社がまだ知らないマルウェ ア、あるいは検体が充分に収集さ スするもの、著しく多くの項目に うに 「ソフトやアプリは信頼でき ことで、メーカーに認証された場 アクセスしようとするものなどは る場所から導入する」 ことが推奨 所以外からのアプリ導入を防ぐこ 要注意です。個別に許可を却下す されるわけです。 とが可能になります。 るか、そうできない場合、そのア 攻撃者が攻撃用のマルウェアを なるべく目につかないようにする ため、管理がしっかりしているマー ケットなどではなく、メール送付 などで誘導し不審な場所から導入 させようとすることもあります。 そのような手に引っかかってマ 特にスマホの場合、iOS 機器は ま た Android で も iOS で も、 プリは導入しないようにしましょ アプリのインストール時や初回起 う。また最初は無害に見えて、導 導入できない仕組みになっていま 動時に、同意を求められる「権限」 入後のアップデートで権限の変更 すが、Android 機器の場合は公式 には充分注意してください。権限 の許可を求めるものも、その変更 やベンダーメーカーのストア以外 とは実際にインストールするアプ 項目に注意してください。 からもアプリをインストール可能 リに対してスマホのどの機能の利 なので、設定メニュー内の 「セキュ 用を許可するか、という確認です。 ブサービス間で連携して、間接的 リティ」 の項目にある、「提供元不 単なるカメラアプリなのに住所 に権限を奪取するものもあるので 明のアプリ」 を導入できるかどう 録にアクセスするものや、撮影す 「連携」という用語には充分注意し かの設定は、必ずチェックマーク る必要がないのにカメラにアクセ 21 そのほか、アプリ間連携やウェ てください。 3 4 章 公式のストア以外からはアプリを 2 第 を外しておきましょう。こうする を意味します。 章 ルウェアに感染してしまわないよ フト等での発見が難しくなること 第 ・Android、iOS (画面は Android) アプリのインストール時や起動 時にさりげなく表示されるため、 多くの人が無意識に 「承認」 や 「同 意」 してしまっていますが、これ は「アプリが表示されている機能 に自由にアクセスできる」許可を 求めている画面です。 個別に却下することができない 場合もあるので、その際は導入し ないようにしましょう。そしてそ もそも不必要な権限を求めるアプ リは怪しいと警戒しましょう。 章 ・Android 該当の項目や細かい文言はバー ジョンやスマホメーカーによって 異なる場合がありますが、セキュ リティ関係の項目内にある 「提供元 不明のアプリ」 という項目は、必ず チェックマークを 「外しておく」 こ とが重要です。 何らかの理由で信頼できるマー ケットからの導入にあたりこの項 目 の 変 更 が 必 要 だ っ た ら、一 旦 チェックマークを立て、導入後に 必ず元に戻しましょう。 第 れていないマルウェアは、検知ソ コラム:必要ならばスマホには セキュリティパックを検討しよう スマホの場合、その誕生が パソコンと比較してかなり最 近だったこともあり、設計思 想自体にセキュリティの概念 が盛り込まれており、パソコ 必要性を感じるなら、スマホには セキュリティパック導入を検討しよう 携帯電話会社 ウイルス メール チェック 危険な サイト ブロック 迷惑 メール ブロック 個人情報 流出 チェック 不正アプリ スキャン ンなどと比較して、セキュリ 月額制で提供 ティアプリなどが担う役割も 大きくはありません。 しかしチェックするべき点 プロバイダ 総合セキュリティ パッケージ を見落とし、気づかないうち 上記のようなサービスをまとめて複数台に月額制で提供 にインストールされる不正な アプリの検出や、またそういっ たものの侵入経路になるメー ル、危険なサイトのブロック、 あるいは個人情報の流出チェッ 携帯電話会社からはセキュリティ関係の機能がパッケージ化されて提供され、インター ネットプロバイダも同様のサービスを提供しています。自分が求める機能があるか を精査して、必要性を感じる場合は導入を検討しましょう。 スマホの改造をしてはいけません メーカーのセキュリティ設計 SECURITY WALL クなど、セキュリティ全般に かかわる機能を補助的に導入 したい場合もあるかもしれま せん。そういった場合は、携 公式ストア等 帯電話会社やプロバイダなど が、セキュリティアプリを含め、 を充分に精査した上で導入し ても良いでしょう。 な お、メ ー カ ー が 作 っ た スマホのセキュリティ思想 は、定められた利用方法から re iOS Jail B ot ro 提供するパッケージを、内容 ak セキュリティ機能をまとめて 化 Android スマホのセキュリティ思想はメーカーが想定する利用方法を守っていることが前提 条件です。「root 化」や「JailBreak」といったソフトウェアの改造は、規約違反である 場合もあり、セキュリティ上も脆弱になるので非常に危険です。やってはいけません。 スマート家電の中にはパソコンやスマホがある? 外れると、とたんに脆弱にな り 攻 撃 さ れ や す く な る の で、 Android の 「root 化」や iOS の 「JailBreak」といった改造は絶 ルータ スマート冷蔵庫 スマート炊飯器 Linux? Android? Windows? 対にやってはいけません。 また今後は、スマート家電 の高機能化とともに、そういっ た機器にも何らかのセキュリ ティ対策が必要になってくる かもしれません。頭の隅で覚 えておいてください。 スマート家電は一見ただの機械に見えて、実は内部に Linux というコンピュータシ ステムだったり、Android や Windows マシンが入っていることがあります。今後さ らに高機能化していくと、何らかのセキュリティ対策が必要になるかもしれません。 22 第1章 基本のセキュリティ コラム:パソコンやスマホを最新の状態に保っても 防げない攻撃がある。それがゼロディ攻撃! 一般的にはシステムやソフ トにセキュリティホールが見 ゼロディ攻撃とは? 対処の例 攻撃するためのマルウェアを お、セキュリティ パッチができる前 に攻撃しよう! セキュリティ ホール発見! 急いで開発し始めます。メー ウェブサーバをクラッキング してマルウェアに埋め込み 「ドライブバイダウン ロード攻撃」 「水飲み場攻撃」 カーもこの穴に気づけば、アッ プデート用のセキュリティパッ すぐにパッチを 作らなくちゃ 撃者で、このようにセキュリ メーカー ウェブ サーバ セキュリティパッチ までの期間を狙って攻撃する メールで送りつけられるマ 1 ゼロディ攻撃に対抗するには? ニュースサイトをこまめに 見て情報収集 別の手段でセキュリティホール を避ける ある程度防ぐことができるの というアプリに セキュリティホール が見つかったら、 IT 系ニュース サイト やウェブ広告に仕込まれるマ 2 章 ですが、動画、ウェブサイト 第 ルウェアは、警戒していれば 感染 メーカーの対応は日数が かかり間に合わない! ことを 「ゼロディ(ZERO DAY) 攻撃」 と言います。 セキュリティソフト やアプリ 章 メーカーによって修正される セキュリティソフトは 見分けられず 第 ティホールが発見されてから 標的型メールを 送りつけ 攻撃者は即座に 攻撃開始! チを開発し公開します。 通常この競争に勝つのは攻 プロローグ ゼロディ攻撃とは つかると、攻撃者はこの穴を ルウェアは、特定のサイトを 見ただけで感染することもあ セキュリティ系 ニュースサイト り、情報が無いままこの方法 質的に防ぐことができません。 特に最近では攻撃者が、お 金を支払ってまで、マルウェ アの仕込まれたウェブ広告を 大手サイトに出してサイバー の規模も非常に大きくなって すコストが、不正に入手でき マルウェアが登場したら動画 アプリを提供するサービス るお金に見合っているという の 自 動 再 生 機 能 を OFF に し は、アプリを使用しなくても ことを意味しています。 た り、SNS な ど の ス マ ホ 用 ウェブブラウザで利用可能な こういった被害を少しでも アプリであればセキュリティ こともあるので、スマホ等で 避けるためには、日常的にセ ホールが修正されるまでアン もウェブブラウザからのアク キュリティ情報サイトを見る インストールしたりするなど セスに、普段から慣れておく 癖をつけ、たとえば動画系の の対応をしましょう。 と良いでしょう。 23 4 章 きています。これは広告を出 第 攻撃を仕掛けてくるため、そ 攻撃者とメーカーのゼロディ攻撃に関する対応競争は、たいていの 場合攻撃者が先行します。攻撃者はメーカーが気づいていない情報を 入手し、対象の機種どれが一つでも攻撃に成功するなら攻撃を開始で きますが、メーカーは情報を入手し精査した上で、対象となっている 機種全てで充分な対応をしなくてはいけないからです。 ですから利用者もそれを前提として備え、可能な行動する必要があ ります。そうすることが結果として自分を守ることになるわけです。 3 章 アプリをアンインス トールして代わりに ブラウザ版を使用す るなど 第 でゼロディ攻撃を受けると実 複雑なパスワードと多要素認証で 3 侵入されにくくする 1 パスワードの安全性を高める 攻撃者のサイバー攻撃には、ター ゲットの使用機器をマルウェアに 感染させるものの他に、なんらか の方法で ID とパスワードを解明 し対象を乗っ取るものもあります。 パスワードの解明は、機器購入 時のものをそのまま利用していて 見つけられる場合、なんらかの手 段であなたのパソコン等から流出 パスワードは少なくとも英大小文字+数字+記号で 10 桁 攻撃で盗み取られる場合の他に、 文字の組み合わせ総当たりで試す ブルートフォース攻撃や、パスワー 1 2 3 4 5 6 7 8 9 数字のみだと → 100 億通り 英大小文字+数字+記号(26 個として)だと →約 278,500,976,009 億通り 数字だけで 10 桁と、英大小文字+数字+記号で 10 桁では雲泥の差がある。 なおスマホのパターンロックは複雑に見えてつなげられる方向に限りがあり、 組み合わせは意外と少ない。ただし間違い続けるとロックされる機能がある。 英大文字小文字数字記号混じりの組み合わせ数 する場合や、サービスを提供する 側が保管しているものがサイバー パターンロックは数 字に直してみると最 大でも数字 9 桁の組 み合わせになる。 「パスワードは少なくとも 10 桁」は… 数字+アルファベット (大) +アルファベット (小) +記号 (例) 10+ 26 + 26 + 26 = 88 数字 英大 英小 記号 合計 文字 文字 10 10 26 10 26 26 10 26 26 26 5 6 7 8 9 10 100,000 1,000,000 10,000,000 100,000,000 1,000,000,000 10,000,000,000 60,466,176 2,176,782,336 78,364,164,096 2,821,109,907,456 101,559,956,668,416 3,656,158,440,062,976 916,132,832 56,800,235,584 3,521,614,606,208 218,340,105,584,896 13,537,086,546,263,552 839,299,365,868,340,224 10 数 36 数英 62 数英大小 88 数英大小記 5,277,319,168 464,404,086,784 40,867,559,636,992 3,596,345,248,055,296 316,478,381,828,866,048 27,850,097,600,940,212,224 ドによく使われる文字列を推測で たとえば数字だけなら 1 桁 10 現 在 は 総 当 たりする側 のコン 通りしかありませんが、英字を入 ピュータの性能も上がっているの 総当たりを防ぐには、難易度を れると 36 通り、英大文字小文字 で、英大文字小文字数字記号混じ 上げ、解明にかかる時間を膨大に を入れると 62 通り、これに 26 文 りで 10 桁以上が安全圏として推 するのが一番の防御手段で、総当 字の記号を入れると 88 通りにな 奨されるケースがよく見られます。 たりの難易度は、1 桁にある文字 ります。また桁を増やせばこれが しかし安全性を高めるには桁が多 数 x 桁数によって決まります。 累乗で増えていくわけです。 いにこしたことはありません。 試す辞書攻撃により、探し当てる 方法があります。 2 パスワードの使い回しをしない また複雑なパスワードを使っ ても、それを複数のサービスで 使い回せば意味がありません。1 カ所から漏れれば全てログイン 同じパスワードを使い回さない。似たパスワード、 法則性のあるパスワードは× 白うさ ネットワーク おさるさん 銀行 三毛猫 電気 たこ クレジット 可能になります。また複雑なパ スワードを 1 つ決めて、あとは おしりに数字や規則性のある文 字をつけるのも、1 つ漏れれば 推測されます。それぞれに複雑 白うさ ネットワーク ×使い回し PASSPPOI ×おしりだけ違う PASSPPOI1 ×法則性あり USAGIPPOI なパスワードを設定し、使い回し をしないことが大切です。 24 おさるさん 銀行 PASSPPOI PASSPPOI2 OSARUPPOI 三毛猫電気 PASSPPOI PASSPPOI3 NEKOPPOI たこ クレジット PASSPPOI PASSPPOI4 TACOPPOI 全部同じ 推測しやすい 法則性がばれ たらおしまい 第1章 基本のセキュリティ 3 パスワードを適切に保管する 使い回しをせず充分な複雑さを パスワードを使用する場所に置かない。パソコンの中も× 持ったパスワードは、総当たり攻 ログインパスワード なんだっけ? パスワードを書いた ファイル なりますが、適切に管理していな いために、別の方法で盗まれてし プロローグ 撃や辞書攻撃では突破されにくく パスワードを 書いたふせん まっては意味がありません。 たとえばパソコンや壁に貼って いれば、誰かがそれを見て覚えて しまいますし、ファイルにまとめ ポスターのように紙に 書いて壁に貼る ておけばマルウェアに感染した時 オフィスの中ならば外の人は見ないと判断するのは×。出入りの業者が見たり、 外から双眼鏡で見たりすることもできるのです。 共用や人の出入りの多い場所の パソコンでウェブブラウザに覚え パスワードはノートに書いて保管するか、 パスワード管理アプリで守る させることも危険です。あなたが 席を離れて目を離した隙に、誰か ビスを利用されてしまうかもしれ あれのパスワー ドは……? 銀行は △△△△ 白うさネットワーク 三毛猫電気 おさるさん銀行 たこクレジット パスワード 管理アプリ 白う さネ ット ワー ク おさ るさ ん銀 行 時間をかけて解析されてしまうか もしれません。 なパスワードを設定したら、とて スタンドアロンアプリで保管 クラウド保管=ダメというわけではなく、それは利便性との兼ね合いです。 また鍵は二人が持っているより一人の方が安全ということです。 ブラウザの自動入力にパスワードを覚えさせない 一つはパスワードを管理する手 帳に書いてパソコンとは別に管理 ❶ ID パスワードを 記録しますか? する方法、もう一つはスマホのパ いちいち入力 ❷ が面倒なので 「YES」と スワード管理アプリで管理する方 第 法です。いずれも自分の手元でパ スワードを管理できます。なお、 保管する機能や、セキュリティホー ❸ 4 ブラウザに保管され、 次回以降自動入力 章 後者の場合、クラウドでデータを ルが発見されたアプリは利用しな いことをおすすめします。それは 他人の手元に ID やパスワードを 保管することや、流出の危険が逆 パスワードなどの自動入力は便利ですが、あなたがパソコンをロックしない まま席を離れると、各種サービスにログオンし放題になります。 とも自分の肌身から離さなければ、 分に複雑で長いものにして暗記し 使うところで保管するべきでな 盗んだり他人は使ったりすること ましょう。また管理しているアプ いなら、スマホでもパスワードを はできません。ただしそのパスワー リのデータは、何らかのバックアッ 使うので矛盾はしますが、少なく ド管理アプリのパスワードは、充 プをしておきましょう。 に増すからです。 3 章 のためにはどうしたらいいでしょう。 第 も覚えきることはできません。そ パソコンやスマホとは別に保管 2 章 ませんし、盗難で持ち去られたら パスワード管理ノート (物理) 第 ショッピングは ×××× にブラウザからウェブ経由でサー しかし、多くのサービスで複雑 1 章 気に乗っ取られるかもしれません。 第 に流出し、多くのアカウントが一 25 4 秘密の質問にはまじめに答えない。多要素や生体認証を使う 各種のウェブサービスにログイ ンするためのパスワードを忘れて 秘密の質問にはまじめに答えない。答えは使い回さない これにアクセスする場合、あるい Q. あなたの小学校は は不審なログインがあった場合の 秘密の質問 本人確認の目的に 「秘密の質問」 と Q.あなたの小学 校はなんてい うの? 呼ばれる機能があります。これは あらかじめユーザが質問と答えを 登録しておいて、合い言葉的にこ れに答えるものです。 この秘密の質問には自分で質問 を作れるものもありますが、「生 A.いちごババロア 抹茶風味 ○○小学校、 △△中学校卒業 A.新居浜 4 区 秘密の質問はネッ トで答えが見つけ られる場合もあり、 まじめに答えると セキュリティホー ルになる Q. お兄さんの名前は? 答えは ○○小学校か 設問から選ばざるをえないものも A. ネオ・イコン・ エピファネス 多要素認証やログイン通知でセキュリティを向上 多要素認証 まれた市は」 とか 「ペットの犬の名 前は」 のように、生活に密着した Q. 生まれた街は? 第 1 要素 ID: ○○○○ PASS: △△△△ ログイン通知 ID: ○○○○ PASS: △△△△ ID: ○○○○ PASS: **** あります。SNS が普及している現 在、こういった個人にまつわる情 報は簡単にネットで見つけられる ログイン あり 第 2 要素 ハードウェア トークン ソフトウェアトークン (ワンタイムパスワード) USB キー ログインメール通知 場合もあり、セキュリティを担保 する要素にはなりえません。 ですから秘密の質問に答えを設 定する場合は、あえて全く関係な おさるさん 銀行 振り込み暗証 番号入力 い答えとすることで、せめて SNS などから答えを推測できないよう にしましょう。 白うさ ネットワーク ログイン パスワード入力 ウェブメール サービス 生体認証を使う 顔認証 またサービスへのログインを安 指紋認証 パスワードを 盗み見できない… 全にするために複数の要素を使っ て認証する二段階認証や多要素認 証といった方法があれば活用しま しょう。これらの方法では、たと えば通常のパスワードの他に、そ の時に一度きり使用する使い捨て あった時に通知をメールでユーザ きない面もあり善し悪しですが、 パスワードを、ハードウェアトー に送ることで不審なログインを検 肩越しの盗み見などよるパスワー クンや生成アプリ、あるいはサー 知する方法もあります。 ドの盗難には強い機能でもありま ビス側でパスワードを生成してメー またこのほかにも 3 次元の立体 す。なお生体認証はたいていは通 ルであらかじめ登録したスマホに 的な顔形状や、虹彩や指紋で認証 常のパスワードの入力の省略なの 送信するなどの方法で伝達し、ロ して機器のロック状態を解く生体 で、スマホでは失敗すると、通常 グイン時にユーザに入力させます。 認証機能もあります。 のパスワードの入力に戻ります。 生体認証は本人のみが使える反 本体を盗まれてこの方式でロック 使って利用者を確認する方法や、 面、万一生体認証情報が流出した 解除されないように、長めのパス あるいはサービスにログインが 場合、パスワードのように変更で ワードを設定しましょう。 そのほかにも USB 式のキーを 26 第1章 基本のセキュリティ コラム:パスワードはどうやって漏れるの? どう使われるの? 様々な ID・パスワードの抜き取り方法 ❸ サービスを提 供するサーバ を攻撃 ID・パスワードを 大量抜き取り ❷ 暗号化されていない 通信から抜き取り プロローグ ❶ マルウェアに感染 したパソコンなど から抜き取り 攻撃者に ID とパスワードが抜き取ら れる方法は、機器がマルウェアに感染 したり、自分が通信する過程で抜き取 られたりする方法の他に、利用してい るサービス側からも流出する可能性が あります。サービス側から流出した場 合は、速やかにパスワードを変更する などの対応を取りましょう。 あなたのパソコン 第 盗んだ ID・パスワードを使い様々なサービスを乗っ取れるか試す 1 章 サイバー攻撃 ウェブサービス、オンライン ストレージ、ウェブメール 白うさ ネットワーク オンラインバンク カード会社 たこ クレジット インターネットショッピング 三毛猫 電気 私たちがパソコンやスマホ、 上のどこかで盗み取られてし を乗っ取れないかをいろいろ サービスを利用するときに入 サービス側でログインを認証 あなたが複数のサービスで 力する ID やパスワード。サイ するために控えとして持って ID とパスワードを使い回した バー攻撃でこれらの情報を盗 いる ID やパスワードが、攻撃 り、あるいは類推しやすいパ まれると、かなり深刻な被害 者によって盗み取られるケー スワードを使っていると、こ れらのサービスのアカウント のは、自分がマルウェアなど とはオンラインショッピング に感染していなくても、漏れ で勝手に物を買われてしまっ な ど が マ ル ウ ェ ア に 感 染 し、 てしまうケースがあると言う たり、現金は送れなくても何 そのマルウェアがパスワード ことです。ID やパスワードを らかの送金システムが利用で を盗み取って攻撃者に送信す 普段入力してしないから安心、 きる場合は、それを使ってお るケース。次に、ウェブサー とは言い切れません。 しまうのでしょう? 一つには、自分のパソコン 金を奪い取られたりされてし ビスなどにログインするとき そして ID とパスワードを盗 まうわけです。もしパスワー に、私たちが利用する機器か み取った攻撃者は、それでど ド流出が判明したらすぐに変 らウェブサービスまでの経路 こか別のウェブサービスなど 更しましょう。 27 4 章 を一気に乗っ取られます。あ 第 ここで知っておいてほしい では実際はどのように漏れて 3 章 まうケース。そして、ウェブ 第 な所で試します。 あ る い は SNS や ウ ェ ブ 上 の を起こしかねないものですが、 スなどがあります。 2 章 SNS ID・パスワードを何らかの手段で手に 入れた攻撃者は、これをどこか別のサー ビスで使えないか様々な方法で試しま す。こういった攻撃を成功させないた めに、パスワードの使い回しや、似た パスワード、推測できるパスワードを 利用するのはやめましょう。 第 おさるさん 銀行 攻撃されにくくするには、 4 手間(コスト)がかかるようにする サイバー攻撃をする攻撃者は、 軍事や産業スパイ、名をあげるこ とを目的に採算度外視でやる悪意 のハッカーなどではない場合、何 コスト 攻撃されにくくするには手間がかかるようにする ピッキングしにく いディンプルキー 番犬 らかの利益が目的の行動が多いと 割れたガラス 言うことができるでしょう。それ は彼等にとってのビジネスであり、 頑丈な窓に割れに くいガラス ビジネスではコストパフォーマン ス、つまりいかに手間をかけず大 きな利益を生むかが重要です。 警備員 警備会社の プレート ると、攻撃されにくい環境を作る ます。 ピッキング しやすい鍵 高い壁 そういった攻撃者の視点から見 にはどうしたらいいかが見えてき 忍び返し 監視 カメラ 壁が壊れたら 補修 頑丈な門 セキュリティが 高そう。盗みに 入るの大変そう だなぁ… 窓は開きっぱな し。こっちは盗 みに入るの楽勝 だな… たとえば現実世界では、泥棒は 防犯がしっかりしていて警戒が厳 高い 重な家よりも、鍵をかけなかった り窓を開けっ放しで外出したりする ような家の方に侵入します。その 攻撃にかかる手間 (コスト≒リスク) の視点 新しい OS 使い回しの ない複雑な パスワード や生体認証 間 (コスト) がかからないわけです。 これはネットの世界でも同様で 録され (ログ) 、場合によってはし セキュリティ ソフト 簡単なパス ワードかパス ワード無し ファイアー ウォール セキュリティ パッチ セキュリティ アプリなし かるべき管理者に通知が行き、パ スワードを破ろうとしても複雑で 突破できない。システムも最新で 攻撃するにもセキュリティホール ネットの世界 ログ記録、 不正アクセス通知 す。侵入するまでに幾重にも難関 があり、侵入を試みたら形跡を記 現実の世界 低い 古い OS 方が彼等にとって安全、つまり手 開けっ放し の窓 こっちには侵入 に時間(コスト) がかかりそう… セキュリティ ホール こっちは穴も開 いているし、侵 入は楽勝だな! が見あたらない。セキュリティソ フトも導入されている。さらにファ イルを盗めても複雑な暗号化がさ ルそのものも暗号化されておらず、 ですからこういった攻撃者の視 れていれば、解読までに何百年も さらにパスワードを使っていても、 点を持ち、侵入することがとても かかってしまい使えない。普通の たくさんのサービスで全部同じも 面倒くさく、攻撃したくなくなる 攻撃者なら敬遠します。 のを使い回している。 ような環境を構築すると良いで それよりは、セキュリティホー これならばどっちに行くのがビ しょう。一方単純な利益目的でな ルは放置、パスワードは非常に簡 ジネスとしてコストパフォーマン い場合、すこし対策が変わってき 単だったり無しだったり、ファイ スがいいか明らかですよね。 ます。 28 第1章 金銭などの利益目的ではない攻 撃には、相手そのもの、つまり未 金銭目的ではない攻撃にも備えよう 成年者略取や、いかがわしい写真 の入手などを目的とするものがあ ハンドル名: アカ松さん 個人情報ないかな? ります。 い」 と言ったら、たいていの人は プロローグ かがわしい写真を撮らせてくださ もしくはリアルの 友達に限定 拒否するし逃げ出すでしょう。そ 個人情報はネットに上げない れがネットの世界だと許容してし 用して警戒心をもたれないような 個人情報はネットに アップしないよ 小学校:なし 中学校:なし 高等学校:なし 大学:○○大学 笑学部 現住所:夢の国 現実の世界で面と向かって「い まう理由は、攻撃者がネットを利 基本のセキュリティ だませそうな女の 子はいないかな? どれどれ 人間になりすまし、うまくだまし ハンドル名: 細雪 お友達に なりましょう! 小学校:なし 中学校:なし 現住所:なし 第 てしまうからです。 ですからSNSや掲示板などのサー の知り合いでもないのに会おうと いか、会う場合でも必ず大人か保 そして少しでも変だなと思った り、最初と話が違ったりした場合、 それは人をだます 「心理的な」 テク ニックかもしれません。警戒し場 攻撃者に操られて内側から鍵を開けて しまわないように心がまえを持とう れませんが、そういった 「人をだ 添付のファイルをすぐに ご確認ください ますテクニック (≒ソーシャルエ 3 章 あまり聞いたことがないかもし 2 第 合によっては帰りましょう。 未成年が SNS を利用する場合、写真や自分の個人情報を公開しないように しましょう。また投稿内容も原則的に一般に公開せず、SNS で友達になった 人のみが見られる設定にしましょう。 SNS で知らない人が友達になろうとリクエストを送ってきても、会ったこ とがない人はスルーするか基本的にお断りしましょう。 それは現実の世界で自分の個人情報を書いた名札をつけて歩いたり、名前 もわからない初めて会った人に、ついていったりするのは危ないということ と同じなのです。 章 護者同伴で行くようにしましょう。 リアルで知り合いじゃない人とは友達にならない 第 誘われた場合は、基本的に会わな 章 たら、まず注意し絶対に個人情報 は教えないようにしましょう。現実 1 知らない人は無視、 場合によっては ブロック! ビスで知らない人物が近づいてき 妙なメールだな。送り主に 確認の電話してから開こう ンジニアリング) 」 は体系化されマ ニュアルのようになって存在する そしてこの人をだますテクニッ クは、なにも上記のような例だけ こういうのは目的地を 告げないで車に連れ込 むようなもの。引っか からないよ! このページ楽しいよ! 見てみて! URL でなく、私たちも日常生活の様々 なシーンで直面しているのです。 たとえば 「振り込め詐欺」 や 「標 的型メール」 。どんなにセキュリ ティを固めても、本人がだまされ 結果として犯罪者に操られてしま うと、全ては無意味になってしま 不審なメールに気をつけ、怪しいときは開かず送信者に確認する癖をつけ ましょう。ネットや SNS の引っかけは、セキュリティ関係のニュースをこま めに見ていると、次第に傾向がわかるようになります。訓練しましょう。 います。厳重に注意しましょう。 29 4 章 このアプリ面白い! みんなも試して! 第 のです。 心の隙を作らないようにする 5 (対ソーシャルエンジニアリング) 古典的なソーシャルエンジニア リングには、 「トラッシング(ゴミ 箱あさり) 」など相手に直接接触せ ず情報を入手するものや、「ネー ムドロップ (権威があるように見 せて聞き出す) 」 「ハリーアップ(急 がせて聞き出す) 」など、相手が正 常に判断できない状況に追い込ん で、必要な情報を聞き出したり、 相手に自分が求める行動を行わせ 心の隙を作らないようにする (対ソーシャルエンジニアリング) 古典的なソーシャルエンジニアリング トラッシング はい !! △×○□です! データを記録した DVD や重要書類はないかな? (株) ○○通用口 重役の○○だ !! 建 物に入ろうと思っ たら、ロック番号 が変わっているじゃ ないか! 聞いてな いぞ! 何番だ! 今 すぐ教えなさい! たりするものがあります。 振り込め詐欺をはじめ詐欺全般 には、こういった 「人間の心の隙 を突くソーシャルエンジニアリン グの手法がよく用いられる」 と言 事業ゴミ われれば、イメージがつかめるで しょう。 そしてデジタル世代のソーシャ ルエンジニアリングもまた人間の 心の隙を突くものなのです。 たとえば相手に直接接触せず情 ネームドロップ ハリーアップなど デジタル世代のソーシャルエンジニアリング ショルダーハッキング ロック番号は 1126 か… 画面についた脂の跡を見る パターンロック は S の字か 報を入手するものとしては、電車 で座席に座っている人のスマホ操 作を見て、パスワードやパターン ロックを盗む 「ショルダーハッキ ング」 や、テーブル・仕事机に置 いたままになっているスマホを持 ち上げて、画面の上に残っている 指の脂跡からパターンロックを見 破る方法などがあります。こうやっ て事前にロック解除の手段を特定 公共の場でロック解除をするときは、 背後などから見られていないか気を つけること スマホを席に残しておいたり、 席取りのためにテーブルに置い て離れたりしないこと しておけば、あとは機会を見てス そういった精緻な標的型メール マホを盗めば、個人情報を丸ごと 的型メールでは攻撃者が相手の名前、 手に入れることができます。 所属、身分、同じような会社でやり がライフルによる狙撃のように またメールで相手の心理的な隙 とりするメールのパターンなどを入 狙った獲物だけを撃つものだとす を攻撃するのが 「標的型メール」 で 手して、日常的な仕事のメールと ると、「フィッシングメール」は広 す。詐欺師が詐欺にかける相手を 見分けることができないほど精緻 範囲を攻撃する手法として今でも よく調べてから行動するように、標 なものを送ってくるわけです。 よく使われます。 30 第1章 こちらの場合は引っかかる率が 少なくとも、その攻撃の母数を大 きく取ることで攻撃者にとっての 基本のセキュリティ 標的型メールとフィッシングメールなど 標的型メールの例 利益回収のパフォーマンスを上げ ています。 プロローグ たとえばこのページの右枠左下 の画面は、実際に SMS(スマホの ショートメッセージ) に送りつけ られた、銀行を名乗るフィッシン グメールを模したものです。 このメールにはフィッシング メールを疑う手がかりがたくさん あります。このメールが無差別に ンクを開かないはずでしょう。ま フィッシングメールの例 (SMS・ショートメッセージを使った例) た表示しているリンクも、よく見 悪意はないが 拡散してしまう例 1 章 いない人は心当たりがないのでリ 第 送りつけられても、口座を持って つぶやいてみる る と、URL の 末 尾 が 日 本 を 示 す jp 等ではなく gq になっています。 第 しかしこういったものでも一定の 割合引っかかってしまう人がおり、 2 章 もしその先にゼロディ攻撃のマル ウェアが埋め込まれたウェブサイ トがあれば、それで感染してしま うわけです。 またもっとやっかいなのが、攻 第 撃者ではなく、善意でマルウェア を拡散させてしまう人々です。た 章 3 とえば 右枠右下の画面、この SNS アカウントが友達のアカウントだっ た場合、本人は本当にこのアプリ が面白いと思って薦めているかも しかし本人は知らなくても実際 薦め系のものは一つの線引きを 「ち ょ っ と こ の 車 乗 っ て よ」と か 持って接したほうが良いでしょう。 「ちょっとつきあってよ」といって 目の前に見ている情報で完結しな 連れて行かれるのに等しいと思い たり、あるいは拡散する間は無害 いものは一律警戒するのです。動 ましょう。 でも、その後権限を拡大して個人 画が面白いとかお金が儲かる方法 さらに、「リンクでジャンプし 情報を抜き取るかもしれません。 があるとかだけでなく、リンクで ないけど検索エンジンで調べて見 これがまだ知らない人の発信な ジャンプするとか、知らないアプ る分にはいいよね」、と思っても、 らば警戒できますが、親しい友達 リをインストールするものは一律 攻撃者はそうやってくる人向けに、 や家族だった場合、同じように警 に避ける。 2 段構えでマルウェアを仕込んだ 戒するでしょうか? 対抗策としては、こういったお そ れ は 現 実 世 界 で「ち ょ っ と 向 こ う ま で 一 緒 に 行 こ う」と か 31 ウェブサイトを用意していること もある、と覚えておいてください。 4 章 はこのアプリがマルウェア入りだっ 第 とあまり不審に思わないでしょう。 コラム:軍事スパイ、産業スパイに狙われてしまったら ス パ イ で は な い 攻 撃 者 は、 コストパフォーマンスでター 軍事スパイ、産業スパイに狙われてしまったら ゲットを選ぶ傾向があります 職業スパイにはコストによる防御が効かない が、では逆にスパイはどのよ うに行動するのでしょう。 軍事スパイや産業スパイの 場合、入手するべき情報は絶 セキュリティの厳重なサーバのイメージ (豪邸) 重要データ 対であり、侵入しにくいから 活動資金は X 国が出すぞ! といって別の情報にすること はできません。 盗るべき情報がそこに あるなら、絶対に盗る もう一つはこういった攻撃者 の場合、活動するための資金 は自分でまかなわなくても、国 お金 家だったり軍だったり、あるい スパイ活動の今昔 は産業スパイでも個人的に活 動して情報を売る者でなければ、 お金は我が企業が出すぞ! 昔はスパイといえば… ヒューミント (Human Intelligence) オシント (Open Source Intelligence) スポンサーの企業が活動資金 SPORTS GYM を出すかぎり、自分はコストパ シギント (Signal Intelligence) 毎週水曜日、 スポーツジム で友人 A と会 う フォーマンス度外視で攻撃を 仕掛けられるわけです。 興味がある方は一般のスパ イ の 教 本 を お 読 み に な る と、 サ イ バ ー 攻 撃 で は な くと も、 ターゲット 地味に販売されている新聞 雑誌の切り抜き。ほぼこれ 今はスパイといえば… 目的のためにはどれぐらい容 ヒューミントのための下調べ。 尾行して趣味や交友関係を探る 通信傍受、暗号解読 盗み出し マルウェアに感染 させ、メールもデー タも抜き放題 重要情報 赦ないことをするのか理解で 標的型 メール きるでしょうし、それが理解 できれば、あとはネットの世 界に置き換えればいいわけです。 なるほど毎週こ こへ行き、こう いうところが好 き。親しい友人 はこれ。趣味は これ またネットが全盛になる前 のスパイ活動は、相手国の新 聞や雑誌など公開されている デジタルなオシント、ヒューミント デジタルなシギント 情報から情報収集するオシント、 人間に関して調べたり尾行し し交友関係も丸わかりです。ま これがサイバー時代のインテ たり、関係を持って情報を聞 たシギントもマルウェアに感染 リジェンスと言ったところで き出すヒューミント、そして させてメールを盗み見たりファ しょうか。 通信を傍受や盗聴して情報を イルを奪取したり、スマホの通 入手するシギントがありました。 話を盗聴できたりもします。 要職にある方々は、SNS な どに不必要に情報を流さない 少なくとも相手が SNS 好き ようにしましょう。あなたの SNS を見ればある程度ヒュー の人間なら一般人でもヒュー 行動のすみずみまで、その情 ミント的な情報は入手できます ミントもシギントも楽にでき、 報は見られていますよ。 ネ ッ ト 社 会 の 現 代 で は、 32 第1章 基本のセキュリティ プロローグ 第 章 1 第 章 2 第 章 3 第 章 4 33 下記の商標・登録商標をはじめ、本ハンドブックに記載されている会社名、システム名、製品名は一般に各社の商標または登 録商標です。 なお、本ハンドブックでは文中にて、TM、®は明記しておりません。 Adobe、Acrobat、Adobe Reader、Adobe Flash PlayerはAdobe Systems Inc.の米国およびその他の国における商標または登 録商標です。 Firefoxは、Mozilla Foundationの米国およびその他の国における商標または登録商標です。 Google、Android、Google Chromeは米国Google Inc.の米国およびその他の国における商標または登録商標です。 iOSは、Cisco の米国およびその他の国における商標または登録商標であり、ライセンスに基づき使用されています。 Linuxは、Linus Torvalds氏の米国およびその他の国における商標または登録商標です。 MacおよびMac OSは、Apple Inc.の米国および他の国における商標または登録商標です。 Microsoft OfficeおよびWindowsは米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。 OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における商標または登録商標です。 内閣サイバーセキュリティセンター (NISC)ホームページ:http://www.nisc.go.jp/ NISC「みんなでしっかりサイバーセキュリティ」:http://www.nisc.go.jp/security-site/index.html NISC 公式Twitter: @cas_nisc NISC@みんなのサイバー天気予報 Twitter: @nisc_forecast NISC@サイバー天気予報 LINE公式アカウント(2月開設予定) NISC facebookページ: https://www.facebook.com/nisc.jp じょうほう ネットワークビギナーのための情報セキュリティハンドブック 2016年2月2日 Ver 1.01発行 ないかく 制作・著作 内閣サイバーセキュリティセンター イラスト KOTA 情報セキュリティハンドブックは、企業や組織、学校の中で、サ イバーセキュリティの普及・啓発に利用する限りにおいては、印 刷、配布、および電子媒体での配布の制限はありません。 ご利用された場合は、ご意見・ご感想のページ(http://www. nisc.go.jp/mail.html)からご連絡をください。 Copyright © 2016 National center of Incident readiness and Strategy for Cybersecurity.
© Copyright 2024 ExpyDoc