2015/2/2 自己紹介? • 1988年頃より図書館情報大学の電子メール サーバ管理者(postmaster)を務める(JUNET) • 1990年代に図書館情報大学においてUnix系 OSの教育システム導入・運用、LANやイン ターネットとの相互接続とその管理、公式 Webサーバ等の立ち上げを行う • 筑波大学との統合(2002年)後、主に部局内シ ステムやLANの管理・運用に関わる • 必然的にセキュリティ問題への対応も セキュリティ基礎の基礎 筑波大学大学院図書館情報メディア研究科 図書館経営管理コース「システム管理論」 阪口哲男 <[email protected]> 2015/2/2 1 本日のトピック • 「岡崎市立中央図書館」事件について – いわゆる「岡崎市立中央図書館事件」を例に – 2010年の図書館関係者や情報技術者らの大き な関心事に • 関連配布資料 • 情報セキュリティの基本概念 – Wikipedia. 岡崎市立中央図書館事件. http://ja.wikipedia.org/wiki/岡崎市立中央図書 館事件 (2015年2月1日参照) – 新出. 「Librahack事件が図書館に投げかけるも の」, みんなの図書館, 2011年3月号, p.10-21. • その他の事例 3 事件の経緯(の概要) 2015/2/2 4 事件のセキュリティ的なポイント • なぜアクセス障害が頻発したのか? • 2010年3月 – 岡崎市立中央図書館の蔵書検 索システムのアクセス障害頻発 • 4月 – 迷惑なアクセス行為を受けたとして同 図書館が警察に被害届提出 • 5月 – 男性が偽計業務妨害容疑で逮捕 • 6月 – 起訴猶予処分(嫌疑不十分ではない) • 8月 – 図書館システム側の問題が報道される • (以下詳細は配布資料参照のこと) 2015/2/2 2 具体例から考えるセキュリティ • 具体例から考えるセキュリティ対応 2015/2/2 2015/2/2 – 自動収集のためのプログラム(クローラ)そのもの のアクセス頻度はそれほど高くなかったが? • 被害届提出は対策として適切なのか? – アクセス元が国外や不特定だとどうなるか? – 同様のアクセスが他にもある可能性 • 情報漏えいは防げなかったのか? – 9月に発覚した個人情報漏えい – 岡崎以外の図書館についても同様に生じた 5 2015/2/2 6 1 2015/2/2 なぜアクセス障害が頻発? 被害届は適切な対策か? • アクセス障害の解析は十分だったか? • Webに公開されたOPACは内部で蔵書データ ベース(DB)をアクセス – OPACシステム不具合対策はなぜされなかった? • アクセス元が国外や不特定だったら? – DB自体は別サーバにある(DBサーバ) – ごく一般的なシステム構成 – 被害届がアクセス元に効力があるか? – アクセス障害が止まる保証はないのでは? • アクセス上限設定がDBサーバに – 上限設定自体も一般的(でも値が低かった?) – OPACシステムに不具合→上限にすぐに達する – クローラによるアクセス→DBサーバの上限に 2015/2/2 • 同様のアクセスは他にもあるかも? – 同じ手法を別人が取る可能性 • アクセス障害の「対策」ではない! 7 8 図書館としては何が問題か? 情報漏えいは防げなかったのか? • この事件に関連して発覚した情報漏えい • 「みんなの図書館」の項目に対して – 図書館システム自体の不具合等ではない – システムの導入・設置作業工程上の問題? – 図書館員のIT知識の不足 • 業者に丸投げして、「放置」になってないか? • その問題の具体(阪口解釈) – Webサービスと図書館員の意識 – システムを設置する計算機にインターネットにファイ ルを公開する仕組みを設定 – その公開用ファイル置き場に個人情報が含まれた ファイルが保存されていた – そこに他館の利用者の情報もあった • Web経由でも「図書館利用者」としてとらえているか? – 利用者の逮捕拘留の意味するもの • +「起訴猶予処分」の重さ • WebやITの活用上、セキュリティ等の最低限 の知識と対策を自らの責任で • つまり業者の作業方式の問題→防ぐには? 2015/2/2 2015/2/2 9 2015/2/2 10 情報セキュリティの基本概念 • 「情報の機密性、完全性、及び可用性を維持す ること」 ISO/IEC 27002 • 機密性 (ここで独立行政法人情報処理推進機構より提供され ている「情報セキュリティ読本 教育用プレゼン資料」の 「第4章 組織の一員としての情報セキュリティ対策」の スライド18から25までを用いて主として情報漏えい対 策について解説した。スライドは http://www.ipa.go.jp/security/publications/dokuhon/p pt.htmlよりダウンロード可能) – 許可された者だけが情報にアクセスできること(情報 漏えいを防ぐ) • 完全性 – 情報や情報の処理方法が、正確で完全であること (改ざんを防ぐこと等) • 可用性 – 必要な時にアクセスできること(「止めない」こと) 2015/2/2 11 2015/2/2 12 2 2015/2/2 その他の事例(1) その他の事例(2) • 近年のコンピュータウィルスの傾向 • DNSリフレクター(反射)攻撃 – 「遠隔操作」事件に関連して – 朝日新聞2月17日、18日の記事を例に – 最近は感染したPCに不具合を起こさせず、遠隔操作 により、他への攻撃の踏み台にすることが多い – 多数の感染PCによる一斉攻撃→DDoS攻撃 • 利用者向け機能の悪用事例 – 朝日新聞「脱原発団体にサイバー攻撃 一斉メール 253万通」 – メールマガジンや問合せ欄にメールアドレス登録する と確認メールが送信される仕組みを悪用 2015/2/2 13 – ASCII.jp「大規模DDoS攻撃から考える、DNSサーバー 管理の重要性」 – ここの「DNSサーバー」にはブロードバンドルータや無 線LANルータ(家庭用を含む)も含まれる! – DNSだけでなくNTP(時刻同期)も問題に • 複合機やNAS等による情報漏えい – 朝日新聞「パスワード設定で不備か 国立3大学、複 合機通じ情報漏れ」 – ITmedia「首都大学東京… NASが外部に公開状態」 – INTERNET Watch「…「SHODAN」で発見を、IPAが…」 2015/2/2 その他の事例(3) その他(1) • 標的型攻撃 • 基本的なソフトの深刻な脆弱性 – あたかも関連組織等のふりをしたメールで感染 – 「ばらまかれるウィルス」に比べてウィルス対策ソフト の対応も遅れがち – 安易に添付ファイルを使わないことと各種ソフト (Office, Adobe Reader等)を常に最新に – SSL Heartbleed, Bash Shellshock, SSL3.0 POODLE, etc. – 特にShellshockはNASや無線AP, ルータなど広範 な影響 • NAS等はメーカにより対応の速度に大きな差が、、、 • フィッシング事例: Active!mail利用者を標的に – 筑波大学: 教員と学生全員向けに運用している Webメールシステム – 盗んだアカウント情報でspamばらまきに利用 2015/2/2 • クロスサイトスクリプティング – 例: 掲示板等に不正な内容→ウィルス感染等 • クロスサイトリクエストフォージェリ – 掲示板等に意図しない内容を投稿させられる 15 2015/2/2 その他(2) 16 まとめ • 図書館システムのセキュリティ • SQLインジェクション – Webを通じてDBアクセス言語SQLの記述を投入し てDB内のデータを抜き出したり改ざんする • 図書館システムの脆弱性対策(当然) – 業者との連携 • 図書館館内端末の対策は? – 古いOSやソフトは脆弱性の対策が提供されない – 業者との連携が大切 – インターネットからは善意・悪意関わらず様々な アクセスがある – まずは障害を起こさないように – 攻撃の疑いがある際はJPCERTなど適切な機関に 相談を (参考: https://www.jpcert.or.jp/) • 組織内での周知徹底が重要 • 例: Windows-XP, Office2003は2014年4月8日に終了 – インターネットにつながなくても感染(USBメモリ等) 2015/2/2 14 17 – 普段のIT利用等でも用心が必要 2015/2/2 18 3 2015/2/2 配布資料リスト(1/2) 配布資料リスト(2/2) • Wikipedia. 岡崎市立中央図書館事件. http://ja.wikipedia.org/wiki/ 岡崎市立中央図書館事件 (2015年2月1日参照) • 新出. 「Librahack事件が図書館に投げかけるもの」, みんなの図書 館, 2011年3月号, p.10-21. • 朝日新聞記事抜粋(東京-茨城県南版) – 2013 – 2013 年2月17日(日)朝刊13版38面 年2月18日(月)朝刊13版38面 • • • 「首都大学東京、学生ら が外部に公開状態」 万 年人分の個人情報が流出した可能性 月 日 時 分 ニュース 「複合機や家電の不要な公開サーバーは「 」で発⾒を、 が利 用法を指南」 年 月 日 時 分 5 1000 NAS . 2015 1 19 18 50 . Itmedia (http://www.itmedia.co.jp/news/) SHODAN IPA . 2014 2 28 15 54 . INTERNET Watch (http://internet.watch.impress.co.jp/) bash (CVE-2014-6271 ) . 2014 10 28 . IPA – (http://www.ipa.go.jp/security/) bash Shellshock . 2014 11 4 11 18 . (http://www.trendmicro.co.jp/) ( ) . 2014 1 18 15 00 . (http://digital.asahi.com/) . . http://www.u.tsukuba.ac.jp/icho13/phishing.html (2015 2 1 ) ( ) (IPA). : IT , . . 137p. 2013. 「更新: の脆弱性対策について 等」 年 月 日 情報セキュリティ 「日 に存在する「 時 分 トレンドマイクロ」脆弱性についての注意喚起」 年 月 「 てくの生活入門 デジタルセキュリティーの勘所」 年 月 日 時 分 朝日新聞デジタル 筑波大学学術情報メディアセンター 「詐欺メールにご注意」 年 月 日参照 参考書 独立行政法人情報処理推進機構 情報セキュリティ読本 時代の危機管理入門 四訂版 実教出版 • 「脱原発団体にサイバー攻撃 一斉メール253万通」. 2013年11月 10日5時43分. 朝日新聞デジタル (http://digital.asahi.com/) • 渡瀬圭市. 「大規模DDoS攻撃から考える、DNSサーバー管理の重 要性」. ASCII.jp, 2013年12月27日. http://ascii.jp/elem/000/000/853/853713/ • 「パスワード設定で不備か 国立3大学、複合機通じ情報漏れ」. 2013年11月8日5時00分. 朝日新聞デジタル (http://digital.asahi.com/) • 2015/2/2 2015/2/2 19 • • • 20 4
© Copyright 2024 ExpyDoc
