Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20151210 吉備創生カレッジ第2回資料

2015年12月10日に行った、平成27年度後期「吉備創生カレッジ」の講演資料。

  • Be the first to comment

  • Be the first to like this

20151210 吉備創生カレッジ第2回資料

  1. 1. インターネットの仕組み 第2回:インターネットに潜 む危険 國島丈生(岡山県立大学) Email: t.kunishi@gmail.com 2015.12.10
  2. 2. WWW 吉備創生カレッジ「インターネットの仕組み」 2015/12/10 平成27年度後期「吉備創生カレッジ」 2
  3. 3. WWW(World Wide Web) • Web:クモの巣 • Webページが互いにリンクで繋がっている様子をクモの 巣に例えた • 比較的新しいインターネット技術 • 1991年,CERN(欧州合同原子核共同機構)で開発 • 現状 • 最もよく利用されているインターネット技術 • Webブラウザ以外にも様々なところで利用(スマートフォ ンのアプリなど) 2015/12/10 平成27年度後期「吉備創生カレッジ」 3
  4. 4. WWWの仕組み 2015/12/10 平成27年度後期「吉備創生カレッジ」 4 1. ページの取得要求 2. ページ(HTML)を送信 3. ページ中の画像、 プログラム等の取得 要求 4. 送信 5. ページの整形
  5. 5. WWWのここだけは知っておこう • Webページの素材はあちこちのサーバに分散して いてもよい 2015/12/10 平成27年度後期「吉備創生カレッジ」 5 テキスト 画像
  6. 6. WWWのここだけは知っておこう • リンク • <a href=“http://another.example.com/”>http://www.exam ple.com</a> 2015/12/10 平成27年度後期「吉備創生カレッジ」 6
  7. 7. WWWのここだけは知っておこう • HTMLフォーム:ユーザからの入力をサーバに送る手 段 2015/12/10 平成27年度後期「吉備創生カレッジ」 7 <form method=“post” action=“http://example.com/another_url”> <input type=“text” name=“user_id”> <input type=“hidden” name=“title” value=“1”> <input type=“submit” value=“送信”> </form> “hidden”と指定された項目は ブラウザに表示されない
  8. 8. WWWのここだけは知っておこう • ブラウザでプログラムを動かす • ユーザ操作などのタイミングで,JavaScriptというプログ ラミング言語で書かれたプログラムを実行させることが できる • 例 2015/12/10 平成27年度後期「吉備創生カレッジ」 8 $(function() { $('#click').click(function() { $('#text').toggle(); }); });
  9. 9. WWWのここだけは知っておこう • 電子メールに装飾をつけると • 字を大きくしたり • 色を変えたり • 電子メールの本文はWWWと同じように表示され ています • 電子メールの本文はHTMLで書かれる(HTMLメール) • リンクも使えてしまいます 2015/12/10 平成27年度後期「吉備創生カレッジ」 9
  10. 10. セキュリティ 吉備創生カレッジ「インターネットの仕組み」 2015/12/10 平成27年度後期「吉備創生カレッジ」 10
  11. 11. セキュリティ(security) • 意味:安全確保,機密保護 • コンピュータセキュリティ • コンピュータを災害,誤用,不正な利用から守ること • 関連用語 • セキュリティホール:ソフトウェアのバグのうち,不正利 用を可能としてしまうもの • クラッキング:外部からコンピュータへの(通信を用い た)攻撃 • ファイアウォール:クラッキング防止のために設置され る,通信を制限する機器・ソフトウェア 2015/12/10 平成27年度後期「吉備創生カレッジ」 11
  12. 12. セキュリティ侵害の目的 • 昔…いたずら,興味本位 etc. • 今 • 営利目的:取得した情報から金銭的な利益を得る • ランサムウェア(ransomware):PC上のファイルを犯罪者が暗 号化、復元と引き換えに身代金を要求 • 社会的な目的:他サイトへの攻撃の足がかり • 攻撃に成功した個人パソコンを手下にする • SPAMメール配信,WebサイトへのDoS攻撃など 2015/12/10 平成27年度後期「吉備創生カレッジ」 12
  13. 13. インターネット上の危険性 2015/12/10 平成27年度後期「吉備創生カレッジ」 13 攻撃(クラッキング)
  14. 14. 攻撃の方法 • 起点はセキュリティホール • セキュリティホールを利用して,コンピュータの管理者 権限を奪い,乗っ取り(外部から制御可能な状態にす る) • セキュリティホールの利用方法 • コンピュータウィルス,マルウェア(malware) • 不正な形式の添付ファイル付きメール、不正な動的 HTML ページなど • ポートスキャン • アプリケーション層の通信を総当りで試し,セキュリティホール のある通信ができないか調べる • ファイアウォールによる通信の制限が有効 2015/12/10 平成27年度後期「吉備創生カレッジ」 14
  15. 15. 偽装の手口 • 電子メール • From(差出人アドレス)、To(受取人アドレス)などは簡 単に偽装できる • ファイルの種類(拡張子) • 文書.doc, 文書.xls など • Windowsでは • 拡張子によってファイルをクリックした時の動作が決まる(ファ イルのアイコンは関係ない) • 標準では拡張子は表示されない • 偽装が容易に可能 2015/12/10 平成27年度後期「吉備創生カレッジ」 15
  16. 16. 偽装の手口 • ファイル名(拡張子)の偽装 • 文字を「右から左へ」読ませるための制御データを悪用 • 本来はアラビア文字などをコンピュータで扱うための機能 2015/12/10 平成27年度後期「吉備創生カレッジ」 16 (画像は http://www.ipa.go.jp/security/txt/2011/11outline.html より引用)
  17. 17. インターネット上の危険性 2015/12/10 平成27年度後期「吉備創生カレッジ」 17 サービス提供者 クラッキング • ユーザ情報の取得 • 罠を仕掛ける
  18. 18. インターネット上の危険性 2015/12/10 平成27年度後期「吉備創生カレッジ」 18 盗聴 改ざん サービス提供者
  19. 19. インターネット上の危険性 2015/12/10 平成27年度後期「吉備創生カレッジ」 19 サービス提供者 なりすまし
  20. 20. HTTPS: 暗号化された通信 2015/12/10 平成27年度後期「吉備創生カレッジ」 20
  21. 21. セキュリティ対策 • 万能の対策はない • いくつかの対策を併用する • OS(Windowsなど)のセキュリティ修正を適用 • Webブラウザで使用するソフト(Flash, Javaなど)も適宜 更新を • (信用できる)セキュリティ対策ソフトの導入 • ご自身の知識も適宜更新してください • 日進月歩で状況が変わっていきます 2015/12/10 平成27年度後期「吉備創生カレッジ」 21
  22. 22. 応用:Yahoo!Japanウェ ブメールを利用した フィッシング 吉備創生カレッジ「インターネットの仕組み」 2015/12/10 平成27年度後期「吉備創生カレッジ」 22 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  23. 23. Yahoo!ウェブメールが起点 2015/12/10 平成27年度後期「吉備創生カレッジ」 23 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  24. 24. 偽のログイン画面 2015/12/10 平成27年度後期「吉備創生カレッジ」 24 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  25. 25. 間違ったパスワードを入れると 2015/12/10 平成27年度後期「吉備創生カレッジ」 25 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  26. 26. 正しいパスワードならログイン成 功 2015/12/10 平成27年度後期「吉備創生カレッジ」 26 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  27. 27. カード番号の入力を求められる 2015/12/10 平成27年度後期「吉備創生カレッジ」 27 http://takagi-hiromitsu.jp/diary/20041205.htmlより引用
  28. 28. ポイント • 起点はYahoo!ウェブメールのセキュリティホール • HTMLメール中にJavaScriptプログラムが埋め込まれて いた • その結果,Yahoo!のページの中身がまるごと偽サイト のページで置き換えられた • 偽装の巧妙さ • ページデザインもそっくり • Yahoo!のユーザIdとパスワードで擬似認証 2015/12/10 平成27年度後期「吉備創生カレッジ」 28

×