6 1security3

高度情報化と社会生活
 講師藤野幸嗣
メールアドレス yuki@fujino.com
Facebook http://facebook.com/fujino
 講義資料のウェブのアドレス

http://www.fujino.com
 講義用Facebookページ

http://facebook.com/fujinocom

2011/6/1 高度情報化と社会生活 1

本日の講義
 第7回 2011年6月1日
 今週のネットトピック
 ネットのセキュリティ

～対策について


今週のネットトピック
 「ウィルス作成罪」について
 「情報処理の高度化等に対処するための
刑法等の一部を改正する法律案」が国会
で審議さています。
 これまでは「業務妨害罪」などを適用し
ていましたが、実際に被害が及ばないと
取り締りがませんでした。


ウィルス作成罪の新設
 ウィルスを作成したりばらまいたりすること
を犯罪とすることで、実際の被害が発生をし
なくても規制をすることができるようにする
ものです。
 ところが、5月27日の江田法務大臣の答弁で、
「バグ」のあるプログラムを放置した場合に
も同罪の適用を受ける可能性がある旨の答弁
がありました。
 重大なバグを後から認識した場合にそれを公
開し続けると、不正指令電磁的記録提供罪に
問われることが「ある」、との国会答弁。 4
2011/6/1 高度情報化と社会生活

この法律が成立すると
 バグのあるプログラムは永遠にサポート
をし続けないと犯罪になることになりま
す。
 法律家とエンジニアのギャップは大き
い。
 法律家＝バグのあるプログラムの頒布は
犯罪行為である。
 エンジニア＝プログラムにはある程度の
バグがあって当然、改善していけばよ
い。

岡崎市立図書館事件
2010年3月に、利用者が図書館のオンライン検
索システムがあまりに使いにくいので、自分専
用の書誌データを取り込もうとして、プログラ
ムによるアクセスを繰り返す。
システムが負荷に耐えられず（といっても1秒
間に1度）にサーバーがアクセス不能になる。
逮捕され20日間勾留、不起訴、利用者はブログ
で謝罪。のちに図書館側は謝罪と和解。


岡崎図書館事件の教訓
１．全国の図書館システムはヘボイ。
→担当者の無知に業者がつけ込む。
２．そのヘボ加減は想像を超えたモノだった。
→システム負荷への脆弱さがひどすぎ。
３．なんで逮捕されたのかわからない。
業務妨害罪？正常なアクセスとの線引きがな
いのに？
４．教訓ヘボイシステムには近寄らない。


いま、必要なこと
 ネットやセキュリティ
について、ちゃんとし
た知識を持つ。
 投票に行こう。


３．ウィルス被害の実態


ウィルス届け出は減尐傾向


ウィルスの大別
 データ破壊型
イカタコウィルス→器物損壊罪
 トロイの木馬型
それ自体は悪さをしないが、外から
悪意のあるプログラムを仕込む。
 スパイウェア・マルウェア
活用状況を監視したり、不要な宣伝を
みせたりする。

とくに多いのがボット型
 それ自体は悪さをしないトロイ型。
 トリガーによって起動をして、他のコン
ピュータをアタックしたり、メールを
送ったり、巨大データを送信したりする。
 世界中で常に数十万台が支配されている
といわれています。


暴露ウィルスの振舞い
 ウィルスは他のフォルダも公開

公開
フォル
ダ
MyDocu
ment


P2Pでは暴露型ウィルスも
 WinnyやShareなどファイル交換ソフトを
経由して媒介。
 共有したいファイル以外をパソコンから
流出させてしまいます。
 家族が勝手に自宅のパソコンでP2Pを使
う→仕事のデータが流出→会社をクビに
なる。→一家離散。


クリックジャッキングにも注意
 ブラウザでFacebookなどのサービスにロ
グインしたままになっている。
 他のタブで怪しいサイトに誘導される。

 怪しいリンクを踏んでしまう。

→Facebookアカウントが乗っ取られる。
パスワードが漏れる、意図しない投稿や
メッセージが送られる。
※怪しいサイトに行くときはログアウ
ト。

インターネット・セキュリティ
脅威対抗策セキュリティ
サービス
不正侵入ファイアーウォーアクセス・コント
ルロールやVPN
不正アクセスパスワード管理ワンタイムパス
ワードなど
盗聴・偽造・なり暗号化・電子署名認証局
すまし
情報漏洩ウィルス対策対策ソフト
社員教育リテラシー教育


３．パスワードによる対策

パスワード


インターネットの認証
認証方法
１．アカウント＝パスワード方式
２．物理認証方式
MACアドレスなどで確認する。
ハードウェアに埋め込んだ番号コード
暗号化されたICカードなど
ワンタイムパスワード
３．生体認証方式

アカウント＝パスワード方式
 最も普及している。
 パスワードが漏れたらアウト。
 パスワードが多くなってくると管理がと
ても大変である。→パスワード地獄
 パスワードの再発行が手間
メールアドレスや確認フレーズなどで
再発行をしているケースも多い。
※登録メールアドレスや再発行手順の
確認をしておきましょう。

ネット社会はパスワード社会
 自分のパスワードの管理はきちんとやろう。
 紙に書く、パソコンに覚えさせる。
 パスワードの再発行方法も確認しておく。
→大半は登録メール宛のパスワードの再発
行だ、メールアドレスの変更には細心の注
意を払おう。
アドレスを変更しないメールをひとつ準備
しておこう。（アンカーメールといいます）

パスワードの管理
 ともかくキーボードに慣れること
登録間違、入力間違は極めて多い
日本語入力をしたまま、CapsLockをか
けたままパスワードを登録してしまう。
 侵入されやすいパスワード
並び数字、名前と同じ、アドレスと同
じ、文字数が尐ない
 ブログの管理画面でもパスワード認証

パスワードの問題
 安易なパスワードにしている。
１２３４ password とか
数字のみ、単語、名前、簡単なキー入力
→大文字、数字、記号を組み合わせる。
 パスワードをずっと変更しない。

定期的に変える。
 パスワードの使い回し。

他のサービスとの共有。→これは危ない！

パスワードの初歩的な管理
１．頭で覚える。
２．指で覚える。 →多くなると無理。
３．紙に書いておく。→紛失、盗難。
４．パソコンに書いておく。→人に見ら
れるおそれ。
→そもそも、パスワードは暗号化し
て保存をしておくべきもので、平文で保
管するものではありません。

パスワードの記憶場所
 パソコンのシステム
 ブラウザのパスワード管理場所

 Cookieにもパスワードを仕込んでいる例

がある。平文だったら最悪。
 パスワード管理ソフト

パソコンの中やネット内の認証サーバー
USB
クラウド

Windowsのオートコンプリート
 Windowsにアカウントやパスワードを記
憶させる機能。
 便利だが、そのパソコンを使う他の人に
もパスワードがわかってしまう。
 パソコンを変えたら使えない。
 管理が難しい。
→共有パソコンでは要注意


Cookieの機能
 サーバーが利用者を認証するためのデー
タを利用者のパソコンに送信して保持さ
せる機能。
 サイトを再訪問したときに、利用者を認
証する機能。
 偽造が簡単、セキュリティもないので、
再訪問の確認程度に使われている。
 共有端末ではCookieの機能を切っておく。

パスワードをパソコンで管理
１．ブラウザに覚えてもらう。
→マスターパスワードを忘れると悲惨。
→パソコンが壊れたらアウト。
２．パスワード管理ソフトを使う。
無料でよいものがあまりない。
OSやブラウザで対応していないものがある。
LastPass（クラウドなら無料）
Roboform 1PasswordPro など。

ChromeにはLastPass
 クラウド上にパスワードを保存するサービ
ス。
 ブラウザにいれれば、どこでも使える。
 Chromeの機能拡張からインストール
 メールアドレスとマスターパスワードを登
録する。
 あとはログインをするたびに自動保存をし
てくれる。
 破られにくいパスワードの発行機能もある。

その他の認証システム
 パスワードシステム
→ワンタイム・パスワードなどの新手法
 バイオテック認証

指紋認証
サイバーサイン
網膜認証
→基本的には「なりすまし」への対策


ワンタイム・パスワード


勝手にログインは犯罪
ネットを経由してパスワードを盗んで不
正にコンピュータに侵入するのは犯罪で
す。
→不正アクセス禁止法違反
昔は、入るだけで破壊行為をしなけれ
ば、よかったが、今は他人のパスワード
を勝手に使ってログインをすると犯罪に
なります。


４．ファイアーウォールに
よる対策


不正な侵入への対策
 自分のパソコンに他人が勝手にデータを
送り込める状態→不正侵入
データの改竄や消失など深刻な影響を
もたらす。
データはとられなくても他の攻撃への
「踏台」にされることもある。
基本的には防火壁（ファイアーウォー
ル）が有効である。

ネットワークポリシー
 どんな信号でも通過してよい。
→オープンネットとしてのインターネッ
トの基本
 逆に組織のネットワークはどのような考え
方で運営されてもよいが、入口で出入りの
チェックを行うのが通例。
その際のルールの基本的な考え方が「ポリ
シー」
→透過可能な信号と不能な信号の振り分け

インターネットは公道

インターネット

LAN LAN


セキュリティポリシー
 出入口でのチェック
を行う。
通
過
すイ
るン
ルタ
ＬＡＮーー
ルネ
をッ
設ト
定

パソコンのファイアーウォール
 WindowsXPsp2以降では標準装備
 それ以外では共有するソフトは気をつける。
 市販のファイアーウォールソフトもあるが、
かえって共有できない場合やインターネットに
接続できなくなるケースもある。設定は慎重
に、かつ知識が必要。
 基本的にソフト・ファイアーウォールよりも
ハードウェアの「ルータ」の方をお薦めしま
す。


ファイアーウォールの構成
フ
非武装ゾーンァ
イセキュア
でないイ
アンター
ファイアーウォールーネット
ウ
ＬＡＮォ
ー
ル

個人でもガードは必要
 大切なデータがないので、ガードはしな
い。
ウィルス対策もしない。
 パソコンが悪者に乗っ取られて踏み台に
される。
 SPAMメールの大半が「ボット」化した個
人のパソコンから送られている。
 ボット（＝悪者に操られたロボットなパ
ソコン）→インターネットの迷惑

自宅のネットは誰が守るか？
 会社ではネットワーク管理者がポリシー
を設定してガードを固めている。
 家庭や管理者のいない小規模オフィスは
誰が守るのか？
 通信事業者か？
 たとえポリシーを設定しても不注意な利
用者がウィルスやトロイのプログラムを
不用意にダウンしたらセキュリティの意
味は無い。

５．暗号による対策


暗号の話
 インターネットで他人に信号が漏れない
ようにするにはデータを暗号化してやり
とりをする。
 暗号技術はこの２０年で急速に発達した
技術である。
 「インターネット」と「公開暗号鍵」の
技術が文字通り「革命」をもたらした。


参考図書
 「暗号化～プライバシー
を救った叛乱者たち」
 スティーブン・レビー
著
 紀伊國屋書店
 定価２５００円＋税
 ２００２年２月

※参考図書は必読ではない、あ
くまで理解を深めるための参
考資料として示す。


情報を漏れないように届ける
 第３者に情報が漏れないように届けるに
は？
１．直接あって自分で渡す。
２．信頼できる人に託す。
３．信頼できる技術に託す。

改竄や情報漏洩に対抗するために、
「暗号技術」が研究されてきた。

暗号の原理

暗号鍵

;%$’$%&’%&(&
暗

%’&%
そ
暗号化
れ
は平号
危
険文アルゴリズム文
だ
復号化


秘密鍵による暗号化通信
送信者受信者
どうやって鍵
平文を送るのか？平文

セキュアで
暗号文ないイン
ターネット

インターネットのセキュリ
ティ
 公開鍵方式による暗号化通信
 認証局（キーエスクロー～鍵預かり）に
よる利用者の登録
この発想により電子商取引（インター
ネット取引）が実現した。
本格的な電子商取引や電子政府の技術
基盤を準備する最終段階に達している。
→でも、まだ設定や啓蒙に問題がある。

公開鍵による暗号化通信
認証局受信者
送信者

受信者の公開鍵
平文平文
セキュアで

受信者の秘密鍵
ないイン
ターネット

暗号文暗号文


公開鍵と秘密鍵
 公開鍵（暗号鍵）から秘密鍵（複合鍵）
を解くには膨大な時間がかかる。
 高等数学の「一方向関数」の応用
 1978年ＭＩＴのリベスト（Rivest）シャ
ミア（Shamir）とエーデルマン
（Adleman)らは、公開鍵暗号方式を発表
した。発見者の名前にちなんでＲＳＡ暗
号方式（略称ＲＳＡ）と呼ばれている。


公開鍵による電子署名
認証局受信者
送信者
送信者の公開鍵

チェックして正しければ
送信者の署名
送信者の秘密鍵

セキュアで
ないイン
ターネット


文
名
署
文
名
署


二つある暗号化の利用法
 経路を暗号化する方法（盗聴防止）
→ＳＳＬ
→おもにＷｅｂで使う（組織の証明）
 データを暗号化する方法（誤送信防止）
暗号化メール（今はあまり使われてい
ないが今後必要になる可能性はあるかも
しれない）


SSLによる暗号化通信
 公開暗号鍵を使って信号を暗号化する。
 最初にＷＷＷサーバーの認証を行う。

 次に信号を確立したところでその場限り

の暗号化鍵をクライアントに送信して
クライアント-サーバー間の信号を確保する。
 ホームページ間を暗号化したやりとりが

セッションが切れるまで行われる。
 クレジット会社への確認


WWWのセキュリティ
 SSL（Secure Socket Layer)
 機能はふたつ

●認証局がWWWサーバーが真正のものであ
ることを証明する。
●WWWサーバーとクライアントの間の信号
を暗号化する。


どうやって認証をするか？
 認証局がないと公開鍵システム
(Public Key Infrastructure)は機能し
ない。
 認証局（CA：Certification
Authority）は誰が認めるのか？
 商用認証会社(日本ベリサイン社など)
 政府の認証システム(GPKI)
→法務局なども認証局を開始。

ベリサイン社による認証
 世界初の商用認証システム
 サーバー認証には法人の登記簿謄本
 毎年の更新による洗替方式によるチェック
 個人のクライアント認証も行っている、し
かしクレジットカードによるチェックのみ
である。年額３０００円弱で誰でも認証
してくれる。
 じつは個人の認証システムといっても信販
システムが背後に動いている。

電子証明はまだ発展途上
 運用によってはクレジット決済など使え
るものもあるが、現状はよく確認を行う
必要がある。
 なんといっても使いにくい、
初心者が安心してクレジットカード番
号をいれられるかがポイント。
この問題は再度、電子商取引と電子政
府で考察しますが、ネットの証明は課題
が多い。

金融機関ではSSLが必須
 アドレスを確認すること→フィッシング
防止
 ただし、当てにならないアドレスもある。

→大分銀行に行ったはずなのにアドレス
はNTTDATAと表示される!
 最低限SSLの確認をする。

 金融機関の多くはより信頼性の高い

EV-SSLを取得している。
URLが緑になる。

アドレスの信頼性
１．URLに会社名が入っている。
→アドレスの管理組織にお金を払っている会
社である。
２．SSLモードになる。
→ベリサイン社などサーバー認証会社にお金
を払っている会社である。
３．EV-SSLが表示される。
→会社の登記簿や電話での確認をしている。

FacebookもSSL対応へ
 現状はSSL対応しているが、外部アプリ
は接続可能。
 今年の10月から外部アプリもSSLを義務
づけられるように変更になります。


ソーシャルメディア対策
 スタッフがうっかり内部機密をしゃべって
しまう。
 ソーシャルメディア経由でのアタック

パスワードの漏洩やなりすましの被害。
 キャンペーンの失敗

 参加ルールや活用ルールの不在。

→今後増えてくるので慣れておくことが必
要。
ソーシャルメディア・ポリシーの導入。 60
2011/6/1 高度情報化と社会生活

次回の講義予定

６月８日
ソーシャルメディア
Facebookページとグループ

6 1security3

More Related Content

What's hot

Viewers also liked

Similar to 6 1security3

More from Yuki Fujino Oita Univ.

6 1security3