神奈川県高等学校教科研究会 神奈川県高等学校教科研究会 情報セキュリティ研修( Ⅱ) 情報セキュリティ研修(Ⅱ) 2004年8月26日 神奈川県高等学校教科研究会 情報セキュリティ大学院大学 内田 勝也( uchidak@gol.com ) 1 ネットワークからの脅威 情報セキュリティ研修 セキュリティの脆弱性トップ14 13. 情報漏洩により、攻撃 者にOS、アプリケーションの バージョン、ユーザ、グルー プ、共有、SNMP、finger、 SMTP、telnet、rusers、 sunrpc、NetBIOS等のDNS 情報サービスをもたらす。 12. 不要なサービス(sunpc、 FTP、 DNS、 SMTP)を実行し ているホスト Internet/DMZ Servers 14. ネットワークやホストに おける不適切なログ収集、 監視や検知能力 10. ウェブサーバ のCGIやスクリプト、 匿名FTP等イン ターネットサーバの 設定ミス 9. ワークステーションでの弱く、 容易に推測され易い、再利用 されているパスワードはサービ スを危険にさらすことになる。 8. X Windows等の認証 のないサービス 11. ファイアウォールある いは、ルータのACLの設定 ミスで直接内部システムへ のアクセスを許したり、 DMZサーバを危険にさらす ことになる WorkStation 7. 過度のファイルやディレ クトリ・アクセス制御 (NT/95 共有、UNIXの NFSエクスポート) Internal LAN Internal Router Border Router d De Firewall Internet ica Internal LAN ted cu ci r Remote Access Servers its 1. 不適切なルータのアクセス制御: ルータのACLの設定ミスは、ICMP、 IP、NetBIOSを通して情報漏洩や DMZサーバ上のサービスに対する無 権限アクセスを許してしまう。 Dialup Mobile/ Home user 2. 安全性に問題があり、監視さ れていないリモートアクセスポイン トは企業ネットワークへの簡便な アクセス手段を提供する Branch Office WorkStation 3. NTドメイントラストや UNIX .rhost等の過度な信 頼関係やホスト .equivファ イルは攻撃者に重要シス テムへ不正アクセスを許し てしまう 6. 周知徹底されたセキュリ ティポリシー、プロシー ジャー、ガイドライン、最低 限のスタンダードの欠如 5. パッチがされず、古く、 脆弱性があり、ディフォルト 設定状態のソフトウェア 4. 過度な特権を持った ユーザアカウントやテス トアカウント Stuard McClure etc. 「Hacking Exposed」より ページ Katsuya Uchida 2 情報セキュリティ研修 uchidak@gol.com ネットワークからの脅威 攻撃の種類 z 情報や情報システムに対して色々な事柄が発生するが、偶発的に発生するものと、悪意で行われるものがあ るが、いずれも、組織における資産(情報、情報システム等)に被害を与えることになる。 偶発的なもの、悪意で行われるもの全てを「攻撃(Attacks)」と呼ぶことにする。 z 攻撃の種類 ① アクセス(Access)攻撃 ② 改竄(Modification)攻撃 ③ サービス停止(Denial of Service)攻撃 ④ 否認(Repudiation)攻撃 z 攻撃方法 技術的な方法を用いた攻撃: システムの脆弱な部分を探し、そこを狙って行う。 ソーシャルエンジニアリング: 人間の弱さなどを巧みについて、必要な情報を取得することにより攻撃を 行う。 z 電子情報の特殊性 情報を電子的に盗む場合とそうでない場合に根本的な相違がある。電子的な盗難ではオリジナルがな くなることはない。・・・・ 「正・副」の概念がない。常に両方とも「正」である。 ソーシャルエンジニアリング推薦本 ソーシャルエンジニアリング推薦本 z z 「シークレット・オブ・スーパーハッカー」The 「シークレット・オブ・スーパーハッカー」The Knightmare著、日本能率協会マネジメ Knightmare著、日本能率協会マネジメ ントセンター。 ントセンター。 ソーシャルエンジニアリングのバイブル的存在。 ソーシャルエンジニアリングのバイブル的存在。 z z ケビン・ミトニック「The ケビン・ミトニック「The Art Art of of Deception」(騙しの技術:セキュリティーにおける人的 Deception」(騙しの技術:セキュリティーにおける人的 要因の管理) 要因の管理) を2002年10月に出版。非常に興味ある内容の書籍。 を2002年10月に出版。非常に興味ある内容の書籍。 ページ 3 Katsuya Uchida uchidak@gol.com 2 ネットワークからの脅威 情報セキュリティ研修 アクセス攻撃 z 目標とする情報に対して見る権限がない攻撃者がその情報を取得すること。 z 攻撃は情報がある所であれば、どこでも行われる。 たとえ、情報が送信最中でも。 z この攻撃は「機密性(Confidentiality)」に対する攻撃である。 z 以下の様な攻撃方法がある。 のぞき見(Snooping) 何か興味のあるものを探すために情報ファイルをのぞき回る。 ファイルが紙であれば、ファイルキャビネットやファイル用引出を開け、ファイルをくまなく探す。 ¾ コンピュータ上にあるファイルの場合には、次々にファイルを開けて、必要な情報を探すまで行う。 盗聴(Eavesdropping) ¾ 誰かが会話をしている時に、会話仲間でない者がその会話を聞いてものを「盗聴」と言う。 ¾ ある情報に対して、権限なくアクセスをするためには、その情報が通過する場所に攻撃者はいな ければならない。 ¾ 盗聴の大部分は電子的に行われる。 ¾ ¾ 攻撃者 サーバ z z 情報はクライアントからサーバにLAN経由で 情報はクライアントからサーバにLAN経由で クライアント 流れる。 流れる。 z z 攻撃者は同じLANに自分のコンピュータを繋 攻撃者は同じLANに自分のコンピュータを繋 ぎ、クライアントからの情報を盗み聞きする。 ぎ、クライアントからの情報を盗み聞きする。 ページ 盗聴(Eavesdropping) Katsuya Uchida 4 uchidak@gol.com ネットワークからの脅威 情報セキュリティ研修 妨害(Interception) ¾ ¾ 盗聴と異なり、積極的な攻撃である。 妨害を行う場合、情報経路中に自分自身を置き、情報が目的地に到達する前に取り込み、情 報を検査して、情報を目的地に送った方が良いかどうかを決める。 攻撃者 クライアント 妨害(Interception) サーバ z z 情報はクライアントからサーバにLAN経由で流れる。 情報はクライアントからサーバにLAN経由で流れる。 z z 攻撃者はクライアントとサーバの間に入り、情報を流すか流さない 攻撃者はクライアントとサーバの間に入り、情報を流すか流さない かの選択ができる。 かの選択ができる。 ページ 5 Katsuya Uchida uchidak@gol.com 3 情報セキュリティ研修 ネットワークからの脅威 アクセス攻撃はどのようにして達成可能か アクセス攻撃は、情報が紙に保存されているか、コンピュータに電子的に保存されているかによって変わってく る。 紙に保存されている情報 z 情報が紙で保存されている場合には、攻撃者は紙にアクセスできなければならない。 z 紙での情報は以下のような場所にある。 ファイリングキャビネット 机のファイル用引出 机上 FAX機: 送受信の用紙をそのままにしない。 プリンター: 印刷用紙をプリンター上に残さない。 ゴミ箱: 時間外に廊下などに放置しない。 長期収納庫 電子的な情報 z 電子的情報は以下のような場所にある。 デスクトップコンピュータ サーバー ノートパソコン フロッピー/CD-ROM 物理的に盗取可能。 バックアップ用テープ 紙に保存されている情報と同じ特性。 ページ Katsuya Uchida 6 情報セキュリティ研修 uchidak@gol.com ネットワークからの脅威 電子的な情報(続き) z 攻撃者が正規のアクセスを該当するファイルに対してできれば、単純にファイルをオープンして調査できる。 z アクセス制御が適切に設定されていれば、権限のない者はアクセスを拒否される。(アクセスしたログも作 成される) z 断固たる意思をもって攻撃してくる攻撃者は、自分のアクセス許可を高めようとするので、ファイルを見るこ とができたり、ファイルのアクセス権を減らす。これは、システム上の多くの脆弱性によって、このようなこと ができるようになる。 z 送信中のデータは伝送中に盗聴することができる。LAN上では、攻撃者はネットワークに接続されている コンピュータにスニファー(Sniffer)を導入して盗聴を行う。 z 参考 ネットカフェから銀行のインターネットバンキングに不正アクセスし、他人の口座から1600万円を引き出した。 http://www3.nikkei.co.jp/kensaku/kekka.cfm?id=2003030603972 「スニファー」は米ネットワーク・アソシエイツ・テクノロジーの登録商標であり、ネットワーク上を流れるパケットをモニタ リングし、トラフィック調査やパケットキャプチャなどの障害解析などの目的で使用する製品。 TCP/IP、NetBEUI、NetBIOS、DDP、IPX、SPX、IEEE 802などの300種以上のプロトコルに対応しており、10/100Mbps イーサネット、トークンリング、FDDIなどのネットワーク・トポロジーもサポートし、LAN上のトラフィックをモニタし、問題個 所を検出する。また、WAN回線上を流れるデータを解析することもできる。 また、一般的にはネットワーク上において、流れているパケットをモニタするためのハードウェアまたはソフトウェアを指 す意味で使われることもある ページ 7 Katsuya Uchida uchidak@gol.com 4 情報セキュリティ研修 ネットワークからの脅威 改竄攻撃 z 改竄(Modification)攻撃は、修正権限のない攻撃者が情報を修正しようとするもの。 z 情報がある所であれば何処でも攻撃可能。 送信中の情報に対しても可能である。 z 修正攻撃は、情報の完全性(Integrity)に対する攻撃である。 変更(Change) z 修正攻撃の1つは、情報変更があるが、従業員の給与を変更すると言うようなもの。 z 情報は組織内に保存されているが、正しいものではない。 重要情報や公開情報に対して有効。 挿入(Insertion) z 挿入攻撃では、それまでなかった情報が追加される。 z 例えば、顧客口座から自分の口座に資金移動をおこなう取引データを追加する攻撃がある。 削除(Deletion) z 削除攻撃は、既存情報を除去してしまうものである。 z この攻撃では、累積的記録や活動記録にある情報を除去する。 z 例えば、銀行の取引明細所から取引記録を除去する攻撃がある。 修正攻撃の達成方法 z 紙上の情報の場合 見つからずに修正攻撃を行うことは難しい。 署名がされていれば、署名をしなければならない。 取引記録に対して挿入・削除は非常に難しい。 z 電子的情報の場合 紙上の情報よりは簡単。ファイルにアクセスできれば証拠を残さず、修正できる可能性が高い。 データベースや取引記録への変更では注意深く行う必要がある。 連番などがあるため。 送信情報への変更は更に難しい。 送信中のデータへの変更を行うのであれば、「妨害攻撃」を行う 方が簡単である。 ページ Katsuya Uchida 8 情報セキュリティ研修 uchidak@gol.com ネットワークからの脅威 サービス妨害攻撃 z サービス妨害(DoS: Denial of Service)攻撃は、システムや情報等の正規ユーザに対して、リソースの利 用を攻撃者が拒否する攻撃。 z DoS攻撃では、通常、攻撃者もコンピュータシステム上の情報や現実の情報にアクセスしたり、変更したり することができない。 情報へのアクセス拒否 z この攻撃により、情報が利用できなくなり、情報破壊や情報が利用できない形に変更されることがある。 z 情報が存在しても、アクセスできない場所に移されても発生する。 アプリケーションへのアクセス拒否 z 情報の操作や表示を行うアプリケーションに対するDoS攻撃がある。 z アプリケーションが動作しているコンピュータに対して行われる。アプリケーションが利用できなければ、組 織はそのアプリケーションで行われる業務を行うことができない。 システムへのアクセス拒否 z 一般的なDoS攻撃は、コンピュータシステムをダウンさせる攻撃である。 z この場合には、全てのアプリケーションが動いており、システム上の保存されている全ての情報の利用が 不可能になる。 通信へのアクセス拒否 z 通信に対するDoS攻撃は長年行われてきた。ケーブルを切断したり、無線通信を妨害したり、過剰なトラ フィックでネットワークを輻輳させる。 z 攻撃対象は通信媒体そのもので、システムや情報には全く触れず、通信の切断により、システムや情報 へのアクセスが不可能になる。 ページ 9 Katsuya Uchida uchidak@gol.com 5 情報セキュリティ研修 ネットワークからの脅威 サービス拒否攻撃(続き) サービス拒否攻撃の達成方法 z コンピュータシステムやネットワークに対するものがDoS攻撃であるが、紙上の情報へのDoS攻撃がない 訳ではない。紙上情報へのDoS攻撃の方が簡単にできる。 z 紙上の情報 紙上に物理的に保存されている情報は物理的なDoS攻撃を受けやすい。 情報を利用できなくするには、盗取するか、破壊すれば良い。 破壊は故意でも、偶然でも発生する。 紙の記録を裁断し、コピーで保存したものがなければ、記録 は破壊してしまう。 同様に、紙の記録が保管されているビルに放火することもできる。これにより、記録を破壊し、それを 利用することもできなくなる。 偶発的なものでは、配線の欠陥で火災が発生したり、誤って従業員が文書を裁断してしまうこともあ る。いずれの場合も、情報はなくなり、利用することもできなくなる。 (1)1975年2月に東京・青山にあった中堅ゼネコン(総合建設業)の本社ビルの一部が爆破された。 東アジア反日武装 戦線の「さそり」と「狼」と名乗るメンバー6人がこの会社の本社ビルに潜入し、6階営業本部と9階電子計算機室付近 にそれぞれが爆発物を仕掛けて爆発させた。このため、9階の電子計算機室では、爆発と同時に火災が発生し、コン ピュータが破壊され、データは燃えてしまった。この爆破による被害総額は約20億円に達し、9階の電子計算機室の 直接被害だけでも約2億5000万円に達したと言われている。 社内のコンピュータ室が部外者の攻撃で破壊された 例としては非常に大きな被害がでた。 (2)1984年11月に発生した電話回線の火災事故により、間接的な被害を被った例がある。 東京・世田谷区にあった世 田谷電話局前の地下洞道内で電話回線を点検補修中の作業員の過失で、火災が発生し、17時間にわたってケーブ ルが燃え続け、洞道内のケーブルが大きな損傷を受けた。これにより、世田谷電話局内の一般加入電話、専用通信 回線等が不通となり、この地域内にあった都市銀行2行の事務センターが被害を受けた。 東京に本店がある銀行は、 オンラインシステムが停止し、全国243ヶ所の本支店でCD(現金自動支払機)やATM(現金自動預入支払機)の利 用ができなくなった。関西に本店がある他の銀行でも東日本地域の63支店で業務が停止した。 ページ Katsuya Uchida 10 情報セキュリティ研修 uchidak@gol.com ネットワークからの脅威 サービス拒否攻撃(続き) サービス拒否攻撃の達成方法 (続き) z 電子情報 情報へのアクセスを拒否するために、該当情報を削除する。 完全に行うためには、バックアップの 情報も削除する。 ファイルを変更することにより、情報を利用できなくする。攻撃者はファイルを暗号化し、暗号化キーを 破棄する。 これによりファイル内の情報に誰もアクセスできなくなる。 電子情報は物理的な攻撃に対しても弱い。 情報が保存されているコンピュータシステムを盗んだり、 破壊する。 短期間のDoS攻撃であれば、単にシステムの電源を切断するだけでよい。電源断はシステム自体に 対するDoS攻撃でもある。 アプリケーションには多くの脆弱性があり、それを利用してアプリケーション処理が正しく実行できない ような命令をアプリケーションに送る。 通信を利用できなくする簡単な方法は回線を切断することであるが、ネットワークケーブルがある所ま でいかなければならない。 通信関係のDoS攻撃は、大量のトラフィックを送ることである。 DoS攻撃は全てが故意で行われる訳ではない。 「世田谷ケーブル火災」 ページ 11 Katsuya Uchida uchidak@gol.com 6 ネットワークからの脅威 情報セキュリティ研修 インターネットワーム(史上最大のDoS攻撃) z z z z ページ 1988年11月2日に発生したインターネットワームは、UNIXやインターネットに関するセキュリティに対して、非常 に大きな影響を与えた。 このワームを流したのは、当時、コーネル大学の大学院生であったロバート・タッパ ン・モーリス・ジュニア(Robert T. Morris Jr.)で、サン・マイクロシステムズ社のSUN-3とDEC社のVAXコンピュー タで稼働していたBSD(Berkeley Software Distribution)の4.2および4.3版の脆弱性をついた。 このワームは、fingerdとsendmailプログラムのバグを利用した。 fingerdプログラムはバッファ・オーバーフローを 引き起こすgets()関数を使っており、このバッファ・オーバーフローを利用して、管理者(ルート)権限を得ることが できた。また、sendmailのDEBUGコマンドを利用することで、他のコンピュータにプログラムを送付することがで きた。 更に、このワームは当時のUNIXマシンに保管されているユーザIDやパスワードの入ったファイル (/etc/passwd)を利用してパスワードの解読を行った。 当時のUNIXマシンでは、パスワードファイルは誰にも 簡単に見る(読み出す)ことができたが、それを見ても暗号化されているパスワードが何かを推測することは不 可能であると考えられていた。すなわち、一方向関数を使ってパスワードを暗号化する方法を使っており、多く の専門家は一方向関数では、暗号化されたパスワードから元のパスワードに復元(解読)することは不可能で あると主張していた。しかし、モーリス・ジュニアは暗号化された文字列を解読して、元のパスワードを見つけだ すのではなく、元のパスワードを類推し、その類推パスワードを暗号化し、暗号化されていたパスワードと同じ かどうかを調べ、同じであれば類推したパスワードが求めるパスワードであると考えた。 元のパスワードを類 推する方法はいくつかあったが、その1つにパスワード辞書(次ページ左)を作成し、それを使ってパスワードを 類推した。このような辞書を利用してパスワードを類推する方法を「辞書攻撃」と言う。 このワーム事件では、インターネットの接続されていたコンピュータの約6,000台が被害を受け、インターネットに 接続されていたコンピュータの約10%に達したと言われ、広がりつつあるインターネット社会を大きな混乱に陥 れた(次ページ右)。また、この事件を起こしたモーリス・ジュニアは3年の保護観察、400時間の福祉活動、1万 ドルの罰金の処分を受けた。 Katsuya Uchida 12 uchidak@gol.com ネットワークからの脅威 情報セキュリティ研修 インターネットワーム(史上最大のDoS攻撃) aaa Airplane Albert algebra ama Anchor answer anything arrow Atmosphere bacchus bananas barber Bassoon beauty benz Cornelius Creosote dancer dave deluge Dieter disney duncan edges Edwina eileen elizabeth engine Enzyme estate extension guntis Handily harold heinlein herbert ページ 13 academia albany alex aliases amorphous andromache anthropogenic aria arthur aztecs bailey bandit baritone batman beethoven beowulf couscous cretin daniel december desperate digital dog eager edinburgh egghead einstein ellen engineer ersatz euclid fairway hacker happening harvey hello hiawatha aerobics albatross alexander alphabet analog animals anvils ariadne athena azure banana banks bass beater beloved berkeley creation daemon danny defoe develop discovery drought easier edwin eiderdown elephant emerald enterprise establish evelyn felicia hamlet harmony hebrides help hibernia Date: Wed, 2 Nov 88 23:28:00 PST From: Peter E. Yee <yee@ames.arc.nasa.gov> Message-Id: <8811030728.AA18199@ames.arc.nasa.gov> To: mkl@sri-nic.arpa Subject: Internet VIRUS alert Cc: postmaster@sri-nic.arpa, tcp-ip@sri-nic.arpa We are currently under attack from an Internet VIRUS. It has hit UC Berkeley, UC San Diego, Lawrence Livermore, Stanford, and NASA Ames. The virus comes in via SMTP, and then is able to attack all 4.3BSD and SUN (3.X?) machines. It sends a RCPT TO that requests that its data be piped through a shell. It copies in a program, compiles and executes it. This program copies in VAX and SUN binaries that try to replicate the virus via connections to TELNETD, FTPD, FINGERD, RSHD, and SMTP. The programs also appear to have DES tables in them. They appear in /usr/tmp as files that start with the letter x. Removing them is not enough as they will come back in the next wave of attacks. For now turning off the above services seems to be the only help. The virus is able to take advantage of .rhosts files and hosts.equiv. We are not certain what the final result of the binaries is, hence the warning. I can be contacted at (415) 642-7447. Phil Lapsley and Kurt Pires at this number are also conversant with the virus. -Peter Yee yee@ames.arc.nasa.gov ames!yee http://www.phreak.org/archives/The_Hacker_Chronicles_II/network2/43.txt インターネットワーム事件で送られた「インターネットワーム(ウイルス)」の攻撃を知らせる 電子メール「我々はインターネットウイルスに攻撃されている」で始まっている。 Katsuya Uchida uchidak@gol.com 7 情報セキュリティ研修 ネットワークからの脅威 インターネットワーム(史上最大のDoS攻撃) z z z z z このインターネットワーム事件がもたらしたUNIXやインターネットに関連するセキュリティ対応には、以下のも のがある。 UNIXのパスワードの類推が簡単にできることが分かったため、暗号化されたパスワードを保存しているファイ ル(/etc/passwd)を一般のユーザが読む出すことができなくした。 バッファ・オーバーフロー攻撃に対しての対策として、fingerdプログラムのgets()関数をオーバーフローが発生 しないものに変更した。但し、現在でも色々なバッファ・オーバーフローのバグを利用した攻撃が発生している ことは周知の通り。 事件等の対応組織が創設された。この事件の教訓を基に、米国国防総省高等研究計画局(DARPA: Defense Advanced Research Projects Agency)はコンピュータ緊急対応センター(CERT/CC: Computer Emergency Response Team/Coordination Center)をカーネギーメロン大学内に作った。 また、この事件はインターネットに接続されているコンピュータが停止したり、過負荷に陥ったりしため、ネット ワークやコンピュータを利用している電子メールも利用する事が不可能になってしまった。このため、緊急時に 電子メールで相互に連絡をとることができないことがわかり、CERT/CC等の米国の緊急連絡組織では、電子 メールアドレスだけでなく、電話番号やFAX番号を公開するようになっている(下図)。 ただ、幸いと言うべきか、ネットワークやそれに接続されているコン ピュータに対して大きな負荷を掛けたが、実際にコンピュータに保 CERT/CC Contact Information 存されているデータやプログラムを削除したり、何らかの情報を外 Email: cert@cert.org 部へ公開してしまうと言った被害をもたらすことはなかった。 Phone: +1 412-268-7090 (24-hour hotline) Fax: +1 412-268-6989 Postal address: CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 U.S.A. ページ Katsuya Uchida 14 情報セキュリティ研修 uchidak@gol.com ネットワークからの脅威 否認攻撃 z 否認(Repudiation)攻撃は情報の説明責任への攻撃である。 z 否認は、偽情報を与えたり、実際の事象や取引記録が発生していることを否認することである。 z なりすまし(Masquerading) 誰か別人あるいは、別システムのように振る舞ったり、なりすましたりすること。 この攻撃は私信や取引記録、システム同士の通信で発生する。 z 事象の拒否(Denying an Event) 行動が記録としてとられていても、単純に否認するもので、クレジットカードを利用してお店で買物をして も、請求書が届くと、カード会社にその買物をしていないと言う。 z 否認攻撃はどの様にして達成できるのか 物理的、電子的情報の両方に対して否認攻撃は行われる。攻撃の難しさは、組織による事前の準備に よる。 紙上の情報 ¾ 文書上に他人の名前を使ってなりすせる。 署名が文書に必要でも署名を偽造する。 ¾ 手書き文書より、タイプライター利用の文書のなりすましは簡単である。 ¾ それを行わなかったと主張して事象や取引記録の拒否を行う。 署名が契約書やカードの領収書 にあっても、その署名は自分のものでないと言う。 電子情報 ¾ 電子情報の方がやりやすい。 電子情報の方が、送信者の識別が殆どなかったり、全くなく作成さ れ、送信される。 ¾ 電子メールの「From:」は送信者により変更できる。 ページ 15 Katsuya Uchida uchidak@gol.com 8 ネットワークからの脅威 情報セキュリティ研修 踏み台 z 不正侵入され、他サイトへの侵入や攻撃、メールの不正中継などに利用される 攻撃者 マスター マスター マスター エージェント エージェント エージェント 標的のコンピュータ ページ マスター エージェント 踏み台の例 (DDoS攻撃の場合) Katsuya Uchida 16 uchidak@gol.com ネットワークからの脅威 情報セキュリティ研修 SPAM z 電子メールを送信する際、Outlook Express などのメーラーは SMTP サーバーと呼ばれるコンピューターに接 続してメール送信を行う。 z SMTP サーバーは ID とパスワードなしにメール送信ができてしまうため、サーバー側で制限をかけていない と、外部ネットワークからのメール送信を許してしまう。 z SPAM メールの配信など、この仕組みを悪用するケースが多く報告されているが、ネットワーク外からの使用 に制限をかけると、正規のユーザーが利用できなくなるという問題が発生する。 z そこで認証機構を持つメール受信用の POP サーバーで正規のユーザーであることを確認したあと、メール 送信を行う仕組み(POP before SMTP)によって、メール送信を行っている。 ユーザIDとパスワードによる認証 メール受信 メール送信 クライアント ページ 17 SMTPサーバ Katsuya Uchida uchidak@gol.com 9 組織内環境での脅威 情報セキュリティ研修 情報資産の盗難・紛失 ① 1996年8月:神奈川県の病院で患者ら約4,000人の診療データなどが保存されたパソコン2 台が盗まれました。 ② 2000年9月:米国大手通信会社のCEOが米国の一流ホテルで開催されたコンファレンスで 公園を行い、プレゼンテーションに利用したパソコンがプレゼンテーション終了後、たった10 分程、質問等に対応している間に盗まれました。 ③ 2001年11月:防衛庁から業務受託をしている民間企業で、将来型戦闘機の地上訓練用模 擬装置 (シミュレーター)の開発を目的とした関連データが保存されていたデスクトップパソコ ンが盗まれました。 ④ 2001年12月: 愛知県新城市役所から8台のパソコンが現金やデジカメと共に盗まれました。 ⑤ 2002年4月:滋賀県の中学教師がパチンコ店の駐車場に置いた車のドアがこじ開けられ、3 年生134名の音楽成績が保存されていたノートパソコンが盗まれました。 ページ Katsuya Uchida 18 uchidak@gol.com ネットワークからの脅威 情報セキュリティ研修 参考 海外での損失統計 ページ Safeware社のコンピュータ関連の損失統計 ノートパソコン 損害原因: Cause of Loss 事 故 (Accidents) 盗 難 (Theft) 電源異常 (Power Surge) 落 雷 (Lightning) 移 動 (Transit) 水塗れ/洪水 (Water/Flood) その他 (Others) 合 計 (Total) 2001年(台数) 1,387,000 591,000 59,000 43,000 30,000 166,000 32,000 2,308,000 2001年(%) 60 26 3 2 1 7 1 100 2000年(台数) 793,000 387,000 84,000 33,000 12,000 25,000 24,000 1,358,000 2000年(%) 58 28 6 2 1 2 2 100 前年対比(%) 75 53 −30 30 150 564 33 70 デスクトップ 事 故 (Accidents) 盗 難 (Theft) 電源異常 (Power Surge) 落 雷 (Lightning) 移 動 (Transit) 水塗れ/洪水 (Water/Flood) その他 (Others) 合 計 (Total) 28,000 15,000 30,000 8,000 3,000 3,000 5,000 92,000 30 16 33 9 3 3 5 100 38,000 16,000 35,000 11,000 3,000 3,000 7,000 113,000 34 14 31 10 3 3 6 100 −26 −6 −14 −27 0 0 −29 −19 19 ( Safeware社は、損害保険会社の代理店 推計値) http://www.safeware.com/ Katsuya Uchida uchidak@gol.com 10 組織内環境での脅威 情報セキュリティ研修 米国における調査 CSI/FBI Computer Crime & Security Surveyより作成 ( http://www.gocsi.com/ ) Lowest Reported ($) Highest Reported ($K) '97 '98 '99 '00 01 '02 '03 '97 '98 '99 '00 01 '02 '03 10,000 25,000 25,000 1,000 100 1,000 2,000 10,000 25,000 25,000 25,000 50,000 50,000 35,000 1,000 500 1,000 1,000 100 1,000 500 1,000 500 1,000 15,000 3,000 10,000 2,000 100 200 300 200 1,000 5,000 1,000 100 200 300 500 500 5,000 50,000 1,000 Theft of proprietary info. 情報資産の盗難 Sabotage of data of networks 破壊 Telecom eavesdropping 通信盗聴 System penetration by outsider 外部者のシステム侵入 1,500 500 500 1,000 100 1,000 100 1,500 500 500 5,000 10,000 5,000 Insider abuse of Net access 内部者のアクセス乱用 100 1,000 3,000 240 100 1,000 100 100 1,000 3,000 15,000 10,000 10,000 6,000 Financial fraud 資産詐欺 2,000 2,000 20,000 500 500 1,000 1,000 2,000 2,000 20,000 21,000 40,000 50,000 4,000 Denial of services DoS攻撃 N/A 1,000 1,000 1,000 100 1,000 500 N/A 1,000 1,000 5,000 2,000 50,000 60,000 Virus ウイルス 500 2,000 1,000 100 100 1,000 40 500 2,000 1,000 10,000 20,000 9,000 6,000 Unauthorized insider access 内部者の無権限アクセス 1,200 50,000 1,000 1,000 1,000 2,000 100 1,200 50,000 1,000 20,000 5,000 1,500 100 Telecom fraud 通信詐欺 12,000 15,000 100 1,000 500 1,000 100 12,000 15,000 100 3,000 8,000 100 250 Active wiretapping 盗聴 Laptop theft ノートPC盗難 N/A 100 20 5,000,000 0 0 5,000 N/A 100 20 5,000 0 0 700 1,000 500 1,000 500 1,000 1,000 2,400 1,000 500 1,000 1,200 2,000 5,000 2,000 Average Losses ページ ($) Total Annual Losses ($) '97 '98 '99 '00 '01 '02 '03 '97 '98 '99 '00 '01 '02 '03 954,666 1,677,000 1,847,652 3,032,818 4,447,900 6,571,000 2,699,842 20,047,986 33,540,000 42,495,996 66,708,000 151,230,100 170,827,000 70,195,900 164,000 86,000 163,740 969,577 199,350 541,000 214,521 2,296,000 2,150,000 4,420,980 27,148,000 5,183,100 15,134,000 5,148,500 45,423 56,000 76,500 66,080 55,375 1,205,000 15,200 363,384 560,000 765,000 991,200 886,000 346,000 76,000 132,250 86,000 103,142 244,965 453,967 226,000 56,212 2,909,500 1,634,000 2,887,976 7,104,000 19,066,600 13,055,000 2,754,400 18,304 56,000 93,530 307,524 357,160 536,000 135,255 1,006,720 3,752,000 7,575,930 27,984,740 35,001,650 50,099,000 11,767,200 957,384 388,000 1,470,592 1,646,941 4,420,738 4,632,000 328,594 24,891,984 11,252,000 39,705,984 55,996,000 92,935,500 115,753,000 10,186,400 N/A 77,000 116,250 108,717 122,389 297,000 1,427,028 75,746 55,000 45,465 180,092 243,845 283,000 199,871 N/A 12,498,090 2,772,000 3,255,000 8,247,500 4,283,600 18,370,500 65,643,300 7,865,000 5,273,940 29,171,700 45,288,150 49,979,000 27,382,340 406,300 181,437 2,809,000 142,680 1,124,725 275,636 300,000 31,254 3,991,614 50,562,000 3,567,000 22,554,500 6,064,000 4,503,000 647,437 539,000 26,655 212,000 502,278 22,000 50,107 22,660,295 17,248,000 772,995 4,028,000 9,041,000 6,015,000 701,500 N/A 49,000 20,000 5,000,000 0 0 352,500 245,000 20,000 5,000,000 0 0 705,000 38,326 32,000 86,920 58,794 61,881 Total Annual Losses: 89,000 47,107 5,184,000 136,764,000 13,038,000 123,778,801 10,404,300 265,337,940 8,849,000 377,828,700 11,766,500 455,848,000 6,830,500 201,797,340 N/A 6,323,790 96,989,363 Katsuya Uchida 20 情報セキュリティ研修 uchidak@gol.com 組織内環境での脅威 上司による従業員の電子メール無断監視 東京地裁平成13年12月3日判決[請求棄却/確定](以下、真嶋理恵子弁護士の解説(NBL734号6-7頁)より抜粋) 事実関係 z アメリカ企業の日本現地法人の一事業部において、従業員各員に電子メールのドメインネームとパスワードが 割り当てられ、社内相互の連絡手段として電子メールが多用されていたところ、社内のコンピュータ・ネットワー クシステムを用いた従業員Xの私的な電子メールを上司Yが無断で閲覧したことについて、Xが不法行為に基 づく損害賠償をYに請求した。 z なお、米国本社においては電子メールの私的な使用を禁ずるガイドラインが策定されていたが、これが同事業 部において周知されたことはなく、私的使用の禁止も徹底されず、社員の電子メールの私的使用に対する会社 の調査等の指針や閲読の可能性等が社員に告知されたこともなかった。 判旨 z 電子メールの場合、一定範囲で通信内容が社内システムのサーバーや端末内に記録され、ネットワーク全体 を適宜監視しながら保守を行う管理者が存在するという点に鑑みると、電子メールに電話と全く同程度のプラ イバシー保護を期待することはできず、当該システムの具体的情況に応じた合理的な範囲での保護を期待し 得るに止まる。監視の目的、手段及びその態様を総合考慮し、監視される側に生じた不利益とを比較衡量の 上、社会通念上相当な範囲を逸脱した監視がなされた場合に限り、プライバシー権の侵害となる。本件では、 Yは、Xが所属する事業部の最高責任者であり、Yによる監視の一事をもって社会通念上相当ではないとはい えない。Xによる電子メールの私的使用の程度は、社内生活上必要な範囲で外部との連絡を行う程度を超え ており、Yによる監視を招来したXの責任、Yに監視された電子メールの内容及び本件における全ての事実経 過を総合考慮すると、Yによる監視行為が社会通念上相当な範囲を逸脱したものであったとまではいえない。 ページ 21 Katsuya Uchida uchidak@gol.com 11 組織内環境での脅威 情報セキュリティ研修 年2月26日) 日経クイック情報電子メール事件(東京地判平成14 (東京地判平成14年 26日) z 従業員に対する誹謗中傷メールの調査過程でメールサーバから偶然発見された別の従業員(原 告)による多量の私的メールを理由として、被告会社が原告に対して行った懲戒処分が、プライバ シー侵害に該当するか否かが争われた事案で、私用メールは職務専念義務違反で企業秩序違反 行為として懲戒処分の対象となり、サーバ上のデータ調査は業務関連情報が保存されていると判 断されるから社会的に許容しうる限界を超えていないとして、請求を棄却した。 z 「私用メールは、送信者が文書を考え作成し送信することによりその間職務専念義務に違反し、私 用で会社の施設を使用する企業秩序違反行為になるばかりか、私用メールを読ませることにより受 信者の就労を阻害し、受信者が送信者からの返信メールの求めに応じてメールを作成・送信すれ ば、そのことにより受信者に職務専念義務違反と私用企業施設使用の企業秩序違反を行わせるこ とになる」こと、「多量の業務外の私用メールの存在が明らかになった以上、新たに…調査する必要 が生じ…、業務外の私用メールであるか否かは、その題名から的確に判断することはできず、その 内容から判断する必要がある」こと等からモニタリングの必要性を認めます。その上で、「Xのメール ファイルの点検は、事情聴取によりが送信者である疑いを拭い去ることができず、また、Xの多量の 業務外の私用メールの存在が明らかになった以上行う必要があるとし、その内容は業務に必要な 情報を保存する目的で会社が所有し管理するファイルサーバー上のデータ調査であることから、社 会的に許容しうる限界を超えてXの精神的自由を侵害した違法な行為とはいえない」としました。モ ニタリングの事前告知のなかったことに関しても、「事前の告知による調査への影響を考慮せざるを 得ないことからすると、不当なこととはいえない。」 ページ Katsuya Uchida 22 uchidak@gol.com 組織内環境での脅威 情報セキュリティ研修 インターネットの不適切利用 ゼロックスが仕事中のポルノ閲覧で40人を解雇 z コネチカット州スタムフォード発――世界最大のコピー機メーカーである米ゼロックスは今年、仕事中にイン z z z z ターネットでポルノグラフィーを見ていたという理由で、社員40人あまりを解雇したと、米『ロチェスター・デモク ラット&クロニクル』紙のオンライン版が伝えた。 ゼロックスはこの春、9万2000人の従業員のインターネット利用状況を追跡調査するハードウェアとソフトウェ アの使用を開始した。解雇された社員らは、「ゼロックスに関係のないサイト」を見ることに費やした時間が多 すぎたと、広報担当のクリスタ・キャロンは言う。 「オンラインでスポーツの勝敗をチェックしたという程度ではない」とキャロンは同紙に語っている。 オフィス、図書館、学校などでのウェブ利用をモニターすることは、大きな論議を呼んでいる。人気のあるフィ ルタリング・ソフトウェア・プログラムを使い、特に年少者によるポルノサイトの閲覧を防いでいるところもある。 しかし、多くのオフィスで使われているフィルタリングソフトには、賛否両論がある。言論の自由の擁護者たち はずっと、このソフトウェアは合法的なコンテンツまでブロックしかねないと主張している。 By Bloomberg News/日本語版 鎌田真由子 Wed 6 Oct 1999 11:55 PT http://japan.cnet.com/News/1999/Item/991007-3.html 職場環境の悪化 z 猥褻画像などを職場のパソコン画面に表示することは、セクシャル・ハラスメント等の問題を起こす可能性が あります。(当然、本人だけでなく組織の管理責任を問われる可能性もあります) ページ 23 Katsuya Uchida uchidak@gol.com 12 情報セキュリティ研修 組織内環境での脅威 誤操作・無知による情報漏洩 基本的な対応ができていないために、事件・事故に繋がることもある。 ① 2002年7月に食品会社が行ったプレゼント付きアンケートの応募者、約5万人のデータが無防備 な状況でウェブに置かれていたため、応募者の電子メール、名前、住所等が外部に漏洩した。 ② 2002年5月にエステティック業界大手への資料請求者やアンケート回答者の住所、氏名、年齢、 電話番号、電子メール等の情報が無防備な状態でウェブに置かれていたため、外部に漏洩した。 今回の原因につきまして第三者機関による調査分析等を行いましたので以下の通りご報告致しま す。 本年3月末から4月初旬にかけて、サーバー管理会社において弊社ホームページを運用して いたサーバーの移設作業を実施しました。この際、お客様から送信していただいたデータ(当社で 処理が終わった過去のデータを含む)が蓄積されていた領域のセキュリティ設定を誤ったため、イン ターネットを通じてデータを閲覧できる状態になっていたことが原因でした。 今回のこのような深刻な被害を2度と起こさないという公益的な目的の下、被害者の救済と、こうし た深刻な被害を引き起こした企業に対し謝罪と相当額の賠償を求めるために、プライバシー被害弁 護団を設立しました。(http://homepage3.nifty.com/tbc-higai/) ③ ハイテク関連雑誌等を出版している米国企業のサイトのセキュリティ対応が非常に悪かったため、 約12,500人の応募者の住所、氏名、メールアドレスと一部の応募者のクレジットカード番号が公開さ れてしまった。 このため、クレジットカード番号が公開された約50名に対して一人500ドル(約60,0 00円)を支払い、ニューヨーク州等3州に対して、調査や消費者教育のために、10万ドル(約1,200 万円)を支払い和解した。 ⇒ アクセス制御の理解が十分だっただろうか? (移動・コピーのアクセス許可の例: 右表) ページ Windowsでの例 移動 コピー 同一パーティション 維持 コピー先を継承 異なるパーティション 異動先を継承 コピー先を継承 Katsuya Uchida 24 情報セキュリティ研修 uchidak@gol.com 組織内環境での脅威 ソーシャルエンジニアリング: 国内ではソーシャルエンジニアリング例は殆どない!? ・ ・ ・ ・ ● 昭和56年(1981年)10月 H相互銀行事件 犯人は、H相互銀行の某支店に「Kの者だが機械のテストをするからS支店の口座へ3500万円の入金操作をして 欲しい」と指示し、預金係主任が本店からの指示と信じて操作を行った。共犯の女性が事前に開設してあった口 座に入金がされた時間頃に別のS支店で3000万円を引き出し、騙し取った。 典型的な「ソーシャルエンジニアリング」手法で、犯人の男は電話で行内で使われる言葉で指示をしたため、支店 の預金主任は完全に騙された。 ● 更に強烈な事件が昭和60年(1985年)に郵便局で発生した。郵便局の窓口の係員に「すぐにお金を持ってくるの で、この通帳の口座に入金しておいて欲しい」と頼み、それを信じて入金手続きを端末機で行わせ、他の郵便局 のATM端末から現金1100万円余りを引き出した。 忙しかったり、顧客が忙しそうにしていると、つい親切に対応 することが良いと錯覚してしまう。どんなに切迫している状況の場合でも、どこまでは対応してもよいかを判断でき る教育・訓練が必要になる。 ⇒ 訓練である程度は解決できるが。 ヘルプデスク、コールセンター等での対応ができているだろうか? ⇒ 「シークレット・オブ・スーパーハッカー」The Knightmare著、日本能率協会マネジメントセンター刊 がこの分野の バイブル的存在。 一読の価値あり! ケビン・ミトニックが「The Art of Deception」(騙しの技術:セキュリティーにおける 人的要因の管理) を2002年10月に出版。非常に興味ある内容の書籍。 ページ 25 Katsuya Uchida uchidak@gol.com 13 情報セキュリティ研修 物理的脅威 シカゴの大洪水(The Great Chicago Flood) z z z z z ページ 1899年にシカゴの中心地区に大規模なトンネルが掘られました。このトンネルは石炭等の燃料をに運ぶ目的 でシカゴの主要地域(「ループ」と呼ばれている)の多くのビルの地下とつながっていましたが、1959年代には資 金難から廃止され、テレビや電話等のケーブルが敷設されていました。 1992年4月12日、この地下トンネルの上を流れているシカゴ川から突然濁流が地下トンネルに流れ込みました。 当時、シカゴ川では工事が行われており、大きなコンクリートパイルを川底に打ち込んでいましたが、その工事 ミスによりトンネルに穴があき、その穴が拡大してついには大きな穴になり、そこからシカゴ川の膨大な量の水 がトンネル内に流れ込みました。この工事ミスには、数ヶ月程前にケーブル工事を行っていた人達が気づき、 シカゴ市の担当部門に連絡をしていましたが、何ら対策がとられていませんでした。利用されていないトンネル に補修費用を掛ける必要はないと考えていたと市長は後に述べています。 懸命な作業により、シカゴ川の川底にあいた穴を塞ぎ、地下トンネルから水を抜き終わったのは、4月25日でし た。 幸い、この事故での死傷者はありませんでしたが、大都市での最悪の事故と言われています。シカゴのビジネ スの中心地区であるループ地区は電気の供給ができなかったため、この地区のビジネスは完全に停止し、数 百万ドルの損失になったと言われています。 地下トンネルは石炭を各ビルに運ぶためにつくられたものであり、そのため多くのビルの地下がこのトンネルに つながっていました。このため大量の水がトンネル内に流れ込んできた時、ビルの地下室にも大量の水が流れ 込みました。 26 情報セキュリティ研修 Katsuya Uchida uchidak@gol.com Katsuya Uchida uchidak@gol.com 物理的脅威 シカゴの大洪水 (トンネル図) ミシガン湖 ページ 27 14 情報セキュリティ研修 物理的脅威 東京における浸水事故 z z 1993年8月27日に東日本を襲った台風11号による雨の影響で、営団地下鉄赤坂見附・四谷間で建設中の地下 鉄工事現場から多量の水が流れ込み、赤坂見附駅ホームに水が溢れ、停車中の電車の半分までが水に浸か ってしまいました。 また、品川駅では国道からの水が流れ込み、ポンプで排水しようとしたが、排水先の運河の 水位が高く、排水できなかったため、自然に水位が下がるのを待たざるを得なかった。 更に、皇居のお堀の最も低い位置にある日比谷壕の水が日比谷交差点周辺の道路に溢れ、周辺道路の水位 が50cmに達しました。 2000年7月4日の夕方にも激しい雨が降り、東京・大手町では1時間に82.5mmの集中豪雨があり、観測史上2番 目の記録になり、丸ノ内線の国会議事堂前・赤坂見附間でレールの高さまで浸水し、約50分間に渡って、銀座・ 四谷間の運転ができなくなりました。 大阪伊丹空港での浸水事故 z z z z ページ 1994年9月に発生した大阪府北部や兵庫県南東部での局地的な豪雨がありました。池田市にある建設省猪名 川工事事務所の計測では、7日午後1時までの4時間に288mm、6日午後11時からの1時間で130mmを記録しま した。伊丹市での総雨量は300mmに達しました。 この豪雨で、空港ビル地下二階にある配電室で浸水・停電し、航空機への無線による管制指示ができなくなっ た。電源装置は完全に乾燥させないと使えない上、バックアップ用の自家発電装置も同じ地下二階にあり水没 して使えませんでした。このため、空港業務は大きく乱れ、7日午前中の到着便は全て欠航、9時過ぎの離陸便 が緊急用バッテリーを使って無線管制を行ったが、1日中混乱した。 地下二階への雨水の流入は、地下一階の駐車場に通じるスロープからと、管理棟1階ガラス戸のすき間から入 り込んだ水が階段を伝わって流入しました。流入量は約1万平方メートルで、地下二階全域が水没した。 豪雨の場合、駐車場のスロープから雨水が流入するケースが多く、防水用の扉等を準備していますが、トラック が扉の取り付け部分を破損した事故があり、その修繕をしていなかったため、雨水の流入を防げなかった。 Katsuya Uchida 28 情報セキュリティ研修 uchidak@gol.com 物理的脅威 破壊行為 (1)1975年2月に東京・青山にあった中堅ゼネコン(総合建設業)の本社ビルの一部が爆破された。 東アジア 反日武装戦線の「さそり」と「狼」と名乗るメンバー6人がこの会社の本社ビルに潜入し、6階営業本部と9階電 子計算機室付近にそれぞれが爆発物を仕掛けて爆発させた。このため、9階の電子計算機室では、爆発と同 時に火災が発生し、コンピュータが破壊され、データは燃えてしまった。この爆破による被害総額は約20億円 に達し、9階の電子計算機室の直接被害だけでも約2億5000万円に達したと言われている。 社内のコン ピュータ室が部外者の攻撃で破壊された例としては非常に大きな被害がでた。 (2)1984年11月に発生した電話回線の火災事故により、間接的な被害を被った例がある。 東京・世田谷区に あった世田谷電話局前の地下洞道内で電話回線を点検補修中の作業員の過失で、火災が発生し、17時間 にわたってケーブルが燃え続け、洞道内のケーブルが大きな損傷を受けた。これにより、世田谷電話局内の 一般加入電話、専用通信回線等が不通となり、この地域内にあった都市銀行2行の事務センターが被害を受 けた。 東京に本店がある銀行は、オンラインシステムが停止し、全国243ヶ所の本支店でCD(現金自動支 払機)やATM(現金自動預入支払機)の利用ができなくなった。関西に本店がある他の銀行でも東日本地域 の63支店で業務が停止した。 この事故はオンラインシステムの脆弱性に関し、大きな教訓を残した。通信会社側ではケーブルの不燃化の 推進を行い、大規模なオンラインシステムを構築していた金融機関等ではセンタービルからの通信回線等の ケーブルを外部の1カ所だけに頼るのではなく、複数ルートで複数の電話局への接続を行うことを目指した。し かしながら、複数の電話局への接続や電源の二重化は非常に費用が掛かるため、複数ルート化は一部の企 業にとどまっている。 ページ 29 Katsuya Uchida uchidak@gol.com 15 情報セキュリティ研修 有害プログラムの脅威 自己増殖機能 自分の分身を作る、自己増殖は、「ストアードプログラム(Stored Program)」方式を提唱したジョン・フォン・ノイ マン(John von Neumann)が、コンピュータの黎明期に既にその考えを発表している。オートマトンと呼ぶもので、 自分の複製を作成できるかを研究し、自己複製は可能であるとした。 この点から、コンピュータ自体が自己増殖機能を持つことは必然的な事柄であり、有害プログラムは、コン ピュータの自己増殖機能の陰の部分に相当するものであると考えることも可能であろう。 Fred Cohen 『a COMPUTER VIRUS is a computer program that can infect other computer programs by modifying them in such a way as to include a (possibly evolved) copy of itself. Note that a program does not have to perform outright damage (such as deleting or corrupting files) in order to be called a "virus".』 コンピュータウイルスとは、他のコンピュータプログラムに自分自身の複製を含ませる方法で、他のプログラム を変更する事によって、伝染することができるプログラム。但し、この定義によって、ウイルスとして分類される ためにファイルを削除したり、ダメにしたりする様な明白な損害を与える事は必ずしも必要ではない。 通商産業省 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能の 一つ以上有するもの。 ① 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすること により、他のシステムに伝染する機能 ② 潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状をださない機能 ③ 発病機能 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能 ページ Katsuya Uchida 30 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 ワーム z z 1970年にボブ・トーマス(Bob Thomas)は、ARPANET上で稼働する「クリーパー(Creeper)」と名づけたデモ用 のプログラムを作成した。このプログラムは、ARPANETに接続されているコンピュータ上に「I m the creeper. Catch me if you can! 」と表示していったが、自分自身を複製する機能は持っていなかったが、後に、Creeperプ ログラムの新バージョンが出現し、単にネットワーク上を動くだけでなく、自分自身を複製する機能をもった。そ のため、これに対抗するためのプログラムとして、「Reaper」と呼ばれるプログラムが作成された。このプログラ ムはネットワーク上を動いて、Creeperを探し出し、Creeperプログラムをログアウトした。 1982年にXeroxパロアルト研究所(PARC)のJohn Shoch氏とJon Hupp氏の両研究者が論文に発表した。 z z ページ ワームとは、「ネットワーク上で自分自身をコピーしながら、感染を広げていくプログラム」である。 ワームがあるが、その名前はJohn BrunnerのSF小説 『The Shockwave Rider』(1975年、 Ballantine 日本語訳『衝撃波を乗り切れ』安田均訳 1983 集英社)に由来している。このSF小説に登場する 「テープワーム」というプログラムは専制的な政府が管理するデータを解放するために、ネットワーク 中に広まったが、ネットワークを壊さない限り駆除することが不可能になるまではびこる内容であっ た。 31 Katsuya Uchida uchidak@gol.com 16 情報セキュリティ研修 有害プログラムの脅威 トロイの木馬 ある目的を持ったプログラムであるが、実際には名目上の目的だけでなく、他の目的(通常は、悪い ことを行う)を行うように作成されているプログラムで、自分自身で感染して広がっていくことはない。 z トロイの木馬が日本で最初に発見されたのは1988年9月に明らかになった大手パソコン通信での 「コンピュータウイルス」がある。 このプログラムを実行すると、星が流れるようなイメージが画面に 現れたが、実際にはその間にパソコン通信で利用しているユーザIDとパスワードを盗む仕掛けに なっていた。 z 最も有名なトロイの木馬の1つにBackOrificeがある。これは、ネットワークを利用して、他のPCを 操作できるハッキングツールのようなトロイの木馬で、TCP/IPによるネットワーク接続ができるマ シンで動作する。 このプログラムはネットワーク対応で、サーバー側とクライアント側の二つのプロ グラムからなる。 z 2000年10月 米マイクロソフト社の開発部門が26日(米国時間)、ハッカーに侵入されたことを認めた。 同部門は、ウィンドウズや『オフィス』アプリケーションの青写真にあたるプログラムを管理している。 同社のスティーブ・バルマー社長兼最高経営責任者(CEO)は、「ハッカーがわれわれのソースコード の一部を見たのは確かだ」と述べた。 侵入に使われたのは、「Qaz.Trojan」と呼ばれる「トロイの木馬」 プログラム。このプログラムは電子メールを介して拡がるので はなく、ネットワーク上の共有ドライブを使って拡がる。普段は アプリケーションの「メモ帳」になりすましている。侵入者がこれ を遠隔操作して、機密文書やパスワードなどを盗み出すことが 可能になるという。 z ページ Katsuya Uchida 32 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 ウイルス偽情報:Hoax z 電子メール等で送られてくるメッセージで、コンピュータウイルスに関する偽情報を含んでいるもので、権威者 (権威のある団体)からの情報を基にしていると言っていたりする。このメッセージを読んだり、ダウンロードす るとハードディスク内の情報が消去されると言った情報が含まれており、受信者の友人等にこの情報を電子 メールで教えてあげなさい等というもの。 この情報はIBMからのものです。 以下の内容を確認してください。 『重要.警告』 もし"JOIN THE CREW"というタイトルのe-mailを受け取ったら絶対に開かないでください。 もし開いてしまうとハードディスクのすべてが消えてしまいます。 これは新種のウイルスであり、知らない人がたくさんいます。 この情報をI.NETにアクセスする人に知らせてあげてください。 また、もし、"PENPAL GREETING!"というタイトルのe-mailを受け取ったら、絶対に読まずに削除してください。 この文章はすべてのインターネットユーザーへの警告です。 "PENPAL GREETING!"というe-mailメッセージによりI.NET全体に広がる危険なウイルスが存在します。"PENPAL GREETING!"というタイトルのメッ セージは絶対にダウンロードしないでください。 このメッセージはペンパルに興味があるか尋ねてくるフレンドリーなメッセージに見えます。しかし、このメッセージを読んでいるその時にはもう手遅れになって います。この「トロイの木馬」ウイルスはハードディスクのブートセクタに感染し、中のすべてのデータを破壊しはじめています。さらにこのウイルスは「自 己増殖型ウイルス」で、いったん読まれてしまえば、あなたのメールボックスにある誰かのアドレスに自動的に送られてしまいます。もしこのウイルスを ネットワークに回し続けてしまえば、全世界規模のコンピューターネットワークに多大な被害を与えるといった危険性が生まれてしまいます。 友達、親戚、ニュースグループを読んでいる人、メーリングリストに載っているすべての人にこの文章を回し、この危険なウイルスが彼らに損害を与えないよう にしてください。このウイルスを止めるためにあなたの知っているすべての人にこの文章を送ってください。友達が友達に送り続けましょう。 『警告』 この2、3日で新種のウイルスがネット上に現れました。 "Returned or Unable to Deliver"と、書いてあるメールはいかなるものも開いたり、見たりしないでください。 このウイルスはコンピュータコンポーネントに取り付き、これらを使えなくしてしまいます。上記のように書いてあるメールはいかなるものもすぐに削除してくださ い。 AOLによると、このウイルスは危険である上、現在、治療法がないそうです。気をつけてください。そしてあなたのオンラインフレンドにできるだけ早く知らせて あげてください。 この文章をできるだけ早く回してください。 ページ 33 Katsuya Uchida uchidak@gol.com 17 有害プログラムの脅威 情報セキュリティ研修 ● 感染の仕組み (ファイル感染) 【 感染前のプログラム 】 感染前のプログラム 【 感染後のプログラム 】 感染後のプログラム ウイルス プログラムは通常最初から実行されますが、コンピュータウイルスは感染ファイルの先頭にウイルス に実行を移す命令を置き、感染プログラムの最後に自分自身をコピーする。 感染したプログラムが実行されると、直ちにウイルスが実行され、その後元のプログラムが実行され ます。 ページ Katsuya Uchida 34 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 ● 感染の仕組み (ブートセクター感染) ウイルス ブートプログラム ウイルス ディスクスペース の残り ディスクスペース ブートセク ター ブートセクター 本来の ブートセクター パソコンを起動させると最初に動くのが、「ブートプログラム」であ るが、このブートプログラムが格納されている場所にウイルス(ウ イルスの一部)が占め、ブートプログラムは別の場所に置かれま す。 これにより、パソコンが起動すると最初にウイルスプログラ ムが実行され、その後にブートプログラムが実行されることにな ります。 ページ 35 Katsuya Uchida uchidak@gol.com 18 有害プログラムの脅威 情報セキュリティ研修 ● 感染の仕組み (マクロプログラム感染) プログラム/ マクロ・インタープリター (ワープロ・表計算等) テンプレート 文書/ ワークシート マクロプログラム (ウイルス感染) ワープロソフトや表計算ソフトで利用可能なマクロプログラムでウイルスを作成したもので、マクロプロ グラムは文書ファイルやワークシートに含まれている。 ワープロ等のマクロプログラムは文書を読み込むと自動的に実行させることができる。このため、マク ロプログラムがウイルスに感染していると、ワープロソフトに含まれているマクロプログラムに感染した 後、文書の作成/変更などを行うとウイルスがそれらの文書に含まれるマクロプログラム部分に感染 していく。 最近のマクロプログラムはVBA(Visual Basic for Applications)と呼ばれる言語で作成されており、マ イクロソフト社の多くの製品で共通になっているため、共通性をウイルスが逆手にとって被害を拡大し ています。 ページ Katsuya Uchida 36 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 ● 感染の仕組み (JAVAアプレット) ウイルスと呼ぶことが適当であるか多少問題があ るが、悪意のあるアプレット( Hostile Applet)のウェ るが、悪意のあるアプレット(Hostile Applet)のウェ ブに有害なJava プログラムを作成した。その1 1つに ブに有害なJavaプログラムを作成した。その 「NoisyBear」と呼ばれる有名な Javaアプレットがあ アプレットがあ NoisyBear」と呼ばれる有名なJava る。インターネットを閲覧するブラウザー、Internet る。インターネットを閲覧するブラウザー、Internet Explorerや Java ExplorerやNetscape Navigatorを使って、この Navigatorを使って、このJava アプレットが保存されているウェブにアクセスすると 下図 に示すような画面が表示される。熊の画面と 時刻が表示されるが、同時にドラムを打ち鳴らす 音がし、他のウェブに移動してもドラムを打ち鳴ら す音は鳴りやまず、音を止めるには、ブラウザーを 終了しなければならない。 ページ 37 Katsuya Uchida uchidak@gol.com 19 情報セキュリティ研修 有害プログラムの脅威 インターネットの普及は、ウイルスについても、大きな変化が現れてきた。Fred Cohenや通商産業省の ウイルス定義を越えたものが現れており、従来言われている、ウイルス、ワーム、トロイの木馬、Hoax 等を「有害プログラム等」と名付けてみた。 有害プログラム等 意図的に何らかの形で悪意を持っており、 zプログラム機能 独立プログラム 寄生プログラム 非プログラム z感染機能 媒体経由 ・・・ 携帯型記録媒体(FD、CD-ROMなど) 人が介在 ・・・ 電子メールの添付ファイル、ネットサーフィン 自分自身 ・・・ 有害プログラム自体が感染機能を持っている z危害を加える ファイルの削除 ファイルの漏洩 メッセージ表示 何もしない DoS(Denial of Service)攻撃を行う ページ 参 参 考 考 1. 1. プログラム プログラム ①独立プログラム ①独立プログラム ②寄生プログラム ②寄生プログラム ③非プログラム ③非プログラム 2. 2. 感染機能 感染機能 ①感染機能あり ①感染機能あり ②感染機能なし ②感染機能なし コンピュータウイルス コンピュータウイルス 1 1② ② 寄生プログラム 寄生プログラム 2 2① ① 感染機能あり 感染機能あり トロイの木馬 トロイの木馬 1 1① ① 独立プログラム 独立プログラム 2 2② ② 感染機能なし 感染機能なし ワーム ワーム 1 1① ① 独立プログラム 独立プログラム 2 2① ① 感染機能あり 感染機能あり Hoax Hoax 1 1③ ③ 非プログラム 非プログラム 2 2① ① 感染機能なし 感染機能なし Katsuya Uchida 38 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 大部分の有害プログラム(ウイルス、ワーム等)は、既知の脆弱性を利用 z CodeRed ワーム 2001年7月17日に発見された。(13日に最初に発見されたが、機能強化されたものがすぐに出現した) 最も「0-Dayワーム」に近いが、脆弱性情報は、2001年6月18日に公表されており、脆弱性情報公開より、 1ヶ月弱遅れて作成された。 z Nimda ワーム Internet Explorer の脆弱性 (不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイ ルを実行する (MS01(MS01-020)) 020))、および IIS の脆弱性( の脆弱性(「Web サーバー フォルダへの侵入」の脆弱性 (MS00(MS00-078)) 。 z SQL Slammer ワーム 2003年01月に発見された。 2002年07月に報告されたMS SQLサーバのセキュリティホール(MS02-039)を利用した。(MS社は危険性を 「高」としており、SQL Server 2000 を使用している場合は、直ちに修正プログラムをインストールして欲しいとし ている。) z ブラスター・ワーム Windows OS に対して、TCP135 に対して、TCP135 ポート (Microsoft RPC) に対して MS03MS03-026 の脆弱性を悪用した攻撃データ を送信します。 MS03MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃をうけ 感染 し、自らが 攻撃者となり他のシステムに対して 感染 活動を行う。 MS03年7月17日) MS03-026: 026: RPC インターフェイスのバッファ オーバーランによりコードが実行される。(2003 オーバーランによりコードが実行される。(2003年 17日) ページ 39 Katsuya Uchida uchidak@gol.com 20 情報セキュリティ研修 有害プログラムの脅威 最近の有害プログラムの状況 の (1)複数の感染経路を持った有害プログラムの出現 2001年9月に被害をもたらしたNimdaワームでは多くの感染経路を持っていました。 ① 電子メールの添付ファイル ② ネットワークの共有ファイル ③ ウェブの閲覧時 等を利用して感染を広げた。 これらの感染経路それぞれは特に目新しいものはないが、複数の感染経路を持つ有害プロ グラムが出現したことが特徴と言える。 (2)ワーム作成期間の短縮化とDDoS攻撃の自動化 2001年7月16日に発見されたCode Redワームはマイクロソフト社のサーバプログラムのバッファーオーバーフローを利用 して他のサーバに感染を広げた。このIISの脆弱性は、6月18日に米MS社がその情報(MS01-033)を公開した後、1ヶ月足 らずで、この脆弱性を悪用したワームが作成された。このワームは、今までの有害プログラムの中で、脆弱性情報が公表さ れてから、最も短い期間で作成された。 また、このワームは米国ホワイトハウス(http://www.whitehouse.gov/)に DoS(Denial of Service)攻撃を実行しようとした。 即ち、ホワイトハウスのIPアドレスに100KB程の大量のデータを送る仕組みになっていたが、ホワイトハウスは事前にIPア ドレスを変更したため、Code Redは実在しないIPアドレスへの攻撃を行わなかったため、攻撃は行われなかった。 Code Redは、事前に特定のIPアドレスを攻撃する仕組みでしたが、外部から攻撃するIPアドレスを受け取り、攻撃を行うものを作 ることはそれ程難しいものでないため、Code Redワームを参考にして新しいワームが作成される可能性がでてきた。 MS社 のIISサーバは当時400万台程度あると言われており、その内感染サーバは28万台(7%)程度と言われているが、もし、感染 サーバが特定のIPアドレスに対してDDoS攻撃を行えば相当大きな被害が発生すると思われる。 IISサーバーのページに埋め込まれるスクリプトは2種類,1つはパッチ未公開のセキュリティ・ホールを突く download.ject http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040628/146450/ ページ Katsuya Uchida 40 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 マクロウイルス送付例 昨日はお騒がせしました。 今朝も若干ですが余波が残ってまして、各所連絡している状態です。 このウィルスの話は数ヶ月前にニュースで見ていたのに、いざ自分のところに 来ると、しかもよく知っている人から来ると、つい開けてしまうものですね・・・ 添付ファイルをクリックしても何にも起こらないので「おっかしいなー?」と思って、ひょ いと送信リストを見たら、ものすごい数のメールがある・・・!? 急いで残っているリストを削除したけど、ほとんど間に合わない!!! ・・・という、あのキョウフは忘れられません。 その後、誰に送られてしまったのか確認しようとしたんですけど、送信済みメールには ちゃんと(?)何にも残っていないんですよー。すごいでしょ。 ちなみに、途中で送信リストから削除に成功したメールは、誰に送ろうとしていたかは もちろんわかりましたが。 というわけで、以上、実に貴重な(!)経験談でした。 いやはや、疲れました・・・ ウイルス名称:VBS.SST@mm 別名:VBS.Lee-o, VBS.OnTheFly, VBS_KALAMAR.A, クルニコワ, アンナウイルス ワームが実行されると、Outlookのアドレス帳に登録されているすべてのメールアドレ スに感染ファイルを添付、勝手に送信し、感染を広げます。 (昨年猛威を振るった「I LOVE YOU」ウイルスに似ています。) 全ての人が 感染しない と言えますか? ページ 41 送信されるメールは下記のとおりです。 件名 Here you have, ;o) 本文 Hi: Check This! 添付ファイル AnnaKournikova.jpg.vbs (添付ファイルの名称は アンナクルニコワというロシアの有名なテニス選手の名前を 使っています) Katsuya Uchida uchidak@gol.com 21 情報セキュリティ研修 有害プログラムの脅威 セキュリティポリシーを定めて、教育・訓練の徹底を 2000年6月にサンフランシスコで行われたCSI(Computer Security Institute)主催のNetSec 00で 基調講演を行ったIBMワトソン研究所のウイルス等の研究者であるSarah Gordon氏は、2000年5 月に発生した「I Love You」ウイルスでは実際に被害を受けなかった企業がいくつかあった。 それらの企業では、セキュリティポリシーを作成しており、コンピュータウイルスに対しての対応につ いても普段から教育・訓練がきちんと行われていたと述べた。 「知っている人からキャンディを理由なしに送られてきたら皆さんは受け取るのですか? いわんや、 全く知らない人からキャンディを送られてきたら受け取ることをするような従業員を作ってはならな い。」と言っていました。 現在では、知人、友人、顧客からもコンピュータウイルスが送られてくることがある。 それらの危険 から企業・組織を守るためには、ワクチンソフト等だけでは もう不可能ではないかと考えています。 90%か95%は技術でセキュリティを確保できますが、最 後の5%ないし10%は人への投資を行う必要があるので はないかと思っていますが、その費用は90〜95%のセ キュリティを確保してくれる技術的なものへの投資金額よ り、大きい金額になる可能性が高いのではないかと思って います。 ただ、それを怠ると「大きな痛手を被る可能性は非常に高 い」かも知れません。 ページ Katsuya Uchida 42 情報セキュリティ研修 uchidak@gol.com 有害プログラムの脅威 有害プログラム対策 z 最近の有害プログラムの特長 複合機能 セキュリティホール z 環境対応 アンチウイルスソフトの導入場所 ファイアウォール 可搬型コンピュータ対応 可搬型媒体対応 z 感染時対応 感染範囲限定 ¾ パーソナルF/W Internet ¾ 検疫システム z 教育・周知 デモウイルスの利用 感染例の活用 自己チェック Internet/DMZ Servers WorkStation Internal LAN Internal Router Firewall d De Border Router ica Internal LAN ted cu ci r Remote Access Servers its Dialup Branch Office WorkStation Mobile/ Home user ページ 43 Katsuya Uchida uchidak@gol.com 22
© Copyright 2024 Paperzz