サイバー空間をめぐる 脅威の情勢について

そのWiFi、本当に大丈夫？

～WiFi利用に潜む落とし穴～

神 奈 川 県 警 察 本 部 サイバー犯罪対策プロジェクト サイバー攻撃対策プロジェクト h t t p : / / w w w . p o l i c e . p r e f . k a n a g a w a . j p / 公衆WiFi利用時の注意 点を中心にお話しします

「

」とは

コンピュータやインターネットを悪用

する犯罪

サイバー犯罪で多いものは？

全国警察におけるサイバー犯罪の検挙状況の内訳(平成29年上半期)

インターネットバンキングでの

不正アクセス、不正送金被害

 ネットバンキングで知らない間に見知らぬ口 座へお金が不正に送金される被害が発生  平成29年上半期の被害額は全国で

約５億6400万円

 パソコンが不正プログラム (ウイルス)に感染していた ことが被害のきっかけ となっている

インターネットバンキングマルウェアなどに 感染させるウイルス付メールに注意  昨今、インターネットバンキングマルウェア などの感染拡大を図るウイルス付メールが日 本を標的として大量に送信されています  件名は「御請求書」、「発注依頼書」など取 引関係を装ったものや 「写真を添付致します」、 「公共料金請求書データ送付の 件」等、日常生活にかかわる 内容など様々なものがあります

ウ イ ル ス 感 染 防 止 対 策

(様々な感染方法があるため、複合的な対策が不可欠です!! ) 1. ウイルス対策ソフトを利用し更新を行いましょう。 2. ＯＳや利用しているプログラムを最新の状態に アップデートしましょう。 3. 信頼のおけないプログラムはインストールしない ようにしましょう。 4. 怪しいサイトや必要のないサイトには罠が仕掛け られていることがあるためアクセスしないようにしま しょう。 5. メールの添付ファイルは安易に開けないようにし ましょう。 6. ＵＳＢメモリなどの外部記憶媒体は必ずウイルス チェックをしましょう。 7. ファイアウォールなどを適切に利用しましょう。 8. 使わないときは電源を切りましょう。

9

サイバー攻撃の情勢



サイバー攻撃

は

世界的規模で発生

してお

り、

国の治安

や

安全保障

に影響を及ぼす

おそれがある

第５の戦場 「サイバースペース」 第１の戦場 「陸」 第２の戦場 「海」 第３の戦場 「空」 第４の戦場 「宇宙」

「

第五の戦場

」で生き抜くためには、

サイバーセキュリティの知識と技能

を身に付ける必要があります！！

標的型メール攻撃の情勢



平成29年上半期に警察が把握した標

的型メール攻撃の件数は589件で、

平成28年下半期より1,506件減少し

ている

 Android端末を狙った標的型メール攻撃  Android OSを搭載したスマートフォンを狙っ た標的型メール攻撃も確認されている  メール本文に記載されたリンクを タップすることで、インターネッ ト上のウェブサイトに接続し、 Android向けの不正プログラム をダウンロード  今後もモバイル端末を狙ったサイ バー攻撃が発生するおそれがある 12

スマートフォンの

セキュリティ対策の必要性

～ここから本番！？～

無料の

WiFiを見つけたとき・・・

SSID:cyber-free-wifi

パスワード(暗号化)なし

やった！

パスワード

(暗号化)なしのＷｉＦｉ



通信内容を盗み見られてしまう

 メールの内容を見られる、パスワードを盗まれるなど のリスクがある 

悪意のアクセスポイント(ＡＰ)

 通信傍受のほか、情報漏洩、ウ イルス感染などのリスクがある 自前で通信の暗号化を行う 信頼できるＡＰかどうか確認する

 住宅地等でパスワード(暗号化)設定がされて いないアクセスポイント(ＡＰ)を見かけることが ありますが、

ラッキー

!!

などとは思わな

いですよね！？

野良

AP利用における問題点

 しかし、子どもたちは、携帯型のゲーム機等を 野良ＡＰに接続して使ってしまう場合があります ＷｉＦｉ 使える ラッキー！

野良

AP利用における問題点

野良

AP利用における問題点

 APにセキュリティ設定をしていないような家庭など

は、セキュリティに対する意識が低いことが考えら れるため、そのような所有者のAPに接続するとウイ ルス感染などのリスクがある

 情報搾取の目的で、意図的にセキュリティ設定を していないＡＰを設置している者もいるため、ゲー ムで利用するＩＤ／パスワードや他の利用者との やりとりを盗み見られるなどのリスクがある インターネット

野良

AP利用における問題点

野良

AP利用における問題点

まんじゅう 落ちてる ラッキー！

暗号化されたＡＰでも・・・

 パスワード(暗号化)設定がされているＷｉＦｉでも、 偽アクセスポイント(Evil Twin：悪魔の双子)に よるリスクは防げません SSID:Secure-wifi P/W: passpass SSID:Secure-wifi P/W: passpass ※ 「悪魔の双子」とは、無線ネットワーク上で正規のアクセスポ イントを偽装し、ユーザーを騙す攻撃手法（WiＦｉフィッシング）  自 動 接 続 設 定 を し ていると、知らぬ間 に偽ＡＰへ接続して しまうことがあります Ｆａｋｅ Ｆａｃｔ

 ホテルや観光地等の公衆無線ＬＡＮサービスで は、ＳＳＩＤとパスワード(暗号化キー)が公開され ているため、偽ＡＰが設置される 恐れがあります

暗号化されたＡＰでも・・・

 正規のＡＰにつながっているか、 偽ＡＰにつながっているかどうか を判断するのは困難です ※ WiFiを提供していないホテルなどの周辺で、そのホ テル名などを騙った偽APが設置されることもあります

 WiFi通信に関するの複数の脆弱性「KRACKs」  WiFi通信暗号化等で利用されているWPA2等にお いて「KRACKs(Key Reinstallation AttaCKs)」と呼 ばれる暗号キーを特定されるなどの複数の脆弱性 が発見されています

暗号化されたＡＰでも・・・

 この脆弱性を悪用されると、 無線LANの通信範囲に存 在する第三者により暗号化 された通信を傍受される恐 れがあります

 「KRACKs」を悪用した攻撃  現時点で、攻撃コードおよび攻撃被害は確認されて いませんが、今後本脆弱性を悪用する攻撃が発生 する可能性があります  影響範囲

暗号化されたＡＰでも・・・

 WPA/WPA2を利用する無線LAN機器 (AP、IoT機器も含む)  クライアントとAP間の無線通信が対象  無線LANの電波が届く範囲に攻撃者は 入る必要がある

 「KRACKs」攻撃への対策  機器のアップデートをする  Windows、iOS(iPhone等)は最新のアップデートで対応済  Androidは機種メーカー毎に対応の有無の確認必要  AP、IoT機器もメーカー毎に対応の確認が必要

暗号化されたＡＰでも・・・

 アップデートできない場合  SSL/TSL等の暗号化通信やVPNサービ スを利用する ※ KRACKｓ以外にも暗号化解析を行うなどの WiFiに対する攻撃が存在しています！

 ＶＰＮとは、Virtual Private Network（仮想専用 線）の略であり、本来は企業等の拠点間を専用 線で結んでいる様にインターネットを通じて安全 に通信させるもの

ＶＰＮによる暗号化について

 WiFiのセキュリティ対策として提供さ れているＶＰＮサービスでは、利用者 端末(スマホ等)と事業者のサー バー間でのVPNを行うものです サービスの利用規約を確認しておきましょう

SSL 対応 利用者端末 SSL暗号化 SSL 対応 SSL暗号化 事業者の ＶＰＮサーバ

暗号化される通信の範囲

(イメージ)

ま と め

公衆ＷｉＦｉ利用時の注意点

 大切な情報は暗号化通信(SSL等)を利用する  WiFi通信は有線通信よりも盗み見られる危険性が 高く、特に公衆WiFiは通信の傍受や偽APに接続さ せられる危険性があるため、大切な情報を扱う際に は暗号化通信(SSL等)を利用する  暗号化通信ができない場合には、通信内容が盗み 見られる危険性を理解した上で、 大事な情報をやりとりするか どうか判断してください

公衆ＷｉＦｉ利用時の注意点

 ファイル共有機能を解除しておく  他人と同じネットワークに接続することになるので、 パソコンのファイル共有機能を解除しておく  WiFi経由でのファイ ル共有機能がある スマートフォンのアプ リは停止しておく

公衆ＷｉＦｉ利用時の注意点

 知らないアクセスポイントを利用しない  野良ＡＰは絶対利用しない!!(道端の饅頭)  店舗やホテル等のアクセスポイント はＳＳＩＤ等を確認して利用する  携帯電話事業者の提供する公衆 ＷｉＦｉを優先的に利用する

 不正なサイトへのアクセスや を防ぐ、 するための する

公衆ＷｉＦｉ利用時の注意点

不 正 利 用 対 策 が 不 十 分 な ア ク セ ス ポ イ ン ト で は 、 不 正な 利用 者 からの攻撃 等に 備える必 要があります



公衆ＷｉＦｉを利用

する際には様々な

リスク

があることを理解

し

 どこまでのリスクを容認するか考える  容認できないリスクについては、 十分な対策を行う  対策できない場合には、 扱う情報を検討する

ことなどが必要です

公衆ＷｉＦｉ利用時の注意点

大切な機械と情報は、シッカリ守りながら使いましょう!!

無料の

WiFiを見つけたとき・・・

SSID:cyber-free-wifi

パスワード(暗号化)なし

やった！

36

インターネットを

利用者が認識すべきこと

サイバー犯罪、サイバー攻撃が日々進化する中、 であるため、

リスクを低減

し、

攻撃を受ける前提

で

日頃からの情報収集

 日々、巧妙化、複雑化するサイバー犯罪、サイ バー攻撃に対応していくためには、日頃からの 情報収集が不可欠  手口を知っているか知らないかが、被害に遭う か遭わないかの分かれ目  警察をはじめとしたサイバーセキュリティ関係の 機関のホームページやツイッターなどで確認  インターネットのニュースサイト等でも情報収集

ネットの情報の正否、危険性の有無、 行動の善悪を見極める力が必要 興味本位や好奇心、軽い気持ちで 行ったことが思わぬ犯罪やトラブル になることがあるため、誘惑に負け ない、周りに流されない力が必要 ネット社会は自己責任が原則、自分 の行動に責任が取れる力が必要

サイバー社会で必要な３つの力

サイバーセキュリティ対策は、

知識

よりも

意識

が

大切

です