パソコンユーザのためのウイルス対策 7箇条
IPA(情報処理推進機構)ホームページから1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること
2. メールの添付ファイルは、開く前にウイルス検査を行うこと
3. ダウンロードしたファイルは、使用する前にウイルス検査を行うこと
4. アプリケーションのセキュリティ機能を活用すること
5. セキュリティパッチをあてること
6. ウイルス感染の兆候を見逃さないこと
7. ウイルス感染被害からの復旧のためデータのバックアップを行うこと
パソコンユーザのためのスパイウェア対策 5 箇条
IPA(情報処理推進機構)ホームページから 31. スパイウェア対策ソフトを利用し、定期的な定義ファイルの更新お
よびスパイウェア検査を行う
2. コンピュータを常に最新の状態にしておく
3. 怪しいサイトや不審なメールに注意
• Webサイトの参照
• 便利なツールのダウンロード
• 不審なメール
• 理解できないポップアップ画面や確認メッセージ
4. コンピュータのセキュリティを強化する
• パーソナルファイアウォールを使う
• ブラウザのセキュリティ設定を行う
• 必要な場合以外は管理者モードを使わない
5. 万が一のために、必要なファイルのバックアップを取る
※スパイウェアの定義は、いまだ明確なものはないが、パソコンユーザにとってのスパ イウェアとは、『利用者の意図に反してインストールされ、利用者の個人情報やアクセ ス履歴などの情報を収集し、利用者以外のものに自動的に送信するソフトウェア』。スマートフォン情報セキュリティ3か条
(利用者が最低限取るべき情報セキュリティ対策)
1.OS(基本ソフト)を更新
スマートフォンは、OSの更新(アップデート)が必要です。古いOSを使っていると、 ウイルス感染の危険性が高くなります。更新の通知が来たら、インストールしましょう。2.ウイルス対策ソフトの利用を確認
ウイルスの混入したアプリケーションが発見されています。スマートフォンでは、携帯 電話会社などによってモデルに応じたウイルス対策ソフトが提供されています。ウイ ルス対策ソフトの利用については、携帯電話会社などに確認しましょう。3.アプリケーションの入手に注意
アプリケーションの事前審査を十分に行っていないアプリケーション提供サイト(アプ リケーションの入手元)では、ウイルスの混入したアプリケーションが発見される例が あります。OS提供事業者や携帯電話会社などが安全性の審査を行っているアプリ ケーション提供サイトを利用するようにしましょう。インストールの際にはアプリケー ションの機能や利用条件に注意しましょう。 「スマートフォン・クラウドセキュリティ研究会」報告書(H24.6.29)から無線LAN情報セキュリティ3つの約束
~パソコンやスマートフォンの一般利用者が最低限取るべき対策~
パソコンやスマートフォンから、ケーブルを気にすることなく利用できて便利な無線 LAN は、電波を使って情報をやりとりするため、利用者自身が適切な情報セキュリ ティ対策を取ることが必要です。 また、スマートフォンは、設定によっては利用者が無意識のうちに無線LANに接続さ れている場合がありますので、スマートフォン利用者は、そのことを認識するべきです。 無線LANを便利に安心して活用するために、一般利用者が最低限取るべき情報セ キュリティ対策である「3つの約束」を守りましょう。 「一般利用者が安心して無線LANを利用するために」 (H24.11.2)から 約束1.無線LANを利用するときは、大事な情報はSSLでやりとり 約束2.無線LANを公共の場で利用するときは、ファイル共有機能を解除 約束3.自分でアクセスポイントを設置する場合には、適切な暗号化方式を設定 5約束1.無線LANを利用するときは、大事な情報はSSLでやりとり
インターネットは、一般に通信内容を盗み見られる危険性があるものですが、無線 LAN利用時には、ケーブルの代わりに電波を使っているため、その危険性が高まりま す。 そのため、ID・パスワード等のログイン情報、クレジットカード番号やセキュリティコー ド、暗証番号といった決裁に関する情報のほか、プライバシー性の高い情報など大事 な情報を無線LANでやりとりする場合には、SSLにより暗号化がされていることを確認 しましょう。約束2.無線LANを公共の場で利用するときは、ファイル共有
機能を解除
公共の場で無線LANを利用する際に、ファイルの共有機能が有効になっていると、 他人からパソコンやスマートフォン内のファイルが読み取られたり、ウイルスなどの不 正なファイルを送り込まれたりすることがあります。 ファイル共有機能の利用は、家庭内や職場のLANに接続したときに限るようにして、 公共の場での無線LAN接続時には解除しましょう。 7約束3.自分でアクセスポイントを設置する場合には、適切な
暗号化方式を設定
自分で設置したアクセスポイント(親機)でも、電波の届くところから気がつかないう ちに通信内容が盗み見られたり、無断でウイルスの配付等に悪用されたりする危険 性があります。 そのため、家庭の無線LANの親機やモバイルWi-Fiルータ、スマートフォンのテザリン グ機能を設定する場合には、WPAやWPA2により暗号化しましょう。その際、アクセス ポイントと端末との間に設定する共通のパスワードは、なるべくランダムで長いものに しましょう。WEP(Wired Equivalent Privacy=有線と同等な安全性)
9・アクセスポイントと端末間をWEPキーを使い暗号化して通信
・WEPキーはアクセスポイントと端末で事前に共有(ユーザーが設定)
・WEPキーの長さは、64bitと128bitを選択可能(長いほどセキュリティ高)
・WEPには脆弱性が指摘されていて、より強化されたWPAあり
WPA-PSK
WPA:Wi-Fi Protected Access
PSK:事前共有鍵(Pre-Shared Key)
• アクセスポイントと、これを通信を行うすべての端末に、共通の文字数の多い 文字列(パスフレーズ=最小8文字、最大63文字のASCII文字列)を登録して おき、その文字から生成される128bitのPSKにより端末を認証
• WEPと比べ強固な暗号方式を採用(TKIP,AES)
【TKIP】 Temporal Key Integrity Protocol
WEPを拡張した暗号方式でWEPとの違いは次のとおり ・共有鍵を端末毎、接続毎に異なるよう、1パケット毎に変更
・暗号方式の複雑化のため、パケット毎に使われる鍵の不規則性を高める。
【AES】 Advanced Encryption Standard :高度暗号標準
米国政府が使用する暗号方式として標準化されたものでWPAのオプション
・WEP及びTKIPで使用されているRC4より強固なRijndaelという秘密鍵暗号化アルゴリズムを採用 ・ハードウエア処理を行わないと、54Mbpsの速度には対応できない
SSID(Service Set Identifier)
11 • SSIDは、無線LANのネットワークの識別子であり、アクセスポイントと同一 のSSIDを設定した端末のみが通信可能。 • 端末側でSSIDの設定を「ANY」か空欄にしておくと、すべてのSSIDで通信 可能となる。そのため、アクセスポイント側でSSIDを遮蔽する機能(ステル ス機能)を持つ製品も出ている。MACアドレス(Media
Access
Control address)フィルタリング
• 接続する端末のMACアドレスをアクセスポイントに登録。それ以
外の端末は接続できない。
• MACアドレスは48bitで、上位24bitはIEEEで管理する固有ID、下
24bitが機種・シリアル番号となり、世界中で同じアドレスを持つ
通信機器は存在しない。
IEEE802.1X 認証
13
• 有線でも用いられるネットワーク認証の規格であるPPP(Point to Point Protocol ) を拡張した プロトコルであるEAP(Extensible Authentication Protocol)を採用しており、パスワード、電子 証明書等により端末及びアクセスポイント双方、又は端末を認証する方式
• 端末に搭載された認証用ソフトウェア、認証に対応したアクセスポイント、RADIUS(Remote Authentication Dial-In User Service)サーバ等の3つの要素により構成される。RADIUSサー バにおいて一元的に認証が行われるため、端末及びアクセスポイントの増加に対応可能で あることから、大規模な組織における運用にも耐えうる認証方式
【メールのセキュリティ対策】
標的型攻撃メールの特徴 (1)
・不特定多数に送られて次々と感染拡大するマスメール型ウイルスメールと標的型攻撃メールの比較 特徴の比較 (傾向) 攻撃者の目的 感 染 数 検 体 収 集 言 語 件名 本文 送信者 添 付 フ ァ イ ル 感染後 のPCの 症状 マスメール型 ウイルスメー ル ・社会騒乱 ・多数のPCを操 りたい 多 い 容 易 主 に 英 語 一 般 的 な用件 ・一般 ・勧誘 ・ 指 示 : 添 付 ファイルを開封 等 ・個人名 ・不明組織 実 行 形 式 ・重い ・PCダウ ン 標 的 型 攻 撃 メール ・特定の組織の 情報窃取 ・ シ ス テ ム の 妨 害 少 な い 困 難 日 本 語 自 分 に 関 係 あ りそうな 用件 ・関心事 ・ 用 件 の 説 明 が適切 (詐称) ・官公庁 ・大企業 文 書 形 式 特 に 変 わらず【メールのセキュリティ対策】
標的型攻撃メールの特徴 (2)
15 ・ 標的型攻撃メールの目的は、特定の組織の情報を窃取することなので、無関 係な組織に送られる可能性は低い。 ・ 新種のウイルスが使われているので、ウイルス対策ソフトにより検知すること は困難。 ・ ウイルス対策ソフトで検知できなくても、メール受信者が、そのメールを不審に 思い、添付ファイルを開かなければ、ウイルスに感染する可能性はほとんどな い。 ・ 信頼できそうな組織から、自分に関係ありそうな表題や内容の日本語のメー ルが送られており、添付ファイルも文書ファイルなので、ウイルスメールと気付 かずに開いてしまう可能性が高い。 ・ 添付ファイルを開いてウイルスに感染しても、パソコン等に特に異常な症状が 現れないケースが多く、感染に気付かずに使い続け、長期間に渡ってウイル スが活動し、組織内の他のパソコンやサーバ等に感染を拡大したり、情報窃 取等の被害を及ぼすことになる。【メールのセキュリティ対策】
受信者側での対策 (技術面)
・ ウイルス対策ソフトの適切な運用 常時監視+定期的に全ファイルをスキャン ・ OSやアプリケーションの既知の脆弱性の速やかな修正 近年、脆弱性の修正プログラムが公開されると、その脆弱性を悪用したウイルスが短期 間に作られてサイバー攻撃に使われることが多い。 ・ 添付ファイルのファイル識別子の確認 登録されている拡張子を表示しない設定にしてあると、「 xxx.doc.exe 」のような二重拡 張子のファイルが「 xxx.doc 」のように表示されることがあるので、すべての拡張子を表 示する設定にする。 ・ メールヘッダの確認 標的型攻撃メールにおいては、メールの表題やメール送信者情報、メール本文、メール 送信時刻、添付ファイル名は、メール受信者が信用するような内容で表示されるように 加工してあることが多いが、メールヘッダには、実際のメール発信元IP アドレスなど詐 称することが困難な情報が多数含まれている。 ・ 万一ウイルスに感染した場合の対策 ①ウイルスの活動(組織内蔓延や外部通信)を阻害、抑止する <出口対策> ②重要な情報の利用制限(アクセス制御)をする ③情報にアクセスされても保護するための鍵(暗号)をかける ④操作や動き(ログ証跡)を監視・分析し不審な行為を早期に発見する 等 IPA(独立行政法人情報処理推進機構)の「標的型攻撃メールの分析に関するレポート」から【メールのセキュリティ対策】
ISP、メールサーバ側での対策 (1)
17 ・ メール送信に使うプロトコルであるSMTPにユーザ認証機能を追加したも の。 ・ SMTPはもともと認証を持たない単純な仕様であったため、スパムメール の横行を許してしまい、対策として認証機能の導入によりメール送信を制 限することとした。メール送信の際にSMTPサーバとユーザとの間でユー ザアカウントとパスワードの認証を行い、認証された場合のみメールの送 信を許可する。・ 「AUTH-LOGIN」「AUTH PLAIN」「AUTH CRAM-MD5」などいくつかのユーザ認 証方式がある。このうち、「AUTH CRAM-MD5」は、パスワード文字列がそ のままネットワークを流れることがないように、暗号化が施される。
・ SMTP-AUTHが普及するまでに、過渡的にPOP before SMTPも利用された。
【メールのセキュリティ対策】
ISP、メールサーバ側での対策 (2)
Outbound Port 25 Blocking
• ISPの悪意ある顧客が自前のメールサーバからスパム(いわゆる迷惑メール)を送信し たり、SMTP拡大型のウイルスに感染したPCからウイルスメールが送信されることなど を防止するために、ISP側で許可した特定のサーバ以外のSMTP(通常使用されるTCP ポートの25番)の送信をブロックするという対策方法。 (NTTコミュニケーションズのホームページから) • ISPのメールサーバを経由しないメー ル送信(スパム、ウイルス等)をブロッ クできる。 • 他のISPのメールサーバへの直接の 送信(25番ポート)もブロックされる。 →正規の利用者は、サブミッション ポート(587番ポート、認証機能付き) を利用することにより送信可。 • ISPの導入状況 ほとんどのISPが対応 (H24.9.27現 在、日本データ通信協会調べ) 仕組み
【メールのセキュリティ対策】
ISP、メールサーバ側での対策 (3)
19
送信ドメイン認証
送信元IPアドレスにより認証する技術 送信メールに電子署名を付与して認証する技術
SPF
(Sender Policy Frameworks)DKIM
(DomainKeys Identified Mail)① DNS(Domain Name System)に、あらかじめSPF レコードを公開しておく。 ② メールを受信した相手のメールサーバは、送 信者のDNSへSPFレコードを問い合わせる。 ③ SPFレコードに示されるIPアドレスのリストに送 信者のメールサーバが含まれていれば認証 完了。
① DNS(Domain Name System)に、あらかじめ電 子署名に使う公開鍵とSSP(Site Signing Policy) を公開しておく。 ② 電子署名がついたメールを受信した相手の メールサーバは、送信者のDNSへ公開鍵を 問い合わせる。 ③ 取得した公開鍵で電子署名を照合してOKで あれば認証完了。 (Sendmail社のホームページから)
【メールのセキュリティ対策】
ISP、メールサーバ側での対策 (4)
送信ドメイン認証の導入状況
ISPの種別
送信
受信
サービス数の
合計
SPF
DKIM
SPF
DKIM
IPS
45
6
11
9
45
100%
13%
24%
20%
CATV
102
13
21
15
102
100%
13%
21%
15%
携帯・PHS
6
0
3
0
6
100%
0%
50%
0%
フリーメール
5
3
5
3
5
100%
60%
100%
60%
合計
158
22
40
27
158
100%
14%
25%
17%
H24.9.27 日本データ通信協会調べ 送信側はほとんどのISPが対応しているが、受信 側の対応はまだ十分には進んでいない。暗号アルゴリズムの安全性 (1)
21
暗号アルゴリズムについて
Wikipedia等から
●SHA
SHA(Secure Hash Algorithm)は、一群の関連したハッシュ関数であり、アメ リカ国立標準技術研究所(NIST)によってアメリカ政府標準のハッシュ関数と して採用されている。 生成するビット長が異なるSHA-1 (160ビット)、SHA2(SHA-224、SHA-256、 SHA-384、SHA-512)がある。 SHA-1は、TLS、SSL、PGP、SSH、S/MIME、IPSecなど、さまざまなセキュリティ のアプリケーションやプロトコルに採用されている。
●RSA
Ronald Rivest氏、Adi Shamir氏、Leonard Adleman氏の3人が1978年に開発 した公開鍵暗号方式の一つ。開発者の名前をとって名付けられた。公開鍵 暗号の標準として広く普及している。RSA暗号を解読するには、巨大な整数 を素因数分解する必要があり、効率の良い鍵の発見方法はまだ見つかって いない。
暗号アルゴリズムの安全性 (2)
23
25