[epnetfan 座学編]
[Internet Week 2004 報告会]
[Security Day 報告]
EPNetFan 2004 年度 座学編 第 21 回 資料
Internet Week 2004 報告
2004/01/14 小高正嗣
- 「システムを守る」から「情報資産を守る」という変化
個人情報保護
5,000 件以上の個人情報を収集している事業者, 団体に適用.
大抵の組織が対象になると考えてよい.
経済産業省, 総務省, 金融庁, 厚生労働省がガイドラインを作成.
経済産業省ガイドラインは ISO 17799 に忠実な厳しいものだったため,
経済界は過剰に反応, 個人情報特需(?)が起こっている.
「ウィルス対策」から「情報対策」へ
事業継続性計画 (BCS: Bussines Continuity Planning)
台風による浸水被害. 資金の乏しい企業, 自治体はバックアップを十分に
とれない. データが消失してしまった企業, 自治体は業務に復帰できない.
「自分たちの業務, ビジネスを守る」という視点が必要.
情報保障 (information assurance)
情報は正しいか? 正しく利用されているか?
- 情報化
- 作成 - 閲覧 - 廃棄というサイクル. 紙の場合比較的簡単.
- 情報の区分け
- 人の区分け
- 情報と人との対応づけ
- ネットワーク環境の実装努力
- これまでの環境: 外部との境界で守る
- 官庁ネットワーク: ホームページ改ざん事件
- 派遣社員受難時代: 情報漏れはすべて派遣社員だと思われる
- 実は情報漏洩は 8 割方は内部から起こるのだが…
- モバイルコンピューティングの本質
- ノート PC の盗難によって情報漏れを起こす
- 情報が人に貼り付いてはりついて動く
- これまでは情報が机に貼り付いていた
- 情報機器はコンピュータだけではない
- コールセンター
- ノート PC, 携帯電話, デジカメ持ち込み不可
- 透明な鞄, USB 機器のコネクタにフタ
- 境界をすりぬけていく人, 機器をどう管理していくか?
- 持ち出し前面禁止
- IC タグを使う
- ファイルシステムの暗号化
- 情報, 人, システムを分離
- 取り扱う情報に応じて使うシステムとユーザを限定, 明示する
- 通常活動エリアと注意万全エリアに分ける
- デスクトップパソコンからなんでもコンピュータへ
- 全ての機器がネットワークにつながる
- VOIP (Voice Over IP): トラブった時どこに問い合わせ?
- アナログ電話では, 基幹配線に触れる人は限定的
盗聴を防ぐため
- 組織内ネットワークだと触りたい放題. VOIP を使うと盗聴天国
- ping と traceroute だけではだめ. 品質と使われ方を考慮しないといけない.
- 難問: 情報家電が攻撃元に!?
- 2004/09
- 家庭用ビデオレコーダーが攻撃を中継
- TOSHIBA HDD/DVD RD-CXS40
- HTTP proxy 機能をもった web サーバ内蔵, open proxy.
- LAN 機能内在
- オンラインで録画予約
- 一見コンピュータとは思えない装置が攻撃元になる
- さまざまなリスクをどう管理するか?
- 自然災害
- カントリーリスク: 海外でのリスク
- 改ざん
- 詐欺, 架空請求
- 踏台
- 2 つの方向
- 原理主義: なんでもダメ
- 放任主義: なんでも OK
- 両者のバランスをとって対策
- PDCA サイクル:
- ネットワーク技術者以外の人が必要
- 規制, 法制との対応
- 警察, 司法との対応
- リスク評価
- 技術開発, 製品開発
- 組織内でのチームワークが大切
- 組織トップはセキュリティの重要性に気づきはじめている
- トップは成果が目に見やすい部門に目がいく
- ネットワーク管理者は目に見えにくい部分にいる
- さらにおたくだったりする
- 対象は全ての機器
- ファイアーウォールだけでは守り切れない
- 便利な家電
- HDD, DVD レコーダ, 電気ポット
- 孤立していた家電機器がネットワークを介してつながり, 便利になる
- パソコン分野での進化をトレース
- 家電と PC の製品として垣根が低くなりつつあり, 結果として同様の脅威
- 事例
- worm に感染して使えなくなったコピー機器
- HDD レコーダは SPAM の踏台
- 可能性
- 止まってしまった冷蔵庫
- 真夏にエアコンの設定温度が 1 度上昇
- ユーザに期待できる?作業
- パスワード設定, デフォルトからの変更
- 実際は設定作業が必要な機器はほとんど使ってもらえないだろう
- 無線 LAN でもセキュリティ機能をほとんど使われていない
- PC の観点からユーザ設定を期待しても無理
- ファームウェアの update はできないだろう
- Windows update ですら利用方法解説は難しい
- これまでの家電でユーザの必要な作業は時計合わせくらい
- PC は持ってないけど情報家電は持っている人は増える
- 利用者層にあわせた製品設定: 初心者と上級者
- ユーザ同士の情報交換
- マニアなユーザ
- 隠し機能はばれる
- 情報の開示方法
- ユーザ登録
- 情報家電 = サーバ?
- なんでもできる情報家電?
- 通常はできることは限られている
- 情報家電の使い方, 使われ方
- 今までの家電は家庭から外部へアクセス
- ユーザはクライアント, サーバ側でセキュリティ処理をがんばっている
- 情報家電は外部からアクセスできる
- 情報家電の場合, 各家庭のユーザ機器がサーバ側になる?
- C-S モデルと M2M モデル
- C-S モデルの枠組でネット家電を便利に使うためには?
- ネット家電を DNS に登録, 世界中からみえるようにする
- 家庭の FW もポートを開ける, 誰でも open に
- 情報家電にアクセス制御設定が必要
- M2M モデルを導入するとよい?
- 認証手続きをまとめて管理するような仕組みを用意する
- C-S(クライアントサーバモデル)を情報家電にあてはめるとユーザは大変
- 会場から
- 情報家電は従来家電とは使われ方が違うはず. でもユーザ側からの
圧力によって, むりやり従来家電のような使われ方をあてはめている.
- 消費者の意識を変える? 利便性と危険性を知ってもらう.
- ネットワーク経由, メディア送付
- ネットワーク経由の方が便利
- タイミングをどのようにユーザに知らせるか?
- 失敗した場合は?
- 改ざんされていた場合は?
- ユーザに断り無くバージョンアップしてよいのか?
- バージョンアップは 2 種類
- 本当にあると嬉しい機能は?
- そのためにユーザが払う適切なコストはどの程度か?
- どこまでセキュアか?
- 各メーカはほどんどセキュリティ対策をしていない
- 情報家電の数少ない
- ホームサーバ経由なので問題ない?
- 開発現場
- 組み込み職人さん
- 組み込みは強い
- セキュリティの知識は?
- ネットワークの知識は?
- 複雑で大規模な開発に慣れていない
- セキュリティ対策のために新たにリソースを割けるか?
- リスクの想定
- 攻撃されるはずがない(想定外?)
- どこまでセキュアにすべきか?
- PC ネットワークの経験再び
- 対策ははじまっている
- 心配すること
- オープンソース技術の利用
- 何がどこまで使われているか?
- マイナー独自仕様 OS は狙われる?
- 他人に迷惑をかけるかもしれない
- 脆弱性を指摘した人は「クレーマー」?
- 「想定外」は言い訳になるか?
- アップデートは常識になるか? していいのか?
- 「脆弱性」は「欠陥」か?
- 具体的にワームや攻撃がないとユーザの意識は変わらない?
- サイバー犯罪の分類
- 不正アクセス禁止法違反
- コンピュータ・電磁的記録対象犯罪
- ネットワーク利用犯罪
- 検挙数
- 年々増加
- 89% はネットワーク利用犯罪
- 詐欺, 児童ポルノ法違反, 青少年保護法案違反, 著作権法違反
- 検挙事例
- 不正アクセス防止法違反
- セキュリティーホールをつく
- 学内端末にキーロガーをしかけパスワードを不正に入手
- 不正入手した他人の ID を使いネットオークションに虚偽の出品, 詐欺行為
- コンピュータ・電磁的記録対象犯罪
- ネットワーク利用犯罪
- インターネットカフェに接続した端末から児童ポルノ DVD を販売
- アダルトサイトの未納料金の債券回収をかたり, 架空請求(おれおれ詐欺)
- インターネットオークションに虚偽の出品情報, 詐欺を行う.
- ゲームソフトを不正に販売
- 銃器, 薬物の販売
- 名誉既存などなど
- 警察に寄せられる相談事例
- #911
- H14 から H15 にかけて倍増 (19,329 件 --> 41,754 件)
- 内容は詐欺, 悪質商法, 架空請求など金銭に関する相談が (20,338 件) が急増
- 相談内容の傾向
- 詐欺, 悪質商法, 架空請求, 不正請求
- ネットオークションに関する相談
- 違法, 有害情報に関する相談
- 迷惑メールに関する相談
- 消費者保護団体による統計
- 国民生活センター
- 件数は指数関数的な伸びを示す, H14 から H15 にかけて 3 倍
- IPA (情報処理推進機構)
- JPCERT
- CERT/CC
- フィッシング
- 銀行等の企業からのメールを装い偽のホームページにアクセスさせるよ
う仕向け, 個人情報, 金融情報を入力させて情報を不正に入手する.
- 米国を中心に被害拡大
- JCB, Yahoo!Japan などで被害
- 手口は古典的, 媒体が電子メール等になっただけ
- フィッシング
- from 行の詐称, http アドレスバーの偽造
- 架空請求
- 対応
- 利用者側の対応
- 平常心ならだまされないが…
- 当り前と思っている事は再確認しないことが多い
- 日常の常識がインターネットでは忘れられる
- ネットワーク上で個人情報を入力することは極力さける
- 企業側の対応
- 利用者への注意喚起
- フィッシングサイトの閉鎖要請
- 証拠の保存, 収集
- 政府対応
- 情報セキュリティ政策大系 2004:
- 法整備
- ポータルサイト
- 交通安全との比較
- モータリゼーション (1960 年代中盤)
- 交通事故死者数は 1960 年代末に急増, 現在の 2 倍
- 交通安全の 3 つの取り組み(3 つの E)
- Education 教育
- Enginering 安全施設の整備
- Enforcement 取締り
- インターネットも 3 つの E
- Education 教育
- Enginering 安全施設の整備
- Enforcement 取締り
- 安全な IT 社会の構築をめざして
- 情報セキュリティ文化の醸成が必要
- 誰でも知っているキーフレーズ
- 交通モラル: 手を上げて横断舗道を渡りましょう
- 情報セキュリティモラル: パッチを当ててインターネットを使いましょう
- 海外の定点観測
- SANS, Internet traffic report, Internet health report,
- これまでは海外の情報に頼っていた
- 定点観測は有効か?
- 対策済みであってもワーム, ウィルスは流れている
- LAN, ISP 毎に観測点は必要
- 短期観測, 長期観測
- 迷惑メールを発信するゾンビクラスタの存在
- 議題
- インターネット社会の安全確保を目的
- インシデントの早期把握
- 電子的攻撃の傾向分析
- 57 地点で観測 (基本的に各県 1 つ, 北海道は 4 つ)
- @police にて統計情報をリアルタイム提供
- システム構成
- 2002/04 より運用開始
- IDS (Intrusion Detecting System) とファイアウォールを立てて, 情報収集
- 国別情報も表示
- DoS 攻撃被害観測システム(SYN-ACK を検出)
- 特徴
- 取得情報の扱いに制約がほとんどない(警察だから?)
- 捜査, 警備部門との連携
- 柔軟な分析, 改良, 開発(あんまりお金ない)
- コンピュータフォレンジック部門(toolkit 作成部隊)との連携
- 収集した情報は無料配布
- おわび
- 夏までに情報公開予定だったですが, までできていません.
- システム構成
- TALOT と TALOT2 の 2 系統
- 一般の ADSL 回線下に観測サイトを立てる (10 こ)
- TALOT 観測データサマリー(過去 2 年)
- Slammer
- 発生時(2003/01/25)にスパイク状に急増, 1 ヵ月の空白をおいて再発,
そのご
- 80 (TCP)
- Code-red 亜種 (2003/08)
- (2004/05)
- 445 (TCP)
- 135 (TCP)
- ICMP (ping)
- 1025 (TCP)
- 発信国
- TALOT2 観測データサマリー(過去 2 年)
- プロバイダ毎の集計
- アクセスポートとアクセス数のパターンはプロバイダ毎に異なる
- 発信 IP 数のパターンは似ている
- インターネット上の攻撃を自動観測
- ベイズ推定を使い危険度を計算
- clscan (1999) をベース
- 2002 に開発開始
- CLSCAN に
- 携帯電話でも閲覧可能
- JPCERT/CC が運用
- ファイアウォール型
- 送信元 IP, ポート番号と送信先 IP, ポート番号を収集
- 広域にセンサーを展開(海外, データセンター, IX, エンドユーザ, イントラネット)
- ポートスキャンは多様化
- ワーム, ウィルスによってパケット数の時系列パターンは異なる
- 観測データの提供開始
- インターネット定点観測研究会
- 2004/04 より活動開始
- JPCERT から呼びかけ
- Q:IP アドレスとポート以外の解析はしないのか?
- Q*パケットの中身をもう少し解析しては?
- Q:各団体のグラフが似たように見える
- 色使い方を統一してくれるとうれしい
- 白黒印刷, 色弱対策
- Q:結果の制度は観測点の多さに比例する
- Q:生データが欲しい理由
- 生データのニーズがあるか? YES, 会場では多い.
- バックスキャッターのデータ(って何?)で観測点がしぼり込める?
- 悪用(?)される可能性もあるので, 公開するメリットはないかもしれない.
- Q:定点観測はインターネットの「天気予報」
- 「先週のパケットはほげほげでした」という解説があるとうれしい,
weekly report など
- 傾向を観測することで, ISP 間の相互警報に使えるのでは?
- A: @police でやってみたけどあまり効果がなかった
- A: JPCERT では地道に通知, 反応は ISP によって異なる
- Q: 弱いホストが固まっているアドレス領域を重点的に観測できないか
- A:家庭の ADSL サイトが一番脆弱で数も多いので, 対処は難しい.
SINET 上などではランダムな感染, 家庭内 LAN では近所のアドレスから感染.
[epnetfan 座学編]
[Internet Week 2004 報告会]
[Security Day 報告]
2004/01/14 小高正嗣, Copyright 2004 EPNetFan