Lecture Notes Japanese

Lecture Notes Japanese
■本資料のご利用にあたって(詳細は「利用条件」をご覧ください)
本資料には、著作権の制限に応じて次のようなマークを付しています。
本資料をご利用する際には、その定めるところに従ってください。
*:著作権が第三者に帰属する著作物であり、利用にあたっては、この第三者より直接承諾を得る必要
があります。
CC:著作権が第三者に帰属する第三者の著作物であるが、クリエイティブ・コモンズのライセンスのもとで
利用できます。
:パブリックドメインであり、著作権の制限なく利用できます。
なし:上記のマークが付されていない場合は、著作権が東京大学及び東京大学の教員等に帰属します。
無償で、非営利的かつ教育的な目的に限って、次の形で利用することを許諾します。
Ⅰ
Ⅱ
Ⅲ
Ⅳ
Ⅴ
複製及び複製物の頒布、譲渡、貸与
上映
インターネット配信等の公衆送信
翻訳、編集、その他の変更
本資料をもとに作成された二次的著作物についてのⅠからⅣ
ご利用にあたっては、次のどちらかのクレジットを明記してください。
東京大学 Todai OCW 工学倫理講演会
Copyright 2013, 独立行政法人 情報処理推進機構
The University of Tokyo / Todai OCW Lectures on Engineering Ethics
Copyright 2013, Information-technology Promotion Agency, Japan
Information-technology Promotion Agency, Japan
ネットワークの脅威と情報セキュリティ
~ウイルス等ネットワークの脅威の変遷と対策~
2013年6月6日
独立行政法人
情報処理推進機構
技術本部 セキュリティセンター 主任研究員
Copyright © 2013 独立行政法人 情報処理推進機構
小門寿明
内 容
Information-technology Promotion Agency, Japan

コンピュータウイルス
・ウイルスとは、感染経路

愉快犯から実害を与える脅威へ
・スパイウェアとは、キーロガーとは
・フィッシング(Phishing)とは、銀行の第二認証情報(乱数表の番号)の詐取
・ボットとは、ボットネットワーク
・遠隔操作ウイルス[感染]、[遠隔操作]
・ワンクリック請求、偽セキュリティ対策ソフト
・スマートフォンの情報流出、スマートフォンの不正なアプリ例

不正アクセス
・不正アクセスとは、不正アクセスの事例

セキュリティ対策
・感染防止対策(ウイルス、スパイウェア)
・フィッシング対策
・スマートフォンのセキュリティ対策
・ファイルのダウンロード時の注意、怪しいファイルの見分け方
・パスワード設定、管理
Copyright © 2013 独立行政法人 情報処理推進機構
3
Information-technology Promotion Agency, Japan
コンピュータウイルス
Copyright © 2013 独立行政法人 情報処理推進機構
4
ウイルスとは
Information-technology Promotion Agency, Japan

コンピュータに対して、数々の悪さを
する不正プログラム
 自己伝染機能
 潜伏機能
 発病機能
*画像:(独)情報処理推進機構(IPA)
☆
最近では、広い意味で、スパイウェアやボット
などもウイルスと呼んでいます。
Copyright © 2013 独立行政法人 情報処理推進機構
5
メールから感染
Information-technology Promotion Agency, Japan
* 画像:(独)情報処理推進機構(IPA)


ウイルスメールの開封やプレビューにより添付ファイ
ルが自動的に実行して感染
ファイルの拡張子やファイルのアイコン等の偽装をし
て添付ファイルを開かせることにより感染
Copyright © 2013 独立行政法人 情報処理推進機構
6
Webサイトの閲覧から感染
Information-technology Promotion Agency, Japan
* 画像:(独)情報処理推進機構(IPA)


ウイルスが仕掛けられたWebサイトの閲覧による
感染
ウイルスメールを見ただけで強制的にウイルスが仕
掛けられたWebサイトにアクセスさせられて感染
Copyright © 2013 独立行政法人 情報処理推進機構
7
ウイルス感染の新たな手口(ガンブラー)
Information-technology Promotion Agency, Japan
悪意ある者
悪意あるウェブサイト
○○○○○○○○
■■■■■■■■■■■■■■
■■■■■■■■■■■■■■
■■■■■■
■■■■■■■■■■■■■■
入手したftpアカウントを使って
Aさんのウェブサイトを改ざん
ウイルスにより
ftp のアカウント
情報が悪意ある
者に送られる
②
③
ID:xxxx
Pass:xxxx
改ざんされたAさんのウェブサイト
ウェブサイト
管理者の
パソコンに
ウイルスが
侵入
■■■■■■■■■■■■■■
■■■■■■
一般利用者
悪意あるウェブサイトに
誘導され、ウイルスを
ダウンロードさせられる
⑤
①
Aさん(ウェブサイト管理者)
④
一般利用者が、改ざんされた
ウェブサイトを閲覧する
・悪意ある者が、FTPアクセスにより、改ざんウェブページをアップロード
・悪意あるウェブサイトには、Adobe製品の脆弱性を突くウイルスが・・
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
8
ファイルのやり取りによる感染
Information-technology Promotion Agency, Japan
・Webサイトなどからダウンロードしたフリーソフト(無償プログラ
ム)やシェアウェア(有償プログラム)にウイルスが仕掛けられて
おり、 そのプログラムファイルをインストールすることにより感染
・ファイル交換(P2P※)ソフト、IM※(インスタントメッセンジャ) サー
ビス等により入手したファイルによる感染
代表的ウイルス:Antinny、Exponny 等
*画像:(独)情報処理推進機構(IPA)
・コンピュータがネットワークに接続されていなくても、 CDやUSB
メモリなどの電子媒体からファイルをやり取りすることにより感染
Copyright © 2013 独立行政法人 情報処理推進機構
9
電子媒体からの感染
Information-technology Promotion Agency, Japan

外部接続の電子媒体をパソコンに接続すると
媒体に格納されたウイルスが自動的に実行
される問題が発生しています
* 画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
10
ネットワークに繋いでの感染
Information-technology Promotion Agency, Japan
*画像:(独)情報処理推進機構(IPA)

悪意のある利用者やサイトから、ネットワークを
介してコンピュータのぜい弱性(セキュリテホー
ル)をついた侵入によるウイルス感染
Copyright © 2013 独立行政法人 情報処理推進機構
11
Information-technology Promotion Agency, Japan
愉快犯から実害を与える脅威へ
Copyright © 2013 独立行政法人 情報処理推進機構
12
スパイウェアとは
Information-technology Promotion Agency, Japan

利用者や管理者の意図に反してイン
ストールされ、利用者の個人情報や
アクセス履歴などの情報を収集する
プログラム等。
スパイウェアは、収集した情報をファイルに
保存したり、外部へ自動的に送信したりするな
どの機能を併せ持つものが多く見られます。
*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
13
スパイウェアのイメージ
Information-technology Promotion Agency, Japan
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA) 14
スパイウェアの代表例「キーロガー」
Information-technology Promotion Agency, Japan

WindowsなどのOSに入り込み、キー入力やマウス
操作などを監視




盗聴した情報はファイルに保存


表向きは起動しているように見えない。
タスクマネージャのプロセス画面には表示される場合が
ある(表示されないものもある)。
レジストリ※を書き換えて、起動時に自動的に実行される
。
しばらくの間、情報を収集した後に
ファイルを回収
あるいはネットワーク経由で送信

悪意ある人がリモートで収集
Copyright © 2013 独立行政法人 情報処理推進機構
デモ
* 画像:(独)情報処理推進機構(IPA)
15
キーロガーによるID/パスワード盗難(事例)
ネット銀行での不正送金被害
Information-technology Promotion Agency, Japan
ネット銀行の不正引き出し、スパイウエアが原因
オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付さ
れていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、本人
が気づかないうちに、キーロガーと呼ばれるスパイウエアがインストールされた。
このキーロガーは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。
犯人は、盗んだ情報を悪用して不正に引き出した。
ネットショッピング
サイト運営者
写真ではなく、スパイウェア
が添付されていた
悪意を持つ人
“ お宅で買った商品が壊れていたので交換して
ください。写真を添付したのでご確認ください! ”
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
16
フィッシング(Phishing)とは
Information-technology Promotion Agency, Japan
金融機関(銀行やクレジットカード会社)などを装ったメールを送り、電子
メールの受信者に偽のウェブサイトにアクセスするよう仕向け、住所、氏
名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為
攻撃者
【4】入手したアカウント情
報を使って、本物の○×
銀行のウェブサイトにロ
グインできてしまう!
【1】偽メールを送る
【3】アカウント情報入手
○×銀行
ウェブサイト
○×銀行
ウェブサイト
【2】本文中のリンクをク
リックして、ログインに必
要なアカウント情報を入力
一般利用者
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
17
銀行の第二認証情報(乱数表の番号)を詐取する
フィッシング
Information-technology Promotion Agency, Japan
送信プログラム添付型の例
*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
18
ボットとは
Information-technology Promotion Agency, Japan

コンピュータウイルスの一種で、コン
ピュータに感染し、そのコンピュータ
をネットワーク(インターネット)を通じ
て外部から操ることを目的として作
成されたプログラム。
たくさんのボット感染コンピュータが
集まると・・・
*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
19
ボットネットワークの脅威
Information-technology Promotion Agency, Japan
Copyright © 2013 独立行政法人 情報処理推進機構
* 画像:(独)情報処理推進機構(IPA)
20
遠隔操作ウイルス [感染]
Information-technology Promotion Agency, Japan
*
画像:(独)情報処理推進機構(IPA)
遠隔操作ウイルスに感染するまでのイメージ図
Copyright © 2013 独立行政法人 情報処理推進機構
21
遠隔操作ウイルス [遠隔操作]
Information-technology Promotion Agency, Japan
*
攻撃者が遠隔操作を行うイメージ図
Copyright © 2013 独立行政法人 情報処理推進機構
画像:(独)情報処理推進機構(IPA)
22
ワンクリック請求・誘導事例
Information-technology Promotion Agency, Japan
*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
23
ワンクリック請求・誘導事例つづき-1
Information-technology Promotion Agency, Japan
*
Copyright © 2013 独立行政法人 情報処理推進機構
画像:(独)情報処理推進機構(IPA)
24
ワンクリック請求・誘導事例つづき-2
Information-technology Promotion Agency, Japan
*
Copyright © 2013 独立行政法人 情報処理推進機構
画像:(独)情報処理推進機構(IPA)
25
ワンクリック請求・誘導事例つづき-3
Information-technology Promotion Agency, Japan
*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
26
ワンクリック請求・誘導事例つづき-4
Information-technology Promotion Agency, Japan
* 画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
27
ワンクリック請求・誘導事例つづき-終
Information-technology Promotion Agency, Japan
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
28
偽セキュリティ対策ソフト
Information-technology Promotion Agency, Japan
『あなたのパソコンはウイルスに感染している』と脅
して、偽ウイルス対策ソフトを押し売りする
 スパムメールやIM経由、Windows
Messenger経由で勧誘している
 WinFixer,WinAntiVirusPRO

などが、IPAへの問い合わせが多いソフト

*
『安全なブラウザ』と称して、偽ブラウザを強制的に
インストールし、アドウェアやスパイウェアをばら撒く
サイトに誘導するものも出てきている
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
29
スマートフォンの情報流出
Information-technology Promotion Agency, Japan
*
不正なアプリが情報を流出させるイメージ図
Copyright © 2013 独立行政法人 情報処理推進機構
画像:(独)情報処理推進機構(IPA)
30
スマートフォンの不正なアプリ例
Information-technology Promotion Agency, Japan
項番
特徴
1
有名なアプリ、ほかの ウォーリーを探せ the Movie
スマートフォンOSで人 うまい棒をつくろう! the Movie
気のアプリ名を含む
ギャングハウンド the Movie
2
アプリ配布場所における名称
youtube動画まとめ
グラビア動画
笑える動画
チャリ走-the Movie
ようつべ動画まとめ
ぴよ盛り the Movie
面白動画まとめ
メガ盛ポテト the Movie
芸能動画
空手チョップ! The Movie
ニコニコ動画まとめ
大盛モモ太郎 the Movie
youtube動画
桃太郎電鉄the Movie
ようつべ動画
魔界村騎士列伝 THE MOVIE
暇つぶし動画
連打の達人 the Movie
ユーチューブ動画まとめ
個人的嗜好をくすぐる FC2動画まとめ the Movie
文字列を含む
けいおん-K-ON!動画
実用性を感じさせる文 3D視力回復 THE MOVIE
字列を含む
Copyright © 2013 独立行政法人 情報処理推進機構
ユーチューブ動画
スヌーピーストリート the Movie
スク水動画まとめ
3
インストール後の名称
怖い動画
アニメ動画
美人動画
泣ける動画
31
不正なアプリが必要とする権限の例
Information-technology Promotion Agency, Japan
権限(パーミッション)名
許可した場合にどうなるか(抜粋)
1
電話発信
アプリが端末に付与されている電話番号や、端末識別
番号、SIM情報などを読み取ることができます。
電話の着信状態などの情報も読み取ることができます。
2
個人情報
アプリがアドレス帳など連絡先データを読み取ることが
できます。
3
ネットワーク通信
アプリがインターネットなどにある外部のサーバーと自由
に通信できます。
Copyright © 2013 独立行政法人 情報処理推進機構
32
不正なアプリの動作例
Information-technology Promotion Agency, Japan
android_id(端末の識別子)と端末の電話番号を特定のサーバーへ送信する。
この送信成功後、アドレス帳に登録された名前、電話番号、Eメールアドレスを全
て送信する。
さらにこれらの送信が成功後、特定のサーバーから動画を取得、再生する。
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
33
その他の不正なアプリ例
Information-technology Promotion Agency, Japan
不正なアプリの種類
主な特徴
1
ワンクリック請求アプリ ※1
電話番号などの端末情報を外部に送信する。
2
ボット型ウイルス ※2
外部からの操作指令を受けてアドレス帳データ
やSMSの送信をしたり、地図やWebページを表
示したりする。
3
不正発信アプリ
勝手に電話を発信する。(特定の国でのみ動作
し、日本では動かない。)
(※1 )「 スマートフォンでもワンクリック請求に注意! 」
http://www.ipa.go.jp/security/txt/2012/02outline.html
(※2 )Android OSを標的としたウイルスに関する注意喚起
http://www.ipa.go.jp/security/topics/alert20110121.html
Copyright © 2013 独立行政法人 情報処理推進機構
34
その他の不正なアプリ例
Information-technology Promotion Agency, Japan
ワンクリック請求アプリ例
ボット型ウイルス例
不正発信アプリ例
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
35
Information-technology Promotion Agency, Japan
不正アクセス
Copyright © 2013 独立行政法人 情報処理推進機構
36
不正アクセスとは
Information-technology Promotion Agency, Japan
「コンピュータ不正アクセス対策基準」
システムを利用するものが、その者に与えられた権限
によって許された行為以外の行為をネットワークを介し
て意図的に行うこと。
(旧通商産業省告示)

本人以外の人間が利用
 他人のIDの利用
 アクセス制限が前提(管理者の責任)

許可されていない資源へのアクセス
 資源→コンピュータや情報
Copyright © 2013 独立行政法人 情報処理推進機構
37
不正アクセス被害事例-1
Information-technology Promotion Agency, Japan
組織の内部機密情報が盗まれた
 Webページが改ざんされた

*画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
38
不正アクセス被害事例-2
Information-technology Promotion Agency, Japan
●不正プログラムの埋め込み(トロイの木馬など)



パソコンの操作をしていないのに目の前でファイルが消
えたり、ウインドウが開いたりする。
知らないうちにパソコンに侵入され、後日高額な国際電
話料金を請求される。
パソコンが乗っ取られて他人への攻撃に利用される。
侵入者
被害者
(加害者)
第2の被害者
加害者の立場へ
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
39
不正アクセス被害事例-3
Information-technology Promotion Agency, Japan
●パスワード盗用
知らないうちにパスワードが盗まれる。
その結果
 オンラインショッピングで買い物をされる
 インターネットで銀行口座を操作される
等の被害につながる。
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
40
侵入行為
Information-technology Promotion Agency, Japan
一般的な侵入行為の流れ
事前調査
ポートスキャン
権限取得
様々な
攻撃
特権ユー
ザ獲得
システムの
情報収集
アカウント名の
調査
(結果)
不正実行
ファイル
奪取
後処理
裏口作成
証拠の隠滅
資源利用
不正プログ
ラム埋込
パスワード
推測
一般ユーザ
権限獲得
踏み台
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
41
Information-technology Promotion Agency, Japan
セキュリティ対策
Copyright © 2013 独立行政法人 情報処理推進機構
42
感染防止対策
Information-technology Promotion Agency, Japan
パソコンユーザのためのウイルス対策7箇条
1.最新のウイルス定義ファイルに更新しワクチンソフトを活用すること
2.メールの添付ファイルは、開く前にウイルス検査を行うこと
3.ダウンロードしたファイルは、使用する前にウイルス検査を行うこと
4.アプリケーションのセキュリティ機能を活用すること
5.セキュリティパッチをあてること
(※ここまでが感染予防)
6. ウイルス感染の兆候を見逃さないこと
7. ウイルス感染被害からの復旧のためデータのバックアップを行うこと
Copyright © 2013 独立行政法人 情報処理推進機構
43
感染防止対策
Information-technology Promotion Agency, Japan
メールの添付ファイルは、
開く前にウイルス検査を行うこと
メールの添付ファイルの取り扱い5つの心得
1.見知らぬ相手先から届いた添付ファイル付きのメールは厳重注意する
2.添付ファイルの見た目に惑わされない
3.知り合いから届いたどことなく変な添付ファイル付きのメールは
疑ってかかる
4.メールの本文でまかなえるようなものをテキスト形式等のファイルで添付しない
5.各メーラー特有の添付ファイルの取り扱いに注意する
・妙なファイルは絶対開かない(触らない)
・相手先に問い合わせを行う(確認がとれない場合は削除)
Copyright © 2013 独立行政法人 情報処理推進機構
44
感染防止対策
Information-technology Promotion Agency, Japan
セキュリティホールの解消
●セキュリティホールは命取り
・ブラウザ、メーラーのセキュリティホールは致命的な
被害に遭うことがある
メール本文を開いただけで感染
Webサイトを見ただけで感染
・セキュリティホールは必ず埋める
・修正プログラム(セキュリティパッチ)を適用する
・最新のバージョンにアップデートする
Copyright © 2013 独立行政法人 情報処理推進機構
45
スパイウェアについて(対策)
Information-technology Promotion Agency, Japan
パソコンユーザのためのスパイウェア対策 5箇条






1.スパイウェア対策ソフトを利用し、定期的な定義ファイルの
更新およびスパイウェア検査を行う
2.コンピュータを常に最新の状態にしておく
3.怪しいサイトや不審なメールに注意
4.コンピュータのセキュリティを強化する
5.万が一のために、必要なファイルのバックアップを取る
補足.自分で管理できないコンピュータでは、重要な個人情
報の入力を行わない
Copyright © 2013 独立行政法人 情報処理推進機構
46
フィッシング対策
Information-technology Promotion Agency, Japan
メールの真偽の確認
金融機関等から来たと思われるメールでも、内容を慎重に確認してくださ
い。そもそもカード番号や暗証番号を入力するような依頼がメールで届くこと
はありません。もしそのようなメールが金融機関等から届いた場合は、送信
元に電話で問い合わせたり、ウェブサイトのお知らせ欄を見たりして、その
情報(メール)の真偽を確認してください。
電話で問い合わせをする時は、メール本文に記載されている連絡先では
なく、口座開設時に送付された書類を見る等、正しいと確証が持てる連絡先
に電話してください。

メール記載のリンクに注意
メール本文内にあるリンク先に不用意にアクセスしないことも重要です。当
該銀行等のウェブサイトを確認する場合は、メール中のリンクからアクセス
するのではなく、ブラウザの「お気に入り」や「ブックマーク」に正しいアドレス
を登録しておき、常にそちらからアクセスすることをお勧めします。

Copyright © 2013 独立行政法人 情報処理推進機構
47
遠隔操作ウイルス [対策]
Information-technology Promotion Agency, Japan
基本的な心掛け
1 出所の不明なファイルをダウンロードしたり、ファイルを開いたりしない
2 安易にURLリンクをクリックしない
基本的対策
1 使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する
2 ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちなが
ら使用する
追加の対策
パーソナルファイアウォールを適切に設定して使用する
参考:証拠を保全する試み
万が一遠隔操作ウイルスに感染して、外部への攻撃に利用されてしまった場合、
パソコンの利用者が嫌疑をかけられることへの対抗策として、パソコン上のプログ
ラムの動作記録や通信記録を残しておくことで、それが証拠となることが考えられ
ます。
Windows OSに標準に備わっている「Windowsファイアウォール」や、セキュリティ対
策ソフトのログ機能などを用いることである程度の記録を取得することができます。
Copyright © 2013 独立行政法人 情報処理推進機構
48
ワンクリック請求対策
Information-technology Promotion Agency, Japan





慌てないで・・・
お金を払ってはいけません。
基本は無視(個人を特定する情報流出の防止)
 問い合わせ(メールや電話)はしない
 ひたすら無視
スパイウェアや請求書表示プログラムは駆除
内部からの情報流出を防止
パーソナルファイアウォールの導入により、不正プログラム
がPC内の情報を外部に送信することを防止できる。
(設定例: インターネットに接続するアプリケーションを限定
する)
Copyright © 2013 独立行政法人 情報処理推進機構
49
スマートフォンのセキュリティ対策-ビデオ
Information-technology Promotion Agency, Japan
あなたのスマートフォン、ウイルスが狙っている!
-スマートフォン・タブレット型端末のセキュリティ対策-
* 画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
50
スマートフォンのセキュリティ対策
Information-technology Promotion Agency, Japan
スマートフォンを安全に使用するための六箇条
スマートフォンをアップデートする。
スマートフォンの取扱説明書等にしたがい、スマートフォンに搭載されているOSを
アップデートする。
スマートフォンにおけるソフトウェア的な改造行為を行わない。
iPhoneにおけるJailBreak(脱獄)やAndroid端末におけるroot奪取行為(root化手
法)などといったソフトウェア的な改造行為を行わない。
信頼できる場所からアプリケーション(アプリ)をインストールする。
スマートフォンで使用するアプリは、信頼できる場所からインストールする。iPhone
では「App Store」、Android端末ではアプリの審査や不正アプリの排除を実施して
いる場所(「Android Market」など)を推奨します。
Copyright © 2013 独立行政法人 情報処理推進機構
51
アプリを最新の状態に保つ
(六箇条 ①)
Information-technology Promotion Agency, Japan
スマートフォンの場合は、基本的に販売元(キャリアまたは
メーカー)主導でOSのバージョンアップやアップデートが行
われます。
Android端末の場合は、機種毎に使用されるOSのバージョ
ンが違っていたり、販売元毎に独自機能を組み込んだりして
ある場合が多いので、一律にバージョンアップやアップデー
トが行われるわけではありません。
アプリの更新があった場合は最新の状態にしてください。
アプリの自動更新を設定することで、自動的に最新の状態
にすることも可能です。
近年、スマートフォンの利用者数は増加傾向にあり、利用
者数に比例するようにスマートフォンに関する脆弱性も多数
報告されています※5。脆弱性を解消したアプリをいち早く利
用するようにしてください。
Copyright © 2013 独立行政法人 情報処理推進機構
52
スマートフォンにおけるソフトウェア的な改造行
為を行わない。(六箇条 ②)
Information-technology Promotion Agency, Japan
スマートフォンにおける改造行為はやめましょう。
ここでの改造行為とは、いわゆるiPhoneにおけるJailbreak
(脱獄)やAndroid端末におけるroot権限奪取行為(root化と
も呼ばれる)などのことを指します。
改造行為を行ったスマートフォンを狙って感染するウイル
スなどもあり、ウイルス感染の危険性を自ら高めてしまうこと
になりますので、スマートフォンの改造行為はやめましょう。
Copyright © 2013 独立行政法人 情報処理推進機構
53
信頼できる場所からアプリをインストールする
(六箇条③)
Information-technology Promotion Agency, Japan
Android端末の設定画面に「提供元不明のアプリ」という項目
があります。
この項目のチェックを外しておくと、正規のアプリ・ストア
(Android Market)以外で入手したアプリケーションのインス
トールが阻止されます(初期状態ではチェックは外れた状態に
なっています)。
操作を誤るなどして不正なアプリケーションをインストールし
てしまわないよう、普段はこの項目のチェックを外した状態にし
ておくことをお勧めします。
なお、信頼できる第三者のアプリ・ストアであっても、正規の
Android Market以外で入手したアプリケーションをインストール
する際は、一時的にこの設定を変更する(チェックを入れる)必
要があります。どうしてもインストールする必要がある場合は、
インストール終了後、再度チェックを外すことを忘れないでくだ
さい。
「提供元不明のアプリ」の設定の確認・変更手順は、こちら ⇒
次のスライドを参照してください。
Copyright © 2013 独立行政法人 情報処理推進機構
54
信頼できる場所からアプリをインストールする
(六箇条③)
Information-technology Promotion Agency, Japan
「提供元不明のアプリ」のインストール許可設定画面
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
55
スマートフォンのセキュリティ対策
Information-technology Promotion Agency, Japan
スマートフォンを安全に使用するための六箇条
Android端末では、アプリをインストールする前にアクセス許可を確認する。
アプリをインストール時に表示される「アクセス許可(*)」の一覧には必ず目を通し、
不自然な点や疑問に思う点(例えば、ゲームアプリなのに個人情報へのアクセス
を求めているなど)があれば、インストールを中止してください。
(*):アプリがスマートフォンの中のどの情報/機能へアクセスするか定義したもの
セキュリティソフトを導入する。
ウイルス対策ソフトや、危険なウェブサイトへのアクセスをブロックするソフトなど、
セキュリティソフトを導入する。
スマートフォンを小さなパソコンと考え、パソコンと同様に管理する。
企業でスマートフォンを活用する場合、スマートフォンの利用ルール、アクセス可能
な情報の範囲、スマートフォンに保存してよい情報の範囲、紛失・盗難時の対策等
のポリシーを定めてください。特に端末管理(MDM:Mobile Device Management)に
よって、スマートフォンに搭載されているOSのアップデートの徹底やインストールで
きるアプリの制限等で管理者が強制できる仕組みを設けることをお勧めします。
Copyright © 2013 独立行政法人 情報処理推進機構
56
アプリをインストールする際に必要とされる権限
(パーミッション)を確認する(六箇条 ④)
Information-technology Promotion Agency, Japan
アプリをインストールするときに表示される権限(パーミッ
ション)をよく確認してください。
例えば、動画再生や画像表示アプリなのに、電話を発信
する権限を求めてくる、カメラ機能が必要なさそうなアプリな
のに、写真を撮る権限を求めてくるような場合は、怪しいア
プリと言えます。
Copyright © 2013 独立行政法人 情報処理推進機構
57
アプリをインストールする際に必要とされる権限
(パーミッション)を確認する(六箇条 ④)
Information-technology Promotion Agency, Japan
Android端末の場合、アプリをインストールする際に表示される「アクセス許
可」(アプリがAndroid端末のどの情報/機能にアクセスするか定義したも
の)の一覧には必ず目を通してください。
「アクセス許可」の表示画面(例)
Copyright © 2013 独立行政法人 情報処理推進機構
*画像:(独)情報処理推進機構(IPA)
58
アプリをインストールする際に必要とされる権限
(パーミッション)を確認する(六箇条 ④)
Information-technology Promotion Agency, Japan
インストール済みアプリの権限
(パーミッション)の確認方法と
アンインストール方法
*
Copyright © 2013 独立行政法人 情報処理推進機構
画像:(独)情報処理推進機構(IPA)
59
セキュリティソフト(アプリ)を利用する
(六箇条 ⑤)
Information-technology Promotion Agency, Japan
パソコンと同様に、ウイルス対策は専用の対策ソフト(アプリ)を利用す
るのがお勧めです。
昨今では、ベンダー各社も挙(こぞ)って、スマートフォン用のセキュリ
ティ対策ソフトを発表しています(詳細はベンダー各社の製品紹介を参照
してください)。
これらのセキュリティソフトは、パソコンで培った技術を利用して、ス
マートフォンでも高度な対策ができるようです。それゆえ、これらのセキュ
リティソフトは、ウイルス対策だけでなく、それ以外のセキュリティ機能を
持っている場合が多いので、スマートフォンの機種毎に対応状況を確認
の上、利用することをお勧めします。
一般的に、アプリはインストールしただけでは動いていないことがほと
んどです。
通常は「インストール終了」をきっかけにセキュリティソフト(アプリ)によ
るスキャンが始まることが多いので、対象となった当該アプリに対するセ
キュリティソフト(アプリ)による診断結果をよく確認してください。
場合によっては、ウイルス検知された当該アプリを自分でアンインス
トールすることが必要となります。
Copyright © 2013 独立行政法人 情報処理推進機構
60
スマートフォンを小さなパソコンと考え、パソコン
と同様に管理する(六箇条 ⑥)
Information-technology Promotion Agency, Japan
●ロック(鍵)をかける
スマートフォンは、パスワードなどでロック(鍵)をかけて、他人の使用を制限することがで
きます。機種により操作方法は異なりますが、取扱説明書をご覧いただければ簡単に操
作できますので、ロックをかけるようにしてください。
●データのバックアップをとる
機種によっては、何度か入力を間違えると、スマートフォン内のデータが自動的に消去さ
れる場合もあります。普段から重要なデータはバックアップをとっておきましょう。ただし、
バックアップをとる際には、スマートフォンとは別の場所(例えば、オンラインストレージや
PCを通じて外部記憶媒体等)にバックアップを取ることが肝要です。
●メモリーカードなどの取り扱い
メモリーカードは、便利で、日常的に利用している方もいると思いますが、何も対策をして
いないメモリーカードは、パソコン等で内容が読みだされてしまうので、十分気をつけてくだ
さい。メモリーカードだけ紛失したり、ちょっと目を離したすきに盗難され、大切なデータが
流出する場合もあります。
メモリーカードには重要なデータは残さないこと、また、メモリーカードで重要なデータを保
存する必要がある場合は、データの「暗号化」を行うようにしてください。セキュリティソフト
の中にはメモリーカードを暗号化する機能が付いているものがあり、この機能を利用する
と、あなたのスマートフォンだけで読み書きができるようになります。
●紛失した場合の対応策
紛失した場合には、速やかに、購入したお店や携帯電話会社のサポート窓口に連絡して、
紛失の対応策を相談しましょう。遠隔操作でスマートフォンにロックをかけられる機種であ
れば他人が操作できないようにしてもらえます。また、スマートフォンの位置を特定したり、
中のデータを消去できる場合もあります。これらは、自分自身でもできる機種もありますの
で、取扱説明書をご覧いただき、事前に操作方法等を理解しておきましょう。
Copyright © 2013 独立行政法人 情報処理推進機構
61
ファイルのダウンロード時の注意
Information-technology Promotion Agency, Japan
●安易なダウンロードはしない
・誤ってトロイの木馬やキーロガーをダウンロード
してしまう可能性がある
●不審なサイトには近づかない
・さまざまな手法で罠が仕掛けられているので、
思わぬ被害を受ける可能性がある
*
画像:(独)情報処理推進機構(IPA)
●警告を無視しない。入会規約などがあれば目を通す
●むやみに[OK]や[実行する]をクリックしない
●ウイルス対策ソフトなどでは検出できない場合もあるため
何も検知されなくても不用意にファイルを開かない
●ファイルの見た目に騙されない
・アイコンなどは偽装されている可能性がある
Copyright © 2013 独立行政法人 情報処理推進機構
62
ファイル名・アイコン偽装
Information-technology Promotion Agency, Japan
*
画像:(独)情報処理推進機構(IPA)
★ ここで紹介したデモはセミナー用に作成したサンプルプログラムです
Copyright © 2013 独立行政法人 情報処理推進機構
63
ファイル拡張子の意味
Information-technology Promotion Agency, Japan
*
画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
64
怪しいファイルの見分け方
Information-technology Promotion Agency, Japan
「表示」タブをクリック
チェックを外す!
*
画像:(独)情報処理推進機構(IPA)
フォルダオプションを変更する
Copyright © 2013 独立行政法人 情報処理推進機構
65
怪しいファイルの見分け方
Information-technology Promotion Agency, Japan
* 画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
66
怪しいファイルの見分け方
Information-technology Promotion Agency, Japan
テキスト ドキュメント
を装っているが・・・
二重拡張子指定で、
実際はアプリケー
ションである
ファイルのプロパティを参照する
* 画像:(独)情報処理推進機構(IPA)
Copyright © 2013 独立行政法人 情報処理推進機構
67
ファイルの開き方
Information-technology Promotion Agency, Japan
ファイルはできる限りダブルクリックで開かない。
文書や表計算等の
ファイルを開く場合は、
右クリックでメニューを
表示させて、「プログラ
ムから開く」を選び、そ
の中からそのファイル
を開きたいアプリケー
ションソフトを選択する。
Copyright © 2013 独立行政法人 情報処理推進機構
* 画像:(独)情報処理推進機構(IPA)
68
MyJVNバージョンチェッカ
Information-technology Promotion Agency, Japan
ソフトウェアのバー
ジョンが最新であ
るかを確認する
・利用者のPCにイン
ストールされている
アプリケーションソフ
トウェアのバージョン
が最新であるかを、
簡単な操作で確認
するツール
・バージョンが最新
であるかどうかの
チェックリストを自動
で機械的に確認
*
画像:(独)情報処理推進機構(IPA)
http://jvndb.jvn.jp/apis/myjvn/vccheck.html
Copyright © 2013 独立行政法人 情報処理推進機構
69
パスワード設定、管理
Information-technology Promotion Agency, Japan

不適切なパスワード


適切なパスワード


長さが不十分、辞書に載っている単語の利用、IDと同じ、
自分・家族の情報、固有名詞、単純な数字や文字の並
び、過去に使用したパスワードの再利用等
大文字・小文字・数字・記号の組み合わせ、長いパス
ワード、推測しづらく自分が忘れないパスワード
→例えばパスフレーズによる設計
パスワード盗難対策

定期的な変更、紙に書き留めない、マシンに保存しない、
人に教えない
Copyright © 2013 独立行政法人 情報処理推進機構
70
パスワード設定、管理(パスフレーズ)
Information-technology Promotion Agency, Japan

パスフレーズによるパスワード設計

パスフレーズ
「HARUHA AKEBONO」
↓↓↓ 母音を抜き記号や数字を挿入

作成されたパスワード
「HR$HK%BN」
Copyright © 2013 独立行政法人 情報処理推進機構
71
基本的な対策 まとめ
Information-technology Promotion Agency, Japan






ワクチンソフトの導入・アップデート管理
不審なファイルは開かない
セキュリティホールの解消
アプリケーションの適切な設定
ウイルス対策関連情報の収集
定期的なデータのバックアップ
Copyright © 2013 独立行政法人 情報処理推進機構
72
Information-technology Promotion Agency, Japan
独立行政法人 情報処理推進機構
技術本部 セキュリティセンター
〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコートセンターオフィス16階
URL http://www.ipa.go.jp/security/
本講演資料及び普及啓発資料等のお問い合わせ先
セキュリティセンター 普及グループ
電子メール [email protected]
TEL 03(5978)7508
FAX 03(5978)7518
Copyright © 2013 独立行政法人 情報処理推進機構
73
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertisement