サイバーセキュリティ 基礎論 ― IT 社会を生き抜くために ― 安全な設定 （２） 1

安全な設定  個人でできるサイバーセキュリティ対策を 知る  情報機器そのものを守ること  サービスに提供した自分の情報などを守る こと  ネット上を流れる情報を盗聴されないため にできること 2

インターネット データ センタ 九州大学 自宅など ネットワークの例 3 無線 LAN サーバ 利用者 の情報... 応答 ログイン・情報要求

インターネット データ センタ 九州大学 自宅など 攻撃の例 4 無線 LAN サーバ 利用者 の情報... 盗聴 乗っ取り 偽サイト ウイルス 情報漏洩 盗難

インターネット データ センタ 九州大学 自宅など できるところから対策 5 無線 LAN サーバ 利用者 の情報... 個人でも対策可能な所

何が守れるのか ？  情報機器そのもの  自分のパソコン・スマホとその内容  より安全な使い方  サービス側にある情報  「 アカウント 」 の保護  ネット上で受け渡される情報  無線 LAN の安全性について  サーバ・クライアント間の暗号化について 6

サーバ上にある情報を守る 7

「 アカウント 」 の保護  アカウントとは 、  情報システムを利用する 「 権利 」 のこと  利用者の様々な情報が紐づく  個人の識別  個人情報の蓄積  利用履歴  アカウント名 （ ユーザ名・ユーザ ID ） とパス ワードの組での保護が一般的  そのアカウントの正当な利用者だけが知ってい るはずの情報  自身のアカウントの利用には 、 認証が必要 8

認証  対象の正当性を確認する行為  ユーザ名とパスワードの組み合わせを使って 、 コンピュータやサービスを利用しようとして いる人にその権利があるかどうか 、 その人が 名乗っている本人かどうかなどを確認する  本人認証に使う要素  正規の利用者のみが知っている情報  パスワード 、 PIN コード  正規の利用者のみが持っているもの  IC カード 、 本人のスマートフォンなど  正規の利用者の身体の情報  指紋・虹彩・静脈など 9

ログイン画面の例 （ 全学基本 メールのウェブメール ） 10 「ユーザー名」と 「パスワード」が合 致していれば正当な 本人と判定

パスワード  「 部屋の鍵 」「 車の鍵 」 のようなもの  内容が漏れるとアカウントを勝手に利用される  現実の部屋や車と違って地球の裏側からでも  悪い人は被害者のパスワードを当てたい  いろいろな攻撃方法 （ 当て方 ） がある  総当り  サーバに侵入  辞書攻撃  通信の盗聴  フィッシングなどによる詐取  などなど … 11

総当り  可能な組み合わせを順に試す  ダイヤル錠の番号忘れて試したことある人 ？  数字 4 桁  10 4 = 10,000 通り  英数字 8 文字 （ 大文字小文字を区別 ）  62 8 = 218,340,105,584,896 通り (218 兆 )  英数字記号 8 文字 （ 使える記号によるが一例 ）  96 8 = 7,213,895,789,838,336 通り (7 京 )  英数字 10 文字  = 839,299,365,868,340,224 通り (839 京 ) 12

総当り  現実にはサーバに直接は難しい  ネットワーク越しでは時間がかかりすぎる  回数が多いので管理者に気づかれやすい  複数回失敗するとロックされるサービスも多い  サーバからパスワード情報が漏洩した場合に 使う  盗みだしたのに総当りが必要なの ？ 13

パスワードハッシュ  通常パスワードはそのままサーバに保存しない  「 一方向関数 」「 ハッシュ関数 」 と呼ばれる仕 組みで変換して保存する  変換した文字列は 「 パスワードハッシュ 」  パスワードハッシュから平文パスワードに逆変 換はできない abc GAEuET5fv5t3Q 平文パスワード パスワードハッシュ

パスワード確認の流れ 1. 利用者がパスワードを入力 2. そのパスワードをハッシュ関数で変換 3. 保存されていたパスワードハッシュと比較 4. 同じならパスワードは正しい  管理者も利用者のパスワードはわからない  パスワードハッシュが漏れてもパスワード はわからない 15

わからないので総当り  理論的に強いハッシュ関数は限られている  だいたい使われているものはわかる  MD5 、 SHA-1 、 SHA-2 など  同じ仕組みで計算すれば総当りできる  最近の計算機はとても速い  家庭のパソコンでも一秒間に何十億回も計算 可能  あらかじめ計算しておくこともできる  それでも長くて複雑なパスワードにたどり 着くのには時間がかかる （ はず ） 16

パスワード長と解読時間の関係 使用する文字 の種類 使用で きる文 字数 4桁4桁 6桁6桁 8桁8桁 10 桁 英字 （ 大文字 、 小文字区別 無 ） 26 約3秒約3秒約 37 分約 17 日約 32 年 英字 （ 大文字 、 小文字区別 有 ）＋ 数字 62 約2分約2分約5日約5日約 50 年約 20 万年 英字 （ 大文字 、 小文字区別 有 ）＋ 数字 ＋ 記号 93 約9分約9分約 54 日約 1 千年約 1 千万年 17  2008 年情報処理推進機構の調査 （ Wikipedia より ）  使用したパソコンは Intel Core 2 Duo T GHz 、 メモリ ： 3GB

暗号化ではダメなのか ？  ダメです 。  暗号化  可逆の性質を持つ  暗号化したパスワードは 、 変換方式を知る人は 復元できる 。  ハッシュ関数  不可逆の性質を持つ  パスワードハッシュは 、 変換方式を知る人は復 元できない 18

類推攻撃  個人情報に関する知識からパスワードを推測する  メールアドレス  恋人 、 友人 、 身内 、 ペットの名前  自分 、 友人 、 身内の出身地 、 誕生日  自分 、 友人 、 身内の車のナンバープレート  会社の電話番号 、 住所 、 携帯電話の番号  お気に入りの有名人 、 グループ名  上記を少しいじったもの 。 末尾に年号や年齢をつ けたり 、 順番を入れ替えるなど  SNS などで公開している情報でパスワードを設定 していませんか ？ 19

辞書攻撃  全ての組み合わせを試すのは時間がかかる  よく使われるパスワードを集めたリストを使 う  英単語・氏名  なんらかの理由で漏洩したパスワードリスト  2014 年のダメパスワードランキング  passwords-of-2014.htm passwords-of-2014.htm  ダメパスワードのパスワードハッシュリストも ある 。 20

逆向きの辞書攻撃  パスワードを固定してユーザー名を変える  ユーザー名の辞書もあるということ  安易なパスワードを使う人が少しでもいると 侵入されてしまう  「 鎖の強さは最も弱い輪によって決まる 」  強度は効力の弱い個所によって決定されるとい う比喩表現  セキュリティ対策において 、 大部分の項目は高 レベルの対策を行っていても 、 ある項目への対 策が不充分な場合 、 全体としてのセキュリティ レベルは 、 最弱の項目に依存してしまう 21

「 良いパスワード 」？  悪いパスワード  短い  数字だけ 、 英小文字だけなど  辞書に載っている単語や生年月日等を流用  良いパスワード  長い  英大小文字 、 数字 、 記号を混在  単語や生年月日・名前などを含まない 22

管理しやすいパスワードの作り方 23

アカウントの盗み取り  手元の端末とサーバの間のどこかで入力を 盗む  手元の端末  マルウェアでキー入力や画面を盗聴  サーバ  内容を改ざんし罠を仕掛けるなど  通信路 （ 無線やインターネットなど ）  暗号化されていない通信は盗聴の可能性 24

フィッシング  被害者を騙してユーザー名・パスワードな どを罠ページに入力させる  よくある例  有名なサービスを騙る  Amazon 、 PayPal 、 VISA カード 、 銀行など  学内サービスを騙る  応答しないとメールアカウントを停止します 、 など  入力してしまったらアウト  メールアカウントなら一瞬で迷惑メール送信 などに悪用 25

実例 （ メールアカウント ） Subject: Re: ヘルプ デスク管理者から電子メール アラート 。 From: Joana Gomes To: Joana Gomes Date: Wed, 29 Apr :24: 親愛なるメールユーザー 我々はあなたのアカウントを終了する要求を受信しましたメールチームによって 、 プロ セスが開始された 、 次の 48 時間以内にあなたのメールアカウントが最後に終了しました 。 本当にあなたにメールを終了するかどうかを確認するにこのメールを送信しています 。 この終了をキャンセルするこのリンク ( リクエストをキャンセルする ) およびより速くよ り安全なフル機能のメールの経験のためのあなたのアカウントを更新します 。 このメッセージには返信しないでください 。 このアドレスに送信されたメールを答える ことができません 。 電子メールサービスを使用していただきありがとうございます 。 コピー右 © 2015 年情報センター 。 26

実例 （ ハンゲーム ） Subject: ハンゲームアカウントーー安全確認 From: "Hangame" To: Date: Fri, 2 May :41: Sender: X-Mailer: Microsoft Outlook Express お客様 株式会社 营团 社サービスシステムをご利用いただき 、 ありがとうございます 。 システムはお客様のアカウントが異常にログインされたことを感知しました 。 下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご 確認お願いします 。

フィッシングメールの特徴 28

URL をクリックするだけでも 、 アカウントが乗っ取られる ？  Web サイトに脆弱性がある場合 、 URL をク リックするだけでもアカウントが乗っ取ら れることがあります 。  脆弱性は 、 コンピュータソフトウェアの欠陥 （ バグ 、 不具合 、 あるいはシステム上の盲 点 ） のひとつで 、 本来操作できないはずの操 作 （ 権限のないユーザが権限を超えた操作を 実行するなど ） ができてしまったり 、 見える べきでない情報が第三者に見えてしまうよう な不具合をいう 。（ Wikipedia より ） 29

Webの仕組み（１）  Webサーバは、Webブラウザとのインタラクティブな 操作（セッション）を管理している。  典型的には、ログインしてからログアウトするまでが 一つのセッション。 Web サーバ ログアウト ログアウト後のページを送付 クライアント DB DB で管理する ID 、パスワード を参照し認証 ID PW yamada ******** Web ブラウザ ID とパスワード入力 ユーザ専用ページを送付 オンラインショップにアクセス ログインページを送付

Web の仕組み （２）  Cookie  クライアントの端末にログイン後の ID やパスワード 、 認証状態や アクセス履歴などセッション情報を一時的に保存する仕組み 31 Web サーバ ID とパスワード入力 ユーザ専用ページを送付 セッション情報を通知 ログアウト ログアウト後のページを送付 クライアント DB 次回から、ブラウ ザは Cookie に保 存したセッション 情報を送信 セッション情報をも とに個人を特定 セッション情報はロ グアウトまで管理 DB で管理する ID 、パスワード を参照し認証 ID PW yamada ******** ページ遷移の要求 遷移先のページを送信 オンラインショップにアクセス ログインページを送付

Cookie の盗聴による攻撃の一例  ログイン後の Cookie の中身が書き換えられ 、 なりすまし が行われる 。 32 Web サーバクライアント DB ログイン中 ④ 不正プログラムの実行によ り 、 ログイン後のページの Cookie の中身が攻撃者のセッ ション情報に変更される ③罠の URL をクリック 攻撃者 ① 正規の利用者 としてセッショ ン情報を取得 ⑤ なりすまして 不正操作 ② フィッシング メールを送信 脆弱性がある Web サイト

対策  メールはよく読む  メールのリンクを直接クリックしない  自分が使っているサービスならそのページに直接 移動する  サービスを使わない時は必ずログアウトする  先生や詳しい友達などに一度相談する  サービスが停止するなどとあわてさせるのが手口  まず落ち着くこと  フィッシングサイトのブロックはセキュリティ 対策ソフトでは間に合わない場合が多い 33

使い回し問題  パスワードを複数覚えられない ！  紙に書いたりするなと言われる  同じパスワードを使いまわしたくなる  メールアドレスで登録など 、 ID も使いまわ すケースが多い  結果 、 1 つ漏れたら他のサービスも破られる 34

使い回し問題 35 Google Facebook iCloud Twitter 漏洩 password password password password

良いパスワードなら ？  長くて複雑なパスワードなら 、 総当りや辞書攻 撃ではばれないから 、 使いまわしても良くな い ？  万一フィッシングなどで漏れたら 、 全部変更し なければならない  パスワードをハッシュで保存していないような ダメなサービスが結構ある  利用者からは管理がどうなっているかわからない  どんなに複雑なパスワードでも無駄  情報漏洩が発生してからわかっても手遅れ … 36

使いまわさない工夫  全部を覚えないでいいようにルールを作る  数文字の固定文字列に 、 サービス名などから 連想される文字列を少し足す 、 など  しかし全部脳内で済ますのは限界 ……  数百のパスワードをどうやって使いまわさず に済ませられるだろうか 37

パスワードの管理方法  紙にメモして管理  デジタルファイルで管理  ブラウザに覚えさせる  パスワード管理ソフトを利用 38

紙にメモして管理  デジタルによる漏えいがない  シンプルな管理が可能  アカウント毎に強固なパスワードの作成が必要  パスワードの自動入力はない  複数のパスワードを管理しにくい  パスワードの使いまわしが起きやすい  簡単に紛失しやすい  非推奨 39

デジタルファイルで管理  メモ帳やエクセルなどのファイルの機能で管理 できる  複数のパスワードを容易に管理が可能  アカウント毎に強固なパスワードの作成が必要  パスワードの自動入力はない  暗号化やデジタルファイルにアクセスするため のパスワードの生成が必要  複数のデバイスでの利用が困難  パスワードの使いまわしが起きやすい  端末をきちんとセキュリティ対策するのが前提 40

ブラウザに覚えさせる  複数のパスワードを容易に管理が可能  パスワードの自動入力が可能  Cookie や自動補完 （ オートコンプリート ） 機能  ブラウザの同期により複数のデバイスで利用可 能  アカウント毎に強固なパスワードの作成が必要  パスワードの使いまわしが起きやすい  端末をきちんとセキュリティ対策するのが前提 41

パスワード管理ソフトを利用  アカウント毎に強固なパスワードの自動作成が可能  複数のパスワードを容易に管理が可能  パスワードの自動入力が可能  パスワードの使いまわしが起きにくい  管理ソフトにログインするためのマスターパスワー ドの作成が必要  マルウェア感染などで一網打尽になる危険はある  複数のデバイスでの利用が困難 （ 利用可能なものも ある ）  多機能や使いやすいソフトは有償のものが多い  端末の保護がより重要 42

パスワード管理ソフト  サービス毎のアカウント情報を手元で暗号化し 安全に保持・管理してくれるソフト・アプリ  Lastpass, 1Password, KeePass 、 Roboform 等  シークレットメモ帳機能やクレジットカード情 報なども合わせて管理してくれるソフトもある  最近では 、 2 段階認証機能をサポートしてきて おり 、 マスターパスワードの漏えい対策が強化 されている 。 43

2 段階認証  認証に 2 つの情報を使用する  正規の利用者のみが知っている情報  パスワード 、 PIN コード  正規の利用者のみが持っているもの  IC カード 、 本人のスマートフォンなど  正規の利用者の身体の情報  指紋・虹彩・静脈など 44

よくある ２ 段階認証 1. スマートフォンに 2 段階認証用のアプリを入れておく 。 2. ログイン時に通常のパスワードを入力すると追加で入力 が求められる 。 3. サーバからアプリに使い捨てパスワードが送られてくる 。  使い捨てパスワードを生成する小さな機械を配る場合も 4. 使い捨てパスワードを追加入力フォームに入れてログイ ンする 。  万一パスワードが漏れてもアカウントを守れる  パスワードが漏れたこともわかる場合が多い  対応サービス増加中  Google, Facebook, iCloud, Dropbox など  スマートフォンを持っているなら是非使って欲しい 45

2 要素認証の様子 46 2-step verification Enter the verification code ID Password yourid ******** 追加の画面

2 要素認証の様子 47 2-step verification Enter the verification code ID Password yourid ******** 追加の画面 YubiKey RSA Secure ID

パスワードの定期的変更  本当にセキュリティを高めるかどうかは議論の 余地がある  漏れたことがすぐわからないとか 、 漏れたままだ と被害が拡大するサービスでは一定の効果がある  ２ 段階認証などで同じ効果が得られる  頻繁に変更させると簡単なパスワードを使いまわ してしまう危険性がある  定期変更を強制されるサービスもある  しかも前使ったパスワードは使えない所も  パスワード管理ソフトの自動生成を使うなどする 48

秘密の質問  「 母親の旧姓は ？」「 初めて飼ったペットの 名前は ？」 などの質問に答える  アカウント作成時に登録させられ 、 パスワード リセットなどの時に聞かれる  実はセキュリティ的な強度は高くない  質問が自由に選べない物が多い  一般的な質問内容が多く 、 SNS などを見ている と結構わかってしまう  質問文と関係ない答えを登録すると少し安全  忘れないような対策は必要 49

「 秘密の質問 」 の Google の調査  秘密の質問は 、 単体でアカウントの復旧用に使用するには 、 安全性も信頼性も十分ではない 。  英語を使うユーザーの場合 、「 好きな食べ物は ？」 という質問の答 えを一度で当てられてしまう可能性は 19.7% 。  アラビア語のユーザーの場合 、「 はじめての先生の名前は ？」 とい う質問の答えを 10 回で当てられてしまう可能性はおよそ 24% 。  スペイン語のユーザーの場合 、「 お父さんのミドルネームは ？」 と いう質問の答えが 10 回で当てられてしまう可能性は 21% 。  韓国語のユーザーの場合 、「 生まれた都市は ？」 という質問の答え が 10 回で当てられてしまう可能性が 39% 、 好きな食べ物だと 43% 。  37% のユーザーが 、 答えを推測されにくくするためにあえて嘘の答 えを設定している 。  嘘の答えを選ぼうとすると 、 同じような答えを選んでしまう人が多 く 、 逆効果で 、 実際には攻撃者に付け入る隙を与えてしまっている 。 50

サーバに残す情報の管理  サービス利用に必要な個人情報は仕方ない  残さなくてもいい情報は残さない  例 : Amazon にクレジットカード番号を保存  残しておくとワンクリック購入が使えて便利  残しておくと漏洩や乗っ取りでの悪用の危険性  利用者でコントロールできない場合も …  残してはいけない 「 セキュリティコード 」 を保 存しているダメサービスもある  漏洩してから 、 騒ぎになる 51

不特定多数の人が利用する PC の危険性  Cookie やオートコンプリート機能に残っている 情報が利用される 。  不正ログインによるなりすまし  住所 、 カード番号など個人情報漏えい  不正操作  対策  不特定多数が利用する PC では 、 ID ・パスワード 入力は極力避ける 。  Cookie を削除する 、 Cookie をブロックする 。  オートコンプリート機能に ID ・パスワードを記憶 させない 。 52

Cookie の削除 （ IE の場合 ） 53

Cookie のブロック （ IE の場合 ） 54

SNS による個人情報漏えい 55  SNS による個人情報の漏えいは後を絶たない  原因  情報倫理の欠如  やってはいけない行為や気をつける点など知ら ない等  アプリや Web サイトのバグ  利用者の設定ミス  今一度 、 確認してみましょう 。

Facebook セキュリティチェックアップ 56

Facebook セキュリティ設定画面 57

Facebook プライバシー簡易設定 58

Facebook プライバシー設定画面 59

Facebook タイムライン・タグ付け 設定画面 60

Facebook アプリ設定画面 61

最後に 、 何のグラフでしょう ？ カ国の 18 歳以上の男女を対象にカスペルスキー社が実施したセキュリティ 調査 （「 ネット常識力 」） 結果 。 1 万 8000 人が回答し 、 150 点満点で平均点 は 95 点 、 日本は 92 点で最下位 （ 2015 年 10 月 29 日に発表 ）。

ネット常識力 分くらいで済みますので 、 何点とれるかぜひやってみてください 。

課題  本日の講義であげた内容で 、 既に自分が実践し ていることがあればそれを示し 、 それをする事 の利点や難点など気づいたことを書いてくださ い 。  本日の講義を聞いて 、 今までしていなかったが 新たに実践しようと考えたことがあれば 、 それ を書いてください 。  逆に 、 知ってはいたが自分では実践していない 、 もしくは関係がないと思うことがあれば 、 その 内容と理由を書いてください 。  本講義の感想 、 要望 、 質問などあれば 、 書いて ください 。 64