安全な設定・使い方 サイバーセキュリティ基礎 第7回 サイバーセキュリティ基礎
本日の内容 個人でもできる、具体的な対策方法 所有しているパソコン・スマホなど 利用しているサービス 通信経路 サイバーセキュリティ基礎
ネットワークの例 データ センタ インターネット 利用者の情報 ... サーバ 九州大学 無線LAN サイバーセキュリティ基礎
攻撃の例 インターネット 偽サイト サーバ ウイルス 情報漏洩 盗聴 乗っ取り データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... サーバ ウイルス 情報漏洩 九州大学 自宅など 盗聴 乗っ取り 無線LAN サイバーセキュリティ基礎
できるところから対策 インターネット 個人でも対策可能な所 サーバ データ センタ 九州大学 無線LAN 利用者の情報 ... サイバーセキュリティ基礎
何が守れるのか? 情報機器そのもの サービス側にある自分の情報 ネット上で受け渡される自分の情報 自分のパソコン・スマホなどの中身 より安全な使い方 サービス側にある自分の情報 「アカウント」の保護 ネット上で受け渡される自分の情報 今回は特に無線LANについて その先については自分では手が出せない サイバーセキュリティ基礎
手元の端末を守る サイバーセキュリティ基礎
情報機器を守る 盗難・紛失対策 「悪意のあるソフトウェア(マルウェア)」対策 他人に操作されないようにする パスコード・パスワードでのロック 内部データの暗号化 「iPhoneを探す」などのサービス 乗っ取られると悪用される危険はある 「悪意のあるソフトウェア(マルウェア)」対策 malware = malicious software サイバーセキュリティ基礎
パスワードロック Windows・Mac等のパソコンの場合 めんどくさい!と思うかもしれないが、それが普通になるように習慣づけるべき 自分のユーザにパスワードを設定 スクリーンセーバや画面を閉じた時にロックされるように設定 一定時間触らないとロックがかかるように設定 起動時の自動ログインはしない めんどくさい!と思うかもしれないが、それが普通になるように習慣づけるべき 自分の自転車に鍵をかけずに放置するようなもの サイバーセキュリティ基礎
Windows 7 の例 サイバーセキュリティ基礎
パスコードロック スマートフォンはパスコードを設定する 4桁の数字でもいいがパスワード文字列の方がより強固 指紋認証機能などがあれば活用する 面倒くさいが、設定していないと盗難・紛失時に厄介 前回説明した「なりすまし」で被害が拡大 指紋認証機能などがあれば活用する パターンロックは画面に残る指の跡からバレるおそれがあるので注意する サイバーセキュリティ基礎
iPhone 5s の例 サイバーセキュリティ基礎
「マルウェア」 コンピュータウイルスなど、悪意のある活動をするソフトウェアの総称 利用者をだましたり、気づかないうちにパソコン等に入り込んで実行 情報を盗む クレジットカード・オンラインバンキング ソフトウェアのライセンスキー いろいろなサービスのログイン情報 外部に迷惑メールを送信する 他のパソコン等にさらに侵入を広げる サイバーセキュリティ基礎
マルウェア対策(1) ウイルス対策ソフト 基本的には「既知」のウイルスしか検知しない 新種の出現が早くなり有効性は低下 対策ソフトの更新が追いつかない 半分くらいしかひっかからないという報告もあり しかし何もしないよりはいい ただし過信してはいけない 「検知されなかったから開いていい」わけではない そもそも危ないファイルを扱わないような心がけ サイバーセキュリティ基礎
サンドイッチテスト このサンドイッチ、食べても大丈夫? 自分で作ったサンドイッチ コンビニで買ったサンドイッチ 友達からもらったサンドイッチ 知らない人からもらったサンドイッチ 公園で拾ったサンドイッチ いろいろな状況を想像してみる サンドイッチを、アプリやソフトウェア、メールの添付ファイルなどに置き換えて考える サイバーセキュリティ基礎
携帯・スマホ・タブレットは? iOS(iPhone・iPad・iPod touch) Android 仕組み的に対策ソフト自体がほとんど無い App Storeは事前審査が厳しい(と思われている) マルウェアが存在しないわけではない App Store以外からは通常アプリは導入できない Android ウイルス対策ソフトはあるが、実効性は疑問 Google Play Storeの事前審査は甘い 設定によりGoogle Play Store以外からもアプリが導入可能 自己責任 サイバーセキュリティ基礎
マルウェア対策(2) ソフトウェアには「バグ」(プログラムの誤り)がつきもの 多くのマルウェアは「バグ」を利用して攻撃・侵入する 人間が作るものだから 多くのマルウェアは「バグ」を利用して攻撃・侵入する 特に攻撃に利用可能な「バグ」を「脆弱性」 通常、脆弱性は見つかると修正される 修正版に更新することで攻撃されにくくなる サイバーセキュリティ基礎
ソフトウェア更新 Window、Mac OS などの基本ソフトウェア(OS = Operating System)は常に最新版に Windows Updateなどのソフトウェア更新機能 特に攻撃に利用されやすいソフトウェアに注意 Oracle Java Adobe Acrobat Reader Adobe Flash Player Microsoft Office サイバーセキュリティ基礎
携帯・スマホ・タブレットは? iOS(iPhone・iPad・iPod touch) Android ガラケーはそもそも攻撃対象になりにくい Appleが不定期に更新 旧世代の端末も数年間は対応 Android 大元の開発はGoogleだが機種毎に改造 携帯キャリア(docomo・au・Softbankなど)がアップデートを提供してくれることを祈る あまり長期間は期待できない… ガラケーはそもそも攻撃対象になりにくい サイバーセキュリティ基礎
サーバ上にある情報を守る サイバーセキュリティ基礎
「アカウント」の保護 「アカウント」 アカウント名(ユーザ名・ユーザID)とパスワードの組での保護が一般的 情報システムを利用する「権利」のこと 利用者の様々な情報が紐づく 個人の識別 個人情報の蓄積 利用履歴 アカウント名(ユーザ名・ユーザID)とパスワードの組での保護が一般的 そのアカウントの正当な利用者だけが知っているはずの情報 サイバーセキュリティ基礎
パスワード 「部屋の鍵」「車の鍵」のようなもの いろいろな攻撃方法がある 内容が漏れるとアカウントを勝手に利用される 総当り 辞書攻撃 盗聴 現実の部屋や車と違って地球の裏側からでも いろいろな攻撃方法がある 総当り 辞書攻撃 盗聴 サイバーセキュリティ基礎
パスワードの複雑さ 数字4桁 英数字8文字(大文字小文字を区別) 英数字記号8文字(使える記号によるが一例) 総当りへの耐性 104 = 10,000通り 英数字8文字(大文字小文字を区別) 628 = 218,340,105,584,896通り 英数字記号8文字(使える記号によるが一例) 968 = 7,213,895,789,838,336通り 総当りへの耐性 使える文字が多く、長いほど強い 盗聴の場合はどんなに複雑でも無駄 ウイルス感染等により サイバーセキュリティ基礎
辞書攻撃 全ての組み合わせを試すのは時間がかかる よく使われるパスワードを集めたリストを使う 世界中で最も使われているパスワード 英単語・氏名 なんらかの理由で漏洩したパスワードリスト 世界中で最も使われているパスワード 「123456」「password」「qwerty」「abc123」 使わないように! サイバーセキュリティ基礎
使い回し問題 複雑なパスワードはたくさん覚えられない ユーザ名もわからないと使えないが、メールアドレスでログインできるサービスも多い 同じパスワードを使いまわす事例は多い ユーザ名もわからないと使えないが、メールアドレスでログインできるサービスも多い 結果、1つ漏れたら他のサービスも破られる サイバーセキュリティ基礎
使いまわさない工夫 全部を覚えないでいいようにルールを作る 数文字の固定文字列に、サービス名などから連想される文字列を少し足す、など サイバーセキュリティ基礎
機械に覚えさせる ブラウザの保存機能は使うなとよく言われる 覚えられずに同じパスワードを使いまわすのとどちらがリスクが高いだろう? そのPCが他人に操作されるとまずい 保存したデータを吸い取るウイルスもある 覚えられずに同じパスワードを使いまわすのとどちらがリスクが高いだろう? パスワード管理ソフトを使う手もある ランダムパスワード自動生成と併用すると強い 元データを失うと自分ではパスワードがわからなくなる サイバーセキュリティ基礎
通信経路を守る サイバーセキュリティ基礎
無線LAN(Wi-Fi)について 皆さんが使っているパソコンをネットワークに接続している仕組み スマートフォンや携帯の「3G」とか「4G」とか「LTE」とか「Xi」とかとは別の仕組み ほとんどのスマートフォンは両方使える 「ガラケー」では使えないことが多い 扇型のマークで表現されることが多い サイバーセキュリティ基礎
無線LANと暗号化 携帯電話網は盗聴の心配はまずない 無線LANは盗聴される可能性を考える kitenetやedunetは安全な方式を使っている サイバーセキュリティ基礎
無線LANの安全性 保護なし WEP(Wired Equivalent Privacy) 弱い 保護なし WEP(Wired Equivalent Privacy) WPA(Wi-Fi Protected Access) WPA2 強い サイバーセキュリティ基礎
Androidでの確認例 (kitenetは 802.1x と表示される…) iPhoneでは確認する方法がない! Windows 8 は一覧では表示されない… Mac は option キーを押しながら扇アイコンをクリック サイバーセキュリティ基礎
保護のない無線LANの危険性 誰でも通信内容を傍受できる カフェや公共施設などにある無料の無線LANに多い 別途暗号化通信を使わなければ筒抜け 基本的に接続するべきでない カフェや公共施設などにある無料の無線LANに多い Fukuoka City Wi-Fiも… 使うなら覚悟の上で 無線LANの提供者側で決まり、利用者は選択できない(弱い無線LANは使わない、しかない) サイバーセキュリティ基礎
「野良無線LAN」の危険性 鍵のかかっていない、公衆向けでない無線LANを見つけることがある 鍵がかかっていないので、接続すると使えるかもしれない このような無線LANは裏で盗聴されていたり、偽サイトに誘導されたり、ウイルスを送りつけられたりする危険性があるので触らないこと サイバーセキュリティ基礎
公共の共用端末 インターネットカフェ・ホテルのロビーなど どう管理されているかまったくわからない 無料や、時間あたりいくらで使える物 どう管理されているかまったくわからない ウイルス等に感染してキー入力や画面を盗聴されている可能性がある パスワードやクレジットカード番号などを絶対入力しない そういう入力が必要なサイトを利用しない 観光情報を調べるくらいにしておく サイバーセキュリティ基礎
まとめ 個人でもできる、具体的な対策方法 所有しているパソコン・スマホなどの保護 利用しているサービスの保護 通信経路の保護 盗難・紛失対策 マルウェア対策 利用しているサービスの保護 パスワードの取り扱い 通信経路の保護 無線LANの安全性について 共用端末の使い方 サイバーセキュリティ基礎