情報職業論覚え書き⑤

参考文献:廣石良雄著『情報と職業』

ハイテク犯罪
平成9年のデンバー・サミットの公式声明(コミュニケ)において、「コンピュータ技術および電気通信技術を悪用した犯罪」と意味し、「国際的に定着した用語」とされている。
近年では、情報セキュリティを阻害する意味合いが強く加わっている。
警視庁では、ハイテク犯罪を、コンピュータ犯罪とネットワーク利用犯罪のふたつに分類しており、コンピュータ犯罪とネットワーク犯罪は、さらに以下のように分けられている。

コンピュータ犯罪

不正アクセス禁止法違反
アクセス権限のない者が権限を破る犯罪。

コンピュータ・電磁的記録対象犯罪および不正指令電磁的記録に関する罪
アクセス権限のある者の不正行為で、刑法の一部であり、コンピュータ特有の犯罪。

①電子計算機使用詐欺罪
銀行の預金データの改ざんなど、コンピュータのデータを不正に書き換えて不正な利益を得る罪。

②電磁的記録不正作出罪
クレジットカードを偽造するなど、不正な目的で支払い用のカードを所持、または情報取得する罪。

③不正指令電磁的記録関連の罪
コンピュータウィルスの作成、提供、供用(いつでも使用可能な状態に整えておくこと)、取得、保管行為を行う罪。ウィルス作成罪とも呼ばれる。

④電子計算機損壊等業務妨害罪
コンピュータそのものの破壊や業務用Webを改ざんするなどデータを書き換えたりして、コンピュータを使用した他人の業務を妨害する罪。

ネットワーク犯罪

威力業務妨害罪
威力(相手を恐れさせる力)を用いて他人の業務を妨害する罪。
人を脅迫する行為がSNSで増えている。冗談半分に書き込んでいるのかもしれないが、許されることではない。

偽計業務妨害罪
人を欺いたり錯誤を与えたりする方法で業務を妨害する罪。

児童売春・児童ポルノ禁止法
児童を18歳未満と定義し、児童ポルノの提供や販売目的の所持を禁止している。児童ポルノを製造する行為も処罰される。
買春者は日本国民である場合、国外の行為でもこの法律で処罰される。

出会い系サイト規制法
児童を18歳未満と定義し、インターネット異性紹介事業を利用して児童を誘引する行為を規制する。つまり、18歳未満を性交渉目的で誘うだけで処罰される。

コンピュータウィルスの定義
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を1つ以上有するもの。

①自己伝染機能
自らの機能によってほかのプログラムに自らをコピーし、またはシステム機能を利用してほかのシステムにコピーすることにより、ほかのシステムに伝染する機能。

②潜伏機能
発病するための特定時刻、一定時間、処理回数などの条件を記憶させて、発病するまで症状を出さない機能。

③発病機能
プログラム、データなどのファイルの破壊を行ったり、設計者の意図しない動作をするなどの機能。

主なマルウェア
不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称がマルウェアである。

ニムダ
01年に識別されたワーム(ネットワーク上で感染を広げていくコンピュータウィルス)の一種。
GUEST(ユーザ用のアカウント)に管理者権限を与え、パスワード設定を無効にするため、管理者を示すAdminを逆さ読みしたNimdaと命名された。
非常に強い感染力であったため、マルウェア対策の必要性を世間一般に認識させるに至った。

ボット
感染したコンピュータを、ネットワークを通じて外部から操ることを目的として作られたコンピュータウィルス。
感染すると、外部からの指示を待ち、与えられた指示に従って内蔵された処理を実行する。

スパイウェア
ユーザの行動や個人情報などを収集、CPUの空き時間を借用して計算をする。
スパイウェアは利用者の意に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を集めるプログラムである。

ルートキット
ユーザに察知させることなく侵入者がシステムへのアクセスを維持することを支援する。
ログの改ざんツールや、再び侵入できるようにする裏口ツールなど、一連のソフトをパッケージにまとめたもの。

キーロガー
コンピュータへのキー入力を監視、記録するツール。

ランサムウェア
パソコンを強制的にロックしたり、ファイルを暗号化したりするなど、閲覧できない状態にする。
元の状態に戻すための“身代金”を画面上に出力し、これを要求する。

マルウェア対策

①セキュリティパッチの適用
常に最新のセキュリティパッチを適用することでセキュリティホールを塞ぎ、セキュリティホール悪用型ウィルスの感染を防ぐ。

②出所不明のアプリを開かない
誰から送られてきたか分からないファイルを開かない。
信頼できないサイトからファイルをダウンロードしない。
メールの添付付きファイルを不用意に開かない。

③USBメモリなど外部媒体に注意
誰がどのように使ったか分からないUSBメモリなどの外部記憶媒体を使用しない。

④ウィルス対策ソフトの使用
常に最新のウィルスパターンファイルを用いてウィルス対策ソフトを利用する。
開く前にファイルを検査するほか、定期的にウィルススキャンを行う。
スキャン方法には以下の2つのタイプがある。

パターンマッチング法
現行のウィルスパターンファイルを利用する。既知マルウェアの特徴と比較するため、マルウェアが多くパターンファイルが肥大化すると検査時間も長くかかってしまう。

ヒューリスティック法(ルールベース法)
パターンファイルを用いないで、以下のような検査を行う。
動的な検査:処理実行中に経験に基づいて、挙動不審な動作(アプリケーションがブートセクタに書き込もうとしている、システム領域に書き込もうとしている、外部にデータを送ろうとしている)を察知する。
静的な検査:処理実行前にコードを見て、怪しいコードを察知する。

近年では、AIを使用した今までとは異なる対策も現れた。マルウェアが含まれている多くのファイル構造をAIで分析し、その結果をもとにマルウェアの候補を検知し、マルウェアが起動される前に防御する。
AIの分析結果は数式で表される。検査対象のコンピュータ上では、AI学習により更新(フィードバック)された数式が動作する。

⑤パソコンの安全設定
セキュリティパッチの自動更新、オートラン機能の無効化、HTMLメールをテキスト表示する設定、常に全ファイルの拡張子を表示させる設定などを行う。
なお、スマートフォンやPCは他人には使わせない。
場合によっては、スマートフォンやPCの様々な設定をネットワーク管理者や他人に実施してもらうことがあるが、設定後は使用したIDやパスワードを削除、変更し、他人が使用できないようにする。
ネットワーク管理者などのIDやパスワードを登録したままにする場合には、明確なルールの下に行う。

セキュリティホール
情報システムの安全面に影響を及ぼすソフトウェアの欠陥がセキュリティホールである。
欠陥が発見されるとセキュリティパッチ(修正用プログラム)が提供される。
しかしセキュリティパッチが発行されるまでは、あるいは発行されたセキュリティパッチを適用しないまでは、セキュリティホールへの攻撃が行われる。この攻撃はゼロディ攻撃と呼ばれる。ユーザにはこの攻撃を完全に防ぐことはできない。
ソフトウェアを作る側は、安全なソフトウェアを作るためにセキュリティホールにどんな種類があるかを知っておく必要がある。
セキュリティホールはさまざまなWebサイトで公開されており、情報収集を念入りに行うことが大切であるが、そのほかに高度な技術スキルがあれば、自分がクラッカーのつもりで自分のコンピュータに攻撃を加えてみるというペネトレーションテストといった侵入テストを実施することで、セキュリティホールを確認することもできる。

セキュリティホールの攻撃方法と対策

①SQLインジェクション攻撃
入力フォームから文字列としてSQL文を入力し、SQL文が実行可能なセキュリティホールがあると攻撃される。
アプリケーションソフト開発者は、セキュリティホールの有無に関わらず、サニタイズ(無害化)する処理を行う。
サニタイズは&や>などの特殊文字(プログラムコードに使う文字)を一般的な文字列(記号)に変換することである。

②クロスサイトスクリプティング
ユーザから受け付けたHTML文を、そのままWebページに埋め込めるセキュリティホールがあると、そのページで想定外の挙動を起こす。
例えば、そのHTML文が、ほかのHTMLページにリダイレクト(プログラムの入力元や出力先を変更すること)するようなものであれば、そのWebページはユーザに乗っ取られることになる。
この対策も、サニタイズ処理である。

③バッファオーバフロー攻撃
プログラムが入力用として確保したバッファを超えて入力データを受付けた場合、そのバッファを超えた領域に入力データが書き込まれることを許してしまっているセキュリティホールがあるということである。
その結果、プログラムの動作が保障されなくなる。
開発者は、バッファを超えて入力データを受け付けないプログラムを作成する。

④セッションハイジャック
2つのコンピュータをネットワークで通信するために、セッションキーを用いて、認証状態を継続させる仕組みをセッション管理という。
セッションハイジャックは、セッションキーを盗み、他人になりすまし、通信を乗っ取る攻撃である。
セッションキーを漏洩させない、推測されないといった対策が必要である。

アクセス管理と認証
情報資産にアクセス可能な権利をアカウントという。
情報資産に対し、アカウントを持つ者だけ使用させることをアクセス管理といい、アカウントを持つものかどうかを確認することを認証という。
個人認証とは、自分自身と他人を区別することであり、機密性、責任追及性、否認防止性、真正性がある。
アカウントを識別するものを識別記号と呼び、認証を継続するため識別記号を使ってログインする。
識別記号の最も一般的なものはパスワードである。
そのほかには、PINコード、ICカード(ICチップと暗証番号)、USBキー、バイオメトリクス認証などがある。

PINコード
パーソナル・アイデンティフィケーション・ナンバー・コード。
認証に用いられる番号。暗証番号、パスコードとも呼ばれる。
スマホにかける人が多い。

USBキー
パソコンを使用するための鍵の役割をするハードウェア。

バイオメトリクス認証
網膜、顔、指紋、掌紋、署名、虹彩、音声といった体の特徴を認証サーバに登録し、照会するものである。
紛失しないといった長所と、本人拒否率、他人受入率といった短所がある。他人受入率を低くすると、本人拒否率が高くなる。
コンピュータはアナログに弱く、人間では間違えないようなことも間違えるということをふまえて、パターン認識を試して人間を確認させる、画像認証(CAPTCHA。歪んだ文字を画像で表示し、書かれている文字を人間に入力させる技術)も用いられている。

人為的脆弱性
セキュリティホールのような情報システム自体の脆弱性がなくても、人間の振る舞いによって脅威の弱点が生まれることがある。これを人為的脆弱性という。
故意、悪意、犯罪やモラルハザード、ルールの不備、不注意などが挙げられる。

情報セキュリティへの脅威

機密性の阻害
機密性とは、権限を持たない者が情報資産にアクセスできないようにすることであり、それが阻害されること。
個人情報が記載されている台帳が盗まれる、マルウェアで技術情報が不正にコピーされることで、情報資産の盗聴、流出、不正な持ち出しが行われる。

完全性の阻害
セキュリティホールをついてWeb改ざんされ、不正な情報となることにより企業の信頼を失ったり、不正アクセスでデータ消去されることで業務が阻害されたりする。

可用性の阻害(アイベラビリティ)
さまざまなマルウェアによりプログラムが誤動作することが原因のものや、ボットに感染し踏み台と呼ばれる多数のコンピュータから大量のパケットを同時送信されたりすることなどで、サーバダウンやネットワーク妨害となりサービスが停止してしまう。

ハイテク犯罪の手口

フィッシング詐欺
ユーザに信頼されている企業名を使って偽メールを送り、メール内に記載されている偽サイトに誘導して、パスワードを変更させる詐欺。
偽サイトは正規サイトとそっくりに作られている。
偽サイトのURLはOと0、wとvv、mとnnなどのまぎらわしい違いを使い、簡単に欺くような細工がされていることが多い。
公式サイトを検索して送られてきたメールの事実がある確認し、公式サイトから手続きを実施することが大切である。

クリックジャッキング
Webページに無害に見えるボタンを配置し、透過フレームで悪意のあるボタンを重ねておく手口。
この手口は防止しようがない。
信頼の認識がないサイトでは、不要なボタン操作は行わない。

クッキーを悪用するスパイウェア
クッキーは、サーバ側からPCに書き込む小さなテキストファイルで、IDとパスワードを書き込む場合もある。
スパイウェアがPCに侵入することにより、利用者が知らぬ間にインターネットの特定の場所にクッキーの内容を送られてしまう。
情報収集が目的で、あえて利用者にそれを認識させるソフトウェアもある。
Calendar
<< July 2024 >>
SunMonTueWedThuFriSat
 123456
78910111213
14151617181920
21222324252627
28293031
search this site.
tags
archives
recent comment
recent trackback
others
にほんブログ村 科学ブログへ にほんブログ村 科学ブログ 恐竜へ カウンター
admin
  • 管理者ページ
  • 記事を書く
  • ログアウト