Contenu connexe
Similaire à Windowsセキュリティ (20)
Windowsセキュリティ
- 1. Windowsセキュリティ
これだけはやっておこう
上田 達也
http://tatsuya.info/
tatsuya@staff.s-lines.net
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 2. 始めに
n HRと言う貴重な時間をもらってます。
n 日常の生活できっと役に立つだろうって言
う話を考えてきました。
n 退屈しないように考えてきたつもりです。
n それでも退屈なようなら他の人の迷惑を掛け
ない程度に過ごしてください。
n 分からない事はその場で質問しちゃってく
ださい。出来るだけ答えます。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 3. 目的
n 情報技術科から社会に出るなら(個人的には)
n プログラミングとかの知識は覚えたけど、肝心
な基礎知識をあまり知らない様な気がします。
n 最近のトレンドでもある、セキュリティ につい
て話してみたいと思います。
n 本当に最低限の事しか話さないから、気になっ
たら自分で調べてみてください。
n 自分で調べる事はとても大切。
n 今のうちに調べ方を覚えた方が後々楽かも。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 5. セキュリティとは?
n 英語的には(Security)
n 安全・防犯 を意味する。
n コンピュータの世界では
n コンピュータを扱う上での安全性を意味する。
n 最近はADSLなど常時接続の普及により、一般
ユーザにもセキュリティの問題が。
n この中でもウイルスメールをばら撒いてる人が居る
とか居ないとか・・・(´ヘ`;)
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 6. 一般ユーザに対するセキュリ
ティ
n コンピュータウイルス
n セキュリティホール
n 個人情報の漏洩
n この他にもいろいろと・・・
n 実際考えるとキリが無いから簡単な所から考え
て行きましょう。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 7. セキュリティの必要性
n 家の戸締りをするのと同じ感覚で
n インターネットに接続しているPCにも、問題点を
修正したり鍵を掛けたり、PCなりの防犯対策が
必要になります。
n 自分の身は自分で守る。
n 被害者である自分も加害者になりかねないと言
う事を理解してください。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 9. じゃあ、一体何をすれば?(1)
n コンピュータウイルス
n アンチウイルスソフトの導入
n パターンファイルの定期的な更新
n セキュリティホール
n Windows Updateの利用
n Office Updateの利用
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 10. じゃあ、一体何をすれば?(2)
n 個人情報の漏洩
n 暗号化通信の利用
n 暗号化してないデータはインターネットでは丸見え
n Demo
n 実際にどうなるか見てもらいます。
n ウイルス感染
n 脆弱性を突いた侵入
n パスワードの覗き見
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 12. まずはどんなものか知っておく
n ウイルスとは?
n ユーザの意思に沿わないプログラム
n 同じようなものに ワーム が存在する
n じゃあ、ワームとは?
n 自己増殖するウイルスと思っていてください
n ただ、現実にはあまり区別されてないです。
n どっちもコンピュータにとって良くない物ですか
ら・・・
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 13. 具体的にどんなものが?
n ウイルス
n Nimda
n ワーム
n Antinny
n Net Sky
n Code Red ・Love Letter
n Blaster ・SQL Slammer
n 身に覚えがあるウイルスもあるのでは・・?
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 14. ウイルスに感染してみました(1)
n 実際にウイルスに感染してみました
n あんまり楽しくない映像だけど
n 実際にどうなるか見てみてください。
n メール経由で感染するウイルスのKlez.Hに感
染した時のものです。
n このウイルスに対する対策はHTMLメールを
HTMLとして表示しない事でしょう。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 16. ウイルスの被害例
n 無差別にウイルスメールをばら撒く
n PC内のデータがメールでばら撒かれる
n 実に覚えのない罪をかぶる事になる
n 取引先から苦情が来る
n 社会的信用を失う
n よくないことが山ほど起きます。
n 事前に対応すればほとんどの場合は感染を防ぐこと
ができます。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 17. ウイルスへの対策(1)
n ウイルス対策のソフトウェアを導入してください。
n インターネットを使う上でのマナーと言っても過言では
ないでしょう。
n 製品例:Trendmicro社 ウイルスバスター
Symantec社 Norton AntiVirus
n フリーで配布されているものも有用です。
n 例:Grisoft AVG 6.0 Free Edition
JTC-i avast! antivirus Home Edition
n パターンファイルは設定により自動更新されます。
n 一度設定をすればあとは定期的に更新されます。
n 定期的にウイルスチェックをしてください。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 18. ウイルスへの対策(2)
n プロバイダのサービスを利用してください。
n メールやWeb経由での感染を防ぐことができます。
n プロバイダに申し込むだけで利用できます。
n サービス例
n TOKAIネットワーククラブ
n メールウィルスチェックサービス
n ホームページウィルスチェック
n Yahoo! BB
n Yahoo!メールウイルスチェックサービス
n BBセキュリティ
n 大抵のプロバイダでサービスされています。
n OCN・ぷららなどでもサービスがあります。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 19. ウイルスへの対策(3)
n 危ない事をしない
n 信頼できるファイル以外は 絶対 に開かない。
n 怪しげなサイトにはアクセスしない。
n ソフトウェアの設定をちょっと変える。
n Outlookでは、標準でHTMLメールを出し、HTML
メールを表示してしまいます。
n この弱点を狙ったウイルスが多いです。
n そもそもHTMLメールって知ってます?
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 20. ウイルスへの対策(4)
n HTMLメールの問題点
n ウイルスに感染しやすくなる
n 実際はHTMLメールの問題ではなく
InternetExplorerのセキュリティホールの問題です。
n プライバシー
n HTMLメールでは画像なども表示できるため、画像
にアクセスしてきた事を元に開封を確認することな
どが出来てしまいます。
n 一個人としては使う事はお勧めしません。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 21. もし、感染したら
n もしもウイルスに感染した疑いがある場合は
n LANケーブルを抜いてください。
n この作業で、他の人へ迷惑をかける事がなくなります。
n 情報を確認したい場合は他のPCを使うか、友達の家などで
ネットを使わせてもらいましょう。
n 自分で対応出来ない時は、助けを求めましょう。
n プロバイダのサポートページなどを事前に確認
n 出来れば、わかる人になってほしい。
n ウイルス対策ソフトを導入している場合はウイルスス
キャンをしてみてください。何のウイルスに感染してる
かが分かるかもしれません。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 23. セキュリティホールって?
n セキュリティホールとは?
n コンピュータの安全を保つ上での問題点です。
n Windowsでは毎月1回は月例パッチとして、セ
キュリティホールに対応する修正プログラムが
リリースされています。(日本時間:第2火曜日の翌日)
n Officeもアップデータが公開されています。
n Office Updateで更新が出来ます。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 24. セキュリティホールの具体例
n GDI+のバッファ オーバーラン(MS04-028)
n Windows XPやOffice製品を含め多くの製品に対して
緊急 としてリリースされた。
n 不正なJPEGファイルを開くことによりユーザの意図しないコー
ドが実行されてしまいます。
n 実際にその脆弱性を再現してみます。
n Google Toolbarに脆弱性
n Google Toolbarの一部バージョンで任意のコードが実
行できる脆弱性がありました。
n 最新バージョンで修正済み
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 25. 対策方法は?(1)
n Windows Updateを利用してください。
n 標準の状態では重要な更新があった際にバ
ルーンで通知されるはずです。
それ以外にもたくさんのパッチがあります。定期的
n
にWindows Updateをチェックする必要があります。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 26. 対策方法は?(2)
n Windows Updateを利用してください。
n ただし、注意も必要です。
n 9月2日にリリースされた、Windows XP SP2は導入
を見送る企業も出てきました。
n 今回のServicePack2ではセキュリティに関する修正が数
多くされました。その為、新しいOSをインストールするの
と同じ。と、言われるほどの状態です。具体的には、SP2
を導入することで動作しないソフトウェアなどが出てきた
り、ネットワークに接続できなくなるようです。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 27. 対策方法は?(3)
n Windows以外にもセキュリティホールは山
ほどあります。
n Real PlayerやAdobe Readerなどにも脆弱性
は発見されています。知ってました?
n プロバイダやJPCERTなどで提供されている
メールマガジンを購読すると情報が得られると
思います。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 29. 個人情報とは?
n 個人情報保護法では
n 「生存する個人に関する情報であって、当該
情報に含まれる氏名、生年月日その他の記
述等により特定の個人を識別する事が出来る
もの(他の情報と容易に照合することができ、
それにより個人を識別することができることと
なるものを含む)」と定義されています。
(個人情報の保護に関する法律 第一章第二条より)
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 30. 漏洩する事によって
n 漏洩する事によって考えられる被害
n ダイレクトメールが増える
n 架空請求のターゲットになる
n オレオレ詐欺にあうかも。
n 場合によっては周りの人を巻き込む事も
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 31. 対策方法は?
n 個人情報をインターネット上で送信しない
n これはちょっと現実的じゃないですね。
n オンラインショッピングとかも増えてますし。
n 暗号化通信を利用しましょう。
n 暗号化していないデータは、丸見えと考えるべ
きです。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 32. 暗号化通信とは?(1)
n インターネット上に流れるデータ
n 暗号化されていなければ、丸見えです。
n ここで、実際に流れているデータを見てみましょう。
n 時間の関係で、簡単な例ですがこれぐらいの事は
簡単にできてしまいます。
n こんな状況でパスワードとか送信します?
n やっぱり、暗号化するに越した事はないはず。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 33. 暗号化通信とは?(2)
n 暗号化通信
n SSLって聞いた事ないですか?
n Secure Socket Layerの略称で、データを暗号化し
(平文通信より)安全な通信経路を提供します。
n 大手オンラインショップではSSLが導入されていて
普通です。大手以外は、、
n こんなマーク見た事ないですか?
n これが、暗号化通信の証です。
(Internet Explorerの場合)
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 34. 暗号化通信とは?(3)
n SSLの機能(1)
n サーバの認証
n 接続すべきサーバと違うサーバにアクセスした場
合に以下のような警告が表示されます。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 35. 暗号化通信とは?(4)
n SSLの機能(2)
n 暗号による情報の保護
n 先ほど紹介した、暗号化通信です。
送受信するデータを暗号化します。
n データの破壊防止
n 途中でデータが壊れる事を防止します。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 36. 意外な落とし穴
n 個人情報は他にも流れてます。
n メールも通常は平文で流れています。
n プロバイダが対応していれば、POP3S/SMTPSや
APOPなどを利用することを強くお勧めします。
n 設定を変えるだけで、利用することができます。
n APOP
n パスワード部分のみが暗号化されます。
n POP3S/SMTPS
n パスワードなどを始めすべてが暗号化されます。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 37. リソースの紹介(1)
n プロバイダのWebサイト
n TNC(セキュリティ通信)
n http://www.tnc.ne.jp/security/
n OCN(セキュリティ速報)
n http://www.ocn.ad.jp/portal/servlet/TechWeb?
HDType=SecInfo
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 38. リソースの紹介(2)
n セキュリティホール memo
n http://www.st.ryukoku.ac.jp/~kjm/security/memo/
n KOJIMAさんが管理されているセキュリティホールに関する
まとめサイトです。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 39. リソースの紹介(3)
n マイクロソフト セキュリティ ニュースレター
n http://www.microsoft.com/japan/technet/security/secnews/
default.mspx
n Microsoft社製品のセキュリティ情報が提供されています。
n JPCERT/CC レポート
n http://www.jpcert.or.jp/wr/
n セキュリティ関連情報、全般が提供されています。
n また、プロバイダからのメールマガジンなども参
考になります。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 40. リソースの紹介(4)
n セキュリティホール memo ML
n http://memo.st.ryukoku.ac.jp/
n OpenmyaML
n http://openmya.hacker.jp/hiki/hiki.cgi?OpenmyaML
n 完全Openを目指すセキュリティ系雑談MLです。敷居は超低
いので誰でも参加OK~ U-20も居るので参加しやすいと思い
ます。メールに溺れる事もあるけど楽しいMLです。
流
通
量
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 41. 質問タイム
n 今回のプレゼンに関連した内容で質問が
ありましたらどうぞ。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.
- 42. おしまい
n ご清聴ありがとうございました。
n 今回のプレゼン資料は TATSUYA.info で公開予定です。
(See: http://tatsuya.info/)
n 何か個人的に聞きたいことがありましたら、メールなどでどうぞ。
n なお、今回のプレゼンに関して OpenmyaML の方々にアドバイ
スをいただきました。ありがとうございました。
Copyright (C) 2004 Tatsuya Ueda. All Rights Reserved.