不正アクセス

【関連項目】

暗号化改ざんなりすましフィッシングID辞書攻撃

【学校事務での具体例】

学校のPCにどのようなIDとパスワードが設定されているか。破られないよう工夫されているか。誰がそれを管理しているか。児童生徒がデータサーバにアクセスできないようになっているか。

【ポイントと解説】

☆ セキュリティの必要性(不正アクセス、コンピュータウィルス等)について説明することができる

・サーバ内の重要なファイルに誰でもアクセスできるようになっていないか確認する。アクセスする場合やファイルを開く場合には必ずパスワードを掛けるよう徹底する。

☆ セキュリティ対策(IDとパスワード等)の機密保持方法を説明することができる

・IDとパスワードの管理を行う係を決め、漏洩等がないようPC内には置かないようにする。職員についても管理を徹底するよう促す。特に異動に伴う変更や引継ぎの際には注意する。

解説

不正アクセスとは、あるコンピュータへの正規のアクセス権を持たない人が、ソフトウェアの不具合などを悪用してアクセス権を取得し、不正にコンピュータを利用する、あるいは試みること。

例えば、インターネットなどを通じて、勝手に他人のパソコンの中身をのぞいたり、ファイルを盗んだり、削除したりすることです。

 代表的な不正アクセスには、ソフトウェアの保安上の弱点(セキュリティホール)を悪用してファイルを盗み見たり削除・改変する行為や、盗聴や総当たり攻撃によるパスワード窃取、メールサーバを悪用した迷惑メールのばらまきなどがある。

不正アクセス行為の禁止等に関する法律

不正アクセス行為の禁止等に関する法律(ふせいあくせすこういのきんしとうにかんするほうりつ)

日本の法律 目的は、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為とその助長行為の禁止にある。略称は不正アクセス禁止法など。

1999年(平成11年)8月13日公布 2000年(平成12年)2月13日施行

改正 1999年(平成11年)12月22日 施行 2001年(平成13年)1月6日

・IPA【不正アクセス行為の禁止等に関する法律】法文

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.ipa.go.jp/security/ciadr/law199908.html

クラッカー

 コンピュータ技術に精通し、常習的に不正アクセスを行なう人々のことを「クラッカー」と呼ぶ。クラッカーはコンピュータへの侵入に成功すると、バックドアやワームを仕掛け、そのコンピュータを踏み台に他のコンピュータへ侵入したり、アクセス妨害攻撃(DDoS攻撃)を企てたりすることが多い。

 不正アクセスによる被害はインターネットの普及と共に急増していることから、国内では1999年に不正アクセス禁止法が成立し、これらの不正アクセス行為は犯罪行為として処罰されることになった。

ホームページ改ざん等の被害を受けた場合の措置

1 被害の拡大を防ぐために、被害を受けたサーバコンピュータをネットワークから切り離す。 (物理的にインターネット回線を引き抜く)  その後、サービスや業務の稼働状況を考慮のうえ、できるだけ現状を保持するようシャットダウン、リブート、バックアップデータによる復旧作業等は行わないように努めましょう。

2 被害発生前後及びそれ以前のログやファイルの適切な保存をする。  ログの解析により、侵入の手口、侵入経路等に関する情報を入手できる場合が多いので、可能な限り事後調査に必要な情報の保全に努めましょう。

・重要な設定ファイル  パスワード、アクセスコントロール、等 ・OS等から出力されるログ  通信ログ、ログインログ、等 ・アプリケーションサーバログ  WWW、DNS、FTP、等 ・ファイアウォール関連ログ ・IDS関連ログ

3 所在地を管轄する警察署、又はハイテク犯罪対策総合センターハイテク犯罪相談窓口(03-3431-8109)へ通報する。  通報後は、捜査員の指示に従いましょう。

・警視庁  ホームページ改ざん等の被害を受けた場合の措置

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku34.htm

暗号化

暗号(あんごう、cipher)あるいは暗号化(あんごうか、Encryption)とは、第三者に通信内容を知られないように行う特殊な通信(秘匿通信)方法のうち、通信文を見ても特別な知識なしでは読めないように変換する表記法(変換アルゴリズム)のことである。通信ではなく保管する文書等の内容を秘匿する方法としても用いることができる。

・ウィキペディア【暗号】

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7

主な暗号化の仕組み

暗号化規格SSL

共通鍵暗号方式と公開鍵暗号方式を組み合わせたシステム

改ざん

改ざんとは、ネットワークを通じてコンピュータに侵入し、Webページやアクセスログなどの情報を管理者の許可を得ずに書き換える行為。サーバの設定の不備やセキュリティホールの修正し忘れなどが主な被害原因。Webページが改ざんに会うと、それまで公開していた内容が破棄され、意味のない文言や卑猥な言葉や画像、侵入者の政治的な主張などに差し替えられてしまうことが多い。アクセスログなど非公開のデータが改ざんされる場合は、不正侵入の証拠を隠滅するための行為である場合が多い。

改竄(かいざん)は、文書、記録等の全部又は一部が、故意もしくは過失により、本来なされるべきでない時期に、本来なされるべきでない形式、内容に変更されることをいう。悪意の有無を問わない。

・ウィキぺディア 改ざん

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://ja.wikipedia.org/wiki/%E6%94%B9%E7%AB%84

なりすまし

他人の名前、ユーザーID、パスワードなどを使って、あたかもその人のように振る舞う行動全般を指す。例えば、盗んだ他人のユーザーIDやパスワードを使ってWebサービスを利用する、メールを送る、企業の内部ネットワークに侵入して情報を盗み出すなどの行為が含まれる。インターネットの掲示板などでは、他人の名前をかたって他のユーザーを中傷したり、けんかをけしかけたりするケースも多い。なりすましによる被害を防ぐために、認証の技術が使われる。

参考:「日経パソコン用語事典2009」

フイッシング

実在する企業の名前をかたり、本物そっくりの偽メールや偽Webサイトを使ってユーザーをだまし、個人情報を詐取する詐欺。「フィッシング(phishing)」の語源は「魚釣り(fishing)」で、ハッカー特有の命名規則で「f」を「ph」に置き換えている。  代表的な手口は、有名な金融機関の名前を詐称し、「すぐに本人確認をしないとカードが失効する」など、ユーザーの不安感をあおるメールを送信する。メールにはURLが貼り付けてあり、そこから本物そっくりに作り込まれた偽のWebサイトにユーザーを誘導。本人確認を装って、パスワードやクレジットカード番号などの重要な情報を入力させて盗み取る。  2003年ごろから米国を中心に被害が増え始め、現在では国内でも多数の被害が確認されている。例えば、2005年2月にはUFJカードのユーザー38人がフィッシング詐欺に遭い、うち8人がカードを偽造されて合計約150万円を不正に引き出された。そのほか国内では、ユーザー数の多さから、ヤフーをかたるフィッシング詐欺が頻発している。  フィッシング詐欺の進化型として、ファーミング(pharming)詐欺という手法も登場している。

参考:「日経パソコン用語事典2009」

“釣られない”ための鉄則

 フィッシング詐欺に遭わないためには、偽メールにだまされないことが第一です。 メールの内容をうのみにせず、リンクをむやみにクリックしない。 メールからアクセスしたサイトでは個人情報を入力しないことや、アクセスしているサイトのURLを確認することも大切。 そもそも金融機関などが、パスワードやクレジットカード番号を問い合わせるメールを送ることはありません。 HTMLメールをテキストメールで表示することも効果があります。

・フィッシング対策協議会

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.antiphishing.jp/

・警察庁:フィッシング110番

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

ID

個体識別、利用者識別、およびそのための符号(Identification)

個人認証の比較

認証方式 メリット デメリット
知識認証 パスワード 簡単・経済的・普及率高い 盗用・忘却の危険が高い
所有物認証 クレジットカード USBキー・ICカード・普及率高い 盗用・紛失・破損・偽造の危険が高い、高価
生体認証 指紋・静脈・網膜 偽造困難・常に所持 高価・普及率が低い

辞書攻撃

辞書攻撃とは、パスワードの割り出しや暗号の解読に使われる攻撃手法の一つ。

 パスワード破りに使用する際には、辞書にある単語を片端から入力して試すというもので、そのまま入力するだけでなく大文字と小文字を混在させたり数字を加えたりといった処理も加えて実行するものが多い。

 何万語も収録された辞書でも、コンピュータに自動処理をさせれば短時間で入力できるため、基本的なパスワード破りの手口として用いられている。対処法としては、人名や意味な単語をパスワードに用いないことや、記号や数字などをランダムに組み合わせることなどが挙げられる。

 暗号解読の手口として使われる場合には、辞書にある単語や無作為に集めた平文を全て暗号化し、それと目的の暗号とを突き合わせて一致するかどうかを調べるという方法を指す。こちらへの対処法としては、暗号文を長くすることが有効だとされている。

辞書攻撃(じしょこうげき、英:Dictionary attack)とは、主にコンピュータセキュリティ上で用いられる用語で、クラッカーが特定のコンピュータに施されたパスワードを調べたり、スパム送信者が送信先のメールアドレスを決める際に用いる手法である。

・ウィキペディア 辞書攻撃

外部リンク 

ここをクリックすると県事研が作成したものではないページが表示されます

http://ja.wikipedia.org/wiki/%E8%BE%9E%E6%9B%B8%E6%94%BB%E6%92%83

よくある、不正アクセスされやすい環境

  • 職員端末のIDとパスワードが全職員共通で設定されている。
  • 教室で、児童が担任の職員端末を無断でさわっていることがある。
  • 机上に、いつもパソコンが置いてある。

対策

  • 退出しているときは、コンピュータのロックをかけましょう。
  • 職員ごと異なるユーザー名とパスワードを設定しましょう。
  • ユーザー名とパスワードは時々変更しましょう。
  • サーバー側でユーザー別のアクセス権限を設定しましょう。
  • 学校情報管理責任者が一括でユーザを管理しましょう。

セキュリティ製品(参考例)

○ウイルス対策ソフト

○内蔵のハードウェアで全てのデータを自動的に暗号化し、トレンドマイクロのウィルス対策ソフトを内蔵したバッファローの「RUF2-HSCUWシリーズ」

○指紋リーダーと最大8GBのメモリーを内蔵するバッファロー「RUF2-FHSシリーズ」

○USB接続ハードディスクにパスワード機能を備えたロジテック「LHD-HBS1000U2」

○USBキータイプの非接触ICカードリーダー、アイ・オー・データ機器「NFC-ST」(コンパクトなので持ち運びも可能)

○盗難が難しいシリンダー錠タイプのケンジントンロック「ESL-7C」

○ノートパソコン10~20台、プリンタ、スキャナーが同時に収納できるサンワサプライノートパソコン収納キャビネット「CAI-CAB1」

○指紋照合デスクトップツール

○非接触ICカード技術方式(FeliCa)を用いたログオン認証ツール 三菱電気インフォメーションテクノロジー「apricot認証デスクトップツール」

情報モラルとセキュリティ/不正アクセス.txt · 最終更新: 2010/06/09 12:17 (外部編集)
CC Attribution-Noncommercial-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0