ネットワークセキュリティ


  1. ネットワークセキュリティ
    1. ネットワークセキュリティ
      ネットワークが広範囲に利用されるにつれて、ネットワークの不正利用による被害が拡大しています。悪意のある」メールを受信することにより、意図しないウイルス付きのメールを出してしまったり、ファイルの削除や内容の漏洩、等の被害が報告されています。
      また、重要なメール内容が他人に読まれたり、自分のパソコンが他人に遠隔操作される、ホームページの内容がすり替えられ信用問題に発展するなどの被害を続出しています。これらの問題を含めて、ネットワークのセキュリティ(security:安全性、防護)問題と言います。
    2. ウイルスとは
      外部から不正に送られたプログラムをウイルス(virus)といいます。多くのウイルスは自分をコピーする(増殖)する機能があり、ネットワークを使って、別の、マシンにコピーを送る(感染させる)能力があります。
      1. ワーム
        感染機能を有するウイルスのことを特にワーム(worm:虫、寄生虫)と言います。読むと感染する添付ファイル付きのメールを送ったり、自分のコピーを作るなどの機能を有するものはワームになります。
      2. トロイの木馬
        ギリシャ神話で、和平と印として送られた木馬に兵士が潜み、味方を場内に呼び込んだ故事から名前が付けられています。感染側に潜み、外部に対し特定の通信を行えるよう動作するウイルスのことをいいます。back door(裏門) も同様な意味で使われます。
  2. 不正アクセスの手法
    1. セキュリティホール
      異常なデータが入った場合の処理がされていないと、思わぬ暴走を引き起こすことがあります。仕込まれた暴走で、システムに不正な設定が残される場合があります。現在多く使われる手法は、仕込んだスタックオーバーによる暴走です。暴走により、ウイルスに感染します。
      1. スタックオーバーフロー
        C言語のプログラムでは、局所変数の領域と戻り番地がスタック上に同居します。したがって、局所変数にデータ入力をするとき、チェックがない場合「適当なデータと戻り番地」を、局所変数として「確保された領域以上」を超えて突っ込むことができれば、その関数の戻りで、データとして送り込んだプログラムを実行することができます。しかも、実行権限は、元のプログラムの実行権限になりますから、もし、元のプログラムがroot(実行制限のない利用者)権限で実行していれば、rootで実行されます。
    2. メールの添付ファイル
      電子メールの本文を読むだけなら問題は起こりませんが、添付書類により問題が起こります。マクロ機能を有するソフト(windowsのwordやエクセルなど)のドキュメントを開くと、組み込まれたマクロが不正な処理をする場合があります。このようなマクロもウイルスの一種です。最近では、メールの付加機能のセキュリティホールを利用し、メールをプリスキャンするだけで、感染するタイプも出現しました。
      1. マクロ機能
        ファイルの削除をする
        登録された住所録の人に本人の名前でウイルス付きのメールを送る
        他の文書ににファイルの内容を追加する
    3. サービス妨害:DDos
      相手のガードが堅い場合、感染させたPCを利用して、一斉にサービス要求を集中させる攻撃もあります。集中されたサーバーは正常なサービスが出来なくないます。これを DDos(Distributed Denial of Service)ともいいます。
      1. SPAM
        電子メールなどを大量に送りつける妨害行為です。
    4. Java/Javaスクリプト:
      Javaは仮想マシンで動作をし、システムに致命的なアクセスは出来ないよう配慮されていますが、完全ではありません。web経由で取り込んだJavaプログラムが悪意のある動作をする場合があります。
  3. 対策
    1. パスワード
      パスワードは最後の砦です。パスワードが漏れたり、推定されたらおしまいです。最近はワード(単語)でなく、フレーズ(長い文節)を利用することが推奨されているため、パスフレーズといいます。パスフレーズはシステムの最終防衛手段です。管理者権限(windowsのadministrator、uinxのroot)でインターネットのアプリケーションを利用することは厳禁です。Telnet、FTP,POP3等ではパスワードが平文で流れます。パスワードが漏れる可能性は高いと考えてください。
      1. クラッカー
        unix系では記録したパスワードから元のパスワードを復元することは不可能です。ただし、パスワードとして使われそうな単語(固有名詞を含む)を変換し、これが現在登録されているパスワードと一致すれば、パスワードを知ることができます。簡単な単語や固有名詞、俗語、等単一の単語をキーワードにすれば簡単に破られます。複数の単語を数字や記号で区切ってキーフレーズにすることが必要です。
      2. パスワード保存
        windowsでは多くのアプリケーション(メール、FTP)にパスワードの保存機能がありますがこれを行うと、ウイルスを含めた第三者が勝手に利用できてしまいます。パスワードの保存は避けましょう。
    2. アンティウイルスソフトを利用する
      1. アンティウイルス(ワクチン)ソフト
        ウイルスの発見や、ウイルスの除去を目的に作成されたソフトがあります。これらは既知のウイルスや類似のウイルスには有効ですが、新規のウイルスには対処出来ません。
      2. ウイルス情報
        ウイルスの特徴を調べそれをパターン化します、このパターンの有無でウイルスの有無をチェックします。この情報は絶えず更新されます。
      3. リアルタイムチェック
        ウイルス情報に基づき、ネットワークからのファイルをすべてチェックする方式ですが、システムの付加が重くなります。通常は孤絶対応と手動チェックを組み合わせます。
        1. 外部ファイルチェック
          インターネットのメールやwebなど、外部から到着するファイルのみをチェックする方式が実用的です。大運ロードしたファイルは、特定のフォルダに保存しチェックをします。
      4. 個別対応
        電子メールやJavaのスクリプトなどに限定したチェックを行います。
      5. 手動ファイルチェック
        入手した危ないファイルを個別にチェックします。また、定期的に、全ファイルのチェックを行います。
    3. パッチを当てる
      プログラムに不正アクセスの欠陥が見つかった場合、修正ファイルが用意されます。これを取り込み、プログラムを修正します。パッチは着物の穴をふさぐ、小さなあて布の意味です。パッチは公開されても、多くの場合その存在を知らないため、ウイルスの餌食になる場合が少なくありません。
      1. パッチ情報
        販売されているソフトについては、登録していればパッチ情報を電子メールで送ってくれます。
    4. ファイアウオールを利用する
      ファイアーウオールは原則的に内部からの応答のパケットしか受け取りません。外部からのサービス要求には、指定したポート番号のみに応答します。
      1. 注意
        FTP:FTPのデータはサーバー起動になります。受け取るためにはPASVモードの設定が必要です。
    5. サービスポートを調べる
      ネットワークからの侵入に成功した場合、以後の侵入を容易にするため、新しい「窓口」を開設することがあります。この窓口は、ホームページやメールのサービス窓口のように、待ち受け中のポートとして列挙することができます。これをポートスキャンと呼びますが、この行為は悪意の「偵察」にもよく利用されますので、自分の責任でないマシンにポートスキャンをすることは慎む必要があります。
       unix系のコマンドで対象を指定してポートスキャンするプログラムnmapがあります。

      1. [root@hibashi mito]# nmap www.ccad.sccs.chukyo-u.ac.jp
        Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
        Host hibashi (150.42.41.129) appears to be up ... good.

        Port State Service
        21/tcp open ftp
        22/tcp open ssh
        23/tcp open telnet
        25/tcp open smtp
        53/tcp open domain
        80/tcp open http
    6. 暗号化通信
      1. SSH
        これは、unixのr系コマンドに暗号通信機能を持たせたものです。telnetの代わりにSSHを利用することは常識と言われています。windowsではフリーの端末ソフトTeraTermにTTSSHを組み合わせると、SSHを利用することが出来ます。
      2. APOP
        メールの認証に暗号を利用します。本文はそのままですが、接続時にパスワードがそのままネットワークに流れることはなくなります。
    7. 改竄チェック:ハッシュ関数
      ファイルの変更をチェックするため、ファイルに対して特定の計算をした値を記録しておきます。この計算をハッシュ関数といいます(MD5もハッシュ関数の一種)。定期的に計算をし直すことでファイルの改竄(変更)を知ることができる。ハッシュ関数で変換した値から原文を作成することはできません。
  4. セキュリティ情報
    1. セキュリティ情報
      我が国のセキュリティに関連する情報は、以下のサイトに集約されています。
       http://www.ipa.go.jp/security/index.html
      ウイルス情報、対策、被害状況などが掲載されています。
    2. 最近の被害
      最近では、bugbear、klezなどの被害が増えています。去年はCircum等メールの添付書類からの関連が件数では80%に達します。他に、CodeRed等サーバーのセキュリティホールに対する攻撃は、被害の件数は少なくても、多きな被害(影響)を与えています。大学内部では、今年、sadmindウイルスに多くのワークステーション(Solaris)が被害を受けました。
    3. ユーザの対処
      IPAが提唱している、ウイルス対策7箇条を示します。
       最新のウイルス定義ファイルに更新しワクチンソフトを活用すること
       メールの添付ファイルは、開く前にウイルス検査を行うこと
       ダウンロードしたファイルは、使用する前にウイルス検査を行うこと
       ダウンロードした実行可能ファイル(マクロ付き文書も含みます)は、安易に開かない。
       アプリケーションのセキュリティ機能を活用すること
       セキュリティパッチをあてること
       ウイルス感染の兆候を見逃さないこと
       ウイルス感染被害からの復旧のためデータのバックアップを行うこと  
    4. 管理者向けの対応
      システムの種別毎に、セキュリティ対策の方法が具体的に示されています。
       http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/index.html
  5. 暗号化
    1. https
      webでhttpでは文章をそのまま送りますが、httpsではサーバー毎に異なる暗号で暗号化します。暗号にはSSLを利用している。
      1. SSL
        secure Socket Layer で、トランスポート層での情報を暗号化します。したがって、アプリケーション層では意識することなく利用できます。
      2. IPSec
        IPSecurityはIP層での暗号化ツールです。
    2. SSH
      Secur Shell で、SSLを利用したtelnetの暗号化バージョンです。システムのセキュリティに関するリモート処理はSSHを利用する必要があります。
    3. APOP
      電子メールの認証に(メッセージダイジェスト関数 MD5を用いた)暗号化を利用します。
    4. PGP暗号
      PGPはメールや文書を暗号化/複合するソフトで、比較的安全性の高い公開鍵暗号も利用できます。
      1. 公開鍵暗号
        暗号化する場合の問題点は暗号への変換の方法を相手にしらせなければならないことです。しかし、この暗号化の方法が同時に解読の方法をかねていると、変換方法が第三者知られると暗号にならなくなります。公開鍵暗号は暗号化の方法を公開しても、解読の方法は容易には知られない方法です。したがって暗号化のキーを公開キーとして公開することができます。公開キーに対する解読用のキーは秘密キーとして本人が管理します。
      2. ディジタル署名
        公開キーでは、メッセージは本人作成かどうかの確認が出来ません。そこで、作成者本人の秘密キーで署名を暗号化して送ります。受け取った方では、作成者の公開キーで解読します。これで、本人の署名が再生できれば、確認が出来ます。
    5. 注意
      原文と暗号化した文が同時に存在すると、暗号化手法の解読が容易になります。また、多くの暗号化した文を統計処理すると文の解読が容易になります。定期的な変更が必要です。
トップに戻る