SAAJ近畿支部第159回定例研究会報告 (報告者: 近藤 博則)

Clip to Evernote

会員番号 2591 近藤 博則

1.テーマ 「事例に学ぶ情報漏えい事故とそのセキュリティ対策〜情報セキュリティ監査のポイント」
2.講師 NTT西日本ビジネス営業本部 クラウドソリューション部 セキュリティサービスグループ 主査 粕淵 卓 氏
3.開催日時 2016年5月20日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師はNTT西日本にてセキュリティの専門家として活躍され、またIT関連の資格を多数保有されており、各種メディアへの記事を執筆されている。今回は講師の実施したセキュリティに関する実験、IPAが公開した2016年セキュリティの10大脅威、日本年金機構の情報漏えい事件、自治体情報セキュリティ対策を題材にそれぞれの脅威・対策について講演いただいた。会場からの質疑応答も活発に交わされた。

<講演内容>

(ア) 10の疑問を試して解明 セキュリティ大実験室

講師が実施し雑誌の記事としてまとめられた、10の疑問を試して解明 セキュリティ大実験室から、8個の実験を取り上げ解説いただいた。

① ウイルス対策ソフトは無料でも十分か?

577個の検体について、有料版、無料版を用いてどれくらい検出できるかを実験した。有料版は8割の検出率、無料版は4割の検出率となり、予想通りの結果であった。また、同様の実験をUTM製品でも行った。UTM製品では検出率にばらつきが出たが、これは製品の特性によるもので、高検出率のものはパフォーマンス(通信速度)を犠牲にしていることがあるため、一概に検出率が高いものがよいとはならないとの事であった。

② 圧縮や暗号化されたウイルスを検知可能?

圧縮や暗号化した10種のウイルスを通信経路上に配置したUTM製品で検出できるかを実験した。結果、製品や圧縮形式により検出率が異なったが、いずれの製品でも6階層のフォルダーに入れてLZH圧縮した物、AESで暗号化した物は検出できなかった。ウイルス対策は通信経路上のみでなく、端末でも行う事が重要であるとの事であった。

③ Excelのパスワード保護は有効か?

Microsoft Excelが備えるパスワード保護機能を使用して暗号化したファイルを用いて、パスワード解析にどれくらいの時間がかかるか実験した。解析には総当たりでパスワードを試す自作ツールと市販ツールを使用した。自作ツールでは数字4桁のパスワードは7分弱、市販ツールでは1分弱で解析可能であった。一般に必要と言われる英数記号を組み合わせた8桁のパスワードは、市販ツールの予測では4コアCPUの端末で解析に13万年以上かかるとされ、パスワードの強度はある程度保たれているとの事だった。

④ 無線LANのSSIDを隠すのは効果ある?

SSIDを隠蔽する設定(ステルスモード)に設定したAPを用いて、正常に通信できる端末と解析ツールを導入した端末を用意し実験した。APに誰も接続していない状態であれば、SSIDを見る事はできなかったが、正規ユーザがAPに接続すると、正常に通信できる端末からSSIDが送信されるため、解析ツールにSSIDが表示された。SSIDの隠蔽によるセキュリティ向上は限定的であり、端末側の電池の持ちが悪くなる等デメリットもあるとの事であった。

⑤ セキュリティワイヤーは頑丈か?

複数のセキュリティワイヤーと入手しやすい工具を用いて実験した。セキュリティワイヤーは、ワイヤー径2.2mm、4mm、5.5mmの物、工具は、108円のニッパー、家庭用のペンチ、ワイヤーカッターであった。ワイヤーカッターを使用すれば、どれも切断する事が可能であった。セキュリティワイヤーには、心理的な抑止効果、持ち去りに対する盗難対策として一定の効果があるが、工具を使えば切断できるため長時間の盗難対策とするのは不十分である。長時間保管するには鍵のかかるキャビネットや引き出しがよいとの事であった。

⑥ スマホの顔認証は正確か?

スマホに搭載されている顔認識機能について、メガネをかけたり、ひげをつけたりする変装をしても認識するか、本人の写真を本人と認識するか、双子の一方がもう一方になりすます事が可能かについて実験した。また、今回の試験にあたっては、まばたき設定(認証の際にまばたきをする必要がある)は無効にして行った。結果、メガネ、ひげの有無、写真でも高確率で認証を突破できた。また、二卵性の双子であっても認証を突破できた。スマホの顔認証は安全性の高い認証方式ではないとの事であった。

⑦ SSLでURLフィルタリングは機能するか?

プライバシー保護のため通信が暗号化されるHTTPSを用いるWebサイトが増えている。これらのサイトへの通信に対してURLフィルタリングが機能するかについて実験した。実験には一般によく利用されるプロキシサーバとUTMを用意した。結果、プロキシサーバではドメイン単位でのフィルタリングは可能であったが、ディレクトリ単位ではフィルタリングできなかった。UTMではデフォルト設定の場合、ドメイン単位でもフィルタリングできなかったが、HTTPS通信を復号化する機能を有効にしたところ、ディレクトリ単位でのフィルタリングも可能であった。しかし、HTTPS通信を復号化するには機器のリソースを多く必要とするため通信に対するパフォーマンスは低下するとの事だった。

⑧ パスワードの別送に意味はある?

重要なファイルをメールで送付する場合ファイルを暗号化し、パスワードは別メールでの送付する事を義務付けている企業がある。一見安全そうに見えるこの対応であるが、ネットワークを盗聴できる攻撃者であれば、ファイルを添付したメールもパスワードが記載されたメールも盗聴でき、暗号化ファイルを簡単に復元できるはずであるため実験し確認した。結果、パケットキャプチャを行えば、メールを復元し暗号化したファイルとパスワードから復号化したファイルを入手する事ができた。この事から、特に重要なファイルをメールで送付する際には、パスワードを別メールではなく電話等別の手段で通知する等の対応が必要だろうとの事だった。

(イ) 2016年セキュリティの10大脅威

IPAが公開した2016年セキュリティの10大脅威から4つを取り上げ解説いただいた。

① インターネットバンキングやクレジットカード情報の不正利用

ウイルス感染やフィッシングサイトから不正入手した情報から、個人になりすまし不正送金や利用が行われている。フィッシングの手口はどんどん巧妙になってきており、ぱっと見では正規のサイトと見分けがつかなくなっている。個人でできる対策としては、OS・ソフトウェアの更新、サイトへアクセスした際にSSL通信になっている事の確認等があるとの事であった。

② 標的型攻撃による情報流出

メールの添付ファイルやWebサイトを利用してPCをウイルスに感染させ、そのPCを遠隔操作する事で組織や企業の重要情報を搾取する攻撃が後を絶たない。攻撃者は対象の組織、企業を徹底的に調べ上げ攻撃手法を検討し実施してくる事から、侵入を許す事も少なくない。対策としては、OS・ソフトウェアを常に最新の状態に保つこと。また、侵入されない事を目標とするのではなく、侵入される事を前提とし、侵入に早く気づく、情報資産を外部送信させない等の対策により多層防御する事が重要であるとの事だった。

③ ランサムウェアを使った詐欺・恐喝

データを人質に取り、金銭を要求する被害が増えている。侵入経路としてはメール添付やWebサイトからであり、これまでは不自然な日本語のものが多かったが、流暢な日本語によるものも登場しており、より注意が必要となっている。対応としては、バックアップからの復元が主な物となるため定期的なバックアップが重要であるとの事だった。

④ ウェブサービスへの不正ログイン

他のWebサービスと同じパスワードの使い回しや、推測できるパスワードを設定していた為に、Webサービスを不正利用されてしまう被害が増えている。対策としては、パスワードは使い回さない、長く複雑なパスワードをしようする等があるとの事だった。

(ウ) 日本年金機構の情報漏えい事件

日本年金機構からの125万件の個人情報漏えい事件について、原因と対策を解説いただいた。ここでは日本年金機構に届いたとされる不審メールの特徴について紹介があり、不審メールはフリーメールサービスを利用して送信されていた。仕事上よくありそうな件名のメールであっても、フリーメールから送付されてきたメールであれば、慎重に取り扱う必要があるとの事だった。

(エ) 自治体情報セキュリティ対策

本年よりマイナンバーの利用が開始されることに伴い、自治体では抜本的なセキュリティ対策我も止められており、その内容について解説いただいた。ポイントとしては、マイナンバー利用事務系のネットワークと他のネットワークを分離し、ここの端末に対しては情報の持ち出し不可設定や二要素認証(パスワード+生体認証、ICカード認証)を用いる事。LGWAN環境とインターネットメールとの通信経路を分割し、両システム間で通信を行う場合には、メールを無害化するとの事だった。

(オ) セキュリティ監査における私の考え方

講師が実施する事があるセキュリティ監査において、意識しているポイントとして、次の事をあげられていた。セキュリティ対策においては、やるべき事柄は山のようにあるため、技術的対策・物理的対策・人的対策が完璧に実施できている所はまずない。このため、できていない事を細かく指摘しても、被監査部門から疎まれるだけで実効性のある監査はとはならない。指摘事項とすべきは、受容レベルを大きく超える物や、セキュリティ対策の弱い状態で公開さているサーバがあった場合であるとの事だった。また、監査において一番重要なポイントは、被監査部門との信頼関係であるとの事だった。

6.所感

本講演ではセキュリティに関する話題を一通りおさらいする事ができ、筆者個人、とても有意義だった。また、所々に挟まれる講師の経験に基づいた一言からたくさんの気付きを得る事ができた。特に長くて複雑なパスワードを記憶する方法として紹介された、手帳にキーワードを書き、残りを記憶しておくやり方はすぐ実生活で取り入れた。本講演の途中、ブレイクとして紹介された錯視が印象に残ったので紹介させていただく。錯視とは、見た情報が実際とは異なって知覚される現象のとこをいい、ものの形や大きさ、明暗、色、動きなど、ものの見かけ全般にわたり現れる錯覚のことである。簡単に錯覚してしまう脳を持つ者として、巧妙な攻撃者からの攻撃をかわすためには、とっさの対応に頼るだけでなく、日頃からのOS・ソフトウェアの最新化が重要であると認識を新たにした次第である。

以上