▶サイバーセキュリティのお話(転ばぬ先の杖)
今回、記恩ヶ丘HPが何者かにアタックされて、引っ越しを行いました。新しいサイトでは、SSLという暗号通信の対応、外部からの攻撃を防御するファイアーウォールの導入、管理者用のログインボタンの廃止、アクセスカウンターの廃止などの対策を行い、セキュリティを大幅に強化しました。いろいろと、情報セキュリティについて調べました。そこで、調べた内容をお詫びを兼ねて公開いたします。みなさんも、セキュリティ侵害には十分に気をつけてください。(高25期 廣瀬隆夫)
◆ ◆ ◆
インターネットが本格的に始まったのは、ブラウザーをバンドルしたWindows95が発売された1995年とされています。その当時のWebサーバは、世界で2万台程度でした。その後、指数関数的に増えて2021年には、10億台を超えました。今では、インターネットを使えば、世界中の人たちと気軽に会話が出来るようになりました。しかし、世界中の人たちとつながるということは、世界中のハッカーに狙われているということでもあるのです。
https://news.netcraft.com/archives/category/web-server-survey/ (出典)
■ どのような人たちがハッキングに関わっているのか?
初めに、どのような人たちがハッキングを行っているかを調べました。ハッカーは、本来、コンピュータについて常人より深い技術的知識を持っている人たちのことを指しますが、ここでは、インターネットでハッキングを行っている人をハッカーと呼ぶこととします。ハッカーは、次のように分類できるようです。
①スクリプトキディ
ハッキングの初心者です。中高生が多いと言われています。ストレス解消やいたずら、暇つぶしにハッキングに手を出しています。書店に並んでいるハッキングの本に書かれたことをマネしてして、罪の意識もなしにハッキングに手を出す人たちです。インターネット上には、相手のアドレスさえ打ち込めば攻撃できるような簡単なGUIを備えたツールが出回っていますので、セキュリティホールのあるサーバが狙われます。
②アマチュアハッカー
スクリプトキディが少し勉強をして、侵入した足跡を消すくらいの自力でハッキングできる技術があるハッカーです。自己顕示や技術の誇示のためにハッキングを繰り返します。20年ほど前に、中央省庁のホームページを改ざんする事件を起こしました。このような人たちは、「過去の経験」をもとにセキュリティ対策の会社を設立することも多いです。過去に大きな事件を起こして逮捕された伝説のハッカー、ケビン・ミトニックが有名です。
③プロのハッカー集団
他国や競合企業から報酬をもらって行うプロの産業スパイや盗み出した顧客名簿や社員名簿を販売することによって収入を得ている本格的な侵入者です。ハッキングをビジネスにしており、目的は金儲けです。発見されないことが「仕事」であり、対象を破壊するような目立った行為は行いません。行き過ぎた資本主義による、貧富の差の拡大が根底にあるのではないかと言われています。
④テロリスト
カルト宗団や国際的テロ集団がコンピュータネットワークにも活動範囲を広げています。彼らのターゲットは大企業や社会インフラです。電気、水道、ガス、電話の施設などを攻撃することで人々を混乱と恐怖に陥れます。ガスや石油コンビナート、原発なども対象にすることがあります。目的は、布教活動や社会変革で恐ろしい人たちです。
■ どのようにハッキングを行うのか?
ハッカーは、用意周到、巧妙な手口でハッキングを行います。彼らはコンピュータや通信について深い知識を持っています。ネット上には、このような情報が氾濫しており、ハッカーだけがアクセスできるダークウエブには最新の情報がアップされています。
① 侵入前の下調べ
侵入する相手を決めるために脆弱性のあるWebサーバがあるか調査します。Whoisというフリーのサービスを使って所有者情報を調べます。
②ポートスキャンの実施
サーバへの入り口を調査します。httpd、ftpd、Telnetなどのプログラムが使って「通信ポート」が開いているか調べます。
③通信ポートから侵入の試み
開いている「通信ポート」が見つかったときには侵入を開始します。ブルートフォースアタック、Cgi-Exploit、Remote Stack Overflowなどの様々なハッキング手法を使って侵入します。
④システムのログインに成功
システムの侵入に成功すると、UNIXなどのOSをコントロールできるカーネルコマンドライン(telnetの画面で%や$などのマーク)に到達します。
⑤管理者権限の乗っ取り
管理者権限の奪取を試みます。簡単なパスワードであると何でも出来てしまう管理者権限が盗まれてしまいます。管理者権限が取られると、コンテンツの削除、改ざんなどシステムを自由にコントロールされてしまいます。トロイの木馬というウイルスの組み込みやC&Cサーバーというハッカーが管理しているサーバー経由で情報を抜き取ります。
⑥足跡の消去
ログファイル、履歴の削除を行います。飛ぶ鳥跡を濁さず、ハッカーは礼儀正しいのです。telnet、rlogin、ftpのログイン・ログアウト記録、コマンドの実行履歴、syslog、messages、sulog、lastlog、consoleログ、httpdログなどを全て消去します。
■ 犯罪の類型化
このような人たちは、インターネットという空間で様々な悪行を行っていますが、犯罪の類型化をすると次の2つになるようです。
① 分散集金型
「エモテット」のように、OSなどののセキュリティの脆弱性を突いて、「広く浅くお金を集める」形態です。2017年5月に世界的に大きな被害を出したランサムウェア「WannaCry」は、個人でも払える額の300ドル相当のビットコインの送金を要求しています。ターゲットは、個人や中小企業です。
https://www.ipa.go.jp/security/announce/20191202.html
② 大規模強奪型
政府や大企業の「特定組織のセキュリティ脆弱性」を突いて、多額のお金を盗むまたは「特定組織の機密性の高い情報を盗む」形態です。これは、脆弱性を見つけてすぐに犯行を起こすわけではなく、3~4年という十分な準備期間を設けて、組織の情報を調べた後に、ハッカー組織にとって一番儲かりそうで安全ななタイミングを見つけて犯行に及びます。この準備期間は、組織がハッカーにより侵入されていることに気づかない場合もあるようです。2016年に起こった、「バングラデシュ中央銀行10億ドル強奪ハッキング事件」がその例です。
https://wired.jp/2016/03/15/a-typo-costs-bank-hackers-nearly-1b/
■ 私たちにできること
ハッカーはシステムの脆弱性を突いて攻撃を仕掛けてきます。最新のシステムにして脆弱性を排除することが重要です。少しでも動きが不自然な場合は、パスワードを変更してください。アカウントは必要最低限にしてください。また、不慮の事故に備えてバックアップは必ず取っておいてください。
サーバー側の対策は、SSLの対応やファイアーウォールの導入、プラグインの最新化などがあげられます。
パソコン側では、WindowsアップデートなどのOSのソフトウエア・アップデートを確実に実施してください。EdgeやChromeなどのブラウザやAcrobatなどの定番ソフトも脆弱性の対応が必要です。また、アンチウイルスソフトも必ず導入してください。
システム的な対策以上に重要なのがパスワードです。ハッキングの多くは、脆弱なパスワードが原因です。パスワードは、8桁以上にして大文字、小文字、数字、記号など文字種の多いものにしてください。堅牢なパスワードを生成するサービスもありますのでご活用ください。
https://www.graviness.com/app/pwg/
●特に注意するパスワード
・オンラインバンキングなどのパスワード:最強のパスワードにしてください
・楽天やAMAZONなどのオンラインショッピングのパスワード:最強のパスワードにしてください
・AppleIDなどのOSベンダのパスワード:最強のパスワードにしてください
・メールのパスワード:メールサーバのパスワード変更をした後にパソコンやスマホ側のパスワード設定が必要になります。
・TwitterやFacebook、LINEなどのSNSのパスワード:なりすまして迷惑行為に加担させられますので注意してください。
・キャッシュカードやクレジットカードの暗証番号:生年月日など、すぐに類推できるものはダメです。カードを落とした時に、容易に使われてしまいます。
※何年も前に利用したサービスの脆弱なパスワードが残っていると狙われます。
以前は、パスワードの定期変更が薦められてきましたが、安易なパスワードになりがちなので、その必要はないとされています。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
また、同じパスワードを他のサービスで使い回すことはしないでください。一つハッキングされると全てのサービスが芋づる式に被害を受けてしまいます。
最後に、パスワードのハッキングの手口と対策をご紹介します。
① ブルートフォース攻撃(Brute-force:強引な)
設定することの出来るパスワードを総当りで全て試す、力技的なパスワード解読です。時間はかかりますが、時間をかければ必ず解読されてしまいます。解読時間はコンピュータの処理速度で決まりますので、今後、桁違いの処理速度を持つ量子コンピュータがでてくると、たいへん大きな脅威になると思います。
●対策
・パスワードの文字数や文字種を増やす
・ログイン試行回数に制限をかける
・二要素認証の導入(指紋、ICカード、スマホなど)
・ワンタイムパスワード
② 辞書アタック攻撃(Dictionary attack)
辞書ファイル(地名・人名等)を使用して、パスワードが辞書に載っている単語と同じならすぐに解読されてしまいます。生年月日や電話番号は危険です。
●対策
・パスワードの文字数や種類を増やす
・ログイン試行回数に制限をかける
・二要素認証の導入(指紋、ICカード、スマホなど)
・ワンタイムパスワード
③ ソーシャルエンジニアリング(Social engineering:社会工学)
電話で聞きだしたり、パソコン画面を盗み見したり、ゴミ箱をあさったりして不正にパスワードなどの情報を盗み出すアナログ的な手口です。
●対策
・パスワードなどが書かれた書類はシュレッダーで処分する
・パスワード付きのスクリーンセーバを導入する
・パスワードは絶対に他人に漏らさない
④ フィッシングサイトへの誘導(Phishing:詐欺)
実在の企業からの正規なメールやウェブページを装い、IDやパスワードをだまし取る手口です。AMAZON、楽天などを騙った詐欺メールが多いです。AMAZONのアカウントサービスのメッセージセンターでAMAZONが発信したメールを閲覧できますので詐欺メールか確認できます。
●対策
・ブラウザのSSLの鍵マークを確認する
・メールの送信者は偽装できるので信用しない
・カード番号や暗証番号を入力するような依頼がメールで来たら詐欺です
⑤ キーロガープログラム(Keylogger)
キーボードからの入力を監視して記録するソフトです。プログラム開発用のツールでしたが、近年では、パスワードの盗難に悪用されています。自宅のパソコンにも知らないうちに仕掛けられてパスワードを盗み見されるということもありますので注意が必です。特にインターネットカフェなどのPCに仕掛けられていることが多いので気をつけてください。
●対策
・セキュリティソフトを導入する
・PCのUSB端子や電源タップにキーロガーデバイスがないかチェックする
・インターネットカフェやホテルのロビーのパソコンではパスワードを入力しない
■ 明るい話題
● 世界的に猛威を振るっている「エモテット」摘発のニュース
世界中で猛威を振るっていたコンピューターウイルス、「エモテット」について、今年の1月にEUの刑事警察機構が国際的な合同捜査をした結果、ウイルスのネットワークを摘発したと発表しました。2014年に登場した「エモテット」は、現在までに日本を含め、世界的に大きな被害を与えてきたコンピュータウイルスです。今回の摘発は、法人、個人を問わず全てのインターネット利用者の安全に大きく寄与するものだと思います。
https://www3.nhk.or.jp/news/html/20210129/k10012838301000.html
■ まとめ
普通に使っているときには分かりませんが、複雑化するインターネットには、どこにも危険性が潜んでいます。駐輪場に鍵をかけないで自転車を置いたら、かなり高い確率で盗難に遭います。セキュリティ侵害に遭うかどうかも確率の問題で、その確率を如何に少なくするかがセキュリティ対策であると思います。転ばぬ先の杖、備えあれば憂いなしの諺のとおり、日頃から情報セキュリティに関心を持って、何もない時からの対策が重要です。セキュリティ対策を万全にして枕を高くして眠りましょう。