情報ネットワーク15
-情報ネットワークの危険
--通信中に起こり得る危険
---通信中のデータが不正コピーされて個人情報を盗聴される
---通信中のデータが盗まれて,情報を不正に書き換えられる
--外部から侵入されたり,攻撃をかけられたりする危険
---不正アクセス
---DoS攻撃
---コンピュータウイルスの侵入
--ユーザ自らがアクセスすることにより起こり得る危険
---ワンクリック詐欺
---スパイウエア
---フィッシング詐欺などによる個人情報の流出
---スパムメール
---架空請求メールなどの迷惑メール
---ダウンロードや,メールの添付ファイルから,コンピュータウイルスが侵入
-データの盗聴
--通信の途中にデータが盗まれること
---IDやパスワード,IPアドレスなどの個人情報を盗まれる
-データの改ざん
--通信中のデータを盗まれて情報を不正に書き換えられる
-盗聴の方法
--パケットキャプチャツールの悪用
---ネットワーク上を流れるパケットをすくい取り,表示してくれるツール
---該当する受信先のMACアドレス以外のコンピュータでは,届いたデータを自分宛ではないと判断して,自動的に破棄
---宛先が自分のMACアドレス宛でなくても,データを受け取ることができる
--MACアドレス・スプーフィング
---spoof=だます
---スプーフィング= ネットワーク上で他人になりすまして活動する
---自分のMACアドレスを書き換えて,他のコンピュータになりすます
--MACアドレス・オーバーフロー
---異なるMACアドレスを含んだイーサネット・フレームを,特定のネットワークに大量に送りつける
---MACアドレステーブルを保持するための,スイッチングハブのメモリがあふれる
----MACアドレスとポートの対応関係が記憶できなくなる
---スイッチの誤動作が起こり,すべてのポートにデータを送信される
--ソフトウエアの不具合などを悪用して不正にアクセス権限を取得
---セキュリティホールといわれるソフトウエアの欠陥や脆弱性を悪用
---窃盗したパスワードを使って不正に侵入する
---総当たり攻撃を仕掛ける
-DoS攻撃(Denial of Service attack)
--外部から大量のデータを送りつける
--通信量を増大させ,サーバなどの機器に過剰な負担
-DDoS攻撃(Distributed Denial of Service attack)
--不正アクセスして,乗っ取った複数のコンピュータを踏み台に,DoS攻撃
-1999年に不正アクセス禁止法が成立
-マルウエア
--コンピュータウイルス,スパイウエアなど,他者に被害を与える目的で作られたソフトウエアの総称
--Webページに1回アクセスすると入会完了の知らせなどとともに利用料金を請求される
--個体識別番号や,IPアドレスなどが個人情報として書かれている
-スパイウエア
--キーボード・マウスからの入力や,Webブラウザの閲覧履歴などのユーザの行動や個人情報などを,情報収集者である特定の企業や団体・個人に自動的に送信するソフトウエア
--不必要なポップアップウィンドウの表示,ホームページURLの不正設定などの不正動作をする
-ランサムウエア(身代金要求型ウイルス)
--感染した端末を勝手に暗号化する
--元に戻すことと引き換えに「身代金」を要求するウイルス
--金融機関などのWebサイトを装った詐欺サイトにユーザを導いて,暗証番号やクレジットカードの番号などを,入力させて盗みとる
-クリックジャッキング
--本来のWebサイトを透過させて見えない状態にし,見た目では別の無害のWebページだと誤って認識させる
--不特定多数のユーザに対して,営業目的のメールを一方的にかつ大量に送りつける
-架空請求メール
--使用した覚えのないWebサイトの使用料などを要求する
-コンピュータウイルス
--他のファイルにとりつく,自己増殖する,自動的に実行される
--ワーム
---単独のファイルとして存在し,自己増殖する
--トロイの木馬
---一見便利なプログラムのように見せて,悪さをする
--マクロウイルス
---はワードやエクセルのマクロ機能を悪用する
--スクリプトウイルス
---簡単に不正プログラムを実行
--ボット
---遠隔操作によって,コンピュータを乗っ取る
-暗号化
--データをある法則に基づいて加工し,第三者が容易に読めないようにする
---データの送信側が「鍵」と呼ばれる値を使って暗号化
--元に戻すことを復号
---受信側は「鍵」を使って復号
--暗号化と復号では異なる「鍵」を使うこともある
-電子署名
--データが改ざんされていないかを判断する仕組み
--メッセージダイジェスト
---送信側でデータを特殊な方法で数値化
--電子署名
---メッセージダイジェストを暗号化
--その後,電子署名とデータを送信
--電子署名を復号し,メッセージダイジェストを取り出す
--送信側と同じ方法でデータを数値化し
--復号したメッセージダイジェストと等しければ,改ざんがなかったと判断
-電子認証局(CA)
--通信相手の身元を保証することで,通信の信頼性を高める
--第三者が本人性を,証明書を発行することで証明する
--申請者が「信頼できる第三者」たる電子認証局(CA)に電子証明書の発行を依頼
--住民票確認や代表電話経由の在籍確認で申請者が本人であることを確認
--ペアの秘密鍵Aと公開鍵Bを生成
--秘密鍵AはICカードなど秘匿性の高い媒体で,本人以外に知りえないかたちで申請者に提供
--公開鍵Bは電子証明書に含めて公開できるように申請者に対し発行
-セキュア
--暗号技術を用いて,通信路の途中の盗聴や改ざんを防止することにより,通信の安全性が保障された状態
-セキュア通信プロトコル
--TCP/IPの階層間で使う
--ある階層に含めて使う
--既存のプロトコルと組み合わせて使う
-SSL(Secure Sockets Layer)
--アプリケーション層とトランスポート層の間に位置する通信プロトコル
---ネットワーク上でお互いを認証できるようにする
-SSH(Secure Shell)
--TELNETなど遠隔ログイン時の通信を暗号化する通信プロトコル
--アプリケーション層に属する通信プロトコル
-IPsec(IP security Architecture)
--HTTPに対して,SSLによる暗号化通信機能を追加
--インジケータ部分に,暗号化通信中であることを示す鍵マークが表示
--外部のネットワークから送られてくるデータを制御する機能をもった,ハードウエアおよびソフトウエア
---LANの入り口に設置すれば,LAN全体を守る
---ルータにも,ファイアウォールの機能が備わってる
--アプライアンス
---特定の目的をもつコンピュータ
--パーソナルファイアウォール
---個々のコンピュータに設置するファイアウォール
--ヘッダの内容に応じてチェック項目を設け,それらをクリアしたデータだけを,上の階層に渡す
---ネットワーク層
----許可されたIPアドレス以外のデータは受け付けない
---トランスポート層
----決められたポート宛以外や,確立していない相手からのデータは受け付けない
---アプリケーション層
----決められた形式のファイル以外は受け付けない
-情報セキュリティポリシー
--企業や大学などの組織において実施する情報セキュリティ対策の方針や行動指針
-DMZ(DeMilitarized Zone,非武装地帯)
--インターネットからの接続を許可するネットワーク
---サービス提供用のサーバのネットワークと,学内ネットワークを切り分ける
---被害をDMZ内にとどめる
-IDS(Intrusion Detection System)
--データの動きを監視して,危険と思われるデータを発見
-IPS(Intrusion Protection System)
--侵入検知システム
-プロキシサーバ
--サーバからのレスポンスのデータを受け取って,各コンピュータに渡す
---内部のネットワーク内の各コンピュータを,外部のサーバからわからないようにする
--外部のサーバからの,セキュリティ上好ましくないデータを遮断する
-セキュリティパッチ
--OSやアプリケーションに,セキュリティホールが見つかった時の対処のための追加プログラム
-検疫ネットワーク
--社内LANに接続する前に,コンピュータを検査し,安全を確認したコンピュータだけを社内LANにつなぐ
--アプリケーションを勝手にダウンロードできないようにする
-WEP方式
--4種類(WPA-PSK(TKIP), WPA-PSK(AES), WPA2-PSK(TKIP),WPA2-PSK(AES))
--WPA や WPA2のパーソナルモードでは,接続するコンピュータと無線LAN のアクセスポイント(親機)の双方に,あらかじめ共通鍵を設定しておく
--共通鍵をPSK(Pre Shared Key)
-WEP(Wired Equivalent Privacy)
--共通の暗号化キーを使用して,アクセスポイントと各端末間のデータを暗号化して通信する
-TKIP(Temporal Key Integrity Protocol)
--暗号化アルゴリズム
--通信中でも暗号化キーを変更し続ける
--MACアドレスフィルタリング
---登録したMACアドレスを持つ機器だけを接続する
-AES(Advanced Encryption Standard)
--通信中でも暗号化キーを変更し続ける
--ハードウエアで暗号化
--暗号化アルゴリズム