1

中央大学、後楽園キャンパス２００６年８月１９日２００６年８月１９日

森井昌克森井昌克morii@eedept.kobe-u.ac.jp

（神戸大学神戸大学 工学部工学部）

ネットワークセキュリティ

不正アクセス、ウイルス、etc

情報セキュリティ人材育成講座

新しい社会時間と空間を越えた新しい社会の形成

– 地縁社会と仮想社会（ネットワーク社会）

• 従来からの地縁社会から見た仮想社会という捉え方では限界である。

• 仮想社会は認められるべき！

–– 仮想社会は仮想でない！仮装した現実社会？仮想社会は仮想でない！仮装した現実社会？

異文化への畏れ（恐れ）異文化への畏れ（恐れ）

理解できないもの、異質なものの排除が前提になっている

2

ネット社会の未来を探る

NHK:サイエンスZERO– 2006年3月18日放送

視点– SNS（コミュニケーショ

ン）

– 情報家電

– セキュリティ

2006年総務省情報通信白書

3

2006年総務省情報通信白書

2006年総務省情報通信白書

4

新しいマスメディアの誕生

双方向のマスメディア– 仮想的なOneToOne– 双方向のBroadcast

• 「自分だけは…」というより「自分も」

• いくつもの照準が自分に向けられている社会

– 情報化社会は双方向

• ユビキタス社会– 「いつでも、どこでも、誰とでも（誰からでも）」

被害を受ける

情報セキュリティの問題

コンピュータウイルス

スパムメール

フィッシングメール

BotBotを含めて不正アクセスの問題を含めて不正アクセスの問題DDoS等の特定サイト攻撃や国家レ

ベルのサイバーテロ

さらに広く情報の不正制御の問題

5

今回の講演要旨（中心課題）

いくつかのマルウェア（マルコード）を題材に、その要因と防御技術、限界、課題を与える。

はじめに

福島県職員採用試験合格者番号、発表前日に漏洩

なぜ、続発するのか？

捜査情報流出は6200人分、愛媛県警が

警部などを処分

なぜ、勘違い甚だしいのか？

6

スパムメールスパムメール

スパムメールは悪の温床！？

巧妙化するスパムメール

– すべてのインターネット詐欺の入り口といっても過言ではない

サクラの誘惑 あなたに

7

スパムメールは悪の温床！？

巧妙化するスパムメール

– すべてのインターネット詐欺の入り口といっても過言ではない

インターネット上のメールの９５％以上はスパムメール– トラフィックの９０％以上はP2P不正ファイル交換？

フィッシングメールも

– ファーミング詐欺

– パーソナルフィッシング

フィッシング

Webサーバ

閲覧

不正に操作するように誘導して

8

国内のフィッシング事例1

国内のフィッシング事例1

9

国内のフィッシング事例２

写真: 時事通信社

国内のフィッシング事例3

10

国内のフィッシング事例4

出典：株式会社ジェイ・エヌ・エス（http://www.jns-online.com/etc/dummy_web.html）

国内のフィッシング事例4

出典：株式会社ジェイ・エヌ・エス（http://www.jns-online.com/etc/dummy_web.html）

11

国内のフィッシング事例5

フィッシング対策？

個人の資産を守るならユーザ認証よりもサイト認証

相互認証の必要性

ネットワーク上の認証方式、およびそれに基づくアクセス管理、セッション管理が重要

生体認証やパスワード等の個別認証技術も大事だが…

12

閲覧者

改ざん者

DNSサーバ

ＩＰアドレスの問い合わせ

ドメインネームとIPアドレス

の対応を変更

本来ＤＮＳが指すＷｅｂサーバ

正規のページ

改ざんページ

ＤＮＳが指すＷｅｂサーバ

②

③

③’

①

DNS攻撃

意図しているページと異なるページを見せる

13

不正アクセス不正アクセス

Password Monitoring Password Monitoring AttackAttack

パスワードの盗聴passwdファイルを手に入れる

一つのアカウントとそのパスワード

セキュリティホールを利用してルートに成りすます

パケットダンプをする．telnet,ftp,rlogin等の先頭１２８バイト

足跡を残さず，後日回収

ファイアウォールシステムに打ち勝つ一般的な方法であり、その他の攻撃方法のベース

送信パケットを出力ポートのみフィルタできるパケットフィルタでは特に危険

IPアドレス・スプーフィング

192.168.11.0/24

192.168.10.0/24ルータ

攻撃者

偽造されるコンピュータ

192.168.10.201インターネット

From: 192.168.10.201To: 192.168.11.88

TCPシーケンス番号攻撃

パケットフィルタ方式をベースにしたファイアウォールを迂回する方法

TCPコネクションを確立するときの３段階のハンドシェイク・シーケンスとIPアドレス・スプーフィングを利用

偽造IPパケットを外部から内部のコンピュータに送信できることが前提

クライアントＡとリモートサーバＢの通信

ＡがＢにコネクション開設要求

A->B: SYN(SNa)ＢはＡに対して応答

B->A: SYN(SNb),ACK(SNa)ＡがＢに対して応答し、ハンドシェーク完了

A->B: ACK(SNb)

ICMP（インターネットコントロールメッ

セージプロトコル）攻撃

IPの必須な部分

相手先までのより適した経路をホストに知らせる

経路のトラブルを報告する

ネットワーク障害の発生時に接続を終了させる

ネットワークを使用不能にする

ルーティング経路を変更することにより、システムを崩壊させる

RIP（Routing Information Protocol）攻撃

ルータ

マシンＢ

マシンＡ

攻撃者Ｘ

正常

盗聴されている

RIPとはネットワーク間のルー

ティング情報を交換するためのプロトコル

攻撃者ＸはＡのIPアドレスを装い、不正なRIPパケットをBの

ネットワークに送出

IPアドレススプーフィングパケッ

トをブロック

既存のルートを容易に変更できないようなルータの設定

閲覧者

改ざん者

DNSサーバ

ＩＰアドレスの問い合わせ

ドメインネームとIPアドレス

　　　の対応を変更

本来ＤＮＳが指すＷｅｂサーバ

正規のページ

改ざんページ

ＤＮＳが指すＷｅｂサーバ

②

③

③’

①

DNS攻撃

意図しているページと異なるページを見せる

14

DoS 攻撃33%

Buffer Overflow30%

辞書攻撃21%

Port Scan16%

攻撃手法の分析

: 攻撃の初期段階における調査• Port Scan: ユーザの権限を奪う攻撃• 辞書攻撃

: 計算機や回線のリソースを奪う攻撃• DoS 攻撃: システム権限を奪う攻撃• Buffer Overflow

各攻撃の比率を表した図

Buffer OverflowPort Scan 辞書攻撃 DoS 攻撃

■分析結果

■予想される不正侵入の手口

偵察段階 攻撃段階 占拠段階

順序

分類

ファイアウオール

ファイアウオールは「御札」ではない！

基本的に何も通さない

– 必要最小限の機能

• 最大限のセキュリティ

ログ管理

ユーザ管理

ＬＡＮＬＡＮ

15

IDS（侵入検知システム）

外部および内部からの侵入を検出し、報告する。

– リアルタイム検出

– 報告の結果、防御を積極的に行う

技術

– 履歴の分析、パケット分析、アクティビティ分析

IDSの動向

IDP(Intrusion Detection and Prevention)– 侵入検知防止

IPS（Intrusion Prevention System)– 侵入防止システム

各種ネットワーク機器およびセキュリティ機器との連携

ネットワークを越えた各IDSの連携

16

脆弱性検査不正アクセスが社会問題化– OSのセキュリティホールを狙ったウィルス感染– インターネットサーバの脆弱性を利用したクラッキング

・Maiｌ (SMTP) サーバ

・Web (HTTP) サーバ

・DNSサーバ

インターネットサーバのセキュリティ確保– サーバソフトウェアの脆弱性情報の収集– サーバソフトウェアのバージョン管理– サーバソフトウェアのアップデート

脆弱性検査ツール– SATAN, ISS, Nessus– 専門的な知識を必要とする

外部からのアクセスを許可（トランスポート層レベル： 通信許可）

管理者の負担

十分な知識を持たない管理者は利用困難

既存の脆弱性検査ツールNessus

SATAN (Security Administrator Tool for Analyzing Network )

ISS (Internet Security Scanner)

・Well-knownポート以外のサービスも検出・Pluginの導入で検査項目を追加可能

・専門知識の乏しい者にはわかりずらい・検査方法がホストへの攻撃とみなされる

■ ポートスキャン■ 擬似攻撃 etc…

長所長所

短所短所nCircle IP360 Network Exposure Management System

IP360はリアルタイムで検査が可能な上、数値化されたリスクレ

ベルと共に必要な対応策を含めて脆弱点を表示するので、管理者の作業負荷を大きく軽減します。 …（中略）… このように、IP360はnCircleの独自技術を数多く用いることで、ネットワーク管理者の運用負荷を大幅に削減し、Network Exposure Managementを実現しています

17

FW/IDS(IPS)/脆弱性検査

不正アクセス（ウイルスが原因による不正行為含む）を如何にして防ぐか？

不正アクセス/脆弱性を検出• 「異常」を如何にして検出、判定するか？

センサ 情報（システムの情報（システムの現状）を得る現状）を得る

異常検出

パケット？ どこに？信頼性は？ 等

何を使う？

方法は？ リアルタイム性？

コンピュータウイルスコンピュータウイルス

18

マリシャスコード

ウイルス

ブート感染型

マクロウイルス

ファイル感染型

ワーム

自己起動型

ユーザ起動型

トロイの木馬

キーロガー

バックドア

サービス拒否攻撃

ジョークプログラム

アドウェア

ダイヤラー

ハッキングツール

セキュリティリスク

スパイウェア

コンピュータウイルス

最近のコンピュータウイルスの傾向– ネットワークからの感染

– 新しいタイプのウイルス

• 悪性（突然変異型）ウイルス

• ポリ/メタ モーフィック・ウイルス

コンピュータウイルスの定義

対策

メリッサ、チェルノブイリ、ラブレター 、Nimda、W32.Badtrans、W32/Klez, Blaster,NetSkyの後は？– 「愉快犯」的でないタイプ

– 「トロイの木馬」タイプ

ひそかに潜伏するタイプ

MalwareMalware((マルウェア）マルウェア）

Botが代表か？

19

ウイルスの動向

メール添付が主流（従来からの傾向）

Windowsの脆弱性を利用– NetSｋｙ、Chir、Sasser,Bobax,Blaster

SMTP– NetSky, Mudoom、Bobaxアドレス詐称

バックドア– NetSky.Q

特異なウイルス

Antinny（アンチニー）

欄検眼段：リャンクーガンドゥ– 「情報セキュリティ」的にも深い意味を持つ

不正アクセスを伴うウイルス

病院･自治体等で個人情報･機密情報流出– 秋田県湯沢市（1万1225人）、東京医科歯科

大学 等

20

コンピューターウイルスコンピューターウイルス

最近は、プログラムの欠陥を利用して、感染や不正アクセスを行う、非常に悪質なウイルスが流行している

セキュリティホール

製作者が予期しないプログラムの動作

感染しているか否かわからない

他人に被害や迷惑を加え、自分の秘密データの漏えいも…

セキュリティホールをはじめとするシステムの欠陥（脆弱性）を利用して、不正アクセス（盗聴やウイルスを含む）を行う

システムの脆弱性を把握する必要システムの脆弱性を把握する必要

ステルス自分自身の存在を隠すテクニック（ユーザーやウイルス対策ソフトを騙す）

感染により増大したファイルサイズの隠蔽

タスクマネージャにプロセスが表示されない

レトロウイルス

ウイルス対策ソフトやウイルス解析ツールを無効化する

ウイルス定義ファイルの削除やサービスの停止を行う

インターネットアクセスをブロックする（ウイルス定義ファイルを更新させない）

21

暗号化、ポリモーフィック感染するたびにウイルスコードを変化させる

ウイルスコードが変化するためパターンマッチングでは発見できない

メタモーフィックUndetectable Virus Technology

Zombie（ロシアのウイルス作者）が「Total Zombification」マガジンで発表

W95.ZMistAnti-heuristics virusウイルス本体を無限に変化させる

復号化ルーチンがない（必要ない）

これからのウイルス

•不正アクセスの自動化（ロボット）

•技術的な要件だけでなく、社会的な要素も利用

新しいウイルスは既に開発されている新しいウイルスは既に開発されている

世に出ていないだけ！！世に出ていないだけ！！

22

BOT

ウイルスは目的から手段に！

– 不正アクセスの有効な手段

– コンピュータ自身が協調して不正アクセス

• BOTネットワーク

23

24

ウイルス解析者による解析処理との比較

ウイルスファイル

[Step2:]ブラックボックス解析 ウイルスの挙動解析

（バイナリデータ）

!This program can $UPX0.rsrc+T%[pmk*¥

ワークステーション

システムファイル/レジストリの改ざんネットワークアクセス使用ポート

[Step3:]ホワイトボックス解析 ウイルスの詳細な解析

00401000 push ebp00401001 mov ebp,esp00401003 sub esp,14h00401006

実行

[Step1:]使用文字列による解析 ウイルスの大まかな解析

逆アセンブル

ウイルス特有のコードWindowsAPI

発症条件，タイミング，etc

ウイルス、OS、ネットワーク、アセンブル等の知識・技術が必要

ウイルス解析者による解析処理との比較ウイルス解析者による解析1:文字コードによる解析2:ウイルスの挙動解析3:逆アセンブルによる解析

提案システム1:メモリ展開コードの取得

2:文字コードによる解析

3:使用関数情報による解析

4:ウイルス特有挙動の詳細解析

大まかな挙動解析

詳細な解析

プロセス着目し，プロセスの逆アセンブルコードを取得

逆アセンブルコードの処理手順、WindowsAPI/DLLによる解析

ウイルス特有コードを利用した詳細解析

逆アセンブルコード内の文字コード取得による解析

25

コンピュータウイルス等の研究基盤の構築

ウイルス検体のデータベース– 検体の収集– 漏洩事故を防ぐ不活性化処理

発症実験用模擬ネットワーク– 100台規模の仮想PCによる模擬

ネットワーク

ウイルス感染メカニズム分析プログラム

– ログの収集と分析機能（2004年度）

– ログの相関分析機能（2005年度）– コード解析機能（2005年度）

– 分析結果レポート出力機能（2005年度）

26

風説の流布：風評被害、風説の流布：風評被害、そして情報操作そして情報操作

情報漏えいの原因

ウイルスに感染したからとか、パソコンが盗難にあったからという理由は根本的原因ではない

何が根本的原因なのか？

– まず第一に「ネット社会（新しい社会）」を身をもって理解していない

– 情報の価値を理解していない

では、対策は？ないとはいえないが、かなり困難

27

不正な情報公開（誹謗・中傷）

不正に得られた個人情報、プライバシーの公開

不正アクセス、あるいはそれに関するサイト情報

誹謗・中傷不正アクセス以上に企業、組織、個不正アクセス以上に企業、組織、個人に大きなダメージを与える可能性人に大きなダメージを与える可能性

超高速、広範囲に流布超高速、広範囲に流布

ネット上での情報を自ずから監視する必要性ネット上での情報を自ずから監視する必要性

佐賀銀行デマメール事件

不正な情報操作

JMN– 結果的に掲示板等で情報操作

その他

28

むすびにかえてむすびにかえて

森井教授の紙上特別講義朝日新聞 2005年9月19日～10月3日 全3回

（第一回）

– 便利さの裏で広がる犯罪個人情報 自ら守る姿勢を。

（第二回）– 現実とのかかわり

その光と影 理解できる力を。

（第三回）

29

宣伝会議宣伝会議

2005年8月15日号

ユビキタスネットワークによるコミュニティは、産業革命から現在でも主流であった「物質」の生産、販売に大きな影響を与え

る可能性がある。「物質」の所有から利用へのパラダイムシフトである。物を「いつでも、どこでも」使用できることは、必ずしも所有の必要性は無く、それ以上に所有することは困難である。したがって、「利用」することのみを追求するであろ

う。利用するための権利の授受をコミュニティを通して行うサービスが期待される。 … 安全と安心を担保するため

の仕組み、言わばインターネット社会でのセキュリティサービス、エージェントサービスが必要となろう。

ユビキタス社会のセキュリティ意識

•巻頭言

無知の知。広辞苑（岩波書店）によると、それは「自分の無知を自覚することが真の知に至る出発点である」というソクラテスの認識論的自己反省である、と表わされている。ネットワーク社会におけるセキュリティの問題の第一はセキュリティ意識の欠如であり、その根本原因は、この「無知の知」の欠如であろう。

•機密情報の流出、多くは不注意から

•情報に対する意識は旧態依然のまま

•情報の洪水と情報の価値

•自組織以外の情報にも細心の注意を

•情報の「管理」と「監理」を怠るな

30

ユビキタス社会のセキュリティ意識

•情報の「管理」と「監理」を怠るな

建設業界において「管理」と「監理」は同じ意味とはならないそうである。管理とは、…情報を扱う者と扱われる者（対象とされるもの）がそれぞれ情報

に対して意識を高め、情報の価値とそのセキュリティ意識に対する無知の知を自覚すべきであろう。さらにそれぞれが、情報を管理する必要があり、ユビキタス社会である今、すべての組織、個人がそれぞれ管理と監理を両方ともに、そして双方が行なうことを必要とするのである。管理と監理を怠ることによるリスクは想像以上に大きいのである。ユビキタス社会はすべての人に多大の恩恵を施すと同時に、悪人にも想像以上の恩恵を施すことを忘れてはならない。

千慮の一失千慮の一失

古代中国の兵法書である孫子の一節、「知彼知己、百戰不殆」は「敵を知り、己を知れば百戦危うからず」と訳され、特にネットワークセキュリティの分野では、副題となっているテキストすら見受けられます。敵が不正アクセスを試みようとする輩であり、その手口を指します。また生物学的なウイルスと同様、その存在が定常化したコンピュータウイルスやワームも対象となります。己とは、当然、守るべきシステムや情報資産、それにそれらを扱う人間を指すわけですが、この後者に重点を置いてネットワークセキュリティの兵法書、特に技術的な指南書はないようです。もちろん、ISMS等、セキュリティ基準は、己を

知ることに通じるのですが、防御策としての対策であり、積極的な対策とはなっていません。己を知ることは、己の己を知ることは、己の弱点をしっかり把握すること弱点をしっかり把握することなのです。

31

個人情報保護法が完全に施行された最近でさえ、個人情報を始め、企業・組織の機密情報が漏洩しています。そのほとんどが、積極的な攻撃、つまり不正アクセスによる情報搾取ではなく、情報を扱う人の不注意による漏洩です。今年になってから現れた「欄検眼段（リャンクーガンドゥ）」と難しい名前のウイルスでは、Winny（ウイニー）と

いうファイル共有ソフトウェアを利用している場合にだけ感染します。このウイルスに感染すると、自動的に画像ファイルを探し出して、そのファイルを不特定多数の人が見れるように、いわゆるファイル共有をしてしまうのです。情報をどのように暗号化していようが、それを解読した内容をファイル共有するようなウイルスも存在します。「スクリーンショット」と言って、パソコンの画面に映し出されている映像を、自動的に数秒から数十秒毎に切り取って（撮影して）、不特定多数の人に向けて流出させるウイルスなのです。画面を切り取るわけですから、暗号化は無意味となります。これらのウイルスによって、実際、学校、地方自治体関係の個人情報が流出しているのです。Winnyはファイル共有システムとしては、すぐれたシフトウェアです

が、その利用については様々な問題を抱えています。セキュリティ上の欠陥があり、上記のようなウイルスを生む、そして感染させる温床となっているのです。にも関わらず、機密情報を扱うものがWinnyを

利用するというのは、無知無知もしくは不注意に他なりません。

ウイルス対策会社（アンチウイルスベンダー）が、そのウイルス定義ファイルの更新を誤り、不正な更新ファイルを誤って、利用者に配布し、コンピュータが正常に動作しなくなった事件は記憶に新しいところです。しかし、あえて、このウイルス対策会社を擁護すると、この事件は十分起こりえることであり、事前に対策を考えておくべきことだったのです。OSのパッチやソフトウェアのバージョンアップにおいて、優れた管理者

は、あえて即座に対応しないものです。その理由はそれらのインストールによって、己のシステムに悪影響を及ぼさないと言い切れないためです。特に商用サービスや企業の中核情報システムに関わるサーバの場合、憂慮しなくてはならないのです。ウイルス更新ファイルも同様であり、少ないながらもリスクを考慮しなければならないのです。最近はゼロアワーアタック（ZERO HOUR ATTACK）といって、ウイルスが最初に発見されてから1時間以内に全世界中に蔓延します。これを

防ぐためには数十分でウイルスを解析し、ウイルス検知ファイル（更新ファイル）とともにワクチンを作らなければならず、その時間短縮の競争が熾烈を極めており、今回のような事件を引き起こす原因となっているのです。

32

史記にある「千慮の一失」とは、十分に注意をしていたにも関わらず失敗を犯してしまうことです。セキュリティに「確実」あるいは「絶対」という言葉は存在しないと言われます。万が一に起こるというリスクを冷静に判断し、起こった場合万が一に起こるというリスクを冷静に判断し、起こった場合の被害を最小にするセキュリティ技術や運用方法を考えるの被害を最小にするセキュリティ技術や運用方法を考えるべきときべきときが来ています。先の「千慮の一失」は原文で、「智者千慮必有一失、愚者千慮必有一得」と表されています。意味は、「賢者でさえ、多くの考えの中では、失敗もあるものだが、逆に愚か者でも、多くの考えの中には、ひとつぐらい良い考えもあるものだ」となります。人を分け隔てすることなく、耳を傾けることが肝要であると解釈できますが、セキュリティの分野では、「いくら堅固なシステムを準備したとしても、セキュリティホールは存在し、思わぬ不正アクセスを被る場合もある」と解釈すべきでしょう。