20151210 吉備創生カレッジ第2回資料
TRANSCRIPT
インターネットの仕組み第 2 回:インターネットに潜む危険國島丈生(岡山県立大学)Email: [email protected]
2015.12.10
2
WWW吉備創生カレッジ「インターネットの仕組み」
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
3
WWW ( World Wide Web )• Web :クモの巣• Web ページが互いにリンクで繋がっている様子をクモの巣に例えた
• 比較的新しいインターネット技術• 1991 年, CERN (欧州合同原子核共同機構)で開発
• 現状• 最もよく利用されているインターネット技術• Web ブラウザ以外にも様々なところで利用(スマートフォンのアプリなど)
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
4
WWW の仕組み
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
1. ページの取得要求2. ページ( HTML )を送信
3. ページ中の画像、プログラム等の取得要求4. 送信
5. ページの整形
5
WWW のここだけは知っておこう• Web ページの素材はあちこちのサーバに分散していてもよい
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
テキスト
画像
6
WWW のここだけは知っておこう• リンク• <a
href=“http://another.example.com/”>http://www.example.com</a>
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
7
WWW のここだけは知っておこう• HTML フォーム:ユーザからの入力をサーバに送る手段
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
<form method=“post” action=“http://example.com/another_url”> <input type=“text” name=“user_id”> <input type=“hidden” name=“title” value=“1”> <input type=“submit” value=“ 送信” ></form>
“hidden” と指定された項目はブラウザに表示されない
8
WWW のここだけは知っておこう• ブラウザでプログラムを動かす• ユーザ操作などのタイミングで, JavaScript というプログラミング言語で書かれたプログラムを実行させることができる
• 例
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
$(function() { $('#click').click(function() { $('#text').toggle(); });});
9
WWW のここだけは知っておこう• 電子メールに装飾をつけると• 字を大きくしたり• 色を変えたり
• 電子メールの本文は WWW と同じように表示されています• 電子メールの本文は HTML で書かれる( HTML メール)• リンクも使えてしまいます
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
10
セキュリティ吉備創生カレッジ「インターネットの仕組み」
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
11
セキュリティ( security )• 意味:安全確保,機密保護• コンピュータセキュリティ• コンピュータを災害,誤用,不正な利用から守ること
• 関連用語• セキュリティホール:ソフトウェアのバグのうち,不正利用を可能としてしまうもの• クラッキング:外部からコンピュータへの(通信を用いた)攻撃• ファイアウォール:クラッキング防止のために設置される,通信を制限する機器・ソフトウェア
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
12
セキュリティ侵害の目的• 昔…いたずら,興味本位 etc.• 今• 営利目的:取得した情報から金銭的な利益を得る
• ランサムウェア( ransomware ): PC 上のファイルを犯罪者が暗号化、復元と引き換えに身代金を要求• 社会的な目的:他サイトへの攻撃の足がかり
• 攻撃に成功した個人パソコンを手下にする• SPAM メール配信, Web サイトへの DoS 攻撃など
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
13
インターネット上の危険性
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
攻撃(クラッキング)
14
攻撃の方法•起点はセキュリティホール• セキュリティホールを利用して,コンピュータの管理者権限を奪い,乗っ取り(外部から制御可能な状態にする)
• セキュリティホールの利用方法• コンピュータウィルス,マルウェア( malware )
• 不正な形式の添付ファイル付きメール、不正な動的 HTMLページなど• ポートスキャン
• アプリケーション層の通信を総当りで試し,セキュリティホールのある通信ができないか調べる• ファイアウォールによる通信の制限が有効
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
15
偽装の手口• 電子メール• From (差出人アドレス)、 To (受取人アドレス)などは簡単に偽装できる
• ファイルの種類(拡張子)• 文書 .doc, 文書 .xls など• Windows では
• 拡張子によってファイルをクリックした時の動作が決まる(ファイルのアイコンは関係ない)• 標準では拡張子は表示されない
• 偽装が容易に可能2015/12/10 平成 27 年度後期「吉備創生カレッジ」
16
偽装の手口• ファイル名(拡張子)の偽装• 文字を「右から左へ」読ませるための制御データを悪用
• 本来はアラビア文字などをコンピュータで扱うための機能
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
(画像は http://www.ipa.go.jp/security/txt/2011/11outline.html より引用)
17
インターネット上の危険性
2015/12/10 平成 27 年度後期「吉備創生カレッジ」サービス提供者
クラッキング• ユーザ情報の取得• 罠を仕掛ける
18
インターネット上の危険性
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
盗聴改ざん
サービス提供者
19
インターネット上の危険性
2015/12/10 平成 27 年度後期「吉備創生カレッジ」サービス提供者
なりすまし
20
HTTPS: 暗号化された通信
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
21
セキュリティ対策•万能の対策はない• いくつかの対策を併用する• OS ( Windows など)のセキュリティ修正を適用• Web ブラウザで使用するソフト( Flash, Java など)も適宜更新を• (信用できる)セキュリティ対策ソフトの導入
•ご自身の知識も適宜更新してください• 日進月歩で状況が変わっていきます
2015/12/10 平成 27 年度後期「吉備創生カレッジ」
22
応用: Yahoo!Japanウェブメールを利用したフィッシング吉備創生カレッジ「インターネットの仕組み」
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
23
Yahoo! ウェブメールが起点
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
24
偽のログイン画面
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
25
間違ったパスワードを入れると
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
26
正しいパスワードならログイン成功
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
27
カード番号の入力を求められる
2015/12/10 平成 27 年度後期「吉備創生カレッジ」http://takagi-hiromitsu.jp/diary/20041205.html より引用
28
ポイント•起点は Yahoo! ウェブメールのセキュリティホール• HTML メール中に JavaScript プログラムが埋め込まれていた• その結果, Yahoo! のページの中身がまるごと偽サイトのページで置き換えられた
•偽装の巧妙さ• ページデザインもそっくり• Yahoo! のユーザ Id とパスワードで擬似認証
2015/12/10 平成 27 年度後期「吉備創生カレッジ」