2019/7/23 1

情報社会とセキュリティ（第14回）

産業技術科学科

多田 知正

htada@kyokyo-u.ac.jp

今日の内容

◼ VPN

◼ 検疫ネットワーク

◼ シングル・サインオン

◼ 電子透かし

◼ フィルタリング

◼ スパムメール対策

2019/7/23 2

2019/7/23 3

VPN

2019/7/23 4

LAN

外からLANにアクセスしたい

インターネットインターネット

外部からのアクセスを遮断

出張中の社員のパソコン

会社のLAN

2019/7/23 5

LAN

VPNとは

インターネットインターネット

外部のパソコンとLANをインターネットを経由して直接つないでしまう仕組み

VPN装置

2019/7/23 6

LAN

インターネットを通るということは

インターネット改ざんのぞき見

途中でのぞき見や改ざんの恐れがある

2019/7/23 7

LAN

パケットの暗号化

@!#%@^$

ajksd1-k(1/fajasw0jm&

パケットを暗号化して送る

2019/7/23 8

LAN

事実上の専用線

インターネット

物理的には存在しないが，事実上の（Virtual）専用線（Private Network）として利用できる→VPN

2019/7/23 9

LAN

当然ながら

インターネットインターネット

接続時にはきちんと認証を行う

パソコンYの公開鍵であることを証明します

認証

局印

VPN装置Xの公開鍵であることを証明します

認証

局印

2019/7/23 10

VPNとオレオレ証明書

VPN装置にアクセスするのは関係者のみ

オレオレ証明書でかまわない場合がある

2019/7/23 11

検疫ネットワーク

2019/7/23 12

パソコンの管理

パソコンのセキュリティを保つためには日常の管理が必要

何か？

• 技術的に難しい• 管理者の手がそこまで回らない

何もしないユーザ

会社でも最終的には各ユーザに任されている場合が多い

• セキュリティパッチの適用• ウィルス対策ソフトの導入• パターンファイルの更新

2019/7/23 13

外部でのウィルス感染

ユーザがノートパソコンを外部に持ち出したときにウィルスに感染する場合がある

何か？ 自宅でウィルスに感染

2019/7/23 14

ウィルスのLANへの持ち込み

ウィルスに感染したノートパソコンをLANに接続することでLAN内にウィルスが広まる

何か？

2019/7/23 15

パソコンを「検疫」する

事前にパソコンを確認し，「危険なパソコン」は中に入れない

あなたは入れませんね

そこを何とか

2019/7/23 16

検疫ネットワーク

LAN

検疫ネットワーク

ポリシーサーバ

パッチ・ウィルス対策サーバ

通常のLANの他に検疫用のネットワークを用意

2019/7/23 17

パソコンの接続

LAN

検疫ネットワーク

ポリシーサーバ

パッチ・ウィルス対策サーバ

パソコンがネットワークに接続される

2019/7/23 18

パソコンのチェック

LAN

検疫ネットワークあらかじめ設定されたポリシーに応じてパソコンをチェックする

• ウイルスに感染していないか？• OSなどのセキュリティパッチが適用されているか？• ウイルス対策ソフトなどのセキュリティソフトが稼働しているか？• パターンファイルは最新のものか？

:

2019/7/23 19

チェックにパスした場合

LAN

検疫ネットワーク

ポリシーサーバ

パッチ・ウィルス対策サーバ

LANへの接続を許可

2019/7/23 20

チェックにパスしなかった場合

LAN

検疫ネットワーク

ポリシーサーバ

パッチ・ウィルス対策サーバ

検疫ネットワークに隔離必要な処理を行う• セキュリティパッチの適用• ウィルスの駆除

2019/7/23 21

処理の終了後

LAN

検疫ネットワーク

ポリシーサーバ

パッチ・ウィルス対策サーバ

処理が終了した後にLANへの接続を許可

2019/7/23 22

シングルサインオン

2019/7/23 23

複数のWWWサービス

サービスごとにログインとパスワードを管理する

メールサービス 教務システム

教員情報データベース会計システム

パスワード管理が大変サービスごとにログインが必要

2019/7/23 24

ユーザ認証の一本化

ログインIDとパスワードを1つのサーバでまとめて管理

メールサービス 教務システム

教員情報データベース会計システム

認証サーバ

同じログインID，パスワードで全てのサービスにログインできる

2019/7/23 25

シングルサインオン

一度認証を受けるだけで，全ての機能を利用できるしくみ

メールサービス 教務システム

教員情報データベース会計システム

主に2通りの方法エージェント型リバースプロキシ型

2019/7/23 26

エージェント型

ユーザはログイン中特殊なクッキーを保持

認証サーバメールサービス

教務システム

会計システム

教員情報データベースサーバに組み込まれたエージェントが認証処理を行う

認証済

ログインIDやパスワードは含まない

2019/7/23 27

エージェント型

ユーザはアクセスの際にクッキーを送信

認証サーバ

教員情報データベース

認証済

認証済

認証済

エージェントは受け取ったクッキーを認証サーバに送りユーザ情報を受け取る

ユーザ情報

2019/7/23 28

リバースプロキシ型

リバースプロキシサーバ

ユーザはリバースプロキシを経由してアクセス

認証サーバメールサービス

教務システム

リバースプロキシで認証を行う

教員情報データベース

会計システム

2019/7/23 29

異なる企業間でのシングルサインオン

異なる企業が提供するサービス間でシングルサインオンを実現するのは難しい

これまでのものは組織内のWWWサービスについてのシングルサインオン

企業間でユーザ情報をやり取りすることになるため

企業間でのシングルサインオン

◼ OpenID Connect

◼ ユーザ情報を直接やりとりせずに認証を行う仕組み

◼ 「○○というサイトで認証された」という情報をやりとりする

2019/7/23 30

OpenID Connectの仕組み

2019/7/23 31

FacebookのIDでJimdoを利用する場合

JimdoにFacebookでログインを試みる

OpenID Connectの仕組み

2019/7/23 32

Facebookに対してユーザの認証情報を要求する

代わりに認証して

OpenID Connectの仕組み

2019/7/23 33

ユーザがまだFacebookにログインしていなければログインする

ID:hanapass:rands

OpenID Connectの仕組み

2019/7/23 34

Facebookは認証応答をJimdoに送っていいかユーザに確認する

送っていい？

OK!

OpenID Connectの仕組み

2019/7/23 35

認証応答をJimdoに送信

認証されてます

OpenID Connectの仕組み

2019/7/23 36

認証応答を検証する

偽物じゃないな

OpenID Connectの仕組み

2019/7/23 37

ユーザのプロフィール情報を要求する

情報を送って

OpenID Connectの仕組み

2019/7/23 38

プロフィール情報をJimdoに送信

OpenID Connectの仕組み

2019/7/23 39

Jimdoへのログインが完了する

電子透かし

2019/7/23 40

2019/7/23 41

電子透かし

デジタルデータに画質や音質に影響を与えずに情報を埋め込むこと

http://ja.wikipedia.org/

実際には目に見えないものが用いられる

不正コピーそのものを防ぐ効果はない

複製物に対して著作権を主張することが可能

フィルタリング

2019/7/23 42

2019/7/23 43

WWWフィルタリング

子どもが閲覧できるWWWサイトを制限する

参考https://www.daj.jp/cs/filtering/lessons/

フィルタリングサービス

◼ 有償のもの

◼ i-フィルター（デジタルアーツ）

◼ 無償のもの

◼ なし

◼ 以前は「Yahoo!あんしんねっと」というのがあった（2017/5/31終了）

2019/7/23 44

スパムメール対策

2019/7/23 45

2019/7/23 46

スパムメール対策

◼ スパムメールの問題を根本的に解決する方法は今のところ存在しない

2019/7/23 47

なぜスパムは防げないのか？

これだけ問題になっているのに今だに決定的な対策が打てないのはなぜなのか？

2019/7/23 48

メールのプロトコル

SMTP(Simple Mail Transfer Protocol)

メールを送るときに使われるプロトコル

すごく単純なプロトコル

2019/7/23 49

SMTPによる通信の例

220 mail.sfc.keio.ac.jp ESMTP Sendmail 8.9.3/3.7W-SFC; Sat, 5 Jan 2002 07:56:02 +0900 (JST)

HELO taro

250 mail.sfc.keio.ac.jp Hello ccz02 [133.27.4.214], pleased to meet you

MAIL FROM: taro@sfc.keio.ac.jp

250 taro@sfc.keio.ac.jp... Sender ok

RCPT TO: hanako@sfc.wide.ad.jp

250 hanako@sfc.wide.ad.jp... Recipient ok

DATA

354 Enter mail, end with "." on a line by itself

To: hanako@sfc.wide.ad.jp

From: taro@sfc.keio.ac.jp

Subject: smtp test

test

// taro

.

250 HAA11092 Message accepted for delivery

QUIT

221 mail.sfc.keio.ac.jp closing connection

出典：http://www.soi.wide.ad.jp/class/20010012/slides/11/30.html

2019/7/23 50

シンプルにも程がある

From：行が偽造されてないか確認しない

本文が偽造されていないか確認しない

本文の暗号化もしない

なーんにもしない

SMTPは，受け取った文章を，指定されたあて先に「書かれたとおりに」送るだけ

送信者が誰であるか確認しない

受信者が受け取りたいかどうか確認しない

2019/7/23 51

わかっているけど変えられない

プロトコルはみんなが守る約束

いちど広く普及したプロトコルを変えるのは非常に困難（それが重要であればあるほど）

メールは特に難しい→送り手と受け手の関係

新しい形式は受け取れない

かも

古い形式で送ってくる

かも

結局古い形式でやり取りする

2019/7/23 52

管理者の対策

◼ メールサーバで受け取らないようにする

◼ スパムの送信元をブラックリストに登録

◼ 自動的に振り分ける

◼ メール中の文字列を解析してスパムを判別

◼ たまに間違える

◼ スパムを見逃してしまう

◼ スパムでないメールをスパムと判定

◼ 勝手に振り分けるよりスパムであることを記載してユーザの判断に任せるほうが安全

2019/7/23 53

ユーザの対策

◼ 読まずに捨てる

◼ 返信しない

◼ 添付ファイルを開かない

◼ アドレスを取られないようにする

◼ WWWやブログにメールアドレスを載せない

◼ アドレスを画像で表示するという手もある

◼ 捨てアドレスの利用

◼ 会員登録等には無料のWWWメールのアドレスを利用

2019/7/23 54

Outbound Port 25 Blocking

インターネット

メールサーバしかメールを外部に送れない

メールサーバ

自分のLANがスパムの発信元になるのを防ぐための方策

ファイアウォールで25番ポート（外向き）を閉じる

Webメールの問題

◼ Webメールは世界中どこからでもログインし，メールを送信できる

◼ WebメールのID，パスワードが漏洩すると，スパムメールの送信に利用される

◼ 本学も何度もやられています

2019/7/23 55

2019/7/23 56

まとめ

◼ VPN

◼ 検疫ネットワーク

◼ シングル・サインオン

◼ 電子透かし

◼ フィルタリング

◼ スパムメール対策