2回目

内容

  1. 前回の復習

  2. 標的型メール攻撃に用いられるウィルスの一部は、 ウィルス検出ソフトを使っても検出できないことを理解しておく。 絶対に漏洩しては困るファイルがPC上に存在する期間には、 PCをネットに接続しないことしか100%漏洩防止する方法はないし、 もし接続して漏洩しても、それに(後からも)気が付かない場合がある

  3. そういった特に流出を防止したいファイルを完全消去する場合には、 HDDであれば何度もランダム・データで上書きする。 ただし最近の一部のOSではこの機能が削除されているので 手動で行うかそういうプログロムを動作させる必要がある。 SSDの場合、内部のコントローラの動作によって、 (OSにとって)同じ場所に何度も上書きを行っても、 実際には内部の異なる物理的な場所に書き込みが行われ、 以前のデータが物理的には残ってしまう場合が結構ある (とんでもなく大量の書き込みを行えば別である)。 また大量の書き込みはSSDの寿命にはマイナスである (これらの事情はSDメモリカードやUSBメモリなど他のフラッシュメモリデバイスでも同じ)。 これらの事情によりOSによっては上記機能が削除されたと考えられる。 HDD,SSD共に最初から全体を暗号化して使用していれば、 上記のような消去を行わなくてもよいと考えられる。 PC盗難にも強い。 従ってこちらの手段を用いる方が勧められる。 もちろん暗号化の強度以上の漏洩防止効果は得られないし、 暗号化のキーを得る他の方法があれば別である

  4. クラウドにファイルを置くと、 情報喪失対策としては効果は高い。 しかし内容はクラウドの運営会社(とそれが所属する国家)に見られる可能性がある。 ただし、契約約款にもよるが、 たいていの運営会社は情報漏洩にはそれなりに気を使い(漏洩し発覚したら信用を落とす)、 なおかつ最新の漏洩防止策を用いているので、 (自前の)ローカル・サーバに置いておくよりも情報漏洩による損害発生の現実の可能性は低い場合が多いと考えられる。 またローカルに暗号化してからクラウドに置けばその暗号の強度程度の保護は可能である。 一部のOSはそれの使用許諾契約の内容に、 ファイルをクラウドに置いてある場合と同様の、 運営会社によるローカル・ファイル内のデータの利用に付いての項目を設けている場合があるため 注意が必要である

  5. OSや基本ソフトはできるだけ早く更新する。 いわゆるゼロ・デイ攻撃を避けるためである

  6. 普段のPC利用時に、権限が低い一般ユーザとしてログインする。 少なくとも実際のユーザごとにIDを分ける

    1. こうすることで例えそのユーザがウィルス感染しても、 直ちにシステム全体や他のユーザへ波及することを避けられる場合がある。 これはファイルの書き込み権限による保護の効果である。 ただしウィルスがOSやアプリケーション・ソフトウェアのセキュリティホールを突く場合はこの限りではない

    2. 特権ユーザでログインするのはインストールやウィルスチェックなどシステム管理時のみとする。特権ユーザではできるだけメールの読み書きはしない(ただし後述の安全なメーラを用いていればOKだと考えられる)。 Webページの参照も非常に限られた安全なページのみとする

    3. 逆に、ソフトウェアのインストール時に用いるIDは特権ユーザのみとする。 こうすることでインストールされたファイルへの書き込み権限を、 一般ユーザが持たないようにする。ただし後述のようにうまく行かない場合もある

    4. 特権ユーザのパスワードを入力するのは、 そのIDでログインする時のみとする。 こうすることでOSに偽装した認証要求を避けられる場合がある。

    5. これはやや面倒だが、銀行サイトへのログインやクレジットカード番号投入時には、 専用の(一般ユーザの)ログインIDを用い、そのIDは他の用途には用いない。 できればそのIDではメールの読み書き、他サイトの参照をしない

    6. Windowsでは、ファイルの拡張子(extension)を表示する設定とする。 ただし、拡張子部分を偽装する事例が知られている ( IPA 第11-34-232-1号 など)

    7. メールの読み書きにはできるだけ安全なメーラを利用する。 安全なメーラとは、 実行可能な添付ファイル(Windowsでは.exe, .bat, .cmd, .com, .hta, .jar, .js, .jse, .msi, .scr, .vbe, .wsf, .wsh, .vbsなどの拡張子を持つファイル)や、そういったファイルを間接的に指しているショートカット(Windowsでは.cpl, .lnkなど)を保存しないか、はっきり意識しないと保存できないように設定可能で、 なおかつそのように設定されているメーラである。 標的型メール攻撃の一部を無効化する効果がある。 できればそういったファイルを含んでいるアーカイブファイルの保存時に該当するファイルを取り除いたりする機能があるとさらに良い。 所属組織のメールサーバにこういった機能があるともっと万全である。

    8. LinuxやMacOSではPATHに'.'(カレント・ディレクトリ)を入れるのは避ける。 特にスーパユーザ権限のあるユーザの場合にはそうである。

    9. これらの対策はPC購入時やOSのクリーンインストール(PCのHDDやSSDの内容を全て消去してから行うOSのインストール)時から適用すべきであり、 使用途中からでは既にウィルス感染している場合もあるし、 各種ソフトウェアの再インストールが必要だったりする場合もある

  7. ウイルスのパターンデータはできるだけ頻繁に更新する

  8. 定期的なウイルスチェックを行う

  9. 信頼できるフリーソフトウェアのみをインストールする

    1. ただし、有名なフリーソフトウェアであって、 そのソフトウェア自体にはウィルス性はないのに、 特権ユーザでインストールしたのにも関わらす、 一般ユーザがそれらのファイルに書き込める状態の(つまりある種の脆弱性がある)ものがあったりもする

    2. 結局、ファイルの書き込み権限がどうなっているかなどを必要に応じユーザが調べる必要がある

  10. フリーソフトウェアの検索方法

  11. 信頼できるサイトからダウンロードする

  12. インストール前にダウンロードファイルをウィルスチェックする

  13. (時間があれば)階層型ファイルシステム

  14. (要望があれば)LibreOfficeのインストール方法の説明。

目標

パソコンのセキュリティを保つ使用方法を理解しましょう。

レポート kadai02

今回の授業内容を理解して自分なりに簡単にまとめ、メイルで提出してください。 Subject:にkadai02と、受け取った場合には課題提出用IDを(半角で)書いてください。 本文冒頭にも書いてください。受け取っていない場合には、 本文冒頭のみに氏名と学生証番号の下4桁を書いてください。

Mail: enshu-report@stdio.h.kyoto-u.ac.jp

(カットアンドペーストではなく手で打ち込んでください。)

今回に限らず、指定の形式を守らないとレポートとして取り扱わない可能性がありますレポートは必ずメディアセンタのIDから送信してください。また、添付ファイルのうち実行形式のファイルはレポートとして取り扱いません(セキュリティ上問題があるため)

レポート提出期限

次の授業の日

キーワード

今回の授業に関連するものとして、今回以降の授業で以下の言葉を使用し説明する予定です(一部については省略します)。授業後に理解しているかどうか確認してください。特に太字のものについてはそれらの意味を必ず理解しておいてください。

クラウド, サーバ, ゼロ・デイ攻撃, セキュリティ・ホール, 脆弱性, コンピュータ・ウィルス, システム管理, 特権ユーザ, 一般ユーザ, (ソフトウェアの)インストール, 書き込み権限, 拡張子, 実行可能ファイル, 標的型メール攻撃, アーカイブ, ショートカット, クリーン・インストール, 上書きインストール, フリーソフトウェア, 階層型ファイルシステム

e-learningによる情報関係の知識の取得

平成京都大学の全構成員による以下の習得が求められています。


情報倫理・情報セキュリティe-learning