1 of 71

第１回�サイバーセキュリティの基礎

講師

米子工業高等専門学校　電子制御工学科4年　守山凜

2021年度サイバーセキュリティ講習会

1

2022/1/16

2021年度サイバーセキュリティ講習会

2 of 71

イントロ

高度情報化社会で情報システムやインターネットの利用頻度が増加し，�社会インフラは情報システムへの依存を高めている．
コロナ禍で，その需要はますます高まっている．

サイバーテロはセキュリティ上の脅威となる．

セキュリティ対策が非常に重要な役割を果たす．

2021年度サイバーセキュリティ講習会

2

2022/1/16

3 of 71

講習会について

講習会の目的�前述した社会の動向を踏まえて，セキュリティについて興味・関心を高めてもらうことを目的に実施します．�講習会を通じて，セキュリティに関する知識と技術の習得を目指します．�
講習会の構成�・第１回：座学（12月26日）�・第２回：演習（ 1 月16日）

高専機構が推進する「サイバーセキュリティ人材育成事業(K-SEC)」のうち，�「持続可能な学生サイバーセキュリティ啓発活動」の助成を受けて行う．

2021年度サイバーセキュリティ講習会

3

2022/1/16

4 of 71

本日の内容

座学�・情報資産の脆弱性�・サイバー攻撃手法とその対策�・セキュリティ基礎技術�・セキュリティインシデントへの対応�・セキュリティ関連法規

演習�・OSINT

2021年度サイバーセキュリティ講習会

4

2022/1/16

5 of 71

1. 情報資産の脆弱性

2021年度サイバーセキュリティ講習会

5

2022/1/16

6 of 71

1. 情報セキュリティとは？

コンピュータの中のデータや顧客情報や技術情報など，情報に対するセキュリティを「情報セキュリティ」という．

情報セキュリティは技術だけで確保できるものではない．�→ 組織全体のマネジメントを含め，全体的に対策を考える必要がある．

JIS Q 27001 (ISO/IEC 27001)では，情報セキュリティに関する要求事項を定める．�『組織の戦略によって決定され，組織の状況によって変わる』というのが，�情報セキュリティの基本的な考え方．

2021年度サイバーセキュリティ講習会

6

2022/1/16

7 of 71

2. 情報のCIA

情報セキュリティについては，JIS Q 27000 (ISO/IEC 27000)に，�『情報の機密性，完全性および可用性を維持すること』と定義する．

機密性（Confidentiality）：認可されていない個人，エンティティ又はプロセスに対して，情報を使用せず，また開示しない特性．

完全性（Integrity）：正確さ及び完全さの特性．

可用性（Availablity）：認可されたエンティティが要求したときに，アクセス及び使用が可能である特性．

さらに，真正性，責任追跡性，否認防止，信頼性，の4つの特性も�情報セキュリティの要素に含めることがある．

2021年度サイバーセキュリティ講習会

7

2022/1/16

8 of 71

3. 脆弱性(1) 物理的脆弱性

物理的な施策でコントロール可能な弱点を指す．

耐震・耐火構造の不備�情報資産はデリケートであるため，火災や地震で簡単に破壊される．�→ 耐震・耐火構造建屋，可燃物の排除，消火器の設置　などで対策する．

機器故障対策の不備�盲点になりがちだが，安全に仕事をすすめるための施策として重要．�→ 機器の冗長化や，故障する前に交換してしまう予防保守　などで対策可能．

2021年度サイバーセキュリティ講習会

8

2022/1/16

9 of 71

4. 脆弱性(2) 技術的脆弱性

システムの設定やアップデートによってコントロールが可能な弱点．

マルウェア対策の不備�マルウェアの数や種類が増え，作りが巧妙になっている．�→ ウイルス対策ソフトの導入，セキュリティ教育の実施　などで対策可能．

テストの不備�開発コストの圧縮や納期の短縮，システムの複雑化により，テスト期間の短縮と�テスト項目の増大が同時に起こっている．�→ テストの体系的な実施，自動化ツールの導入　などで対策可能．

2021年度サイバーセキュリティ講習会

9

2022/1/16

10 of 71

5. 脆弱性(3) 人的脆弱性

人が介在する弱点．

組織管理の不備�組織や人員が複雑で流動的になり，組織をきちんとガバナンスすることが困難になっている．�→ 内部統制，ディジタルフォレンジックスの導入　などで対策可能．

状況的犯罪予防�「割れ窓理論」が有名．�→ クリアデスクや監視カメラの設置などで犯罪をしにくい環境を作る．

2021年度サイバーセキュリティ講習会

10

2022/1/16

11 of 71

2. 攻撃手法とその対策

2021年度サイバーセキュリティ講習会

11

2022/1/16

12 of 71

紹介する攻撃手法

不正アクセス
マルウェア
SQLインジェクション
DoS攻撃
フィッシング

2021年度サイバーセキュリティ講習会

12

2022/1/16

13 of 71

0. 攻撃者の種類

「ハッカー」とは？

もともとは，情報システムに非常に詳しいユーザ，知的好奇心に富んだパワーユーザなど尊称の意味．

現在でも，世界ハッカー会議などが存在する．

ホワイトハッカー�・技術を善意に利用する．

ブラックハッカー�・技術を悪意に利用する．

クラッカー�・産業スパイ�・政治犯，テロリスト

2021年度サイバーセキュリティ講習会

13

2022/1/16

攻撃手法の紹介の前に，皆さんは「ハッカー」という言葉を聞いたことはありますか？

「ハッカー」という用語は，技術に精通している者を指す言葉で，そこに善悪はありません．その技術を善意に使うものがホワイトハットハッカー，悪意で利用するものがブラックハットハッカーです．ブラックハットハッカーは，クラッカーとも呼ばれます．

クラッカーにも，遊び半分から国家規模のものまで様々なレベルのクラッカーがいます．今では攻撃に使えるツールが簡単に手に入るため，技術を持たないものでも簡単に攻撃を行うことができます．

一方，産業スパイや政治，テロリストなどは，明確な目的と意思を持って攻撃を行います．ハッカーとしての技術力を使い，目的に合った手段を編み出して攻撃してきます．防御側も狙われる対象を明確にし，対象に合った防御策を練る必要があります．

14 of 71

1. 不正アクセス

正当な権限を持たない者が，情報や情報システムにアクセスすること．

不正アクセスの手順

不正アクセスの手法は様々…

2021年度サイバーセキュリティ講習会

14

2022/1/16

調査

発見

制御

攻撃

15 of 71

1. 不正アクセス

IDとパスワードを得ることで簡単に管理者権限を奪うことができる．

手法①　辞書攻撃�パスワードの候補として利用されやすい単語を体系化したデータベースを利用する．�例：生年月日，ペットの名前，電話番号など

手法②　ブルートフォース攻撃�管理者IDはデフォルトで運用されることが多い．(admin や root など)�適切なパスワードで運用されている場合でも，考えられるすべてのパスワードの組み合わせを試す行為をブルートフォース攻撃という．

2021年度サイバーセキュリティ講習会

15

2022/1/16

16 of 71

1. 不正アクセス

2021年度サイバーセキュリティ講習会

16

2022/1/16

OS

Windows Vista Business 32bit版

プロセッサ

Intel Core 2 Duo T7200 2.00GHz

メモリ

3GB

情報処理推進機構より引用

https://bit.ly/3paoXcb

「適切なパスワード」というのことを話しましたが，適切なパスワードはどのような物でしょうか？

パスワードの組み合わせは，使う文字の種類や桁数によって大きく変わってきます．

例えば，数字４桁だと，10の4乗通りです．

また，数字に英字で大文字・小文字の区別を加えて，8桁で運用すると，62の8乗・・・2.18×10の14乗通りです．

これに記号を加えると，93の8乗通りで，5.60×10の15乗　通りになります．

ではパターンの数が増えると解読にかかる時間はどうなるでしょうか？

これは，情報処理推進機構が2008年に発表したデータです．

ピンク色のところはパターンの数が少ないところですが，数分で破られてしまいます．

大文字と小文字の区別がない英字４桁だと3秒ほどで破られてしまいます．

水色のところはパターンの数が多いところです．

桁数が多くなり，解読に何千年とかかります．

当然，実行する環境（CPUやメモリ）にも依存しますが，これは，このような低スペックの環境で測定されたものです．

つまり，コンピュータの性能が高くなっている現代では，さらに早く破られることになります．

17 of 71

1. 不正アクセス

パスワード取得への対策方法はとても単純

辞書に載っている単語は使用しない．
生年月日などの個人情報を使用しない．
長いパスワード（8文字以上）にする．
小文字，大文字，数字，記号を含める．
何回かログインに失敗したら，アカウントをロックする．

2021年度サイバーセキュリティ講習会

17

2022/1/16

18 of 71

2. フィッシング

送信者を詐称した電子メールの送信，偽のWEBサイトにユーザ登録を誘導，パスワード，カード番号，口座の暗証番号を入力させることで個人情報を搾取する．

送信元アドレス，メール内のURL，特に短縮URLには注意が必要．
正規のサイトによく似せたサイトもあるので注意が必要．

対策方法はいたって単純

URLを確認する．
リンクを踏まずに検索エンジンを使用して目的のサイトへ
セキュリティ対策ソフトの利用

2021年度サイバーセキュリティ講習会

18

2022/1/16

２つ目にフィッシングについてです．

フィッシング詐欺は，正規の実在する企業（金融機関，信販会社，オンラインショップなど）を装った偽の電子メールなどを使って，偽のWebサイトにユーザを誘導し，IDやパスワード，クレジットカード番号，個人情報などを詐取する不正行為のことです．

現在は，ゲーム会社や銀行などを装って利用者をだます手口が多くなっています．

送信元のアドレス，メール内のURLには注意が必要です．特に短縮されたURLには細心の注意を払う必要があります．

正規サイトによく似せた偽のサイトもあります．

対策方法は単純で，URLを確認する，リンクは踏まず検索エンジンを使って目的のサイトに行く，セキュリティ対策ソフトの利用です．

19 of 71

2. フィッシング

こんなメールが届いたことはありませんか？

2021年度サイバーセキュリティ講習会

19

2022/1/16

〇△　□▽様

あなたの◇△ ID　パスワードの再設定をする必要があります．

下記URLをクリックし，新しいパスワードの設定画面で行って下さい．

◇△IDを再設定します．

上記URLの有効期限は，このメール送信後3時間です．

操作方法などご質問はこちら　　◇△サポートページ

パスワードの再設定が完了できない場合は，他の人が同時にパスワードの再設定を行っているため，メールアドレスを誤入力した可能性が考えられます．その際もアカウントは保護されているため，第三者によるアクセスはできません．

お問い合わせありがとうございました．

◇△カスタマーサポート

******************************

〇△銀行Eメール配信サービス

******************************

2017年〇△銀行のシステムセキュリティのアップグレードが行われます．お客様のアカウントが利用できなくなることを避けるため，検証作業をお願いしています．

以下のページより登録を続けてください．

https://entry11.bk.AA?&%?BB000

これら2つは，フィッシングメール

20 of 71

3. SQLインジェクション

データベースに送信するデータの中にSQL文を混入して不正にデータベースを操作する．

例えば，認証に必要なIDとPWを入力したとき，�ユーザが入力したIDとPWを代入したSQL文が�使われる．

2021年度サイバーセキュリティ講習会

20

2022/1/16

paizaログイン画面

21 of 71

3. SQLインジェクション

2021年度サイバーセキュリティ講習会

21

2022/1/16

サーバ

データベース

ユーザ　　クライアント

ユーザID，

パスワード

検索してください

引数(ユーザID，パスワード)

ログインしたい

SQLの挿入例

22 of 71

3. SQLインジェクション

2021年度サイバーセキュリティ講習会

22

2022/1/16

サーバ

ユーザ　　クライアント

):削除(全部

検索してください

引数():削除(全部)

データをすべて削除するぞ！！

データベース

実行

ユーザIDとパスワードがほんものか確かめよう

SQLインジェクションの例

23 of 71

3. SQLインジェクション

エスケープ処理で対策する．�→ 処理系で使ってはまずい文字を同じ意味の別の書き方に変える．

2021年度サイバーセキュリティ講習会

23

2022/1/16

危険な文字	一般的な書き方
&	&
＜	<
>	>
“	"
‘	&#39

24 of 71

4. DoS攻撃

DoS攻撃とは…�サーバ等のネットワーク機器に大量のパケットを送るなどしてサービスを提供不能にすること．

2021年度サイバーセキュリティ講習会

24

2022/1/16

攻撃対象のサーバ

大量のping

（送信元を攻撃対象

　のサーバに偽装）

　pingの返信

25 of 71

4. DoS攻撃

DoS攻撃の種類

DDoS攻撃

分散した複数の機器からパケットを大量に送る攻撃．�ウイルスに感染させ遠隔操作を可能にし，一斉に特定のコンピュータに対して攻撃を実施．

2021年度サイバーセキュリティ講習会

25

2022/1/16

一斉に攻撃

指示

ウイルスなどに感染

一気に負荷が高まり，正常な通信を受け付けられなくなる

26 of 71

4. DoS攻撃

DoS攻撃の種類

Smurf

ping（疎通確認のコマンド）の返信アドレスを標的PCにして，大量の通信を発生させる．

2021年度サイバーセキュリティ講習会

26

2022/1/16

27 of 71

4. DoS攻撃

効果的な対策が難しい．
IDS（Intrusion Detection System）の導入などで対策できる．
IDS：不正アクセスを監視する侵入検知システム．

各ノードのログやネットワーク上のパケットを監視・分析
不正アクセスの兆候を検知 → 管理者に警告

2021年度サイバーセキュリティ講習会

27

2022/1/16

28 of 71

4. DoS攻撃

IPS（Intrusion Prevention System）：不正侵入防止システム
異常な通信があれば，管理者へ通知するだけでなく，その通信をブロックする．
IDSでは本来の通信のコピーを監視して，異常を通知している．
IPSでは異常な通信をブロックする必要がある．�→ 通信経路の間に入ることになる．

2021年度サイバーセキュリティ講習会

28

2022/1/16

29 of 71

5. マルウェア

ウイルスなど，悪意を持って作られたプログラムの総称．

2021年度サイバーセキュリティ講習会

29

2022/1/16

グループワークの前に，マルウェアについて説明します．

皆さんは「ウイルス」という言葉はよく聞いたことがあるかもしれませんが，ではマルウェアとは何でしょうか？

マルウェアとは，ウイルスなどの悪意をもってして作られたプログラムの総称です．

単体では存在せず，自己増殖するものを　ウイルス

単体で存在し，自己増殖するものを　ワーム

なりすまして存在し，自己増殖しないものを　トロイの木馬

というように，分類され，これらの総称をマルウェアと呼びます．

ここで少し，コンピュータウイルスについて考えてもらいます．

配布済みのワークシートを用意してください．

これから，3人のある行動をお見せしますので，何が問題なのかを考えてみてください．

また，ウイルスへの感染経路や，感染を防ぐ方法も考えてみてください．

30 of 71

2021年度サイバーセキュリティ講習会

30

2022/1/16

このソフト，フリーなんだ！

あると便利そうだから

インストールしてみよう！

「使用許諾契約書」長文だなぁ！

いつも読まないけど大丈夫！

「同意する」　ポチ！

あれ，なんだか入れていないソフトまでインストールされてる？

Aさん

31 of 71

2021年度サイバーセキュリティ講習会

31

2022/1/16

それからかなぁ！

何だかパソコンの動きが遅くなった気がするの．

Bさん

知らない宛名からメールが届いたんだけど，【請求書】って，

添付ファイルが付いていたから，この前買った

ネットショッピングのかなぁと思って開いたの！

開けてみたけど読めなかったんだ！

メール添付ファイルについての注意事項

コンピュータウィルスに感染する経路の一つに，メールの添付ファイルがあります．メールの添付ファイルを開くことによりコンピュータウィルスに感染します．

メールの添付ファイルには以下の注意が必要です．

・知らない相手からのメールの添付ファイルは開かない．

・添付ファイルは，見た目に惑わされず，プロパティで拡張子を表示するなどによりファイル形式を確認する．特に実行形式のファイル（exe）などは注意が必要です．

・知り合いから届いたメールと思うものでも，違和感を感じたら，送信元のアドレスを確認し，添付ファイルは安易に開かず，先方に確認するなど注意が必要です．

32 of 71

2021年度サイバーセキュリティ講習会

32

2022/1/16

先輩に借りたこのUSBメモリに

去年のレポート入ってるって言う

からとりあえず全部コピーしよう！

えぇ～！

「セキュリティの警告」

何だか怪しい動き！

Cさん

USBメモリからのウィルス感染は，ウイルスに感染したパソコンからUSBメモリへ感染し，そのUSBメモリから他のパソコンへと感染していきます．USBメモリウイルスは，「autorun.inf」（プログラムなどを自動的に起動させるための命令が書かれたファイル）の仕組みを悪用しています．

ウイルスに感染したパソコンからUSBメモリへ感染

ウイルスに感染したパソコンでUSBメモリを使うと，USBメモリにウイルスが自動でコピーされます．そのウイルスを自動実行させるための不正な「autorun.inf」ファイルが，USBフォルダ内に作成されます．

ウイルスに感染したUSBメモリからパソコンへ感染

感染したUSBメモリが他のパソコンに接続されると，「autorun.inf」ファイルを参照してウイルスが実行されます．そして，パソコン内にウイルスがコピーされ，そのウイルスを自動実行させるための不正な「autorun.inf」ファイルが作成されます．

33 of 71

マルウェアへの対策

Aさん，Bさん，Cさんの行動の問題点を踏まえて�マルウェアへの対策方法を考えてください．

５分経過したら，３人の行動の問題点の説明をします．

2021年度サイバーセキュリティ講習会

33

2022/1/16

34 of 71

問題点

Aさん�・「利用許諾」を読んでいない．�・抱き合わせソフトと呼ばれるその他のソフトも同時にインストールした．�
Bさん�・知らない宛先からのメールを開いた．�・添付ファイルをよく確認せずに開いた．�
Cさん�・先輩から借りたUSBメモリをパソコンに挿して，データをコピーしようとした．

2021年度サイバーセキュリティ講習会

34

2022/1/16

これから５分間取りますので，ワークシートの質問を考えてみてください．

模範解答は時間の都合上，後ほどTeamsで配信しますので確認してください．

１．それぞれの問題点

・Aさんは，フリーソフトをインストールする際に，「利用許諾」を読んでいませんでした．また，抱き合わせソフトと呼ばれるその他のソフトも同時にインストールしてしまいました．インターネットを利用する際には，危険性の意識やセキュリティ保護の意識は常に持っていなければなりません．

・Bさんは，知らない宛名からのメールを開き，さらにメールの添付ファイルの「請求書」をよく確認せずに開いてしまいました．コンピュータウィルスに感染する経路の一つにメールの添付ファイルを開くことがあります．知らない人からのメールは開かない，添付ファイルも開かないなど，注意が必要です．

・Cさんは，先輩から借りたUSBメモリをパソコンに挿して，データをコピーしようとしました．

USBメモリを介したウィルス感染は，「autorun.inf」（自動実行）機能を悪用し，感染を広げます．

代表的なウイルスとして，「Conficker」「Downad」「Autorun」「Otorun」などがあります．

自動実行を無効にする，USBメモリのウィルスチェックを行うなどの慎重さが必要です．

２．コンピュータウィルスの感染経路

　　　・インターネット閲覧や広告のクリック（不正サイトへの誘導）

　　　・メール本文内のURLにアクセスや添付ファイルの確認

　　　・USBメモリ

35 of 71

5. マルウェア

情報システムに限った話ではなく，PLCなどの制御システムにも感染する．
「Stuxnet」というマルウェア�→ 制御システムを狙った初のマルウェア．�→ Windowsシステム上で感染範囲を拡大．�→ ウラン濃縮用遠心分離機を物理的に破壊した．
マルウェアへの対策方法�・OSのアップデート�・ウイルス対策ソフト
万一感染したら，先ずはネットワークから切断．�→ 情報処理推進機構や警察に届け出る．

2021年度サイバーセキュリティ講習会

35

2022/1/16

説明に戻ります．

さてマルウェアへの感染は，パソコンなどの情報システム感染するもの，と考えている方もいると思いますが，工場の生産ラインなので活用されるPLCといった制御システムにもマルウェアが感染することがあります．

この制御システムに感染するマルウェアの代表例が，Stuxnet です．

これは制御システムに感染する世界初のマルウェアで2010年に発見されました．

Windowsシステム上で感染範囲を拡大させ，ウラン濃縮用遠心分離機を物理的に破壊しました．

万が一にも，ウイルスに感染した場合は，まずネットワークから切断してください．

その後，IPA・情報処理推進機構や警察に届け出ください．

36 of 71

3. セキュリティ基礎技術

2021年度サイバーセキュリティ講習会

36

2022/1/16

37 of 71

紹介する技術

暗号化
認証
電子署名 (ディジタル署名)

2021年度サイバーセキュリティ講習会

37

2022/1/16

38 of 71

1. 暗号化

暗号化とは？

2021年度サイバーセキュリティ講習会

38

2022/1/16

元データ

（平文）

鍵

暗号化された

データ

39 of 71

1. 暗号化

共通鍵暗号方式

メリット　：暗号化や復号の処理が簡単なため，処理が早い．
デメリット：共通鍵の安全な受け渡しが困難．

2021年度サイバーセキュリティ講習会

39

2022/1/16

40 of 71

1. 暗号化

公開鍵暗号方式

メリット　：公開鍵の配布が容易．(ただし秘密鍵の外部流出はNG)
デメリット：暗号化や復号の処理が複雑なため，処理が遅い．

2021年度サイバーセキュリティ講習会

40

2022/1/16

41 of 71

1. 暗号化

ハイブリッド暗号方式

2021年度サイバーセキュリティ講習会

41

2022/1/16

42 of 71

2. 認証

認証の例

組織の建物への入館時．
写真付きのIDカードの提示による身元確認．
コンピュータの利用時．
ユーザアカウント名，パスワード入力による身元確認．
利用者，サービスの登録時．
管理者の再認証．

2021年度サイバーセキュリティ講習会

42

2022/1/16

43 of 71

2. 認証

認証の３要素

認証技術はこの３要素の組み合わせ．1要素認証，2要素認証，3要素認証

2021年度サイバーセキュリティ講習会

43

2022/1/16

記憶

Something you know / What you know

本人だけが記憶している情報

所持

Something you have / What you have

本人だけが所持する物

生体

Something you are / What you are

本人の生体（バイオメトリクス）

44 of 71

2. 認証

2021年度サイバーセキュリティ講習会

44

2022/1/16

記憶	機密性が守られている（他人に知られていない）ことが正しい認証の前提「忘れてしまう」という問題点があるパスワード，パスフレーズ，PIN（Personal Identification Number）など（PINは，暗証番号）
所持	「所持」する物が他人に貸与されないことが前提紛失や盗難といった危険性，問題点がある ICカード，スマートカード，ワンタイムパスワードの物理トークンなど
生体	「偽造」と「誤認証」の問題点がある指紋，虹彩，顔，静脈の形など

各認証要素の特徴について詳しく説明します．

「記憶」要素は一度他人に知られてしまうと，他の誰もが本人になりすますことができてしまうため，最も信頼性の低い認証要素といえます．

「所持」要素は唯一無二の物を必要とするため，誰もが本人になりすませるわけではありませんが，認証物を他人に奪われた時に，やはりなりすまされる可能性があります．

そこで，本人から切り離せない「生体」要素が，一番信頼がおける認証要素となります．その代わり，利用する生体情報によっては，偽造や誤認証の問題が顕著に表れるため，どのような生体情報を使うべきか検討する必要があります．

45 of 71

2. 認証

2要素認証の例「所持」と「記憶」の組み合わせ

「所持」の紛失や盗難といった場合の安全策として，�「記憶」(PIN)との組み合わせで認証する．

3要素認証の例

キャッシュカードと暗証番号と静脈のパターン．

より安全な認証を行うために，複数に認証方法を組み合わせる．

ホットスポット�セキュリティ上の危険な場所．例：キャッシュディスペンサー装置の設置場所．

2021年度サイバーセキュリティ講習会

45

2022/1/16

同じ要素同士はNG

「記憶」による認証の場合，情報が漏れたことに気付かないことがあります．

一方，「所持」による認証の場合，認証が必要な場面で所持の有無に気付きます．

しかし，紛失に気付いた時にはすでになりすましの被害に遭っている可能性があります．

「記憶」と「所持」という異なる要素で認証を行うことで，「所持」の紛失や盗難といった場合の安全策として，「記憶」を利用して安全性を高めることができます．

より強固なセキュリティが要求される場合，紛失や盗難が困難な「生体」要素も組み合わせることもできます．２要素や３要素を組み合わせた認証を，まとめて多要素認証と呼びます．

同一種類の認証要素を組み合わせることは多要素認証とは呼びません．例えば，Webサイトでよく見かけるリマインダー機能は，多要素認証ではありません．この場合，認証に必要な情報が全部漏れていたとしても，被害者は気付かない可能性があります．

逆に，クラッカーの立場で本人になりすますことを考えてみましょう．認証情報を奪うために最も効率の良い場所はどこでしょうか．それは，認証を要求する場所です．例えば機械的な暗証番号ドアロックを付けたとした場合，何度も使ううちに数字キーに汚れが付いたり傷がついたりして，番号が分かってしまうかもしれません．どこか死角からのぞかれているかもしれません．このような，認証情報が集まる場所をホットスポットと呼び，認証情報の盗難対策をより強固に行う必要があります．

46 of 71

3. ディジタル署名

暗　　号　　化：盗聴リスクへの対策．
ディジタル署名：なりすましと改ざんリスクへの対策．

公開鍵暗号の利用プロセスを逆にたどることで，なりすましと改ざんを検出する．

2021年度サイバーセキュリティ講習会

46

2022/1/16

47 of 71

3. ディジタル署名

2021年度サイバーセキュリティ講習会

47

2022/1/16

ディジタル署名の基本的な仕組みはこの図の通りです．

ディジタル署名を受信したユーザは，公開鍵を用いてディジタル署名を復号し，これと別途送られた平文と比較します．

両者が一致すれば，復号化を行ったのは秘密鍵を所持しているユーザ本人であることと，途中で買い残が行われていないことが証明されます．

ディジタル署名はあくまで，なりすましと改ざんに対する処置である点に注意してください．ここで示したモデルでも，平文を別途送信しているため盗聴リスクには対処できません．

ディジタル署名を運用する場合には，暗号化と組み合わせて利用することがほとんどです．

48 of 71

4. インシデントへの対応

2021年度サイバーセキュリティ講習会

48

2022/1/16

49 of 71

インシデント管理(1)

発覚のきっかけ

外部からの指摘（警察，セキュリティ会社からの通報など）
内部での検知（通信の監視，ウイルス対策ソフトによる検知，など）

被害拡大防止

ネットワークケーブルを抜く，無線LANを無効化する．
組織内からインターネットへの出口を遮断する．

報告・連絡・相談

管理者や関係部署に連絡する．

2021年度サイバーセキュリティ講習会

49

2022/1/16

インシデントへの対応は，サイバー攻撃の被害や影響を受けてしまった場合に対応する活動や手段だと言えます．残念ながらサイバー攻撃を100%防ぎきることはできませんので，どうしてもインシデントが起こってしまう可能性があります．

そこで，インシデントへの対応を準備しておき，スムーズに対応できることが大切となります．つまり，インシデントが起こった場合でも最短の時間，最小の被害で収束させることが目標です．

まずインシデントが発生したときの初動対応が重要です．発覚のきっかけは，「外部からの指摘」や「内部での検知」が挙げられます．

「外部からの指摘」には，警察やセキュリティ会社からの通報，顧客からの問い合わせなどがあります．ウイルスメールが送信されている，顧客情報が漏えいしているなど，その理由は様々です．一方，「内部での検知」としては，ネットワーク管理者が通信を監視していて気付く場合もあれば，従業員が使っているパソコンでウイルス対策ソフトが検知する場合もあります．

いずれにしても，最初の対応は「被害の拡大防止」です．ウイルスなどに感染している可能性が疑われた時点で，ネットワークケーブルを抜いたり，無線LANを無効化して，社内の他のパソコンなどに感染が広がることを防ぎます．すでに社内で広がっている可能性もあるため，組織内からインターネットへの通信の出口を遮断することも考えられます．

これらは個人で勝手に対応するのではなく，部門の管理者や関係部署に連絡するようにしましょう．

50 of 71

インシデント管理(2)

対応要否の検討，影響範囲の特定

事前に設定した判断基準に沿って優先順位を付ける．

思い違いなどの可能性も確認．
業務への影響の検討．

影響範囲の特定と応急処置の実施．

対応訓練の実施

実際に発生する被害を想定．

証拠保全

フォレンジック（フォレンジクス）

データの改ざんや不正アクセスなどの犯罪に対して，法的な証拠を残すため，�機器やデータ，ログなどを保存，収集，分析すること．

2021年度サイバーセキュリティ講習会

50

2022/1/16

インシデントが発生した場合，その被害が拡大することを防ぐために対応を行いますが，実際には思い違いや別の問題である可能性もあります．そこで，まずはそのインシデントの内容を確認のうえ，対応方法を検討します．

その対応内容によっては業務に大きな影響がありますので，あらかじめ定めた判断基準にしたがって「優先順位」を付けます．組織によって業務内容が異なるため，優先順位の設定は組織によって異なります．業務への影響の大きさから判断し，システムや製品，部署や役職などに分けて優先順位を付ける場合もありますし，複数のインシデントがほぼ同時に発生した場合に，深刻な影響があるインシデントを優先する，といった対応を行う場合もあります．

また，被害が発生している場合，影響範囲を特定し，応急処置が必要であれば実施します．

この判断基準に沿って行動できるかを確認するために，「対応訓練」を実施するのも一つの方法です．学校などでも災害に対する避難訓練が行われますが，これと同じようにセキュリティにおいても対応訓練を行っておくと，実際にインシデントが発生した場合にもスムーズに対応できます．

さらに，「証拠の保全」も大切です．ウイルス対策ソフトの機能によってウイルスを除去することも重要ですが，どのようなウイルスに感染したのか，どういった経路で感染したのかなど，証拠を残しておく必要があります．個人情報の持ち出しなどの可能性もありますので，パソコンやネットワークに残っている多くのログが後で重要な資料になる可能性もあります．不正アクセスやマルウェアに感染した場合には，内容や原因を分析する必要があります．また，法的な証拠の提出が必要になる場合もあります．このため，ログやハードディスクの内容を別な媒体に物理的にコピーするなど保存します．この作業を「フォレンジック」と呼びます．

51 of 71

5. セキュリティ関連法規

2021年度サイバーセキュリティ講習会

51

2022/1/16

52 of 71

1. 不正アクセス禁止法

不正アクセス行為の禁止，処罰に加え，不正アクセスを受ける立場にあるアクセス管理者に防御措置を求めている．
フィッシング詐欺などで不正にIDやパスワードを取得することも規制の対象．�

2021年度サイバーセキュリティ講習会

52

2022/1/16

不正アクセス禁止法は，1999年8月に成立，2000年2月に施行され，2012年3月に大きな改正が成立しました．

不正アクセス行為の禁止・処罰に加え，不正アクセスを受ける立場にあるアクセス管理者に防御措置を求めていることが特徴です．つまり，攻撃を受ける側としても，攻撃されないように意識する必要があります．また，フィッシング詐欺などで不正にIDやパスワードを取得することも規制の対象であり，偽サイトを開設する行為も規制されています．

このように，不正アクセス行為の禁止・処罰だけでなく，防御側の対策も含めて，サイバー犯罪の防止と電気通信に関する秩序の維持を国家を挙げて進めていく体制になっています．

53 of 71

1. 不正アクセス禁止法

事例１�情報教育システムに侵入し，個人情報に不正アクセスした．�17歳(当時)を逮捕．(2016年6月)
事例２�通学先の教員用サーバに不正アクセスし，成績を改ざん．�15歳(当時)の中学生を書類送検．(2019年12月)
事例３�オンラインゲームのゲーム内通貨を他人のアカウントで不正購入．�20歳(当時)の大学生を逮捕．(2020年12月)

2021年度サイバーセキュリティ講習会

53

2022/1/16

54 of 71

2. ウイルス作成罪

正式名称は「不正指令電磁的記録に関する罪」�ウイルスの作成や提供を処罰することが目的．
事例１�動画投稿サイトを参考にコンピュータウイルスを作成し，サイトに投稿．�9歳(当時)の小学生を児童相談所に通告．�またこれをダウンロードした小学生2人も児童相談所に通告．(2017年12月)
事例２�他人のウェブサイトに不正アクセスするためのプログラムを仕込んだ．�42歳(当時)を逮捕．(2021年5月)

2021年度サイバーセキュリティ講習会

54

2022/1/16

55 of 71

3. 電磁的記録不正作出及び供用

事務処理を誤らせる目的で，電磁的記録を不正に作成することなどが対象．
事例１�実際は使用していない薬剤を使ったかのように電子カルテを改ざん．�48歳(当時)の大学病院准教授を逮捕．(2020年12月)
事例２�休暇などを入力するシステムを不正操作し，年次休暇などを不正に取得した．�52歳(当時)の警察学校職員を書類送検．(2021年7月)

2021年度サイバーセキュリティ講習会

55

2022/1/16

56 of 71

4. 電子計算機損壊等業務妨害

電子計算機を物理的に破壊したり，不正なデータを投入することで業務を停止・妨害することを処罰することが目的．
事例１�オンラインゲームで不正なプログラムを使用して，キャラクターが本来できない動作をさせた．�18歳(当時)の大学生など3人を書類送検．(2014年6月)
事例２�業務を妨害する目的で元勤務先のパソコン内データを全て消去．�62歳(当時)を逮捕．(2019年11月)

2021年度サイバーセキュリティ講習会

56

2022/1/16

57 of 71

5. 著作権法

創作された表現物を保護するための法律．�創作された時点で発生し，プログラムやデータベースもその保護対象となる．
事例１�週刊誌の人気漫画複数を発売前に動画投稿サイトにアップ．�中学生(当時)を逮捕．出版社の被害額は20億円(推定)．(2010年6月)
事例２�ファイル共有ソフトを使い，アニメ映画を違法に配信．�配信者を著作権法違反（公衆送信権侵害）で逮捕．(2016年11月)

2021年度サイバーセキュリティ講習会

57

2022/1/16

58 of 71

6. 演習

OSINT ～撮影場所の特定～

2021年度サイバーセキュリティ講習会

58

2022/1/16

59 of 71

ルール

OSINT (オシント) とは？�Open-Source Intelligence�一般に公開されている膨大な情報の中から，必要な情報を収集・分析する活動．

演習のルール�・４枚の画像をもとに，撮影された市町村を特定する．�・特定の方法は自由．知識や検索ツールを駆使して特定してください．�・画像は１分３０秒おきに切り替わります．

2021年度サイバーセキュリティ講習会

59

2022/1/16

60 of 71

画像１

2021年度サイバーセキュリティ講習会

60

2022/1/16

61 of 71

画像２

2021年度サイバーセキュリティ講習会

61

2022/1/16

62 of 71

画像３

2021年度サイバーセキュリティ講習会

62

2022/1/16

63 of 71

正解

正解は，

2021年度サイバーセキュリティ講習会

63

2022/1/16

兵庫県豊岡市

(1) 玄武洞

(2) 但馬空港

(3) 城崎マリンワールド

64 of 71

特定の方法

画像の特徴をとらえてWeb検索する．

画像１：鍾乳洞？洞窟？
画像２：山の上に空港？
画像３：「城崎マリンワールド」の文字

Googleの画像検索などもある．

画像をアップロードして検索をする．

2021年度サイバーセキュリティ講習会

64

2022/1/16

65 of 71

OSINTによるサイバー攻撃

OSINTで職場や住所の情報を得ることができる．�→ 犯罪誘発の可能性�　 ex ) なりすまし詐欺�→ オンラインアカウントのセキュリティ用の質問に答える

公開された写真から把握できる個人情報は，少ないほど好ましい．
これは写真以外にも言えること．�→ SNSのプロフィール欄に書かれた，学校名，クラス，部活，会社名，� 　他のSNSのID などからも，個人が特定できるので注意が必要．

2021年度サイバーセキュリティ講習会

65

2022/1/16

66 of 71

講義のまとめ

情報資産の脆弱性�－セキュリティの考え方�－情報のCIA�－情報資産の脆弱性
サイバー攻撃手法とその対策�－不正アクセス�－マルウェア�－SQLインジェクション�－DoS攻撃�－フィッシング

セキュリティ基礎技術�－暗号化�－認証�－電子署名
セキュリティインシデントへの対応
セキュリティ関連法規�－不正アクセス禁止法�－ウイルス作成罪�－電磁的記録不正作出及び供用�－電子計算機損壊等業務妨害�－著作権法

2021年度サイバーセキュリティ講習会

66

2022/1/16

67 of 71

講義の内容は以上

～連絡～

2021年度サイバーセキュリティ講習会

67

2022/1/16

68 of 71

参考文献

K-SEC教材
技術評論社『情報セキュリティマネジメント合格教本』
インプレス『令和3年度情報処理安全確保支援士教科書』
情報処理推進機構『情報セキュリティ10大脅威 2021』
情報処理推進機構『制御システム関連のサイバーインシデント事例４』
JPCERT/CC『Stuxnet』
株式会社ラック『情報リテラシー啓発のための羅針盤』
実教出版『最新社会と情報』
実教出版『最新情報の科学』

2021年度サイバーセキュリティ講習会

68

2022/1/16

69 of 71

第２回について

日程　　2022年1月16日（日）13時30分～16時30分
会場　　オンライン開催（Microsoft Teams）
内容　　セキュリティコンテスト形式の実践演習�　　　　→ 講義内容，関連知識・技能について
環境　　『Tera Term』を用いて演習環境にログインする．�　　　　ログイン情報は別途連絡．(PDF文書で個別通知)
備考　　必要な情報はすべてTeamsで公開します．各自確認してください．

2021年度サイバーセキュリティ講習会

69

2022/1/16

70 of 71

最後に

講義の内容について質問があれば受け付けます．
今回紹介した攻撃を実践しないように！
講義に用いたスライドはPDF化してアップロードします．
セキュリティについて深く学びたい学生は，情報処理技術者試験を受験してみてください．
事後スキルチェックと事後アンケートを行いますので回答をお願いします．
ワークシートの提出フォームを設けますので，写真等で提出をお願いします．

2021年度サイバーセキュリティ講習会

70

2022/1/16

71 of 71

アンケート

下記URLにアクセスして，アンケートに回答してください．�https://forms.office.com/r/HzaT9vLx5M
右のQRコードからもアクセスできるので，�いずれかの方法で回答してください．�

回答が終わった方から，退席してください．�お疲れさまでした．

2021年度サイバーセキュリティ講習会

71

2022/1/16