1 of 35

情報セキュリティ出前授業�-不正侵入とその対策-

2024年11月21日(木)

鳥取湖陵高校情報科学科2年

2 of 35

講師紹介

  • 守山 凜 (もりやま りん)
    • 専攻科生産システム工学専攻2年(大学4年相当)�→ 4月より,静岡大学大学院総合科学技術研究科情報学専攻

    • 鳥取県警察サイバー防犯ボランティア
    • デジタル庁・デジタル推進委員

    • Webサイトで研究内容・実績等を公開

情報セキュリティ出前授業-不正侵入とその対策-

1

2024年11月21日

3 of 35

本日の内容

  • 情報セキュリティの基本
    • 情報セキュリティとは

  • 不正侵入とその対策
    • 不正侵入の流れ
    • ポートスキャン
    • パスワードクラック
    • アクセス制御

  • 本日の目標
    • 不正侵入の流れ(攻撃の仕方)や,有効な対策について理解する

情報セキュリティ出前授業-不正侵入とその対策-

2

2024年11月21日

4 of 35

【復習】「情報セキュリティ」とは

  • 日本産業規格(Japanese Industrial Standards)
    • 情報の機密性完全性可用性を維持すること.(JIS Q 27000)

  • 7要素
    • 機密性,完全性,可用性,真正性,責任追跡性,信頼性,否認防止

情報セキュリティ出前授業-不正侵入とその対策-

3

2024年11月21日

用語の意味

対策

機密性

許可された人だけ,情報を使うことができる

アクセス制御

完全性

情報が正確で完全である

ハッシュ化

可用性

使いたいときに,情報を使うことができる

冗長化

5 of 35

不正アクセスとは

  • 「不正アクセス」とは?
    • 正当な権限を持たない者が,情報システムにアクセスすること

  • 不正アクセスによる被害

情報セキュリティ出前授業-不正侵入とその対策-

4

2024年11月21日

被害の例

なりすまし

アカウントの乗っ取り,不正なキャッシング,遠隔操作 など

改ざん

情報の書き換え,不正プログラムの実行(マルウェア感染) など

盗聴

コンピュータの内部やネットワークを流れるデータを第三者に盗み見される

6 of 35

不正侵入の流れ

  • 攻撃の4ステップ

情報セキュリティ出前授業-不正侵入とその対策-

5

2024年11月21日

① 調査(事前調査)

② 発見(権限取得)

③ 攻撃(不正実行)

④ 制御(後処理)

ポートスキャン

パスワードクラック

バックドア作成,証拠隠滅 など

ファイル奪取,

踏み台 など

7 of 35

演習の準備�SSH接続

情報セキュリティ出前授業-不正侵入とその対策-

6

2024年11月21日

8 of 35

接続情報の入力

情報セキュリティ出前授業-不正侵入とその対策-

7

2024年11月21日

各自のユーザ名

(user01 など)

全員共通で以下のIPアドレスを入力

192.168.10.3

「kali」と入力

全て入力したら「接続」をクリック

9 of 35

パスワードの入力

  • 以下の画面が出たら「yes」と入力し,「Enter」キーをクリック

  • パスワードを聞かれたら「koryo」と入力する

情報セキュリティ出前授業-不正侵入とその対策-

8

2024年11月21日

10 of 35

接続成功

  • 以下の画面が出たら接続完了

情報セキュリティ出前授業-不正侵入とその対策-

9

2024年11月21日

11 of 35

演習①�ポートスキャン

情報セキュリティ出前授業-不正侵入とその対策-

10

2024年11月21日

12 of 35

ポートスキャンとは?

  • 「ポート」とは?
    • 通信の目的ごとに割り当てられた通信の出入り口
    • 例えば,HTTP(Webページ)は80番,SMTP(メール送信)は25番

  • 「ポートスキャン」とは?
    • 開いているポートを調べ,稼働しているサービスを特定する攻撃

情報セキュリティ出前授業-不正侵入とその対策-

11

2024年11月21日

13 of 35

攻撃をしてみる

  • 以下のコマンドを実行
    • sudo nmap -sV 192.168.10.5

    • 単語などの区切りで半角スペースも入力する
    • パスワードを求められたら,ユーザ名と同じものを入力(user01 など)

    • 入力例

情報セキュリティ出前授業-不正侵入とその対策-

12

2024年11月21日

ツールの名前

攻撃対象のコンピュータ�(IPアドレス)

14 of 35

実行結果の確認

  • こんな感じの結果が出る

情報セキュリティ出前授業-不正侵入とその対策-

13

2024年11月21日

バージョンが特定できた!

Webサーバが稼働している

15 of 35

考察

  • 実行結果から分かること
    • 色々なサービスが稼働(OPEN)している
      • 不正侵入の危険性あり!!
    • 稼働しているサービスのバージョンまで特定できた!
      • 脆弱性(システムの弱点)を突いた攻撃が可能
      • 各バージョンの脆弱性はWeb上で公開される

情報セキュリティ出前授業-不正侵入とその対策-

14

2024年11月21日

16 of 35

ポートスキャンの危険性

  • 相手のコンピュータの脆弱性を知ることができる

情報セキュリティ出前授業-不正侵入とその対策-

15

2024年11月21日

https://www.intellilink.co.jp/column/vulner/2011/070600.aspx

バックドア=システムへの裏口�…犯罪者の出入口となり,不正侵入の原因に!

17 of 35

演習②�パスワードクラック

情報セキュリティ出前授業-不正侵入とその対策-

16

2024年11月21日

18 of 35

解析の方法

  • 総当たり攻撃(ブルートフォースアタック)
    • 考えられる全てのパスワードを試す

  • 辞書攻撃
    • 使われやすいパスワードを試す

  • パスワードリスト攻撃
    • 他のシステム/サービスから流出したパスワードを試す

情報セキュリティ出前授業-不正侵入とその対策-

17

2024年11月21日

19 of 35

数字のみ4桁の場合

  • 以下のコマンドを実行
    • time fcrackzip –u –c 1 –l 1-4 test-1.zip

情報セキュリティ出前授業-不正侵入とその対策-

18

2024年11月21日

1桁~4桁

数字のみ

時間計測

realが解析に要した時間

パスワードは「0941」

今回解析に要した時間

    秒

20 of 35

数字+小文字で6桁の場合

  • 以下のコマンドを実行
    • time fcrackzip –u –c a1 –l 6 test-2.zip

情報セキュリティ出前授業-不正侵入とその対策-

19

2024年11月21日

6桁

小文字+数字

時間計測

realが解析に要した時間

パスワードは「abc321」

今回解析に要した時間

    秒

21 of 35

実行結果からわかること

  • 安易なパスワードは,簡単に特定できてしまう
    • 不正侵入,乗っ取りの危険性がある!

情報セキュリティ出前授業-不正侵入とその対策-

20

2024年11月21日

https://time-space.kddi.com/it-technology/20190726/2701

22 of 35

有効な対策は?

  • パスワードの強度を高める
    • 例えば,高専でのパスワードルールは�「数字,大文字,小文字をすべて含む16桁以上」

  • 多要素認証を導入する
    • 所有物認証 USBメモリ,ICカード など
    • 知識認証 暗証番号,パスワード など
    • 生体認証 虹彩,指紋,静脈 など

情報セキュリティ出前授業-不正侵入とその対策-

21

2024年11月21日

2つ以上を組み合わせる

バイオメトリクス

23 of 35

演習③�アクセス制御

情報セキュリティ出前授業-不正侵入とその対策-

22

2024年11月21日

24 of 35

アクセス制御

  • アクセス制御とは?
    • コンピュータやネットワークにアクセスできるユーザを制限する
    • ファイアウォールが役割を担うことが多い

情報セキュリティ出前授業-不正侵入とその対策-

23

2024年11月21日

https://bit.ly/3Fhfvxt

25 of 35

ファイアウォール

  • ファイアウォール(防火壁)とは?
    • 不正侵入を防止する装置
    • ネットワークの出入り口に設置する
    • ハードウェア または ソフトウェアとして提供される

情報セキュリティ出前授業-不正侵入とその対策-

24

2024年11月21日

https://bit.ly/46wTIOz

26 of 35

演習の準備

  • 以下のコマンドを実行
    • ssh msfadmin@[IPアドレス]

情報セキュリティ出前授業-不正侵入とその対策-

25

2024年11月21日

各自で異なるので注意

Metasploitable2のIPアドレス

(192.168.10.3 ではない方)

「yes」と入力

「msfadmin」と入力

何も表示されないが入力できているので注意

27 of 35

接続確認

  • 以下の画面が出ればOK

情報セキュリティ出前授業-不正侵入とその対策-

26

2024年11月21日

28 of 35

初期状態の確認

  • サーバの初期状態
    • ポートスキャンの結果,Webサーバが動いている

情報セキュリティ出前授業-不正侵入とその対策-

27

2024年11月21日

29 of 35

ファイアウォールの設定

  • 以下のコマンドを入力
    • sudo iptables -A INPUT -p tcp --dport 80 -j DROP
    • sudo iptables -A OUTPUT -p tcp --dport 80 -j DROP

    • コマンドを実行しても何も表示されい.続けて2つ入力し,実行する
    • パスワードを求められたら「msfadmin」と入力

情報セキュリティ出前授業-不正侵入とその対策-

28

2024年11月21日

INPUT:入ってくる通信

OUTPUT:出ていく通信

80:Webサーバが通信するための出入り口

httpというプロトコルのポート番号

「msfadmin」と入力

何も表示されないが入力できているので注意

30 of 35

設定の確認

  • 以下のコマンドを実行
    • sudo nmap localhost

情報セキュリティ出前授業-不正侵入とその対策-

29

2024年11月21日

通信が禁止された!

31 of 35

2つの制御方式

  • ブラックリスト方式
    • 予め危険性が予期されるターゲットを指定し,アクセスを禁止する

  • ホワイトリスト方式
    • 予め定義された正当パターンに該当する通信を許可する方式

情報セキュリティ出前授業-不正侵入とその対策-

30

2024年11月21日

制限の強度

利便性

管理

ブラックリスト方式

ホワイトリスト方式

32 of 35

考察

  • ファイアウォールの機能
    • 通信の可否を設定し,アクセスに制限をかける
      • ネットワーク上の「関所」の役割
      • 特定のサービスのみでなく,通信のそのものを禁止することもできる
    • 今回はサービスを制限したが,ユーザの制限も可能

  • ファイアウォールの適切利用
    • 許可 or 禁止するリストを適切に管理・設定する�⇒ おろそかにすると,不正アクセスの要因となる
    • ファイアウォールに限らず,適切なアクセス管理が重要
      • SNSの公開範囲設定など

情報セキュリティ出前授業-不正侵入とその対策-

31

2024年11月21日

33 of 35

おわりに

情報セキュリティ出前授業-不正侵入とその対策-

32

2024年11月21日

34 of 35

今日はいかがでしたか?

  • 自宅でも演習に挑戦したい
    • 実際のシステム/サービスには攻撃しない
    • 「ハッキングラボ 作り方」などで検索

  • 情報セキュリティをもっと学びたい!
    • 情報セキュリティマネジメント試験 など
      • 「情報処理技術者試験」で検索
    • 大学には「情報セキュリティ」に関する研究室もある
      • 各大学のWebサイトを参照

情報セキュリティ出前授業-不正侵入とその対策-

33

2024年11月21日

35 of 35

諸連絡

  • 『ユーザアカウント通知票』は回収します
    • その他の資料・教材は,持ち帰ってもOK
    • 置かれているものは高専側で回収

  • 事後アンケートの回答
    • 全員が必ず回答する
    • 11月中に回答してください
    • 詳細は,澤先生より連絡していただきます

情報セキュリティ出前授業-不正侵入とその対策-

34

2024年11月21日