情報セキュリティ読本 四訂版 - IPA 独立行政法人 情報処理推進機構
Download
Report
Transcript 情報セキュリティ読本 四訂版 - IPA 独立行政法人 情報処理推進機構
情報セキュリティ読本 四訂版
情報セキュリティ読本 四訂版
- IT時代の危機管理入門 -
(第3章 見えない脅威とその対策
- 個人レベルのセキュリティ対策 -)
出典: 情報セキュリティ読本 四訂版
1
第3章 見えない脅威とその対策
(- 個人レベルのセキュリティ対策 -)
1.
2.
3.
4.
5.
6.
7.
マルウェア – 見えない化が進む
共通の対策
標的型攻撃と誘導型攻撃への対策
フィッシング詐欺への対策
ワンクリック請求への対策
スマートフォンの脅威と対策
無線LANに潜む脅威とその対策
出典: 情報セキュリティ読本 四訂版
2
第3章
1. マルウェア
1)マルウェアとは?
2)マルウェアに感染するとどうなるのか?
3)マルウェア感染の原因
出典: 情報セキュリティ読本 四訂版
3
第3章 > 1. マルウェア
1)マルウェアとは
•
•
•
•
コンピュータウイルス、スパイウェア、ボットなどの
不正プログラムを総称してマルウェアと呼ぶ
ウイルス:他のファイルやプログラムに寄生して
数々の悪さをするソフトウェア
スパイウェア:利用者や管理者の意図に反してイ
ンストールされ、利用者の個人情報やアクセス履
歴などの情報を収集する不正プログラム
ボット:ユーザのコンピュータに侵入し、ネットワー
クを通じて感染したコンピュータを外部から操る
目的を持つ不正プログラム
出典: 情報セキュリティ読本 四訂版
4
第3章 > 1. マルウェア
2)マルウェアに感染するとどうなるのか?
•
•
•
•
•
•
情報漏えい
悪意のあるサイトへの誘導やマルウェアのダ
ウンロード
DDoS攻撃
ウイルスメールの大量送信や差出人アドレス
の詐称
ウイルス対策ソフト停止やWebサイトへのア
クセス妨害
その他の症状
出典: 情報セキュリティ読本 四訂版
5
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
情報漏えい
•
P2Pファイル交換ソフトによる情報漏えい
–
–
•
パソコンの中の情報を丸ごと公開
–
•
パソコン内のデータを共有ネットワークに流す
W32/Antinny(2003年8月)など
暴露ウイルス(山田オルタナティブ等)
スパイウェアによる情報の盗み出し
–
実在の企業名や官公庁をかたるメールを送付し、
ユーザに添付ファイルを開かせ、スパイウェア
(キーロガーなど)を仕込む
出典: 情報セキュリティ読本 四訂版
6
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
悪意のあるサイトへの誘導やマルウェアのダウンロード
•
最近は、シーケンシャルマルウェアと呼ば
れるマルウェアが多く発見されている
シーケンシャルマルウェア :
インターネット上の攻撃者が用意したサーバからプログラムなどをダウン
ロードする「ダウンローダ」を介して埋め込まれる多段型のマルウェア
出典: 情報セキュリティ読本 四訂版
7
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
シーケンシャルマルウェア
③
④マルウェアの
ダウンロード
②脆弱性攻撃により
ダウンローダに感染
⑤
①攻撃者が添付ファイル付きの電子メールを送信
②脆弱性攻撃によりダウンローダに感染
③攻撃者が用意したサーバーへダウンロード要求
④マルウェアがダウンロードされる
⑤マルウェアに感染
(同様の手順で、マルウェアを次々とダウンロードすることもある )
出典: 情報セキュリティ読本 四訂版
8
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
DDoS攻撃
•
•
•
感染したコンピュータを踏み台にして
DDoS攻撃を行う
ボットによるDDoS攻撃
ボットネットワークを利用されると、ボッ
ト(感染したコンピュータ)の数が多いの
で、大きな脅威となる
出典: 情報セキュリティ読本 四訂版
9
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
ウイルスメールの大量送信や差出人アドレスの詐称
送信者を詐称 → 本当の感染者に連絡がとれない
→ 知り合いからのメールと思いファイルを開く
→ 有名な会社やサポートセンターを騙る
大量にウイルスメールを送信 → 感染被害拡大
ウイルスメールの例
差出人
アドレスを
詐称
・メールの
添付ファイルを
開くと感染
・エラー通知を
装った本文
出典: 情報セキュリティ読本 四訂版
10
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
ウイルス対策ソフトの停止やベンダーWebサイトへの
アクセス妨害
検知・駆除されないためのウイルスの手口
・ ウイルス対策ソフトを停止する
・ PC内のファイアウォールの機能を停止する
・ ウイルス対策ソフトベンダーのサイトにアクセス
させない
例: W32/Klez W32/Netsky W32/Bagle
ウイルス対策ソフトがそのウイルスに対応している場合
ウイルス対策ソフトを停止される前にウイルスを駆除してくれる
→ ウイルス対策ソフトを更新しておらず、そのウイルスを
検出・駆除できない場合に被害に遭う
ウイルス対策ソフトの更新は(毎日)定期的に行う!
→ 自動更新機能の利用も
出典: 情報セキュリティ読本 四訂版
11
第3章 > 1. マルウェア > 2) マルウェアに感染するとどうなるのか?
その他の症状
•
インターネットが利用できなくなる
– 例: W32/SQLSlammer(スラマー)
•
コンピュータが再起動を繰り返す
– 例: W32/MSBlaster(ブラスター)
•
フィッシング詐欺をはたらく
– 例: W32/Mimail(ミメイル)
出典: 情報セキュリティ読本 四訂版
12
第3章 > 1. マルウェア
3)マルウェア感染の原因
•
•
•
•
•
USBメモリの接続による感染
ファイルのオープンによる感染
Webページの閲覧による感染
メールの開封やプレビューによる感染
ネットワークへの接続による感染
出典: 情報セキュリティ読本 四訂版
13
第3章 > 1. マルウェア > 3) マルウェア感染の原因
USBメモリの接続による感染
•
USBメモリを接続すると、その中の特定の
ファイルが自動的に実行される機能を悪用
して感染させる(Windows XP/Vista)
出典: 情報セキュリティ読本 四訂版
14
第3章 > 1. マルウェア > 3) マルウェア感染の原因
ファイルのオープンによる感染
•
•
メールの添付ファイルを開くと感染
次のようなファイルの入手経路も利用される
– ダウンロード、P2Pファイル交換ソフト
– IMやIRC経由
– CDやUSBメモリなどの外部ファイル
•
ユーザの錯誤を誘う巧妙な手口
– ユーザの気を引くようなファイル名
– 二重拡張子、アイコンの偽装
– 公的機関を装う(組織名などを悪用)
出典: 情報セキュリティ読本 四訂版
15
第3章 > 1. マルウェア > 3) マルウェア感染の原因 > ファイルのオープンによる感染
ユーザの気を引くようなファイル名
•
•
•
添付ファイルをユーザに開いてもらう(そして
感染させる)ことが目的
ファイル名を工夫することによってユーザの
気を引く
例: 「(お宝)秘蔵写真集」 (W32/Antinny)
出典: 情報セキュリティ読本 四訂版
16
第3章 > 1. マルウェア > 3) マルウェア感染の原因 > ファイルのオープンによる感染
二重拡張子やアイコンの偽装
アイコンを偽装する
偽装したアイコンに該当するプログラムを立ち上げる
ダブルクリック
偽装したアイコンに該当する
プログラム(メモ帳)を立ち上げる
テキストファイルに
見せかけたウイルスファイル
テキストファイルを開くプログ
ラムを立ち上げて騙しつつ、
見えないところでウイルスも
動作を開始している。
怪しいファイルの見わけ方
⇔ 第3章 p.44
出典: 情報セキュリティ読本 四訂版
17
第3章 > 1. マルウェア > 3) マルウェア感染の原因 > ファイルのオープンによる感染
公的機関を装う
① メールの受信者が興味を持
つと思われる件名
② 送信者のメールアドレスが信
頼できそうな組織のアドレス
③ 件名に関わる本文
④ 本文の内容に合った添付ファ
ル名
⑤ 添付ファイルがワープロ文書や
PDFファイルなど
⑥ ②に対応した組織名や個人名
などを含む署名
出典: 情報セキュリティ読本 四訂版
18
第3章 > 1. マルウェア > 3) マルウェア感染の原因
Webページの閲覧による感染
•
•
攻撃者がWebページにウイルスを仕掛けて
おくことがある
脆弱性を解消していないと、Webページを見
るだけでウイルスに感染することがある
出典: 情報セキュリティ読本 四訂版
19
第3章 > 1. マルウェア > 3) マルウェア感染の原因
メールの開封やプレビューによる感染
•
•
メールソフトやOSの脆弱性を悪用
脆弱性を解消していないと、メールを開いたり、
プレビューしただけで、マルウェアに感染する
出典: 情報セキュリティ読本 四訂版
20
第3章 > 1. マルウェア > 3) マルウェア感染の原因
ネットワークへの接続による感染
•
•
OSの脆弱性を悪用
ネットワークに繋がっている脆弱性のあるコン
ピュータに対し、ウイルスファイルを送り込む
→ W32/Downad(ダウンアド)など
• パスワードの設定が甘いと、
ネットワーク経由でパスワードを攻略して感染
→ W32/Deloder(デローダー)など
出典: 情報セキュリティ読本 四訂版
21
第3章
2. 共通の対策
1) 脆弱性の解消
2) ウイルス対策ソフトウェアのインストールと更新
3) パーソナルファイアウォールの活用
4) Webブラウザのセキュリティ設定
5) ネットサーフィンの危険性とその対策
6) メールソフトのセキュリティ設定
7) 不審な添付ファイル、迷惑メールの取り扱いに
対する注意
8) その他の注意点
9) いざ、という時のために
出典: 情報セキュリティ読本 四訂版
22
第3章 > 2. 共通の対策
1) 脆弱性の解消
•
•
•
•
脆弱性は、マルウェア感染や他の攻撃を受
ける原因となる
脆弱性の解消は、情報セキュリティ対策の
第一歩
Windowsでは Windows Update を活用
ソフトウェアの各ベンダーから提供される
パッチを適用(または、最新版にバージョン
アップ)
出典: 情報セキュリティ読本 四訂版
23
第3章 > 2. 共通の対策
2) ウイルス対策ソフトウェアのインストールと更新
•
•
コンピュータにウイルス対策ソフトウェアをイ
ンストールする
パターンファイル(定義ファイル)を定期的に
更新する
出典: 情報セキュリティ読本 四訂版
24
第3章 > 2. 共通の対策
3) パーソナルファイアウォールの活用
•
•
•
ファイアウォールは、外部からの不正アクセ
スや不正プログラムの侵入を防ぐ
スパイウェアやウイルスによる、内部からの
不正な情報発信を防ぐ
ファイアウォールは正しく設定・運用すること
が重要
⇔パーソナルファイアウォール機能の詳細は、第5章 p.96を参照
出典: 情報セキュリティ読本 四訂版
25
第3章 > 2. 共通の対策
4) Webブラウザのセキュリティ設定(1)
ブラウザのセキュリティ設定=「中」以上
インターネット
ゾーンでは
インターネットエクスプローラで
「ツール」→「インターネットオプション」
→「セキュリティ」タブ
セキュリティ
レベル=中以上
出典: 情報セキュリティ読本 四訂版
26
第3章 > 2. 共通の対策
5)ネットサーフィンの危険性とその対策(1)
•
不審なサイトには近づかない
– さまざまな手法で罠が仕掛けられているので、
脆弱性があると被害を受ける
•
安易なダウンロードやインストールをしない
– 誤ってトロイの木馬やキーロガーをダウンロー
ドしてしまう可能性がある
•
個人情報をむやみに入力しない
– フィッシングの被害に遭わないために、クレジッ
トカード番号などの入力は必要最小限に
– SSLが使用されているか確認する
出典: 情報セキュリティ読本 四訂版
27
第3章 > 2. 共通の対策
5)ネットサーフィンの危険性とその対策(2)
SSL方式の利用
Internet Explorer
SSL通信の際はhttp:// が
https:// になる
鍵マークが現れる
Firefox
出典: 情報セキュリティ読本 四訂版
28
第3章 > 2. 共通の対策
6) メールソフトのセキュリティ設定
•
•
電子メールの添付ファイルやメール本文の
リンクを介したウイルス感染が多数存在
ウイルス以外にもフィッシングに悪用されて
いる
メールソフトのセキュリティ設定も活用
Windows Liveメールは「ツール」→「セキュリティのオプション」
Thunderbirdは「ツール」→「オプション」→「セキュリティ」
※その他のメールソフトにも同様の設定項目がある。
出典: 情報セキュリティ読本 四訂版
29
第3章 > 2. 共通の対策
7) 不審な添付ファイル、迷惑メールの取り扱いに対する注意(1)
•
•
•
不審なメールや添付ファイルは開かないの
が原則
添付ファイルは、開く前や実行する前にウイ
ルス検査を行う
見た目に惑わされず、添付ファイルの拡張
子とアイコンを確認する
出典: 情報セキュリティ読本 四訂版
30
第3章 > 2. 共通の対策
7) 不審な添付ファイル、迷惑メールの取り扱いに対する注意(2)
•
危険なファイルの拡張子の例
•
アイコンやファイル名の偽装例
出典: 情報セキュリティ読本 四訂版
31
第3章 > 2. 共通の対策
拡張子を表示する設定
1)Windowsのエクスプローラーを起動し,メニューバーから[ツール]-[フォルダオプション]を選択
2)[フォルダオプション]というパネルが表示されるので、[表示]タブをクリック
3)[登録されている拡張子は表示しない]というオプションをクリックし、チェックマークを外す
4)[すべてのフォルダに適用]をクリック
出典: 情報セキュリティ読本 四訂版
32
第3章 > 2. 共通の対策
7) 不審な添付ファイル、迷惑メールの取り扱いに対する注意(3)
•
メールの暗号化とディジタル署名で
不正行為を封じる
– なりすまし
– 改ざん
– 盗聴
⇔暗号化とディジタル署名の詳細は、5章 p.97を参照
出典: 情報セキュリティ読本 四訂版
33
第3章 > 2. 共通の対策
8) その他の注意点
•
•
•
アプリケーションのセキュリティ機能を活用
する
自分で管理できないコンピュータには、個
人情報を入力しない
USBメモリの取り扱いに注意する
–
–
–
自分が管理していないUSBメモリは接続しない
自分が管理していないパソコンには接続しない
USBメモリの自動実行機能を無効化する
出典: 情報セキュリティ読本 四訂版
34
第3章 > 2. 共通の対策
9) いざ、という時のために
•
•
•
万が一のために、データは必ずバックアッ
プする
ウイルス感染の兆候を見逃さない
もし、マルウェアに感染してしまったら
– システム管理者に報告し、落ち着いて、決め
られた手順に従う
•
もっとも安全で確実なのは初期化または
再インストール
出典: 情報セキュリティ読本 四訂版
35
第3章
3. 標的型攻撃と誘導型攻撃への対策
1) 標的型攻撃とその対策
2) 誘導型攻撃とその対策
出典: 情報セキュリティ読本 四訂版
36
第3章 > 3. 標的型攻撃と誘導型攻撃への対策
1) 標的型攻撃とその対策
•
•
•
•
標的型攻撃=主に電子メールを用いて、特
定の組織や個人を狙う攻撃
防ぎにくい(不特定多数が対象でないため)
心理的に、騙されやすい内容となっている
PDF、Word、Excelなどのファイルにマル
ウェアを仕込んでいるケースが多い
IPAの情報セキュリティ安心相談窓口
http://www.ipa.go.jp/security/virus/fushin110.html
(不審なメールの相談窓口)
出典: 情報セキュリティ読本 四訂版
37
第3章 > 3. 標的型攻撃と誘導型攻撃への対策
2) 誘導型攻撃とその対策
•
•
誘導型攻撃=攻撃者が仕掛けた罠に利用
者(ターゲット)を誘い込む攻撃
受動型攻撃ともいう
誘導型攻撃への対策:
・安易にリンクをクリックしない、
・セキュリティホールを解消しておく
出典: 情報セキュリティ読本 四訂版
38
第3章 > 3. 標的型攻撃と誘導型攻撃への対策
能動的攻撃と誘導型攻撃の比較
サーバやパソコンを
直接攻撃する能動的攻撃
利用者を攻撃者の仕掛けた
罠に誘導する、誘導型攻撃
出典: 情報セキュリティ読本 四訂版
39
第3章
4. フィッシング詐欺への対策
1) フィッシング詐欺とは
2) フィッシング詐欺への対策
3) ますます巧妙化するフィッシング詐欺
出典: 情報セキュリティ読本 四訂版
40
第3章 > 4. フィッシング詐欺への対策
1) フィッシング詐欺とは
金融機関(銀行やクレジットカード会社)などを装った電子メールを送り、住所、
氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為
フィッシング詐欺
xx.xx.30.51
xx.xx.30.51
偽りのサイト
正規のサイト
メール
正規のサイトに見せかけて利用者の
IDとパスワードを入力させる
正規のサイトにみせかけて、偽りのサイトに誘
導することで、利用者は騙されてしまい、重要な
情報が漏えいしてしまいます。
悪意を持つ人
利用者
出典: 情報セキュリティ読本 四訂版
カード情報などの
重要な情報を得る
41
第3章 > 4. フィッシング詐欺への対策 > 1) フィッシング詐欺とは
巧妙な手口
•
ユーザを錯誤させる騙しメール
– 実在する企業のアドレスに酷似
– 真実味のある本文
•
本物に見間違えるような偽のWebサイト
– 実在の企業名やロゴを使用
– 実在のサイトとまったく同じデザイン
•
個人情報の入力を求める
– クレジットカード番号、銀行の口座番号、ユー
ザID、パスワードなどを盗むことが目的
出典: 情報セキュリティ読本 四訂版
42
第3章 > 4. フィッシング詐欺への対策 > 1) フィッシング詐欺とは
どのような被害に遭うのか
•
•
•
•
クレジットカードの不正使用
オンラインバンクでの不正送金
ECサイトでの不正注文
個人情報が漏えいし、振り込め詐欺に悪用
される恐れもある
出典: 情報セキュリティ読本 四訂版
43
第3章 > 4. フィッシング詐欺への対策 > 1) フィッシング詐欺とは
フィッシング詐欺 – 実例1
•
•
送信元が [email protected]の送信元詐称
メール。
文中のリンク
https://www.visa.co.jp/verified/ は、VISAの
正規のURLに見えるが、HTTPのソースでは
http://xxx.xxx.xxx.74/verified/ を指していた。
クリックするとフィッシング サイトへジャンプし、
カード番号やID番号の入力を促す。
出典: 情報セキュリティ読本 四訂版
44
第3章 > 4. フィッシング詐欺への対策 > 1) フィッシング詐欺とは
フィッシング詐欺 – 実例2
メールの添付ファイルに仕掛けられているパターン
ユーザID・パスワード・乱
数表を盗み出そうとしてい
る。
添付ファイルをクリッ
クすると右の画面が表
示される。
出典: 情報セキュリティ読本 四訂版
45
第3章 > 4. フィッシング詐欺への対策
2) フィッシング詐欺への対策
•
•
•
•
メールの送信元(差出人)を安易に信用しない
メールの内容を安易に信用しない
リンクを安易にクリックしない
入力前に本物のサイトかどうか確認する
–
–
–
アドレスバーに正しいURLが表示されているか確認す
る
SSL接続を示す鍵アイコンがつながっていないWebサ
イトでは個人情報を入力しない
フィッシング対策用のソフトウェアを使用する
出典: 情報セキュリティ読本 四訂版
46
第3章 > 4. フィッシング詐欺への対策
3) ますます巧妙化するフィッシング
•
•
メールに添付した不正プログラムを開かせ
て、機密情報を盗む攻撃が発生
最新の事例は「フィッシング対策協議会」の
サイトを参照
フィッシング対策協議会 :http://www.antiphishing.jp/
(フィッシング対策ガイドラインの公表、フィッシングに騙られた金融機関の事例を紹介 )
出典: 情報セキュリティ読本 四訂版
47
第3章
5. ワンクリック請求への対策
1) ワンクリック請求とは
2) ワンクリック請求への対策
3) スパイウェアによる不正請求
出典: 情報セキュリティ読本 四訂版
48
第3章 > 5. ワンクリック請求への対策
1) ワンクリック請求とは
•
•
•
出会い系サイト、アダルトサイト、投資関係
サイト、ダウンロードサイトなどを装いユー
ザが訪れるのを待つ
ユーザが画像などを単にクリックしただけで、
入会金や登録料などの名目で、料金の支
払いを求める
ユーザの個人情報を知っているかのように
ふるまい、ユーザの不安をあおる
出典: 情報セキュリティ読本 四訂版
49
第3章 > 5. ワンクリック請求への対策 > 1)ワンクリック請求
ワンクリック請求の例(1)
出典: 情報セキュリティ読本 四訂版
50
第3章 > 5. ワンクリック請求への対策 > 1)ワンクリック請求
ワンクリック請求の例(2)
出典: 情報セキュリティ読本 四訂版
51
第3章 > 5. ワンクリック請求への対策
2) ワンクリック請求への対策
•
•
•
信頼できないWebサイトには近づかない
興味本位でクリックやダウンロードをしない
もし請求されても基本的に無視すればよい
– 契約は成立していない
– 個人情報は取得されていない(ネットワークに
関する情報はある程度わかるが、個人は特定
できない)
– 相手への問い合わせは絶対にしないこと
•
不安な場合は、消費生活センターや国民生
活センターに相談する
出典: 情報セキュリティ読本 四訂版
52
第3章 > 5. ワンクリック請求への対策
3) スパイウェアによる不正請求
•
•
•
メールアドレスを知らせていないはずなのに、
料金請求のメールが届く
いつの間にか、デスクトップに「請求書」など
のアイコンが貼り付いている
インターネットに接続していなくても、定期的
に料金請求画面が表示される
原因は・・・スパイウェア!!
スパイウェアを取り除かなければならない
ワンクリック請求に関する注意喚起:http://www.ipa.go.jp/security/topics/alert20080909.html
(事後対策を含めた、対策全般について紹介している )
出典: 情報セキュリティ読本 四訂版
53
第3章
6. スマートフォンの脅威と対策
1) スマートフォンの危険性
2) スマートフォンのセキュリティ対策
出典: 情報セキュリティ読本 四訂版
54
第3章 > 6. スマートフォンの脅威とその対策
1) スマートフォンの危険性
•
•
スマートフォンを狙ったウイルス
スマートフォンの脆弱性
出典: 情報セキュリティ読本 四訂版
55
第3章 > 6. スマートフォンの脅威と対策
2) スマートフォンのセキュリティ対策
•
スマートフォンを安全に使うための6箇条
スマートフォンをアップデートする
スマートフォンにおける改造行為を行わない
信頼できる場所からアプリをインストールする
アンドロイド端末では、アプリをインストールす
る前に、アクセス許可を確認する
5. セキュリティソフトを導入する
6. スマートフォンを小さなパソコンと考え、パソコン
と同様に管理する
1.
2.
3.
4.
出典: 情報セキュリティ読本 四訂版
56
第3章
7. 無線LANに潜む脅威とその対策
1) 無線LANの危険性
2) 無線LANのセキュリティ対策
3) 無線LANの設定は難しい?
出典: 情報セキュリティ読本 四訂版
57
第3章 > 7. 無線LANに潜む脅威とその対策
1) 無線LANの危険性
•
無線LANの電波は屋外やビル外に達する
ことがある
– セキュリティ設定を怠ると大きな弱点となる
– 次のような被害を受ける
•
•
アクセスポイントの無断使用
社内ネットワークへの不正アクセス、盗聴
– ウォードライビングで簡単に検出できる
無線LANのアクセス
ポイントを求めて
走り回る
出典: 情報セキュリティ読本 四訂版
58
第3章 > 7. 無線LANに潜む脅威とその対策
2) 無線LANのセキュリティ対策(1)
•
暗号化の設定
– 無線LANの電波は傍受されやすいので、通信
の暗号化が不可欠
– 暗号化には、WEP、WPA、WPA2などがある
– 可能であれば、より強固な暗号方式(WPA、
WPA2など)を利用したい
– WEPの使用は推奨されていない
⇔用語集p.125(WEP、WPA)参照
WEP: Wired Equivalent Privacy
WPA: Wi-Fi Protected Access
出典: 情報セキュリティ読本 四訂版
59
第3章 > 7. 無線LANに潜む脅威とその対策
2) 無線LANのセキュリティ対策(2)
•
ESS-IDの設定
– クライアントグループを識別する識別子
– デフォルト設定をそのまま使用しない
– ANYまたは空白に設定しない
•
•
ANYまたは空白の場合はクライアントからの接続を
自動的に許可
ANYを拒否する設定が必要
– データの暗号化およびMACアドレスフィルタリ
ングと併用する(ESS-IDだけでは不十分)
ESS-ID: Extended Service Set ID
無線LANのアクセスポイントに設定されるグループID
出典: 情報セキュリティ読本 四訂版
60
第3章 > 7. 無線LANに潜む脅威とその対策
2) 無線LANのセキュリティ対策(3)
•
MACアドレスフィルタリングの設定
– MACアドレスに基づいて、アクセスポイントに接
続できる機器を制限する
•
MACアドレス=ネットワーク機器に割り当てられた
固有の番号
– 無線LANの不正利用を防ぐために、 MACアド
レスフィルタリングはできるだけ使用する
– 公衆無線LANを利用する場合は、偽のアクセ
スポイントに注意
出典: 情報セキュリティ読本 四訂版
61
第3章 > 7. 無線LANに潜む脅威とその対策
3) 無線LANの設定は難しい?
•
•
無線LANを簡単に設定できるようにした
WPSが登場
家庭での設定ではWPSを使用するとよい
WPS: Wi-Fi Protected Setup
出典: 情報セキュリティ読本 四訂版
62
本資料の利用条件
1.
著作権は独立行政法人情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] 宛に以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] 宛にお知らせ下さい。
出典: 情報セキュリティ読本 四訂版
63