SlideShare uma empresa Scribd logo

20120129図書館問題研究会

Transferir como PPTX, PDF
UEHARA, Tetsutaro
UEHARA, Tetsutaro
1 de 15
サービス妨害攻撃に備え、IPA報告書を読も う! ~『岡崎図書館事件』を繰り返さないために ~ NPO法人情報セキュリティ研究 所 上原哲太郎 http://uehara.tetsutaro.jp uehara@tetsutaro.jp Twitter: @tetsutalow
本日の主旨  最近「サービス妨害攻撃」「サービス不能攻 撃」 「DoS攻撃」「サイバーテロ」なるものが?  予防的対策として何をしておくべき?  もし『攻撃された?』という状況になったら どのように対処する?  これをIPA報告書から読み解く
最近の主なサービス妨害 =DoS攻撃  2009年7月 米韓の政府系サイトにDDoS攻 撃 http://www.itmedia.co.jp/news/articles /0907/09/news014.html  DDoS=Distributed Denial of Service 分散型サービス不能攻撃  マルウェア(ウィルス)を使用して多数のパソ コンを遠隔操作し(ボットネット化)、一斉に 多数のサイトに対して攻撃(主に帯域消費型攻 撃)  一部では脆弱性を突いて不正アクセス等も
参考:ボットネット 企業等のWEBサーバ 遠隔操作用サーバ (C&Cサーバ・ハーダー) Botへの 攻撃者 指令を 指令を 設定 送信 大量アクセス による停止 Botが Bot サーバに カードの情報 (ウィルス) 接続 アカウントなど 侵入経路は 大量漏洩! メール・Web・ ネット直接など 迷惑メールの 感染者は気づかないためずっと悪用され続ける 大量ばらまき
最近のDoS攻撃: Anonymous等の一連の騒ぎ  2011年4月 米ソニー子会社への攻撃  PS3の著作権保護機能の回避技術を公開した あるハッカーが裁判で負けたことの抗議として  その後不正アクセスや幹部個人攻撃に発展  2012年1月中旬 米FBIや司法省への攻撃  SOPA法への抗議  Megaupload(アップロードサイト)封鎖へ の抗議  Anonymousの行動は「思想犯」的??  単にアナーキストであると思った方が?
「愛国的ハッカー」による日本 攻撃  2010年9月、中国紅客連盟らによる日本攻 撃  竹島問題に端を発しているといわれるが…  各政府機関や自治体から、 芸能人や漫画家のブログまでが攻撃対象に  多くの攻撃手法は単純  単純にツールで連続アクセス(「田代砲」攻撃)  この種の問題は世界中にある  ロシアと旧東欧諸国の間のものが有名  我が国にも随時散発的に起きている
図書館・自治体等とDoS攻撃  決して無視できる話ではない  「うちは大丈夫」は厳禁 きっかけ次第で狙わ れる  「流れ弾」に当たることも少なくない  ただし「標的型攻撃」ほど怖くない  民間企業と異なり、 サービス停止が金銭被害に繋がりにくい  非金銭的&回復不能な被害が起きることも少な い  むしろ「内向きの理由」で恐れられる
DoS攻撃を理解するために  IPA「サービス妨害攻撃 の対策等調査」報告書  2010年12月発行  偶然だがちょうど 中国紅客連盟事件、 岡崎図書館事件の 時期に重なった  多少荒い部分もあるが この種のものとしては よい出来?
IPA報告書の特徴  想定読者  本報告書は、中小企業、小規模な公的機関、団 体等、規模が比較的小さく、専任のセキュリ ティ管理者を置くことが難しい組織における経 営者(CIO、CTO等を含む)、情報セキュリティ 担当者を主たる読者と想定して記述している。  サービス妨害(DoS)攻撃について 網羅的にまとめ、対策も比較的適切な記述  事例が少し弱いのでそこをニュース等で 補って読む/読ませると効果的
IPA報告書の主なポイント (1)  第1章:サービス妨害攻撃の定義と概要  サービス妨害攻撃は  脆弱性を突くもの  ソフトウェア的な脆弱性  通信システム自身の脆弱性  情報システムの「資源」を浪費させるもの  通信帯域を浪費させるもの  サーバ能力・などのシステム資源を浪費させるも の
IPA報告書のポイント(2)  第2章:事例集  オンラインゲーム  一般企業への詐欺事件  AntinnyによるACCSへのDoS  愛国的ハッカー事案 など 大規模なものはネタとして読んでおけばいい (本当に来たらどうしようもない事例)
IPA報告書のポイント(3)  第3章 DoS攻撃の動機・背景・手法  動機:個人的恨み・思想的背景・金銭目的…  これもネタ程度にしておけば…  手法:「表3.2」が一つの「試金石」
表3.2補足  足りない攻撃として「Webサービス脆弱 性」  実は最多はこれ  しかし実際には脆弱性を突かれたのが 「事故」である場合がある  本文では2.1.5に紹介されている 「岡崎図書館事件」が典型  これを担当者や業者が「言い訳」に使うと…
IPA報告書のポイント(4)  第4章:実際の対応について  組織内体制から書かれているが すぐに出来ない場合には4.3の「窓口」あた りから  事前対策については表4.4 事後対策については図4.4と4.5
本日一番知っておいて欲しいこ と  サービス不能攻撃は実は多くの場合は 「本当の攻撃」ではない  業者の言い訳に騙されてはいけない…

Recomendados

Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシChiemi Watanabe
 
0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷真琴 平賀
 
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価Shinnosuke Takamichi
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策Kiyoshi SATOH
 
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットSNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットKatsuhiro Morishita
 
Mr201207 browser treat
Mr201207 browser treatMr201207 browser treat
Mr201207 browser treatFFRI, Inc.
 
Mr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_androidMr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_androidFFRI, Inc.
 
スマートフォン勉強会@関西 #6 LT
スマートフォン勉強会@関西 #6 LTスマートフォン勉強会@関西 #6 LT
スマートフォン勉強会@関西 #6 LTYutaka Tsumori
 

Recomendados

Online Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシOnline Social Networkにおけるセキュリティとプライバシ
Online Social NetworkにおけるセキュリティとプライバシChiemi Watanabe
 
0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷真琴 平賀
 
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価
話者V2S攻撃: 話者認証から構築される 声質変換とその音声なりすまし可能性の評価Shinnosuke Takamichi
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策Kiyoshi SATOH
 
SNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットSNSを始めとした情報化社会における危険性とメリット
SNSを始めとした情報化社会における危険性とメリットKatsuhiro Morishita
 
Mr201207 browser treat
Mr201207 browser treatMr201207 browser treat
Mr201207 browser treatFFRI, Inc.
 
Mr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_androidMr201212 man in_the_browser_in_android
Mr201212 man in_the_browser_in_androidFFRI, Inc.
 
スマートフォン勉強会@関西 #6 LT
スマートフォン勉強会@関西 #6 LTスマートフォン勉強会@関西 #6 LT
スマートフォン勉強会@関西 #6 LTYutaka Tsumori
 
20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティUEHARA, Tetsutaro
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティUEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティUEHARA, Tetsutaro
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」UEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)UEHARA, Tetsutaro
 
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!UEHARA, Tetsutaro
 
Glibc malloc internal
Glibc malloc internalGlibc malloc internal
Glibc malloc internalMotohiro KOSAKI
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】MOCKS | Yuta Morishige
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはUEHARA, Tetsutaro
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminarUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)UEHARA, Tetsutaro
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説UEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいUEHARA, Tetsutaro
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題UEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性UEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへUEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてUEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現UEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題UEHARA, Tetsutaro
 

Mais conteúdo relacionado

Destaque

20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティUEHARA, Tetsutaro
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティUEHARA, Tetsutaro
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティUEHARA, Tetsutaro
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~UEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」UEHARA, Tetsutaro
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)UEHARA, Tetsutaro
 
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!UEHARA, Tetsutaro
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】MOCKS | Yuta Morishige
 

Destaque (10)

20160924自治体セキュリティ
20160924自治体セキュリティ20160924自治体セキュリティ
20160924自治体セキュリティ
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
 
マイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティマイナンバーに対応したセキュリティ
マイナンバーに対応したセキュリティ
 
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
日経BP 情報セキュリティサミット2016 Spring 企業におけるセキュリティ
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
 
Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」Security days 2016「セキュリティ対策の転換点」
Security days 2016「セキュリティ対策の転換点」
 
20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)20160531業務効率化とセキュリティ(配布版)
20160531業務効率化とセキュリティ(配布版)
 
法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!法人番号はテンキーで転記ーするんやで!
法人番号はテンキーで転記ーするんやで!
 
Glibc malloc internal
Glibc malloc internalGlibc malloc internal
Glibc malloc internal
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】【プレゼン】見やすいプレゼン資料の作り方【初心者用】
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
 

Mais de UEHARA, Tetsutaro

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)UEHARA, Tetsutaro
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説UEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいUEHARA, Tetsutaro
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題UEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性UEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへUEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてUEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現UEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題UEHARA, Tetsutaro
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理UEHARA, Tetsutaro
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能であるUEHARA, Tetsutaro
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドUEHARA, Tetsutaro
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)UEHARA, Tetsutaro
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSUEHARA, Tetsutaro
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションUEHARA, Tetsutaro
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点UEHARA, Tetsutaro
 

Mais de UEHARA, Tetsutaro (20)

デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とはクラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
 
Dbsj2020 seminar
Dbsj2020 seminarDbsj2020 seminar
Dbsj2020 seminar
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)ネ申Excelと事務情報化 (関西オープンフォーラム2017)
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
 
シンクライアントの解説
シンクライアントの解説シンクライアントの解説
シンクライアントの解説
 
PPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたいPPAPを何とかしたいがPHSも何とかしたい
PPAPを何とかしたいがPHSも何とかしたい
 
データベースセキュリティの重要課題
データベースセキュリティの重要課題データベースセキュリティの重要課題
データベースセキュリティの重要課題
 
米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性米国におけるDfコンテストと日本における展開の可能性
米国におけるDfコンテストと日本における展開の可能性
 
システム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへシステム安定運用からサイバーレジリエンスへ
システム安定運用からサイバーレジリエンスへ
 
サイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けてサイバーセキュリティ人材の育成に向けて
サイバーセキュリティ人材の育成に向けて
 
20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現20181030 DBSCシンポジウム 情報システムと時間の表現
20181030 DBSCシンポジウム 情報システムと時間の表現
 
サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題サマータイムとうるう秒と2038年問題
サマータイムとうるう秒と2038年問題
 
サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理サマータイムに関する現状の認識整理
サマータイムに関する現状の認識整理
 
サマータイム実施は不可能である
サマータイム実施は不可能であるサマータイム実施は不可能である
サマータイム実施は不可能である
 
だいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライドだいじょうぶキャンペーン2009スライド
だいじょうぶキャンペーン2009スライド
 
ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)ブロッキングの技術的課題(公開版)
ブロッキングの技術的課題(公開版)
 
証拠保全とは?
証拠保全とは?証拠保全とは?
証拠保全とは?
 
デジタル・フォレンジックとOSS
デジタル・フォレンジックとOSSデジタル・フォレンジックとOSS
デジタル・フォレンジックとOSS
 
CSS2017キャンドルスターセッション
CSS2017キャンドルスターセッションCSS2017キャンドルスターセッション
CSS2017キャンドルスターセッション
 
企業セキュリティ対策の転換点
企業セキュリティ対策の転換点企業セキュリティ対策の転換点
企業セキュリティ対策の転換点
 

20120129図書館問題研究会

  • 1. サービス妨害攻撃に備え、IPA報告書を読も う! ~『岡崎図書館事件』を繰り返さないために ~ NPO法人情報セキュリティ研究 所 上原哲太郎 http://uehara.tetsutaro.jp uehara@tetsutaro.jp Twitter: @tetsutalow
  • 2. 本日の主旨  最近「サービス妨害攻撃」「サービス不能攻 撃」 「DoS攻撃」「サイバーテロ」なるものが?  予防的対策として何をしておくべき?  もし『攻撃された?』という状況になったら どのように対処する?  これをIPA報告書から読み解く
  • 3. 最近の主なサービス妨害 =DoS攻撃  2009年7月 米韓の政府系サイトにDDoS攻 撃 http://www.itmedia.co.jp/news/articles /0907/09/news014.html  DDoS=Distributed Denial of Service 分散型サービス不能攻撃  マルウェア(ウィルス)を使用して多数のパソ コンを遠隔操作し(ボットネット化)、一斉に 多数のサイトに対して攻撃(主に帯域消費型攻 撃)  一部では脆弱性を突いて不正アクセス等も
  • 4. 参考:ボットネット 企業等のWEBサーバ 遠隔操作用サーバ (C&Cサーバ・ハーダー) Botへの 攻撃者 指令を 指令を 設定 送信 大量アクセス による停止 Botが Bot サーバに カードの情報 (ウィルス) 接続 アカウントなど 侵入経路は 大量漏洩! メール・Web・ ネット直接など 迷惑メールの 感染者は気づかないためずっと悪用され続ける 大量ばらまき
  • 5. 最近のDoS攻撃: Anonymous等の一連の騒ぎ  2011年4月 米ソニー子会社への攻撃  PS3の著作権保護機能の回避技術を公開した あるハッカーが裁判で負けたことの抗議として  その後不正アクセスや幹部個人攻撃に発展  2012年1月中旬 米FBIや司法省への攻撃  SOPA法への抗議  Megaupload(アップロードサイト)封鎖へ の抗議  Anonymousの行動は「思想犯」的??  単にアナーキストであると思った方が?
  • 6. 「愛国的ハッカー」による日本 攻撃  2010年9月、中国紅客連盟らによる日本攻 撃  竹島問題に端を発しているといわれるが…  各政府機関や自治体から、 芸能人や漫画家のブログまでが攻撃対象に  多くの攻撃手法は単純  単純にツールで連続アクセス(「田代砲」攻撃)  この種の問題は世界中にある  ロシアと旧東欧諸国の間のものが有名  我が国にも随時散発的に起きている
  • 7. 図書館・自治体等とDoS攻撃  決して無視できる話ではない  「うちは大丈夫」は厳禁 きっかけ次第で狙わ れる  「流れ弾」に当たることも少なくない  ただし「標的型攻撃」ほど怖くない  民間企業と異なり、 サービス停止が金銭被害に繋がりにくい  非金銭的&回復不能な被害が起きることも少な い  むしろ「内向きの理由」で恐れられる
  • 8. DoS攻撃を理解するために  IPA「サービス妨害攻撃 の対策等調査」報告書  2010年12月発行  偶然だがちょうど 中国紅客連盟事件、 岡崎図書館事件の 時期に重なった  多少荒い部分もあるが この種のものとしては よい出来?
  • 9. IPA報告書の特徴  想定読者  本報告書は、中小企業、小規模な公的機関、団 体等、規模が比較的小さく、専任のセキュリ ティ管理者を置くことが難しい組織における経 営者(CIO、CTO等を含む)、情報セキュリティ 担当者を主たる読者と想定して記述している。  サービス妨害(DoS)攻撃について 網羅的にまとめ、対策も比較的適切な記述  事例が少し弱いのでそこをニュース等で 補って読む/読ませると効果的
  • 10. IPA報告書の主なポイント (1)  第1章:サービス妨害攻撃の定義と概要  サービス妨害攻撃は  脆弱性を突くもの  ソフトウェア的な脆弱性  通信システム自身の脆弱性  情報システムの「資源」を浪費させるもの  通信帯域を浪費させるもの  サーバ能力・などのシステム資源を浪費させるも の
  • 11. IPA報告書のポイント(2)  第2章:事例集  オンラインゲーム  一般企業への詐欺事件  AntinnyによるACCSへのDoS  愛国的ハッカー事案 など 大規模なものはネタとして読んでおけばいい (本当に来たらどうしようもない事例)
  • 12. IPA報告書のポイント(3)  第3章 DoS攻撃の動機・背景・手法  動機:個人的恨み・思想的背景・金銭目的…  これもネタ程度にしておけば…  手法:「表3.2」が一つの「試金石」
  • 13. 表3.2補足  足りない攻撃として「Webサービス脆弱 性」  実は最多はこれ  しかし実際には脆弱性を突かれたのが 「事故」である場合がある  本文では2.1.5に紹介されている 「岡崎図書館事件」が典型  これを担当者や業者が「言い訳」に使うと…
  • 14. IPA報告書のポイント(4)  第4章:実際の対応について  組織内体制から書かれているが すぐに出来ない場合には4.3の「窓口」あた りから  事前対策については表4.4 事後対策については図4.4と4.5
  • 15. 本日一番知っておいて欲しいこ と  サービス不能攻撃は実は多くの場合は 「本当の攻撃」ではない  業者の言い訳に騙されてはいけない…