Carregar apresentação
A apresentação está carregando. Por favor, espere
1
目次 セキュリティ ウイルス 不正アクセス 個人情報の保護 名誉毀損および侮辱行為 猥褻物の扱いに学ぶこと セキュリティを高めるために 暗号 © 外川@大阪大学核物理研究センター この資料に関する全ての著作権を全ての人に許諾しま す。
2
セキュリティ コンピューター犯罪の種類 – 特徴的なもの トロイの木馬、ウイルス – 既にあるようなものが計算機やネットワーク上で 行なわれたに過ぎないものが多い – 量的問題と容易性 コンピューター犯罪の特徴 – 匿名性、不特定多数性、時間的地理的無限性、場 所の不要性、無痕跡性 – 薬物売買、猥褻物販売および陳列、海賊版ソフト の販売、電子商取引での詐欺、ネットワークゲー ム賭博、名誉毀損および侮辱行為
3
セキュリティ コンピューター犯罪の変化 – 初期は高度な技術を持つ人またはそれに携 わる人 – 高度化、専門化 – 大衆化 マーケットの拡大 インターネットの普及 犯罪用プログラム(侵入ロボット、ウイ ルス作成キット)の配布、簡単な利用
4
ウイルス 本物のウイルスと似た挙動を示す – 感染、潜伏、発病 ワクチンソフト – ウイルスの感染を防ぐ – ウイルスの除染を行う – 既知のウイルスの除染しかできない ウイルス情報のアップデート – 未知のウイルスの感染を防ぐと使いにくく なる – 除染しきれない場合は諦めて再インストー ル バックアップをとっておく
5
不正アクセス 法整備の状況 – 刑法(1987年) 電磁的記録の不正作出、供用、毀棄 電子計算機損壊等業務妨害 電子計算機使用詐欺 – 不正アクセス防止法(2000年) 情報の不正入手に一定の歯止め – プロバイダ責任制限法(2002年) – 未整備なもの 不正に流出した情報の所持には規制がない 流出した情報を買う側の責任は問えない状況 ODINS 運用管理規程の制定(2001年)
6
不正アクセス 不正アクセスとは – 情報システムの所有者や管理者から許可さ れていないのに、または禁止されているの に、そのシステムやデータに無権限でアク セスする行為 システムに悪い影響を与えなくても、単に侵入 しただけでも犯罪となる 侵入を試みても成功しなければ不正アクセスと はならないと解釈されるが、実際には悪い影響 (禁止されている行為による負荷)をかけずに は試みることもできないので、試みるだけでも 不正アクセスとなる
7
不正アクセス 不正アクセス防止法による規制 – 不正アクセスに対する罰則 1年以下の懲役または50万円以下の罰 金 – 不正アクセスを助長する行為に対する罰則 30万円以下の罰金 – 他人の ID やパスワードを漏らしてはいけな い – 自分の ID をみだりに他人に貸してはいけな い – システム管理者の防衛策を講ずる努力義務 – 利用ログの採取、保存義務はないが、もし 取っていれば任意提出を求められ、または 押収される可能性がある – 記憶装置の押収の可能性がある
8
不正アクセス 盗聴法 – 重大な犯罪の調査に関して盗聴ができる – 計算機やネットワーク上の通信に関しても 対象となる 令状が必要 計算機の責任者の立ち会いが必要 暗号通信してれば実効はない
9
不正アクセス プロバイダ責任制限法 – インターネット上で問題が発生した場合、 プロバイダは加害者の行為を「幇助」して いるという面がある。 – 被害者からは加害者の情報が隠されている ために、直接加害者と接触できない上、加 害者の情報を得るには法的手段による必要 があった。(プロバイダには電気通信事業 法上の守秘義務があり加害者情報を提示で きなかった。) – そのままではプロバイダに過剰な負担がか かりネットワーク社会の発展に悪影響が。
10
不正アクセス プロバイダ責任制限法 – プロバイダに一定の義務を課して、代わり に責任を限定する。 – 加害者情報の被害者への通知が可能に 当事者間での解決を促す。 – 加害者の行為の制限をしたり、しなかった りした場合の賠償の免責 – 大学も第3者にサービスをしていれば対象 となる 学生は第3者???
11
不正アクセス 不正アクセスの種類 – 直接的侵入 パスワードを破ったり、セキュリティホールを 突いたりして直接 telnet, ssh 等で侵入する – 踏台攻撃 侵入先を踏台にして更に別のサイトを攻撃する – 利用不能攻撃( DoS 、DDoS ) 極端な負荷を与える等して通常のサービスがで きなくすること – これらの組み合わせで挙動する
12
不正アクセス 国立大学の実例 –O 大学など多くの大学のwwwサーバーが侵入さ れホームページが書き換えられた 不正アクセス、データの改竄 犯人不明 手口 – wwwサーバーのソフトのセキュリティホールが 利用されユーザーのパスワードファイルが流出 – パスワードを破り一般ユーザーと区別がつかない 状況で侵入 – ネットワークを盗聴して他のパスワードを入手 – 更に他の計算機に侵入して同じ事を繰り返す
13
不正アクセス 国立大学の実例 –O 大学の端末から、とあるBBSに誹謗中傷の書 き込みが繰り返され、BBSの管理者から大学に 対策の要請があった。要請の中には適切な処分に まで言及されていた。 – 名誉毀損または侮辱罪、計算機の目的外使用 – 学内調査により犯人を特定。 – 始末書の提出。アカウント停止処分。
14
不正アクセス 国立大学の実例 –K 大学の学生が学内の教育用計算機で利用できる ニュースグループを用いて人気商品(靴)を法外 な値段で売った 計算機の目的外使用 退学処分 –K 大学の助手が大学の自分のホームページにチャ イルドポルノを掲示し、希望者に有料で配布して いた 計算機の目的外使用、児童福祉法違反 懲戒免職
15
不正アクセス 国立大学の実例 –K 大学の計算機が踏台にされ官公庁への不正アク セスを幇助した お咎めなし –T 大学の計算機センターが踏台にされ、多くのプ ロバイダへのアクセスを幇助した 強制捜査により HD が押収された –A 大学の職員が販売目的のメイルを大量に発信し メイルサーバーをダウンさせた 目的外使用、業務妨害 被害届
16
不正アクセス 国立大学の実例 – 某観測所の職員が誹謗中傷のメイルを出し、受けた 人から調査、謝罪、慰謝料の要求を受けた 内部調査を行い、踏台であったことを証明 責任者の謝罪メイルにより納得、慰謝料は取下 げ –O 大学の入試発表のデータを改竄して不合格者を合 格にすりかえた 担当者が発表直前に元データと比較し改竄が発 覚 犯人が不合格(もともとか)
17
不正アクセス 大学での問題は? – とにかくデータが重要 バックアップをとっておく – サービスの停止は困る でも公的サービス機関や重要な民間業者とは異 なり、直接社会に悪影響を与える訳ではない 大きな問題を起こしてしまったら運用の継続は 絶望的 でも自分たちが困るだけ – 踏台にされたら 管理責任を問われ、落度があれば刑事責任や民 事での損害賠償責任が発生する
18
不正アクセス 大学での問題は? – セキュリティ関係の対策の遅れ 緊急時の担当者や連絡体制の不備 責任体制が不明確 – 意図しない責任が降ってくる? 法律の専門家の不在 賠償の財源 相手は国内だけじゃないぞ
19
個人情報の保護 個人情報保護法上は当センターのアカウント情報は 保護の対象になっていない ユーザー登録の際に必要と思われる保護対象の情報 – 名前、身分、電話番号、電子メイルアドレス ユーザー登録の住所や連絡先は「研究上」のも のであり、特別な場合を除き自宅のものではあ りません 運用上、法の精神に基づき保護している – 原則非開示 – 法令による場合またはセンター長の判断による場 合に開示できる ユーザーの協力も必要
20
名誉毀損および侮辱行為 ニュースグループやホームページは「公」の場所 – 公然と毀損または侮辱の条件を満たす – wwwやパソコン通信のBBSやフォーラムは条 件を満たすが、メイリングリストは運用の形態や 規模により満たしたり満たさなかったりする – メイルを特定の個人に送る場合は満たさないが、 ばらまくと満たす – 管理者の責任がある 常時監視の義務はないが、知った時点で適切な 処置を行う義務がある
21
猥褻物の扱いに学ぶこと 猥褻画像をホームページで公開すると猥褻物陳列罪 になる – ホームページ等が「公」の場所であること モザイク画像に加工しておけば同罪にあたらないが、 モザイクを解除するソフトのダウンロード先の url を 併記しておくと同罪にあたるとされ、さらに解除ソ フトのホームページの開設者は同罪幇助となる(異 論も多い) – 直接犯罪を犯したつもりがなくても容易にできる ようにしてあれば犯罪が成立(ネットワーク上の 特徴) サーバーが外国にある場合は国内法で処理できない 場合も – サーバーの場所に注意 – サーバーへのアクセスが国内から行なわれれば、 幇助の適用もある
22
セキュリティを高めるために 実社会でいけないことはネットワーク上(サイバー スペース)でもいけない – ネットワークの利便性の高さのため、いけないこ とが(意図せずに)行える場合がある – ネットワークでしか利用できない新しいものに対 しての常識が欠落しがち 実社会に焼きなおして「常識」で判断する ネットワークの危険性を理解して行動する – むやみなデータの公開を避ける – 入手したデータに気を付ける – メイルアドレス、住所、電話番号、その他の個人 情報 セキュリティを保つ道具を使う – ワクチンソフト – 暗号化ツール
23
暗号 暗号は必須の技術になるだろう – 個人情報、機密情報の保護はネットワーク社会で は今までの方法では不可能 暗号は気楽な技術になるだろう – 葉書ではなく封書のようなもの 知らずに安全にしてくれるもの – 通信に個人の特定が必要でないもの – wwwの暗号化ページ(ユーザー登録や買物) – 計算機間暗号通信 知って使う必要があるもの – 通信に個人の特定が必要なもの – メイル
Apresentações semelhantes
![Internet Explorer 8 開発者向け技術概要 2009年3月22日 野良 info [at] poop.jp](/15/4847239/big_thumb.jpg "Internet Explorer 8 開発者向け技術概要 2009年3月22日 野良 info [at] poop.jp>")
![サーバーのパスワード変更. Windows Vista の事前設定 ① [コントロールパネル]を開く ② [プログラム]を選択 ③ 開いた画面の[プログラムと機能]を選択 ④ 画面左のタスク欄の [ Windows の機能の有効化または無効化]を 選択 ⑤ 表示された機能一覧内の □ Telnet.](/16/4956555/big_thumb.jpg "サーバーのパスワード変更. Windows Vista の事前設定 ① [コントロールパネル]を開く ② [プログラム]を選択 ③ 開いた画面の[プログラムと機能]を選択 ④ 画面左のタスク欄の [ Windows の機能の有効化または無効化]を 選択 ⑤ 表示された機能一覧内の □ Telnet.>")