不正アクセス禁止法について

» 2021/02/11

当日の10時から書き始めてて間に合わなかったら縮小版になります。

今回のテーマは不正アクセス禁止法なんですが、すげー雑に言うと「他人のコンピュータを勝手に自分が使える状態にしてはいけない」「自分に許可されていない権限を不正取得してはいけない」あたりを抑えておけば大体法律の意に沿う感じですね。

これを踏まえてWebサーバのデータなどを勝手に書き換えるとかマルウェア(コンピュータの持ち主の意に反する処理もしくは害をもたらす処理をさせるソフトウェアの総称。種類については別途纏める)ばらまきの踏み台にするとか個人情報を引っこ抜いて利用・転売するとか別の悪事に使わないようにさせることが目的です。

んでまぁ、この不正アクセス禁止法、アクセス管理者による防御措置を講じてね、という8条があったりします。

高校生に向けての話だと対一般人向けの「こんな方法でスマホや自宅PCを乗っ取られる場合があるぞ気をつけろ」講座になるんだけど、対エンジニア系になると業務PCの防御とサーバー防御の話になるのですよ...。なお吹越は安全確保支援士勉強中なので(4月に受験してくるよ)ITSSレベル4の話も書こうかなと思ってます。間に合わなくて諦めたけど...。

要望あれば書きます。コメントくださいw

さて本題。「他人のコンピュータを勝手に自分が使える状態にする」方法は色々あるのだけど、乗っ取りと成りすましが大きくあります。

乗っ取りは遠隔操作とかセッションハイジャック等の中間者攻撃、広めにとってクロスサイトスクリプティングとか。成りすましは本人のふりしてアカウント乗っ取りすることですね。

乗っ取りの方法についてはこちら。

コンピュータが研究者のものだった時代から遠隔操作は割と必須で、そのためのプロトコルとかいろいろあったわけです。古くはtelnet、ちょっと進んでSSH、VNCとか。

Windowsでの遠隔操作はリモートデスクトップ(RDP)もありますしね。※Pro以上のバージョンの実で利用できる機能。これらを利用して許可を出してないのに遠隔操作しちゃうぞ、というのが乗っ取り系です。

時間切れでこれ以上の詳細が書けませんが...。キーワードのセッションハイジャックとか中間者攻撃でググってどうぞ。

あと昨日(2021/2/10)のWindowsUpdateでWindows TCP/IPのリモートでコードが実行される脆弱性（CVE-2021-24074、CVE-2021-24094）対策が入っているのでアップデートはちゃんとやりましょう。

1/27には sudoの脆弱性（CVE-2021-3156）に関する注意喚起も出てるのでLinuxもsudo使ってるところはちゃんとアップデートしましょう。rootの不正取得されちゃうので。

成りすましの方法についてはこちら。

本人が本人であることをどうやって証明するのか、これを解決するのが「鍵」です。物理的な場所であれば鍵を持っているというのがそのまま本人証明になりました。古代の戦争であれば特定の棒に布を巻き付けるという暗号化によって棒を持っている＝本人であり復号化できる、という認証の役割もありました。

現代だと主流はいまだにIDとパスワードですね。パスワードを知っている=権利者である、という考え。これに対し、パスワードを考えるというのは結構面倒なもので、一昔前は定期的なパスワード変更が乗っ取りに有効であるということで変更を強制されたりする機能が実装されているOSが多いです。

まぁ、パスワードでは限界があるぞとGoogleが言い出して議論の余地が出始めているわけですが。短いパスワードを定期変更するより変更しなくても長いパスワードのほうが強力、という感じです。

アルファベット大文字(26種)小文字(26種)と数字(10種)と記号(ものによって利用可能なのが変わる。代表的な利用可能な記号は!#$%&=? あたり。暫定で左記の7種)で1文字あたり73種×文字数(6～8文字以上)で組み合わせパターンを作ってランダムにするとかが一昔前の推奨。ランダムであるほど強力だけど使いまわさないようにすると場所ごとにこんなん覚えられるか！となって付箋に書いてモニターに張り付けるというアタマワルイ解決策を取っていた場所に心当たりのある方は多いはず...。