カテゴリー: セキュリティー

  • 知的財産権

    知的財産権はどういった法律で守られているか
      著作権は「届け出」や「登録」の必要なし
      産業財産権は特許庁に「出願」、「審査」、「登録」することにより権利が発生する

    知的財産権
    著作権
    複製権 著作物を複製する権利
    出版権 本などの著作物を出版する権利
    上演権/演奏権 演劇や音楽等の著作物を上演/演奏する権利
    公衆送信権 放送やインターネット等で送信する権利
    産業財産権
    特許法 発明に関する権利
    実用新案法 考案を独占的に実施する権利
    意匠法 商品のデザインに対する権利
    商標法 商品マークや名詞に関する権利
    パリ条約
    商法
    不正競争防止法

    事例で説明 (出展 「コーテック国際特許事務所」HP)

    「コーテック国際特許事務所」HPより


    ・特許
      書面に記載され特許庁に出願された発明の内容が
        特許法上の発明にあたるのか
        産業として実施できるものなのか(産業上利用性)
        今までにない新しいものか(新規性)
        容易に考え出すことはできないか(進歩性)
        先に出願されていないか(先願)
      などの要件について審査され、要件を具備する場合に特許権が付与される

        保護対象
          物の発明
          方法の発明
          物の製造方法の発明

        存続期間
          出願の日から20年間

    ・実用新案
      出願された実体的内容の審査は行われず、一定の基礎的要件を具備するものに対して登録される
        小発明ともいわれる考案を特許制度よりも早期に簡易に保護できる制度となっている


        保護対象
          物品の形状、構造又は組合せに係る考案
            ※方法の考案や一定の形状のない考案は保護対象外

        存続期間
          出願の日から10年間

    ・意匠
      デザイン(意匠)を新しく創作した創作者(又はその承継人)に対し、独占排他的な意匠権を一定期間付与する
        意匠とは「物品の形状、模様若しくは色彩又はこれらの結合であって、視覚を通じて美感を起こさせるもの」
          (意匠法第2条)


      意匠登録を受けられる意匠には、
        新しさ(新規性)や容易に創作できないこと(創作非容易性)
        工業上利用することができる意匠であること
          ※芸術品のように一品製作のものは対象外

        保護対象
          物品の形状の意匠
          物品の形状と模様が結合した意匠
          物品の形状と色彩が結合した意匠
          物品の形状と模様と色彩が結合した意匠

        存続期間
          登録の日から20年間

    ・商標
      商標(識別標識)に対して、独占排他的な商標権を付与する
        商標とは、事業者が、自己の取り扱う商品・サービスを他人のものと区別するために使用するマーク(識別標識)

      上記3つの権利とは異なり、商品やサービスに付ける「マーク」や「ネーミング」を選択し使用する
        商標に蓄積した使用者の信用や信頼を、商標権として守る

        保護対象
          文字、図形、記号、立体的形状などの商標

        存続期間
          登録の日から10年間(10年単位で更新が可能)

  • 基礎的対応

    ハッカーたちの基礎的アドバイス

      (1)パスワードの自動生成
        複数のパスワードをまとめる管理ソフトを使う

      (2)2段階認証の使用
        無料メール、クラウドサービスの利用には必ず使用する

      (3)公共Wi-Fiは利用しない

      (4)セキュアな通信の使用
        Webサイトは暗号化された手順を使用する

      (5)ソーシャルメディアに個人情報をむやみに投稿しない
        他のアプリとの連携もむやみに行わない

      (6)指紋認証は慎重に
        必ず解除(削除)を実施する

      (7)マイクやカメラはむやみに使わない
        パソコンやIoT機器にはパスワード認証を掛けておく

  • 最新型ランサムウエア

    11月1日(水) 日経NETWORKより

    今までの常識が通用しない新しいランサムウエアが登場している

    (1)メールで届くだけではない、と分かってきた
      2015年に発見されたランサムウエアは
        ・攻撃者が送り付けたメールに添付されたJavaScriptやWordファイルをユーザーが開くことで感染した
        ・改ざんされたWebサーバーにアクセスしたユーザーが、
          パソコンで動くソフトウエアの脆弱性を悪用されて感染した

        ランサムウエア自身に感染させる能力がないため、
          メールなどに添付された別のプログラムやスクリプトを使って感染させていた
        対策としては「不審なメールを開かないように」という注意喚起が多かった
          ※上記のような対策だけだと、今後リスクは高くなる

    旧ランサムウェア


      2017年に発見されたランサムウエアは
        ネットワーク経由で感染を広げる能力が備わってきている
          社外で感染したパソコンを企業ネットワークに接続すれば、感染が一気に広がる

    新ランサムウェア

    (2)ファイルを暗号化するだけではない、と分かってきた
      データを「使用不能」にし、それを元に戻すための“身代金”として金銭を要求するのがランサムウエア
        使用不能にする方法として、当初は暗号化が目立った

      初期の段階では、ハードディスクのシステム領域にあるMBRやファイルテーブルを書き換えて、
        ディスク全体を読めなくしてしまうが、ファイルそのものは暗号化しない
        金銭の要求に応じなくても、ハードディスクのシステム領域を修復すれば復旧できる場合があった

      最近では、感染すると、ランサムウエアによくある警告画面を表示するが、ファイルは暗号化されない
        ただ要求された金銭を支払わないと、警告画面が閉じられないため、
        データでなくパソコンが「使用不能」になる

    暗号化しない例

    (3)金銭を支払えば元に戻る、ことはないと分かってきた
      反社会的立場の攻撃者に対して金銭を支払うべきではないのは確かだが
        ・バックアップを取っていても、バックアップごとデータが暗号化されてしまう
          分離してバックアップデータを保管していなければ、同じように暗号化されてしまう恐れがある
          データだけのバックアップでは、復旧までに多くの時間を要することがある
            ※システム全体のバックアップとなるとかなり大変になる
        ・金銭を支払っても、元通りになるケースが減ってきている
          感染した時点でOSの起動に必要なファイルの一部を削除してしまうので
          たとえ金銭を支払って暗号化を解除するための鍵を手に入れても、システムは元に戻らない

  • 今月の呼びかけ(2015年9月)

    9月1日(火)IPAより以下の呼びかけが行われた
      iPhone人気に便乗していると考えられる手口にご注意を 

      iPhone利用者に以下の様なメッセージが表示されます
        ・iPhoneが貰えるというメッセージ
        ・iPhoneがウイルスに感染したという警告メッセージ

        いずれもクレジットカード情報の入力やアプリのインストールを促してくる
          メッセージの内容を鵜呑みにせず、直ぐにウェブサイトを閉じる、ことが必要

      事例1 当選の景品としてiPhoneがもらえるという手口の流れ
            アンケートを装っており、回答する流れでつい個人情報を入力してしまう

    001
    (1)ポップアップメッセージ

    002
    (2)アンケートへの回答

    003
    (3)回答内容の確認

    004
    (4)別サイトに誘導

    005
    (5)情報入力の誘導

    006
    (6)配送先の入力

    007
    (7)カード情報の入力

      (1)ポップアップメッセージが表示される
        特定リンクをクリックすると、「おめでとうございます」が表示される

      (2)アンケートに答える
        アンケートへの回答を促される
          ※「りんご」のロゴマークが現れるがアップルとは無関係

      (3)回答内容を確認する
        アンケートに回答すると内容確認が行われる

      (4)当選メッセージが表示される
        別サイトと思わせる画面に切り替わり、iPhone6が当選したと表示される
          当選品としてiPhone6の画像が表示される

      (5)当選品の配送に必要な情報入力を促される
        情報入力の必要性を強調する

      (6)配送先の情報を入力させられる
        iPhone6を受け取るためには住所が必要となる
        ここで初めて料金が必要と分かるが、少額のため気を許して先に進む

      (7)クレジットカード情報を入力させられる
        少額のため簡単に振込み操作を行ってしまう
          うっかりクレジットカードの情報を入力してしまう

      対応策
        ・URLをApple社のものか確認する
        ・クレジットカードの情報を入力したら、直ぐにクレジット会社に電話して相談する
        ・下記の様な偽の情報に惑わされない

    偽画面
    偽画面

      事例2 ウイルスに感染しているという警告が表示される際の手口
            セキュリティソフトのインストールを促される

      (1)ポップアップメッセージが表示される
        特定リンクをクリックすると、「ウイルスが検出されました」が表示される

      (2)ウイルススキャンの画面が表示される
        メッセージ表示の後、すぐにウイルススキャンが始まる
          ※実際にはスキャンは行われていない

      (3)スキャン結果が表示される
        ウィルス駆除のセキュリティソフトをインストールする様に促される

      対応策
        ・ウィルスの存在は誤りである、何もせずに終了する
          ソフトのインストールが目的なので上記対応で十分である

  • メールのウィルス対策

    メールのどこをチエックするか?
      ・差出人
        普段メールでやりとりがある人か?
        表示名、署名等と見比べ、不自然な点はないか?

      ・件名、本文
        件名や本文の日本語の表現は適切か?
        署名に不自然な点は無いか?

      ・添付ファイル
        実行形式の拡張子では無いか?
        アイコン偽造等は無いか?

    偽メール
    添付ファイル
    一見では拡張子が見えないのでExeファイルとは思わない例


    メールの機能を強化する
      ・受信メール表示項目を設定し直す
        送信者のメールアドレス、送信者の表示名、受信者のメールアドレス、件名、送信日時を表示させる
          迷惑メールや攻撃メールであるかを判断する基本的な情報

      ・迷惑メールフィルタを設定する
        迷惑メール対策のためのフィルタ機能がある
          フィルタ機能を利用すれば、疑わしいメールを自動で振り分けてくれる

      ・HTMLメールの自動実行スクリプトをOFFにする
        プレビューするだけでスクリプトが実行され感染する場合がある

      ・受信メールはテキスト形式にする
        HTMLメールの場合
          表示されているURLと
          クリックして表示されるページ(偽サイト)と を別々に設定できる
        受信メールの表示はテキスト形式にした方が良い
     

  • 今月の呼びかけ(2015年5月)

    4月27日(月)IPAより以下の呼びかけが行われた
      ゴールデンウィーク(GW)の行楽写真を投稿する際はご注意を

      投稿した写真から撮影場所が特定される
        デジカメで写真を撮影した際、Exif(イグジフ)という情報が付加される
          撮影日時
          撮影機器のモデル名
          カメラの設定情報
          GPS情報 等の情報

        ブログやSNSの機能によっては公開範囲を指定できる
          指定以外の人には見られない、のですが
          閲覧者は容易に写真をダウンロードできるため
          友人にメールしたり、自身のブログで再公開したりする

    、     公開範囲に関わらず、写真を投稿することは
            インターネット上に公開することと同じである

      不用意な投稿はトラブルに発展する
        投稿内容によって撮影日時や場所が特定できてしまう
          本人の許可なく写真を公開することで
          一緒に写っている人に不都合が生じる可能性があり
          プライバシーや肖像権の侵害等のトラブルに発展する

        公共の場所で撮影した場合
          居合わせた人の様子や絵画、ポスターといった著作物が写り込み
          プライバシーや肖像権、著作権の侵害等のトラブルに発展する

      トラブルの未然防止策
        ・投稿時にはExifのGPS情報の有無を確認する
          撮影するカメラのGPS機能が有効である場合は
          端末に適したアプリやツールを使い、付加されたGPS情報を削除する
        ・一緒に写っている人には事前に投稿への許可を得ること
          投稿することでプライバシーや肖像権の侵害とならないよう
          一緒に写っている人には投稿することについて事前に了承を得る
        ・公開する必要のない写り込みは特定できないように加工をする
          写り込んでしまったモノによる影響の有無を考慮して
          懸念がある場合は
            トリミングする
            画像をぼかす
            拡大しても識別できないレベルの解像度に変更する
          中心となる被写体だけに囚われがちですが
            写真に写っている内容や付加されている情報すべてに目を向けて
            誰に見られても問題がないよう、必要な処理を行う

  • 今月の呼びかけ(2015年4月)

    4月1日(水)IPAより以下の呼びかけが行われた
      スマートフォンでのワンクリック請求の新しい手口にご用心

    ワンクリック請求の新しい手口
      今までは「請求画面が表示された」という内容でしたが
        「請求画面の表示と同時に写真を撮られてしまったようだ」と変わってきた

    (1)請求画面が表示された時にシャッター音が聞こえる
      スマートフォンで表示される請求画面は単に画面が表示されているだけです
        今月の呼びかけ(2014年6月)を参照
      ブラウザによるWebサイト閲覧だけでは
        スマートフォンのカメラ機能を制御したり、撮影した写真を送信したりはできません
      操作をきっかけにブラウザ上で音楽ファイル(シャッター音)を再生させることによって
        画面表示と同時にシャッター音を聞かせ写真が撮影されたと錯覚させているのです

      従来から、お客様情報と称して
        OSバージョン、閲覧ブラウザの種類、IPアドレスなどを表示させる手口と同じです
      決して個人を特定する情報が送信されたわけでは有りません

    (2)自動的に電話を発信させる
      登録に関する情報が記載されたポップアップメッセージが自動的に現れる
        OKボタンをタップすると電話発信を確認するポップアップが表示される
          この後、際限なく同じ画面が繰り返し出てくる(下記の画像を参照)
        繰り返しているうちに、うっかり電話発信の操作をしてしまうと電話がかかってしまう

        発信する際には、番号の先頭に「186」が追加されており
          自分では非通知設定にしていても、確実に電話番号が相手に通知されてしまう

    ポップアップ
    画面見本

    対処策
      ・ブラウザからタブの削除や閲覧履歴の消去を行う
        もう一度今月の呼びかけ(2014年6月)を参照
      ・業者には絶対に連絡を取らない
        電話番号やメルアドさへ分からなければ業者からは連絡の付けようがありません
        IPアドレスが分かってだけでは業者からは何も連絡の取り様がありません

      ・ポップアップメッセージが出て、繰り返し操作が続く場合には
        誤操作の可能性があるため、タブの削除より閲覧履歴の削除を優先させる
     

      ・先ずは落ち着いて対処する
        いきなり「登録完了」と表示されても恐れたり慌てないこと
          「完了」と表示されているだけで、なにも完了していないことに気付き
          落ち着いて、電源を切るなり、ブラウザ画面を閉じるなりしてから対処すること

        「取り消し」たいと思った場合には
          最寄の消費生活センターに相談する

  • モバイル端末へのセキュリティー確保

    インターネットを利用する際の対策
      MAM(MobileApplicationManagement)
        スマートデバイス上のaplをネットワーク経由で集中管理する技術

        個人利用のデバイスを企業の業務システムで使う場合などに有効となる

      主たる機能
        ・他のaplとのデータ連携を制限する
          あるaplが管理しているファイルを他のaplからアクセスさせない
        ・アクセス可能なサーバーやリソースを制限する
          スマートデバイスから社内サーバーへの侵入を防ぐ
        ・aplやデータをインターネット経由で削除する
          紛失時などに第三者によるaplの不正使用を防ぐ
        ・その他
          データ保存時に暗号化、コピペの禁止、スクリーンキャプチャーの禁止、印刷の禁止
          ユーザ認証の追加、ハスワード設定の強化、アンインストールの実行 等々

      MDM(MobileDeviceManagement)との比較
        デバイス単位の管理のため、個別apl単位の管理はできない
          apl単位での細かなセキュリティー強化ができない
          スマートデバイスの紛失時には、業務用データは削除し個人用データは残すこともできる

      システムへの組み込み方法
        (1)SDK(SoftwareDevelopmentKit)方式
          既存のソースコードにSDKのAPIを呼び出す数行を追加する
          
        (2)ラッピング方式
          実行形式のaplと専用モジュールをラッピングして使用する
          ソースコードの修正は不要(専用モジュールがシステムコールを監視し制御するため不要)

        (3)ベンダーが用意した専用aplを使用する
          標準でインストールされているソフトよりも高機能なソフト(apl)を使うことになる
     

  • MDMの使い方

    MDMの主な機能
      ・リモートロック
        ネットワーク経由でコマンドを発行し端末操作を不能にする

      ・リモートワイプ
        ネットワーク経由でコマンドを発行し端末を工場出荷時の状態に初期化する
          情報漏洩対策として有効だが
            機器紛失からデータ消去まで時間が掛かる
            コマンドの受信が不確実である
              電波の届かない場所にある場合
              「機内モード」の場合
              無線LANに繋がない場合
            コマンドの実行結果が確認できない

          システム領域が工場出荷時に戻るだけなので
            ユーザー領域は見えなくなるだけでツールを使えば見えるようになる
            SDカードなどは初期化されずにそのままの状態で残る

        メモリー内のデータを暗号化する機能を利用する、ことが必要

      ・遠隔監視
        端末のハードウェアやOS等の情報をリアルタイムに取得する

      ・デバイス制御
        セエキュリティー機能や通信機能等の機能制限や設定を変更する

      ・アプリケーション監視
        アプリを配布したり、バージョンアップしたりする

      ・フィルタリング
        ブラウザーからのアクセス先を制限する

      ・不正アプリ対策
        ブラックリストやホワイトリストでアプリの利用やインストールを制限する

      ・バックアップ
        端末内の一部のデータをバックアップする

      ・暗号化機能
        SDカードや端末本体の一部データを暗号化する
     
    情報の種類による対策機能
      ・ネットワーク接続情報、メールやWeb情報、アドレス帳の個人情報
        MDMの基本機能で対応する
          パスコード認証、ローカルワイプ、リモートワイプ、リモートロック

      ・公式アプリの情報、独自開発アプリの情報
        MDM製品個別の機能で対応する
          MAM(モバイルアプリケーション管理)

      ・業務情報
        MDMでは対応できないので独自に対策が必要
          アプリ内データ暗号化、キャッシュ消去機能付きアプリ
     

  • 今月の呼びかけ(2015年3月)

    3月2日(月)IPAより以下の呼びかけが行われた
      情報セキュリティの脅威について正しい認識と対策を

    2014年度 情報セキュリティの脅威に対する意識調査
      アップデートやセキュリティソフトの導入を実施していない人が3割程度存在する
        ・WindowsUpdate等アップデートを実施している人は約67%
        ・ウイルス対策ソフト(セキュリティソフト)を導入している人は約74%

      JavaやFlashPlayerなどのソフトウェアのバージョンアップが未実施な理由
        アップデートの方法がわからないとする人が約10%

      物理的な故障や紛失、盗難といった被害への対応
        パソコンのデータのバックアップを取っている人は約48%
        スマートフォンの画面ロック機能を使っている人は23%

    意識調査から導き出される対応策
      (1)ウイルス感染による被害への対策
        OSやソフトウェアは常に最新の状態となるようにアップデートする
          セキュリティソフトを常に最新の状態にし、有効期限切れや定義ファイルの更新忘れを注意する

    被害への対策

      (2)万が一の被害(故障、紛失、盗難)への対策
        万が一の事態に備えて、大切なデータは定期的にバックアップを取っておく
          HDの故障によってデータにアクセスできなくなってしまった場合に役立つ
          パソコンを初期化する必要がある場合に役立つ

        スマートフォンの画面ロック機能を使う
          情報漏えい被害の防止のために、画面ロック機能は必ず設定しておく

    紛失・盗難への対策

     

  • 今月の呼びかけ(2015年1月)

    1月7日(水)IPAより以下の呼びかけが行われた
      利便性 となり合わせの 危険性

    昨年(2014年)は
      一般利用者に影響が大きかった問題
        ・OpenSSLの脆弱性(Heartbleed)
        ・WindowsXPのサポート終了
        ・IEの脆弱性
      機能やサービスに対する認識の甘さから被害に遭った問題
        ・パスワードリスト攻撃による不正ログイン
        ・内部不正による顧客情報流出
        ・インターネットバンキングの不正送金
        ・iPhoneのプライベート画像流出

    今年(2015年)のセキュリティー課題
      スマートフォンのセキュリティ
        アプリの中には便利なアプリと偽った不正なアプリの存在が確認されている
          不用意にアプリをダウンロード、インストールしないこと
          不正アプリによる情報の窃取などに注意すること
        端末の紛失や盗難への対策を忘れないこと

      クラウドサービスのセキュリティ
        クラウドサービスは利便性の一方で
        クラウド上のデータを第三者に不正に閲覧または窃取される可能性がある
          クラウドサービスの特性を理解し
          対象となるデータ、公開される範囲などを事前に確認し
          サービスの利用を判断すること

        データの外部流出に対して備える必要がある
        データの取り扱いやアカウント情報の管理を適切に行う必要がある

      インターネットバンキングのセキュリティ
        不正送金の被害防止に向けた対策をとると
          対策を回避する新たな攻撃を生み出し、イタチごっこの様相を呈している

        イタチごっこの代償として
          従来の機能やサービスが一部制限されるなど、利便性が失われた

    今年(2015年)のセキュリティ対策
      スマートフォンに関する対策
        ・端末(画面)ロックを設定する
        ・スマートフォンを他人に操作させない
        ・アプリは公式マーケットなどの信頼できる場所から入手する

      クラウドサービスに関する対策
        クラウドサービスの公開範囲や公開対象などを事前に理解した上で利用する
        クラウドサービス利用時に必要なアカウント情報は適切に管理する
          ・安易に推測できるパスワードを使用しない
          ・パスワードを使い回さない
        外部に公開しても問題のないデータのみ利用する

      インターネットバンキングに関する対策
        サポートの終了したOSやソフトウェアがインストールされているパソコンで
          インターネット接続や他のパソコンとデータのやりとりをしない
        使用しているパソコンにインストールされているソフトウェアは
          常に最新のバージョンに更新し、脆弱性を解消する
        セキュリティソフトを導入し、ウイルス定義ファイルを最新に保つ
        安易にメールに添付されたファイルやメール本文中のURLをクリックしない

  • 情報セキュリティー対策

    インターネットを利用する際の対策
      (1)OSやソフトウェアは常に最新状態にする
        新たに広まるコンピュータウィルスに対抗するため
          製造元から配布される最新の改良プログラムにアップデートする

      (2)パスワードは貴重品として扱う
        自宅の鍵と同じくらいに大切にする
          他人に知られないように、メモするなら人目に触れない場所に保管する

      (3)ログインIDやパスワードは絶対教えない
        金融機関や公共機関を名乗り、口座番号やパスワードの入力を促された場合には
          身に覚えが無ければ入力しない
          指示された方法とは異なる手順で確認する

      (4)添付ファイルの開封に注意する
        身に覚えのないメールが届いた場合には
          コンピュータウィルスが潜んで居る可能性がある
          添付ファイルを開いたりURLをクリックしない

      (5)ウィルス対策ソフトを導入する
        ウィルスに感染しないように
          有料であっても、必ずウィルス対策ソフトを導入する

      (6)ネットショッピングは信頼できる店で購入する
        詐欺被害に遭わないように信頼できる店を選ぶ
          身近な人たちからの情報を集めることが必要

      (7)大切な情報は暗号化する
        万が一、大切な情報が盗まれてもさらに被害が広がらないように
          暗号化しておけば内容が漏れることは無く、一先ず安心できる

      (8)外出先で紛失や盗難に注意する
        電子機器(PC、タブレット、スマホ等)は厳重に管理する
          機器の使用開始時にはパスワードの入力を必須にしておく
          多少、煩雑になるがパスワード入力を設定しておく

      (9)困った時には相談する
        何らかの形で被害に遭ったら下記相談窓口まで

    各種相談窓口
      ・ウィルスに感染したと思ったら
        IPAセキュリティー安心相談窓口 03-5978-7509

      ・広告や宣伝目的のメールに困ったら
        日本データ通信協会 迷惑メール相談センター 03-5974-0068

      ・犯罪に関する相談、電話による情報提供
        警察のサイバー犯罪相談窓口 

  • 今月の呼びかけ(2014年12月)

    12月1日(月)IPAより以下の呼びかけが行われた
      個人間でやりとりする写真や動画もネットに公開しているという認識を!

    事例として
      2014年9月、SNSを通じて知り合った異性から
        チャット機能を持つアプリをスマートフォンにインストールするよう持ちかけられ
        アプリをインストールしてビデオチャットを行った
        その際に電話帳情報とチャット内容を搾取されており
        後日、第三者に脅され金銭を要求されている

    情報の搾取方法
      ・SNSを通じてコンタクトを取ってくる
        油断させるために、暫くSNSでのコミニュケーションが続きます
      ・アプリ(ビデオチャット等)のインストールを持ち掛けられる
      ・ビデオチャットでプライベートな動画のやりとりをする
      ・インストールした不正アプリを通じて電話帳の情報を窃取され、動画データが保存される
        電話帳が盗まれているので、身近な人に搾取内容が分かってしまう恐れに悩まされます
      ・窃取した電話帳の登録者に動画をばらまくと脅され、金銭を要求される

    対応策
      ・アプリは信頼できるマーケットから入手する
        メールやSNSを通じてインストールするよう促された場合でも
        送付された添付ファイルやURLをクリックしてインストールしない
        必ず、信頼できるマーケットからアプリを入手する

      ・プライベートな写真や動画は人に渡さない
        例え友人や恋人であってもプライベートな写真や動画を送らない
        どういった形でネット上に拡散されるかは事前に把握しきれない

  • 今月の呼びかけ(2014年11月)

    11月4日(火)IPAより以下の呼びかけが行われた
      遠隔操作ソフトは利用目的を理解してインストールを!

        遠隔操作の概要などが上記サイトで詳しく解説されています

    事例として
      (1)2014年4月、女性にセキュリティソフトと偽ってインストールさせた遠隔操作ソフトを悪用し
        個人情報を窃取するという事件がありました

      (2)2014年8月以降、勧誘電話で遠隔操作ソフトをインストールし
        パソコンの設定を変更してもらう事例が多くなっています

    遠隔操作ソフトとは
      遠隔地にあるパソコンを監視、操作するなどの目的で利用されるもの
        メーカーがユーザーサポートを行うために利用することがある

    遠隔操作のやり方
      ・双方に遠隔操作ソフトをインストルして立ち上げる
      ・操作される側が自分のPC用IDとパスワードを、操作する側に伝える
      ・操作する側はIDとパスワードを使って、操作される側のPCを操作します
      ・操作が終了すれば、双方で遠隔ソフトを終了させて遠隔操作は完了です

    遠隔操作ソフトを利用する際の注意点
      ・遠隔操作を行う担当者の企業名、所属、名前、連絡先をできるかぎり確認する
      ・遠隔操作による作業の内容や目的を事前に確認する
      ・遠隔操作ソフトの名称、開発元、ダウンロードサイト(URL)、主な機能を確認する
      ・遠隔操作による作業実施中はパソコンから目を離さず、操作内容を確認する
      ・作業完了後は、遠隔操作ソフトを確実にアンインストール(削除)する
        ※アンインストールしなくても
          遠隔操作ソフトが動いていなければ遠隔操作はできないので大丈夫です
          IDとパスワードは毎回変わるのが一般的な遠隔操作ソフトなので再利用して大丈夫です

    作業途中に不審な動きが見られた場合は強制的に中断させること
      ・無線(有線)LAN機能をオフにする
      ・ネットワークケーブルを抜く
      ・ルータの電源を落とす 等

  • 今月の呼びかけ(2014年10月)

    10月1日(水)IPAより以下の呼びかけが行われた
      クウラドサービスからの情報漏えいに注意!

    2014年9月、【iCloud】から多数の画像が流出した
      被害者の【iCloud】のアカウント情報(Apple IDとパスワード)を入手した
        何者かが【iCloud】に不正ログインし、保存されていた写真データを窃取した

    (1)クラウドサービスの欠点
      クラウドサービスとは
        インターネットを通じてデータ保管やソフトウェア利用を提供するサービスの総称
        インターネットに接続できる端末なら、全ての端末から同じサービスを利用できる

      クラウドサービスのアカウント情報(IDとパスワード)が悪意ある第三者の手に渡ってしまうと
        ・スマホで写真を撮ると、クラウドサービスは自動的に写真をアップさする
        ・悪意ある第三者はアップされた写真を黙ってダウンロードする
          これが知らない間に繰り返される

    (2)クラウドサービスを利用する際の注意点
      適切なアカウント管理を行う
        ・安易に推測できるパスワードを使用しない
        ・パスワードを使い回さない
        ・IDとパスワードの入力は、確実に本物と判断できるサイト上でのみ行う(フィッシング対策)
        ・セキュリティオプション(ログイン通知、二段階認証など)を積極的に採用する
      クラウドサービスを理解した上で慎重に判断する
        ・利用するクラウドサービスの特性を理解して、使用の判断を慎重に行う
          アップロードする対象を必要のあるものに限定する
            写真、メール、連絡先、カレンダー等々が考えられる

  • 情報セキュリティに関する注意喚起(IPA)

    8月6日(水)にIPAより以下の注意喚起が行われた
      夏休みにおける情報セキュリティに関する注意喚起

    上記のサイトから
      「システム管理を担当されている方」と「企業でパソコンを利用される方」をカット
      「ご家庭でパソコンを利用される方」と「スマートフォン、タブレットを利用される方」を抜き出した

    (1)家庭でパソコンを使用する方の対策
      インターネットバンキング利用時の注意
        ・ウイルスに感染してしまったことが原因で、不正送金の被害に遭うケースが増えている
          感染を防ぐために、OSと各種ソフトウェアは常に最新の状態で使う
        ・金融機関が、第二認証情報(乱数表や合言葉など)の入力を利用者に求めることはない
          入力を促す画面が表示された場合は、絶対に情報を入力しない
        ・通常の利用時と異なる入力の要求があった場合は、サービス提供元に電話(メール等)で確認する
          表示されている内容でなく、契約時に使用した内容(電話、メール)を使用する

      最新バージョンの利用や修正プログラムの適用
        ・使用しているパソコンのOSに修正プログラムを適用し、最新のバージョンに更新する
          Windowsユーザーは「Microsoft Update」を利用する
        ・使用しているパソコンのアプリケーションソフトにも修正プログラムを適用する
          セキュリティソフトのパターンファイルを常に最新の状態にする

      USBメモリ等の取り扱いの徹底
        ・所有者が不明もしくは自身が管理していない外部記憶媒体は自身のPCに接続しない
          逆に自身が管理していないPCに自身の外部記憶媒体を接続しない

      必要データのバックアップの推奨
        ・PCが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップする
          ファイルやフォルダが暗号化され、元に戻せなくなる場合もある

      情報取扱いルールの徹底
        ・Winny等の共有ソフトを使っているPCが暴露ウイルスに感染すると
          PC内に保存してあるファイルがインターネット上に流出する
          業務データを扱ったPCでWinny等のファイル共有ソフトを使うのは止める
          家族と共用しているPCの場合、家族が使えば情報漏えいする可能性がある

      SNS利用上の注意
        ・SNSを悪用して個人情報を収集したり、ウイルスに感染させようとする
          他人のページ等に書かれているURLを不用意にクリックしない
          Twitterでは不用意に“短縮URL”をクリックしない
          情報発信する場合は自身の情報公開の範囲を確認する

      ウェブサイト利用時の注意
        ・ウェブサイト利用時の規約をよく読み、利用するかどうかを判断する
          利用規約内に料金が明示されていれば、それ以上先に進まない

      パスワード管理の徹底
        ・複数のインターネットサービスで同じIDやパスワードを使わない
          異なるパスワードに変更する

    (2)スマートフォン、タブレットを利用される方の対策
      スマートフォン、タブレット使用ルールの徹底
        ・アプリには、内部の情報を窃取するものが存在する
          個人利用の場合は、所属する組織の業務規程に従う

      スマートフォン、タブレット使用時の注意
        ・不正アプリのインストールを防ぐためには
          パソコンと同様に信頼できない場所からアプリをダウンロードしない
          アプリのインストールする際には「パーミッション」の一覧には必ず目を通す
            疑問に感じた場合には、アプリのインストールを中止する
        ・スマートフォンやタブレットを机などに置いたままでその場を離れない
          パスワードロック機能を必ず有効にし、1分程度の短い時間でロックする

      セキュリティアプリの導入
        ・偽のアプリをインストールしてウイルスの感染被害に遭う場合がある
          Android OSのスマートフォンやタブレットの利用者はセキュリティアプリを導入する

  • 今月の呼びかけ(2014年8月)

    8月1日(金)IPAより以下の呼びかけが行われた
      法人向けインターネットバンキングの不正送金対策、しっかりできていますか?

    インターネットバンキングにおける不正送金被害は増加傾向にある
      被害額急増の理由の1つに電子証明書を窃取するウイルスによる新しい手口の出現がある

    法人口座は個人口座より送金限度額が大きいため
      銀行が導入しているセキュリティ対策をよく確認し
      ウイルスに感染しないための基本的な対策を行うことが大前提

    (1)不正送金の新しい手口
      インターネットバンキングを利用したい場合
        それぞれの端末に電子証明書が格納されている必要がある

      ブラウザに格納する電子証明書の場合
        設定でエクスポートを「可」とすることで、他の端末に電子証明書を移設できる
          利用端末が増加するといった利便性が高くなる
          反面、不正送金に悪用されることにもなる

      新しい手口
        ・エクスポート設定を「可」としてインポートした電子証明書を窃取する手口
          ウイルスが電子証明書をエクスポートして攻撃者のサーバーに送信する
        ・エクスポート設定を「不可」としてインポートした電子証明書を窃取する手口
          ウイルスが電子証明書を削除して無効にしてしまう
            不自然に無効になった場合、ウイルス感染を疑う
          利用者は電子証明書の再発行手続きを行い、再発行された電子証明書をインポートする
          この際に、ウイルスが電子証明書をコピーし攻撃者のサーバーに送信する

    (2)対策方法
      ・端末利用をインターネットバンキングに限定する
      ・銀行が提供する中でセキュリティレベルの高い認証方法を採用する
      ・銀行が指定した正規の手順で電子証明書を利用する

      全国銀行協会が推奨するセキュリティ対策(上記以外)
        ・パソコンやルータ等について、未利用時は可能な限り電源を切断する
        ・取引の申請者と承認者とで異なるパソコンを利用する
        ・振込や払戻し等の限度額を必要な範囲内でできるだけ低く設定する
        ・不審なログイン履歴や取引履歴、取引通知メールがないかを定期的に確認する

  • 情報漏洩の防止(IPA)

    7月10日(木)にIPAより以下のお知らせがありました
      組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!

    (1)内部不正を防止するための現状把握と対策の検討
      IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう
        2013年3月に「組織における内部不正防止ガイドライン」を策定し、公開している

      ガイドラインを効果的に活用するには
        最初にチェックシートで対策の現状を把握し
        次に、その結果を基に必要な対策項目を検討する
          JMSA作成の「内部不正対策ソリューションガイド」を参考にする

    (2)内部不正が発生する仕組み
      不正行為は下記の3つの要素が全て揃った時に発生すると言われている
        「動機・プレッシャー」
          プレッシャー(業務量、ノルマ等)や処遇への不満など
        「機会」
          技術的環境や物理的環境及び組織のルールなど、不正行為の実行を可能にする環境
        「正当化」
          良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など

      3つの要素の低減が内部不正を防止するために最も有効となる
        組織が対処できるのは「動機・プレッシャー」と「機会」の低減である

    (3)内部不正防止の対策例
      ・重要な情報であることを明確にし、適切なアクセス権限を付与すること
        重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること
        重要な情報に対するアクセス権限をもつ操作員を最小とすること
        アクセス権限は定期的に見直すこと
      ・重要情報の持ち出し・可搬媒体等の持ち込みの監視
        情報機器や記録媒体の管理を厳格にすること
        可搬媒体の利用を制限し、管理者の承認と記録を取ること
      ・定期的な操作履歴の監視・監査
        重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること
        ログを定期的に監査し、異常な事象の発見に努めること

  • 今月の呼びかけ(2014年7月)

    7月1日(火)にIPAより以下の呼びかけが行われた
      オンラインバンキングの正しい画面を知って、金銭被害から身を守りましょう!

    オンラインバンキングにおける不正送金の被害が増加傾向にある
      金銭被害を食い止めるには、騙されないための注意深さと知識が必要
      利用者自身で何が正しいのかを「知る」ことが必要

    (1)従来の手口と新しい手口
      従来の手口
        利用者のパソコンにウイルスを感染させ、不正なポップアップ画面を表示させる
        その画面に、送金に必要な情報(ID、パスワード、乱数表の数字など)を入力させる
          その結果、送金に必要な情報が第三者に渡ってしまう
          その後、第三者は窃取した情報を使用して手動で不正送金を行う

      新たな手口
        利用者のパソコンにウイルスを感染させ、不正なポップアップ画面を表示させる
        その画面に、送金に必要な情報(ID、パスワード、乱数表の数字など)を入力させる
          入力させた情報が即座に利用され、第三者の口座への送金がリアルタイムで行われる
        手っ取り早く金銭を収受できるようにしている

    (2)「正しい画面」と「不正な画面」の見分け方
      「不正な画面」はウイルスによって表示されるので
        ウイルスの種類や手口が異なれば「不正な画面」もそれぞれ異なる
        異変に気付くためには「正しい画面」を知っておく必要がある

      金融機関によっては「正しい」取引を事前に確認できる
       (例)三井住友銀行

      「正しい画面」と異なる画面が現れた場合
        金融機関本体のサイトを確認し、画面の変更の有無を確認する
        あらかじめ保管していた金融機関の電話番号を利用すること

    (3)ウイルスに感染しないために
      基本的な対策以外について記述する
        ・使用しているPCのOSとソフトウェアの脆弱性を解消する
        ・セキュリティソフトを導入し、ウイルス定義ファイルを最新に保ち、使用する

  • クロスサイトリクエストフォージェリ

    クロスサイトリクエストフォージェリ(Cross site request forgeries)
      掲示板に意図しない書き込みをさせられる
      オンラインショップで買い物をさせられる
      ルーターや無線LAN等の情報機器の設定を勝手に変更される


      概要

        (1)攻撃者が誘導用のページを用意する
        (2)誘導用のページを閲覧する
        (3)攻撃用ページにリクエストが送信され、攻撃者の意図した操作が行われる

    クロスサイトリクエストフォージェリ
    概要


    掲示板への書き込みサンプルを挙げておきます
      誘導用のページとして用意する
        <!DOCTYPE html>
        <html lang=”ja”>
        <head>
          <title>誘導用のページ</title>
        </head>
        <body>
          <p>ようこそいらっしゃいました。</p>
          <iframe width=”1″ height=”1″ src=”attack.html”></iframe>
        </body>
        </html>

      攻撃用のページとして用意する
        <!DOCTYPE html>
        <html lang=”ja”>
        <head>
          <title>攻撃用のページ</title>
        </head>
        <body onload=”document.attackform.submit();”>
          <form name=”attackform” method=”post” action=”http://example.com/bbs/register.cgi”>
          <input type=”hidden” name=”title” value=”攻撃者が指定した題名”>
          <input type=”hidden” name=”article” value=”攻撃者が指定した本文”>
          <input type=”submit” value=”送信”>
          </form>
        </body>
        </html>

      仕組みの説明
        ・最初にアクセスされた誘導用ページのインラインフレーム内で
          攻撃用ページが呼び出される
          縦1 ピクセル、横1ピクセルのインラインフレーム内で行われるため、被害者は気が付かない
        ・攻撃用ページのonload属性により、ページが読込まれるのと同時に
          掲示板への書き込みフォームの送信ボタンが自動的に押される
        ・フォームで指定された文言で掲示板に書き込みが行われる

        最初に誘導用ページにアクセスした人が意図しないうちに
          意図しない内容で掲示板に書き込みされることになる

  • 今月の呼びかけ(2014年6月)

    6月2日(月)IPAより以下の呼びかけが行われた
      登録完了画面が現れても、あわてないで!

    スマートフォンでのワンクリック請求に関する相談件数が増加傾向にある
      気軽にインターネットを閲覧できる環境が整ってきたことが増加理由の一つ

    ワンクリック請求の手口は
      サイトに登録して契約が成立したと思わせ
        利用者を慌てさせてサイト使用料の名目でお金を支払わせる
      何度でも「登録完了画面」を表示させ
        利用者が根負けするのを待ってお金を支払わせる

    (1)一般的な流れ
      ・年齢認証が表示され、そのまま“次へ”ボタンをタップする
        登録完了のメッセージと請求料金が表示される
      ・登録完了画面で“OK”を入力する
        「お客様の端末情報は安全に保存されました」という表示される
      ・「お客様登録ID」が保存されましたと
        スマートフォン内の情報を取得したかのように表示される

    (2)慌てる必要はない
      スマートフォンに限らず端末からウェブサイトにアクセスすると
        ・端末のOS(基本ソフト)のバージョン
        ・閲覧ブラウザの種類
        ・IPアドレスの情報 が分かりますが、これ以外は分かりません
      上記の情報から個人を特定することは出来ません

      自ら業者に連絡をしたり、お金を振り込むことはしない
        契約が成立したのか不安に思う場合は、最寄の消費生活センターに相談する
      決して、下記のボタンはクリックしない
        ・[誤作動登録の方]
        ・[退会希望の方]
        ・[電話サポート]
      さらにメールや電話で絶対連絡しない

    (3)「登録完了画面」の消去方法(iPhoneの例)
      ・タブを削除する
        ブラウザに表示された登録画面を上にスクロールさせ
        表示された「タブ」ボタンをタップしてタブを表示させ
        削除したいタブを選んで「×」ボタンをタップする

      ・「履歴を消去」と「Cookieとデータを消去」を行う
        ホームボタンを押下してホーム画面を表示させ
        ホーム画面の「設定」、設定画面の「Safari」を順にタップし
        「履歴を消去」と「Cookieとデータを消去」をタップしてキャッシュを消去する

  • 標的型攻撃の手口

    標的型攻撃でのメール送信手口
      (1)本物の業務メールを装って送る
        添付したウィルスを開かせるために正規のメールだと思わせる
          ・実際にやりとりしている業務メールを盗んで、文面をお手本にする
            盗んだメールと同じ宛先に、先のファイルの修正分を送りつける
              ウィルスチエックを回避するために圧縮ファイルで送り付ける
            受信者は送信者が同じなので修正が必要だとファイルを開く、ことになる

      (2)何回かやり取りしてからメールを送る
        無害のメールをやり取りした後にウィルス添付メールを送りつける
          ・組織が公開しているWebサイトの採用問合せアドレスにメールする
            担当者のメールアドレスが分かったところで
            履歴書に見せかけてウイルス添付のファイルを送信する
              開かなければ成らない状況を作り出す
            受信者は今までと同じ送信者なので安心してファイルを開く、ことになる

          ・製品に関する質問や不具合の報告であったりするメールも多い

          ・組織の不正に関する告発メールだったりもする

      (3)安全なファイルに見せかけてメールを送る
        実行形式のファイルを安全なファイルだと思わせる
          ・RLO(Right-to-Left Override)を使ってファイル名を偽装する
            アラビア文字用の制御文字で、文字を右から左に表示する
              例:abcdef[RLO]fdp.exe のファイルは abcdefexe.pdf と表示される
            受信者は安心してファイルを開く、ことになる

          ・ショートカットファイルの形式でメールに添付する
            通常リンク先はファイルだが、javascript等のプログラムを指定する
              ショートカットファイルの拡張子(lnk)は表示されないので注意が必要

      (4)Webサイトを水飲み場にする
        狙った組織の正規Webページを改竄して、アクセスした際にウィルスに感染させる
          ・標的とした組織の従業員がアクセスしそうなサイトを狙う
            アクセスログを分析してWebサイトに当たりを付ける
            脆弱性を突いてウィルスを仕込んでおく

  • 標的型攻撃の手法と対策

    標的型攻撃
      特定の企業や組織を狙って、ウィルス添付のメールをお送り感染させる
        ウィルスを遠隔操作して情報を盗み出す
      メールにURLを記述し、ウィルスの存在するサイトに誘導する

    標的型攻撃の手順
      (1)予備調査
        標的とした相手のWebサイトから情報を得る
          組織体系(部署)、業務内容
          電話番号、メールアドレス、氏名
          ドメイン名、ドメイン登録情報(whois)
        Twitter、Facebook、LinkedIn、Google、Baidu、Yandexから情報を得る
          メールアドレス

      (2)ウィルスを作成する
        メールの作成
          いかにも開きそうな件名や本文を用意する
            部署名、役職、氏名が分かっていればこれらの情報で補強する
        ウィルスを作成する
          有料、無料のツールから選んで使用する
            ウィルスは拡張子をexeにすると誰も開かないので
              WordやExcel、PDFの拡張子にすることが多い
                ※これらのファイルを開いたら必ず感染するのではなく
                ※各ソフトに脆弱な欠陥が存在した場合だけです
            遠隔操作するためのサーバ機能を用意する
              ファイル操作、コマンド操作、クリップボード操作、リモートデスクトップ操作等が可能になる

      (3)対策ソフトで検出されないことを検証する
        インターネット上に幾つかWebサイトが存在します
          有料サイトでは検証結果をセキュリティーベンダーに情報を提供することはない

      (4)検出されたら対策を採る
        ツールで検出されるのなら、既に対策方法も用意されている
          プログラムコードを改変して解析しにくくする
          コードを暗号化する

      (5)メールを送信する
        既に他人のPCに侵入していれば
          侵入先のPCからメールを送信する

  • ソフト(アプリ)の勘所

    注意すべき点
      ・パソコン
        OSや他のソフト
          更新(update)情報が発表されたら素早く対応する
            なるべく自動更新の手続きを行っておく

        セキュリティーソフト、ウィルス対策ソフト
          専門業者が扱っているソフトにしておく
            なるべく自動更新の手続きを行っておく

        XPパソコン
          2014年4月9日以降は使わない
            他のWindowsマシンにアップグレードさせて乗り換えるか
            Unixマシンに乗り換えるか

      ・スマートフォン/タブレット
        アプリ
          必要なアプリだけに絞ってダウンロードする
          公式のアプリ配布元からダウンロードする
          配布者(開発者)の情報を集めて自分で判断する
          セキリティーソフトを必ずインストールしておく
        紛失/盗難対策
          一定時間経過後に自動的にロックが掛かる様にしておく

  • ホームページ(ウェブサイト)の勘所

    注意すべき点
      ・ホームページ(ウェブサイト)
        全般
          有名企業や省庁のホームページでも絶対安全とは限らないと考えておく
            既にウィルス感染しサイトが汚染されている可能性がある

        会員制サービス
          無料だからと安易に登録しない
            自分で安心できるまで、周りの情報を集めてから判断する
          パスワードを使い回さない
            一つ盗まれると、次々に芋づる式に悪用される

        SNS、掲示板等への書き込み
          アドレス(リンク)のクリックは無闇に行わない
            投稿者の今までの行為を確認してからクリックでも遅くない
          個人情報は無闇に公開しない
            名前、住所、電話番号等など

  • 電子メールの勘所

    注意すべき点
      ・電子メール
        送り主(送信者)
          怪しい時には、送信者の名前とアドレスを納得するまで確認する
          知らない相手からの間違いメールには返事をしない

        内容(件名、本文)
          緊急のメールでも、内容を納得するまで吟味する
          本文のアドレス(リンク)のクリックは慎重に考えてからする

        添付ファイル
          添付ファイルは安易には開かない
            決して自動での開封は行わない
          知り合いから添付ファイルが送られてきた
            送信者が偽装されていることも考えて、思い当たることが無ければメールを破棄する
          セキュリティー業者が更新ファイルを送ってきたら
            業者が更新ファイルをメールで配布することはないのでメールを破棄する

  • 知っておきたい便利なサイト

    以下のサイトを紹介します(2013年11月現在)
      ・情報セキュリティについての理解度チエックサイト
        http://slb.jnsa.org/eslb/
          個人の理解度チエックというよりも、企業等の組織全体での理解度がチエックされます
          管理者登録と受講者登録が出来て、管理者には組織における正解率が表示されます
          受講者の名前等は入力不要です

      ・企業組織の情報セキュリティ啓発・教育をサポートするサイト
        http://www.ipa.go.jp/security/isec-portal/
          オンラインの使いやすさとマイページで過去の実績と比較もできます
            「5分でできる!自社診断」オンライン版が提供されています
              オンラインで瞬時に診断結果が表示されます
            「5分でできる!!情報セキュリティポイント学習」オンライン版が提供されています
              1日1テーマ5分の学習を続けられます

      ・情報セキュリティポータルサイト
        http://www.ipa.go.jp/security/kokokara/
          国内の情報セキュリティ関連ツールや資料が満載です
          セキュリティ対策や教育に関する資料が無料で手に入ります

    上記のサイトを運営している団体を紹介しておきます
      ・IPA独立行政法人 情報処理推進機構

      ・JNSA特定非営利活動法人 日本ネットワークセキュリティ協会

  • インターネット利用上の注意点

    箇条書き
      ・一度書き込んだことは永久に残る可能性がある
      ・場所の情報と個人の情報がセットになると危険
      ・賞金当選メールには注意を払う
      ・イターネットカフェでは大事な情報(口座番号、パスワード等)は入力しない
      ・犯罪に一番ひっかかるのは中高年が多い
      ・これからは携帯・スマホがセキュリティーの脅威となる

  • パスワードの作り方

    マカフィーのお勧め
      自分に関係するキーワードを選び、それに固有の情報を加え、それをさらに加工する
        関係するキーワードが「light」で固有の情報が「mcafee.com」だとすると
          「123」    先頭に固定文字をセット
          「light」   lightの「i」を数字の「1」に置き換える、最後尾の「t」を大文字「T」に変える
          「jdqr33」  キーボードで「mcafee」の1段上にある文字と数字を付ける
          「^!」     最後に特殊文字を入れる
       完成形は「123l1ghTjdqr33^!」となる

       必ず数字と文字(大文字と小文字の両方)、特殊文字を入れるべきだと推奨している
         特殊文字が使えないケースもあることから、2回3回と試すことを勧めている

    よく使われるパスワードとして
       (1)グローバルパスワード
         すべてのオンラインアカウントで同じパスワードを使い回す方法

         これは、最も避けるべき方法と指摘する
           何年も前に利用したサイトがハッキングされただけで
           現在も利用しているアカウントもすべて破られてしまうためだ。
       (2)パスワード候補リスト
         パスワードを複雑さで分類して利用する方法

           一番複雑なパスワードは金融関係
           やや簡単なパスワードはショッピングサイト
           その他のパスワードはSNSで使用する
         最善策ではない
       (3)秘密のパスワードやメモ帳
          アクセスごとに異なる大量のパスワードをメモ帳に書き留めること

            メモ帳を紛失したり盗まれる可能性があると指摘
          定期的なパスワード変更を課す多くの企業では
            パスワードを書いた紙切れが引き出しなどに置かれ、他人が簡単に入手できるケースもある
          職場の管理者からパスワード変更を頻繁に求められるケースでは
            対象のWebサイトに相当する文字列だけを書き留めておけば十分
            文字列のみであれば、例え見られても第三者による悪用を防げる

  • 脅威別の事後対策

    (1)Winnyによる情報漏洩
      Winny経由で情報が漏洩する仕組み
        ・Winnyネットワークから「Antinny」というウィルスを含むファイルをDLする
        ・「Antinny」を実行することに依って感染する
        ・「Antinny」はその後、PC内部のデータをWinnyネットワークにULする
        ・ULされたデータをWinnyユーザがDLして拡散する

      情報漏洩のデータ確認
        ・漏洩を連絡してきた第三者から入手する
        ・専門家(ベンダー)に依頼して入手する
        ・Winnyを使って探し出す
          2次被害の拡大が考えられるので、別途ネットワークやPCを用意する

        データを取得できた場合には、速やかにWinnyキャッシュから削除する
          これ以上、データを公開されたままにはしない

      情報漏洩の源を突き止める
        ・ファイル名から、OSのユーザー名を特定する
        ・ファイル内容から、作成者や使用目的等から源を絞り込む

      他に漏洩していないかを調査する
        ・共有フォルダーの設定内容を確認し、他に漏洩していないかをチエックする

    (2)内部関係者による情報漏洩
      顧客からの問合せで発覚することが多い
        問合せを受けて、対処のシステムを調査する

      漏洩の可能性が高いと判断されたら、緊急対策本部を設置する
        ・システム担当者
        ・問い合わせ窓口担当者
        ・法務・公報・総務担当者
        ・経営者

      システム担当者の調査対象
        ・いつ・・・・・事件発生日時の調査
        ・誰が・・・・・実行者の調査
        ・どれ・・・・・漏洩した情報の調査
        ・どうやって・・方法を調査
        ・どれくらい・・漏洩した情報量の調査

      具体的な調査対象
        ・入隊室管理のログや管理簿
        ・本番・開発環境のサーバーのディスク
        ・DBサーバーのアクセスログや作業記録
        ・DBへのアクセス権限の設定状況
        ・Webサーバーへのアクセスログ
        ・セキュリティーホールへの対応状況
        ・アウトバウンド通信のログ
        ・管理者による端末操作ログ
        ・外部メディアの管理簿
        ・関係者の行動履歴

      被害の状況説明や状況報告
        ・情報漏洩の概要
        ・漏洩した期間・日時
        ・漏洩した件数
        ・漏洩した項目(個人情報、カード情報等)
        ・漏洩の原因
        ・二次被害の有無
        ・再発防止策
        ・問い合わせ先情報

    (3)SQLインジェクションの発生
      検知する方法(かなり難しい)
        ・IDS(侵入検知システム)、IPS(進入防御システム)を利用する
        ・Webアクセスログ、DB監視ログを監視する
          特に【GET】でのパラメータ渡しには注意が必要

      実際には下記の様なことで発覚する
        ・身に覚えのないテーブルが作成された
        ・利用者から警告メッセージが表示された
        ・情報が漏洩しているとの連絡を受ける

      事後対策
        ・Webサイトを即時に停止する(経営層の判断を仰ぐ)
        ・攻撃手法やWebアプリの欠陥を特定する
          想定するデータ型、桁数、値の範囲のチエックを確認する
        ・脆弱性の排除を行う
        ・データ復旧・パスワードの再発行等
        ・Webサイトを再開する

    (4)バッファーオーバーフローによる情報漏洩
      下記の様なことで発覚する
        ・サーバーがダウンする
          サーバーがハングアップする
          ブルースクリーンを表示し停止する
        ・プログラムが異常終了する
          強制終了になる
          各種ログに異常終了のログが残る
        ・ファイルの改竄
          システムファイルが更新される
          無関係なファイルが作成される
        ・異常な通信
          想定していない外部サーバーへの通信が発生する
          無関係なサーバーへのアクセスが増加する

      復旧作業のポイント
        ・パッチを適用して脆弱性を修正する
        ・必要のないネットワークアクセスを制限する
        ・必要のないプログラムをインストールしない
        ・作業はネットワークに繋がないで行う

        ・サーバーのクリーンインストール(これがベストな対応)

  • インシデント・ハンドリング

    インシデント・ハンドリングとは
      セキュリティー被害への対応策を体系化したもの
        5段階に分類して記述する

      現状調査、原因究明、被害拡大防止をインシデント・レスポンスと言う
        これだけでは不十分で事前の準備と事後の不備見直しを含んで
        インシデント・ハンドリングと言う

      準備 被害発生を前提に行動指針を決めておく
        (1)対応方針の策定
          被害が発生した場合について、周知徹底のために明文化しておく
          緊急度をレベル分けし、レベルごとに行動基準を作成しておく

          レベル分けの基準例
            ・被害のタイプによるレベル分け
              外部からの攻撃、内部の不正行為による情報漏洩 等々
            ・被害の重要度によるレベル分け
              被害にあったシステム、漏洩したデータ 等々
            ・必要時間によるレベル分け
              システム停止時間、システム復旧時間 等々

        (2)担当者の任命
          誰が中心になって被害に対するかを決めておく
          対策チームのメンバーは被害の種類によって変えていく

          担当の基準例
            ・ウィルス感染の場合
              現場のITエンジニアで十分
            ・顧客情報または機密情報の漏洩の場合
              上位の意思決定者の存在が不可欠となる
              広報担当や法務担当が必要になる

        (3)連絡体制の整備
          緊急時に必要なメンバーを招集できるよう整備しておく
            連絡先リストを作成する(常に最新の状態に更新すること)
          対策窓口を設置し周知徹底させる

        (4)経営層の承認
          人員や予算の確保に経営層の承認や関与が必要である
          緊急時に関連部署への協力要請等に欠かせない
            事前に被害額を見積もったり、他の事例を紹介しておく

      発見 セキュリティー被害かどうかを迅速に確かめる
        (1)セキュリティー被害発生の確認
          単純な運用ミスでないかを確認する
            ・大量のシステムエラー
            ・システムの停止や誤動作
            ・警告メッセージの表示
            ・ユーザからの通報
          被害の種類を特定する
            ・証拠を収集する
            ・自分の目で確認する
            ・アクセスログの調査

        (2)関係者への連絡
          セキュリティー対策窓口に連絡する
          窓口担当者は、対処方針に従ってメンバーを招集する
            弁護士、警察官、プロバイダー等も必要なら招集する

        (3)証拠の保全
          メモリー、ディスク等のデータをバックアップする
            取得時刻を明らかにしておく
          特定のデータ(ログも含む)は消失・改竄を防ぐ

      原因特定と被害拡大防止 被害状況次第ではシステム停止も検討する
        (1)原因の特定
          ログ等の情報から原因を分析し特定する
            セキュリティー侵害の手法を熟知している技術的なスキルが必要になる
            セキュリティーポリシー等のルールにも詳しい必要がある

        (2)システムの停止
          そのまま運用するか、停止するかを決める
            内部ユーザーや外部ユーザーに連絡する
          管理者のユーザーIDやパスワードを変更後再発行する
            関連するシステムの管理者パスワードも変更する

        (3)問題点の解析
          原因の特定とシステムの脆弱性を解析する
            ・OSにセキュリティーホールがあった
            ・アプリケーションプログラムのミス
            ・通信ポートが開いていた
            ・ネットワーク設定のミス
          商用の解析ツールを使用する
            日ごろから使用経験を積んでおく

      復旧 原因を排除し、システムを復元する
        (1)原因の排除
          同じ原因で被害に遭うことを防ぐために対策を打つ
            ・外部からの進入の場合には、進入経路を絶つ
              バックドアや盗聴ツールを疑って探し出し手を打つ
            ・ウィルスやワームの進入の場合には、パッチを当てる
              場合によっては、ウィルスソフトベンダーの手を借りなければならない

        (2)防御策の強化
          個別に対応する
            ・DoS攻撃には、IPアドレスでフィルタリングする
              対象アドレスが多すぎる場合は、新しいサーバーに移設する
            ・不正進入の場合には、不要なサービスの停止やパスワードを変更する
            ・内部からの情報漏洩の場合には、アクセス権限や入退室ルールを見直す

        (3)システムの修復
          バックアップデータからシステムを復旧する
            被害の原因を一緒に戻してしまわないようにする

        (4)システムの検証
          正常な状態であるかどうかを検証する
            専門家のツールを使って検証する、ことも考慮しておく

        (5)システムの監視
          復旧させた後も、暫くは監視を強化する

      事後検討 振り返って、今後の被害を防止する
        (1)事後検討レポートの作成
          被害の原因や内容、講じた対策、使用したリソース、費用、人員等々をまとめておく

        (2)反省会の実施
          上記レポートをレビューする
          恒久的な対策等を検討する
            表面的な原因でなく、根本原因を把握して対応する

        (3)改善策の実施
          恒久的な改善策を施す
            暫定的な改善策に陥らないように工夫が必要
          他のシステムへも実施する

  • ソーシャル・エンジニアリング

    ソーシャル・エンジニアリング
      ・人間の心理的なスキを利用して情報を引き出したり実行させたりする

      ・不正アクセスの事前準備として、巧みにパスワードを聞き出す

    様々な手法
      ・電話を使ったなりすまし
        上席の管理職になりすましシステム部門に電話し情報を引き出す
      ・トラッシイング(ゴミ箱あさり)
        ゴミ箱の中をあさって、廃棄された書類から重要情報を盗み出す
      ・ショルダー・ハッキング
        入力者の後ろに近ずき肩越しにパスワードを盗み見る
      ・WebSpoofing
        サイトのデザイン等を真似して偽のサイトに誘い込む
        紛らわしいURLを用意して偽のサイトに誘い込む
      ・パスワードを絡め取る
        会員登録の際に入力させたパスワードを別の場所で使う
      ・構内侵入
        同伴者のふりをして侵入する
        訪問のついでに構内を歩き回る
      ・点検作業を偽装する
        点検作業員になりすまし、盗聴器や隠しカメラを仕掛ける
        点検作業員になりすまし、盗聴器や隠しカメラを取り外す
      ・覗き見
        訪問販売員として近づき、さりげなく周囲の情報を除き見る
        席を外したりすると大量の情報が覗き見られる

    対策方法
      ・先ず疑って信用しない
        何度でも相手の身元を確認する
      ・情報は管理して放置しない
        身の回りを整理・整頓して盗み易くしない

  • クラッキングの種類

    クラッキング(Cracking)とは
      コンピュータネットワークに繋がれたシステムへ不正に侵入したり
        コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること

    Webアプリケーションの特徴
      WebブラウザーからのHTTPリクエストに対して
      WebサーバーはHTMLの形式にしてHTTPレスポンスを返す

      非常に簡潔な基本原理から成り立っており
        使い易いメリットが改竄し易いデメリットにもなっている

    主なクラッキング手口

     クラキング手口 概要
    クロスサイト・スクリプティンング スクリプトの入力を許可しているHTMLフォームの脆弱性を利用して悪意のあるコードを実行させる
     Cookieの改竄 Webブラウザー側に保存されているCookieの値を変更することで、第三者になりすましたりして不正な値をサーバーに送信させる
     hiddenフィールドの改竄 HTMLのhiddenフィールドの値を書き換えて、 不正な値をサーバーに送信させる
     強制ブラウジング リンクを辿るのではなく、Webブラウザーのアドレス欄に意図的なURLを指定して強制的に特定のサイトを参照する
    セッション・ハイジャック セッションIDを盗み出して第三者になりすます
    不正なコマンドの実行 HTMLフォームに悪意のあるコマンドを入力してサーバー側で実行させる
    不正なSQL文の実行 HTMLフォームに悪意のあるSQL文を入力して サーバー側で実行させる
    バッファー・オーバーフロー攻撃 サーバー側が想定しているバッファ・サイズ以上の大量データを送り付けることでバッファーを溢れさせ、任意のコードを実行することにより、プログラムの制御を乗っ取る