カテゴリー: その他

知的財産権はどういった法律で守られているか
　　著作権は「届け出」や「登録」の必要なし
　　産業財産権は特許庁に「出願」、「審査」、「登録」することにより権利が発生する

知的財産権
	著作権
		複製権	著作物を複製する権利
		出版権	本などの著作物を出版する権利
		上演権/演奏権	演劇や音楽等の著作物を上演/演奏する権利
		公衆送信権	放送やインターネット等で送信する権利
	産業財産権
		特許法	発明に関する権利
		実用新案法	考案を独占的に実施する権利
		意匠法	商品のデザインに対する権利
		商標法	商品マークや名詞に関する権利
		パリ条約
		商法
		不正競争防止法

事例で説明　（出展　「コーテック国際特許事務所」ＨＰ）

・特許
　　書面に記載され特許庁に出願された発明の内容が
　　　　特許法上の発明にあたるのか
　　　　産業として実施できるものなのか（産業上利用性）
　　　　今までにない新しいものか（新規性）
　　　　容易に考え出すことはできないか（進歩性）
　　　　先に出願されていないか（先願）
　　などの要件について審査され、要件を具備する場合に特許権が付与される

　　　　保護対象
　　　　　　物の発明
　　　　　　方法の発明
　　　　　　物の製造方法の発明

　　　　存続期間
　　　　　　出願の日から２０年間

・実用新案
　　出願された実体的内容の審査は行われず、一定の基礎的要件を具備するものに対して登録される
　　　　小発明ともいわれる考案を特許制度よりも早期に簡易に保護できる制度となっている

　　　　保護対象
　　　　　　物品の形状、構造又は組合せに係る考案
　　　　　　　　※方法の考案や一定の形状のない考案は保護対象外

　　　　存続期間
　　　　　　出願の日から１０年間

・意匠
　　デザイン（意匠）を新しく創作した創作者（又はその承継人）に対し、独占排他的な意匠権を一定期間付与する
　　　　意匠とは「物品の形状、模様若しくは色彩又はこれらの結合であって、視覚を通じて美感を起こさせるもの」
　　　　　　（意匠法第2条）

　　意匠登録を受けられる意匠には、
　　　　新しさ（新規性）や容易に創作できないこと（創作非容易性）
　　　　工業上利用することができる意匠であること
　　　　　　※芸術品のように一品製作のものは対象外

　　　　保護対象
　　　　　　物品の形状の意匠
　　　　　　物品の形状と模様が結合した意匠
　　　　　　物品の形状と色彩が結合した意匠
　　　　　　物品の形状と模様と色彩が結合した意匠

　　　　存続期間
　　　　　　登録の日から２０年間

・商標
　　商標（識別標識）に対して、独占排他的な商標権を付与する
　　　　商標とは、事業者が、自己の取り扱う商品・サービスを他人のものと区別するために使用するマーク（識別標識）

　　上記３つの権利とは異なり、商品やサービスに付ける「マーク」や「ネーミング」を選択し使用する
　　　　商標に蓄積した使用者の信用や信頼を、商標権として守る

　　　　保護対象
　　　　　　文字、図形、記号、立体的形状などの商標

　　　　存続期間
　　　　　　登録の日から１０年間（１０年単位で更新が可能）

ハッカーたちの基礎的アドバイス

　　（１）パスワードの自動生成
　　　　複数のパスワードをまとめる管理ソフトを使う

　　（２）２段階認証の使用
　　　　無料メール、クラウドサービスの利用には必ず使用する

　　（３）公共Wi-Fiは利用しない

　　（４）セキュアな通信の使用
　　　　Webサイトは暗号化された手順を使用する

　　（５）ソーシャルメディアに個人情報をむやみに投稿しない
　　　　他のアプリとの連携もむやみに行わない

　　（６）指紋認証は慎重に
　　　　必ず解除（削除）を実施する

　　（７）マイクやカメラはむやみに使わない
　　　　パソコンやＩｏＴ機器にはパスワード認証を掛けておく

１１月１日（水）　日経ＮＥＴＷＯＲＫより

今までの常識が通用しない新しいランサムウエアが登場している

（１）メールで届くだけではない、と分かってきた
　　２０１５年に発見されたランサムウエアは
　　　　・攻撃者が送り付けたメールに添付されたJavaScriptやWordファイルをユーザーが開くことで感染した
　　　　・改ざんされたWebサーバーにアクセスしたユーザーが、
　　　　　　パソコンで動くソフトウエアの脆弱性を悪用されて感染した

　　　　ランサムウエア自身に感染させる能力がないため、
　　　　　　メールなどに添付された別のプログラムやスクリプトを使って感染させていた
　　　　対策としては「不審なメールを開かないように」という注意喚起が多かった
　　　　　　※上記のような対策だけだと、今後リスクは高くなる

　　２０１７年に発見されたランサムウエアは
　　　　ネットワーク経由で感染を広げる能力が備わってきている
　　　　　　社外で感染したパソコンを企業ネットワークに接続すれば、感染が一気に広がる

（２）ファイルを暗号化するだけではない、と分かってきた
　　データを「使用不能」にし、それを元に戻すための“身代金”として金銭を要求するのがランサムウエア
　　　　使用不能にする方法として、当初は暗号化が目立った

　　初期の段階では、ハードディスクのシステム領域にあるＭＢＲやファイルテーブルを書き換えて、
　　　　ディスク全体を読めなくしてしまうが、ファイルそのものは暗号化しない
　　　　金銭の要求に応じなくても、ハードディスクのシステム領域を修復すれば復旧できる場合があった

　　最近では、感染すると、ランサムウエアによくある警告画面を表示するが、ファイルは暗号化されない
　　　　ただ要求された金銭を支払わないと、警告画面が閉じられないため、
　　　　データでなくパソコンが「使用不能」になる

（３）金銭を支払えば元に戻る、ことはないと分かってきた
　　反社会的立場の攻撃者に対して金銭を支払うべきではないのは確かだが
　　　　・バックアップを取っていても、バックアップごとデータが暗号化されてしまう
　　　　　　分離してバックアップデータを保管していなければ、同じように暗号化されてしまう恐れがある
　　　　　　データだけのバックアップでは、復旧までに多くの時間を要することがある
　　　　　　　　※システム全体のバックアップとなるとかなり大変になる
　　　　・金銭を支払っても、元通りになるケースが減ってきている
　　　　　　感染した時点でＯＳの起動に必要なファイルの一部を削除してしまうので
　　　　　　たとえ金銭を支払って暗号化を解除するための鍵を手に入れても、システムは元に戻らない

メールのどこをチエックするか？
　　・差出人
　　　　普段メールでやりとりがある人か？
　　　　表示名、署名等と見比べ、不自然な点はないか？

　　・件名、本文
　　　　件名や本文の日本語の表現は適切か？
　　　　署名に不自然な点は無いか？

　　・添付ファイル
　　　　実行形式の拡張子では無いか？
　　　　アイコン偽造等は無いか？

一見では拡張子が見えないのでＥｘｅファイルとは思わない例

メールの機能を強化する
　　・受信メール表示項目を設定し直す
　　　　送信者のメールアドレス、送信者の表示名、受信者のメールアドレス、件名、送信日時を表示させる
　　　　　　迷惑メールや攻撃メールであるかを判断する基本的な情報

　　・迷惑メールフィルタを設定する
　　　　迷惑メール対策のためのフィルタ機能がある
　　　　　　フィルタ機能を利用すれば、疑わしいメールを自動で振り分けてくれる

　　・ＨＴＭＬメールの自動実行スクリプトをＯＦＦにする
　　　　プレビューするだけでスクリプトが実行され感染する場合がある

　　・受信メールはテキスト形式にする
　　　　ＨＴＭＬメールの場合
　　　　　　表示されているＵＲＬと
　　　　　　クリックして表示されるページ（偽サイト）と　を別々に設定できる
　　　　受信メールの表示はテキスト形式にした方が良い
　

インターネットを利用する際の対策
　　ＭＡＭ（MobileApplicationManagement）
　　　　スマートデバイス上のaplをネットワーク経由で集中管理する技術
　　　　個人利用のデバイスを企業の業務システムで使う場合などに有効となる

　　主たる機能
　　　　・他のaplとのデータ連携を制限する
　　　　　　あるaplが管理しているファイルを他のaplからアクセスさせない
　　　　・アクセス可能なサーバーやリソースを制限する
　　　　　　スマートデバイスから社内サーバーへの侵入を防ぐ
　　　　・aplやデータをインターネット経由で削除する
　　　　　　紛失時などに第三者によるaplの不正使用を防ぐ
　　　　・その他
　　　　　　データ保存時に暗号化、コピペの禁止、スクリーンキャプチャーの禁止、印刷の禁止
　　　　　　ユーザ認証の追加、ハスワード設定の強化、アンインストールの実行　等々

　　ＭＤＭ（MobileDeviceManagement）との比較
　　　　デバイス単位の管理のため、個別apl単位の管理はできない
　　　　　　apl単位での細かなセキュリティー強化ができない
　　　　　　スマートデバイスの紛失時には、業務用データは削除し個人用データは残すこともできる

　　システムへの組み込み方法
　　　　（１）ＳＤＫ（SoftwareDevelopmentKit）方式
　　　　　　既存のソースコードにＳＤＫのＡＰＩを呼び出す数行を追加する
　　　　　　
　　　　（２）ラッピング方式
　　　　　　実行形式のaplと専用モジュールをラッピングして使用する
　　　　　　ソースコードの修正は不要（専用モジュールがシステムコールを監視し制御するため不要）

　　　　（３）ベンダーが用意した専用aplを使用する
　　　　　　標準でインストールされているソフトよりも高機能なソフト（apl）を使うことになる
　

ＭＤＭの主な機能
　　・リモートロック
　　　　ネットワーク経由でコマンドを発行し端末操作を不能にする

　　・リモートワイプ
　　　　ネットワーク経由でコマンドを発行し端末を工場出荷時の状態に初期化する
　　　　　　情報漏洩対策として有効だが
　　　　　　　　機器紛失からデータ消去まで時間が掛かる
　　　　　　　　コマンドの受信が不確実である
　　　　　　　　　　電波の届かない場所にある場合
　　　　　　　　　　「機内モード」の場合
　　　　　　　　　　無線ＬＡＮに繋がない場合
　　　　　　　　コマンドの実行結果が確認できない

　　　　　　システム領域が工場出荷時に戻るだけなので
　　　　　　　　ユーザー領域は見えなくなるだけでツールを使えば見えるようになる
　　　　　　　　ＳＤカードなどは初期化されずにそのままの状態で残る

　　　　メモリー内のデータを暗号化する機能を利用する、ことが必要

　　・遠隔監視
　　　　端末のハードウェアやＯＳ等の情報をリアルタイムに取得する

　　・デバイス制御
　　　　セエキュリティー機能や通信機能等の機能制限や設定を変更する

　　・アプリケーション監視
　　　　アプリを配布したり、バージョンアップしたりする

　　・フィルタリング
　　　　ブラウザーからのアクセス先を制限する

　　・不正アプリ対策
　　　　ブラックリストやホワイトリストでアプリの利用やインストールを制限する

　　・バックアップ
　　　　端末内の一部のデータをバックアップする

　　・暗号化機能
　　　　ＳＤカードや端末本体の一部データを暗号化する
　
情報の種類による対策機能
　　・ネットワーク接続情報、メールやWeb情報、アドレス帳の個人情報
　　　　ＭＤＭの基本機能で対応する
　　　　　　パスコード認証、ローカルワイプ、リモートワイプ、リモートロック

　　・公式アプリの情報、独自開発アプリの情報
　　　　ＭＤＭ製品個別の機能で対応する
　　　　　　ＭＡＭ（モバイルアプリケーション管理）

　　・業務情報
　　　　ＭＤＭでは対応できないので独自に対策が必要
　　　　　　アプリ内データ暗号化、キャッシュ消去機能付きアプリ
　

インターネットを利用する際の対策
　　（１）ＯＳやソフトウェアは常に最新状態にする
　　　　新たに広まるコンピュータウィルスに対抗するため
　　　　　　製造元から配布される最新の改良プログラムにアップデートする

　　（２）パスワードは貴重品として扱う
　　　　自宅の鍵と同じくらいに大切にする
　　　　　　他人に知られないように、メモするなら人目に触れない場所に保管する

　　（３）ログインＩＤやパスワードは絶対教えない
　　　　金融機関や公共機関を名乗り、口座番号やパスワードの入力を促された場合には
　　　　　　身に覚えが無ければ入力しない
　　　　　　指示された方法とは異なる手順で確認する

　　（４）添付ファイルの開封に注意する
　　　　身に覚えのないメールが届いた場合には
　　　　　　コンピュータウィルスが潜んで居る可能性がある
　　　　　　添付ファイルを開いたりＵＲＬをクリックしない

　　（５）ウィルス対策ソフトを導入する
　　　　ウィルスに感染しないように
　　　　　　有料であっても、必ずウィルス対策ソフトを導入する

　　（６）ネットショッピングは信頼できる店で購入する
　　　　詐欺被害に遭わないように信頼できる店を選ぶ
　　　　　　身近な人たちからの情報を集めることが必要

　　（７）大切な情報は暗号化する
　　　　万が一、大切な情報が盗まれてもさらに被害が広がらないように
　　　　　　暗号化しておけば内容が漏れることは無く、一先ず安心できる

　　（８）外出先で紛失や盗難に注意する
　　　　電子機器（ＰＣ、タブレット、スマホ等）は厳重に管理する
　　　　　　機器の使用開始時にはパスワードの入力を必須にしておく
　　　　　　多少、煩雑になるがパスワード入力を設定しておく

　　（９）困った時には相談する
　　　　何らかの形で被害に遭ったら下記相談窓口まで

各種相談窓口
　　・ウィルスに感染したと思ったら
　　　　ＩＰＡセキュリティー安心相談窓口　03-5978-7509

　　・広告や宣伝目的のメールに困ったら
　　　　日本データ通信協会　迷惑メール相談センター　03-5974-0068

　　・犯罪に関する相談、電話による情報提供
　　　　警察のサイバー犯罪相談窓口　

８月６日（水）にＩＰＡより以下の注意喚起が行われた
　　夏休みにおける情報セキュリティに関する注意喚起

上記のサイトから
　　「システム管理を担当されている方」と「企業でパソコンを利用される方」をカット
　　「ご家庭でパソコンを利用される方」と「スマートフォン、タブレットを利用される方」を抜き出した

（１）家庭でパソコンを使用する方の対策
　　インターネットバンキング利用時の注意
　　　　・ウイルスに感染してしまったことが原因で、不正送金の被害に遭うケースが増えている
　　　　　　感染を防ぐために、ＯＳと各種ソフトウェアは常に最新の状態で使う
　　　　・金融機関が、第二認証情報（乱数表や合言葉など）の入力を利用者に求めることはない
　　　　　　入力を促す画面が表示された場合は、絶対に情報を入力しない
　　　　・通常の利用時と異なる入力の要求があった場合は、サービス提供元に電話（メール等）で確認する
　　　　　　表示されている内容でなく、契約時に使用した内容（電話、メール）を使用する

　　最新バージョンの利用や修正プログラムの適用
　　　　・使用しているパソコンのＯＳに修正プログラムを適用し、最新のバージョンに更新する
　　　　　　Windowsユーザーは「Microsoft Update」を利用する
　　　　・使用しているパソコンのアプリケーションソフトにも修正プログラムを適用する
　　　　　　セキュリティソフトのパターンファイルを常に最新の状態にする

　　ＵＳＢメモリ等の取り扱いの徹底
　　　　・所有者が不明もしくは自身が管理していない外部記憶媒体は自身のＰＣに接続しない
　　　　　　逆に自身が管理していないＰＣに自身の外部記憶媒体を接続しない

　　必要データのバックアップの推奨
　　　　・ＰＣが動かなくなってしまう場合に備え、必要なデータは外部記憶媒体等へバックアップする
　　　　　　ファイルやフォルダが暗号化され、元に戻せなくなる場合もある

　　情報取扱いルールの徹底
　　　　・Winny等の共有ソフトを使っているＰＣが暴露ウイルスに感染すると
　　　　　　ＰＣ内に保存してあるファイルがインターネット上に流出する
　　　　　　業務データを扱ったＰＣでWinny等のファイル共有ソフトを使うのは止める
　　　　　　家族と共用しているＰＣの場合、家族が使えば情報漏えいする可能性がある

　　ＳＮＳ利用上の注意
　　　　・ＳＮＳを悪用して個人情報を収集したり、ウイルスに感染させようとする
　　　　　　他人のページ等に書かれているＵＲＬを不用意にクリックしない
　　　　　　Twitterでは不用意に“短縮URL”をクリックしない
　　　　　　情報発信する場合は自身の情報公開の範囲を確認する

　　ウェブサイト利用時の注意
　　　　・ウェブサイト利用時の規約をよく読み、利用するかどうかを判断する
　　　　　　利用規約内に料金が明示されていれば、それ以上先に進まない

　　パスワード管理の徹底
　　　　・複数のインターネットサービスで同じＩＤやパスワードを使わない
　　　　　　異なるパスワードに変更する

（２）スマートフォン、タブレットを利用される方の対策
　　スマートフォン、タブレット使用ルールの徹底
　　　　・アプリには、内部の情報を窃取するものが存在する
　　　　　　個人利用の場合は、所属する組織の業務規程に従う

　　スマートフォン、タブレット使用時の注意
　　　　・不正アプリのインストールを防ぐためには
　　　　　　パソコンと同様に信頼できない場所からアプリをダウンロードしない
　　　　　　アプリのインストールする際には「パーミッション」の一覧には必ず目を通す
　　　　　　　　疑問に感じた場合には、アプリのインストールを中止する
　　　　・スマートフォンやタブレットを机などに置いたままでその場を離れない
　　　　　　パスワードロック機能を必ず有効にし、１分程度の短い時間でロックする

　　セキュリティアプリの導入
　　　　・偽のアプリをインストールしてウイルスの感染被害に遭う場合がある
　　　　　　Android ＯＳのスマートフォンやタブレットの利用者はセキュリティアプリを導入する

７月１０日（木）にＩＰＡより以下のお知らせがありました
　　組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを！

（１）内部不正を防止するための現状把握と対策の検討
　　ＩＰＡでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう
　　　　２０１３年３月に「組織における内部不正防止ガイドライン」を策定し、公開している

　　ガイドラインを効果的に活用するには
　　　　最初にチェックシートで対策の現状を把握し
　　　　次に、その結果を基に必要な対策項目を検討する
　　　　　　ＪＭＳＡ作成の「内部不正対策ソリューションガイド」を参考にする

（２）内部不正が発生する仕組み
　　不正行為は下記の３つの要素が全て揃った時に発生すると言われている
　　　　「動機・プレッシャー」
　　　　　　プレッシャー（業務量、ノルマ等）や処遇への不満など
　　　　「機会」
　　　　　　技術的環境や物理的環境及び組織のルールなど、不正行為の実行を可能にする環境
　　　　「正当化」
　　　　　　良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など

　　３つの要素の低減が内部不正を防止するために最も有効となる
　　　　組織が対処できるのは「動機・プレッシャー」と「機会」の低減である

（３）内部不正防止の対策例
　　・重要な情報であることを明確にし、適切なアクセス権限を付与すること
　　　　重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること
　　　　重要な情報に対するアクセス権限をもつ操作員を最小とすること
　　　　アクセス権限は定期的に見直すこと
　　・重要情報の持ち出し・可搬媒体等の持ち込みの監視
　　　　情報機器や記録媒体の管理を厳格にすること
　　　　可搬媒体の利用を制限し、管理者の承認と記録を取ること
　　・定期的な操作履歴の監視・監査
　　　　重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること
　　　　ログを定期的に監査し、異常な事象の発見に努めること

クロスサイトリクエストフォージェリ（Cross site request forgeries）
　　掲示板に意図しない書き込みをさせられる
　　オンラインショップで買い物をさせられる
　　ルーターや無線LAN等の情報機器の設定を勝手に変更される

　　概要
　　　　（１）攻撃者が誘導用のページを用意する
　　　　（２）誘導用のページを閲覧する
　　　　（３）攻撃用ページにリクエストが送信され、攻撃者の意図した操作が行われる

掲示板への書き込みサンプルを挙げておきます
　　誘導用のページとして用意する
　　　　<!DOCTYPE html>
　　　　<html lang=”ja”>
　　　　<head>
　　　　　　<title>誘導用のページ</title>
　　　　</head>
　　　　<body>
　　　　　　<p>ようこそいらっしゃいました。</p>
　　　　　　<iframe width=”1″ height=”1″ src=”attack.html”></iframe>
　　　　</body>
　　　　</html>

　　攻撃用のページとして用意する
　　　　<!DOCTYPE html>
　　　　<html lang=”ja”>
　　　　<head>
　　　　　　<title>攻撃用のページ</title>
　　　　</head>
　　　　<body onload=”document.attackform.submit();”>
　　　　　　<form name=”attackform” method=”post” action=”http://example.com/bbs/register.cgi”>
　　　　　　<input type=”hidden” name=”title” value=”攻撃者が指定した題名”>
　　　　　　<input type=”hidden” name=”article” value=”攻撃者が指定した本文”>
　　　　　　<input type=”submit” value=”送信”>
　　　　　　</form>
　　　　</body>
　　　　</html>

　　仕組みの説明
　　　　・最初にアクセスされた誘導用ページのインラインフレーム内で
　　　　　　攻撃用ページが呼び出される
　　　　　　縦1 ピクセル、横１ピクセルのインラインフレーム内で行われるため、被害者は気が付かない
　　　　・攻撃用ページのonload属性により、ページが読込まれるのと同時に
　　　　　　掲示板への書き込みフォームの送信ボタンが自動的に押される
　　　　・フォームで指定された文言で掲示板に書き込みが行われる

　　　　最初に誘導用ページにアクセスした人が意図しないうちに
　　　　　　意図しない内容で掲示板に書き込みされることになる

標的型攻撃でのメール送信手口
　　（１）本物の業務メールを装って送る
　　　　添付したウィルスを開かせるために正規のメールだと思わせる
　　　　　　・実際にやりとりしている業務メールを盗んで、文面をお手本にする
　　　　　　　　盗んだメールと同じ宛先に、先のファイルの修正分を送りつける
　　　　　　　　　　ウィルスチエックを回避するために圧縮ファイルで送り付ける
　　　　　　　　受信者は送信者が同じなので修正が必要だとファイルを開く、ことになる

　　（２）何回かやり取りしてからメールを送る
　　　　無害のメールをやり取りした後にウィルス添付メールを送りつける
　　　　　　・組織が公開しているＷｅｂサイトの採用問合せアドレスにメールする
　　　　　　　　担当者のメールアドレスが分かったところで
　　　　　　　　履歴書に見せかけてウイルス添付のファイルを送信する
　　　　　　　　　　開かなければ成らない状況を作り出す
　　　　　　　　受信者は今までと同じ送信者なので安心してファイルを開く、ことになる

　　　　　　・製品に関する質問や不具合の報告であったりするメールも多い

　　　　　　・組織の不正に関する告発メールだったりもする

　　（３）安全なファイルに見せかけてメールを送る
　　　　実行形式のファイルを安全なファイルだと思わせる
　　　　　　・ＲＬＯ（Right-to-Left　Override）を使ってファイル名を偽装する
　　　　　　　　アラビア文字用の制御文字で、文字を右から左に表示する
　　　　　　　　　　例：abcdef[RLO]fdp.exe　のファイルは　abcdefexe.pdf　と表示される
　　　　　　　　受信者は安心してファイルを開く、ことになる

　　　　　　・ショートカットファイルの形式でメールに添付する
　　　　　　　　通常リンク先はファイルだが、javascript等のプログラムを指定する
　　　　　　　　　　ショートカットファイルの拡張子（lnk）は表示されないので注意が必要

　　（４）Ｗｅｂサイトを水飲み場にする
　　　　狙った組織の正規Webページを改竄して、アクセスした際にウィルスに感染させる
　　　　　　・標的とした組織の従業員がアクセスしそうなサイトを狙う
　　　　　　　　アクセスログを分析してＷｅｂサイトに当たりを付ける
　　　　　　　　脆弱性を突いてウィルスを仕込んでおく

標的型攻撃
　　特定の企業や組織を狙って、ウィルス添付のメールをお送り感染させる
　　　　ウィルスを遠隔操作して情報を盗み出す
　　メールにＵＲＬを記述し、ウィルスの存在するサイトに誘導する

標的型攻撃の手順
　　（１）予備調査
　　　　標的とした相手のＷｅｂサイトから情報を得る
　　　　　　組織体系（部署）、業務内容
　　　　　　電話番号、メールアドレス、氏名
　　　　　　ドメイン名、ドメイン登録情報（whois）
　　　　Twitter、Facebook、LinkedIn、Google、Baidu、Yandexから情報を得る
　　　　　　メールアドレス

　　（２）ウィルスを作成する
　　　　メールの作成
　　　　　　いかにも開きそうな件名や本文を用意する
　　　　　　　　部署名、役職、氏名が分かっていればこれらの情報で補強する
　　　　ウィルスを作成する
　　　　　　有料、無料のツールから選んで使用する
　　　　　　　　ウィルスは拡張子をexeにすると誰も開かないので
　　　　　　　　　　ＷｏｒｄやＥｘｃｅｌ、ＰＤＦの拡張子にすることが多い
　　　　　　　　　　　　※これらのファイルを開いたら必ず感染するのではなく
　　　　　　　　　　　　※各ソフトに脆弱な欠陥が存在した場合だけです
　　　　　　　　遠隔操作するためのサーバ機能を用意する
　　　　　　　　　　ファイル操作、コマンド操作、クリップボード操作、リモートデスクトップ操作等が可能になる

　　（３）対策ソフトで検出されないことを検証する
　　　　インターネット上に幾つかＷｅｂサイトが存在します
　　　　　　有料サイトでは検証結果をセキュリティーベンダーに情報を提供することはない

　　（４）検出されたら対策を採る
　　　　ツールで検出されるのなら、既に対策方法も用意されている
　　　　　　プログラムコードを改変して解析しにくくする
　　　　　　コードを暗号化する

　　（５）メールを送信する
　　　　既に他人のＰＣに侵入していれば
　　　　　　侵入先のＰＣからメールを送信する

注意すべき点
　　・パソコン
　　　　ＯＳや他のソフト
　　　　　　更新（update）情報が発表されたら素早く対応する
　　　　　　　　なるべく自動更新の手続きを行っておく

　　　　セキュリティーソフト、ウィルス対策ソフト
　　　　　　専門業者が扱っているソフトにしておく
　　　　　　　　なるべく自動更新の手続きを行っておく

　　　　ＸＰパソコン
　　　　　　２０１４年４月９日以降は使わない
　　　　　　　　他のＷｉｎdowsマシンにアップグレードさせて乗り換えるか
　　　　　　　　Ｕｎｉｘマシンに乗り換えるか

　　・スマートフォン／タブレット
　　　　アプリ
　　　　　　必要なアプリだけに絞ってダウンロードする
　　　　　　公式のアプリ配布元からダウンロードする
　　　　　　配布者（開発者）の情報を集めて自分で判断する
　　　　　　セキリティーソフトを必ずインストールしておく
　　　　紛失／盗難対策
　　　　　　一定時間経過後に自動的にロックが掛かる様にしておく

注意すべき点
　　・ホームページ（ウェブサイト）
　　　　全般
　　　　　　有名企業や省庁のホームページでも絶対安全とは限らないと考えておく
　　　　　　　　既にウィルス感染しサイトが汚染されている可能性がある

　　　　会員制サービス
　　　　　　無料だからと安易に登録しない
　　　　　　　　自分で安心できるまで、周りの情報を集めてから判断する
　　　　　　パスワードを使い回さない
　　　　　　　　一つ盗まれると、次々に芋づる式に悪用される

　　　　ＳＮＳ、掲示板等への書き込み
　　　　　　アドレス（リンク）のクリックは無闇に行わない
　　　　　　　　投稿者の今までの行為を確認してからクリックでも遅くない
　　　　　　個人情報は無闇に公開しない
　　　　　　　　名前、住所、電話番号等など

注意すべき点
　　・電子メール
　　　　送り主（送信者）
　　　　　　怪しい時には、送信者の名前とアドレスを納得するまで確認する
　　　　　　知らない相手からの間違いメールには返事をしない

　　　　内容（件名、本文）
　　　　　　緊急のメールでも、内容を納得するまで吟味する
　　　　　　本文のアドレス（リンク）のクリックは慎重に考えてからする

　　　　添付ファイル
　　　　　　添付ファイルは安易には開かない
　　　　　　　　決して自動での開封は行わない
　　　　　　知り合いから添付ファイルが送られてきた
　　　　　　　　送信者が偽装されていることも考えて、思い当たることが無ければメールを破棄する
　　　　　　セキュリティー業者が更新ファイルを送ってきたら
　　　　　　　　業者が更新ファイルをメールで配布することはないのでメールを破棄する

以下のサイトを紹介します（２０１３年１１月現在）
　　・情報セキュリティについての理解度チエックサイト
　　　　http://slb.jnsa.org/eslb/
　　　　　　個人の理解度チエックというよりも、企業等の組織全体での理解度がチエックされます
　　　　　　管理者登録と受講者登録が出来て、管理者には組織における正解率が表示されます
　　　　　　受講者の名前等は入力不要です

　　・企業組織の情報セキュリティ啓発・教育をサポートするサイト
　　　　http://www.ipa.go.jp/security/isec-portal/
　　　　　　オンラインの使いやすさとマイページで過去の実績と比較もできます
　　　　　　　　「５分でできる！自社診断」オンライン版が提供されています
　　　　　　　　　　オンラインで瞬時に診断結果が表示されます
　　　　　　　　「５分でできる！！情報セキュリティポイント学習」オンライン版が提供されています
　　　　　　　　　　１日１テーマ５分の学習を続けられます

　　・情報セキュリティポータルサイト
　　　　http://www.ipa.go.jp/security/kokokara/
　　　　　　国内の情報セキュリティ関連ツールや資料が満載です
　　　　　　セキュリティ対策や教育に関する資料が無料で手に入ります

上記のサイトを運営している団体を紹介しておきます
　　・ＩＰＡ（独立行政法人　情報処理推進機構）

　　・ＪＮＳＡ（特定非営利活動法人　日本ネットワークセキュリティ協会）

箇条書き
　　・一度書き込んだことは永久に残る可能性がある
　　・場所の情報と個人の情報がセットになると危険
　　・賞金当選メールには注意を払う
　　・イターネットカフェでは大事な情報（口座番号、パスワード等）は入力しない
　　・犯罪に一番ひっかかるのは中高年が多い
　　・これからは携帯・スマホがセキュリティーの脅威となる

マカフィーのお勧め
　　自分に関係するキーワードを選び、それに固有の情報を加え、それをさらに加工する
　　　　関係するキーワードが「light」で固有の情報が「mcafee.com」だとすると
　　　　　　「123」　　　　先頭に固定文字をセット
　　　　　　「light」　　　lightの「i」を数字の「1」に置き換える、最後尾の「t」を大文字「T」に変える
　　　　　　「jdqr33」　　キーボードで「mcafee」の1段上にある文字と数字を付ける
　　　　　　「^!」　　　　　最後に特殊文字を入れる
　　　完成形は「123l1ghTjdqr33^!」となる

　　　必ず数字と文字（大文字と小文字の両方）、特殊文字を入れるべきだと推奨している
　　　　　特殊文字が使えないケースもあることから、２回３回と試すことを勧めている

よく使われるパスワードとして
　　　（１）グローバルパスワード
　　　　　すべてのオンラインアカウントで同じパスワードを使い回す方法
　　　　　これは、最も避けるべき方法と指摘する
　　　　　　　何年も前に利用したサイトがハッキングされただけで
　　　　　　　現在も利用しているアカウントもすべて破られてしまうためだ。
　　　（２）パスワード候補リスト
　　　　　パスワードを複雑さで分類して利用する方法
　　　　　　　一番複雑なパスワードは金融関係
　　　　　　　やや簡単なパスワードはショッピングサイト
　　　　　　　その他のパスワードはSNSで使用する
　　　　　最善策ではない
　　　（３）秘密のパスワードやメモ帳
　　　　　　アクセスごとに異なる大量のパスワードをメモ帳に書き留めること
　　　　　　　　メモ帳を紛失したり盗まれる可能性があると指摘
　　　　　　定期的なパスワード変更を課す多くの企業では
　　　　　　　　パスワードを書いた紙切れが引き出しなどに置かれ、他人が簡単に入手できるケースもある
　　　　　　職場の管理者からパスワード変更を頻繁に求められるケースでは
　　　　　　　　対象のWebサイトに相当する文字列だけを書き留めておけば十分
　　　　　　　　文字列のみであれば、例え見られても第三者による悪用を防げる

（１）Ｗｉｎｎｙによる情報漏洩
　　Ｗｉｎｎｙ経由で情報が漏洩する仕組み
　　　　・Ｗｉｎｎｙネットワークから「Ａｎｔｉｎｎｙ」というウィルスを含むファイルをＤＬする
　　　　・「Ａｎｔｉｎｎｙ」を実行することに依って感染する
　　　　・「Ａｎｔｉｎｎｙ」はその後、ＰＣ内部のデータをＷｉｎｎｙネットワークにＵＬする
　　　　・ＵＬされたデータをＷｉｎｎｙユーザがＤＬして拡散する

　　情報漏洩のデータ確認
　　　　・漏洩を連絡してきた第三者から入手する
　　　　・専門家（ベンダー）に依頼して入手する
　　　　・Ｗｉｎｎｙを使って探し出す
　　　　　　２次被害の拡大が考えられるので、別途ネットワークやＰＣを用意する

　　　　データを取得できた場合には、速やかにＷｉｎｎｙキャッシュから削除する
　　　　　　これ以上、データを公開されたままにはしない

　　情報漏洩の源を突き止める
　　　　・ファイル名から、ＯＳのユーザー名を特定する
　　　　・ファイル内容から、作成者や使用目的等から源を絞り込む

　　他に漏洩していないかを調査する
　　　　・共有フォルダーの設定内容を確認し、他に漏洩していないかをチエックする

（２）内部関係者による情報漏洩
　　顧客からの問合せで発覚することが多い
　　　　問合せを受けて、対処のシステムを調査する

　　漏洩の可能性が高いと判断されたら、緊急対策本部を設置する
　　　　・システム担当者
　　　　・問い合わせ窓口担当者
　　　　・法務・公報・総務担当者
　　　　・経営者

　　システム担当者の調査対象
　　　　・いつ・・・・・事件発生日時の調査
　　　　・誰が・・・・・実行者の調査
　　　　・どれ・・・・・漏洩した情報の調査
　　　　・どうやって・・方法を調査
　　　　・どれくらい・・漏洩した情報量の調査

　　具体的な調査対象
　　　　・入隊室管理のログや管理簿
　　　　・本番・開発環境のサーバーのディスク
　　　　・ＤＢサーバーのアクセスログや作業記録
　　　　・ＤＢへのアクセス権限の設定状況
　　　　・Ｗｅｂサーバーへのアクセスログ
　　　　・セキュリティーホールへの対応状況
　　　　・アウトバウンド通信のログ
　　　　・管理者による端末操作ログ
　　　　・外部メディアの管理簿
　　　　・関係者の行動履歴

　　被害の状況説明や状況報告
　　　　・情報漏洩の概要
　　　　・漏洩した期間・日時
　　　　・漏洩した件数
　　　　・漏洩した項目（個人情報、カード情報等）
　　　　・漏洩の原因
　　　　・二次被害の有無
　　　　・再発防止策
　　　　・問い合わせ先情報

（３）ＳＱＬインジェクションの発生
　　検知する方法（かなり難しい）
　　　　・ＩＤＳ（侵入検知システム）、ＩＰＳ（進入防御システム）を利用する
　　　　・Ｗｅｂアクセスログ、ＤＢ監視ログを監視する
　　　　　　特に【ＧＥＴ】でのパラメータ渡しには注意が必要

　　実際には下記の様なことで発覚する
　　　　・身に覚えのないテーブルが作成された
　　　　・利用者から警告メッセージが表示された
　　　　・情報が漏洩しているとの連絡を受ける

　　事後対策
　　　　・Ｗｅｂサイトを即時に停止する（経営層の判断を仰ぐ）
　　　　・攻撃手法やＷｅｂアプリの欠陥を特定する
　　　　　　想定するデータ型、桁数、値の範囲のチエックを確認する
　　　　・脆弱性の排除を行う
　　　　・データ復旧・パスワードの再発行等
　　　　・Ｗｅｂサイトを再開する

（４）バッファーオーバーフローによる情報漏洩
　　下記の様なことで発覚する
　　　　・サーバーがダウンする
　　　　　　サーバーがハングアップする
　　　　　　ブルースクリーンを表示し停止する
　　　　・プログラムが異常終了する
　　　　　　強制終了になる
　　　　　　各種ログに異常終了のログが残る
　　　　・ファイルの改竄
　　　　　　システムファイルが更新される
　　　　　　無関係なファイルが作成される
　　　　・異常な通信
　　　　　　想定していない外部サーバーへの通信が発生する
　　　　　　無関係なサーバーへのアクセスが増加する

　　復旧作業のポイント
　　　　・パッチを適用して脆弱性を修正する
　　　　・必要のないネットワークアクセスを制限する
　　　　・必要のないプログラムをインストールしない
　　　　・作業はネットワークに繋がないで行う

　　　　・サーバーのクリーンインストール（これがベストな対応）

インシデント・ハンドリングとは
　　セキュリティー被害への対応策を体系化したもの
　　　　５段階に分類して記述する

　　現状調査、原因究明、被害拡大防止をインシデント・レスポンスと言う
　　　　これだけでは不十分で事前の準備と事後の不備見直しを含んで
　　　　インシデント・ハンドリングと言う

　　準備　被害発生を前提に行動指針を決めておく
　　　　（１）対応方針の策定
　　　　　　被害が発生した場合について、周知徹底のために明文化しておく
　　　　　　緊急度をレベル分けし、レベルごとに行動基準を作成しておく

　　　　　　レベル分けの基準例
　　　　　　　　・被害のタイプによるレベル分け
　　　　　　　　　　外部からの攻撃、内部の不正行為による情報漏洩　等々
　　　　　　　　・被害の重要度によるレベル分け
　　　　　　　　　　被害にあったシステム、漏洩したデータ　等々
　　　　　　　　・必要時間によるレベル分け
　　　　　　　　　　システム停止時間、システム復旧時間　等々

　　　　（２）担当者の任命
　　　　　　誰が中心になって被害に対するかを決めておく
　　　　　　対策チームのメンバーは被害の種類によって変えていく

　　　　　　担当の基準例
　　　　　　　　・ウィルス感染の場合
　　　　　　　　　　現場のＩＴエンジニアで十分
　　　　　　　　・顧客情報または機密情報の漏洩の場合
　　　　　　　　　　上位の意思決定者の存在が不可欠となる
　　　　　　　　　　広報担当や法務担当が必要になる

　　　　（３）連絡体制の整備
　　　　　　緊急時に必要なメンバーを招集できるよう整備しておく
　　　　　　　　連絡先リストを作成する（常に最新の状態に更新すること）
　　　　　　対策窓口を設置し周知徹底させる

　　　　（４）経営層の承認
　　　　　　人員や予算の確保に経営層の承認や関与が必要である
　　　　　　緊急時に関連部署への協力要請等に欠かせない
　　　　　　　　事前に被害額を見積もったり、他の事例を紹介しておく

　　発見　セキュリティー被害かどうかを迅速に確かめる
　　　　（１）セキュリティー被害発生の確認
　　　　　　単純な運用ミスでないかを確認する
　　　　　　　　・大量のシステムエラー
　　　　　　　　・システムの停止や誤動作
　　　　　　　　・警告メッセージの表示
　　　　　　　　・ユーザからの通報
　　　　　　被害の種類を特定する
　　　　　　　　・証拠を収集する
　　　　　　　　・自分の目で確認する
　　　　　　　　・アクセスログの調査

　　　　（２）関係者への連絡
　　　　　　セキュリティー対策窓口に連絡する
　　　　　　窓口担当者は、対処方針に従ってメンバーを招集する
　　　　　　　　弁護士、警察官、プロバイダー等も必要なら招集する

　　　　（３）証拠の保全
　　　　　　メモリー、ディスク等のデータをバックアップする
　　　　　　　　取得時刻を明らかにしておく
　　　　　　特定のデータ（ログも含む）は消失・改竄を防ぐ

　　原因特定と被害拡大防止　被害状況次第ではシステム停止も検討する
　　　　（１）原因の特定
　　　　　　ログ等の情報から原因を分析し特定する
　　　　　　　　セキュリティー侵害の手法を熟知している技術的なスキルが必要になる
　　　　　　　　セキュリティーポリシー等のルールにも詳しい必要がある

　　　　（２）システムの停止
　　　　　　そのまま運用するか、停止するかを決める
　　　　　　　　内部ユーザーや外部ユーザーに連絡する
　　　　　　管理者のユーザーＩＤやパスワードを変更後再発行する
　　　　　　　　関連するシステムの管理者パスワードも変更する

　　　　（３）問題点の解析
　　　　　　原因の特定とシステムの脆弱性を解析する
　　　　　　　　・ＯＳにセキュリティーホールがあった
　　　　　　　　・アプリケーションプログラムのミス
　　　　　　　　・通信ポートが開いていた
　　　　　　　　・ネットワーク設定のミス
　　　　　　商用の解析ツールを使用する
　　　　　　　　日ごろから使用経験を積んでおく

　　復旧　原因を排除し、システムを復元する
　　　　（１）原因の排除
　　　　　　同じ原因で被害に遭うことを防ぐために対策を打つ
　　　　　　　　・外部からの進入の場合には、進入経路を絶つ
　　　　　　　　　　バックドアや盗聴ツールを疑って探し出し手を打つ
　　　　　　　　・ウィルスやワームの進入の場合には、パッチを当てる
　　　　　　　　　　場合によっては、ウィルスソフトベンダーの手を借りなければならない

　　　　（２）防御策の強化
　　　　　　個別に対応する
　　　　　　　　・ＤoＳ攻撃には、ＩＰアドレスでフィルタリングする
　　　　　　　　　　対象アドレスが多すぎる場合は、新しいサーバーに移設する
　　　　　　　　・不正進入の場合には、不要なサービスの停止やパスワードを変更する
　　　　　　　　・内部からの情報漏洩の場合には、アクセス権限や入退室ルールを見直す

　　　　（３）システムの修復
　　　　　　バックアップデータからシステムを復旧する
　　　　　　　　被害の原因を一緒に戻してしまわないようにする

　　　　（４）システムの検証
　　　　　　正常な状態であるかどうかを検証する
　　　　　　　　専門家のツールを使って検証する、ことも考慮しておく

　　　　（５）システムの監視
　　　　　　復旧させた後も、暫くは監視を強化する

　　事後検討　振り返って、今後の被害を防止する
　　　　（１）事後検討レポートの作成
　　　　　　被害の原因や内容、講じた対策、使用したリソース、費用、人員等々をまとめておく

　　　　（２）反省会の実施
　　　　　　上記レポートをレビューする
　　　　　　恒久的な対策等を検討する
　　　　　　　　表面的な原因でなく、根本原因を把握して対応する

　　　　（３）改善策の実施
　　　　　　恒久的な改善策を施す
　　　　　　　　暫定的な改善策に陥らないように工夫が必要
　　　　　　他のシステムへも実施する

ソーシャル・エンジニアリング
　　・人間の心理的なスキを利用して情報を引き出したり実行させたりする

　　・不正アクセスの事前準備として、巧みにパスワードを聞き出す

様々な手法
　　・電話を使ったなりすまし
　　　　上席の管理職になりすましシステム部門に電話し情報を引き出す
　　・トラッシイング（ゴミ箱あさり）
　　　　ゴミ箱の中をあさって、廃棄された書類から重要情報を盗み出す
　　・ショルダー・ハッキング
　　　　入力者の後ろに近ずき肩越しにパスワードを盗み見る
　　・ＷｅｂＳｐｏｏｆｉｎｇ
　　　　サイトのデザイン等を真似して偽のサイトに誘い込む
　　　　紛らわしいＵＲＬを用意して偽のサイトに誘い込む
　　・パスワードを絡め取る
　　　　会員登録の際に入力させたパスワードを別の場所で使う
　　・構内侵入
　　　　同伴者のふりをして侵入する
　　　　訪問のついでに構内を歩き回る
　　・点検作業を偽装する
　　　　点検作業員になりすまし、盗聴器や隠しカメラを仕掛ける
　　　　点検作業員になりすまし、盗聴器や隠しカメラを取り外す
　　・覗き見
　　　　訪問販売員として近づき、さりげなく周囲の情報を除き見る
　　　　席を外したりすると大量の情報が覗き見られる

対策方法
　　・先ず疑って信用しない
　　　　何度でも相手の身元を確認する
　　・情報は管理して放置しない
　　　　身の回りを整理・整頓して盗み易くしない

クラッキング（Cracking）とは
　　コンピュータネットワークに繋がれたシステムへ不正に侵入したり
　　　　コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること

Ｗｅｂアプリケーションの特徴
　　ＷｅｂブラウザーからのＨＴＴＰリクエストに対して
　　ＷｅｂサーバーはＨＴＭＬの形式にしてＨＴＴＰレスポンスを返す

　　非常に簡潔な基本原理から成り立っており
　　　　使い易いメリットが改竄し易いデメリットにもなっている

主なクラッキング手口

	クラキング手口	概要
	クロスサイト・スクリプティンング	スクリプトの入力を許可しているＨＴＭＬフォームの脆弱性を利用して悪意のあるコードを実行させる
	Ｃｏｏｋｉｅの改竄	Ｗｅｂブラウザー側に保存されているＣｏｏｋｉｅの値を変更することで、第三者になりすましたりして不正な値をサーバーに送信させる
	ｈｉｄｄｅｎフィールドの改竄	ＨＴＭＬのｈｉｄｄｅｎフィールドの値を書き換えて、 不正な値をサーバーに送信させる
	強制ブラウジング	リンクを辿るのではなく、Ｗｅｂブラウザーのアドレス欄に意図的なＵＲＬを指定して強制的に特定のサイトを参照する
	セッション・ハイジャック	セッションＩＤを盗み出して第三者になりすます
	不正なコマンドの実行	ＨＴＭＬフォームに悪意のあるコマンドを入力してサーバー側で実行させる
	不正なＳＱＬ文の実行	ＨＴＭＬフォームに悪意のあるＳＱＬ文を入力して サーバー側で実行させる
	バッファー・オーバーフロー攻撃	サーバー側が想定しているバッファ・サイズ以上の大量データを送り付けることでバッファーを溢れさせ、任意のコードを実行することにより、プログラムの制御を乗っ取る