もっと身近にセキュリティ

よく聞くセキュリティ対策の重要性

2015年5月に日本年金機構がサイバー攻撃を受け、約125万件の年金情報が流出しました。事件の捜査が続けられてきましたが、2018年5月に不正指令電磁的記録供用容疑の公訴時効(3年)が成立し、犯人を特定できないまま捜査終結となりました。
(時事通信社:https://www.jiji.com/jc/article?k=2018052100102&g=soc

この事件は、日本年金機構の職員に対し、マルウェアを添付したメールを送り付け、マルウェアに感染したPCを踏み台にして情報を盗み出す、いわゆる「標的型攻撃」と呼ばれる攻撃手法が取られました。
本事件をきっかけに「標的型攻撃」が大きな注目を集めることとなり、情報処理推進機構(IPA)が毎年発表する情報セキュリティ10大脅威においても、2016年の発表以降3年連続で「標的型攻撃」が1位という結果となっています。

(IPA情報セキュリティ10大脅威:https://www.ipa.go.jp/security/vuln/10threats2018.html

続きを読む

もっと身近にセキュリティ

海賊版サイトブロッキングに正義はあるか

海賊版サイトについて、日本政府がインターネットサービスプロバイダ(ISP)に対してブロッキングの要請を検討していると伝えられて以降、各所で様々な議論を呼んでいましたが、4月23日にまずNTTグループが対応を表明してさらなる議論(というか炎上)が続いています。

もろちん海賊版サイトへの対策が重要であるというところに議論の余地はありませんが、今回はほぼ政府からのトップダウンで民間の通信事業者に検閲とも言える対策を要請するという手法に対して批判が集まっています。

続きを読む

もっと身近にセキュリティ

PC紛失に備えたセキュリティ対策

今回はPC紛失時のデータ漏えいリスクについて考えたいと思います。

基本的なPCのセキュリティ対策として、OSのログオン時のパスワード認証があり、多くの人が一般的に利用しているものかと思います。しかしながら、このログオンパスワードは、PC紛失時にどれほど有効なものなのでしょうか?

結論から言うと、ログオンパスワードだけではほとんど有効とは言えず、簡単にPC内のデータにアクセスできてしまいます。

 

続きを読む

もっと身近にセキュリティ

国家におけるサイバーセキュリティ対策

サイバーセキュリティ対策の国際的な動き

2015年1月に内閣官房管轄の機関である「内閣サイバーセキュリティセンター(NISC)」が設立しました。
NISCはサイバーセキュリティに関する戦略の作成や最新情報の収集、コンピュータウイルス・マルウェアを使って行う標的型メールやサイバー攻撃の分析を行うほか、政府のサイバーセキュリティ戦略の草案作成も担っており、国をあげて情報セキュリティ対策に力を入れている根幹を担う機関でもあります。このNISCが取り組んでいる中で、最も分かり易い国際的な動きが、2020年に開催される東京オリンピック・パラリンピックにおけるサイバーセキュリティ対策です。
NISCから公開されている資料によると、「⼤会の開催・運営を⽀える重要サービスにおけるサイバーセキュリティを確保し、安定したサービスを供給することが不可⽋との認識の下、関係機関と連携し取組を検討」となっており、注目を浴びる=攻撃を受ける可能性も高まることから、万全な対策を行う構えです。

続きを読む

もっと身近にセキュリティ

SNSのなりすましに気をつけよう

▼SNSのなりすましに注意!
昨今、SNSは生活の中のあらゆる場面で使用されています。

皆さまの中でも、FacebookやTwitterなどのSNSを使われている方も多いのではないでしょうか。
日本流行語大賞にも選ばれた「インス
タ映え」の元となったInstagramもSNSの一つです。
では、表題にあるSNSにおける「なりすまし」について、何に注意しなければいけないのでしょうか。

今回は、「なりすましの危険性」と「見分け方」について考えてみたいと思います。

 

続きを読む

もっと身近にセキュリティ

ソーシャル・エンジニアリング(トラッシング編)

   ○ソーシャルエンジニアリングとは
最も身近なセキュリティ事故の1つに、「ソーシャルエンジニアリング」と呼ばれる攻撃があります。ソーシャルエンジニアリングとは、人間の行動や心の隙を突き、秘密状況を入手する攻撃の全般を指します。

ソーシャルエンジニアリング手法にはさまざまなものがありますが、代表的なものを次に記載します。

続きを読む

もっと身近にセキュリティ

パスワードを使い回さない

前月のSECURITY REPORTでは、パスワードを複雑化する方法について、一例を紹介しました。
ところで、パスワードクラック手法には、次の3種類があると紹介しました。

(1)総当たり攻撃[ブルートフォース攻撃]
(2)辞書攻撃[ディクショナリー攻撃]
(3)パスワードリスト攻撃[リスト型攻撃]

前回紹介した「パスワードの複雑化」は、上記(1)(2)の対策としては有効ですが、実は(3)「パスワードリスト攻撃」の対策にはなっておらず、別の観点での対策を行う必要があります。

 

続きを読む

もっと身近にセキュリティ

複雑なパスワードの作り方

複雑なパスワードの作り方について考えていきたいと思います。

○パスワードクラック手法
パスワードを探り当てる行為を「パスワードクラック」と呼びますが、具体的にはどのような手法があるのでしょうか?まずはこのパスワードクラックの3つの手法と対策について簡単に紹介します。

続きを読む

もっと身近にセキュリティ

セキュリティの報告先「security.txt」

▼Webサイトの脆弱性を発見したら
誰かがWebサイトの脆弱性を発見した時に、Webサイトの作成者にどのように連絡すればよいのでしょうか?

報告先が分からなければ報告されず脆弱性がそのまま放置されてしまいます。そんな問題に対して、発見者が脆弱性等の報告をするための情報をWebサイトの作成者が提供できるようにする仕様「security.txt」がIETFに提出されています。
https://tools.ietf.org/html/draft-foudil-securitytxt-00

続きを読む

もっと身近にセキュリティ

ちょっと身近にエストニア

▼突然ですがエストニア    
突然ですが、エストニアがどこにあるかご存知ですか?

ロシアの西、フィンランドの南に位置しています。エストニアは、北ヨーロッパの共和国で、バルト3国の1つ。EUとNATOに加盟しており、通貨はユーロ、人口約130万人で、首都はタリンです。公用語はエストニア語。英語や他の言語を話せる国民も多いそうです。

日本ではいわゆるマイナンバー法が制定される前に、国民の番号制度を中心に社会全体でITを活用している先進的な電子国家としてエストニアが度々引き合いに出されていました。

今回はエストニアをちょっと身近に感じていただけるような内容をお伝えしたいと思います。

続きを読む