ここ数ヶ月、ある出合い系サイトからの個人情報流出が話題になっていま
す。日本人180万人分を含む3700万人以上の個人情報やカード番号、暗号化されたパスワードが流出したという事件です。
さて、この事件、発生から2ヶ月ほど経過しますが少し興味深い展開になっています。
まずこの流出した情報がすべてインターネット上に公開されたということ。さらにパスワードは暗号化された状態であったものの、そのアルゴリズムが解析されてしまい既にパスワードクラック(他⼈人のパスワードを不正に暴くこと)がかなり進んでいるという点です。
先日当社で興味深いサンプルが発見されたので紹介します。
そのメールは「Googleのサービスを使って友達からリクエストが送られてきた」という体裁のメールです。メールの本文には承諾を促す文言とリンクがあり、リンクをクリックすると悪意あるWebアプリがGoogle APIと連携されるというものです。
脆弱性。1日に何回その文字を目にすることでしょう。
ところでこんなニュースが舞い込んできました。
熊除けの鈴というものがあります。山道を歩く時などに体や荷物につけて音を鳴ら
すことで、人間がいることを熊に知らせて熊が近づかないようにする道具ですね。ところがこの鈴、一度人間の味を覚えた熊にとっては、おいしいエサの場所を教えてくれる、熊にとって都合の良いものになってしまう場合があるそうです。恐ろしいですね。
「熊除け」のはずが「熊寄せ」になる。有効な対策だと思っていたことが逆にマイナスの効果を生むことがあるということです。
毎度、標的型攻撃の訓練を不定期に実施しております。繰り返すたびにおそらく慣れてきているのか、クリック率は低下傾向にありますが、相変わらずクリックいただく人はそれなりにいらっしゃいます。とはいえ業務上の必要な連絡もメールで来ることが多いため、怪しいメールとそうではない本物のメールを見分けるテクニックを身につけたいところです。
メールヘッダの中には本物かどうかのヒントが隠されています。
「セキュリティ」と言うと、なんだが難しい、よく分からないといったイメージを持たれている方がいるかと思います。確かに難しい単語で説明されることもありますが、皆さんの生活の中で「セキュリティ」に接する身近な場面を想像してみましょう。それはWebサービスの「会員登録」ではないでしょうか。
日本年金機構の話題が世間を騒がせています。「漏らすなよ、けしからん」という国民の声はごもっとも ですが、ITや情報セキュリティに携わる身としては明日は我が身です。明らかになっている情報は少ないですが、今回の事件から気をつけたいことを整理しましょう。
「セキュリティ」と言うと、ITのセキュリティをイメージする方が多いようです。特に近年、ITセキュリティの重要性が高まっていますが、セキュリティの中には、ITセキュリティの他に、人的セキュリティ、物理的セキュリティ等が含まれています。そして、ITセキュリティの中にもネットワーク、サーバ、アプリケーション、端末の対策等、様々な領域があります。あるいはスパイ映画やSFの世界をイメージするでしょうか。とにかく専門的で難しそうな印象が強いかもしれません。
サイバー攻撃に関する話題がニュースなどで取り上げられることもそう珍しくありません。
話題になるのは得てして大企業や国家機関などですが、当社にとっても必ずしも対岸の火事とは言えません。「当社がサイバー攻撃を受ける可能性があるのか?」と問われれば、「確かに大企業や国家機関に比べれば可能性は低いかもしれないが、ないとも言い切れない。」というのが真実です。
ここ数年で「サイバー攻撃」という単語が随分浸透しています。昨年末にはソニーピクチャーズが不正アクセスを受け、大量の機密情報が漏洩したことが話題になりました。(http://itpro.nikkeibp.co.jp/atcl/news/14/120102067/)
「大きな企業だけなんでしょ?」と思われがちですが、決して他人事ではありません。身近な例として、パイプドビッツのコーポレートサイトの攻撃状況を調べたところ、以下の結果を得られました。