情報セキュリティの脅威はすぐそこに

「アンシャン・レジーム」との戦い

「アンシャン・レジーム」は残念ながら今年の流行語大賞にはノミネートされませんでしたが、どんな状況でも「古い体制からの脱却」は難しい課題として取り扱われます。

この11月に最新版がリリースされたFirefox 57は「Firefox Quantum」という特別な名前を冠された大規模なアップデートとなりました。今回のバージョンアップでは内部の処理構造が大幅に見直され、従来よりも2倍高速になり、Google Chromeよりメモリ消費が3割軽量と謳われています。同時にアドオンの構造も変更されGoogle Chromeと同じようなWebExtensonsに置き換えられました。

続きを読む

もっと身近にセキュリティ

パスワードを使い回さない

前月のSECURITY REPORTでは、パスワードを複雑化する方法について、一例を紹介しました。
ところで、パスワードクラック手法には、次の3種類があると紹介しました。

(1)総当たり攻撃[ブルートフォース攻撃]
(2)辞書攻撃[ディクショナリー攻撃]
(3)パスワードリスト攻撃[リスト型攻撃]

前回紹介した「パスワードの複雑化」は、上記(1)(2)の対策としては有効ですが、実は(3)「パスワードリスト攻撃」の対策にはなっておらず、別の観点での対策を行う必要があります。

 

続きを読む

情報セキュリティの脅威はすぐそこに

脆弱性対応のスピード感

今月は無線LANの暗号プロトコル「WPA2」の脆弱性が公表され、大きな話題になりました。

情報が出回った当初はセキュリティ関係者を中心に大きな波紋を呼びましたが、クライアントへのパッチで修正が可能という情報が続報されたことや、HTTPSやVPNなどEnd to Endで暗号化が行われていれば影響は回避できるとの情報も流れており、混乱はある程度終息しつつあります。

とはいえ執筆時点で修正パッチが提供されていないプラットフォームもあるなど、引き続き状況に注視が必要なことには変わりありません。

今回の一連の過程において少し興味深い懸念があります。

続きを読む

特集

IoTセキュリティ総合対策

○サイバー攻撃の標的となった「水槽」
2017年7月にこんなニュースが報じられました。

『「スマート水槽」がハッカーの侵入口に、北米のカジノで被害』(CNNニュース)
https://www.cnn.co.jp/tech/35104512.html

「スマート水槽」とは、インターネットへ接続機能を有し、自動的に魚に餌を与えたり、快適な環境を保ったりできる水槽のことを指すそうですが、その水槽を踏み台にサイバー攻撃者が不正アクセスを行い、情報窃取したというニュースです。被害を受けたカジノ会社も、水槽から不正アクセスされるとは想定すらしていなかったと思われます。

続きを読む

もっと身近にセキュリティ

複雑なパスワードの作り方

複雑なパスワードの作り方について考えていきたいと思います。

○パスワードクラック手法
パスワードを探り当てる行為を「パスワードクラック」と呼びますが、具体的にはどのような手法があるのでしょうか?まずはこのパスワードクラックの3つの手法と対策について簡単に紹介します。

続きを読む

特集

サイバーセキュリティ・イン・アジア

▼サイバーセキュリティ2017
内閣サイバーセキュリティセンター(NISC)が「サイバーセキュリティ2017」を公開しています。

*サイバーセキュリティ戦略本部
https://www.nisc.go.jp/conference/cs/index.html

「サイバーセキュリティ2017」は、サイバーセキュリティ戦略に基づいて2017年度に実施される具体的な取組が示されたものです。サイバーセキュリティ戦略が何かといいますと、サイバーセキュリティ基本法の第十二条に次のように定められています。

続きを読む

もっと身近にセキュリティ

セキュリティの報告先「security.txt」

▼Webサイトの脆弱性を発見したら
誰かがWebサイトの脆弱性を発見した時に、Webサイトの作成者にどのように連絡すればよいのでしょうか?

報告先が分からなければ報告されず脆弱性がそのまま放置されてしまいます。そんな問題に対して、発見者が脆弱性等の報告をするための情報をWebサイトの作成者が提供できるようにする仕様「security.txt」がIETFに提出されています。
https://tools.ietf.org/html/draft-foudil-securitytxt-00

続きを読む

情報セキュリティの脅威はすぐそこに

結局、パスワードの定期変更は悪だったのか

米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているというニュースが話題になりました。

ここ数年不定期に議論になるこの話題ですが、ついに考案に携わった人物から失敗だったという発言が出たことでより事態が進展しそうです。

そもそもの始まりは2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)が作成・発表した文書で、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていたことに端を発します。

続きを読む

もっと身近にセキュリティ

ちょっと身近にエストニア

▼突然ですがエストニア    
突然ですが、エストニアがどこにあるかご存知ですか?

ロシアの西、フィンランドの南に位置しています。エストニアは、北ヨーロッパの共和国で、バルト3国の1つ。EUとNATOに加盟しており、通貨はユーロ、人口約130万人で、首都はタリンです。公用語はエストニア語。英語や他の言語を話せる国民も多いそうです。

日本ではいわゆるマイナンバー法が制定される前に、国民の番号制度を中心に社会全体でITを活用している先進的な電子国家としてエストニアが度々引き合いに出されていました。

今回はエストニアをちょっと身近に感じていただけるような内容をお伝えしたいと思います。

続きを読む