2006年07月09日
サイバー犯罪の実態
本日NHK総合で放送された「NHKスペシャル 危機と闘う テクノクライシス1」はとてもよくまとめられた良い番組でした。
インターネットを利用して預金が狙われる実態を紹介。
・スパイウェアによりID、パスワードを盗聴
・DDos攻撃によりサーバーにバックドアを作成しデータ盗難
・フィッシングによりID、パスワードを直接収集
実際に犯罪を犯した人物から手口を紹介しており、手口が実に巧妙化して分かりづらくなっているという印象がありました。昨年のアメリカのカード決済会社に直接侵入した事例も紹介され、こういう件は個人としては防ぎようもないですが、
・不審な添付メールは開かない
・対策用ソフトをインストールする
・メール用と会計用のパソコンを分ける
など個々人の対策を促すしか危険を減らす方法がないのが難しいところではあります。
投稿者 Tadashi : 22:17 | コメント (0) | トラックバック (0)
2006年06月26日
ハードディスクが壊れる日を予測するソフト
インターコム(東京都台東区、高橋啓介社長)は6月23日、企業内にあるサーバーやパソコンのハードディスクを診断するソフト「SmartHDD Server ハードディスク診断」を7月28日から発売すると発表した。ほとんどのハードディスクに搭載されている自己診断機能「S.M.A.R.T.」を使って、ハードディスクを定期的に監視し、性能情報に加え、いつ故障するかを予測して具体的な年月日までレポートする機能を持つ。
同社は昨年12月に、スタンドアローン版のハードディスク診断ソフト「SmartHDD Pro ハードディスク診断」を出荷しており、半年で約1万本を販売するヒット商品となった。SmartHDD Serverは同ソフトのネットワーク版という位置付け。約50台までのWindowsサーバーやクライアントを集中監視でき、ファイルサーバーやNAS(ネットワーク・アタッチド・ストレージ)などでの利用に需要があるとみている。
価格は、5クライアント版で9万5000円からとなっている。中小企業や部門単位での導入を見込んでおり、システムインテグレータを介して提供する。管理対象となる機器のOSは、Windows Server 2003/XP/2000 Server/同 Professional/Me/98SEで、管理端末のOSはWindows XP Professional、もしくは同 2000 Professionalとなっている。
投稿者 Tadashi : 15:07 | コメント (0) | トラックバック (0)
2006年06月22日
日本語版の偽セキュリティ・ソフト現る
セキュリティ・ソフトに見せかけてユーザーにインストールさせるスパイウエアの日本語化が進んでいる。
スパイウエア対策ソフトやウイルス対策ソフトに見せかけたスパイウエアの「基本戦略」は次の通り。
1.スパイウエアの配布元となるWebサイト(あるいは、スパイウエアのアフィリエイト・サイト)にユーザーがアクセスする。
2.「あなたのパソコンはスパイウエアに感染しています」といった脅し文句が書かれたポップアップやバナー広告が表示される。また、「スパイウエアに感染しているかどうか無料で調べられます」といったポップアップを表示する場合もある。
3.「駆除したければ、リンク先のセキュリティ・ソフトをダウンロードしてインストールしてください」と促す。
4.ダウンロードされるのは偽のセキュリティ・ソフトなので、スパイウエアやウイルスを検出する機能は当然ない。
インストールされた偽ソフトは、ソフトの料金を支払うようユーザーに要求する。広告を勝手に表示したり、システムの設定を改変したりするソフトも存在する。
根本には、日本人はだましやすいという認識があるようだ。「タダほど怖いものはない」という格言も昔からありますよ。
投稿者 Tadashi : 16:16 | コメント (0) | トラックバック (0)
2006年04月06日
知的財産Web検定始まる(Yahoo!インターネット検定)
ヤフーは、自社のインターネット検定で「知的財産Web検定」を開始しました。内容は、インターネットサービスを正しく利用するために必要な知的財産に関する知識を問うもので、「知的財産教育協会」公認というより委託している(?)検定試験のようです。
検定合格者は同社のオークションなどで公開できるという特典がつきます。無料の「入門編」のほかに、「オークション編」「ホームページ編」(1,500円)と「総合編」(3,000円)の3種類が用意されています。
総合編に関しては、著作権法、商標法、不当競争防止法、意匠法、特許法から幅広く出題され、さらに上を目指す人は、知的財産教育協会の主催する「2級」「1級」検定へステップアップできます。
どう学習したらいいの?という方はとにかく「知的財産Web検定入門テキスト」を一読してみましょう。興味を持ったら、さらに詳しい本を探しに、本屋にGO!
投稿者 Tadashi : 23:39 | コメント (0) | トラックバック (0)
2006年04月04日
情報処理推進機構から「情報セキュリティ白書2006年版」公開される
本資料は、2005 年に IPA に届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者等の御参画を得て構成した「情報セキュリティ検討会」(メンバーは公表資料の文末に記載)で、社会的影響の大きさからセキュリティ上の10大脅威を選び、利用者・管理者・開発者のそれぞれからみた脅威を分析し、今後の対策を検討して「情報セキュリティ白書2006年版」を編集し、公表するものです。
情報セキュリティ白書2006年版 -10大脅威「加速する経済事件化」と今後の対策-
今日も相も変わらずWinnyによる短大受験者の漏洩事件が発表されました。今回発表された資料は、2005年度におけるセキュリティ脅威を10個あげて、利用者・管理者・開発者の3者がどういう対策をする必要があるかを96ページのPDFにまとめています。
10大脅威
第1位 事件化するSQLインジェクション
第2位 Winnyを通じたウイルス感染による情報漏洩の対策
第3位 音楽CDに格納された「ルートキットに類似した機能」の事件化
第4位 悪質化するフィッシング詐欺
第5位 巧妙化するスパイウェア
第6位 流行が続くボット
第7位 ウェブサイトを狙うクロスサイト・リクエスト・フォージェリの流行
第8位 情報家電、携帯機器など組込みソフトウェアにひそむ脆弱性
第9位 セキュリティ製品の持つ脆弱性
第10位 ゼロデイ攻撃
投稿者 Tadashi : 21:02 | コメント (0) | トラックバック (1)
2006年03月23日
ネスクでもWinny利用を排除
インターネットプロバイダのネスク(石川県金沢市)は、会員を対象にWinnyの利用を規制することを発表しました。先日のぷららに続く対応ということになります。
現在ASAHIネットを利用している私ですが、その前は地元のネスクを長い間使用していました。nsk.ne.jpの前のnsknet.or.jpを割り当てられていましたから、かなり早い時期の会員でした。最近インターネットを始めた人は「ne.jp」、つまりプロバイダなどの通信事業者用ドメインはめずらしくないでしょうが、比較的新しいドメインなのです。
さて、今回の規制の理由のひとつが「公共団体の会員も多い」ということです。実際、県内の地方公共団体はほとんどネスクにホームページを持っています。しかし、ネスクの会員のほとんどは個人のはずなのですが、Winny規制によりさらなる退会は避けようもないでしょうね。
投稿者 Tadashi : 15:36 | コメント (0) | トラックバック (0)
ぷらら ファイル交換ソフト「Winny」の通信規制を発表
ぷららネットワークスは2006年3月16日、ファイル交換ソフト「Winny」を経由した意図せぬ個人情報または機密情報の流出が相次いでいる事態を受け、Winnyの通信を完全規制すると発表した。大手プロバイダでは初めての措置だが、今後他のプロバイダやウイルス対策アプリケーションによるWinny包囲網が進みそうだ。
Winnyは、完全匿名な状態で不特定多数がファイルを送受信できるソフトウェアで、これまでも著作権違反のファイル流通手段に使われるなどの問題が指摘されていた。また、ローカル保存ファイルをインターネット上に流出させるウイルスがWinny経由で感染する可能性があり、機密情報などの流出事件が続発している。先日もヤフーの委託先社員による流出事件が起こったばかりである。
投稿者 Tadashi : 00:15 | コメント (0) | トラックバック (0)
2006年03月10日
防衛庁が情報流出対策で7万台の私物パソコンを一掃へ
防衛庁は、同庁および陸上自衛隊、海上自衛隊、航空自衛隊の職員が職場で利用している「私物」パソコンの一掃に乗り出す方針を固めた。海上自衛隊で2月22日に確認されたファイル交換ソフト「Winny」による情報流出を受けたもので、2006年度中の実施を目標としている。関連記事
昨年から会社で使用している私物パソコンにインストールされていたWinnyから個人情報が漏れる事件が相次いでいる。ここまで相次ぐと人間慣れるもので「またか」と思って終わるようになる。
しかし、それではいけない。Winny事件がこれほど相次ぐなかで会社のデータをパソコンにコピーする社員も社員ではあるが、反面、個人情報保護法に過剰に反応して会社のパソコンの持ち出しを禁止している一部の会社側の対応にも問題があるだろう。ウイルス対策ソフトのなかには次期バージョンでWinnyのインストールを不可能にする機能を入れるという発表もある。ウイルス、ワーム、ボットにフィッシング・・・Winnyとどんどん役割の増し動作の遅くなるウイルス対策ソフトにはいいかげんうんざりだ。
トレンドマイクロ社
ファイル交換ソフトWinny(ウィニー)による情報漏えいにご注意ください
IPA(独立行政法人 情報処理推進機構)
Winnyによる情報漏えいを防止するために
投稿者 Tadashi : 13:41 | コメント (0) | トラックバック (0)
2005年11月08日
クロスサイトスクリプティングとは?
利用者からの入力に対して、ウェブサーバ側で動的にHTML等のページを生成する仕組みを設けている場合に、セキュリティ上の問題となり得るもの。
あるサイトに書かれているスプリクトが別のサイトへとまたがり(クロスして)転送され、最終的には利用者のブラウザ上で実行されることから、クロスサイトスプリティングと呼ばれる。
●影響
利用者のブラウザ上で、スプリクトが実行されるため、セッションIDを含むCookieの盗難、表示ページの改ざん、フィッシングに利用、ファイルの破壊、その他悪意あるスプリクトの実行がされる恐れがある。
●対策
(開発時)
・ユーザーが入力可能な文字を厳密に定義
・ページ生成時のメタキャラクタのエスケープ処理を行うなどのスプリクト無効化処理
(運用時)
・ウェブアプリケーションファイアウォールの導入
・ウェブサーバやウェブアプリケーションベンダ情報を入手し対処(ウェブサーバなどの欠陥修正)
投稿者 Tadashi : 10:00 | コメント (0) | トラックバック (1)
SQLインジェクションとは?
利用者から入力を受け付けるウェブアプリケーションがデータベースと連携してサービスを行っている場合に、セキュリティ上の問題になりうるもの。
データベースに対する問い合わせデータの中に、意図的にSQL文を混ぜ込んでおき、データベース内部でそのSQLコマンドを不正に実行させ、情報を盗み出したりシステムに被害を及ぼしたりすること。
●影響
データベース内で、管理者が意図しないSQLコマンドを実行されてしまうため、データの不正閲覧、パスワード情報の盗難、データの改ざん、データの破壊、そのたコマンドの不正実行をされる恐れがある。
●対策
(開発時)
・ユーザが入力可能な値を厳密に定義
・不正入力値の無害化
・準備済みSQL文の使用(バインドメカニズム)
(運用時)
・エラーメッセージを出さない
・ウェブアプリケーションが持つ権限の最小限化
・ウェブアプリケーションのパスワードの秘匿
・実行可能なコマンドの制限
・アクセスログの取得および解析
・ウェブアプリケーションファイアウォールの導入
投稿者 Tadashi : 10:00 | コメント (0) | トラックバック (0)
DNS情報の設定不備を突いた手口とは?
DNSサーバ運用を外部の業者等に委託したりした場合、管理の誤りなどでドメイン登録情報とサーバ設定が一致していない場合、セキュリティ上の問題となり得るもの。
期限切れのドメイン名を第三者が正規の手続きで取得し、アクセスしてきた利用者を偽サイトに誘導したりすること。
●影響
ドメインの乗っ取り(ドメインハイジャック)、偽サイトへの誘導、メールの盗み見、利用者個人情報の詐取(フィッシング)、利用者PCへの悪質なソフトウェアのインストールがされる恐れがある。
●対策
ドメイン名が安全に運用されているか確認する。DNSサーバの登録情報を確認する。DNSサーバ管理を他社に委託している場合、業者が正しくDNSサーバを運用しているか確認する。
投稿者 Tadashi : 10:00 | コメント (0) | トラックバック (0)