ネットビジネス論(杉浦) 第6回 ネットビジネスと情報セキュリティ
2見るだけで感染するコンピュータウイルス -見えているものだけが真実ではない- トヨタのWebサイトが改ざんされていたのは、6月5日18時26分から6月14日21時47分までの間で、この間の閲覧者は約7万8000人に上る。
2根拠のない対策ほど危険なものはない -無数拡散する偽物のウイルスチェックソフト-
3悪質化するコンピュータウイルス -暗号化技術を悪用するランサムウェア- http://makobun.seesaa.net/article/412357130.html セキュリティソフトを導入する、OSおよび利用ソフトウェアを最新の状態にする、重要なファイルを 定期的にバックアップするといった当たり前の情報セキュリティ対策を確実に実施することが大切。
4ハッカー=高度な技術者という認識の誤り -インターネットで簡単に手に入るハッキングツール- ・ハッキング・グループの「Anonymous」が、Webサイトの脆弱性検出ツールやDoS(サービス妨害)攻撃のシミュレーション・ツールなどを含む独自のデスクトップOS「Anonymous-OS」を公開した。 ・Anonymousには誰でも参加可能。(Anonymousの特徴である「ガイ・フォークスマスクを着用」「黒いスーツもしくは黒服を着る」が条件。)
5感染に気づかない多くのウイルス感染者 -潜伏、潜在するボットウイルス- BIGLOBE セキュリティより引用
6一見しただけでは見分けがつかない標的型メール -被害者が急増する騙しのテクニック- https://www.ipa.go.jp/security/keihatsu/pr2012/general/02_targeted_attack.html
7人を騙すのにプログラムは不要 -被害が増えるデマウイルス、詐欺メール- システムファイルを削除させてシステムを破壊し、チェーンメールで被害を拡散する。知らないうちに荷担してしまった人も少なくない。
8なくならないWinnyによる情報漏えい -ファイル共有ソフト利用者を襲う暴露(ばくろ)ウイルス- http://ascii.jp/elem/000/000/420/420558/index-2.html 芸能人の隠し撮りや未公開の映画など危険とわかっていても、のぞき見するスリルを味わいたい人がユーザになってしまう・・・ 本人が知らないWinny中毒の家族が暴露ウイルスに感染する事件が後を絶たない。
9高度化するパスワードクラッキング技術 -セキュリティ強度の低いパスワードに意味はない- http://www.slideshare.net/websig/websig130309-130310012806phpapp01 パスワードのソルト付きハッシュ化など適切な 処理をすればクラッキングから防衛できるが、 セキュリティ知識が低いITベンダーではぜい弱性が認識されていないケースも・・・ http://sc.seeeko.com/archives/1670828.html
IPA「情報処理推進機構コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」より引用 10パスワード桁数による解読時間 -6桁のパスワードでは危ない- IPA「情報処理推進機構コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」より引用 パスワード文字数がある程度長くても容易に推測可能なもの(ログインIDと同じ、辞書に載っている単語の組み合わせ等)はすぐに解読されてしまう。 攻撃者は単語やユーザが設定しがちなフレーズのリストを使って解読を試みる。
11ソーシャルメディア利用者による情報漏えい -社内情報を守るべき立場の社員がセキュリティ脅威に-
12脅威と背中合わせのソーシャルメディア -邪悪な犯罪者とうかつな利用者-
13重要なプライバシー設定 -自分だけではなく知人まで巻き込むセキュリティ弱者- 自分の写真を勝手に知らない人が見ている… ・勝手に友だちが追加される ・知らない人が友だちになる ・知らない人からメッセージがくる ・基本設定が「友達の友達」 ⇒何人に公開するの?ネット上全体に公開とあまり変わらないことに… ・知らない間にアドレス帳が他人に共有される! ⇒必要がなければ「アドレス帳送信」をオフに… ・アドレス帳上の登録者は自動的に友だち認定! ⇒必要がなければ「友だち自動追加」をオフに… ・他人のアドレス帳から勝手に友だち候補に! ⇒必要がなければ「友だちへの追加を許可」をオフに… FaceBook広告に 勝手に自分の名前 が使われている…
14陰湿ないじめは社会に出てからも続いていく -裏サイト、風評掲示板・・・- 蕨市青少年 有害情報パトロール サイトより引用
15フィッシング詐欺 -作る事が用意で見抜くことが困難な偽サイト-
16ネットショップの情報セキュリティ1 -ログイン認証、暗号化- 自動化プログラムによる 不正アクセス防止のための画像認証 不正アクセス防止のための2段階認証 SSLによる暗号通信
17ネットショップの情報セキュリティ2 -Webぜい弱性対策- sugiura ' or 'a'='a SQLインジェクションの脆弱性 SELECT * FROM userTable WHERE userID =“sugiura”and password = '' or 'a'='a’; クロスサイト・スクリプティングの脆弱性
18最大のセキュリティ脅威はUSBメモリ -便利なものにはトゲがある- ・USB メモリのファームウェアを書き換えることによって、キーボードなどになりすますことができる。パソコンが自動的に「新たなキーボード」として検出されたメモリスティックは、PC にマルウェアを仕込むなどの悪意ある命令をキーボードとして下すことができる。 ・ベネッセ事件で使われた手口はUSB ポートにスマートフォンを接続して情報をコピーするという単純なものだった。 日経BPサイトより引用
<演習> -目に見えない脅威は恐くない?- 「無防備のパソコンは○○秒でウイルス感染する恐れあり。」 「○○分に1回の割合で泥棒がパソコンの入口のドアをこじ開けようとしている。」 ・無防備のパソコンは30秒でウイルス感染する恐れあり インターネットにはワームが送出する攻撃パケット(感染を広げるためのパケット)が飛び交っている。セキュリティ・ベンダーによると、2003年8月に出現した「Blaster」や「Welchia」などが送出する攻撃パケットは、ピーク時には30秒に1回の割合で飛んできたという。 (2004/3/2 日経BP社ITPro) ・6分半に1回の割合で泥棒がパソコンの入口のドアをこじ開けようとしている ITネットサービス会社「ディーネット」(本社・大阪市)がインターネット上の不正アクセスの実態を調査したところ、極めて危うい実態が浮き彫りになった。セキュリティー対策をしていないパソコンは、ネットに6分半つなぐと不正利用されかねないという。 (2005/12/31 毎日新聞)