« 2006年8月 | トップページ | 2006年10月 »

2006年9月

2006年9月29日 (金)

プリテキスティングとソーシャルエンジニアリング

プリテキスティングのキーワードで多数の閲覧がある。

hpの例の事件だ。

今回は、プリティスティングついて書いてみる。

皆さんは、ミステリーショッパーって知っているだろうか?

これは飲食店や接客サービス業で利用される調査サービスだ。

例えば、飲食店本部より依頼を受けた、専門企業からミステリーショッパーが、店舗に出向き、チェック項目の通りに調査をしてくる。

新しいメニューの説明をしているか?とか、受け答えの言葉遣いはどうか?とか、トイレはキレイに掃除されているか?などなど、チェックして報告書を書くのが仕事になる。

これは、社内の調査監査部隊が動いてしまうと、意味がない。

顔がバレているし、客観的な判断がし難いからだ。

アルバイト的に趣味でやっているような、半分素人の人だからこそ出来るワザ。

店舗側の人たちも、一般客かミステリーショッパーかの区別がつなかい。だからこそ意味のある事なのだ。

これから行きますよ~なんて言ってから行っては、普段の様子が見えないのだ。

 

では、ソーシャルエンジニアリングという手法はご存じだろうか?

直訳すれば社会工学になるが、ここで言うソーシャルエンジニアリングとは、人間相手に身分を偽装したり、信用させたり、肩越しに盗み見したり、ゴミ箱を漁ったりすることを言う。

至ってローテクな手法である。ローテクだからこそ、難しいように思えるが、実は身近なところで、誰でも経験や、意識せずにやっているのである。

これにハイテクな(死語ですね)インターネットやコンピュータが絡んでくると、より大きな被害になる。分解すれば簡単な事だったりもする。

ソーシャルエンジニアリング手法の立場から考えてみる。あくまでも、この立場から・・・でないと、話がおかしくなってしまう。読んで頂ければきっと理解してもらえるだろう。

例えば、犬の散歩に行き、近所の方に”今日は、お休みですか?”なんて聞かれたり、犬が集まる公園などで、飼い主の名前も知らぬままに、犬の名前だけで人間同士のコミュニケーションを取りながら、初対面の人にも結構いろんな話をしてしまう。

これは、愛犬家(私も愛犬家の1人)の場合、犬を飼っている人に悪い人はいない!と思い、犬好きと言う共通のモノを通して、コミュニケーションをするから、そこでは人間の名前は必要ない。必要なのはワンちゃんの名前だけ。

他には、初対面の人でもサークルや、新しく転職した会社の人、自分に親切にしてくれた人などなど、初対面でもあるのに、気軽に話す。同一の枠だけで信用するからである。

しかし、電車で偶然隣に座った人や、街を歩いているときに声をかけられて、話すだろうか?

いずれも、初対面であることには違いはない。

 

別なところでは、満員電車で痴漢に間違われないように、両手でつり革を持ったりすることや、はじめていった場所で道に迷い、ウロウロしている自分が自分でもあやしく思い、妙にあやしくないような行動をとる。それ自体があやしいのだか(笑)

 

ソーシャルエンジニアリングは、こんなところから、スパイ活動のようなレベルまで幅が広い。

合コンに行けば、ちょっとだけ見栄を張り身分を偽装したり、相手を信用させるために、ビジネスの場面でも、ちょぴり大げさにモノを表現したりする。取引先の名前を出すことで、相手も信用する場合などがこれである。これは実際に取引先であっても、100円の取引しかしてなくても、**会社は、我が社の取引先です。に嘘はない。規模が若干違うだけ。

私の知り合いには、定期券の年齢が9掛けの人も多くいる(笑)

こんな程度の話であれば、まったく問題はない。

 

このレベルが大きく拡大し、そこで収集した情報を元に、他の目的で利用するために行われること。ソーシャルエンジニアリング。

この手法においては、法に触れることもある。後の扱いも同様である。

オレオレ詐欺や振り込め詐欺は、この手法をフル活用している。

用意周到に行われる。

 

プリテキスティングは、これらをフル活用し、なりすましなどで情報を入手する。

今回問題になっているのは、この部分。

完全に身分を偽装し、本人になりすまし、本来本人しか知り得ない情報を聞いてしまった。それが、なんで解ったの?を分解していけば根っこが見える。

今回は、ただそれだけのこと。しかし違法であることは言うまでもない。

決して新しい事ではなく、ある程度の準備をすれば難しいことではない。

 

一番恐いのは、これに気づかずにペラペラ喋ってしまう人の多いことだ。

わかっていれば良いのだが、知らないとその後の展開も見えないので、何でもありになってしまう。

それも自分でなく、他人の話をしてしまう事が多く見られる。

 

コミュニケーションから考えれば、ここまで書いたことはナンセンスな事。

しかし、そんなこともある事だけは、知っておきたい。

プリテキスティングもソーシャルエンジニアリングも、身近にある話で、対岸の火事ではない。米国だけの話しでもない。

 

ちなみに、一番この手法が得意な人たちがいる。

ここで書けるのは、飲み屋のお姉ちゃん位だ。プロもビックリするほどのヒアリング能力!

特殊で公的な職業の方々も得意な人たちがいる。あえて職業は書かない(笑)

| | コメント (0) | トラックバック (0)

2006年9月28日 (木)

国内のオンライン詐欺市場とトイレットペーパー

国内のオンライン詐欺被害額は推定1300億円超にITmediaエンタープライズより

ブロードバンド推進協議会(BBA)によると、インターネット利用者の4.7%は、オークション詐欺やワンクリック詐欺、フィッシング詐欺など何らかのオンライン詐欺に遭っている。延べ被害額は、推定1304億円に上るという。

調査によると、インターネットユーザーの4.7%が「自分」もしくは「知人」がオンライン詐欺の被害を経験していると回答した。被害経験者に尋ねたところ、最も多いのはオークション詐欺で46.1%。次いでワンクリック詐欺が28.9%となっている。

「ワンクリック詐欺は、自分から支払わなければ被害は生じない知っていればみすみす支払う必要のない詐欺に対し、これだけ被害が生じているのは驚くべきこと。やはり、詐欺に対する認知を高め、知ってもらうことが重要だ」

またオークション詐欺を除けば、オンライン詐欺の被害額は3万円以下と比較的少額であることにも注意が必要という。「多くの方、特に年齢が高い方は勉強代ということであきらめ、泣き寝入りするケースが多い」BBAのセキュリティ専門部会部会長、野々下幸治氏

 野々下氏は、「オンライン詐欺は、いわゆる振り込め詐欺と同じで、知られるようになれば被害は減ってくるだろう。まず、普通のユーザーに『こういった詐欺が存在する』ということを認知していただくことが対策の第一歩」と述べ、その上で、パッチの適用やウイルス/スパイウェア対策ソフトの導入といった技術的対策を重ねていくべきとしている。

この1300億を色々と考えてみた。

1.2004年のケータイ着メロ系市場は、1300億円

2.2004年のトイレットペーパー市場は、1300億円

3.2003年の野菜系飲料市場は、1300億円

こんな感じが、1300億の円を尺度にしたもの。

ちなみに、納豆も同じくらいの規模だった。

amazonジャパンの売上げが見つからなかったが、1000億円前後らしい。

国内の被害金額だけで、これだけの規模があるのだから、ある意味凄いマーケットになる。

また報告されているものだけで、これだけあるのだから、実際の被害額はさらに上回るものと思われる。

微妙な金額と、そのシチュエーションで巧みに操られてしまう。

このオンライン詐欺の当事者になっているにもかかわらず、気がついていない潜在的な被害者まで含めると、未報告とあわせ、さらに多くなるだろう。

今回もお約束のように、なんちゃってビックマック指数で計算してみた。

260円のビックマックが、5億個買える計算になり、

1日に約350万人が利用する新宿駅で配ったとしても、

142日で、5ヶ月弱の長期にわたって配ることになる。

あくまで計算上の話。

この金額で食糧危機の国の人たちが、どれだけの数、食につけるのか考えると、こんなバカな計算をしてる事が、恥ずかしくなる。

しかし、この数字は今後減少するよりは、増加するだろう。

それは、インターネットや携帯電話など、より便利ないろんなサービスが登場しているからだ。その数が多くなると、比例して巻き込まれる可能性が多くなる。

もちろん、誰も合いたくてあっている訳ではない。

脅威の認知が、より被害を減らすことに繋がる。

私に出来ることは、脅威の認知を言い続けることくらいしか出来ない。

でも、続けることが何かの役に立つだろう。

| | コメント (0) | トラックバック (0)

2006年9月27日 (水)

「Web2.0の脅威」が増加

「Web2.0の脅威」が増加――Symantec報告ITmediaエンタープライズより

米Symantecは9月19日、今年上半期のインターネットセキュリティ脅威動向に関する報告書を発表した。報告書は、大きく分けて「将来展望」「攻撃傾向」「脆弱性傾向」「不正コード傾向」「フィッシング、スパム、セキュリティリスク」5項目で構成されている。

将来展望は、これまでの調査に基づき、今後6カ月から24カ月間の傾向を予測したもの。SymantecはWin32不正コードの増加を警告。またブログなど、個人が様々なプラットフォーム上でコンテンツを作成可能なWeb2.0技術が、悪意あるサイトやウイルス、スパイウェアの入口となる可能性を指摘している。また様々なWebサービスを結ぶAjaxも、その性質ゆえに攻撃のターゲットとなりやすいと見る。

Web2.0に限らず、便利なものの対極には、危険や脅威があるものだ。

この便利vs脅威の組合せは、当てる尺度によっても変わるが、ほとんど該当するだろう。

Web2.0の技術的側面は、わかりやすい。技術が明確にあるからだ。

一方、Web2.0は技術だけの話ではないので、中々理解が難しい。

それは概念として、従来のインターネットと、進化したインターネットを区別しやすくするために、1.0とか2.0の数値で示したものだからだ。

Web2.0をまったく知らない人でも、Web2.0を知る必要もなく、便利に使えれば良いだけのこと。

ウィルスやスパイウェアの記事も過去に多数書いているが、より悪質化に一直線に右肩上がりで増えている。

心理的弱点を狙ったものが増えているように感じる。

結局、Web2.0もインターネットを利用しないオレオレ詐欺や振り込め詐欺も、変わらないってこと。

ターゲットにならない為には、

技術的対策で出来るものは、技術武装をする。

非技術的な問題は、

敵の手口を知ること。by孫子

攻撃が最大の防御になることは、こういう部分でも使える1つの方法だ。

万能な、特効薬的な方法がないので、あくまで1つの方法に過ぎない。

一番恐いのが、無知であることは容易に想像出来るだろう。

| | コメント (0) | トラックバック (0)

2006年9月24日 (日)

個人情報の漏洩・紛失は、誤送付が75%

中央省庁などの個人情報漏れ、05年度は1175件・総務省調査:(NIKKEI NET)より

中央省庁は320件で、約75%がファクス番号や電子メールの送信先の間違いなどによる誤送付だった。省庁別では厚生労働省が133件で最も多く、次いで社会保険庁の91件で両省庁で全体の7割を占めた。漏洩や紛失後、情報を回収できたのは全体の7割にとどまった。

原因については、職員の対応ミスが9割を超えた。「Winny(ウィニー)」などファイル交換ソフトを通じた情報漏洩は十件で、法務省では5000人規模の情報漏れがあった。

関係者の懲戒・訓戒処分、刑事告発にまで発展したケースも153件に上った。

232の独立行政法人の情報漏洩などは計855件。日本郵政公社の615件が最も多く、誤送付が目立った。

平成17年度における行政機関・独立行政法人等の情報公開法及び個人情報保護法の施行状況調査の概要:(総務省

この誤送付問題は、今にはじまった問題ではない。

単に個人情報保護法の施行によって、公になっただけの事である。

誤送付の原因としては、

ファックスで言えば、番号間違い

郵送で言えば、宛名間違いと、誤封入などであり

電子メールで言えば、宛先間違い、CCメール、誤添付などになる。

ファックスに関して言えば、記憶も新しいと思うが、地検が間違えて送ってしまったことは有名である。たった番号の間違いであっても、郵便で言う宛先間違いと誤封入が同時発生したようなこと。

これは意外と多く発生しており、要確認の徹底が求められる。

郵送の場合、宛先間違いの問題もあるが、誤封入に関しては結構大きな問題になる。

例えば、納税通知や固定資産税などの情報や給与振り込み情報やキャッシュカードなどである。これらはいずれも昨年実際に発生した漏洩事件になる。

電子メールの場合は、本来BCCで送るべくとこを、全員にアドレスが見える形で送付してしまった漏洩事件が多く、後を絶たない。

メールのアドレスが漏洩した程度で、何の問題が起きるのか?

って一方ではあるが、漏洩は漏洩なので、起こさない努力をするしかない。

添付ファイルもメールの場合は、簡単に添付出来るので、間違えた場合の問題も大きくなる。

宛先アドレス間違いは、間違えたアドレスが存在しなければ、自分に戻ってくるので良いのだが、存在した場合は、戻ってこない。

これは当たり前のことで、間違えた入力をした人の問題だけ。

メールのアドレスが存在すれば、確実に送られなければ、これは普通に使う場合に困ってしまう。

このアドレス間違いの一番大きなところが、ドメイン間違いだったりする。

www.npa.go.jpであれば、警視庁のページに繋がり、

www.npa.or.jpであれば、長崎県薬剤師会に繋がり、

www.npa.co.jpやwww.npa.ne.jpも存在する。

検索サイトのgooもドメイン紛争になった事があった。

wwwの意味を今更ここでは説明しないが、@をはさんでメールのアドレスを考えてもらえれば、言いたいことはわかるはず。

ちなみに、のつく情報漏洩は他にもあり、誤裁断、誤交付、誤設定、誤焼却、誤記載などなど、結構いろんながあったりする。

・間違えてしまうこと。

やはり、起きてしまう問題。だから対策を講じるしか対策はできない。

| | コメント (0) | トラックバック (0)

2006年9月22日 (金)

監視カメラのセキュリティ

情報漏洩や不正侵入対策の基礎は物理セキュリティから!:CNETの広告より 

インターネットなどの通信を用いた、遠隔での監視カメラの話。 

遠隔地から監視カメラの制御が出来る時代になった。 

私が携わったのは6年前のことで当時としては画期的なことだった。 

インターネット普及前は、専用回線を用いて必要なときだけ映像を送るような方法をしていた。回線が定額でなく、速度も遅かった為である。 

で。。。。 

物理セキュリティ対策の一環として、監視カメラは有効である。 

近年、街頭カメラなども国内外で活躍しており、防犯面でも有効になってきた。 

またライブカメラなどで、その場にいなくとも現場の映像がキレイに見られる。 

保育園や学校などでも、導入されており園内や学内の様子がインターネットで見ることが出来る。 

セキュリティ対策=監視カメラではないことを、付け加えておきたい。 

確かに、セキュリティ対策にカメラの活用は有効である。 

しかし、ただ設置すれば良いものではなく、どのような角度から何の目的で撮るのか?防犯目的であれば、設置そのものでカメラを見せるようにつけるとか、カメラらしくない格好のものをつける。。。いろんな方法がある。 

ここで情報セキュリティと情報漏洩の観点から考える、

監視カメラとは、 

1.プライバシーの侵害に注意すること 

2.映像の二次的活用に注意すること 

3.撮った映像データの管理を徹底すること 

この3つがポイントになる。 

街頭カメラは、1の問題は基本的にクリアーしている。 

それは、特定の人物を撮っているのでなくエリアの防犯目的で撮っているので、その問題はとりあえずクリアしている。 

しかし、その後の扱い方で間違えると1の問題も浮上してくる。 

2の問題は、防犯カメラなど撮った映像を広く知らしめるために、紙にプリントしてメッセージなどを書いて、その関係者に配布すること。 

これは、犯罪や嫌がらせなどの常習犯などの場合が多いが、確かにそんなことをしてしまったのかもしれないが、それとプリント配布は別問題である。 

これが流れてしまった問題もあった。 

この3ポイント中もっとも重要で、忘れがちな問題が、映像データの管理方法だ。 

現段階では、コストがかかったり、その手前段階である普及中なのか?まだ手つかずの状態である。 

しかし1.2の問題含めた、映像という目で見てわかるもので、何らかの決定的瞬間を撮ったもの。 

ライブカメラの映像なんかは、これに該当しない。もちろんである。 

通常考えられる、監視カメラの場合は、このセキュリティ管理がほとんどされていない。 

撮った映像のバックアップデータなども同様である。 

個人情報などの住所や名前など、文字情報のデータであれば管理徹底は以前より、ましになったはず。 

一方、カメラ映像の管理は如何なものか? 

文字で表現しがたいことまで映像は物語ってしまう。 

文字情報同様の管理が迫られているのである。 

私自身が、日々いろんなところに行き、カメラが気になることがある。 

別に変なことをしている訳でなく、この撮られた映像って管理されてるのかなぁ? 

と、考えてしまう。だって悪いことはしてないのだから・・・ 

今後、早急に対応される課題であることは、言うまでもない。

| | コメント (0) | トラックバック (1)

2006年9月20日 (水)

読者の気を引くコンテンツ

読者の気を引くコンテンツjapan internet.comより

国語の成績が悪かった私の場合、書くよりも喋るほうが余程得意だ。

この記事タイトルに気を引かれてしまった1人(笑)

"Anything New, Anything Free, Anything in the Future"
新しいもの無料のもの未来のこと
この3つの要素のうちひとつがメルマガのコンテンツにあると読者の目を引くという。

・新しいもの…誰もが新しいものに興味がある。これは確かだ。

・無料のもの…ただほどお得なものはない。これも確かだ。

・未来のこと…将来どうなるだろうか。誰もがその答えを探している。

 確かに自分でもこの中身だったら興味がある。皆同じに興味を持つだろう。

本屋に行っても、まず本の背表紙であるタイトルを見て、手にとってはじめて中身を見ることができる。

どれだけ良い本であっても、決め打ちで買わない限りは、手に取らない本を買うことはない。

この辺は、プロのライターの方に任せるしかないのだろう!

なぜ?この記事が気になったかと言えば、

1.私自身がメルマガを発行してる。

2.気を引くコンテンツの真髄とはなにか?

3.逆の考え方で、漏洩対策にも使えるのではないか?

この3点が気を引かれてしまった(笑)

1.は、まぐまぐで発行しているものだ。

《これだけ!情報漏洩対策のヒント》 ぜひ見てください。

これは、タイトルからしてダメなようだ。要素の中で該当しそうなものは無料って部分だけだ。いくら無料でも。。。ここでも国語の成績が影響しているようだ。

2.は、新しい情報無料で、その先が見える!これには勝てない。

しかし、これって当たり前のようで実は意外に見落としているのかもしれない。

ホントにこの3要素が入っていれば、誰でも欲しい情報になる。

その情報の濃度は別問題としても・・・

濃度の濃い3要素が本当にあるのか?ここは疑問だ。インターネットが普及して誰もが、検索することで情報の入手は簡単になった。

一方で、誰でも入手出来る情報ならば、さらに一歩先を見据えた考え方や、未来予測が必要になるのだろう。

その未来予測まで含まれているのだから、最強無敵だ。

3.ここが実は一番重要なところ。

過去にブログで書いていることだが、

スパイウェアやウィルスなども、同じ方法を使っている。

最新のアップデートを・ここだけ限定の・誰も知らない情報・・・

これは、WinnyなどのP2Pソフトで情報漏洩した時も同じだった。

それはタイトルファイルの種類しか解らないからだ。実際には他の方法でダウンロード中でも確認出来るのが、ここでは割愛する。

やはり、こんな言葉に弱いのだろう。ちなみに私は弱い(笑)

無料に関しても同様だ。

結局タダより高いものはない。これはネットだけに限った問題ではない。本当にお得な情報って、そんなにたくさんないだろう。でもネットのサービスは、圧倒的に無料なものが多い。

ネットの無料サービスを言っているのではない。ネット詐欺などもアプローチはこんな感じだからだ。

ここでも無料って言葉は、当たり前のように使われているから、何の不思議にも思わない。またまた私もこれに弱い(笑)

将来どうなるのか?これが本当にわかればテレビに出ている予言者のようになれるかもしれない(笑)

知りたいのは山々だけど、知ったらどうなるのか?

って、知りもしないのに、こんな心配をしても仕方ない(笑)

情報漏洩で言えば、この未来予測が出来ればほとんどの問題は解決出来るだろう。

だって、事前に結果がわかるのだから・・・

しかし知らないだけで、実はある程度は予言者のような力がなくても、情報漏洩に関しては、わかるのだ。

それは、近所の銭湯に行くような格好とお風呂セットをもって、富士山に登りに行くようなものだからだ。

雨の日に傘も差さずにズブ濡れになり、風邪を引いてしまうようなもの。

それなりの準備をしてから、登山に行くだろう。

まったくの無防備な状態で、情報の入ったカバンやパソコンを紛失するのは典型的な実例だ。

人間、どれだけ準備周到に事前対策しても、うっかりミスや間違いをしてしまうのは、仕方ないこと。これは避けられないこと。

だったら出来る限りの準備を、予測を、結果を想定することは、そんなに難しいことではない。

ちなみにココだけに関しては・・・私は弱くない(笑)

| | コメント (0) | トラックバック (0)

Yahoo!Messengerでのウィルス感染に注意

Yahoo! Messengerでのウイルス感染に注意ITmediaエンタープライズより

F-Secureによると、問題のウイルスは「AutoIt.D」と「Agent.AXN」。Yahoo! Messengerでの会話中に、ウイルス感染を引き起こすWebサイトへのリンクを含む発言が、ランダムに現れるという。発言は、英語ほか複数の言語で発見されており、「こんな変な人見たことある?」「私の新しいWebサイトはこちら」「無料MP3ファイルのダウンロード」などのほか、「ウイルス除去にはこのツールを」といったものもある。いずれも、「http://www/geocities.co.jp/」で始まるWebサイトへのリンクが張られており、リンクをクリックすると、ウイルスをPCにコピーするまで、そのサイトを繰り返し表示するという。

 ウイルスが実行されると、PCのタスクマネジャーやレジストリエディターが無効になるほか、ウイルスに感染させるWebサイトのURLを、ブラウザのホームページやYahoo! Buzz Index、LAUNCHcastなどのリンクに設定するという。

過去にも似たようなものがあった。それはチャットで装うもので、なんとも嫌らしいもの。見えないチャットの相手がウィルスだと誰が思うのだろうか?私は何の疑いもなく受け入れてしまうだろう。チャットは好きじゃないのでやらないけれど(笑)

ウィルスとお話し・・・
このワームの究極にイヤらしいとこは、”クールで、面白いよ”なんてメッセージをおくり、ウィルスのあるURLを送りつけ、これウィルスじゃないの?。。。。って質問すると、”まさか、ウイルスなんて含まれてないよ”と言うらしい...

知っている人以外の人ともメールのように話すことが出来るチャット。

知り合いでなければ、そのチャット相手が人間以外ってあり得るのか?

実際にあり得た話だけに、なんとも気味悪い。

誘導し、クリックしたくなるような言葉をかけるところを、見極められるか?

チャットなど、相手が見えないインターネットでは、性別を偽って参加している人もいる。それはそれである程度は許容範囲だろう。良いかどうかは別にして。

従来のウィルスやスパイウェアとの大きな違いは・・・

一方的に送られる、感染するものではなく

誘惑に導かれ、自ら地雷を踏むようにクリックしてしまうところ!

踏んだ瞬間にヤバイ!と思っても、時既に遅し・・・

踏んだことすら解らなければ、二次被害が起きてから解る事になる。これは最悪な状況だ。

どんどんと悪質化している。今後どうなるのだろう?

この流れで行くとありそうなことは、ビデオチャットで人間っぽい感じの人間でないコンピュータと、感情のある会話をし、最後に爆弾を送られるのだろうか?

ソーシャルエンジニアリングのように、コンピュータとの会話からすべてを聞き出されてしまうのだろうか?

せめて人間にソーシャルエンジニアリングをかけられれば、まだ納得も行くかもしれないが、コンピュータ相手に話しちゃったら、私だったら後悔しそうだ(笑)

話す内容にも、聞き出される内容にもよるが、ちょっと悔しい感じが既にしている。

| | コメント (0) | トラックバック (0)

2006年9月19日 (火)

狙われる”動画好き”ユーザー

狙われる”動画好き”ユーザーITProSecurityより

インストールすると動画の画質が40%向上する」とうたう「zCodec」というプログラムも,コーデックに見せかけたスパイウエアです(関連記事:「画質が40%アップ!」---コーデックに見せかけたスパイウエア)。セキュリティ・ベンダー数社の情報によれば,これもZlobの亜種(変種)の一つのようです。一口に“コーデックに見せかけるスパイウエア”といっても,いろいろな種類が出回っているのです。

動画のプレーヤ・ソフトに見せかけるスパイウエアも確認されています(関連記事:動画プレーヤの“押し売り”に注意)。基本的な手口は上で紹介した“偽コーデック”と同じです。「このWebサイトに置かれている動画ファイルは独自形式なので,見るためには専用のプレーヤをインストールする必要があります」として,スパイウエアをインストールさせようとします。指示通りインストールすると,パソコンのデスクトップ上に,プレーヤの料金支払いを求める請求書が表示されるようになります。

スパイウエアがメールに添付されて送られてきたとしたら,話はだいぶ変わってくるでしょう。実行形式ファイル(exe)が危険であることは,ある程度周知されていると思いますので,セキュリティについて多少なりとも知識を持っているユーザーなら,安易にダブルクリックすることはないはずです。勝手に送られてきたか,自分で望んでアクセスした先に置かれていたかで,警戒心の“強度”は変わってくるでしょう。

youtube等、動画人気だ。国内の動画配信サービスも多くなってきた。

動画は名前の通り、動きと音のついたもの。

だからわかりやすい。百聞は一見にしかずと同じで、見ればそのままわかる。

説明するより見たほうが早いのだ。

その動画は出来るだけ鮮明でキレイな方が良いに決まっている。

だから、こんな悪意なものが出現してくるのだ。

記事にもあるように、メールで送られてくれば多少の警戒をするだろうが、自分から取りに行く、キレイに見るための明確な目的があるので、なんの心配もなく実行ファイルをクリックし、インストールしてしまう。

間違ってインストールしてしまう側は、目的があってしているだけの事。

一方、送り込むつもりで作っている側からすれば、僅かな隙間を狙ってくる。

見たい欲求やチラリズムの心理を狙う。それは引っ掛かりやすいからだ。

自分だけの被害範囲で済む分には、それでも良いかもしれない。

しかし、二次的に被害が拡大した場合・・・

自分以外にも、迷惑をかけてしまう相手が多数いることだけは知ってもらいたい。

| | コメント (0) | トラックバック (0)

2006年9月16日 (土)

チェーンメール送って下さい?

「チェーン・メールを送ってください」---アドレス収集の新手口ITpro Securityより

スパムには,「チェーン・メールの研究をしているので,受け取ったら私に転送してください」といった内容が英語で記述されている。Sophosによれば, 研究者を名乗るこのメールの送信者はスパマー(スパム送信者)であり,スパムを送るための有効なメール・アドレスを収集するために,こういったメールを 送っているという。英Sophosの情報

その昔は、不幸の手紙とか・・・今でもあるのか?

チェーンメールは日本でも未だに、顕在で元気なようだ。

チェーンメール大倉庫笑いのチェーンメール <笑えるSPAM MAIL スパムメール>なんかを見れば大体わかる。

Wikipediaのチェーンメールには、もっと詳しく解説されている。痛みの基準はハナゲなどは何とも考えたものだ。

元は、イタズラ目的の愉快犯で、ターゲットは不特定多数になる。

数年前に、某テレビ番組の企画を装ったチェーンメールが出回った。

この番組は今でもやっている長寿番組。そのメール内容はいかにもな感じだった。

だから今回のように、チェーン(連鎖的に)繋がってしまう。

軽い表現をすれば、面白いで終わるかもしれない。

しかし携帯電話のメールにチェーンされる、ちょっとシャレにならないものもある。

これはチェーンメールに限らず、オレオレ詐欺なんかでも同一の手口になる。

人の心理的弱点を狙ってくるのだ。

コンピュータウィルスのように、以前よりも悪質化したものが多くある。

ネズミ講の無限連鎖のように、1人ずつに1,000円振り込んで!なんてものあった。これは、振り込んで最後に自分の名前と口座を書いて送るものだ。

わかりやすい詐欺っぽいものは、あやしい匂いがするのでわかるだろう。

しかし、脅迫めいたメールをもらっちゃた人はたまらない。

真剣にどうしよう!?

って悩んでしまうようなメールまで存在する。ストーカーに近いようなものだ。

この判断は難しいか?

そんなことはなく、判別方法はとても簡単に出来る。

送られてきたメール本文の一部を検索する!

たったこれだけ!

ようは、チェーンメールは大体がネット騒がれているものだからだ。

何も焦って慌てることはないのだ。

しかし、ウィルスのワクチンと同じで・・・

ウィルス出現 → ワクチン配布 この順番は間違いないこと

この順番は、間違って逆になると・・・それはそれで別な問題になってしまう(笑)

チェーンメールも同様で・・・

チェーンメールが出回る → ネットで検索してもヒットする

でも、ウィルスとまったく同じではない。

それは、もしかしたらチェーンの一番最初に自分が何かの間違ってもらっちゃったら?

宝くじでも買ったほうが良いかもしれない。そのくらい確率は低いと思われる。

| | コメント (0) | トラックバック (0)

2006年9月15日 (金)

DIONの漏洩から見る内部管理

KDDI、情報流出事件の調査結果を発表--小野寺社長兼会長は月例報酬20%を3カ月間返上CNET Japanより

KDDIによれば、外部への流出経路は次の通り。まず、2003年12月、DIONの顧客情報を管理するシステムの開発業務を委託した会社の取引先社員C が、顧客情報を収納したデータ(PC)を自宅に持ち帰って開発作業を行い作業終了後も当該データを保存していた。2006年4月、Cは、顧客情報のコ ピーを知人Dに渡し、その後、事件の被疑者であるA、Bに当該情報が渡ったとしている。

そもそも論である理想的なことを言えば、データの持ち出しを不可能にすればいい。

しかし、通常の業務において勤労で真面目な我々日本人は、仕事に精を出してしまう。

簡単に言えば、何も持ち出さなければ何も漏れることない。

それは持ちだしたデータについてだけのこと!

悪意なく、自宅作業の明確な目的をわかって持ちだしたデータであっても、悪意を持ってデータを売買するために持ちだしたデータも、損害で言えば変わらない。

最近のスパイウェア事件でも、キーロガー(キーの入力を記録するもの)から回避するために、画面上に仮想キーボードを用いてキーの入力をマウスで行うものも出てきたが、今度はそのマウスの動きを動画で取るスパイウェアまで出てきた(詳細はこちら)

これはいたちごっこで終わりなき戦いになっている。

同じくデータの持ち出しにも言えること。

もちろん、持ち出し不可能な情報も存在するので、一概に言い切れないが・・・

全部ダメ!ってルールは、とても良い感じはするが、現実に則さない。

技術的に持ち出せない方法も必要だし、それを暗号化して紛失しても復元し難くする準備も必要だ。

最終的にもっとも必要になってくることは、それを使う人間の問題になってくる。

情報についての尺度となる考え方や・教育や啓蒙を知らないのに、どうやって防御出来るのだろうか?

全部ダメは一番良いかもしれないが、ある一部では非現実的であったり、ダメな部分を如何にくぐり抜けるか?敵も味方も考えること。

すべてが就業時間中に終われば少なくとも、この問題だけはクリア出来るかもしれない。

この問題だけは・・・である。

| | コメント (0) | トラックバック (0)

2006年9月14日 (木)

情報漏洩の視点から・・・

今日からCNET Japanのブログにも書けることになった(読者ブログ・セキュリティ)

情報漏洩対策の視点から考える、ブログについて最近思うことである。

随分とブロガーが増えてきた。インターネットが初期の頃やパソコン通信(古っ!)の時代は、書き手よりも、読み手が圧倒的に多かった。

最近では私のような素人でも、特別な文才がなくとも、書き手になれるのだ。こうして書いているし(笑)

それだけ身近になった表現手段としてのブログ、近況を伝えるために書きつづるブログ、仮想世界に入っていくことも出来るブログ・・・

その活用方法は、たくさんあったりする。

書き手がいて、読み手がいるのは、今も昔も変わらない。

しかし、今では書き手に読み手がコメントもつけられるし、読み手が書き手になることもあり、その双方向性がブログの面白いところだ。

私は情報漏洩対策の仕事をして関係で、以前は掲示板の書き込み相談、今ではブログに中身について相談を受けることがある。結構書いてはマズイ事などあったりするのだ。

紙ノート日記のように本当に閉鎖されたものであれば、何を書いても自分だけの覚え書きであれば、なんら問題はない。日記を書くことは続けることで後に読み返せるので、自己の振り返りにも有効。

一方ブログは知り合いなど、少数であっても他人が見るものである。こんなことは書き手もわかっているはず。

コメントをつけてくれる人がいると、書き手も張りが出るものだ。

喜怒哀楽を表現することも、そこでは出来る。

ここで気になることがある。

それは、身近な話題をそのまま実名で書いていたり、伏せ字にしてもわかってしまうような内容だったり、そもそも機密事項のようなことから、個人の勝手な感情からくる誹謗中傷まで、ごちゃごちゃになっている事だ。

ブログに何を書いてもいいのだけれど、愚痴を書いてもいいのだけれど、不満を書いてもいいのだけれど、それらはすべてを書いて良いことではない!

こんなところが、ネットというか、仮想空間、サイバースペースの錯覚してしまうところだ。

過去にも事件はあった。小学生が同級生を殺人してしまったことだ。これは掲示板に書いた言葉が原因だった。

メールでも起きてしまうこと、それはメール、古くは紙の手紙だったら、読み手のことを考えて書き、読み直すから間違いなども少なくなる。

その書いたものは、書き言葉で綴られている。しかし書き物として残ってしまうメールなのに、最近は話し言葉で、そのまま書いてしまうことが、その原因になっている。

直接会って話していれば、多少言葉を間違えても、伝え方が違ってしまっても、その場の雰囲気でわかる。
だから修正が出来、誤解も減るのである。

しかし、メールは文字として残ってしまう。書いている本人の想いや感情が、必ずしも読み手に正しく伝わるとは限らない。

これはブログでも同じこと。それ以上にメールと比較出来ないほど多くの人が見ることが出来る。メール本文を検索サイトで調べることは無理だが、ブログは簡単にそれが出来る。

この辺から、なんだか立派な事を言っているようだが、私自身も気をつけていかなければならない事と思っている。

実は情報セキュリティの漏洩対策にも、こんな部分こそが重要だったりする。

| | コメント (0) | トラックバック (0)

最近のブログついて思うこと・・・漏洩の視点から

はじめまして、新倉茂彦です。

情報漏洩対策の視点から考える、ブログについて最近思うことである。

随分とブロガーが増えてきた。インターネットが初期の頃やパソコン通信(古っ!)の時代は、書き手よりも、読み手が圧倒的に多かった。

最近では私のような素人でも、特別な文才がなくとも、書き手になれるのだ。こうして書いているし(笑)

それだけ身近になった表現手段としてのブログ、近況を伝えるために書きつづるブログ、仮想世界に入っていくことも出来るブログ・・・

その活用方法は、たくさんあったりする。

書き手がいて、読み手がいるのは、今も昔も変わらない。

しかし、今では書き手に読み手がコメントもつけられるし、読み手が書き手になることもあり、その双方向性がブログの面白いところだ。

私は情報漏洩対策の仕事をして関係で、以前は掲示板の書き込み相談、今ではブログに中身について相談を受けることがある。結構書いてはマズイ事などあったりするのだ。

紙ノート日記のように本当に閉鎖されたものであれば、何を書いても自分だけの覚え書きであれば、なんら問題はない。日記を書くことは続けることで後に読み返せるので、自己の振り返りにも有効。

一方ブログは知り合いなど、少数であっても他人が見るものである。こんなことは書き手もわかっているはず。

コメントをつけてくれる人がいると、書き手も張りが出るものだ。

喜怒哀楽を表現することも、そこでは出来る。

ここで気になることがある。

それは、身近な話題をそのまま実名で書いていたり、伏せ字にしてもわかってしまうような内容だったり、そもそも機密事項のようなことから、個人の勝手な感情からくる誹謗中傷まで、ごちゃごちゃになっている事だ。

ブログに何を書いてもいいのだけれど、愚痴を書いてもいいのだけれど、不満を書いてもいいのだけれど、それらはすべてを書いて良いことではない!

こんなところが、ネットというか、仮想空間、サイバースペースの錯覚してしまうところだ。

過去にも事件はあった。小学生が同級生を殺人してしまったことだ。これは掲示板に書いた言葉が原因だった。

メールでも起きてしまうこと、それはメール、古くは紙の手紙だったら、読み手のことを考えて書き、読み直すから間違いなども少なくなる。

その書いたものは、書き言葉で綴られている。しかし書き物として残ってしまうメールなのに、最近は話し言葉で、そのまま書いてしまうことが、その原因になっている。

直接会って話していれば、多少言葉を間違えても、伝え方が違ってしまっても、その場の雰囲気でわかる。
だから修正が出来、誤解も減るのである。

しかし、メールは文字として残ってしまう。書いている本人の想いや感情が、必ずしも読み手に正しく伝わるとは限らない。

これはブログでも同じこと。それ以上にメールと比較出来ないほど多くの人が見ることが出来る。メール本文を検索サイトで調べることは無理だが、ブログは簡単にそれが出来る。

この辺から、なんだか立派な事を言っているようだが、私自身も気をつけていかなければならない事と思っている。

実は情報セキュリティの漏洩対策にも、こんな部分こそが重要だったりする。

どうぞ今後ともよろしくお願いいたします。

| | コメント (0) | トラックバック (0)

2006年9月13日 (水)

情報漏えいのプリテキスティング・その2

前回の情報漏えいめぐるHPの内部調査その2である。

この問題の注目度の高さがうかがえるように、連日のように動きが活発になってきた・・・

実際の詳細は当局が調べるのだから、私なんかはコメントのしようがない。

しかし、ここから学べることが多数あることだけは海外だから、日本だから、ってのは関係なく、知っておきたいことだ。

HPのプリテキスティング問題:米司法省と下院委員会も調査に乗り出すCNET Japanより

プリテキスティングとは、企業をだまして消費者に関する記録を開示させる手法だ。HPは、同社の調査員が同社の複数の取締役とCNET News.comの3人の記者を含む9人の記者の個人的な通話記録を取得したことを明らかにしている。

 HPはSECに提出した文書の中で、メディアへの情報漏えいの調査で論議を呼んでいるデータ収集法を使用したことを認めている。

「当委員会はこの情報に大変困惑している。特に、米国を代表する企業の1社であるHPが、プリテキスティングやデータブローカーを使って同社の取締役やその他の個人の個人的な通話記録を、本人に告知することなく、あるいは同意を得ることなく、入手したとなればなおさらだ

当たり前のこととして、国によっては多少の法的な違いや、習慣の差があったとしても・・・

1.違法行為

2.情報漏えい

3.身分詐称のなりすまし

これらは万国共通の やってはイケナイ ことだ。

決して偉そうなことを言うつもりもなく、道徳的にどうこうとか、倫理的にどうこうとか、言うつもりもない。

情報漏洩を意図的にした場合は、情報コントロール(情報操作)になり、様々な制御が意図したようにコントロール出来る。

例えば、わざと違う情報や限定された情報を特定の人に流す場合などである。

これがどんな結果を生むかは、筒抜けな場合などは簡単に穴がわかる。

コントロールをする場合には、情報心理戦に持ち込まれると私の知る限り、それなりの回避は簡単なことではない。

情報心理戦は戦争でも使われる手法で、一般的ではない感じがするかもしれないが、実は身近なところでもあることの1つだ。

なりすましなどのソーシャルエンジニアリング手法は、相手を如何に信用させることができるかが、最大のポイントになる。

例えば、男性であれば飲み屋に行くと、ちょっとだけ普段の自分でなくなったり、女性受けするために独身になったり、若く見える人であれば歳を誤魔化すだろう。逆であれば今どきはないかもしれないが、高校生が成人映画を見に行くようなもの。最近では映画館に行かなくても見れるが。。。(笑)

女性であれば、やはり歳を誤魔化すことはよくするだろう。アンケートや定期券の年齢を若干少なくしたりする。偽物のブランドを持つのも自分は偽物と知ってるが、相手に良く見せるための1つの方法、と言うか高いものを持った感じになる気分的なもの。

こんな事で相手を騙すことが出来るだろうか?

単体では無理かもしれないが、これらの細かい積み重ねでは洗練されたなりすましが出来る。

最もわかりやすい事としては、人は制服に弱いので、警察官のような感じであれば、見ただけで勝手に解釈する。実際に警備員などの制服が似ているのはこんな部分だったりもする。

社内にヤクルトのお姉さんが、あの格好であのバックやカートを引いていれば、誰もが疑わない。それだけ有名なイメージしやすい格好は、相手が勝手にそう思うのだ。

ちなみにヤクルトは、個人的に好きである(笑)

見た目の部分だけでも、それが可能になる。

なりすますには、他にも電話などの会話等も有効である。

如何に相手を信用させるかの話術である。この話術と言うと難しい感じがするかもしれないが、夜の帝王になる瞬間に誰もが話術の天才になっているだろう。

目に見える情報漏洩は、漏れちゃった後に判明することが圧倒的に多い。

これは、漏れてはじめて解ること。

目に見えない漏洩は、知らずに起こしてしまったことで表面化されないことや、トラップと知らずにまったく普通に起きている。

これらは見える形で漏洩すれば、その概要もわかるが、漏れた事すら気づかない場合はまったく追いかけようがない。

自らが、なりすましの出来るだけのスキルを身につける事で、相手の動きも解るのだ。

敵を知ることが、一番の防衛になるのは、こういう部分だ。

しかし、なりすましのスキルを悪用すれば・・・それなりの制裁があることは言うまでもない。

| | コメント (0) | トラックバック (0)

2006年9月11日 (月)

情報漏えいは・・・現場で起こっている

「情報漏えいはエンドユーザーの現場で起こっている」---米Blue CoatのVPITproSecurityより

あのドラマの映画の有名なセリフで・・・

事件は会議室で起きるんじゃない!現場で起きているんだ!

ってのを思い出した。私が同じセリフを言っても価値がない(笑)

個人所有パソコンや携帯端末など,企業が管理してない端末から企業情報が漏えいしてしまう状況を打破するソフトである。

 IT組織は,何100万ドルものお金をかけて,攻撃者との間でセキュリティ戦争を戦ってきた。だが,情報そのものはどこにでも偏在する時代になった。こ うなるとセキュリティも情報の分散に合わせてどこにでも存在していなければならないわけだが,実際には情報の拡散にセキュリティの拡散が追いついていな い。ここに情報とセキュリティのギャップがある。

このような製品で対応出来ることであれば、導入をした方が良いだろう。

しかし、製品の導入は技術面対策の1つに過ぎない。

どれだけ良い製品を導入しても、その運用面で面倒だったり、使わなければまったく価値がない。

せっかくの良い製品なのだから、導入するのであれば使いこなすのは当たり前!

同時に、非技術面での対策は必須事項になる。

何度も書いてるが・・・

暗号化されたセキュリティが万全のノートパソコンだから、扱いはどうでも良い?

データは間違いなく保全されているから、電車で荷物に気を遣わずに居眠りしても大丈夫?

何の対策のしてないのに、漏れた後にデータ物理的破壊や遠隔消去が出来るのか?

これが正しいことか?

間違っていることか?

言うまでのないことだと思う。

ほとんどの場合、これらが最も重要であることに気がつくのは・・・

起きちゃった後に、青くなるのだ。

やはり身をもって体験しないとわからないのだろうか?

身をもって体験した本人は百歩譲って、それでも良いかもしれない。

が、中身は本人だけのものでない。ほとんどが本人を含む他の情報や個人に関連するものだ。

人間は、絶対にミスをしないことなない。

だから、事前に技術的対策非技術的対策の両方をバランス良くするしかない。

それでも起きるのだから・・・でも、最大の被害だけは避けることは出来るだろう。

| | コメント (0) | トラックバック (0)

2006年9月10日 (日)

パスワードも動画で盗撮

パスワードを盗む新たなスパイウエア,キーボード入力を動画として保存ITproSecurityより

スペインPanda Softwareは現地時間9月8日,ソフトウエア・キーボードへの入力を動画として記録して盗むスパイウエア(トロイの木馬,悪質なプログラム)が確認されたとして注意を呼びかけた。

ソフトウエア・キーボード(バーチャル・キーボード)とは,パソコンの画面上に表示されるキーボードのこと。画面上のキーボードをマウスでクリックして情 報(パスワードなど)を入力する。実際のキーボードへの入力を記録して盗む「キーロガー」対策として,オンライン・バンキングのサイトなどで導入が進んで いる。

同社では,今回確認されたスパイウエアのテクニックが,ほかの悪質なプログラムにも応用される可能性があるとして警告している。

これは想定内(←もう死語か)の範囲の出来事。

今後のこれらが応用されたものが、とても脅威になるだろう。

年末年始における注意 その2

オンラインバンキングなどでも使用されているソフトキーボードもハイブリッド型には効果ない。車ではハイブリッドもガソリンエンジンと電気モータの組合せでとってもエコロジーだが...

過去記事でも書いた、ソフトウェアキーボートの記事を参照して頂くとわかりやすいだろう。

そのほか、スパイウェアの過去記事は以下(スパイウェアの事は結構書いていたようだ)

  1. スパイウェアのビジネスモデル
    問題は根深い、スパイウェアのビジネスモデル:IT media エンタープライズ セキュリティよりさすがにニュースの記事だけあって、私なん...
  2. 「SNSを利用してスパイウエアを配布する手口が登場」
    賑わっている。もちろん、ウィルスにしてもスパイウェアにしても、利用者の多いところがターゲットになる。さらに言えば、スパイウェアは”本来の明確な目的”を持っているた...
  3. 「詐欺的セキュリティソフト」が増加の見通し
    急っぽく、そんな余裕を与えないウィルスやスパイウェアのあやしいファイルを開かないや、アドレスはクリックしない!と同じだ。しかし何度も書いてるが、あやしい判断がつか...
  4. フィッシングにVoIPを悪用・・・
    急っぽく、そんな余裕を与えないウィルスやスパイウェアのあやしいファイルを開かないや、アドレスはクリックしない!と同じだ。しかし何度も書いてるが、あやしい判断がつか...
  5. 6月のIPA報告
    から強...デジタル版の振込詐欺質に取るスパイウェアの挙動は、ファイルにパスワード付きZIP圧縮し、人質となったファイルデータを引き替えに、300ドルを要求するも...
  6. バックアップをとらないユーザー
    くる言葉(笑)...ファイルを人質に取るスパイウェアフトを適切に利用する!以外に方法はない。バックアップを取っていれば、ある程度の回避はできる!らしい・・・しかし...
  7. インターネットの副作用
    から強...デジタル版の振込詐欺質に取るスパイウェアの挙動は、ファイルにパスワード付きZIP圧縮し、人質となったファイルデータを引き替えに、300ドルを要求するも...
  8. 攻撃型メール活動
    ってな感じだ。ボットネットとはウィルスとスパイウェアの混合みたいなもので、ロボット的にネットを使った所が名前の由来。ようは、他人のマシンを勝手に混合を仕込み、勝手...
  9. セキュリティソフトの押し売り注意!
    ジを参照頂きたい。実際の画面もある。私もスパイウェア対策で、なんども見たことがある画面だ。これは、もっとも嫌らしいタイプのもの。先日も書いた心理戦だ。Window...
  10. デジタル版の振込詐欺
    記事だ。以前に書いたファイルを人質に取るスパイウェア その2でもある。ファイルを人質に取るスパイウェアの挙動は、ファイルにパスワード付きZIP圧縮し、人質となった...
  11. 海外のケータイ事情・・・マルウェア
    になっているという”まさに、ケータイ版のスパイウェアだ。スパイウェアは、そもそも企業が営利目的で作ったものだから、忍法**みたいな動きをする。手動での回避は難しい...
  12. ハードディスクからの情報漏洩
    について ファイルを人質に取るスパイウェア Winny情報漏洩その3 ファイルを人質に取るスパイウェアこれらはすべてが、ハードディス...
  13. 古典的なインターネット
    思ったのが、回線が早くなった分ウィルスやスパイウェアなどの悪意あるものが増えてきたことだ。回線の遅い当時でもコンピュータウィルスは存在した。音楽が流れたり、画面に...
  14. ブラウザ
    たは、拡張機能を見極めるしかないだろう。スパイウェアのような動作であるが、拡張機能を入れるのは、自分自身なので、スパイウェアのように勝手に入ってくるものではない。...
  15. 情報セキュリティ白書2006年版
    化するフィッシング詐欺第5位 巧妙化するスパイウェア第6位 流行が続くボット第7位 ウェブサイトを狙うCSRFの流行第8位 情報家電、携帯機器などの組込みソフトウ...
  16. ファイルを人質に取るスパイウェア
    出現 がまた出てきた。過去にもこのようなスパイウェアが数件あった。先のWinny情報漏洩と同じく対策には適切なソフトを適切に利用する!以外に方法はない。バックアッ...
  17. IPA届出状況[ 2月分 ]
    パイウエアが」,IPA からだ。90%がスパイウェアってのも凄い。それだけ詐欺の温床になってきてること。そもそもスパイウェアは、ウィルスと違い組織ぐるみで情報詐取...
  18. 昨日の日経夕刊
    ないとどうしょもない。ウィルスに限らず、スパイウェアも同様である。夕刊にも大きな記事でこのようなことが書かれる時代なんだなぁ・・・と、つくづく思う。情報漏洩は、漏...
  19. フィッシング詐欺を全国初摘発
    策総合センター は、頑張っている。先日のスパイウェア作者逮捕 に続いての全国初摘発だ。それだけ多くのネット犯罪が増えてきているって事。フィッシング と聞いてすぐに...
  20. スパイウェア作者逮捕
    国内初、スパイウェア作成者逮捕 ネット銀不正送金で・・・・・・昨年の事件である。なにが凄かったかって、1/26日経夕刊の一面記事に...
  21. 2005年重大ニュース
    た今月の5ニュースは、いずれもウィルスやスパイウェアによるだましのテクニックだましのテクニック(アナログ)+プラス+だまされるシチュエーション(デジタル)との、融...
  22. 年末年始における注意・・・・
    お話し・・・ などである。ウィルス対策もスパイウェア対策も同じであるが、これだけは最低限すべき事!*:パソコンを起動したら、メールチェックやWebを見る前に対策ソ...
  23. ウィルスの被害もねぇ・・・・
    になる。まったくお粗末な事である。最近、スパイウェア含め、ウィルス、ワームの悪質化とまさかこんな事?なんて被害が拡大している。無知であろうが、悪質化しようが、まさ...

キーロガーは古くから存在したものだが、昨年の夏に日本では有名になった。

オンラインバンキングで不正アクセスがあった事と、銀行名を騙りCDを送ってきたものにキーロガーが入っていた事件だ。

キーの入力を何の文字を入力したのか?記録するもの。

だから、パスワードを得るのには、もってこいなのだ。

なので、キーボードの入力を盗られないように、ソフトウェアキーボートになっただけ。

しかし、そのキー入力をマウスでクリックした動きが見られれば、同じ事。

それが、今回の元記事になる。

一部の銀行では、ワンタイムパスワードを使ったネットバンキングに切り替えているが、すべてのオンラインバンキングでそうなっている訳ではない。

また、こんな記事を連発して書いていると、脅威はオンラインバンキングだけに集中しているかのように見えるかもしれないが、これはそのわずかな1つに過ぎない。

パソコン上のオンラインバンキングで使うパスワード入力は、オンラインバンキングに接続するために使うだけ。

普段パソコンを使うときにも、パスワードの入力はしているはず。

起動時のパスワードやログインなどでも使っている。

また、銀行やコンビニでキャッシュカードが使える便利な時代!

ここでもパスワードは入力しているはず。

わかりやすいパスワード入力は、人差し指で1個ずつのキーを確かめるように入力すれば、後ろや横で見ていてもわかってしまう。人間の眼で盗み見するからだ。

パソコンのキーボードでも同じ事。最近屋外でノートパソコンを使っている人が、わかりやすく小さな声で復唱しながら入力していた。

これでは、バレバレである(笑)

いろんな方法で狙ってくるものは、自分で回避しなければ守れない。

007のジェームスボンドのような事をする必要はないが・・・

せめて自分の手で隠しながら入力するとか・・・

わざと入力しない場所の上で、押さないまでも指を動かすとか・・・

声に出して復唱しないとか・・・

実際に使える技は、いくらでもあり、それはコンピュータ以外の場所でも有効なのだ。

ちょっとの創意工夫で出来ることは多くあるのだ。

後は、それを実践するか、しないかだけの、2択を自分で決めるだけ。

情報セキュリティで最も大切なことは、小さな変化や僅かなことに注意を向けること!

| | コメント (0) | トラックバック (0)

2006年9月 8日 (金)

SNS監視で子供を守る

SNS監視ソフトでわが子を守れるか?--子供とハイテクをめぐる問題CNET Japanより

人気ソーシャルネットワーキングサービス(SNS)のMySpaceに子供が書き込んだプロフィールを監視する、保護者向けのソフトウェアのアイデアを得た。

「親が子供の行動をうまく確認する方法になると思って始めた。だが、子供と直接話をする代わりに、このツールを(監視のための)手段として利用する変わっ た親も大勢いる。それでは本末転倒だと私は思うのだが」と、自称コンサルタントのStrand氏は電話インタビューの中で語った。

MySpaceの利用状況を監視するツールは続々と登場している。例えば保護者向けのチャット監視サービスChatCheckerには、子供が MySpaceのインスタントメッセージ(IM)に書き込んだ内容を、親がひそかに確認できる新機能が加わっている。サービスの1つに、特定の単語がIM に登場すると「危険な会話」があったとの警告を電子メールで送る機能がある。しかし多くの子供たちは、親が監視しているかもしれないとわかっているので、 略語や特別な造語を使っている。

確かに便利な機能は、使いこなしてナンボになるのだから、良いかもしれない。

しかし本末転倒とは、まさに正しいだろう。

IT技術は、あくまでもツールに過ぎない。どれだけ便利になってもツールに過ぎない。人間の能力を超える計算が出来てもツールに過ぎない。

人間こそが持っている、感情はRSSもトラックバックも出来ない。

キーワードで弾くものは、引っ掛かるから隠語や●や★などを挟んで使う。

これはどれだけコンピュータに学習させても、人間が作る言葉だから、いたちごっこで追いつけない。

でも人間にはそれを認識出来る。

RSSを使って、サマリーだけを送ってくれるのも便利は便利だ。

犯罪に巻き込まれないために、事前の策を講じることも必要なこと。

それ以上にもっと大事なことがあると思っているのは、私だけなのだろうか?

| | コメント (0) | トラックバック (0)

空港内のモバイル機器紛失(英国のばあい

空港内のモバイル機器紛失、約半数は引き取られない~Pointsec調査INTERNET Watchより

英国では他の国に比べ、空港にノートPCや携帯電話を置き忘れるユーザーが多いことがわかった。スウェーデンのセキュリティソフト会社Pointsec Mobile Technologiesの「空港におけるモバイル機器のセキュリティ」に関する調査で明らかになった。

英国のノートPCおよび携帯電話ユーザーの40~50%は、空港に機器を忘れても、遺失物取扱所へ引き取りに行かないという。

「わざわざ引き取りに行くよりも、保険会社に補償を申請するか、勤務している会社に新しい機器を改めて提供してもらう考えのユーザーが多いため」

遺失物取扱所に持ち込まれたモバイル機器のうち、4台に1台がセキュリティ対策を講じておらず、スタッフが電源を入れて即座に起動できる状態だったという。

何ともコメントのしようがない。

しかし気になったので、引用し書いている。

意外なのは、4台に3台はセキュリティ対策がされていることだった。

だから取りに行かないのだろうか?

セキュリティ対策が万全だから、なくしても回収しなくて良い!って考え方なのだろうか?

日本流の考え方と、英国流の考え方のバランス感覚が何とも不思議な感じがする。

せめて、この国日本では75%以上の対策をして、なくしても回収に行って欲しいものだ。

75%には程遠いだろうが、回収率は英国より高いと思う。

英国では・・・は、あくまでも英国の話。

ここは日本なのだから、良いところは真似て行けばいい。

もともと、それが得意なお国柄なのだから・・・

| | コメント (0) | トラックバック (0)

2006年9月 7日 (木)

情報漏えいめぐるHPの内部調査

あまりなじみのない言葉だろう。プリテキスティングって・・・日本では

不正な手段を用いて入手した情報は、日本では個人情報保護法でも引っ掛かってしまう。また、他の法律でも微妙な部分が異なるにせよ、勿論違法な行為になる。

「プリテキスティング」が使われた--情報漏えいめぐるHPの社内調査、実態が明らかにCNET Japanより

米国Hewlett-Packardの役員がメディアに情報を漏えいした問題だ。

それを誰がしたのか?突き止める手法としてプリテキスティングを使ったようだ。

米国証券取引委員会(SEC)への提出書類には、「Perkins氏は、電話と電子メールの通信内容が不適切に記録されたとして、情報漏えい問題の調査方法について情報を開示するようHPに求めた。また同氏は、問題を弁護士に相談していることにも言及している」とある。

HPはこれに対し、「録音や盗聴」は一切行っていないと反論したが、プリテキスティングによって通話記録を収集したことは認めた。

日本でも盗聴に関する法律は多岐にわたっており、違法になる部分もある。

しかし一方で、聞いちゃうだけならば違法ではない部分がなんとも言えない微妙なところだ。

素人でも電話の盗聴で合法との判例もある(最決昭和56年11月20日(刑集35巻8号797頁)あくまでも実際に判例としてあったことで、どうこう言えるものではない。

もちろん捜査機関などは、通信傍受法による一定の要件さえ満たせば可能にはなった。

通話記録の販売自体は違法ではない。しかし、身元を偽って情報を入手する、「プリテキスティング」(pretexting)と呼ばれる手法で通話記録を入手した場合、不公正または詐欺的な取引行為を禁じた連邦取引委員会(FTC)法第5条に違反する HOT WIRED Japanより

脱法は勿論いけないこと。

しかし今回のように、なぜ?わかったのか?・・・のプロセスを明示しないと、

・・・だろうになってしまうから、裏付けとしてこうなっただけ。

おとり捜査のようになってしまうからだ。裏付けとなった、そのプロセスをはっきり出来なければ・・・

後付っていうことも出来るのかもしれないが・・・

じゃあ、裏付けを表に出さなければ・・・

公的機関でなくとも、違法にならずに出来る部分は多くある。

プリテキスティングって言葉に馴染みがないだけで、それと同様のことが行われ、それに気がついていない方が、余程恐いことだと思う。

今後って言うか、現在でも表にならないだけで、日本でもあることの1つに過ぎない。

| | コメント (2) | トラックバック (0)

2006年9月 5日 (火)

スパイウェアのビジネスモデル

問題は根深い、スパイウェアのビジネスモデルIT media エンタープライズ セキュリティより

さすがにニュースの記事だけあって、私なんかの説明よりもわかりやすい!最近見たスパイウェア系の記事では、とても詳しく書かれている。いいものだ。

キーロガーに代表されるように、スパイウェアを使った直接的な金銭詐欺が広く認識されるようになった。しかし、複雑なビジネスモデルがスパイウェアを取り巻いている事実はあまり知られていない。

スパイウェアの脅威に対抗するには、第一に知識武装が必要だ。まずは、あいまいなスパイウェアの定義を整理し、スパイウェアの背景に潜むビジネスモデルを知っておこう

どんなビジネスにおいても、ビジネスモデルはとても重要なこと。

こんなとこからも、敵のビジネスモデルを知ることで、自己防衛ができるのだ。

<ウイルスの脅威レベルの判断項目>

  1. 被害状況:被害台数
  2. ダメージ:感染したコンピュータに与える影響(システム破壊の大きさ)
  3. 感染力:感染能力の高さ

<スパイウェアの脅威レベルの判断項目>

  1. プライバシー:IDやパスワードなど個人情報の漏えい
  2. セキュリティ:コンピュータの安全性や完全性への影響
  3. ユーザーエクスペリエンス:ユーザーからコンピュータの制御を失わせる影響度

これって、日本でのスパイウェア事件は、昨年夏にあったオンラインバンクからの不正引き出し事件や、銀行名を騙るCDを配布した事件が大きな事件だった。

しかし、その後に大きな問題や事件が発生していないので、潜んでいるように思われるが、実際には結構な被害がでているのだ。

こればっかりは、ひどい表現になってしまうが、被害に遭わないと事前の対策を考えられないようだ。

それは、巧妙な手口によって(ビジネスモデル)それが被害にあっているのか?金銭を詐取されたのか?わかりにくいところに、落とし穴があったりするのだ。

1つは、被害者から直接金銭を取得するために、スパイウェアを利用するというものだ。犯罪目的で直接IDなどを取得するキーロガーに代表される。

あまり知られていないのは、もう1つのオンラインマーケティングの行き過ぎによるものである。

このオンラインマーケティングとは、

スパイウェアの1種であるアドウェアの売り上げ規模は、今日のインターネット広告ビジネスの11%を占めているとされる。トータルの売り上げは20億ドルに達している。

この20億ドルを日本円にすると、約2300億円(115円換算)にもなる。

ちなみに昨年の日本でのインターネット広告費用は、2,722億円(電通総研のPDF)だ。

少なくとも、昨年に日本のインターネットで皆さんも見た広告市場規模の85%の金額が、この20億ドルの売上げ規模になる。

これって、尋常でない数字ではないだろうか?

今後、いろんな意味で拡大が予想される市場だからこそ、余計なコストとリスクは回避しなければならない。

| | コメント (0) | トラックバック (0)

2006年9月 3日 (日)

月末締め日の場合・・・

8月も終わってしまった。

まだ秋って感じはなく、暑い・・・

漏洩対策に最も重要なことの1つに考え方がある。

とある企業での話だ。

と言っても、どこの企業でも月末や売上げの締めにはきっと同じことがあるだろう。

ニッパチと言われる、2月と8月は売上げの厳しい恒例の時期。

その8月は、数日前に終わった。

担当者自身がよくわかっているはずなのだが、8月の売上げ計上に若干の問題があり、戻り処理をしなければならなくなった。

しかしその企業では締めは末なのだが、一部に関しては数日またいでも何ら問題のないものもある。

その問題ないものを、8末当日に担当者は確認もせずに自己OKをクライアントに出してしまった。

・・・てな話なのだが、

何が言いたいかと言うと、日常業務でもこんなことが普通にある。

単に仕組みを知らなかっただけのこと。

処理そのものは、9月1日でも何も問題がない。ルール上そうなっているからだ。

POS(販売時点管理システム)だと、そのまま普通にルーティンな業務として流れてしまう。

これを情報漏洩に置き換えた場合でも、同じこと。

別に、締め日の話をしてるのではない。

知らなかったことが、大きな問題に発展することがとても多いのだ。

売上げは数字で見えるものだが、情報は有形なものと無形なものが存在する。

有形な情報とは、形ある入れ物に入った情報や、伝達出来るものなど・・・

無形なものは、見た目上形になってないが、口頭で伝わるような情報などになる。

その変化の仕方を知らないと、それ自体がわからなくなる。

水を、熱すればお湯になり、そのまま熱すれば水蒸気として蒸発し、凍らせれば氷にもなる。

固形(氷)~液体(水)~(空気)水蒸気にまで変わるのだ。

元は、同じモノ。

こんな考え方も一方で大切なことなのだ。

しかし、あくまでも考え方の1つでしかない。

| | コメント (0) | トラックバック (0)

« 2006年8月 | トップページ | 2006年10月 »