« 2006年11月 | トップページ | 2007年1月 »

2006年12月

2006年12月29日 (金)

2006年重大トピックス:見えない脅威Fromセキュリティ分野より

「Security」分野の2006年重大トピックスWinny問題が話題,脅威の“見えない化”も進むIT pro Securityより

2006年のセキュリティ記事アクセス数ランキングのトップ10は以下のとおり。

1位
「早く入金してください!」,“ワンクリックウエア”に注意---ウェブルート [3/14]

2位
Windows XP/2003のTCP同時接続数制限とその回避 [8/12]

3位
YouTubeビデオに見せかけた“罠”に注意,再生するとスパイウエアがダウンロード [11/07]

4位
記者も体験,偽セキュリティ・ソフトのだましの手口 [6/29]

5位
14歳少年が使ったフィッシング詐欺の手口 [5/30]

6位
「それでもあなたは使いますか?」,Winnyの危険性をIPAが再警告 [3/3]

7位
8月の修正パッチにIEが不正終了する問題,Windows 2000とXP SP1が影響 [8/12]

8位
「動画好きのユーザーは注意」,コーデックに潜むスパイウエアが脅威に [8/23]

9位
検出ツールの開発者が語る,「Winnyを検出する方法」 [4/12]

10位
マスコミと情報収集家が悪化させる「Winny問題」 [4/4]

年々悪質化してきている。特に心理的弱点を狙った手口が一般化してきた。

これはネット空間に限らずに、振り込め詐欺なども同様である。

それが、画面しか見えないコンピュータ上だと尚更である。見えるものは自分が見ている画面だけだからだ。

また、人的な問題であるWinny使用なども多かったが、今年になって公に出ただけで、数年前と状況はさほど変わらない。

変わった点と言えば、Winnyが知らなかった人までもが知る機会が増え、お宝探しに無知な利用をしたために、便乗漏洩が起きたことだろう。

この利用などはモラルの問題であるが、

・なぜ?使っちゃいけないのか?

・使うとどうなっちゃうのか?

などなど、モラルもそうであるが、それ以前のなぜ?の部分が解決されていない以上は減りようがない。

ダメダメだけだと、そんなに何か良いことでもあるのかな?・・・と思いたくなるのが人間である。

最終的に問題となるのはであり、守るのもであり、破るのもである。

あり得ることで、コントロール不可能なこと。リスクである。

それをマネジメントするのが、リスクマネジメントであり、そこにはの要因が必ず付いてくる。

ある程度のコントロールをするためにも、マネジメントは必要不可欠なのだ。

1年後の2007年末は、ここを多少でも改善出来ていることを望み、そのお役に立っていきたいと思っている。

| | コメント (0) | トラックバック (0)

2006年12月25日 (月)

恒例!年末年始のセキュリティのお約束JPCERT/CCより

JPCERT/CC、冬期休暇中のセキュリティインシデント予防で注意喚起:CNET Japanより

JPCERTコーディネーションセンター(JPCERT/CC)は12月22日、冬期休暇期間中のコンピュータセキュリティインシデント発生の予防と緊急時の対応について再確認を行うよう呼びかけた。確認項目として、以下の9項目を挙げている。

  • 緊急時の連絡網は整備・周知されているか?
  • 最新のセキュリティパッチが適用されているか?
  • ウイルスなど検知ソフトの定義ファイルが最新の状態になっているか?
  • 不要なサービスを無効にしているか? また、業務遂行に必要のないプログラムがインストールされていないか?
  • 各種サービスへのアクセス許可が必要最低限に設定されているか?
  • 生年月日や電話番号、アカウントと同一のものなど、容易に推測できる脆弱なパスワードが設定されていないか?
  • 休暇中に使用しない機器の電源を切っているか?
  • 休暇中に持ち出すファイルやストレージに対して、必要に応じて暗号化などの情報漏洩を防止するための処置が施されているか?
  • 休暇時の業務遂行のために特別にアクセス制御を変更する場合、通常の状態に戻す手順とスケジュールが整理されているか? また、それに合わせた監視体制が整備されているか?

年末年始やゴールデンウィーク、お盆休みなどの長期休暇中に起こる問題は、過去にも数多くある。

ウィルス被害などはもっとも多くあることで対策さえしてあれば、まずは安心だ。

何度も書いているが、新しい型のウィルスの後に新しい型のウィルス更新ファイルが出来るのだ。

これは当たり前の順番で、狂ってしまうと???な問題になってしまう(笑)

特に注意したいのは、休暇明けのメールチェック時だ。溜まったメールを見るためにパソコンの電源を入れて、まず最初にしてしまうメールチェック!

ちょっと、その前にウィルス更新がされているのか?確認をしてからメールチェックするだけでも安全になる。

また、忘年会シーズン&年明けの新年会シーズン時には、バックの紛失等が目立って多い。

このバックの中身には、パソコンも含まれる。紙の書類なども重要で大切だ。

無くしてしまうと、どうにもならない。紛失もそうだが、盗難も多く発生する時期だ。

車上狙いなどで、ごっそり情報を持って行かれた例は後を絶たない。

セキュリティを意識することは、とても大切なこと。

しかし、なぜ?セキュリティを意識しなければならないのだろうか?

会社のデータだけが情報ではない。個人の自分にとってもっとも大切なものを移動中になくすことってあるだろうか?確かに、魔がさしてそんな時もあるだろう。

遺失物で携帯電話が多くなっているようだ。それも取りに来ないことも多くあるようだ。

無くしたものを取りに行く手間や探す手間を考えると、買った方が安い時代にもなっている。

でも、携帯は買えば新しいものが入手出来るが、中身のデータは戻ってこないし、中身のデータには自分だけの情報でない他人のものも含まれているはずだ。

じゃあなんで回収しないのか?

自分にとって必要でないから、別な手段で対応するからだ。

そんなことが、紛失・盗難時の意識にも現れているのだろう。

この時期、今一度再確認をオススメする。最終的に他人に迷惑をかけてしまうから・・・

もちろん自分にも被ってくることは言うまでもない。自分だけで完結する問題ならば、話は変わるが・・・

私の疑問が1つある。テレビなんかで年末の警察24時なんかを見ていると、遺失物の中に骨壺なんかがある。

骨壺の中身はもちろん骨で、ここで言う情報は含まれない。しかし故人の遺物としての骨壺なのだから、取りに来ないってことが意味不明だ。遺失物なのだから、誰かが持っていて落としたから遺失物なのだ。

お約束が多くあるが、守って当たり前のことで、守らず当たった場合は最悪の事態になるだけだ。

| | コメント (0) | トラックバック (0)

2006年12月20日 (水)

個人情報保護?年賀状を送るって大切なこと=大変なこと

今年も残すところあと僅か

昨年の4月から全面施行された個人情報保護法の厄介な一面もある。

これは良い面があれば、悪い面もあるのは仕方のないこと。すべては表裏一体だからだ。

法律を守ることは、もちろん大切なことだし、破ってはいけない。これ大前提。

この時期だと年賀状を送る場合にも個人情報保護法が邪魔をする。

学校の先生に子供が年賀状を送るにも、住所を教えてもらえない。

連絡簿を作るにも同意が必要。これは学校に限ったことではない。

先日新聞で読んだら、就職活動をする学生にも影響があるらしい。母校の先輩が就職した先に訪問するにも、これが影響し、面倒なステップを踏んで行くようだ。

ご近所の町会名簿などでも同じく影響が出ている模様。

有名な話では、電車事故で病院に運ばれた人の安否確認をするにも教えられないって問題があった。

天災でとある役所の人が被災者の方の税金減免申請をしたところ、個人情報を本人の同意なく利用したとして処分されたケースもあった。これは本人の便宜のために行ったことであり、担当者に責任はないと私は考える。が、法律も役所の方々もそうではなかったようだ。

一方、中央官庁の従来公表されていた天下りリストなどは、個人情報保護のために公表しなくなった。

ここで問題なのは個人情報がデータとして管理され、便利になった反面の管理として法律で規制されている。もちろん規制しないと大変なことになってしまうので規制することは大切なこと。

しかし、よくよく考えてみると・・・昔だったらこんなことはなかったはず。

情報量が莫大になり、簡単にコピー出来る時代になったからだ。

これを悪用した場合、とっても便利なのだ。以前と比較しても。

昔だったら、悪用しようにも近所の目があり秩序も保たれていたこと。

近所っぽい話で言えば昨今のご近所づきあいのなくなった住宅事情や核家族化が影響している。誰が隣に住んでるのかわからないのだ。

反面、漏洩したときには爆発するほど大量な個人情報が漏洩する。

いずれの場合も、何が良いのか?私にもわからない。

個人情報が漏れてストーカー行為をされている人たちもいるからだ。

今後も注目していきたい。

| | コメント (0) | トラックバック (0)

2006年12月19日 (火)

安全なパスワードは・・・日本も意外と強い

「ユーザーはより安全性の高いパスワードを使用し始めている」--米調査 CNET Japanより

Counterpane Internet Securityの最高技術責任者(CTO)であるBruce Schneier氏は米国時間12月14日に掲載されたWired Newsの記事の中で、平均的なパスワードの長さは8字で、サンプルの81%は文字と数字の両方が含まれていたと述べている。

しかしながら問題なのは、Schneier氏が調査したサンプルはすべて、フィッシング詐欺サイトが入手していたものだという点だ・・・

Schneier氏によれば、最も多く使われているパスワードの上位5つは、「password1」「abc123」「myspace1」「password」「blink182(バンド名から)」だという。パスワードのうち、辞書に載っている単語そのままのものはわずか3.8%で、単語の後ろに数字をくっつけたものが12%、そのうち3分の2は「1」だったという。

文化習慣によって違いが出てくるものとして、セキュリティ意識がある。

よく言われる狩猟民族と農耕民族の話のように、獲物と戦わなければ食料は得られず、獲物にやられちゃっては自分に危険が及ぶ。

一方の農耕の場合、左右されてしまうのは天候くらいで、それ以外は予定出来る。

この民族のDNAがセキュリティ意識に大きく影響している。

しかし、この記事を見る限りパスワードの意識は高くないようだ。だから僅かな変化がこのように多少でも強いパスワード・・・なんて話しになるのだろう。

最近のWebサービスなどもパスワードを決めるのに、英数混ぜたものでなければ登録出来ない。

だから単純に数字の1などをつけてしまうのだろう。

悪意をもった人の使うツールにパスワードクラッカーというものがある。

これはパスワードの辞書を持って、1個ずつあてはめていくもの。ブルートフォースアタックと呼ばれ、力ずくの総攻撃をするもの。

これに大切なものが、元となる辞書の数々だ。辞書の中には人名や単語などが含まれている。アニメのキャラクターなどの辞書も存在する。

パスワードの文字数であるが、大脳生理学的に7文字が記憶出来る限界らしい。

以前の参考記事:パスワードってメモるの?米国の場合

ここで日本人のパスワードが最強な理由が1つある。

それは・・・

英語が苦手な点が、ここでは有利になっていること。

パスワードはアルファベットを使うので、日本語に直してもローマ字にしなければならない。

キーボードの配列を上手く利用した、ひらがなで打つとこれ以上に最強なものはない。辞書にも載ってないし、まさか?ってところだからだ。

私はローマ字入力でなれちゃったので、ひらがな打ちは出来ないが、ひらがな打ちが出来ると入力は相当早い。ローマ字の入力よりも約半分打つだけで入力できるからだ。

例えば、”にいくら”の場合は、”ieho”がひらがなの”にいくら”と同じキーに割り振られたアルファベットになる。たまに配列の違うものもあるが、ほとんど同じだろう。

上記の”ieho”に数字をつければ、史上最強のパスワードが完成する。

また、英単語をパスワードに使っている場合でも、英語力の低さが有利になっている。

それは・・・

スペルを間違えるからだ。

これ公式文書などではマズイが、パスワードならば自分が間違えいていてもパスワードは自分だけが知っていれば良いものなので、OKになる(笑)誰にも言わないものなので恥ずかしくもない。しかし何かの拍子にミーティングなどで別な話の時にこのパスワードを書いたときに、wordで資料を作っている時に、間違えは判明する。それでも良いのだ。間違えているからこそ、誰にもわからない(笑)

侮ってはイケナイ。これ意外と強いのだ。もちろん辞書にも載ってない。

生体認証の指紋や虹彩、静脈などもあるが、組合せて使う場合にもパスワードは必要になる。

自分に合った変わったやり方が、実は一番最強なのだ。

これを機会に是非パスワードの変更をしてみたらどうですか?

ちなみに、このやり方で被害を被っても私は責任持てません。だって間違えたパスワードは誰にもわかりませんから(笑)

| | コメント (0) | トラックバック (0)

2006年12月 7日 (木)

携帯電話を遠隔操作で「盗聴器」に--FBIの場合

FBI、携帯電話を遠隔操作で「盗聴器」に--マフィアの捜査で使用CNET Japanより

米連邦捜査局(FBI)は、犯罪捜査に新しい電子盗聴の手段を使い始めたようだ。これは携帯電話の通話口についているマイクを遠隔操作でオンにし、それを利用して付近の会話を盗聴するというものだ。

この盗聴手法は、米国時間11月27日に発表された、米連邦地裁のLewis Kaplan裁判官による意見書の中で明らかになった。この中でKaplan裁判官は、連邦通信傍受法では容疑者の携帯電話付近の会話を盗聴することは許されているとして、「ロービングバグ」は合法だと裁定している。

Kaplan裁判官の意見書には、この盗聴方法は「携帯電話の電源が入っているか入っていないかにかかわらず機能した」との記載がある。携帯電話の中にはバッテリを取り外さない限り完全に電源を切れないものがある。例えば、Nokiaの一部の携帯電話は、電源を切っておいてもアラームがセットされていれば、その時間になると起動する。

「電話機の設定が実際に変更され、盗聴器になっている場合、対抗するには、盗聴器発見の専門家に24時間ついていてもらう手もあるが、これは現実的ではない。あとは電話機からバッテリを取り外すしかない」とAtkinson氏は言う。実際、セキュリティを意識する企業幹部は日常的に携帯電話からバッテリを外していると、Atkinson氏は付け加えた。

段々とイヤな時代になってきた。

それだけ身の回りにはテクノロジーがあふれているからだろう。

ちょっと違うが、以前に聞いた話では・・・

1.自動車電話が普及しはじめた頃、受信する地域によっては090等の後に2桁が変わり、自動アナウンスされかけ直す時代があった。私も当時使っていた。東京はたしか31がエリアのコードだったと記憶している。これ当時でもそれなりの感度がアリ、自動車電話のアンテナをトランクにしまっておいても反応してしまった。

これで何がわかるかと言えば、東京にいるはずが、地方にいたことの証拠になってしまった。その後遠方にいる場合には、頭の090か何がか2種類ありこれもかけ直すことがあったはず。番号が急激に増え記憶も定かでないほど変化しているってことだろう。現在では海外にいても同じ番号で繋がるようになった。

2.イヤホンで自動着信をしていた例と、折りたたみのケータイが普及していない頃、誤動作を防ぐためにダイヤルロック機能などもあったが、胸のポケットに入れて知らずにかかってきた電話をとっていた。もちろん本人は受信したことも知らずに受信状態になってしまったのだ。ようは自分の知らない間に着信していたらしい・・・

この話のオチは、いずれも浮気がばれてしまった話だった(笑)

何とも笑えない話ではあるが、いずれもトリガーになったのは人的なミスによるものだ。

アンテナの話は電源を切っておけば、最後に電源を切った場所しか残らない。

着信の話は便利な機能が裏目に出てしまったのだ。

電話以外の話で言えば、ばれてしまうようなことをしなければ良いのだが(笑)

このFBIの手法は、今どきのケータイ事情を考えると今後日本でもあるかもしれない。日本の当局がこれをするかは法的な問題もありわからないが、テクノロジーとして可能であれば、イリーガルなことであっても出来てしまう事に脅威を感じる。

法律を守るのは大前提の当たり前だが、どんな方法であれ可能であることに脅威を感じる。

電池を抜けば反応しないのは子供でもわかる簡単なことだが、電池を抜いてしまった携帯電話って自分の意思で発信するときにしか使えない。

着信は出来ない。電池が入ってないからだ。

しかし発信だけに使う場合でも、その会話が同じく盗聴されれば変わらない。

会話の盗聴を携帯電話機でしているのか、電波が通過するところでするのかの違いだけ。

こうなると便利な携帯電話も、持たないのが一番の有効策になる。

やましい事をしていなくても、プライバシー侵害になるテクノロジーがあることだけは事実のようだ。

街に公衆電話は極端に減ってきたが、公衆電話とポケベルの時代に戻るのが良いこともあるのかもしれない。

便利な裏側はこれに限らず何処にでも存在するものだ。

| | コメント (0) | トラックバック (0)

2006年12月 4日 (月)

来年の10大脅威を予測(セキュリティ編2007)

動画共有ブームでMPEGがハッカーの標的に、McAfeeが来年の10大脅威を予測INTERNET Watchより

McAfeeによる2007年の脅威予測

1.eBayなど利用者数の多いオンラインサービスの偽のログインページを利用した、パスワードを盗み出すWebサイトが増加

2.帯域幅を消費する画像入りスパムの数が引き続き増加

3.Webでの動画共有の普及により、ハッカーが悪性コードの配布手段としてMPEGファイルを狙うことは避けられない

4.携帯電話の「多機能化」、接続対象の増加により、携帯電話への攻撃が拡大

5.営利目的の不審なプログラムの増加を受け、アドウェアが主流に

6.個人情報の盗難、データの紛失が引き続き社会的問題

7.ボットなど自動タスクを実行するプログラムの使用がハッカーの間で増加

8.ディスクの既存ファイルを改変するファイル感染型のマルウェアやウイルスが復活

9.32ビットプラットフォームでrootkitが増加するものの、防御、修復機能もそれに伴って強化

10.脆弱性の闇市場など脆弱性が引き続き問題に

"米McAfeeのセキュリティ研究機関「AVERT(Anti-Virus Emergency Response Term) Labs」"

ちなみに、2005年度の動向と今年の予測されたものはIBMが出していた。

セキュリティーに関する2005年の動向概要と2006年の見通しを発表 -IBM®報告書:2006年は犯罪目的のサイバー攻撃が急増の見込み-

私が感じている事は、

1.年々悪意に満ちた方向に向かっている

2.心理的な弱点を巧みに狙っている

3.脅威はインターネットの中だけではない

ってところ。

インターネット情報リテラシー向上させることが、もっとも早期に必要なこと。

それはインターネット情報リテラシー向上を助ける役目は必要だが、ユーザー情報リテラシー向上させる仕組みを取り入れることだ。

微力ながら、これを進めていきたい。

| | コメント (0) | トラックバック (0)

2006年12月 1日 (金)

プライスレスとプライスロス

IPA、企業における情報セキュリティ事象被害額調査などを発表Enterprise Watchより

まず、「企業における情報セキュリティ事象被害額調査」は、ウイルスや不正アクセス、情報漏えいなど情報セキュリティ事象発生の場合、被害額がどれほどに達するものか、を調査している・・・

それによると、ウイルスの影響でシステムが停止した場合、1社あたり中小企業で約430万円大手・中堅企業で約1億3000万円であった。これは、ウイルス被害による直接の復旧コストはそれほど大きくはないものの、いったん電子商取引システムや重要システムが停止してしまえば大きな売上減が想定されるというものだ。なお回答した1206社のうち、復旧コスト発生があった企業数は、中小企業が95社、大手・中堅企業が110社、また売上減のあった企業数は中小企業が35社、大手・中堅企業が46社であったという。

さらにもう一つ注目されるWinnyを介した情報漏えいであるが、被害状況の調査関係として、漏えいしたデータ分析が社員数十名で対応した人件費などで 90万~180万円、流出元となったPC調査やWinnyネットワークでの拡散状況調査が専門業者による調査費用などで500万~600万円、対外説明として問い合わせ窓口などが顧客への謝罪対応も含めて45万~1600万円であった。以上、人件費・外注費で総額2000万円を超えるケースもあったという。

独立行政法人情報処理推進機構(IPA)
http://www.ipa.go.jp/

調査結果
http://www.ipa.go.jp/security/fy17/reports/virus-survey/

被害額が出ると、事前対策費用との比較が出来る。

比較が出来ると言うことは、どっちにするかの選択肢があると言うこと。

単純にコストだけでは計れないものもあるが、やはりコストでの比較が一番わかりやすく、対策案も考えやすいのは事実である。

一方、カード会社のCMではないが、プライスレスって事もある。

極端に乱暴な言い方をすれば、 お金で買えない価値なのだから、買わないという事もありかもしれない。

前回書いた何もセキュリティ対策しないと言う1つの選択肢も同じである。

価値があるのであれば、その価値を正当に評価することも必要になる。

事例としての被害額から、失った場合の価値を考えることも出来る。

この価値には一定の基準はなく、視点によって価値は変わってくるものが、情報の難しいところだ。それでも漏れた場合の情報に値段がつく以上は相場があるのだろう。漏洩側の算出したコストと、それをもらう側のコストだ。

立場が真っ向から違うので、折り合うところが難しいのだ。

すべてはコストだけではないのだ。企業が築いてきた信頼のイメージはプライスレスのはず。買えないのであれば、売れないと言うこともある。

プライスロスにはならないようにしたいものだ。

| | コメント (0) | トラックバック (0)

« 2006年11月 | トップページ | 2007年1月 »