【セキュリティ】情報セキュリティ10大脅威について

はい、ただいま2018年の1月ですが、2017年度で実際に起こっている情報セキュリティ関連の10大脅威として、改めて脅威を調べてみましたのでご覧ください。 順不同ですが、 ネットバンキングやクレジットカードの不正利用 マルウェア感染、フィッシング詐欺等の攻撃により、クレジットカード情報やネットバンキングの認証情報等が攻撃者にハックされ、不正送金などが行われると言った現象。年々、セキュリティソフト等の台頭により減少はしてきているが依然、危険な脅威である事に間違いないです。 ランサムウェアの被害 言わずと知れたマルウェアですが、通称「身代金要求型ウイルス」です。パソコンだけでなく、スマートフォンやタブレット等にも感染し、ファイルの暗号化、画面のロックを行って相手側からの金銭要求に応じなければファイルの復旧が出来ない(ちなみにお金を送っても絶対直してくれるとは限らない)と言う物です。こちらの防止方法としては、当然セキュリティソフトの最新更新、及びネットで繋がっている共有サーバーや外付けHDD等も感染する可能性があるので、そちらの物理的切り離しも有効です。 スマートフォンや関連アプリを使用した攻撃 スマートフォンの関連アプリをユーザーがダウンロードした際に、不正遠隔アクセスされて情報を盗まれてしまう脅威。こちらも不正アプリ、公式に認められていないアプリ等をダウンロードしない事によりある程度の防止は出来ます。 ウェブサー…

続きを読む

【セキュリティ】2017年度のサイバー犯罪動向

2017年度、つまり去年のサイバー犯罪傾向がトレンドマイクロ社から出ていましたね。まあ、トレンドマイクロ社の独自で集めた数みたいですけど。一定の信ぴょう性があると思うのでこちらでも公開したいと思います。 あ、ちなみに今までブログでも言ってきたのでご覧の方はご存知でしょうが、トレンドマイクロはあの「ウイルスバスター」の会社ですよ。 やはり、一番気になるのが「ランサムウェア」なのですが、(例の身代金要求型ウイルスです)「WannaCry」の国内検出台数は、2017年11月末までに1万6,100台に上り、世界全体でみると約5万台以上の被害が確認できている様です。当然、発覚してない分も合わせると結構な数になります。 全世界で5万台。日本で16000台となると、数字だけで考えれば日本は「カモ」と言って良いのでは無いでしょうか。ただ、単純にハッキングを受けたから侵入されたと言うケースよりは、脆弱性があり、そこから侵入されたと言うケースが圧倒的に多い様です。 具体的に書くとポート445らしいですが。ちなみにメール送信は25、受信は110ですけど(サブミッションポートは587とか他にもいっぱいありすぎますので省きます。と言うか私も全部は知らないです) これらの具体的な対策はいつも書いてる「セキュリティソフトの最新更新」及び、OS自体のパッチ当て、及び更新何ですよね。それ以外ないです。この辺り自分で対策できる様な人はハッカーやれます。 ただ、前にも情報セキュリティ…

続きを読む

【映画】CSI サイバー シーズン2がやっとレンタル開始

はあ、、やっと見たかった海外ドラマのCSIサイバー シーズン2がレンタルショップでレンタルできるようになりました。去年の暮ぐらいの話だったそうで、私全然気づきませんでした(ちなみにもう一つ観ていたMr.Robotは今年の3月ぐらいからレンタル開始のようです) まあとにかく、このCSIシリーズは他にも沢山出ている人気シリーズだったようなのですが、このシリーズでCSIとしては幕を閉じたようです。 正直、レンタルしに行くのも結構面倒なので動画サービスで流していれば入会して観てやろうと思っていたのですが、どこを探しても無いんですよね。なのでレンタルしました。 このサイバー、私も職業柄と言うか興味柄と言うか、何せ「サイバー」とか「IT」何ていう単語が入っていたら片っ端からレンタルするような人間なのでこのシリーズも衝動買いならぬ衝動レンタルだったのですが、 ちょっと現実のサイバー的に話がありえないかな、、と言う展開も中にはあるのですが、このシリーズの良い所は「素人でも比較的判りやすい説明と展開になっている」と言う所ですね。 専門用語も結構出てきますが、これらも難解な物には説明が入ったり、字幕が入ったりするので良いです。そしてセキュリティ関連の資格の話も私ブログに書いていますが、かなり出てきますので復習にもなります。 そして流れ的に単語と単語が結びついて理解しやすくなっていますのでおすすめですね。 まあ私もようやくレンタルし始めたので、まだ一本目しか見ていないし…

続きを読む

【情報セキュリティマネジメント資格】パスワード管理について

今回は、パスワードの管理について確認したいと思います。 まず基本的な所になるのですが、パスワードが攻撃者に割れてしまう事を防ぐためには、技術的な対策が必要になってきます。例えば、 ・ロックアウト(一定以上のパス入力を間違えるとそのIDが使用できなくなる仕組み(ブルートフォース防止)) ・パスワードを長くしてみる(長ければ長いほど、数字やアルファベット大文字、特殊文字などを組み合わせるとなお効果的) ・パスワードの使いまわしをしない(パスワードリスト攻撃防止策) 等があります。 又、パスワードの保存方法になりますが、色々な方法があります。それぞれにメリット、デメリットがあるので覚えておいた方が良いですね。 ・紙メモ(パスワードクラックされにくいが、ソーシャルエンジニアリングに遭う可能性) ・パスワード付き電子ファイル(表計算ソフトにリストを作成して、パスワードをかける、ただしハックされる可能性あり) 他にも、ID不正使用防止については ・利用者アクセス管理(IDは必ず一人一つにし、パスワードやIDの再利用禁止。IDが不要になったり、不正使用された場合に関しては速やかに破棄、新しい物を使用するようにする) 等があります。 内容としては、序盤にお伝えした通りでPWの使いまわしはしない、長くする、一定回数以上間違えたら使用できなくする、の三点になって来ると思いますが、基本的過ぎて今の情報セキュリティマネジメント…

続きを読む

【情報セキュリティマネジメント資格】情報セキュリティ対策

本日は、情報セキュリティ対策について、です。 情報セキュリティ対策は、管理的対策(組織、人的)と、技術的対策(技術、物理的)に大きく分かれます。 組織対策(ISMS(情報セキュリティマネジメントシステム)、就業規則の改定) 人的対策(従業者への教育、パス管理) 技術的対策(情報セキュリティ製品、暗号技術) 物理的対策(盗難、破壊、紛失防止→入退室管理、持ち出し管理) 不正のトライアングルが起こる要因として、機会、同期、正当化の3つがそろった際に内部不正が発生するとされています。(機会は、不正を行える状況。動機は処遇面の不満や生活苦。正当化は、自分勝手な理由付け。) これらを防ぐには、組織が対策できる機会と動機を低減させることが重要です。この二つは先述した、技術的対策と、物理的対策を組み合わせる事になるのですが、主には物理的対策の方になります(技術的対策は外部からの脅威にも向けられている為) しかし、動機。これ処遇面の不満や生活苦って、、送させないためにちゃんと生活できるだけの給料を支払いましょうよ。 割と今まではこういう不正アクセス等の不正を行う理由って愉快犯が多かったように思うのですが、最近ランサムウェアなどをスクリプトキディが使用してお金をだまし取ろうとする手口が増えている事を思えば、本当にこの処遇面での不満や生活苦と言うのが現状での所なのでは無いかと思います。 そういう意味でも、セキュリティは大事ですね。 **…

続きを読む

IT関連資格について

IT関連資格について、何となく振り返ってみようかなと思います。 私がこのブログを始めたのは、そもそも私の友人がセキュリティにあまりに疎い所から始まっていて、いちいち口頭で説明するのも面倒なので、どうせなら他の方にも見てもらおうと言う事で始めたものです。 だから、そもそも勝手に好き放題、IT資格関連、ITネタ等を織り交ぜたブログにしているのですが。更新も既に400記事を軽く超え、その間に取得したIT資格もあります。 今、細かい資格を除くと取得しているIT資格はITパスポート、情報セキュリティマネジメント、情報処理士資格と言った所ですね。最初のITパスポート、情報セキュリティマネジメントはともかく、最後の情報処理士資格は大学在学時に取得したモノです。何も凄い事はありません(笑)。 問題なのは、ITは日進月歩なので国家資格を取得してもいつまで通用するか判らない点ですね。国家資格の上級レベルになれば長く大丈夫だとは思いますが、民間資格の取って良かったのかどうか判らないぐらいのレベルの物を取得しても、後々で意味があまりなくなる可能性が高いです。(民間でもMOS等は結構実用的ですけどね、バージョンが色々あるので毎回取得は面倒ですよね) ただ、就職時に持っているとこのご時世、結構役に立ってくれることも多いです実感としては。 話は少しずれますけど、さっきの「情報処理士」資格、ちょっと調べてみましたらこんな感じでした。(笑)。 情報処理士は、全国大学実務教育…

続きを読む

【重要】サイバーセキュリティの現状について

サイバーセキュリティの現状を、複数のメディアがネットや新聞で取り上げています。 防衛省が外部からのサイバー攻撃を防止するために、自衛隊サイバー防衛隊の情報通信ネットワークを防御するシステムに人工知能(AI)を導入するとの事。 それ自体は良い事で有るとは思うのですが、セキュリティの重要な所は継続して脅威を監視、それに対する対策、除去と言う事に重点が置かれないといけないです。今現在のAIがどの程度の物かは判りかねますが、それと並行してセキュリティに強い人材の確保も多少は必要になって来るはずです。 又、本日のこちらの地元新聞にもセキュリティ関連業務でお役所さん等がかなりトラブってしまっているらしく(どこの都道府県と言うのはセキュリティ上ハッキングを防ぐため伏せると言う事でしたが)。 そういった側面から考えても、この日本でもホワイトハットハッカー、セキュリティに長けたエンジニア等、又一般のクライアントに対応したテクニカルサポート何かも非常に必要になって来ると思われます。と言うか明らかにまだ人材不足です。 とにかく日本はその辺りの対策が先進国からかなり危険意識としてズレていましたので、追い付くのに必死ですよね。高い能力を持つ人材に残業込みで数百万円とか(大体500前後と聞いていますが)海外ではありえない低賃金ですからね。 そりゃ、過酷な残業込みでなおかつその低賃金だったら人が集まるどころか離れて行って当然ですね。未だそんな企業があるみたいですけど、、、 …

続きを読む

【情報セキュリティマネジメント資格】脅威の三分類

今日は、情報セキュリティマネジメントの脅威の三分類のお話をさせていただきます。 この脅威は、情報資産を危険にさらす行為になる訳なのですが、社内の人間によっての脅威である事も多く、特に企業では気をつけなければいけない内容になりますね。勿論、資格試験の内容範囲にもなってきます。 まず、人的脅威。先ほどお伝えした、人的なきっかけになってきますが、ソーシャルエンジニアリング等の簡易ハッキング行為や、誤操作、紛失等により故意でない被害も併せての内容になります。 次に、技術的脅威(不正アクセスの類)になり、これの中には端末によるエラーも含まれるのである意味人的脅威とも言えそうですが、機器が関わってくると技術的脅威と言う事になってきます。 最後に、物理的脅威。これは直接的に端末を破壊させたり、窃盗、故障、自然災害まで含まれます。これにより、可用性が侵害される、と言う所を良く覚えて置いた方が良いです。要は、いつでもアクセス出来ないと言う事になります。 又、人的脅威はかなり内部不正がきっかけの事が多いようなので、特に社員のセキュリティ施策、セキュリティに対する勉強、学習環境を整える事も重要になってきますね。 参考にしてみて下さい。 ***本編とは関係ないですが、ちょっとした空き時間にお小遣い稼ぎしたい方へ。ポイントサイトご紹介です。思ったより割とすぐポイント溜まります。全部老舗で、高ポイント還元率なので安心だと思います。どのサイトからでも私からの追加…

続きを読む

ペイジーの悪用不正送金について

今回は、ペイジー(仮想通貨ですね)の悪用不正送金についてお伝えします。 まあ、ペイジー自体を使用されている方が私のブログの読者さんにどれぐらいいるかは不透明なのですが、セキュリティ関係の話になってくるのでちょっとご案内しておきますね。 手口としてはブラックハットハッカーが、仮想通貨を使用しているユーザーのパソコン端末等からハッキングを行いお金をだまし取ると言う方法何ですが。 ペイジーは税金や公共料金などをパソコンやスマートフォン、ATM(現金自動預払機)から支払うことができるサービスであり、この手口で被害は統計の出ている昨年上半期だけで全国で19件発生しており、被害額は約1億400万円に達している。との事です。 割合としてはそこまででも無いのですが、無い訳では無いので対策は当然必要です。今回は仮想通貨の方のセキュリティ話題になりますが、侵入手口が多数ある事からパソコンだけでは無く、スマートフォン、タブレットのセキュリティの対策も必要になってきますね。 結局インターネットを使用する限り、侵入手口はイタチごっこ状態で無くなることは今後も無いと思われます。(WAFを使用しても恐らくは)なので、OSのアップデート、セキュリティソフトの最新バージョンを常に意識として置いておくことが必要ですね。 お気をつけください。 ***本編とは関係ないですが、ちょっとした空き時間にお小遣い稼ぎしたい方へ。ポイントサイトご紹介です。思ったより割とすぐポイント溜まりま…

続きを読む

iPhoneのバッテリー劣化問題を自分で解決する方法

ハイ、皆様ごきげんようでございます。 本日は前から話題になっているiPhoneのバッテリー劣化問題、解決する方法を(と言うか、自己診断できる方法)ご案内したいと思います。 まず、大前提として前にこちらのサイトでも話題に出しましたが、前にアップルが旧型のiPhoneで新しいiOSを使用している際に、劣化したリチウム電池への負担を和らげるため、パフォーマンスを意図的に落としていた事を認めました。 今大概のスマホ、携帯に使用されているリチウム電池は充電時間が短くコンパクトに出来るという利点がある一方で、発火の可能性や劣化の早さという欠点があるそうです。前にもありましたよね、何々社製のスマホが発火したとか何だとか、、、 リチウム以外の電池でも結局何かしら違う欠点があり、今の所どうこうする事はユーザーの方では出来ないのですが、せめて自己診断と言う方法でパフォーマンスの低下におけるリスクを出来るだけ回避する、と言う方法を取っていきたいですね。 まずiOSのバージョンをチェック。iPhone 6、6S、SEでは電力マネジメントはiOS 10.2.1から導入されiPhone 7はiOS 11.2からと言う事です。その上でCPUパフォーマンスを調べる事の出来るアプリをインストール。そこで大体の状況は把握できます。 問題なのはバッテリーの問題で、ここの部分のコストを下げる事は難しいです。判断できたとしても交換するかどうかはご本人様次第となりますね。私の住んでいる所なら「…

続きを読む