人気ブログランキング | 話題のタグを見る

賃貸館FC本部、FC加盟店、お客様の交流の場として「情報共有」「意見交換」をして皆様にお役にたてる情報発信をしてまいります。


by chintaikanfc

コンピュータのセキュリティについて

コンピュータのセキュリティについて

要約
攻撃はインターネット接続中にコンピュータの弱い部分になされます。基本ソフトであるOS、Adobe Reader、Flash、JAVAは常に最新のものにしましょう。サイトで利用するパスワードは見破られないようなものにしましょう。Android携帯は、最低でも正規のストアからインストールをしましょう。



セキュリティセミナーに参加してきました

情報システムの及川です。

先週上司の河本とIPA主催のセキュリティセミナーに参加してきました。

IPA」とは「独立行政法人情報処理推進機構」のことで、コンピュータ・セキュリティについての啓発活動を積極的に行っていることで有名です。

社内でも何かと問題になっており、いいタイミングでセミナーを受けることができました。

自分なりのまとめと情報共有としてこのことについて書きたいと思います。

その中で大きく印象的だったことをまず挙げてみます。


・最近の攻撃のほとんどがインターネット接続でのコンピュータの弱さを突いたもの
・攻撃の主な目的は金銭・経済面の利益、スパイ活動
・感染ではなく内部侵入
・スマートフォンのアンドロイド携帯は危険にさらされやすい



これらの説明の前にコンピュータのセキュリティについて本当に簡単な説明をしてみます。



▼そもそもコンピュータのセキュリティとは

非常に簡単な例えでいうと、「鍵をかけ忘れて自宅の中の金品を盗まれる」ことと似たことがコンピュータの利用で頻発するようになっています。ちょっとした工夫、つまりコンピュータで鍵をかけるような習慣を持ちましょう、ということがコンピュータのセキュリティについての心がける意識・活動になります。

ただし、自宅の鍵をかけることは簡単かもしれませんが、コンピュータの場合は、より難しくなっているのも事実です。「鍵はかけているけれども、泥棒からするとかかっていないも同然の状態だった」ということがコンピュータのセキュリティではよく起こっています。

なかなか難しいのですが、まずは「普段の行為が危ない」と思っていただくことで、「どうにかしないと」と思ってもらえるような文章になるように努力してみたいと思います。



▼攻撃はほとんどがインターネット接続によるコンピュータの弱さを突いたもの

以前はメールやUSBメモリからの感染が主だと言われていましたが、現在はそれよりもインターネットの閲覧によるものがほとんどを占めています。

ただし、単にインターネットの閲覧そのものが問題なのではありません。

ポイントは、


・コンピュータには常に弱い部分が存在すること
・そこを攻撃者が見つけ攻撃してくるということ



です。

コンピュータの弱い部分」とは何でしょうか?

コンピュータも人が作ったものですので、完成時には完全に動作すると思っていても何かしら不具合が後から発見されます

その修正プログラムを定期的に配布することでできるだけ最善のプログラムになるように開発側は常に対応しています。

攻撃者はその都度弱い部分を更に見つけ攻撃を繰り返します。

このイタチごっこが続いているといえます。

元々外部とのやり取りがなければ攻撃されることもないのですが、インターネットの便利さは攻撃者にとっても便利なものとなりました。

インターネット越しに、コンピュータの弱い部分を攻撃できないかと攻撃者は狙っているということになります。



▼攻撃の目的は金銭・経済面の利益、スパイ活動へ

攻撃者は攻撃の目的は、以前は愉快犯、自己顕示などであったのが、ここ2005年以降は明確に利益目的となっているとのことです。

メインは金銭・経済面の利益、諜報(スパイ)活動だそうです。


■盗みとられるもの

当然すべての情報が対象になりますが、その中でも


・銀行やクレジットカードのパスワードを含むユーザー情報


は当然そうですし、その他にもお金になりそうな情報


・企業の機密情報
・住所・電話番号などの個人情報
・絶対に他人には知られたくない恥ずかしい情報(個人的な画像、アダルト画像、秘密にしている個人的な事情)



として根こそぎ盗まれる可能性があります。


■スパイ(諜報)活動って?

「スパイ活動」とはえらく物々しいいいかたですが、企業から国家間の機密情報問題まで標的にされるそうです。

私達が関係するの?と思いそうなのですが、こうした諜報活動の内30%が250人以下の企業で起こっているとのことで、関わる可能性が全くないとはいえなさそうです。

たとえばこういうことのようです。

大企業や地方団体・省庁などのセキュリティ対策は頑丈なため、そこと付き合いのある対策を適切にできていない企業や個人のコンピュータを乗っ取り攻撃を仕掛けるというのです。

私のように地方の一中小企業に働く人間のコンピュータには関係なさそうですが、たとえば私が一度でも大手不動産会社のとある担当者とメールのやり取りがあることが、私のコンピュータに侵入してわかれば、しめたものです。

コンピュータに侵入し標的の担当者に本当の案件らしいメールを私として送ります。
そこにウィルス付き添付メールを送りつけるなどのことができれば、そこから大手企業内システムに侵入することが可能になるということでした。



▼攻撃の経路・内容(感染ではなく内部侵入)

ウィルスに感染していると軽く考える方が多いのですが、感染したものを元に戻せるかどうかというのは正直なところわかりにくいようです。

IPAの説明では、感染してコンピュータの動作がとても遅くなった、インターネットソフトのトップページがYahoo!から別のものに変わってしまったという現象が発生し、それを駆除できたとしても終わりではないといいます。

駆除が完全にできているといいのですが、できていない場合、見た目何も変わらないようにプログラムが内部潜伏し、利用者が銀行サイトに接続した場合だけ、攻撃者がコンピュータに侵入し必要な情報を取るというような攻撃が行われるとのことでした。

つまり感染して駆除して終わりではなく、感染し内部侵入しそこから個人のコンピュータを手始めに企業であれば、他のコンピュータに順次移動し必要な情報を盗むまで根こそぎ攻撃をし続けるとのことです。



▼スマートフォンのAndroid(アンドロイド)携帯は危険にさらされやすい

ここ数年スマートフォンの普及が急激に進んでいますが、個人情報の宝庫であるということで電話帳が狙われています

だからだそうです。

スマートフォンの2大シェアはアップルのiPhoneと各社から発売されているAndroidですが、特に危険にさらされやすいのは、Androidだとのことです。
攻撃の92%がAndroidを標的にしているとのことです。

説明が複雑になるので省略しますが、これはiPhoneが機器として優れているということではなく、Androidが開発コードを公開していることなどが攻撃をしやすくなっているということでした。



▼対策は何ができるか?

さて、もう危ないのは分かったから何ができるのか早く教えて、と思われている方も多くおられるかもしれません。

対策ですが、

大きく2点あります。


・修正プログラムを常に最新にする
・パスワードは簡単なものにしない・同じものを使わない



他にAndroidでは、

・正規のアプリストアからダウンロードしましょう
・そのソフトが有名なものか安全なものか調べてみましょう
・セキュリティソフトを導入しましょう




▼修正プログラムを常に最新にする

上で書いているように修正プログラムを常に最新にすることということになります。

その中でも特にいわれている4つのソフトウェアは最新のものにしておくことを特に意識して下さい。


・WindowsのOS(基本ソフト)
・JAVA
・Adobe Reader
・Adobe Flashプレーヤー


OSはあまりにも基本的なもので置くとして、その他はサイト上の画像、動画など文章以外情報を見るために必要なプログラムです。

現在の攻撃がインターネットからのものが主になっているので、これらのプログラムが攻撃対象になっているようです。

これで完全とはいえないのですが、まずはこれらを最新にしておくことで、主な攻撃を防ぐことができるはずです。


■アップデートの方法

アップデートの方法をWindows7環境でのみですが挙げておきたいと思います。

121ware.comというNECサイトのサポートページが非常に丁寧にわかりやすくできています。

Windows 7パソコンでJava Updateのメッセージが表示された場合の対処方法
http://121ware.com/qasearch/1007/app/servlet/qadoc?QID=011962

Windows 7でAdobe Flash Playerの最新版を入手する方法
http://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=012637

最新のAdobe Readerを入手する方法
http://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=003194


■Windows OSのアップデートについて

Windows OSは基本自動でできるように最近のものはなっています。
多くは仕事帰りなどコンピュータの電源を落とす際に、アップデートを行い自動で電源をシャットダウンします。

古めのものや、Macなどはまた違った方法になりますので注意してください。

またWindows XPをお使いの方、この4/9以降がサポートがなくなります
つまりこれ以降修正プログラムが配布されないことを意味します。
危険ですので至急新しいコンピュータへの乗り換えを検討して下さい



▼パスワードは簡単なものにしない・同じものを使わない

インターネットのセキュリティで、自宅の鍵に相当するものは「パスワード」です。
誰でもといわないまでも、少し考えたり調べたりすれば思いつくようなパスワードにしていると、いとも簡単に攻撃者に破られてしまいます。

パスワードを

・名前と誕生日の組み合わせにしている
・「12345」「password」「admin」などとしている
・すべてのサイトで同じにしている


のようにしている方は、すぐに変更しましょう。
以下なども参考にしてみてください。


■パスワードの管理の仕方

情報管理担当者のための情報セキュリティ対策 パスワード管理の推奨
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/business/admin03.htm

これでOK!安全で簡単なパスワード管理テクニック - 1 - 今日から実践!「情報セキュリティ講座」
http://goo.gl/vZn3Wz



▼スマートフォンのセキュリティについて

スマートフォンのセキュリティ <危険回避> 対策のしおり
https://www.ipa.go.jp/files/000011456.pdf
by chintaikanfc | 2014-03-13 21:19 | 社内