“理解せず 「同意」を押して 大失敗”--第6回セキュリティかるた大会 - (page 3)

富永康信 (ロビンソン)

2014-03-14 19:13

特定の人がアクセスするサーバを狙う水飲み場攻撃

 昔は、怪しいサイトにさえアクセスしなければ、ブラウザを見ているだけでウイルスに感染することなど考えられなかったが、今は一般の企業のサーバが不正アクセスされウェブページが改ざんされて、利用者がアクセスすると直ちにウイルスが仕込まれて不正プログラムを自動実行する状態にされてしまう被害が増えている。


いつものサイトがいつの間にか危険なサイトに?
水飲み場攻撃の例。なるべくアクセスの多い脆弱性のあるウェブサーバを狙い、バックドアを作るウイルスをアップロードする手法
水飲み場攻撃の例。なるべくアクセスの多い脆弱性のあるウェブサーバを狙い、バックドアを作るウイルスをアップロードする手法

 「特に、ブログを管理するウェブアプリケーションやCMS(コンテンツ管理システム)のパッケージが古いバージョンの場合に脆弱性となり、大手企業でもそこが盲点となる」(武田氏)

 特定の人々がアクセスする専門家向けサイトなどは発見されにくく、対策が遅れがちだという。一般の利用者はOSを常にアップデートし、ウイルス対策ソフトで防御すればそれほど恐れることはないが、4月でサポートの切れるWindows XPユーザーは要注意だろう。


簡単にダウンロードできるスマホアプリだが利用規約が死角に

 また、スマートフォンの普及によって、情報抜き取りアプリが社会問題化している。あるIT関連会社が公式アプリ配信サイト上にスマートフォンの個人情報を外部に送信させるウイルス(トロイの木馬)を仕込んだ動画再生アプリを無料配信。約款には「連絡先データの読み取り」を表記していたが、実際には電話帳全体を読み取っていたという。法律的には不正指令電磁的記録保管罪や同共用罪にあたる。

 武田氏は、「スマホアプリの10~20%が利用者の認識なく個人情報を送信していると推定される。今後、アプリの利用における情報の取り扱いが議論の争点となるだろう」と話す。

使い方を間違ったばかりにメーリングリストが公開状態……
使い方を間違ったばかりにメーリングリストが公開状態……

 メーリングリストサービスのGoogleグループは無料で使えて便利な共有手段だ。ただし、自分たちは閉じた形でメーリングリストを使っているつもりでも、設定を変更していないことによって誰でも内容を見ることができる状態で活用している例が多いという。

 武田氏はこうした個別に契約を交わさず無料のサービスを「約款に基づくサービス」といい、第三者が多くの人向けにあらかじめ用意した規約を適用するタイプのサービスは、申し込んだ時点で約款に同意したことになり、設定のミスで情報が公開状態になっても責任を問えない。「外部のサービスを業務で利用する際には細心の注意が必要」(武田氏)

これからのセキュリティ対策

 では、セキュリティ対策はどこまで行えばいいのだろうか。これまでは、ソフトウェアを最新の状態にアップデートする、ウイルス対策ソフトを使う、ファイアウォールを導入する、安全なウェブアプリケーションを開発するなどが一般に唱えられてきた。

 これからの対策について、武田氏は個人的な考えと前置きした上で次の5つを列挙する。1つは、事件、事故の少ない安全なプラットフォームの利用。中でもiOSはこれまで目立った事故に遭遇していないという。2つ目は、ホワイトリストによるアプリケーション管理。危険なアプリケーションを検出するのではなく、安全と確認されたアプリケーションだけを登録管理する方が安心だという。3つ目は、スマートフォンやタブレット端末のセキュリティ対策。ビジネスにおけるスマートデバイスの活用が増えることで、信頼できるアプリケーションの利用や、紛失対策、BYOD管理ポリシーの策定などの取り組みが必要となる。

 4つ目は、クラウドサービス利用に伴うセキュリティ対応。スマートデバイスが増えると、社外のストレージサービスなどのクラウド利用が増えるため、野良クラウドの対応や利用アカウントのライフサイクル管理、コンテンツレベルでの暗号化対応などを実施するべきだという。

 そして5つ目は、セキュリティ/プライバシーバイデザイン。リスクを前提とした業務、システム設計や、過去の事件事故の教訓を行かした本質的な対策、利便性とセキュリティ/プライバシーのバランスを考えた運用などが重要になってくるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]