“理解せず 「同意」を押して 大失敗”--第6回セキュリティかるた大会 - (page 3)

富永康信 (ロビンソン) 2014年03月14日 19時13分

  • このエントリーをはてなブックマークに追加
  • 印刷

特定の人がアクセスするサーバを狙う水飲み場攻撃

 昔は、怪しいサイトにさえアクセスしなければ、ブラウザを見ているだけでウイルスに感染することなど考えられなかったが、今は一般の企業のサーバが不正アクセスされウェブページが改ざんされて、利用者がアクセスすると直ちにウイルスが仕込まれて不正プログラムを自動実行する状態にされてしまう被害が増えている。


いつものサイトがいつの間にか危険なサイトに?
水飲み場攻撃の例。なるべくアクセスの多い脆弱性のあるウェブサーバを狙い、バックドアを作るウイルスをアップロードする手法
水飲み場攻撃の例。なるべくアクセスの多い脆弱性のあるウェブサーバを狙い、バックドアを作るウイルスをアップロードする手法

 「特に、ブログを管理するウェブアプリケーションやCMS(コンテンツ管理システム)のパッケージが古いバージョンの場合に脆弱性となり、大手企業でもそこが盲点となる」(武田氏)

 特定の人々がアクセスする専門家向けサイトなどは発見されにくく、対策が遅れがちだという。一般の利用者はOSを常にアップデートし、ウイルス対策ソフトで防御すればそれほど恐れることはないが、4月でサポートの切れるWindows XPユーザーは要注意だろう。


簡単にダウンロードできるスマホアプリだが利用規約が死角に

 また、スマートフォンの普及によって、情報抜き取りアプリが社会問題化している。あるIT関連会社が公式アプリ配信サイト上にスマートフォンの個人情報を外部に送信させるウイルス(トロイの木馬)を仕込んだ動画再生アプリを無料配信。約款には「連絡先データの読み取り」を表記していたが、実際には電話帳全体を読み取っていたという。法律的には不正指令電磁的記録保管罪や同共用罪にあたる。

 武田氏は、「スマホアプリの10~20%が利用者の認識なく個人情報を送信していると推定される。今後、アプリの利用における情報の取り扱いが議論の争点となるだろう」と話す。

使い方を間違ったばかりにメーリングリストが公開状態……
使い方を間違ったばかりにメーリングリストが公開状態……

 メーリングリストサービスのGoogleグループは無料で使えて便利な共有手段だ。ただし、自分たちは閉じた形でメーリングリストを使っているつもりでも、設定を変更していないことによって誰でも内容を見ることができる状態で活用している例が多いという。

 武田氏はこうした個別に契約を交わさず無料のサービスを「約款に基づくサービス」といい、第三者が多くの人向けにあらかじめ用意した規約を適用するタイプのサービスは、申し込んだ時点で約款に同意したことになり、設定のミスで情報が公開状態になっても責任を問えない。「外部のサービスを業務で利用する際には細心の注意が必要」(武田氏)

これからのセキュリティ対策

 では、セキュリティ対策はどこまで行えばいいのだろうか。これまでは、ソフトウェアを最新の状態にアップデートする、ウイルス対策ソフトを使う、ファイアウォールを導入する、安全なウェブアプリケーションを開発するなどが一般に唱えられてきた。

 これからの対策について、武田氏は個人的な考えと前置きした上で次の5つを列挙する。1つは、事件、事故の少ない安全なプラットフォームの利用。中でもiOSはこれまで目立った事故に遭遇していないという。2つ目は、ホワイトリストによるアプリケーション管理。危険なアプリケーションを検出するのではなく、安全と確認されたアプリケーションだけを登録管理する方が安心だという。3つ目は、スマートフォンやタブレット端末のセキュリティ対策。ビジネスにおけるスマートデバイスの活用が増えることで、信頼できるアプリケーションの利用や、紛失対策、BYOD管理ポリシーの策定などの取り組みが必要となる。

 4つ目は、クラウドサービス利用に伴うセキュリティ対応。スマートデバイスが増えると、社外のストレージサービスなどのクラウド利用が増えるため、野良クラウドの対応や利用アカウントのライフサイクル管理、コンテンツレベルでの暗号化対応などを実施するべきだという。

 そして5つ目は、セキュリティ/プライバシーバイデザイン。リスクを前提とした業務、システム設計や、過去の事件事故の教訓を行かした本質的な対策、利便性とセキュリティ/プライバシーのバランスを考えた運用などが重要になってくるという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]