2015年3月31日火曜日

ホテルでのインターネット活用、Wi-Fiサービス、利用すると危険な攻撃にも、注意下さい

ホテルでのインターネット活用、どうしていますか? ホテルのインターネット活用、個人情報が漏れたり、ウイルスに感染したり、決して安全とはいえません。最近も、ホテル向けネットワーク機器に脆弱性があり、ホテルのWi-Fi利用の宿泊客が攻撃される危険が指摘されています。

ホテルでの、インターネット活用、無料Wi-Fiサービス、ホテル設置のパソコン活用の際は、注意が必要です。

①個人情報入力を避け、②商品購入サイトなどのWebサービス利用を避けて、③Web閲覧程度にとどめた方がいいですね。


ネットワークの専門家、メーカーの支援がないと、インターネット環境を安全に保つことはできません。果たして、そのことを知り実現しているホテルが、どれぐらいあるのでしょうか? 本当に不安になります。

 1. ホテルでのWi-Fiサービス、安全かどうか分からない
 2. ホテルでのインターネット接続、安全かどうか分からない
 3. ホテルに設置されているパソコン、安全かどうか分からない


私は、基本的にホテルではパソコンを使わず、また、ホテルの無料の「Wi-Fiサービス」も極力使わないことにしています。

使うのは、スマホで携帯会社の専用回線を使ったインターネット活用。もし、パソコンを使う場合は、個人情報が必要なWebサービスは使わず、インターネット検索だけにしています。

ホテルでのインターネット接続、本当に安全なのか、なかなか分かりづらいです。以下に、ホテルのネットワーク、インターネット利用での最近の問題点を整理して見ます。



■ホテル向けネットワーク機器に脆弱性、Wi-Fi利用の宿泊客が攻撃される恐れ

ホテルなどに使われている、特定のネットワーク機器に脆弱性(不具合)があり、このWi-Fiサービスを使うと、情報を盗まれたり、ウイルスに感染するとして、ホテルなどのWi-Fiサービス提供者に注意が出されています。

下記の記事によると、Wi-Fiサービスに使われているANTlabsのゲートウェイ機器に、深刻な脆弱性が発覚。利用客が通信を傍受されたりマルウェアに感染させられたりする恐れもあるそうです。

 2015年03月30日
 ホテル向けゲートウェイ機器に脆弱性、Wi-Fi利用の宿泊客が攻撃される恐れ
  - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/30/news041.html


■宿泊施設などが運営する「公衆Wi-Fiサービス」、運用体制は心許ない面も

下記の記事によると、異常な通信や攻撃の兆候などを監視する運用体制は重要で、宿泊施設や市町村などが自ら運営する場合は、独力では心許ない面もあるとのこと。

また、Wi-Fiネットワークの監視・運用を支援する製品はあるものの、「無料Wi-Fi」提供に投資はかけられず、導入事例はまだ少ないとのこと。

宿泊施設や市町村などが提供する「無料のWi-Fiサービス」利用時は、セキュリティに充分注意して、個人情報を利用しないことが大事ですね。

 無料でも攻撃と盗聴から利用者を守る、最強のセキュアWi-Fiへの道
 http://pc.nikkeibp.co.jp/atcl/news/15/032300523/


■高級ホテルのWi-Fiが危険すぎる!? 宿泊客の端末を狙った攻撃「DarkHotel」

2014年11月、ロシアのセキュリティー会社カスペルスキーが運営するKaspersky Labが、アジアの高級ホテルのWi-Fiを通じて機密情報を盗み出そうとする攻撃「DarkHotel」について公表しています。

下記の記事によると、Kaspersky Labは「攻撃者は優れた運用能力、数学的・暗号分析的な攻撃機能の能力を持っている。信用ある商用ネットワークを悪用し、特定の標的を極めて正確に攻撃している」とのこと。

この事件、「高級ホテルのWi-Fiを通じての攻撃」であり、高級ホテルの信用ある商用ネットワークでさえも、ネットワークが悪用される危険があるとのことです。

 2014年11月13日
 高級ホテルのWi-Fiが危険すぎる!? 宿泊客の端末を狙った攻撃「DarkHotel」が公表される
 iPhoneひとすじ! かみあぷ速報
 http://www.appps.jp/135866/


■ホテルのネット接続でマルウェア(不正ソフト)に感染、FBIが注意喚

2012年5月、ホテルのインターネット接続を使って利用客のPCにマルウェアを感染させようとする手口が報告され、米連邦捜査局(FBI)の犯罪苦情センター(IC3)が、海外旅行客に注意を呼び掛けました。

 2012年05月10日
 ホテルのネット接続でマルウェアに感染、FBIが注意喚起 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1205/10/news019.html


この手口では利用客がホテルの部屋でインターネット接続を確立しようとすると、ソフトウェアの更新を促す画面がポップアップ表示され、アップデートのインストールを許可すると、マルウェアに感染するというものでした。


■大手ホテルの公共PCにマルウェア(不正ソフト)、客情報が大量流出

2014年7月、米国の大手ホテルで公共のパソコンにマルウェア(不正ソフト)が仕込まれ、利用客のパスワードや決済情報が大量に盗み出されているのが見つかりました。

 2014年07月15日
 大手ホテルの公共PCにマルウェア、客情報が大量流出 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1407/15/news038.html

このマルウェア(不正ソフト)は、客がキーボードに入力した内容を記録して、その情報をメールで送信する仕掛けで、攻撃者は客の個人情報や、オンラインバンキングやWebメールのパスワードといった情報を大量に入手していたそうです。


2015年3月25日水曜日

スマホのアプリ、最新版への更新が必要、「FREAK」脆弱性で個人情報が盗まれる恐れ!


ショッピング・サイトなどをサクセスする際に使われている、通信の暗号化手段「TLS/SSL」に、脆弱性(通称「FREAK」)が見つかった問題、スマホのアプリに大きな影響があります。

最近、話題になっている、この「FREAK」脆弱性問題。複数のアプリに影響があり、アプリを最新版にしないと、個人情報が盗まれる恐れがあります。











 脆弱性(ぜいじゃくせい)とは、ソフトなどが持っている問題点のこと

この脆弱性(FREAK)を修正していないアプリを使うと、例えば、ショッピングアプリからユーザーのログイン情報やクレジットカード情報が盗まれたりする恐れがあります。

 スマホの複数アプリに、FREAKの脆弱性が修正されたものがあります

 スマホのアプリ、特に個人情報を扱うショッピングアプリを最新版に更新しましょう!


今回は、今後とも、話題になる、暗号化手段「TLS/SSL」、「FREAK」、「OpenSSL」、「中間者攻撃」についても簡単に紹介します。

攻撃者が「FREAK」の問題を悪用すれば、通信を行う二者の間に割り込んで、気付かれることなく盗聴したり、通信内容に介入したりする攻撃が可能です(中間者攻撃と言われています)。

なお、下記の記事によると、iOSとAndroid向けの多数のアプリに依然としてこの脆弱性が存在していることが分かったそうです。

 2015年03月19日
 AndroidとiOSアプリ、まだ多数に「FREAK」の脆弱性が存在 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/19/news055.html

 Android向けの人気アプリの11.2% 
 iOS向けの人気アプリ5.5%
 が、まだFREAK攻撃に対して脆弱な状態にあることが分かったそうです。



なお、スマホのアプリの脆弱性のもう一つの大きな問題として、多数のAndroidアプリにSSLサーバー証明書の検証不備があります。この脆弱性があると、通信内容が盗聴・改ざんされる可能性があります。

 スマホのソフトには脆弱性が潜んでいるので、スマホのOSやアプリは、
 常に最新版にすることが必要です。


下記の記事によると、AndroidアプリがSSLサーバー証明書を適切に検証していない場合、通信内容を盗聴したり改ざんする攻撃、つまり、中間者攻撃を防ぐことができず、攻撃者に通信の内容を盗聴または改ざんされる恐れがあります。

 2014/9/22
 多数のAndroidアプリにSSLサーバー証明書の検証不備、IPAが開発者に確認呼び掛け
  -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20140922_667983.html


■暗号化プロトコル「SSL/TLS」とは

「SSL/TLS」は、サイトをアクセスする際に、アクセスするデータを暗号化するためのしくみです。また,お互いが正しい通信相手であるか確認する機能もあります。

例えば,ショッピング・サイトに住所・氏名や,クレジットカードの番号を送る時などに,そのサイトが正しいかを確認して,データを暗号化して送信するということができます。

サイトをアクセスする際に「https」で始まるアドレスにアクセスすると,ブラウザによっては鍵のマークが出てきます。この鍵マークが「サーバーとクライアント間でやり取りするデータを,SSLあるいはTLSによって暗号化している」という意味です。


■「FREAK」の脆弱性とは

暗号化プロトコル「SSL/TLS」で、暗号強度が弱い「輸出向けの暗号」を使っている問題点が、「FREAK」の脆弱性で、簡単に中間者攻撃を受け、通信内容を盗聴されます。

1990 年代の米国政府の輸出規制により、輸出向けの暗号化ソフトウェアは米国内市場向けの暗号化ほど安全ではない、512 ビット以下の暗号化を使用するよう義務付けられていました。

この輸出規制自体はかなり以前に撤廃されましたが、「輸出仕様」の512 ビット以下の暗号化は存続したままです。

しかし、512 ビット暗号化の強度は、現在の基準では非常に弱いもので、わずか数時間で復号することが可能です。この、暗号強度が弱い「輸出向けの暗号」を使っていると、簡単に中間者攻撃を受け、通信内容を盗聴されます。

なお、暗号化の標準は、1024 ビット暗号化から、今は、はるかに安全な 2048 ビット暗号化に取って代わられています。詳しくは、下記を参照下さい。

参考:
FREAK 脆弱性により暗号化通信が攻撃を受ける恐れ | Symantec Connect コミュニティ
http://www.symantec.com/connect/ja/blogs/freak


■OpenSSLとは

暗号化プロトコル「SSL/TLS」を利用するための、だれでも自由に利用できる、オープンソースのライブラリ(プログラム部品)。

オープンソースソフトウェアとして公開されているため、誰でも自由に入手・利用することができ、プログラムに暗号通信機能を組み込む手段として様々なアプリで幅広く利用されている。

なお、OpenSSLの最新版は脆弱性(FREAK)の問題は解決済みなので、アプリは、この最新版を利用する必要があります。


■中間者攻撃(man-in-the-middle attack)とは

中間者攻撃(マン・イン・ザ・ミドル攻撃)とは、通信を行う二者の間に割り込んで、気付かれることなく通信する内容を盗聴したり、通信内容に介入したりする手法。

つまり、第三者(攻撃者)が通信の「中間」に入るという方法です。

 ・AさんがBに情報を送信する際、Cという犯罪者が間に入ります。
 ・AさんはBと通信しているつもりですが、実際には犯罪者Cと通信。
 ・BはAさんと通信しているつもりですが、実際には犯罪者Cと通信。

中間者攻撃自体は昔からある古典的な不正アクセス手法の一つで、暗号通信などを盗み読む目的で昔からネット犯罪に使われてきたものです。


参考:
 Man in the middle attack(中間者攻撃)とは : 増井技術士事務所
 http://masuipeo.com/tech/mitm.html


2015年3月24日火曜日

安全性強化と人をだまして個人情報を盗む フィッシングメールが出回っています!

セゾンカード会員が利用できるインターネットサービス「セゾンNetアンサー」をかたる、危険なフィッシングメールが出回っています。

安全性強化と人をだまして、危険サイトに誘導し、クレジットカード番号、生年月日などの個人情報が盗まれますので、注意下さい。

銀行、カード会社などの金融機関から、個人情報を入力させるメールはありません!! 決してダマされないように注意下さい!



フィッシング詐欺は、“インターネット版振り込め詐欺”とも言われています。

  一番大事なことは、

  個人的情報を要求するメールは無視する! です。

  通常企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。
  このようなメールは無視することが一番大事です。

  フィッシング詐欺対策を、下記ブログに詳しくまとめています、参考にしてください。
  http://lifesecurityup.blogspot.jp/2014/03/blog-post.html

  また、フィッシング詐欺対策の基本を最後にまとめています、参考にしてください。



フィッシング詐欺の多くは、URLをクリックさせることにより、ニセの金融機関やショッピングサイトなどにユーザを誘導し、クレジットカード番号やパスワードなどをだまし取ります。年々その手口は巧妙化しています。

なお、下記サイトに詳しい内容が説明されていますので、参考にして下さい。

 2015/03/23 セゾンNetアンサーをかたるフィッシング
 フィッシング対策協議会
 http://www.antiphishing.jp/news/alert/saison20150323.html


今回のフィッシングメール内容をみると、パッと見て、本当にダマされそうです。もし、寝起きのときなど頭がボーとしているときなど、簡単にURLをクリックしてしまいますね。くれぐれも用心してください。



----危険なフィッシングメール内容(上記サイトより引用)----------

【重要:必ずお読み下さい】セゾンNetアンサーご登録確認

いつもセゾンNetアンサーをご利用いただき、ありがとうございます。

この度、セゾンNetアンサーに対し、第三者によるアクセスを確認いたしました。

(中略)


大変お手数でございますが、下記URLからログインしていただき、
任意のIDへの再変更をお願いいたします。
なお、新たなID/パスワードは、セキュリティの観点より「10桁以上」のご登録を強くおすすめいたします。
http://www.●●●●.com/WebPc/USA0202UIP01SCR/


---------------------------------------

なお、下記サイトによると、1年以上前の2013年12月にも、全く同じようなフィッシングメールが出回っています。

 
 2013/12/27「セゾンNetアンサー」かたる、まともな日本語のフィッシングメールに注意
  -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20131227_629394.html



■ フィッシング詐欺対策の基本


フィッシング詐欺で最も大事な点は、個人情報入手や寄付を依頼しているメールには注意し、このようなメールに記載されたURLをクリックしないことです。

以下にフィッシング詐欺を避ける心がけを纏めてみました。



(1) 一番大事なこと!! 個人的な金融情報を要求するメールは無視する

通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。


(2) アカウント名・パスワード等の個人情報を要求するメールは無視する

不正なサイトに誘導される可能性があり、決して、URLをクリックしない。


(3) 一方的に送られてきた寄付を要請するメールには答えない

もし寄付をする場合は、各種救済団体の正規のサイトに直接アクセスする。


(4) ホームページの安全性をチェックする(URLが"http"ではなく"https")

URLが「https://・・・・・」と"http"ではなく"https" であるかを確認することが必要です(暗号化通信のSSL通信の場合のURL)。

なお、SSLを悪用した、フィッシング詐欺もあるので、更に、オンラインバンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、例えば、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。


(5) カード会社からの請求内容を確認し不正な請求がないか確認する

クレジット・カードなどの明細に、よく分からない金額が書かれていないかチェックする(不正な請求がないか確認する)


(6) セキュリティ対策ソフトを使いフィッシング詐欺対策を実施する

フィッシング詐欺対策がある対策ソフトを利用下さい。最近のウイルス対策ソフトには基本的にフィッシング詐欺対策があります。次に、ウイルス対策ソフトのフィッシング詐欺対策が有効になっているか確認下さい。


(7) ブラウザでフィッシング詐欺対策を実施する

使っているブラウザにフィッシング詐欺対策があるか確認下さい(代表的なブラウザには基本的にフィッシング詐欺対策があります)。次に、ブラウザのフィッシング詐欺対策が有効になっているか確認下さい。


2015年3月23日月曜日

Flash Playerで修正済みの脆弱性を悪用した攻撃が確認、最新版への更新が急務

トレンドマイクロ株式会社は、3月12日にFlash Playerの最新版で修正されたばかりの脆弱性(ソフトの不具合)を悪用した攻撃を3月18日に確認したそうです。

 Flash Playerの修正されたばかりの脆弱性を悪用、日本の成人向けサイトなど介して感染
  -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20150323_694094.html



 1週間もたたないうちに、最新版で更新されたソフトの不具合を狙った攻撃が実施

 Flash Playerは出来るだけ早く最新版に更新しましょう!!

 最新版への更新方法は以下を参照下さい

 http://lifesecurityup.blogspot.com/2015/02/2015flash-player.html



上記のINTERNET Watchの情報によると、日本の成人向けサイトなど介して感染し、既に攻撃により誘導されるURLには8700人以上のユーザーが訪問、その9割以上が日本のユーザーだったそうです。

今回の攻撃、最新版が公開されてから、1週間もたたないうちに、最新版で更新されたソフトの不具合を狙った攻撃が実施されたことになります。

 ①3月12日に脆弱性を修正したFlash Playerの最新版が公開
 
 ②3月18日には①の脆弱性を利用したインターネット攻撃が発見

このことから分かることは、Flash Playerの最新版が発表されたら、出来るだけ早く、最新版に更新しないと攻撃をうける可能性があるということです。


なお、上記のINTERNET Watchの情報によると、今回の攻撃は、最新版で修正されたばかりの脆弱性を利用した「Nuclear」と呼ばれるエクスプロイトキットによる攻撃とのこと。

実は、「エクスプロイトキット」というソフトを使えば、インターネットでの不正攻撃が可能で、今回は、このエクスプロイトキットが、3月12日に公開された脆弱性を利用するように更新されていたそうです。

■エクスプロイトキットとは

脆弱性を利用した攻撃を行うために使用するソフト(ツールキット)として、「エクスプロイトキット」があります。サイバー犯罪者はこの「エクスプロイトキット」を使い、インターネットでの攻撃を実行します。詳しくは下記を参照下さい。


 2014年を振り返る:脆弱性を利用するエクスプロイトキットの攻撃手法
 トレンドマイクロ セキュリティブログ

 http://blog.trendmicro.co.jp/archives/10603

2015年3月20日金曜日

スマホの紛失・盗難のリスク対策、紛失・盗難時にすべきこと

最近は、インターネットをスマホで使う人も増えました。そのため、スマホには、パソコンと同じ個人情報が一杯つまっています。

例えば、インターネットサービスのID・パスワードが、スマホの中には、数多くあります。更に、パソコンにはなかった電話帳もあるので、パソコンより個人情報が多いですね。

なお、パソコンと違い、スマホは外出時に必ず持ち歩きしますので、パソコンに比べ紛失・盗難の確率も、かなり高いです。

ここで、もし、スマホを紛失した場合、または、誰かに盗まれた場合を考えてみましょう。そうすると、次の可能性が考えられますね。


 危険1:スマホのAmazonアプリから他人に勝手に品物を購入される

 危険2:電話帳から多くの人の電話番号、メールアドレスが盗まれ悪用される

 危険3:Webメール(例えばGmail)を勝手に利用される

 危険4:オンライン・ストレージに保管している情報を盗まれる

 ・・・・これ以外にも様々な危険があります。

もし、スマホ紛失時の対策を何も実施していないとしたら、スマホ紛失時の危険は本当に大きいですね。今回は、”スマホの紛失・盗難のリスク対策”、”スマホの紛失・盗難時にすべきこと”をまとめてみました。



■ スマホの紛失・盗難のリスク対策


紛失や盗難のリスク対策を以下に紹介します。スクリーンロック機能、「ロックアプリ」の活用は、紛失や盗難のリスクを考えた場合、最低限実施したいですね。


■対策1. スクリーンロック機能を使う

Android 4.0以上のOSを搭載した端末では、何種類かの画面ロックの解除方法を選択できます。その中で、最も効果的で私が気に入っているのが「パスワード」です。英数字を組み合わせ、出来るだけ8文字以上にしましょう。

端末の画面ロックを有効にし、一定時間操作しないでいると、自動でスクリーンロックがかかります。

使用を再開する場合、事前に設定したパスワードを入力してロックを解除する必要があるため、第三者の不正使用を防止することが可能です。

最初は、いちいちパスワードを入力するので大変ですが、使っているうちに慣れてきます。紛失・盗難のリスクを考え、辛抱しましょう!

参考:
Androidスマートフォンで画面ロック(自動ロック)を設定する方法 - モバレコ
https://mobareco.jp/a65907/

iPhoneロック画面のセキュリティを強化しよう | AppBank – iPhone, スマホのたのしみを見つけよう
http://www.appbank.net/2016/12/23/iphone-application/1292394.php


■対策2. 「ロックアプリ」を活用し、アプリ別にロックをかける

次に大事なのが、アプリの起動をロックできるアプリです。指定のアプリを起動しようとするとパスワードなどの入力が促され、第三者による不正な閲覧を防止できます。
Google関係のアプリ、Amazonなどの商品購入のアプリ、オンラインストレージなどのアプリには、この「アプリ起動をロックできる」アプリが必要です。これらのアプリを用いれば、手軽にアプリの起動を抑制できます。

私が使っているのは、シンプルな国産アプリ「隠したいアプリだけロック(アプリ金庫)」。大事なアプリだけを選択し、パスワードを設定し、設定したアプリがアプリ一覧の先頭に表示されるなど、シンプル イズ ベスト のアプリで良いですね。

以下のサイトで様々なアプリが紹介されていますので、自分好みのものを使って見て下さい。

 アプリ起動時にパスワードを求めるAndroid向け「ロックアプリ」7選 - CNET Japan
 http://japan.cnet.com/app/android/35058278/


上記の対策以外に、「SIMカードのロック設定」があり、SIMカードのロックを設定すると、事前に登録した「PIN」と呼ばれるコード入力を端末利用時に要求され、第三者の不正な通信利用を防ぐことができます。

なお、私は、この機能を利用しておらず、詳しい説明ができないので、「SIMカードのロック設定」については説明を省略します。申し訳ありません。


なお、紛失や盗難のリスク対策以外に、スマホの安全対策として、以下の対策も必要です。別な機会に詳しく紹介します。


(1) 信頼できる場所からアプリをインストールする


信頼できる場所とは、メーカーや携帯電話会社が用意する正規のアプリケーション・ストア(アプリ・ストア)です。

もし、信頼できない場所からアプリをインストールした場合、ウイルスの被害に会ったり、個人情報を盗まれたり、不正なサイトに誘導されたり、ワンクリック詐欺にあう危険性があります。

 中国のアプリストアで人気の「無料」アプリ、個人情報や金銭窃取の恐れ
 http://blog.trendmicro.co.jp/archives/11108


(2) 基本ソフトOS(Android、iOS)、アプリを最新版にする

パソコンのWindowsと同じように、古いバージョンのままで使用し続けると、不正アクセスや情報が盗み出される危険性があります。スマホの基本ソフトOS、ブラウザなどのアプリも、バージョンアップが必要です。


(3) セキュリティ対策アプリをインストールする

スマートフォンを狙うウイルスが増えています、パソコンと同じようにウイルス対策専用のアプリを利用することが大事です。パソコンと同じ機能を持ったスマートフォンにもウイルス対策ソフトは必須ですね。

なお、キャリアが独自に提供するセキュリティ対策サービスもあります。ドコモは「ドコモあんしんスキャン」、ソフトバンクモバイルは「スマートセキュリティ powered by McAfee」を提供。ドコモは無料、ソフトバンクは有料サービスです。KDDIはauスマートパス内で「ウイルスバスター」を提供しており、スマートパス会員なら誰でも利用できます。


参考情報:

 お子さまのスマホデビュー前に確認したいこと | 特集 | トレンドマイクロ is702
 http://www.is702.jp/special/1733/

 スマホの画面ロック、慎重に設定していますか? | トレンドマイクロ is702
 http://www.is702.jp/manga/1702/

 Androidのセキュリティを格段にアップするためにすぐやるべき4つのこと
 https://japan.norton.com/android-security-77



■ スマホの紛失・盗難時にすべきこと


以下のサイトで紹介されている”5ヶ条”に、”1ヶ条を追加”した内容を、簡単に紹介します。詳しくは、下記サイトを参照下さい。



 スマホ盗難・紛失時にすべき5ヶ条 | web R25
 http://r25.yahoo.co.jp/fushigi/wxr_detail/?id=20150210-00040556-r25&vos=str20130901001


① 「位置検索」で端末の現在地を探す

iPhoneであれば、標準機能のiCloudから「iPhoneを探す」を実行。Android端末の場合は、Googleの「Androidデバイスマネージャー」や、一部のセキュリティアプリを利用。

 紛失したAndroid端末の探知・データ消去ができるGoogleのWebサービス
 :Androidデバイスマネージャー《ビジネスで力を発揮! 使えるWebアプリ》
 http://pc.nikkeibp.co.jp/atcl/column/15/1147163/042000011/

 「Android デバイス マネージャー」の使い方:Android活用入門:第5回- @IT
 http://www.atmarkit.co.jp/ait/articles/1308/28/news110.html


② キャリアに紛失を伝える
紛失を確認したら、契約しているキャリアにスマホを失くしたことを伝え、回線の悪用を防ぐ。

③ おサイフケータイを解約する

悪用を防ぐためにはサービスの解約手続きを行う。

④ オンラインサービスのパスワードを変更する
Gmailなどのクラウドサービスのパスワードをはじめ、Twitter、Facebookなど、利用しているSNSなどのパスワード変更手続きを行おう。

⑤ 警察に遺失届を出す

最寄りの交番や警察署に足を運び、遺失届を提出する。

⑥ 必要であれば金融機関の口座を停止する

クレジットカードや銀行口座の情報をスマホに保存している場合、金融機関に連絡し口座を停止する


2015年3月18日水曜日

TwitterやFacebookのスパム投稿(迷惑な書き込み)に注意! 詐欺サイトに誘われる危険性

Twitterでは、ここ最近、ブランド品の激安通販サイトを宣伝するスパム投稿が、ここ最近、増えているそうです。極端な低価格で偽造品を販売しているサイトへ誘い出される危険性もあり、注意が必要です。

TwitterやFacebookのスパム投稿(迷惑な書き込み)には、偽造品サイトに誘導される危険のほか、ウイルス、スパイウェア、フィッシング詐欺などの危険なものに誘導される危険性も含んでいます。


なお、”スパム”というのは、”勝手に送られてくる迷惑なもの”という意味で、昔から良く言われるものに、”スパムメール”(迷惑メール)があります。この、”スパムメール”には、ウイルス、スパイウェア、フィッシング詐欺、振り込み詐欺などの危険が含まれています。

”スパムメール”(迷惑メール)は、以前から、”大変危険なもの”知られており、”無視して、何もせず、そのまま削除する”ことが基本になっています。

”スパム投稿(迷惑な書き込み)”はスパムメールと同じように大変危険ですので、”無視して、何もしない”ようにして下さい。

なお、ITmedia ニュースによると、ブランド品の激安通販サイトを宣伝するスパム投稿がここ最近Twitterで増えており、投稿する手口は、他社などから流出したパスワードを悪用したリスト型攻撃でアカウントを乗っ取り、持ち主の意図しないスパムを投稿しているようです。

 Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導?
  - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1501/26/news125.html


もし、自分の友人のアカウントが乗っ取られた場合、友人のアカウントで、危険なサイトに誘い出されるスパム投稿がくる場合があります。そのため、友人の投稿だからといって安心できません。

また、スパム投稿は、被害者になる可能性があるばかりでなく、自分のアカウントが乗っ取られた場合、加害者になる危険があるので注意が必要です。



■ TwitterやFacebookのスパム投稿への対策

フォローしている友人のアカウントから疑わしい投稿があった場合は、安易にリンクなどをクリックしないことが大事です。

さらに、友人に知らせて、パスワード変更などの対策を求めるなど、被害の拡大を防ぐことも必要ですね。

もし、自分のアカウントからスパムツイートが見つかった場合は、パスワードの変更、連携アプリの見直し、ツイートを削除するといった対策が必要です。

なお、パスワードについては、以下の対策を実施することが大事です。

 ①パスワードは、英字の小文字・大文字、数字、記号を混合させ、8桁以上にする
 ②パスワードを定期的に変更する
 ③同じID、パスワードを複数のサービスで使わない

  インターネット安全教室: 簡単なパスワードは危険!! パスワードの作り方
  http://lifesecurityup.blogspot.com/2014/06/blog-post_22.html

なお、Twitter Japanは「Twitterを安心してご利用いただくために、10文字以上の大/小文字/数字/記号を混在させた、他のサービスへのログインとは異なるパスワードをおすすめします」と案内しています。


参考情報:

 「レイバン激安」Twitter乗っ取りでスパム送信、勢い衰えず 有名人も被害に
 - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1503/06/news112.html


 Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導?
  - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1501/26/news125.html



■ (パスワード)リスト攻撃とは  同じパスワードを複数サイトで使い回すと危険!!

(パスワード)リスト攻撃とは、別のサービスやシステムから盗んだID・パスワードを用いて不正にログインを試みる攻撃手法です。

何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて、様々なサイトに不正なログインを試みます。

そのため、複雑なパスワードを使っていても、同じパスワードを複数のサイトで使っていると、不正に利用される危険性が高まります。


例えば、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正ログインするというものです。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

対策は、

 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

大事になってきました。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。なお、2段階認証を一度設定すれば、次からは入力が不要なので、面倒なのは最初だけです。

次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html



2015年3月17日火曜日

日本人観光客、公衆無線LAN利用時のセキュリティ意識が甘い結果に その対策とは

総務省は3月16日、観光客を対象に実施した公衆無線LANのセキュリティ意識に関する調査の結果を公表。日本人は外国人に比べてセキュリティ対策をしていないことが分かりました。

「観光地で利用するインターネット接続手段」として、外国人の48.8%、日本人の78.5%が、無料公衆無線LANを利用していましたが、脅威への対策については、実施率が低く、特に日本人においては48.6%が対策が未実施でした。

 総務省|公衆無線LAN利用に関する情報セキュリティ意識調査結果
 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000091.html


カフェ、コンビニ、駅・空港内など、公衆無線LANスポットが増加していますが、完全に安全とは言えません。

無線LANには、「暗号化されている」ものと「暗号化されていない」ものがあり、「暗号化されていない」場合、通信が丸見えの可能性があり、注意が必要です。


なお、暗号化されている無線LANの場合、アクセスポイントの設定には、以下の項目があります。もし、無線LAN接続時に、何も入力せずに接続できたら、暗号化されていない無線LANであり、注意が必要です。

  ・SSID(ネットワーク名)
    ・セキュリティの種類/暗号化の種類
    ・セキュリティキー(暗号化キー)

暗号化されていない無線LANでは、通信が丸見えで、情報が盗まれる可能性があり、ID、パスワードが必要なホームページへのアクセスは避けた方が無難です。


なお、スマホの場合は、常にWi-Fiをオンにしているのは危険です。

スマホ端末が勝手にキャリアのWi-Fiスポット等を探して自動接続してしまうので、気付かないうちに、安全でない通信を行っている場合があります。外を移動する場合はWi-Fiをオフにして、必要なときだけオンにするのが良いですね。



総務省では、無線LANを安全に利用するための基本的な対策として、以下の3点を挙げています。

1.アクセスポイントのSSIDを確認し、意図したアクセスポイントに接続しているか確かめるとともに、知らないアクセスポイントには接続しないようにする。

2.アクセスポイントがWPA2等の適切な暗号化方式に対応しているか確認する。

3.ID、パスワードやクレジットカード番号等の大事な情報を入力する際はSSLを利用しているサイトか確認する(URLが「https://」とhttpに"s"が付いていれば、SSL利用で安全)。


詳しくは下記を参照下さい。

 利用者向け無線LANマニュアル
 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/cmn/wi-fi/Wi-Fi_manual_for_Users.pdf




■ 無線LANの安全対策(セキュリティ) 「WEP」「WPA」「WPA2」


無線LANは、通信を無線で行うため、傍受される危険性が高いので、通信される情報を適切に保護する必要があり、そのために、暗号化方式として、「WEP」「WPA」「WPA2」があります。

安全性から言えば、以下のようになります。「WEP」は暗号化方式としては最も古く、解読される危険性が高いので、出来るだけ「WPA2」方式を利用して下さい。

  ” WEP ≪ WPA < WPA2 ”


WPA2として「WPA2-TKIP」「WPA2-AES」がありますが、強力な暗号化アルゴリズムであるAES を使う「WPA2-AES」が最も安全です。


■WEP・・・暗号化の鍵が固定されており時間をかければ解析される危険性有り

■WPA・・・WEPの強化版となる暗号化方式

■WPA2・・・WPA2は WPAの後継規格で、AESの採用が義務化され2004年に標準化

WPAの改良版であるWPA2では、より強力な暗号技術であるAESを採用しているため、WEPやWPAの欠点が全て解消されています。




■ 安全なホームページは、SSLという暗号化の仕組みを活用
■  URLが「https://」とhttpに"s"が付く


インターネットのホームページをみるときに、ブラウザのURL表示を確認していますか?

信頼のおけるページでは

  ①アドレスバーに南京錠(鍵)マークがつき、
  ②URLが”https”(httpに”s”が付く)になっています。


下記の画像は、Amazonのレジに進むページ、楽天トラベルの予約状況に進むページの例です。

  ①南京錠(鍵)マークがつき、②URLが”https”になっています。






これは、SSLという暗号化の仕組みを使っており、ホームページを表示したり、個人情報を入力したとき、「データのやり取りが暗号化されており、安全ですよ」という意味です。また、ホームページを運営している会社を証明しています。

アマゾンなどの個人情報を扱う、オンラインショッピングでは、必ず、”URL”は、 ”https://”と httpに”s”が付いていることを確認してください。

なお、オンラインバンキングなどの更に重要なホームページの場合は、この”https://”に加え、アドレスバーが緑色になっていることを確認してください。これは、企業の実在性確認などの認証方法を厳格にした「EV SSL証明書」になっていることを示しています。

詳しい内容を以下のブログで紹介しています、参考にしてください。

 インターネット安全教室
 http://lifesecurityup.blogspot.com/2014/08/urlhttps.html

2015年3月16日月曜日

無料・大容量のWebメールとは? お勧めのWebメールとは?

GmailなどのWebブラウザで使える無料の「Webメール」、パソコンばかりでなくスマホでも使え、無料で大容量(10GB以上)、更にカレンダーなどのサービスとも連携していて、個人情報管理に本当に便利です。

これまでプロバイダーのメールアドレスがメインだったものが、GmailなどのWebメールをメインに使う人も多数出てきました。今回は、この”Webメール”について 使用時の注意事項、代表的な”Webメール”についても紹介します。

今のWebメールは、パソコンのメールソフトと同等以上の操作性を持ち、無料で使えるメールサイズも10GB以上と大容量で、迷惑メールの自動判断、セキュリティ対策も進んでいます。

しかし、Webメールは全てのメールをインターネットの中のコンピュータに保存するので、信頼のおけるメーカー提供のWebメールを使うことが大事です。

私が数年使ってきて、安心して使え、操作性も良く、パソコン・スマホで使える、代表的なWebメールは以下ですね。



  Google提供    ・・・「Gmail」
  マイクロソフト提供・・・「Outlook.com」
  Yahoo!提供    ・・・「 Yahoo!メール」
 

(注)Yahoo!メール 操作はシンプルなので初心者には使いやすいですが、2014年、2015年、連続で大トラブル発生していますので、信頼性という意味では少々?です。
  
 

これらのWebメールは、他のWebサービス(カレンダー、オンラインストレージなど)との連携もでき、便利です。

この”Webメール”とは、簡単にいうと、

「ブラウザで使うメールソフトで、メールデータはインターネット(のサーバ)の中に保管される」

ということになります。Webメールを簡単に図で表現しました。



Webメール、以前は無料で誰でも使えるので、これまではインターネットが好きな人が使う、少々マイナーなツールでした。メールはパソコンはプロバイダー提供のメール、携帯(スマホ)では携帯会社独自のメールが主流でした。

しかし、スマホが普及し、自宅でも外出時も、パソコンでもスマホでも、メールを見ようとすると、やはりWebメールの方が便利です。



■ Webメールとメールソフトとの違い


「Webメール」とプロバイダーのメールを利用するパソコンの「メールソフト」との違いを、簡単にまとめると以下になります。
 


(1) Webメールの特徴

  ・簡単な無料会員登録をすれば利用可能

  ・ブラウザでサービス提供のホームページを通じて利用

  ・メールデータ・アドレス帳の保管は、インターネットのコンピュータの中

  ・スマホ・携帯からでも利用可能

(2) メールソフトの特徴 *従来のメールソフト

  ・インターネット・プロバイダからメールアドレスを入手して開始

  ・パソコンにソフトをインストールして利用

  ・メールデータ・アドレス帳の保管はパソコンの中

  ・パソコン専用のソフトであり、スマホ・携帯からは利用不可






■ メールソフトからWebメールの時代へ、Webメールの特徴は?



(1) ユーザ登録するだけで、”無料”で利用することができる

(2) 専用のメールソフトが不要

(2) ブラウザから、特定の(Webメール)ホームページにログインして使う

(3) メールデータは、パソコンの中ではなく、インターネットの中に保存される

(4) パソコンに加え、スマホ・携帯電話からでも使える

(5) 迷惑メールは自動判断して排除する

(6) ウイルス駆除まで実施してくれる、Webメールサービスもある

の特徴があります。

”Webメール”、次々と機能アップがされ、無料で使えるメール容量も数GBと大きく、迷惑メール対策も備え、スマホ・携帯からでも利用できるなど、使い勝手も大幅に改善されています。



■ 代表的な”Webメール” 「Gmail」、「Outlook.com」、Yahoo!メール


これらは、私が数年使ってみて、お勧めの無料のWebメールサービスです。

いずれも大手の企業の提供で、継続的に機能アップが実施されており、安心して利用できます。また、スマホのアプリも操作性も良く、安定して利用できます。

なお、Webメールを使うには、該当のホームページで登録し、アカウント(ユーザID)を入手し利用します(無料)。


個人的には、メール表示、検索などの動作が早く、表示も見やすい、Gmailがお勧めですね。なお、Android(アンドロイド)スマホを持っている人には、Gmailは必須なアプリだと思います。


(1) Gmail  :検索エンジンGoogleの無料Webメール

   http://www.google.com/intl/ja/mail/help/about.html


(2) Outlook.com (旧)Windows Live Hotmail :Microsiftの無料Webメール

   http://www.microsoft.com/ja-jp/outlook-com/



(3) Yahoo!メール :検索エンジンYahoo!の無料Webメール

   http://promo.mail.yahoo.co.jp/



また、上記サービスのメール容量も、(2015年3月時点で)以下のように大きいため、長期間、不自由なく利用することができます。


 Gmailが15GB(Gmail、Google ドライブ、Google+ フォトの合計)

 Outlook.comは実質上、無制限(必要に応じて自動追加)

 Yahoo!メールが10GB



■ ”Webメール”使用時の注意事項


”Webメール”を使う場合に、私が注意している事項を以下に紹介します。


(1) 急にサービスが停止する場合があるため、出来るだけ多くの人が利用し評判の良い大手提供のサービスを使用する。


*「Gmail」、「Outlook.com」、 Yahoo!メールであれば、安心して利用できます。


(2) メール内容は、インターネットのサーバに残るので、クレジットカード番号などの重要な個人情報のメールのやり取りは避ける。


(3) 数カ月連続して利用しないと、メールデータ、アドレス帳が削除されます、必ず有効期限を確認しましょう。


(4) 迷惑メールは自動的に判別してくれるますが、時々、間違って迷惑メールと判断される場合があるので、定期的(できれば週1回)に迷惑メールを入れるフォルダーを確認しましょう。

*大事なメールが迷惑フォルダーに入って困ったことが、私にも何回か経験あります。「Gmail」、「Outlook.com」、 Yahoo!メール含め、迷惑メールを完全に判断できません。


(5) 完璧なWebサービスはありません、利用できないトラブルが発生し利用できない場合を予想し、複数の”Webメール”サービスを利用しましょう。


(6) 共用のパソコンでは利用しない、ブラウザの履歴から他人に使われる可能性があります。



■ 《補足》メールエイリアス(別名)を使おう



Webメールにある機能で、便利なのが「メールエイリアス」、エイリアスは別名を意味します。ひとつのアカウントで、複数のメールアドレスを持つことができる機能です。

複数のメールアドレスを持つことで、通常はメインのメールアドレスを使い、インターネット・サービスなどに一時的に使う場合は、エイリアスのメールアドレスを使うと便利です。

なお、Gmailのエイリアスは元のメールアドレスが分かるので、Outlook.com、 Yahoo!メールの方が使い勝手は良いですね。


■Gmailの場合

Gmailで取得したメールアドレスが username@gmail.com だった場合、username の後に「+」を付けた上で任意の文字列を追加して使用することができます。「+」の後は任意の文字列をつけることができますので、事実上無制限に別のアドレスを作成できることになります。

 詳しくは下記を参照下さい。
 https://support.google.com/mail/answer/12096?hl=ja

■outlook.comの場合
作成できる新しいエイリアスは、1年間に10個まで、全体で最大10 個です。1つのエイリアスを削除すると、全体数からは差し引かれますが、年間の制限数からは差し引かれません。

 詳しくは下記を参照下さい。
 http://windows.microsoft.com/ja-jp/windows/outlook/add-alias-account

■Yahoo!メールの場合(セーフティーアドレス)
作成できる新しいエイリアス(セーフティーアドレス)は、同時に最大10個、Yahoo! BB会員、セキュリティーパック購入者の場合は最大30個まで設定できます。なお、最大個数を超えなければ、追加や削除の回数は無制限です。

 詳しくは下記を参照下さい。
 http://www.yahoo-help.jp/app/answers/detail/a_id/47930/p/622

2015年3月15日日曜日

インターネット通販の偽サイトが相次いで発見! 激安商品の偽サイトに要注意

インターネット通販の偽サイトが相次いで見つかっています、注意下さい。

国民生活センターによると、ネット通販で代金を支払ったのに商品が届かないとの相談は5年前の約20倍に達しており、「安売りサイトは疑ってほしい」と注意を呼びかけているそうです。詳しくは、下記サイト参照下さい。

 安売り偽サイト:急増 企業情報未掲載は注意 - 毎日新聞
 http://mainichi.jp/select/news/20150315k0000m040122000c.html


目的は、安値をアピールして購入代金をだまし取ったり、購入手続きの際に入力させたIDやパスワードなどの個人情報を盗んだりするのが狙い。また、楽天では「検索サイトで激安商品を探すと偽サイトにたどりつく恐れがある」と注意を呼びかけているそうです。

私の家族も、よくインターネット通販で服などを買っているので、家族には注意しました。皆さんもぜひ、家族の方に忠告してください。



■ インターネット通販にだまされない方法


下記サイトを参考に、まとめてみました。下記サイトには、他の方法も紹介されています。

  ココを見れば偽通販にダマされない! 商品届かない詐欺サイトの見分け方 - Let's Emu!
  http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/shopping-fraud.htm



(1) 危険なサイトの特徴 その1
   法律で書くことが義務になってる、①会社名、②責任者の氏名、➂所在地、④電話番号
   の情報が見当たらない


(2) 危険なサイトの特徴 その2

  ・ユーザー名やパスワードを入力してログイン・サインインするページ
  ・会員登録したり、発送先となる氏名や住所を入力するページ

   にアクセスしたとき、ブラウザの上部にある
     ①アドレスバーに南京錠(鍵)マークが無く
     ②URLが”http”のまま(”https”になっていない)

   信頼のおけるページでは
     ①アドレスバーに南京錠(鍵)マークがつき、
     ②URLが”https”になっています。


  下記の画像は、Amazonのレジに進むページ、楽天トラベルの予約状況に進むページの例です。
   ①南京錠(鍵)マークがつき、②URLが”https”になっています。




(3) 危険なサイトの特徴 その3

       連絡先にウェブメールのアドレスをのせてる場合も注意が必要です

   名のある企業が運営する通販サイトが、無料のウェブメールアドレスを使うことは
   ありえないからです




■ 安全なホームページは、URLが違います!! 「https://」とhttpに"s"が付く

通常、”URL”は、 ”http://” ですが ”https://” (httpに”s”が付く)になっているときがあります。

これは、インターネットとの情報が暗号化され盗聴されても安全で、また、ホームページを運営している会社を証明するものです。

Amazonなどの個人情報を扱う、オンラインショッピングでは、必ず、”URL”は、 ”https://”と ”http”に”s”が付いていることを確認してください。

なお、オンラインバンキングなどの更に重要なホームページの場合は、この”https://”に加え、アドレスバーが緑色になっていることを確認してください。これは、企業の実在性確認などの認証方法を厳格にした「EV SSL証明書」になっていることを示しています。

詳しい内容を以下のブログで紹介しています、参考にしてください。

 インターネット安全教室
 http://lifesecurityup.blogspot.com/2014/08/urlhttps.html


SNSでは他人と比べない Facdebook投稿は友人をリスト分けして投稿しよう!

Facebookをやっていると、友人の楽しい投稿を見ていて、「あーいいなあ」とか「うらやましいなあ~」と、ついつい思ってしまうことがあります。

私は、会社を早期退職後、Facebookで会社の友人の投稿をみて、正直、うらやましいと何度も思い、ついつい、「こんな投稿しなければいいのに」、「この友人とのつながり止めようかな」と思うことがありました。

あげくの果ては、Facebookでの投稿をしばらく止めてしまいましたが、頭の中では、自分の行動が何か変だなあと感じていました。

ところが、最近みた記事の中に、私の疑問を解決してくれるものがあってので、以下に紹介します。「SNSの投稿は、他人の名場面集と自分のNG集を比べてしまう」まったくその通りです。


 SNSは「成功劇場」。他人と自分を比べるのは、もうやめよう。| ライフハッカー[日本版]
 http://www.lifehacker.jp/2015/03/150314dont_confuse_enviability.html


『SNSの投稿は、投稿者によって計算されたイメージ』(上記サイトより引用)

『SNSで目にする出来事は、「投稿者が見せたいこと」だけです。』(上記サイトより引用)

『その結果、他人の名場面集と自分のNG集を比べてしまうことになるのです。』(上記サイトより引用)


なお、Facebookでの投稿は、全ての友人に投稿するより、”家族”、”会社の友人”、”大学の友人”などと、友人をリスト分けして投稿した方がよいですね。

私は、Facebookの投稿は、投稿をする際にリストを選択して投稿しています。同じ投稿が全ての友人に関係することは、ほとんど無いからです。

友人をリスト分けする方法、多少面倒ですが、以下にその手順が紹介されています。

 友達をリストで分ける方法(PCのみ可) - Facebook navi[フェイスブックナビ]

 http://f-navigation.jp/manual/findfriend/makelist.html


友達をリストで分類すると便利です。プライベートな友達にだけ連絡したり、仕事関係の知り合いにだけ情報を公開したりといった使い分けができます。

近況を投稿をする際にリストを選択すれば、そのリストに含まれる友達だけに投稿を公開することができます。

2015年3月14日土曜日

インターネットバンキングの危険はますます巧妙に! MITB攻撃、トロイの木馬とは? その対策とは?

最近、良く話題になるインターネットバンキングの危険、セキュリティ対策ソフトの大手、シマンテックの下記公式ブログで、攻撃者が最新のセキュリティ対策を回避し始めたことで、依然として多くの脅威が広がっていると注意を呼びかけています。

 金融機関を狙うトロイの木馬の 2014 年における概況 | Symantec Connect コミュニティ
 http://www.symantec.com/connect/ja/blogs/2014-53

このブログによると、スイスで起きた事件では、犯罪グループが被害者 1 人から 100 万米ドル以上を盗んでポーランドと中国の口座に送金。また、犯罪グループが銀行をハッキングして取引を実行したうえ、ATM の設定を変更して現金を引き出すという手口で3億米ドル以上を盗み出した例もあるそうです。



今回は、インターネットバンキングの攻撃で良く聞かれる言葉、「MITB攻撃」、「トロイの木馬」及び、その対策について、今一度考えてみたいと思います。

なお、インターネットバンキングのセキュリティ対策として、様々な言われていますが、基本は

 ①「セキュリティ対策ソフト」を活用し、
 ②セキュリティ対策ソフトとウイルスパターンを最新版に常に更新し、
 ③WindowsなどのOSとソフト(アプリ)を最新版に常に更新

することです。


セキュリティ対策ソフトとしては、昔から使われ有名な、セキュリティソフト、ノートン(Norton)、ウイルスバスター、マカフィー(McAfee)のセキュリティ対策ソフトが安心して利用できます。なお、下記サイトで様々なセキュリティソフトが比較されています。なかなか素晴らしいサイトです。

 セキュリティソフトの比較表 2015 - the比較
 http://thehikaku.net/security/hikaku.html

なお、セキュリティ対策ソフトの利用方法については、以下のブログにまとめています。参考にして下さい。

 インターネット安全教室: ウイルス対策は保険と同じ、
     ウイルス対策ソフトの選ぶ方・付き合い方とは?
 http://lifesecurityup.blogspot.com/2014/02/blog-post_16.html



■ インターネットバンキングのセキュリティ対策の基本


 金融機関を狙うトロイの木馬の 2014 年における概況 | Symantec Connect コミュニティ
 http://www.symantec.com/connect/ja/blogs/2014-53

上記のシマンテック公式ブログでは、オンラインバンキングの危険を防ぐ対策として、以下を勧めています。

この中で、特に大事なのは、(2)、(5)、(7)ですね。まとめると次のようになります。

 ・ウイルス対策ソフト(セキュリティ対策ソフト)を活用し、
 ・ウイルス対策ソフトとそのウイルスパターンを最新版に更新して
 ・OSとソフト(アプリ)も常に最新の状態にして、
 ・オンラインバンキングを利用したらログアウトし、そのホームページを閉じて、
 ・取引明細を定期的にチェックする


  (1) 迷惑メールや身に覚えのない不審な電子メールが届いたら警戒する
 ★(2) ウイルス対策ソフトウェアとオペレーティングシステムを常に最新の状態に保つ
   (3) 二要素認証などの高度なアカウントセキュリティ機能を利用できる場合は有効にする
   (4) すべてのアカウントに強力なパスワードを設定する
  ★(5) オンラインバンキングセッションが完了したら必ずログアウトする
   (6) アカウントへのログイン通知を利用できる場合は有効にする
  ★(7) 銀行の取引明細を定期的にチェックして不審な取引がないか確認する
   (8) 金融機関のサービスを利用しているときに不審な動作があった場合は金融機関に報告する



■ MITB(マン・イン・ザ・ブラウザー)攻撃とは


2009年10月20日の日立ソリューションズの情報セキュリティブログ
で「MITB攻撃」が説明されていました。この記事は、4年前の記事ですが、この当時から「MITB攻撃」の危険があると警告されています。

  MITB(マン・イン・ザ・ブラウザー)攻撃とは
  http://securityblog.jp/words/790.html

『MITB攻撃とは、悪意の攻撃者がユーザーのPCにトロイの木馬などのマルウェアを侵入させて通信を監視し、オンラインバンクにログインされた後の通信を乗っ取り、ユーザーの預金を盗み取る攻撃』(上記サイトから引用)

  MITB攻撃はトロイの木馬などの危険なソフト(マルウェア)を進入させて
 
  ユーザーの預金を盗み取る攻撃

というように説明されています。


 ・マルウェアとは、悪意のあるソフト
   一般的に、ウイルス、スパイウェアなど被害を与える悪質なソフト全般を指します。

 ・トロイの木馬
   ウイルスの一種で、有用なソフトを装って、利用者の意図しない不正動作を行なう



■ 金融機関(ネット銀行)を狙う「トロイの木馬」とは


”ウイルス”を、細分化して、”ウイルス(狭義)”、”ワーム”、”トロイの木馬”という3つのタイプに分けて説明することがあります。

(1) ウイルス(狭義)・・・他のソフト・データに寄生し、自分自身を増殖する不正ソフト

(2) ワーム・・・単独で行動するソフトで、ネットワークを介してほかのコンピュータに侵入し、自己複製を行い増殖する不正ソフト。

(3) トロイの木馬・・・有用なソフトを装って、利用者の意図しない不正動作を行なう

「トロイの木馬」は、ギリシア神話に登場する装置で、戦争で使用され、中に人が隠れることができるようになっていたことから、このように名前が付けられました。


金融機関(ネット銀行)を狙う「トロイの木馬」は、主にインターネット上で販売されている生成ツールを利用して作成され、メールの添付ファイルや水飲み場型攻撃によって利用者に送り込まれます。

なお、「水飲み場型攻撃」とは、ユーザーがアクセスしそうなウェブサイトを改悪し攻撃を埋め込み、別サイトに仕込んだマルウエアをダウンロードさせ感染させるものです。あたかも“水飲み場で獲物を待ち伏せる”ような攻撃です。


なお、トロイの木馬を含む、”ウイルス”は基本的にセキュリティソフトを活用し、ウイルスパターンを最新版に更新していれば、基本的に防ぐことができます。


『「トロイの木馬」はメールの添付ファイルや脆弱性のあるウェブサイトの閲覧などから感染する。こうした攻撃は、最新のセキュリティ対策ソフトを適切に利用していれば、防止できることがほとんどだ。』(下記サイトから引用)

 オンラインバンキングを狙うトロイの木馬、その手口と対策 - トレンド解説
 http://itpro.nikkeibp.co.jp/article/ESI/20140403/548162/

2015年3月13日金曜日

スマホのアプリ、最新版にしていますか? Androidアプリも最新版に更新しないと危険です!

パソコンのセキュリティ対策では、WindowsなどのOS、Officeソフト、ブラウザ、メールソフト、Adobe Reader、FlashPlayerなどのアプリを最新版にすることが基本になっていますが、スマホでもアプリを最新版に更新することが必要な時代になりました。

実は、AndroidアプリのDropboxと連携させるための「Dropbox SDK」に深刻な脆弱性(ソフトの不具合)が見つかりました。Dropboxと連携するAndroidアプリから情報流出の恐れがあるそうです。

「Microsoft Office Mobile」やパスワード管理アプリの「1Password」で検証し、ユーザーの情報や保存した文書、パスワードなどが攻撃者のアカウントに流出する恐れがあることを確認したそうです(いずれのアプリも修正した更新版が既にGoogle Playで公開中)。

 2015年03月12日
 Dropbox SDKに深刻な脆弱性、連携のAndroidアプリから情報流出の恐れ
  - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/12/news041.html



Dropbox自体のアプリでは脆弱性のあるSDKコードが呼び出されないことから、Dropboxアプリについては、問題がなさそうです。


なお、情報処理推進機構(IPA)は、2014年第4四半期における脆弱性の登録状況を取りまとめた結果、同四半期は、JVNにAndroidアプリの脆弱性情報が多数登録されたそうです。

 2014年4Qの脆弱性登録は3072件 - Androidアプリが1200件超:Security NEXT
 http://www.security-next.com/055486


Androidアプリの脆弱性情報が多数登録されたのは、SSL証明書の検証処理に不備がある脆弱性があるとして、1200件を超えるAndroidアプリの脆弱性関連情報が登録されたことに起因しています。

SSL証明書の検証処理に不備がある脆弱性の中には、人気のある「Outlook.com」、「Kindle」のAndroidアプリもあります。

 2014/07/30
 Outlook.comのAndroidアプリに脆弱性 - JPCERT/CC | マイナビニュース
 http://news.mynavi.jp/news/2014/07/30/360/

 2014年9月1日
 Android版アプリ「Kindle」に暗号通信の盗聴などが行われる脆弱性(JVN)
  | ScanNetSecurity (脅威、セキュリティホール・脆弱性のニュース)
 http://scan.netsecurity.ne.jp/article/2014/09/01/34756.html



■ よく使われる 「脆弱性(ぜいじゃくせい)」 「セキュリティホール」 「バグ」 とは?


IT用語の中には、難しい日本語がありますが、それが、この「脆弱性(ぜいじゃくせい)」という言葉。インターネットで何か危ない事件が起きると、必ずといっていいほど、この「脆弱性」という言葉が出てきます。

同じ意味の言葉に「セキュリティホール」、「バグ」というのがあります。これも、なかなか分かりづらい言葉ですが、安心してインターネットを使う上で大事なIT用語です。

なお、これらの用語を考える上で、大事な点があります。

   それは、「完璧なソフトは無い」ということです。

実は、「ソフトは100%正しいことが証明できない」と言われています。

つまり、「100%正しいソフトは無い」、「ソフトには不具合(欠陥)が必ずある」ということです。これが、「脆弱性」、「セキュリティホール」、「バグ」につながります。

   この3つの言葉、全て「不具合」のことと考えたら良いです。
   

簡単にまとめると次のようになります。


・脆弱性(ぜいじゃくせい)・・・不具合(欠陥)のこと。

・セキュリティホール(security hole)・・・セキュリティ上の穴、つまり「不具合(欠陥)」のこと。

・バグ (bug)・・・英語で「虫」の意味で「不具合(欠陥)」のこと。




■「脆弱性」とは

「脆弱性」とは、”脆く、傷つきやすいこと”ですが、攻撃に対して弱いこと、弱点を意味し、コンピュータの世界では、「不具合(欠陥)」と考えて良いです。

パソコンの中には、OS(これもソフトの一つ)、Office、ブラウザ、メール、PDFリーダ、Flashプレイヤーなど多くのソフトがありますが、インターネットでは、これらのソフトの「脆弱性」つまり、「不具合(欠陥)」が狙われます。

攻撃は、ソフトが扱うデータ、例えばPDFデータに、PDFソフトの「不具合(欠陥)」を利用した仕組みを入れて、ウイルスなどに感染するようにします。

この悪さが入ったPDFデータをPDFソフトで読むと、正しく処理を出来ず、ウイルスに感染します。戸締りの悪い所から侵入する泥棒みたいですね。


■「セキュリティホール(security hole)」とは

「セキュリティホール」は、セキュリティ上の穴(安全上の穴)、「不具合(欠陥)」で、「脆弱性」と同じ意味です。

一般的に、ウイルスなどの攻撃は弱いところ、つまり、セキュリティホールを狙ってきます。そのため、パソコンを安全に使うためには、コンピュータにあるセキュリティホール(侵入する穴)をふさがないといけません。


■「バグ (bug)」とは

「バグ 」は英語で「虫」の意味で、「不具合(欠陥)」のことです(主にソフトウェアの欠陥)。実は、1940年代、コンピュータを開発していた頃、コンピュータの中に「虫」が入り込み、コンピュータが動かなくなったことから、「不具合(欠陥)」のことを「虫(バグ)」と言うようになりました。

電子メールを上手に活用しましょう 電子メールのエチケット(ネチケット)とは?

インターネットが普及した今、相手との連絡に、電子メールは欠かせない道具になりました。しかし電子メールは、使い方にも注意しないと、思わぬ落とし穴があります。普段の会話ではなんでもないことが、電子メールだと誤解をまねくこともあり、また、電子メールを悪用したウイルスや詐欺(フィッシング詐欺)などもありので、注意が必要です。

なお、利用者が守るべき基本的なモラルやマナーのことを、インターネットの世界では、「ネチケット」(netiquette)と呼ばれています。ネットワーク(network)とエチケット(etiquette)の合成語です。

今回は、電子メールのエチケット(ネチケット)に関して、昔から有名な「ネチケットガイドライン」をもとに、まとめてみましたので、参考にして下さい。

なお、参考にした「ネチケットガイドライン」は、1995年、今から15年以上も前に書かれたものですが、電子メールの使い方など、今でも通用する内容が多くあり、驚きます。

技術が進歩し、中には古い内容もありますが、今でも充分注意する内容が多々あります。時代が変わっても、守るべき基本的なことは変わらないことがよく分かりますね。

  「ネチケットガイドライン」   サリー・ハンブリッジ著
    1995年10月 高橋邦夫訳 1996年2月2日
   http://www.cgh.ed.jp/netiquette/rfc1855j.html



■ 電子メールのエチケット(ネチケット) *夢一灯編


上記の「ネチケットガイドライン」の電子メールの解説部分を参考に、最新の内容を加味して、電子メールを使うときの注意すべき点をまとめてみました。


(1) 電子メールは万能ではありません。電話なども有効に活用しましょう。

電子メールの内容で、言いたいことを正確には伝えるのは、特に難しい場合があります。緊急に連絡が必要な場合、メールだと感情的になるような場合等は、電子メール以外の手段(電話、直接会う 等)を利用しましょう。


(2) インターネット上のメールは安全ではありません。

インターネットでのメールは盗聴の危険性や、メールが悪用される危険性があります。クレジットカード番号、パスワードなど他人に知られたくない個人情報や非公開情報などは決してメールに含めてはいけません。


(3) 不審なメールは「無視」が大原則、絶対に返信しないことが大事です。

迷惑メールは、「SPAMメール(スパムメール)」や「ジャンクメール」とも呼ばれています。簡単に言えば、”要求していないのに、一方的に送られてくるメール”です。返信するとメールアドレスが本物と分かり、それ以降、迷惑メールの餌食になります。


(4) 返信はなるべく早く必ず出すようにして、基本的に送信者のみに返信しましょう。

送信した人は、本当に届いたか不安になっている場合もあります。メールを受信したらなるべく早く返信するようにしましょう。もし、返信が遅れる場合は、その旨をまず連絡しましょう。

返信は基本的に送信者のみに返信することが原則です。必要な場合を除き、全員に返信することは基本的に避けるようにしましょう。


(5) 送信する内容には慎重になり、感情的なメールは避けましょう。

電子メールで感情的な応答をしたい時は、すぐに送信せず、しばらく時間をおき、冷静になるまでしばらく待ちましょう。

たとえ挑発されても、激情的なメッセージを送ってはいけません。送信したら、メールは訂正も削除もできません。送信した後、悔やまないよう、感情的なメールは避けましょう。


(6) 受信するメールの内容には寛大になりましょう。

相手は自分とは違う価値観を持っています。また、文章では相手の本当の言いたいことが分から無い場合もあります。受信するメールの内容には寛大になり、冷静に受け止めましょう。


(7)虚偽の情報には注意すると共に、虚偽の情報を流さないようにしましょう。

メール内容は全て真実とは限りません。メールには偽りや、ごまかす内容が入っているかもしれません。あるメッセージが本物だと思い込む前に、常識の「現実性チェック」を適用しましょう。


(8) メール作成時は、文化、言語、ユーモアの基準が違うことを考慮に入れましょう。

相手は、文化、言語、ユーモアの基準があなた自身とは異なっている人間であることを忘れず、表現には注意をしましょう。


(9) 他人の文章を許可なくメールで流したりしないようにしましょう。

他人の文章を、関連する部分だけ引用する場合は、引用元を明示し、著作権を尊重しましょう。

注意!! 他人の文章を引用する場合

自分のオリジナルの文章が多くを占め、自分の文章の説明や補強として、他人の文章を利用する(引いてくる)というのが引用する場合の基本です。

以下に、著作権法を参考に、引用時の注意事項を示します。

(a)他人の文章を引用する必然性があること。
(b)かぎ括弧をつけるなど,自分の文章と引用部分とが区別されていること。
(3)自分の文章と引用する文章との主従関係が明確であること(自分の著作物が主体)。
(4)出所(出典)の明示がなされていること(引用部分の作者名・作品名、ホームページのURL等)。


(10) 受け取る相手に対する気配りを心がけましょう。

あなたが誰であるか他人に確実にわかるようにするため、メールの終わりに1行か2行の連絡先情報を入れましょう。インターネット用語では、「署名(シグネチャ)」として知られています。これは名刺の代わりになります。


(11) メールの送信先は間違えないように注意し、送信前に必ず今一度確認しましょう。

送信するメールアドレスを間違うと大変な事になります。仲間に送信するのを間違って上司に送信したり、誤って会社の機密情報を他社の人にメールすると大変です。送信前に、必ずメールの送信先を今一度確認する習慣をつけましょう。


(12) 送信先の区別(TO、CC、BCC)を使い分けましょう。

意外に間違いが多いのが、送信先の区別(TO、CC、BCC)の間違いです。

   TO :メールを読んで、何かをしてもらいたい人
   CC :参考に読んでほしい人(carbon copy)
   BCC :他の送信先を見せずに同じ内容を送る場合の宛先
                (blind carbon copy)

BCCに指定したアドレスは、メールのヘッダーには記載されず、結果的に、アドレスを隠して送ることができるので、無関係な複数の人に送信する場合などに使用します。

注意!! BCCを使う時、BCCのみを使用し、同時にTO、CCを使用しない!!

BCCどおしであれば、相手のアドレスは見えませんが、同時にTO、CCを使用すると、やっかいな問題が生じます。

TO、CCの宛先には、BCCの宛先は見えません。しかし、BCCの宛先には、TOとCCの宛先は見えています。

そのため、BCCで受信した人が「全員返信」で送信すると、TO、CCの人にも返信されてしまい(BCCの人には返信されません)、BCCで送信したことがバレ、問題になります。


BCCを受信した人が全員返信する場合があり、この場合はTOとCCの人にも送信されるので、BCCを使うとき、同時にTO、CCを使うことは避けた方が無難です。


(13)ウイルス対策は必ず実施しましょう。

ウイルスは、メールを媒体にして広がっていくのが殆どです。メールを使用する場合、ウイルス対策は必須です。必ず、ウイルス対策ソフトを導入すると共に、ウイルス定義ファイルは定期的に更新しましょう。


(14) 怪しいメールの添付ファイルは危険、安易に開かないようにしましょう。

添付ファイルには、ウイルス、スパイウェアなどが潜んでいることが多いので要注意です。怪しいメールの添付ファイルは、絶対に開かず即削除しましょう。

なお、差出人を偽って送られて来るウイルスつきメールもあるので、知人からのメールであっても添付ファイルには気をつけましょう。


(15) 迷惑メールの中のURLは絶対にクリックしない。
危険なホームページに誘い込まれ、詐欺にあったり、個人情報を盗まれます(フィッシング詐欺)。絶対にURLをクリックしないことが必要です。


(16)「差出人(送信者)を偽る」メールに騙されるな。

差出人を偽るメールは、"差出人詐称ウイルスメール"(詐称(さしょう))と言われ、差出人を変更し送られて来る、ウイルスつきメールのことです。

実は、メールの差出人は簡単に変更することができます。ウイルスなどの不正ソフトは、このことを利用しますので、差出人が知人の場合でも、メールの内容がいつもと違い、変だと感じたら、そのメールを安易に信用せず、その知人に確認しましょう。


(17) チェーンメール(chain mail)を出さないようにしましょう。

チェーンメールは、「○人に転送しなさい」「多くの人に転送して下さい」など多数への転送を依頼するメールです。輸血の依頼・人捜しなどの「善意メール」も、多数へ転送されるため、チェーンメールに含まれます。

電子メールは転送が容易で、ねずみ算式に広がるので、内容にかかわらず、このようなメールは転送しないのがマナーです。


(18) 個人情報を盗み出すフィッシング詐欺メールに注意する

個人情報を盗み出す「フィッシング詐欺」とは、だまして偽りのホームページに誘い、個人情報を盗む詐欺行為です。

フィッシング詐欺の多くは、正規の銀行などからのメールを装い、メールに書かれたURLをクリックさせることにより、偽の金融機関やショッピングサイトなどにユーザを誘導し、クレジットカード番号やパスワードなどをだまし取ります。

以下の3点は、ウィルス対策全般に基本的なことですが、「フィッシング詐欺」対策でも大事なことです。

 (a) メールを完全に信用しない、あやしいメールは無視して即削除する

 (b) 個人的な金融情報を要求するメールは無視する

   通常企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。
   このようなメールは無視する。
 
 (c) アカウント名・パスワード等の個人情報を要求するメールは無視する

 (d) 一方的に送られてきた寄付を要請するメールには答えない

   もし寄付をする場合は、各種救済団体の正規のサイトに直接アクセスする。

 (e) メールの中の怪しいリンクはクリックしない

 (f) 個人情報を安易に入力しない


メールの受取り方には、テキスト形式・HTML形式があります HTMLメールは危険?!

メールの受取り方には、テキスト形式・HTML形式があります。テキスト形式とは、文字だけのメール、HTML形式とはホームページのように、メールの中に画像を入れたり、文字に色をつけたりすることができます。

 (1) テキスト形式・・・文字だけのメール形式
 (2) HTML形式  ・・・画像を入れたり、文字の色・大きさを変えられるメール形式

しかし、HTML形式のメールにはウイルスなどの危険なものを組み込むことが可能です。HTML形式でメールを受信する場合、迷惑メールなどの不審なメールには充分注意して下さい。

HTML形式のメールを悪用して、危険な画像を表示したり、メールの中のリンクをクリックすると危険サイトに誘導されます。


基本的には、HTML形式のメールを受信する場合は、ウイルス対策などの機能を持つ”セキュリティ対策ソフト”の活用は必須です。

最近のインターネットサービスでは、HTML形式メールを送るものが多いですから、基本的には、”セキュリティ対策ソフト”の活用は必要になりますが・・・



なお、HTMLメールは、テキスト形式を発展させた形式のメールで、ホームページと同じ仕組みで、文字のサイズや色を指定したり、リンクを貼ったり、画像表示させるといったことが可能になっています。

HTML形式は文字の色・大きさを変化させる事ができるので、分りやすいメールが作成でき一見便利そうですが、これを悪用したメールもあるので注意が必要です。

HTML形式を悪用した危険ソフト(ウィルスなど)があり、また、不正な処理を仕込ませたり、危険な画像を表示させたり、危険なホームページに誘導するリンクを貼り付けることができます。

また、HTMLのメールを開いただけで、ウイルス感染などの危険に会うことがありますので注意が必要ですね。

このように、HTML形式のメールはウィルスに感染しやすく、受け取った人がメールを読むとウイルスの被害に遭う危険も多いことから、HTML形式のメールを受け取ることを嫌う人も多いですね。

HTML形式のメールを悪用して、フィッシング、ワンクリック詐欺の為の不正サイトのURLを、あたかも正しいように見せかけるものまであります。



以上のことから、セキュリティー意識の高い人にとって、HTMLメールは敬遠されています。また、ウイルス問題以外にも、次のような理由でHTMLメールは敬遠されています。

 (1) テキスト形式にくらべてメールのサイズが大きくなる。
 (2) 表示に時間がかかることがある。


≪補足≫HTMLとは

HTMLとは、「Hyper Text Markup Language(ハイパーテキスト・マークアップランゲージ)」の略で、複数のコンピュータにある文書を結びつける(リンクする)ために開発された「文書の書き方」です。

HTMLを使えば、他の文書にリンクしたり、文字の大きさや色を変化させたり、画像・音声・動画を表示させることができます。

ホームページはHTMLで書かれた文書です。その中に、他のホームページへのリンク(URL)が埋め込まれており、ホームページを次々にみることができます。

HTMLは、インターネットでのホームページ作成以外に、ブログ作成、メール作成などの情報発信文書に使われています。

2015年3月12日木曜日

国民一人ひとりが持つ12桁の番号、マイナンバー(個人番号)とは?

マイナンバー(個人番号)について、調べた結果を、少しまとめてみようと思います。

このマイナンバー(個人番号)、平成27年10月から、住民票を有する全ての人に、一人一つのマイナンバーが通知されます。住民票の住所と異なるところに住んでいる方は、住んでいる市町村に住民票を移すことが必要です。

さらに、身分証明書や様々なサービスに利用できる”個人番号カード”が、平成28年1月から交付され、このときから、社会保障、税、災害対策の行政手続きでマイナンバーが必要になります。

また、平成29年1月からマイ・ポータル(仮称)(情報提供等記録開示システム)で、”個人情報のやりとりの記録”が確認できるようになります。

簡単に言えば、国民一人ひとりが持つマイナンバー(個人番号)で、様々な行政のサービスが受けられ、個人情報がシステムで集中管理され、インターネットで参照できるようになるということです。

詳しくは、以下の政府広報オンラインを参照下さい。

  特集-マイナンバー:政府広報オンライン
  http://www.gov-online.go.jp/tokusyu/mynumber/index.html

なお、マイナンバー制度、「行政の効率化」、「国民の利便性の向上」ということですが、しかし、良い面ばかりではありません。このマイナンバーを使うことで、行政の様々なサービスを受けられると言うことですが、いろいろな危険性も含んでいます。

例えば、銀行のインターネットバンキング、便利だと騒がれ多数の人が利用していますが、不正アクセスで”口座から金銭が盗まれる詐欺”が増えています。

銀行側も不正アクセスされないよう、ワンタイムパスワード、セキュリティ対策ソフトなど様々な仕組みを導入していますが、「対策と攻撃はいたちごっこ」で、不正アクセスは減るどころか増える傾向にあります。

今回の、マイナンバー(個人番号)制度は、とても大事な個人情報を扱うことになります。もし、このシステムに不正アクセスされたら、個人情報がごっそり盗まれ、悪用される危険性は充分あります。

いくら、システム側で安全対策(セキュリティ対策)を実施しても、利用者がパソコンやスマホのセキュリティ対策を充分実施していないと不正アクセスされる危険生は充分あります。

お金を扱う銀行のシステムは、他の分野のシステムと比べ安全対策は充分実施されているシステムです。そのシステムですら利用者側の方でウイルス対策などを実施していないと不正アクセスされます。

私は、ブログで2007.12.22に”欠陥だらけの社会保険庁のシステム”という内容を公開しましたが、今回のマイ・ポータル(仮称)(情報提供等記録開示システム)も、このようなシステムにならないよう切に祈るばかりです。

以下に、このときのブログの内容をそのまま示します。




■ (私が2007.12.22にブログで公開した) ”欠陥だらけの社会保険庁のシステム”


(注)当時のブログの内容をそのまま掲載しています。一部誤解があるかもしれませんが、ご了承下さい。


2007.12.22”国民の大事な年金記録は、欠陥だらけのシステムに記録されていた!”

12/17(月) に放映された、NHKスペシャル「取り戻せるか年金記録」は、なかなかショッキングな内容でした。

”宙に浮いた年金記録”の問題は、社会保険庁の組織自体の問題に力点が置かれ、年金記録を管理する”社会保険庁システム”についての議論が少ないように感じます。NKHの解説も「社会保険庁の組織の構造的問題」に力点がおかれていました。

しかし、このNHKスペシャルの放映内容から、「社会保険庁のシステム自体に大きな欠陥がある」ことが分かり、唖然としました。

放映内容からすると、社会保険庁システムのデータベースに登録された年金記録データには以下の問題がありました。


 問題1. 名前(氏名)の無い年金記録データがある
 
 問題2. 名前も生年月日も無い年金記録データがある
 
 問題3. 生年月日に存在しない日がある(例:11月31日)

 問題4. 年金番号がダブって記録されている

 問題5. 名前が間違って登録されている

 問題6. 年金番号が間違って登録されている(例:年金番号の先頭4桁)



社会保険庁システムには、情報システムとしては大きな欠陥がありました。
 ”名前と生年月日が無くても年金記録を登録していた”
 ”月日の単純なミスもチェックしていない、カレンダーに無い日付がある”

なお、上記問題を分類してみると、”システム自体の欠陥”(問題1~4)、”システム運用の問題”(問題5~6)に分類されます。

国民として、今後、このような問題が再発しないよう、社会保険庁システム自体の欠陥、並びにシステム運用の問題も早急に見直し・改善して欲しいと思います。

「国民の大事な年金記録が、欠陥だらけのシステムに記録され、データの間違いがチェックされずに登録されている」ということに改めて気づかされたNHKスペシャルでした。

以下に、上記の問題1~問題6を分析してみます。


■社会保険庁システム自体の欠陥

問題1、2は、システムの方で、名前と生年月日を”入力必須項目”として処理していれば、年金記録入力時に、”データが入力されていません”とエラーメッセージを表示し、入力ミスを防げたはずです。

普通であれば、年金記録データにとって、”名前”と”生年月日”は非常に重要な項目で、システムの方で、データが入力されたかどうかチェックすべきです。これはシステム設計の基本的な問題です。

問題3は、システムの単純なミスで、これは明らかにシステムの不具合です(それも単純な不具合です)。

月日データの入力の場合、”該当月に存在する日か?”をチェックするのはシステムとしては最低限の処理のはずです。通常は、2月のうるう年の計算も実施して、2月に29日が存在するかどうか判断します。

社会保険庁システムは、11月には存在しない”11月31日”を入力されてもエラーとはせず、そのまま記録していたということになります。社会保険庁システムは、このような単純な事ですらチェック出来ていないシステムなんですね、驚きです。

11月ですら、このような状態ですから、2月のうるう年の計算も出来ていないかもしれません。

問題4は、複数の人に同じ年金番号のデータが間違って登録されていた問題です。年金番号は一人の人に付けられるのが基本ですから、データ入力が間違って、同じ年金番号が違った人に付けられようとした場合、システム側の方でチェックできたはずです。

社会保険庁システムは、”データ入力時のチェック”が甘く、通常のシステムならば実施しているような基本的なチェックができていません。



■社会保険庁システムの運用上の問題

問題5は、紙で記録された年金記録の名前が、漢字のみでふりがながなく、そのため、年金記録のデータ入力時に、漢字の名前を間違って入力した為、その年金記録が宙に浮いたそうです。

しかし、紙の年金記録の名前が漢字だけの場合、システムへのデータ入力時に間違えることは容易に想像できるはずです。漢字の名前を100%間違えずに、システムに入力することは神業としか思えません。

何故、このような簡単な事が、社会保険庁システム運用時に、誰も気づかずに実行されてしまうのでしょうか?

問題6は、ある地域の年金番号が、それまでは「3100-XXXXXX」と付けられていたのが、「3100-」では不足になり、新しい年金番号の先頭が「3101-」になったにもかかわらず、データ入力専門の人(キーパンチャー)が、従来と同じように、「3100-XXXXXX」で登録していたそうです。

つまり、本来は「3101-123456」という年金番号が、先頭の4桁が間違って「3100-123456」と登録されていたことになります。

通常ならば、年金番号の先頭が変わったのならば、その旨、関係者に徹底すべきです。

また、間違って入力されても、それをチェックする仕組みも無く、またシステム側でもチェックされていません。

2015年3月10日火曜日

SNS・Twitter・ブログの投稿で気をつけたい著作権とは

FacebookなどのSNS、Twitter、ブログに気に入った文書・画像などを投稿する人は多いと思いますが、実は、注意をしないと”著作権違反”になります。最悪の場合、訴えられるので注意が必要です。

ここでは、インターネットで投稿する際に注意すべきことをまとめてましたので、参考にしてください。

なお、情報発信で、著作権を考えないといけないのは、「不特定の人」又は「特定多数の人」に情報発信する場合です。

インターネットの情報発信は「不特定の人」になり著作権が様々関係ありますが、メーリングリストなども「特定多数の人」になるので、著作権には注意が必要です。
 


作成した画像、文章、音楽データ等は、作成者(著作権者)のもので、法律「著作権法」で守られていますので、勝手に利用できません。


そのため、新聞や雑誌、インターネットに公開されている記事をそのまま利用し、自分の文書のように投稿するのは、当然”著作権違反”になるので注意下さい。

また、フリー画像で「利用は自由に!」とあっても、中には、画像の大きさを変更しないでという”利用時の注意事項”がある場合があります。

また、著作権以外に気をつけるものに「肖像権(しょうぞうけん)」、「パブリシティ権」というのがあり、他人が写った写真を勝手に公開したり、タレント等の有名人が写った写真を公開することは禁じられています。

ただし、全く利用できないと言うわけではなく、文書の場合、文書を補足し、自分の文書が正の場合、つまり”引用(いんよう)”の場合は、他人の文書を利用しても良いということになっています。

なお、引用する場合、守るべき事項が何点かあるので、注意が必要です。これについても後で説明します。

なお、他人が作成した文書や画像を、SNS・ブログ・ホームページに勝手に利用し、著作権を侵害した場合(著作権法に違反した場合)、最悪「10年以下の懲役又は1,000万円以下の罰金」のように重い罰則が科せられます。


■新聞記事などの他人の文書を勝手に利用すると、「複製権」と「自動公衆送信権」を侵害!

著作権の中で、インターネットで特に重要な権利は、「複製権(コピーする権利)」と「自動公衆送信権(情報発信・公開する権利)」です。

「複製権」は、「著作物のコピーを作成する権利」です。この権利が作成者に与えられています。

その為、他人の文書・画像などを勝手に利用すると、権利を侵害することになります。

次に、重要な権利は、「自動公衆送信権」で、「作成したものを情報発信・公開する権利」、つまり、作成したものをSNS・ブログ・ホームページで公衆に情報発信する権利です。

以上のことから、他人が作成したものを無断でコピーし、インターネット上に公開すると、「複製権」及び、「自動公衆送信権」を侵害するということになります。


■他人が作成した文章は、ある条件を守れば利用することが可能(引用)

他人が作成した文章は、ある条件を守れば、引用し利用することが可能です。

自分のオリジナルの文章が多くを占め、自分の文章の説明や補強として、他人の文章を利用する(引いてくる)というのが引用です。以下に引用時の注意事項を示します。


(1) 主従関係

自分の著作が主で、引用される著作が従であること。量的にも質的にも自分の著作が主であることが必要。

(2) 必然性があり最小限度

引用が自分の著作に不可欠であり、かつ必要最小限度の引用であること。

(3) 明瞭区分性

かぎ括弧をつけるなど,「自分の著作物」と「引用部分」とを明確に区別すること。

(4) 出所、著作者名の明記

引用する著作物の書名、著作者名などを明記し、出所が明確に分かること。

例)本からの引用の場合・・・“『書名』著者名、発行所名、発行年、引用ページ”のように記述

ホームページからの引用の場合・・・“ホームページ名(制作者)、URL”を記述する。

(5) 引用部分の同一性保持権

引用する場合に、原文そのままで引用すること。なお、途中を省略する場合は“(中略)”などと明記する。


■画像を利用する場合は”利用時の注意事項”を確認下さい!

他人が作成した画像データを勝手に利用するのは著作権侵害になるので、注意が必要です。

なお、”画像利用はフリー”と明言している場合は利用してよいですが、この場合、”利用時の注意事項”を充分確認することが必要です。


例えば、”利用時の注意事項”に、「画像はフリーですが、そのまま使うことを条件にフリーにしています。画像の大きさや縦横の比率を変えて利用しないで下さい」という注意書きがある場合があります。

この場合、画像を利用するときは、元の画像のままで利用しないといけません。


■友人が写った写真でも公開する場合は本人の許可が必要です!

「肖像権(しょうぞうけん)」というのは、むやみに自分の写真や名前などを公表されて、嫌な思いをしないための権利です。

各個人は、自分の顔写真や肖像画(似顔絵も含む)を、勝手に使われないようにする権利を持っています。

従って、他人を映した写真、肖像画の類をWebページ等に掲載する場合には、映っている本人の許可が必要です。街を歩いている人を撮影した場合も、その人の許可なく勝手に写真を掲載できません。

親しい友人であっても、本人の了解をとるのがエチケットです。この肖像権は、どこの法律にも出てきませんが、著作権法上の問題として良く議論されます。

《補足》他人が写った写真でも肖像権の侵害にならないケース

パレード、祭り、政治家の演説、その他イベントなど公の場所での公の行動を撮影した場合は、明らかに公開されるとわかった上で相手が写っている場合にあたり、肖像権の侵害になりません。

ただし、パレード、祭りで、たまたま見かけた友人や芸能人の写真を、”こんな人がいた!”といって公開すると、公開されるとわかっていないので、プライバシーの問題もあり、肖像権・パブリシティ権の侵害になるので注意が必要です。

なお、以下の場合も、肖像権の侵害になりません。

①被写体の同意がある
②人物の特定ができない
③被写体の社会生活のマイナス要因にならない

詳しくは以下を参照下さい。


参考:肖像権の侵害になるケースとならないケース | リモートワーク - anywher
https://anywher.net/2015/10/shouzou/



■有名人が写った写真を公開すると「パブリシティ権違反」になるので注意!

タレント等の有名人の場合、顔写真や名前を使って利益を得ることができるので、肖像権以外に氏名・肖像を利用する権利、パブリシティ権というものがあります。

パブリシティ権は、有名人の氏名・肖像は、コマーシャル等に利用することで経済的な利益を上げることができるので、それを保護しようというものです。

そのため、有名人の写真を無断でSNSなどで使用することは、パブリシティ権の侵害となるので、基本的に有名人の写真は載せてはいけません。


■キャラクターの画像を利用するのは著作権違反です!

キャラクターの画像は著作権上の問題があるので、ホームページ・ブログ・SNS等には基本的には掲載できません。マンガなどからコピーしたものをそのまま使った場合は、明らかな複製ですから、無断で利用できません。

《補足》写り込みの場合はOK(著作権30条、46条)

写真撮影などの際に入り込んでしまったものは著作物は利用できます(付随的利用)。

例えば、テーマパークに行った時の家族の写真に同時にキャラクターが写った場合、写真を撮ったらTシャツにキャラクターがプリントされていた場合などのように、写り込んだ場合は著作権を侵害しません。

なお、条件は以下で、以下を満たせば、写り込む著作物の種類は問いません。あくまでも軽微な写り込みが条件です。

①写真撮影・録音・録画で著作物を創作する際に
②対象物から分離困難なため入り込んでしまう
③軽微な構成物であること


■歌の歌詞(かし)を公開しても著作権侵害になるので注意!

歌の歌詞も著作権で保護されているので、SNS・ブログ投稿時に、歌詞をそのままのせないように注意下さい。

歌詞には著作権があり、著作権管理団体の許可が必要です。(有名な一句くらいを引用することは大丈夫でしょうが)。

楽曲の歌詞の著作権はJASRAC(日本音楽著作権協会)によって管理されています。歌詞を利用する場合は、JASRACの許可が必要です。


■CD等の音楽をインターネットに公開するのは違法

CDなどに収録された曲をデジタル化(MP3等)して公開しているホームページがありますが、これは著作権を侵害した、違法な行為です。

自分の私的な範囲であれば、CDなどの音楽をデジタル化(MP3等)して利用するのはOKですが、これをインターネット上に公開するのは、私的な範囲を超え、違法になります。


■レシピのネット転載は著作権上はOK、しかし、モラルの問題が有り

アイディアは著作権では保護されません。代表的な例が料理のレシピです。

料理の調理法は材料や手順をまとめただけであって、著作権の保護の要件である「作者の思想又は感情を創作的に表現したもので、文芸、学術、美術又は音楽の範囲に属するもの」には該当しません。

そのため、料理のレシピを自分のブログなどに転載するのは著作権上はOKで、問題ありません。

ただし、レシピに添えられた料理の写真は、無断で転載すると著作権侵害になるので注意が必要です。

なお、苦労して考えたレシピーを、あたかも自分が考えたように勝手に公開されると、気持ちが良いものではありませんし、モラルの問題もあります。

他人のレシピーを公開する場合は、”どこから入手した誰のレシピー”か明記すると良いですね。



《参考》

■ 著作権とは

他人が作成した画像、文章、音楽データ等は作成者のもので、法律"著作権法"で守られている著作物です。子供が描いた絵でも立派な著作物になります。

その為、他人が作成したものを勝手に利用することは、"複製権(コピーして利用する権利)"などの権利を侵害し、著作権に違反したことになります。




■著作権違反時の罰則

著作権法に違反した場合、以下のように重い罰則が科せられますので、十分注意しなければなりません。

(1) 著作権・出版権・著作隣接権の侵害・・・10年以下の懲役又は1,000万円以下の罰金

(2) 著作者人格権・実演家人格権の侵害・・・5年以下の懲役又は500万円以下の罰金

なお、著作権には「両罰規定(124条1項1号)」があり、従業員が著作権法に規定する犯罪を行った場合には、行為者本人だけでなく、その使用者である法人も共に罰せられます。法人に対する罰金は引き上げられ、3億円以下の罰金と巨額です。


■著作権で守られている権利とは

著作権で守られている権利たくさんありますが、以下の2つが代表的です。つまり、他人が作った文書・画像などを 「勝手にコピーし公開してはいけない」 ということです。

 (1) 複製権(コピーする権利)・・・著作物を複製する権利

 (2) 公衆送信権(情報発信・公開する権利)・・著作物を公衆に対して送信する権利

なお、著作物を作った人を守る「著作者人格権」として以下があります

(1) 公表権・・著作物を公表するかしないかを決定できる権利

(2) 氏名表示権・・著作者名を表示するかしないか、表示する場合にどのように表示するかを決定できる権利

(3) 同一性保持権・・著作物の内容や題号を、自分の意に反して無断で改変されない権利


≪参考情報≫
著作権早分かり講座  ~著作権の概要と他人の文章・画像の使い方
http://yumepatent.blogspot.com/2014/01/blog-post_27.html

著作権のポイント~まずは基本を押さえよう
http://yumepatent.blogspot.com/2014/01/blog-post_28.html

著作権には様々な権利があります!
http://yumepatent.blogspot.com/2014/01/blog-post_5196.html

文章・画像・音楽・映像などを(著作権法上)自由に使える場合とは?
http://yumepatent.blogspot.com/2014/01/blog-post_29.html

SNS(ソーシャルメディア)を利用する上での法律的な注意点~facebook編~vol.1
http://blogs.itmedia.co.jp/itbengoshi/2015/03/snsfacebookvol1.html?ref=rss

Facebookに歌の歌詞を載せるのは違法?SNSを利用する上での法律的な注意点vol.2
http://blogs.itmedia.co.jp/itbengoshi/2015/03/facebooksnsvol2.html?ref=rss


2015年3月8日日曜日

スマホAndroidでAmazon偽ギフトでだます有害ソフト(マルウェア)拡大中!

Amazonの偽ギフトカードでユーザーをだます、Android向けの有害ソフト「Gazon」が、世界30カ国以上で感染を拡大しているそうです。単発のメッセージ誘発型モバイルマルウェアとしては最大級の流行です。

この有害ソフト(マルウェア)は、ユーザーの連絡先を利用して増殖し、FacebookやSMSで拡散しています。


(注)マルウェアとは、ウイルス、ワーム、トロイの木馬を含む、様々な有害なソフトの総称


この有害ソフト、メッセージの中にある「Amazonの偽ギフトカード」のリンクを開くと有害ソフトに感染するそうです。


くれぐれも、FacebookやSMS「Amazonの偽ギフトカード」のメッセージには注意下さい!!

不審なメッセージにある「Amazonの偽ギフトカード」のリンクのクリックを安易にクリックしないようにして下さい。



この有害ソフト、感染するとアンケートへの回答を促す画面やゲームのダウンロードを促す画面が表示されます。

また、この有害ソフト、連絡先を利用して拡散するので、知人からのメッセージの中にも、「Amazonの偽ギフトカード」メッセージが含まれている可能性があります。この点も要注意です。

(注)この有害ソフトに感染すると、スマホの連絡先情報が収集され、登録された相手にメッセージが送信されるので、不正なメッセージが友人や知人の名で届く可能性があります。


参考情報:

 Amazonの偽ギフトカードでユーザーを誘惑、SMSで感染を広げるAndroidマルウェア
 -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20150305_691398.html

 Amazon偽ギフトでだますAndroidマルウェア、世界30カ国で感染拡大 - ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1503/05/news040.html


2015年3月7日土曜日

Webサービス・クラウド利用時に知っておきたい基本用語紹介

これまでパソコンソフトで実現されてきた機能が、”Webサービス”としてインターネットで実現され無料で公開されています。なお、”Webサービス”は、ブラウザを使い利用します。例えば以下ですね。

最近では、Webサービスというより”クラウド”という言葉を良く聞きますが、どちらも、インターネットを活用したサービスなので、パソコンの利用者からすると、ほぼ同じ意味で考えて良いと思います。一般的にも、よく同じ意味で使われます。



 ・Webメール(ブラウザで使うメールサービス)
 ・オンラインストレージ(データをインターネットに保管するサービス)
 ・画像アルバムサービス(画像をアルバム化して保管するサービス)
 ・画像編集サービス(画像を編集するサービス) 
 その他、いろいろ・・・・



なお、この”Webサービス”、”クラウド”を利用するときに、知っておくと便利な用語を簡単に紹介します。なお、分かりやすくするため、少し不正確な箇所があると思いますが、お許し下さい。


■Webサービス

Web(ウェブ)サービスとは、インターネット上のホームページの仕組みを利用したサービスのことです。

ウェブのWebは、「WWW (World Wide Web:ワールド ワイド ウェブ)」の略です。Webには”クモの巣”と言う意味がありますが、インターネット上の世界中のホーム ページどうしが”リンク”で、クモの巣のように結び付けられていることから、ウェブ(Web)と呼ばれています。


■クラウド(クラウドコンピューティング)

クラウド(cloud)とは「雲」のことですが、この「雲」はインターネットを意味しています。インターネットは、パソコンの向こう側にあり、そして、見えない世界でコンピュータが動いているので、あたかも空の”雲(クラウド:cloud)”のようなイメージです。

クラウドとは、メール、画像編集などのパソコンの機能をインターネットで実現、そのサービスを各パソンのブラウザで利用、データもインターネットの中に保管することです。


■サーバとクライアント

コンピュータの役割は、「サーバ」(サービスを提供する側のコンピュータ)、「クライアント」(サービスを受ける側のコンピュータ)に大きく分けられます。個人のパソコンは「クライアント」になります。

Webサービスを提供しているのは、この「サーバ」で、インターネットの中にあるコンピュータが実現しています。


■ダウンロードとアップロード

「ダウンロード」とは、Webサービスを提供しているインターネットのコンピュータから、個人のパソコンにデータを転送することを言います。

「ダウンロード」の逆が「アップロード」で、個人のパソコンからWebサービスを提供しているコンピュータにデータを転送する事を言います。


■アカウント(ユーザID)とパスワード

Webサービスを利用するためには、個人を識別するためのアカウント(ユーザID)とパスワードを登録することが必要です(中には登録しなくてもよいサービスもあります)。

なお、パスワードは不正利用をされないように、名前・誕生日などの個人情報や辞書に載っているような単語を避け、英文字(小文字)・英字(大文字)・数字・記号などを組み合わせ、8文字以上にしましょう。


■ログインとログアウト

ログイン(login)は、Webサービスを利用開始するときに、利用者(ユーザ)の情報として、アカウント(ユーザID)とパスワードを入力することをいいます。

ログインの反対が、ログアウト(logout)で、ログインしているWebサービスの利用をやめることをいいます。


■サイト(site)

英語で「敷地、位置」のこと。インターネットで「サイト」という言葉が出てきたら、それは「インターネット上の場所」と考えたら良いと思います。たとえば、「ショッピングサイト」といえば、インターネットでショッピングができる場所となります


■Webメール

Webサービスの一つで、ブラウザで使うメールです(メールソフトが不要)。受信メール、送信メール、アドレス帳、すべてがインターネットの中に保管されます。


■オンラインストレージ

Webサービスの一つで、パソコンのデータをインターネットに保管するサービスです。パソコンが変わっても、インターネットに接続すれば、同じデータを利用できます。データはインターネットにあるので、パソコンが故障したときなど便利です。


■画像アルバムサービス(Webアルバム)

Webサービスの一つで、デジカメなどの画像を、インターネットに保管し画像を整理するサービスです。インターネット上にあるので、公開することも簡単にできます。


■画像編集サービス

Webサービスの一つで、デジカメなどの画像をパソコンからインターネットに取り込み(アップロード)、ブラウザで画像編集を実施、編集後の画像をパソコンに取り込む(ダウンロード)するサービスです。画像編集用のソフトが無くても、基本的な画像編集ならば、このサービスを利用し画像編集が可能です。


■クライアントソフト

Webサービスは、通常、ブラウザで利用しますが、ブラウザでは速度や機能が不十分で、専用のソフトをパソコンにダウンロードして利用する場合があります。このソフトを「クライアントソフト」と言います。


■拡張機能(プラグインソフト)

Webサービスをブラウザで使う場合、操作を簡単にするために、拡張機能(プラグインソフト)という追加ソフトをブラウザに組み込むことがあります。


■ブックマークレット
Webサービスの機能を簡単に利用するために、ブラウザにいろいろな機能を追加する特殊なブックマークです。扱いはブックマークと同じで、リンクをドラッグしてブラウザのリンクバー(ブックマークバー)にドロップし登録すれば使える状態になり、そこに処理したいホームページをドロップすると様々な処理が実行されます。

2015年3月6日金曜日

大手サイトも安心できないホームページ改ざん、危険なサイトに誘導されウイルス感染

成田空港公式Webサイトと同社企業サイトのホームページが改ざん(不正に変更)され、3日午前0時20分~5日午前1時までにサイトにアクセスしたユーザーはウイルスに感染した恐れがあるそうです。

なお、公開を一時停止していた、成田空港公式Webサイトと同社企業サイトは3月5日夕、復旧したとのこと。

今回の事件は、ホームページが不正に改ざんされたことで、自動的に他の不正サイトへ誘導され、最終的に不正プログラムに感染される危険がある事件です。同じような事件が、これまでも多くのサイトで発生しており、大手サイトだからといって安心はできません。

利用者としては、セキュリティ対策ソフトウェアを利用してウイルスパターンを常に最新版に更新するなどの対策を忘れずにすることが大事です。

 成田空港Webサイトが復旧 CMSに不正侵入受け改ざん被害、閲覧者にウイルス感染の恐れ -  ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1503/06/news084.html



それにしても、このような事件は、これまでにも多くのサイトで発生していますが、このような問題が発生しても、第三者による原因検証、対策の妥当性が実施されたという話は聞きません。

今回の事件も、成田国際空港公式WEBサイトで”お詫びと復旧の報告”が公開されていますが、何が原因だったかの説明もなく、対応内容も具体性に欠ける内容です。

 お知らせ 弊社ホームページ改ざんに関するお詫びと復旧のご報告 | 成田国際空港公式WEBサイト
 http://www.narita-airport.jp/jp/news/150305.html


ホームページが不正に改ざんされ、多数の利用者がウイルス被害に会う危険性がある事件については、やはり第三者の検証が必要だと思いますが・・・だれもチェックしないのでしょうか?



■ 以前から、古いバージョンの「CMS」は危険と言われていた!


IPA(独立行政法人情報処理推進機構)では、CMSの危険性を以前から訴えていました。

下記の2014年7月24日の記事によると、2013年1Qから2014年2Qに届出されたウェブサイトの届出の7,842件のうち、241件が古いバージョンの「Movable Type」や「WordPress」などのCMSの利用に起因する脆弱性でした。

 ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第2四半期(4月~6月)]
 IPA 独立行政法人 情報処理推進機構
 http://www.ipa.go.jp/security/vuln/report/vuln2014q2.html

また、IPAが、古いバージョンのCMSを使用しているウェブサイト管理者に連絡した結果、

 ①自組織のウェブサイトに CMS が使われているという認識がない
 ②脆弱性がある古いバージョンの CMS を使用する危険性を認識していない
 ③委託先との契約終了などの理由でウェブサイトの管理者が不在である

という状況が浮き彫りになっています。


≪参考≫ホームページを簡単に作るシステムが「CMS」

ホームページを簡単に作ってみたい、そんな人にとって手放せないのが、CMS(Contents Management System)と呼ばれるシステムです。

Webサイトに欠かせないHTMLのコーディング知識がなくてもブログやホームページを作成できることから、個人だけでなく、コーポレートサイトにCMSを導入する企業も増えています。



■ ホームページ改ざんの利用者側の対策


今回のような事件の対策としては、以下の内容が基本になります。

 ①セキュリティ対策ソフトウェアを利用してウイルスパターンを常に最新版に更新する

 ②OSやソフト(アプリ)を最新版に保つ

 ③ファイアウォールを活用する *下記の参考情報を参照下さい


参考:
 インターネットからの攻撃を守る、ブロードバンド・ルータとファイアーウォールの役目とは
 http://lifesecurityup.blogspot.com/2014/06/blog-post_25.html




■ 改ざんサイトにアクセスして不正プログラムに感染する「ドライブバイダウンロード攻撃」


今回のように、不正に改ざんされたサイトにアクセスしたユーザは、自動的に他の不正サイトへ誘導され、最終的に不正プログラムに感染します。これが「ドライブバイダウンロード攻撃」と言われるものです。

“ドライブ・バイ・ダウンロード”攻撃では、主に利用者のパソコンのOSやアプリケーションなどの不具合が悪用されます。

 ①パソコン利用者が悪意あるWebページを見る
 ②利用者のパソコンの脆弱性を突かれて、ウイルスをダウンロードさせられる。
 ➂利用者のパソコンがウイルスに感染する


 参考:「 ウェブサイトを閲覧しただけでウイルスに感染させられる
         "ドライブ・バイ・ダウンロード"攻撃に注意しましょう! 」
 IPA 独立行政法人 情報処理推進機構
 https://www.ipa.go.jp/security/txt/2010/12outline.html


2015年3月1日日曜日

Lenovo社製パソコンだけではない 購入時にプリインストールされているソフトには注意!!

ユーザーが求めていないのに、購入時に勝手に、コンピュータにプリインストール(”プリ”とは事前にという意味)されているソフトは信用できないソフトもあり、「クラップ(ごみ)ウェア」と呼ばれています。

Lenovo社製のパソコンに危険ソフト「Superfish」(スーパーフィッシュ)がプリインストールされていた件は、大変話題になっていますが、他メーカーのパソコンでも、プリインストールされたソフトで役立つものは少ないですね。


(注)ソフト「Superfish」は、ブラウザーの通信記録を観察し、悪用すればネット銀行のパスワードなどを盗み取れる。Lenovo社製のパソコンの問題点は、以下のブログを参照下さい。

  インターネット安全教室
  http://lifesecurityup.blogspot.com/2015/02/lenovosuperfish.html


あとで、紹介しますが、実は、パソコンに限らず、スマホでも購入時に危険なソフトが入っていた事件も昨年(2014年)発生しています。

 中国製スマホにスパイウェアがプリインストールされていることが発見される - GIGAZINE
 http://gigazine.net/news/20140618-star-n9500-peinstall-spyware/


経済産業省も、国民の安心・安全を守る消費者庁も、今回のLenovo社製の事件について、積極的に情報を公開していません。パソコン、スマホが一人一台になった、インターネットの時代に、このようなことでは、国民の安心・安全は守れない気がします。

購入者が信用して購入したパソコン、スマホなどに、メーカーが危険なソフトを勝手にインストールしても、購入者は分かりません。

本当に、このようなことはあってはならないことですし、第三者のチェックも必要だと思います。

最近、話題になっているIoT(Internet of Things )とは、これまで主にパソコンなどのIT関連機器に接続していたインターネットを、それ以外の様々な”(家電製品などの)モノ"に接続する技術です。

技術は私たち利用者の要望をはるかに越えて、進化しています。

一方、メーカーの勝手な判断で、製品の中に様々な仕組みを組み込み事も可能です。しかし、利用者は、組み込まれた仕組みの安全を確認できません。

国民の安心・安全を守る消費者庁には、ぜひ、”インターネット時代にそった安心・安全対策”を実施して欲しいものです。

■パソコンにプリインストールされているソフトは役にたっていない?

私は、これまで7台程度のパソコンを使ってきましたが、メーカーがプリインストールされているソフトに助けられた経験は一度もなく、逆に、パソコンが使っている内に調子がわるくなり、プリインストールされているソフトを削除した経験がなんどかあります。

なお、メーカー各社がパソコンにプリインストールしているソフトウェアは「クラップ(ごみ)ウェア」とも呼ばれ、米電子フロンティア財団(EFF)は「コンピュータにプリインストールされてくるソフトウェアは信用できない」と断言していたそうです。

 Lenovo、迷惑プリインストールソフトの一掃を宣言 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1502/28/news015.html


■プリインストールされている「セキュリティ対策ソフト」は使用期限有り!!

私が、パソコン購入して、一番悩まされたのが、プリインストールされている「セキュリティ対策ソフト」。中には、3ヶ月しか使用期限のないソフトもありました。

実は、「セキュリティ対策ソフト」は使用期限が切れても利用できますが、ウイルスパターンが更新できず、それ以降は、新規のウイルス・スパイウェアなどは検出・駆除できません。

しかも、自分の好きな「セキュリティ対策ソフト」をインストールしようとしたら、まずは、プリインストールされているソフトを削除しないといけません。

通常、1台のパソコンに複数の「セキュリティ対策ソフト」をインストールできないからです。これは、なかなかめんどうな作業になります。

なお、プリインストールされている「セキュリティ対策ソフト」は、使用期限が過ぎたら、お金を払い、ソフトを更新してもいいです。

とにかく、プリインストールされている「セキュリティ対策ソフト」は使用期限があるので、注意下さい!!

契約を更新するか、ソフトをアンインストールして新規に新しい「セキュリティ対策ソフト」をインストールして下さい。



■スマホにもスパイウェアがプリインストール

ドイツのセキュリティソフト会社G Data Software(G Data)は、中国製のスマートフォンに出荷時点でスパイウェアがインストールされていることを発見したと、昨年(2014年)公表しました。

 2014年06月18日
 中国製スマホにスパイウェアがプリインストールされていることが発見される - GIGAZINE
 http://gigazine.net/news/20140618-star-n9500-peinstall-spyware/

このスパイウェアは、ハッカーが遠隔操作でユーザーの個人情報を盗んだり、無断で電話をかけたり、スマートフォンに搭載されたカメラやマイクを操作して撮影・録音することが可能で、盗まれた情報は中国国内にあるサーバに送信されていたとのこと。


■ソフト(アプリ)の中には危険な機能もあり

実は、2013年12月には、中国の検索サイト「百度(バイドゥ)」が提供する日本語の入力ソフト「Baidu IME(バイドゥ・アイエムイー)」が、パソコンに打ち込まれたほぼすべての情報を、利用者に無断で外部に送信していた事件がありましたね。

このとき、百度がスマートフォン向けに提供している「Simeji(シメジ)」という人気の日本語入力ソフトも、情報の送信を行っていることが確認されました。

ソフト(アプリ)自体の中にも危険な処理が入っている可能性があるので、注意が必要ですね。