やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

セキュリティ

ビジネスメール詐欺(BEC)で大企業も被害者に【ビジネスメール詐欺の被害事例により意識を高めよう】

オレオレ詐欺や詐欺商法など、「なぜ騙されるのか」と被害者の方に非があるような風潮があります。 ではビジネス上のやりとりで大手企業が多額の被害にあっているとしたら、どう思うでしょう。 ビジネスメール詐欺による被害が後を断ちません。 ビジネスメー…

サイバーキルチェーンとは?【攻撃者の行動パターンを知って防御設計に生かそう】

サイバー攻撃の具体的な統計情報をみると衝撃を受けます。 例えば、NICT(国立研究開発法人情報通信研究機構)が2019年2月に公開した「NICTER観測レポート2018」によると、2018年に観測されたサイバー攻撃関連の通信は2,121億パケットとのことです。前年は1,…

技術の進展が攻撃者の身元隠しにつながる【攻撃のハードルが低くなっていることを認識しよう】

サイバー攻撃を仕掛ける攻撃者の目的って、そもそも何なんでしょう。 自分の技術力の高さを知らしめる愉快犯的なものから、ターゲットへの恨みから情報を盗んで評判を落としたり、金銭を要求したりするようなもの、そして、ここ最近では、広く一般ユーザから…

有名Webサイトでも詐欺サイトに誘導される【検索結果の上位表示Webサイトでも安心しない】

誰もが自分が詐欺に引っ掛かるなんて思っていませんよね。それでもインターネットショッピングなどを利用する時は、ほんの少しリスクを感じながら、怪しそうなWebサイトは注意深く確認するようにしている人が多いことでしょう。 新しいWebサイトを訪問する場…

無線LANのセキュリティが狙われる【基本を抑えて脅威に備えよう】

無線LANは電波を使ってデータをやり取りします。当然ながら盗聴の危険性に常にさらされています。 無線LANで使われてるセキュリティプロトコルは、過去に脆弱性が見つかり盗聴されやすい状況になり、新しい方法にとって変わった経緯があります。 無線LANのセ…

カメラ機能の脆弱性で覗き見される恐れ【ネットワーク接続で利用する機能は慎重に使おう】

IoT機能をうたうスマート家電市場が活況を浴びています。 手軽にスマートフォンのアプリからリモートでモニタリングやコントロールができる機能は、うまく生活パターンに取り入れることで時間や空間を節約してくれ、気分も上がりますよね。 ただ、ネットワー…

セキュリティ対策はコストではなく投資【セキュリティ対策の投資効果がわかる仕組み作りが必要】

毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。 セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。 サイバー攻撃が避けられない現状において…

パスワード規則の古い常識【パスワードを適切に管理しよう】

パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを…

クラウドサービスの無断利用で違反者になる恐れあり【便利なツール利用にはリスクがあることを認識しよう】

ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正…

クリスマスシーズン到来でサイバー攻撃活発【被害にあわないためにリスクを認識しよう】

12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリス…

コンピュータウィルスについて(分類編)

コンピュータウィルスの定義 コンピュータウィルスとは、「コンピュータの正常な働きを妨げる有害なコンピュータプログラム(ソフトウェア)の一種で、他のプログラムの一部として自ら複製し、そのプログラムが起動されると悪質な動作を実行するもの」という…

スマート家電のセキュリティ対策

スマート家電は危険がいっぱい 外出中でもスマートフォンを使ってリモコンみたいにコントロールができる冷蔵庫や洗濯機、エアコンなど、いわゆるスマート家電。 インターネットに繋がることで、パソコンやスマートフォンと同じようにセキュリティの脅威にさ…

ビジネスメール詐欺(BEC)

ビジネスメール詐欺(BEC(Business Email Compromise))とは 取引先などを装った偽のメールを組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のことです。 2017年12月に日本航空が3億8000万円の被害に遭ったことがニュースで報じられたよ…

暗号の解読

暗号技術は解読される運命 インターネットが誰でも安全に使えるのは、通信を暗号化して他人にアクセスできない仕組みがあるからと無意識に安心しきっているからでしょう。 ただ、その暗号技術は、基本的には時間をかければ解読される運命にあります。 そう聞…

インシデント発生時の対応

インシデントが発生した時に慌てず行動するために 組織のセキュリティ担当者にとって、サイバー攻撃やセキュリティ事故などのインシデント発生に備え、やるべき行動をルール化しておくことが大切です。 以前にも紹介した経済産業省が公開している「サイバー…

脅威インテリジェンス

多様化するサイバー攻撃 サイバー攻撃を大別すると以下のようになります。 サイバー犯罪 グループによる犯罪で、主に金銭の奪取を目的とするものです。 ランサムウェアや不正送金させるマルウェアなどの攻撃があります。 www.aolaniengineer.com サイバース…

UEBA(User and Entity Behavior Analytics)

UEBAとは、複数のセキュリティ機器やネットワーク機器からログを集約し、ユーザごとの振る舞いを分析する手法 User(ユーザ)とEntity(実体)とあるように、ユーザの振る舞いだけでなく、サーバやIoT機器などネットワーク上にあるすべてのものが対象となり…

ランサムウェア

ランサムウェアとは、パソコンやサーバに保存されたデータを暗号化して利用できないようにして、復号したければ金銭を支払うよう要求するウィルス(マルウェア)のこと ランサム(ransom)は身代金のことです。 ランサムウェアの危険性は、感染した端末と同…

DoS攻撃

DoS(Denial of Service)攻撃とは、サイバー攻撃の一種で、標的とするWebサービスを停止状態におとしめるもの 情報を盗み出すのではなく、営業妨害が目的となります。 主な攻撃手法は以下の通りです。 ネットワーク占有型 攻撃者が大量のトラフィックを発生…

セキュリテイプロトコルの全体像

セキュリテイプロトコルと呼ばれるもは何種類もあり、個々の技術はとても奥深いもの IPsec:WANの通信用 SSL/TLS:Webサイトへのアクセス用 SSL-VPN:WANの通信用 SSH:リモートアクセス S/MIME:メール SMTP over SSL:メール POP over SSL:メール SNMPv3…

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは 経済産業省が策定しているもので、企業の経営者向けにサイバー攻撃への対応方法が明記されているものです。 2015年から公開され、最新版は2017年11月公開のVer2.0になります。 その中で経営者の3原則と指示すべき…

常時SSL

常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して通信すること ブラウザのURL欄に「https://~」やが表記されるものです。(SSL/TLS化されていないサイトは「http://~」) 以下のスクリーンショットは、SafariでSSL化されたWebページにアクセ…

パスワードクラック

パスワードクラック(password crack)とは、本人になりすまして不正利用することを目的として、パスワードを探り当てる手法のこと パスワードクラックには、以下のようなものがあります。 辞書攻撃 パスワードとしてよく使われる文字列のリスト(辞書ファイ…

CASB

CASB(Cloud Access Security Broker)とは、クラウドサービスを安全に利用するための概念 企業では、従業員が勝手にクラウドサービスを利用しているケースが多くあり、これをシャドーITと言います。 シャドーITの課題 セキュリティ上問題のあるクラウドサー…