日々のコンピュータ情報の集積と整理

Dr.ウーパのコンピュータ備忘録

2014年6月15日日曜日

最近セキュリティの脅威がどんどん身近になってくるのを感じる:この1年で自分に影響を与えた事件をまとめてみた

最近、インターネット上のセキュリティに関連する脅威がどんどん身近になってくるのを感じます。

ニュースを見ていると、個人情報の流出やフィッシング詐欺、コンピュータウィルスの流行、Webサイトの改竄、悪意を持った人からの攻撃など、セキュリティの話題を見ない日は無いんじゃないかと思うくらい頻発しています。

この 1 年くらいの間に私が影響を受けたセキュリティの事件をまとめてみました。



この 1 年くらいの間に私が影響を受けたセキュリティの事件まとめ

1.Adobe への不正アクセスによる顧客情報の流出

発生日が2013年10月3日なので、既に 1 年ほど前の出来事ですが、結構これはダメージがありました。

この時に Adobe に登録していたパスワードは、他者のサービスへのログインパスワードとして使いまわしていたパスワードだったので、それらのパスワードをすべて変更しなければならなくなりました。

教訓として得られたのは、信頼性の高いと思われる大企業ですら情報が盗まれることがあるので、パスワードは使いまわすのは良くないということです。


お客様情報のセキュリティに関する重要なお知らせ
http://helpx.adobe.com/jp/x-productkb/policy-pricing/customer-alert.html

Adobeから盗まれたユーザー情報がネット上で公開される - CIOニュース:CIO Magazine
http://itpro.nikkeibp.co.jp/article/IDG/20131031/515124/


2.三菱東京UFJ銀行を語るフィッシングメール

今年は銀行のオンラインバンキングを狙ったフィッシングメールが大きな話題になりました。

私のメールアドレスへも届いたのですが、三菱東京UFJ銀行を語るフィッシングメールが大きな問題となりました。三菱東京UFJ銀行側も公式Webサイトに大きく注意書きをしたり、テレビCMで注意を喚起していたので、ご存じの人も多いと思います。

また、銀行系ではないのですが、私のもとへはスクウェアエニックスを騙るフィッシングメールが届いたこともあります。

教訓として得られたのは、届いたメールは全て疑えということです。サイトへログインする必要がある用件のメールが届いた場合には、メール中に記載されているアドレスをクリックしてブラウザを開くのではなく、事前にブラウザに登録しておいたブックマークを使用して目的のサイトを訪れた方が良いでしょう。


【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年6月10日更新)| 三菱東京UFJ銀行
http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_juyo_mail

3.Buffalo のソフトウェアダウンロードサービスへのウィルス混入

私としてはこれはかなり衝撃的でした。

事件の概要としては、Buffalo の製品を使用するためのソフトウェアは Buffalo の公式サイトからダウンロードできるようになっているのですが、そこに保管されているダウンロード用ファイルの一部が何者かによって改ざんされ、ウィルスが仕込まれていたというものです。

通常、有名大手企業の Web サイトからダウンロードしたソフトウェアなどのファイルは安全だと考えていたので、そこが改ざんされてウィルスが仕込まれていたというのは、考慮していませんでした。

教訓として得られたのは、有名大手企業の Web サイトであっても、外部からの不正アクセスによって改ざんされている可能性があるので、ソフトウェアなどを実行する際には気を付けなければならないということです。

しかし、どう気を付ければいいんでしょうね。
一般的なユーザにとって出来ることは、ウィルス対策ソフトウェアをインストールしておいて、そのウィルス対策ソフトウェアが検出してくれるのを祈ることだけでしょうか。


大切なお知らせ | BUFFALO バッファロー
バッファローダウンロードサイトのウイルス混入によるお詫びとご報告http://buffalo.jp/support_s/20140602.html


4.最近起きていること:流出ID・パスワードを利用した不正ログイン

最近ニコニコ動画やLINEなどのサービスで、他社から流出したIDとパスワードによる不正ログインが発生しているようです。

ID とパスワードを使いまわしている場合、どこか1か所から流出してしまうと、他のサービスも不正アクセスの被害を受けるという大きな欠点があります。

特に、ID をメールアドレスとして指定されているサービスは多いので、少なくともパスワードの使い回しは止めて、それぞれのサービス固有のパスワードとすることで、一度に何か所も被害を受けることは避けれそうです。

教訓として得られたのは、パスワードの使い回しは止めて、それぞれのサービス固有のパスワードを設定するということです。


他社流出パスワードを用いた不正ログインについて ‐ ニコニコインフォ
http://notice.nicovideo.jp/ni046768.html

他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い : LINE公式ブログ
http://official-blog.line.me/ja/archives/1004331596.html

【楽天市場】楽天市場からのお知らせ
http://event.rakuten.co.jp/edy/news/index.html


5.他

他にも今年は SSL の Heartbleed などの大きなセキュリティ上の脆弱性が見つかった事件などがありました。

他にも自分自身が検知できないだけでもっと多くのセキュリティ上の問題が日々発生しているのだと思われます。
(SSL の Heartbleed では、その問題の性質上、誰がどのような影響を受けたのかすらわからないという問題があります。
また、セキュリティの監視がしっかり行われていなければ、不正ログインがあったとしてもそれを検知することができないという問題があります。)

まとめ

この1年くらいで自分に影響を与えた事件から得られた教訓は以下の点です。


  • パスワードの使い回しは止めて、それぞれのサービス固有のパスワードを設定する
  • 届いたメールは全て疑え:メール中に記載されているアドレスをクリックしてブラウザを開くのではなく、事前にブラウザに登録しておいたブックマークを使用して目的のサイトを訪れた方が良い
  • 有名大手企業の Web サイトであっても、外部からの不正アクセスによって改ざんされている可能性があるので、ソフトウェアなどを実行する際には気を付けなければならない



今後もますます新たなセキュリティ上の問題は発生するものと思われます。
インターネット上で出来ることが増えるのは便利ですが、その分セキュリティの脅威は増大していきます。

今の日本ではセキュリティの人材が不足しているというデータもあります。

IPA 独立行政法人 情報処理推進機構:「情報セキュリティ人材の育成に関する基礎調査」報告書について
http://www.ipa.go.jp/security/fy23/reports/jinzai/

セキュリティ人材の不足は危機感の表れ タスクとスキルの見える化が育成に効果---IPA理事 田中 久也氏:ITpro
http://itpro.nikkeibp.co.jp/article/Interview/20140306/541567/?ST=network&P=1


ありとあらゆる面で、セキュリティを日々意識していかなければならない状況です。
一人一人がセキュリティ意識を高めて、全体のセキュリティレベルを上げていかねばなりません。





関連記事

関連記事を読み込み中...

同じラベルの記事を読み込み中...
Related Posts Plugin for WordPress, Blogger...