みんなで「情報セキュリティ」強化宣言! 2009

情報セキュリティ対策推進コミュニティ

あなたのパスワードは大丈夫ですか?

日本シーサート協議会では、みんなで「情報セキュリティ」強化宣言! 2009 にあわせ、身近で起きている情報セキュリティの問題を「あなたのパスワードは大丈夫ですか?」と題し、IDやパスワードなどのアカウント管理についてについて、紹介したいと思います。

最近、IDやパスワードを大量に搾取して悪用する犯罪集団が出てきています。被害に合わないためにも、対策方法を身につけましょう。

身近で起きている『パスワード』関係の事件

フィッシング

本当のウェブサイトではなく、スパムメールや偽の情報を利用しのウェブサイトに誘導し、あなたのIDとパスワードを盗むことを「フィッシング」といいます。フィッシングで盗んだIDを利用することで、主に次のような悪意ある行為ができます。
・ネットバンクを利用した不正送金
・クレジットカード番号等を利用した不正な物品購入
・氏名・住所等の個人情報を使った不正口座の開設やカードの作成

最近の事例では上記以外にも、『持ち主であるユーザの信用を利用した悪意ある行為(中傷や名誉を汚す目的、スパム業者による違法な宣伝目的)』といったことも事例としてあげられています。

キーロガー

パソコンのキーボードで入力した文字を記録するキーロガーと呼ばれる技術があります。もともとコンピュータプログラムの開発に用いられた技術でしたが、最近この技術を取り入れたコンピュータウイルスが増えています。 パソコンがこのウイルスに感染し、パソコンに入力した個人情報 (住所、氏名、年齢、電話番号)、オンラインバンキングの契約番号、クレジットカード番号、ID、パスワード等の重要な情報がキーロガーによって記録され、インターネットを介して盗み取られるという事例が増えています。

SQLインジェクション

ウェブサイトに悪意ある文字列を送信することで、ウェブサイト側で管理しているデータを改変したり、不正に取得することが可能な【SQL(エスキューエル)インジェクション】と呼ばれる攻撃があります。 サイバー犯罪者はこの攻撃により、ウェブサイトから膨大な量のパスワードなどの個人情報を不正に取得したり、罠に誘導するウェブサイトに改変したりします。 このサイバー攻撃は日本国内のセキュリティ監視センターであるJSOCの攻撃観測データによると、2008年12月には過去最高の攻撃件数を記録しています。
この攻撃による被害を受けたウェブサイトにアクセスすると、皆さんが気づかないうちにウイルスをダウンロードさせられるような事件も、近年多発しています。

皆さんが出来ることは、危ない!ウェブサイトを見分ける能力を身に付けることです。
・社会的な信用がなさそうな会社のウェブサイトにクレジットカードの情報を登録してはいけません(例えば、そのウェブサイトのトップページにある会社情報やプライバシーポリシーを確認しましょう)
・いまいち信用できなさそうなウェブサイトを利用せざるをえない場合、登録にメールアドレス等が必要なら、使い捨てメールアドレスを用意しておくのもよいでしょう。

[参考]
JSOC侵入傾向分析レポート
    http://www.lac.co.jp/info/jsoc_report/

『パスワード』関係の事件から身を守るために

フィッシング対策

アドレスバーに表示されているURLが、普段利用しているウェブサイトのドメイン名かどうかを確認しましょう。ログイン時でSSLが選択出来る場合は、SSLで保護されたのログイン画面を利用するようにし、ブラウザのSSLの鍵マークも確認することをお勧めします。

[参考]
IPA フィッシング (Phishing)対策
    http://www.ipa.go.jp/security/personal/protect/phishing.html

キーロガー対策

キーロガー等のスパイウェアに感染しないよう、OS、ソフトウェアを常に最新の状態にし、アンチウイルスソフトできちんとチェックをしましょう。パターンの更新も忘れずに。 なお、ご利用されているソフトウェアの脆弱性の最新情報については、JVN(Japan Vulnerability Notes)を定期的に確認することをお勧めします。 また、脆弱性対策情報収集ツールのMyJVNを使うとさらに便利ですので、一度試してみるのはいかがでしょうか。

[参考]
IPA パソコンユーザのためのスパイウェア対策 5 箇条
    http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html
Japan Vulnerability Notes(JVN)
    http://jvn.jp/
MyJVN
    http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
Yahoo! JAPAN IDガイド
    http://login.yahoo.co.jp/guide/jp/yid/security/index.html
Yahoo! JAPAN IDガイド - パスワード泥棒に気をつけろ!
    http://login.yahoo.co.jp/guide/jp/yid/security/education1.html

ウェブサイトでの情報漏洩による2次被害の防止対策

自分がユーザ登録したウェブサイトからIDやパスワードの情報が漏洩した場合のことも考えて、ウェブサイト毎に異なるIDやパスワードを利用することも大切です。

[参考]
Yahoo!セキュリティセンター サイトごとに違うパスワードを!
    http://security.yahoo.co.jp/attention/password/index.html

関連活動の紹介

チーム名 (略称) 活動概要
HIRT みんなで「情報セキュリティ」強化宣言! 2009 にあわせて、日立グループでのセキュリティ情報発信の取り組みについて紹介します。
    http://www.hitachi.co.jp/hirt/publications/hirt-pub09001/index.html

YIRD 情報セキュリティの日にあわせ子どもと保護者を対象に「セキュリティ特集 2009春」公開
セキュリティ特集 2009春
    http://special.security.yahoo.co.jp/
Yahoo!きっず
    http://kids.yahoo.co.jp/
Yahoo!あんしんネット
    http://anshin.yahoo.co.jp/
Yahoo!きっずガイド
    http://guide.kids.yahoo.co.jp/
Yahoo!きっずガイド(保護者、先生用)
    http://guide.kids.yahoo.co.jp/info/index.html
こどもたちのインターネット利用について考える研究会
    http://www.child-safenet.jp/
ログインシール
    https://protect.login.yahoo.co.jp/
「Yahoo!ツールバー」フィッシング警告機能
    http://toolbar.yahoo.co.jp/intro/conv/
ヤフオク護身術
    http://auctions.yahoo.co.jp/phtml/auc/jp/notice/trouble/
 
  
チーム名のアルファベット順
発行日:2009-02-09T15:18+09:00
更新日:2009-02-09T15:18+09:00