一般社団法人
日本シーサート協議会
Nippon CSIRT Association

みんなで 「情報セキュリティ」 強化宣言! 2009

netanzen_for_nca_blue.png

あなたのパスワードは大丈夫ですか?

日本シーサート協議会では、みんなで 「情報セキュリティ」 強化宣言 ! 2009 にあわせ、身近で起きている情報セキュリティの問題を 「あなたのパスワードは大丈夫ですか?」 と題し、ID やパスワードなどのアカウント管理についてについて、紹介したいと思います。

最近、ID やパスワードを大量に搾取して悪用する犯罪集団が出てきています。被害に合わないためにも、対策方法を身につけましょう。

身近で起きている 『パスワード』 関係の事件

フィッシング

本当のウェブサイトではなく、スパムメールや偽の情報を利用しのウェブサイトに誘導し、あなたの ID とパスワードを盗むことを 「フィッシング」 といいます。フィッシングで盗んだ ID を利用することで、主に次のような悪意ある行為ができます。
・ネットバンクを利用した不正送金
・クレジットカード番号等を利用した不正な物品購入
・氏名・住所等の個人情報を使った不正口座の開設やカードの作成

最近の事例では上記以外にも、『持ち主であるユーザの信用を利用した悪意ある行為 (中傷や名誉を汚す目的、スパム業者による違法な宣伝目的) 』 といったことも事例としてあげられています。

キーロガー

パソコンのキーボードで入力した文字を記録するキーロガーと呼ばれる技術があります。もともとコンピュータプログラムの開発に用いられた技術でしたが、最近この技術を取り入れたコンピュータウイルスが増えています。 パソコンがこのウイルスに感染し、パソコンに入力した個人情報 (住所、氏名、年齢、電話番号)、オンラインバンキングの契約番号、クレジットカード番号、ID、パスワード等の重要な情報がキーロガーによって記録され、インターネットを介して盗み取られるという事例が増えています。

SQL インジェクション

ウェブサイトに悪意ある文字列を送信することで、ウェブサイト側で管理しているデータを改変したり、不正に取得することが可能な 【SQL (エスキューエル) インジェクション】 と呼ばれる攻撃があります。 サイバー犯罪者はこの攻撃により、ウェブサイトから膨大な量のパスワードなどの個人情報を不正に取得したり、罠に誘導するウェブサイトに改変したりします。 このサイバー攻撃は日本国内のセキュリティ監視センターである JSOC の攻撃観測データによると、2008 年 12 月には過去最高の攻撃件数を記録しています。
この攻撃による被害を受けたウェブサイトにアクセスすると、皆さんが気づかないうちにウイルスをダウンロードさせられるような事件も、近年多発しています。

皆さんが出来ることは、危ない!ウェブサイトを見分ける能力を身に付けることです。
・社会的な信用がなさそうな会社のウェブサイトにクレジットカードの情報を登録してはいけません(例えば、そのウェブサイトのトップページにある会社情報やプライバシーポリシーを確認しましょう)
・いまいち信用できなさそうなウェブサイトを利用せざるをえない場合、登録にメールアドレス等が必要なら、使い捨てメールアドレスを用意しておくのもよいでしょう。

[参考]
JSOC 侵入傾向分析レポート
    http://www.lac.co.jp/info/jsoc_report/ ※現在公開されていません

『パスワード』 関係の事件から身を守るために

フィッシング対策

アドレスバーに表示されている URL が、普段利用しているウェブサイトのドメイン名かどうかを確認しましょう。ログイン時で SSL が選択出来る場合は、SSL で保護されたのログイン画面を利用するようにし、ブラウザの SSL の鍵マークも確認することをお勧めします。

[参考]
IPA webサイト
    https://www.ipa.go.jp/index.html

キーロガー対策

キーロガー等のスパイウェアに感染しないよう、OS、ソフトウェアを常に最新の状態にし、アンチウイルスソフトできちんとチェックをしましょう。パターンの更新も忘れずに。 なお、ご利用されているソフトウェアの脆弱性の最新情報については、JVN (Japan Vulnerability Notes) を定期的に確認することをお勧めします。 また、脆弱性対策情報収集ツールの MyJVN を使うとさらに便利ですので、一度試してみるのはいかがでしょうか。

[参考]
IPA パソコンユーザのためのスパイウェア対策 5 箇条
   http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html ※現在公開されていません
Japan Vulnerability Notes (JVN)
    http://jvn.jp/
MyJVN
    http://jvndb.jvn.jp/apis/myjvn/mjcheck.html ※現在公開されていません
Yahoo! JAPAN IDガイド
    http://login.yahoo.co.jp/guide/jp/yid/security/index.html ※現在公開されていません
Yahoo! JAPAN IDガイド - パスワード泥棒に気をつけろ !
    http://login.yahoo.co.jp/guide/jp/yid/security/education1.html ※現在公開されていません

ウェブサイトでの情報漏洩による 2 次被害の防止対策

自分がユーザ登録したウェブサイトから ID やパスワードの情報が漏洩した場合のことも考えて、ウェブサイト毎に異なる ID やパスワードを利用することも大切です。

[参考]
Yahoo! セキュリティセンター サイトごとに違うパスワードを !
    http://security.yahoo.co.jp/attention/password/index.html ※現在公開されていません

関連活動の紹介

チーム名 (略称) 活動概要
HIRT みんなで 「情報セキュリティ」 強化宣言 ! 2009 にあわせて、日立グループでのセキュリティ情報発信の取り組みについて紹介します。
    http://www.hitachi.co.jp/hirt/publications/hirt-pub09001/index.html

YIRD 情報セキュリティの日にあわせ子どもと保護者を対象に 「セキュリティ特集 2009 春」 公開
セキュリティ特集 2009 春
    http://special.security.yahoo.co.jp/ ※現在公開されていません
Yahoo! きっず
    http://kids.yahoo.co.jp/
Yahoo! あんしんネット
    http://anshin.yahoo.co.jp/ ※現在公開されていません
Yahoo! きっずガイド
    http://guide.kids.yahoo.co.jp/ ※現在公開されていません
Yahoo! きっずガイド (保護者、先生用)
    http://guide.kids.yahoo.co.jp/info/index.html ※現在公開されていません
こどもたちのインターネット利用について考える研究会
    http://www.child-safenet.jp/
ログインシール
    https://protect.login.yahoo.co.jp/ ※現在公開されていません
「Yahoo! ツールバー」 フィッシング警告機能
    http://toolbar.yahoo.co.jp/intro/conv/ ※現在公開されていません
ヤフオク護身術
    http://auctions.yahoo.co.jp/phtml/auc/jp/notice/trouble/
   
チーム名のアルファベット順
ページトップへ