お知らせ

  1. ホーム
  2. お知らせ
  3. セキュリティ
  • パソコン関連

宅ふぁいる便が400万件を超える情報流出

noimage

宅ふぁいる便が400万件を超える情報流出

オンラインでのファイル共有サービス宅ふぁいる便が400万件以上の情報流出を確認したということで、広報があり2019/1/27現在サービスを停止しています。 格納されていたデータの流出は明らかになっていませんが、運営会社によればメールアドレス、ログインパスワード、生年月日が漏洩しているということです。 まずこれについて、登録していた方はパスワードの使い回しをやめ、宅ふぁいる便に登録していたパスワードとメールアドレスの組み合わせは他のサービスで利用しない、変更することが強く求められます。 宅ふぁいる便は1999年からの古いサービスで、メールでの送受信が難しいファイルサイズのデータをやり取りするために利用されてきました。 メールで添付できないサイズのものであると、いくつかある中でも老舗の宅ふぁいる便が選ばれることがあり、またデザイン業など画像中心に大きなデータをやり取りする一部業界などでは習慣的に利用されているということもありました。 ただその多くはシャドーIT、企業管理外のIT利用という実態も多くあったと思われるところです。 現在はファイルの共有範囲や共有時間を設定できるオンラインストレージもあり、様々な方法を用いることができます。 ビジネス向けのものであれば各ユーザー、端末での利用を許可したりロックしたりなどの管理機能を持つものも増えてきており、ファイル共有のセキュリティについては大きく世の中が進んでいます。 今回もシャドーITとして利用している場合、どのようなものが流出してしまったかについては企業としてまったく把握できず、お客様や自社にダメージを与え、またそれすら本人含め気づけないことになって今います。 ファイル共有についてのポリシー決定、安全策を設定することは問題がシンプルになってきており、また解決が早期に必要とされていることでもあります。
  • パソコン関連

Windos7のサポート終了に備える

noimage

Windos7のサポート終了に備える

Windows7のサポート期限が2020年1月までとなっています。 現状延長サポート期間と呼ばれるもので、セキュリティなどのアップデートは最小限行われる状態です。 Windows7サポート終了後は脆弱性なども放置されるので、インターネットを遮断するなどではそれを防ぐことはできず、速やかにWindows10への移行が推奨となります。 Windows7からWindows10への移行ではソフトウェアがWindows10ではサポートされていないということに留意しなければなりません。 Office2007以前のバージョンについてはWindows10での動作のサポートはされていません。 Officeは2007は11年前のバージョンとなりますが現状でも利用の割合は少なくはない状態です。 それらを移行する必要を考えると、いまから準備を始めても早すぎるということはありません。 Office2007にはあった機能が最新版ではサポートされていないものがあり、それらの互換性をギリギリでテストして支障が出るなどは避けておきたいものです。 その他にも周辺機器の対応状況などもあり、残る一年三ヶ月、早めの準備が必要です。
  • パソコン関連

Chrome「保護されていません」

noimage

Chrome「保護されていません」

Google Chromeがhttps対応していないサイトについて、アドレスバーに「保護されていません」という表示を最新版Chrome68から行うようになりました。 これについては以前よりアナウンスがあった内容で、今回アナウンスされていた通りに実施されたことになります。 Googleは以前より全Webサイトのhttps対応を推しており、現状シェアの高いChromeでこのような表示が行われることで、Chromeでの閲覧者に対してサイトのイメージ向上のために常時httpsを導入するサイトは増えていくでしょう。 https対応のサイトは、通信の暗号化とともに正しいサイトに接続しているかということの証明にもなります。 一般的にアドレスバーに対してURLを入力しているとそのサイトに正しく接続されるものですが、DNSというアドレスとIPアドレス間の参照を行うサーバーが不正に改変されていた場合、URLの内容と違うサイトに接続されてしまう攻撃を受けてしまうことがあり得ます。 そう行った場合常時SSL通信ができていれば、危険なサイトとして接続をブロックするなどブラウザとして措置をとることができます。 これらは多く起こることではありませんが、このような攻撃は特定の条件やターゲットを設定されて行われることが多く、自分がターゲットになるとは思っていない場合にこそ起こりうるもので、そのような場合に安全策が用意されているのはユーザーとしては安心できます。 https対応についてはSSL証明書を認定された証明機関から発行してもらう仕組みになっており、導入するにはそれなりの手間と発行費用のコストがかかるものです。 ただもはや世の中の流れとして常時httpsが当たり前になりつつあるということで、これから導入を進めていくサイトは大幅に増えるものと考えられます。
  • パソコン関連

ルーター脆弱性攻撃とhttps

noimage

ルーター脆弱性攻撃とhttps

今年の3月ごろからインターネットルーターが外部から攻撃され、DNS情報が書き換えられてしまうという攻撃が国内でも発生しています。いまのところ具体的な対処方法はないようです。 書き換えられてしまうDNS情報とは何かと言うと、例を挙げれば、ブラウザのでWEBアドレスを入力するとき、www.sys-cube.co.jpと入力すると、DNSは49.212.から始まるグローバルIPアドレスを指すものであると指定します。そうすることでブラウザは指定のIPアドレスのサーバーに対してリクエストを送り、WEBサイトが表示されます。 このようにドメイン名からIPアドレスを解決するためのシステムがDNSです。 インターネットルーターもこのDNSの機能をもつのですが、冒頭に挙げた外部からルーターの脆弱性をつき、DNSの情報を書き換えてしまう攻撃が今年になって発生しています。 この場合、接続先がSSLによりhttpsアドレスとなっている時、指定したアドレスがDNS書き換えによって別のサーバーに接続した場合は、ブラウザで証明書のアンマッチが判断され、危険なサイトとして通信をブロックすることが可能です。 まずDNS書き換えの脆弱性を取り除くことが必要ですが、DNSによるIPアドレスの指定が書き換えられている可能性は様々なところであります。 不特定多数が利用するフリーWi-Fiなどでルーターが意図的に書き換えられたDNS情報を保持している場合などもあり、利用者を特定のサーバーに誘導することなども危険性としては十分あり得ます。 このような場合もDNSの情報によらず証明書情報のアンマッチは検出ができるため、例えばFacebookに偽装されたサイトなどへの誘導は不可能に近いです。 Googleはこのようなサイトの安全性や、DNS情報によらず接続先サーバの安全を確かめることができることなどからhttpsサイトの切り替えを重要視しているのではないかと筆者は考えています。 httpsでないことが安全ではないとは言い切れはしないのですが、何かをダウンロードしたり情報を入力するような場合はhttpsであることはユーザーの安全性を確保するものになります。  
  • パソコン関連

パスワードの定期変更を強いる危険性

noimage

パスワードの定期変更を強いる危険性

パスワードの定期変更はセキュリティ的にネガティブな要因となるという見解が米国政府をはじめ表明され、広がりを見せています。 セキュリティポリシーなどを定める中で、パスワードの定期変更をおこなうという項目を盛り込み、それをシステムに取り組むことなどは数多くある事例です。 筆者としてもWindowsのActive Directoryでパスワードの定期変更をポリシーとして設定したことがあり、それは企業のISMSのセキュリティ施策に沿ったものでした。 現在ではこの考え方について、メリットよりもリスクの方が多いのではないかという考え方が強くなっています。 パスワードはある程度の長さを持ち、英数字記号などを混ぜたものが推奨されます。文字数が多くなると覚えるのが大変ですので、定期的な変更を強制されると、他のパスワードとの使い回しや簡単なパスワードの部分変更などにしてしまうユーザーがどうしても増えます。 特に昨今は他のシステムなどのパスワードとの使い回しが不正アクセスの最大の弱点になっています。ある程度以上の規模のあるシステムで、パスワードが大規模な流出が相次ぎました。パスワードとアカウント名が紐づいていたデータベースなどが攻撃者によって作られているのが現状です。 現在最も重要なパスワード運用は、推測されにくく、使いまわさないパスワードであると筆者は考えています。 このところはある程度の強度を持ったパスワード生成機やパスワード管理システムなどもあり、強度の高いパスワードを簡単に使えるような仕組みが増えてきています。 またメールやスマートフォンなどを利用した2段階認証などもあり、それらの仕組みを使えばより安全にパスワードとIDを守ることができます。 パスワードの定期変更をポリシーとして設定している場合は、安全な運用方法についてポリシー改定を策定するのも考慮しても良いと考えます。 まず不正ログインなどのリスクからシステムを守ることが最も重要で、それを守るために既存のポリシーを変えることもまたリスクマネジメントで大切なことではないでしょうか。
  • パソコン関連

Let’s EncryptがSSLワイルドカード証明書を無償提供

noimage

Let’s EncryptがSSLワイルドカード証明書を無償提供

無償でSSL証明書を発行している認証局Let's EncryptがワイルドカードSSLの提供を開始しました。 ワイルドカードSSLとは、サブドメイン全てに対して一つの証明書でSSL対応が可能というものです。 サブドメインとは*.ドメイン名という形で、*の部分が該当します。WEBサイトのみであればwww.ドメイン名という形、メールなどではmail.ドメイン名、その他にもWEBサーバの割り当てによって、ユーザー名や組織名をサブドメインとして利用するWEBサービスなどが多くあります。 SSLの証明書としては完全なドメイン名(弊社で言えばwww.sys-cube.co.jp)に対して一つ発行され、サブドメインなどがあれば、それに対して一つずつ必要なものです。 それらサブドメインを全て認証するワイルドカード証明書は、これまで購入すると導入は簡単でも単一のドメインで取得するよりも数倍高価でした。 Let's Encryptはネットワークやインターネットにかかわるいくつもの有名な企業や組織によって構成され、インターネットのセキュアな通信を促進する目的で設立されています。 高額だったワイルドカードSSLが無償で提供されることにより、多くのWEBシステムがSSLによる安全な通信のもと保護されることになるでしょう。
  • パソコン関連

Windows7のサポート期間終了まであと2年

noimage

Windows7のサポート期間終了まであと2年

Windows7の延長サポート期限は2020年1月。それ以降はセキュリティを含めたアップデートは行われません。 現在2018年から残すところあと2年を切りました。 Windows XPサポート終了が2014年でその際に駆け込みのアップデートや機材調達で納期の遅れなどが頻繁にありました。 今年2018年中のWindows7からWindows10へのアップデートのプランづくりをおすすめいたします。 Windows10は2015年にリリースされて3年、成熟したOSとなってきています。 その前バージョンWindows8.1も今年に正規サポートが終了され、延長サポート期間に入ります。いまWindows8.1に移行するよりはWindows10への移行をおすすめします。 今までもこれからもOSのセキュリティアップデートはパソコンを業務で使う上で最も大切なことです。 幸いWindows7とWindows10はユーザーインターフェースも違和感が少なく、また周辺機器のデバイスドライバなどもOSアップデートに追従しているものが多くなっています。 Windows XPからWindows7へのアップデートは周辺機器の対応状況などもかなりの変化があり、急な移行によって周辺機器も新たに調達する必要があったという背景もあります。 早めのOSアップデートプランを立て、Windows7のサポート終了に備えることで直前で移行プランがうまくいかないなどの混乱をうまく避けていきましょう。
  • パソコン関連

プロセッサ起因の脆弱性MeltdownとSpectre

noimage

プロセッサ起因の脆弱性MeltdownとSpectre

2017年末にパソコン、スマホ、IoT機器などのプロセッサ起因の脆弱性MeltdownとSprctreが公表されました。 これについてOS各社などが対策用のアップデートを行なっています。 先月から現在にかけての最新版アップデートを行なっていない人はすぐに適用するようにしてください。 これはOSやアプリケーションなどのソフトウェアが原因の脆弱性ではなく、コンピュータの計算機能を集約するプロセッサの脆弱性となり、影響範囲はかなりの大きさとなります。 個人用のパソコン、スマホなどにとどまらず、Webサーバーやその他組み込み型のものなどでも同じリスクを追うことになります。 ひとまず目の前のもののアップデートを先んじて行えば、個人としての対応は終わりです。 近年のプロセッサは予測実行や投機的実行という機能を備えており、これはプログラムの命令群を順番どおりでなく後の命令でも早く実行できるものから実行していくことにより処理速度の向上を図る設計になっています。 この機能の欠陥により、一つのプログラムが他のプログラムのデータを任意に取得することができるようになるというもので、例を挙げるとブラウザで動作するJavascriptが他のアプリやOSのパスワードを読み出すことができるようになるということがこの脆弱性の概略です。 これはIntelの代表的なプロセッサCoreシリーズやスマートフォンタブレットのARM系のプロセッサも同じ設計になっているため、今回発見された脆弱性は広範囲に及びます。 この問題を解決するためにはソフトウェア側で投機実行や予測実行の機能を部分的にオミットしていく必要があります。 そのため脆弱性修正後にパフォーマンスに大小の影響がでるということになります。 個人向けのパソコンよりも大規模なWEBサーバーなどでのパフォーマンス低下がかなり大きな影響を及ぼすことになりそうです。 根本的な修正のためにはプロセッサの入れ替えが必要になり、それをパフォーマンスを低く抑えながらソフト側で対応する状況となっています。
  • パソコン関連

メールで実行形式のファイルを添付する危険性

noimage

メールで実行形式のファイルを添付する危険性

電子メールには様々なファイルが添付できますが、ここに実行型のファイルを添付することはリスクが高い行為です。 Gmailを始めオンラインメーラーでは実行型のファイルを添付できない、またzipファイルを転送する際にもexeなどの実行型ファイルを添付不可能になっているものがほとんどのはずです。 exeという拡張子だと添付できないのでex_のようにして送付することなどもこれに当たります。 自動展開型の圧縮ファイルのようなものも実行型ファイルになり、これらの送付は常にリスクを伴うものです。 実行型ファイルのメールでのやりとりが常態化していると、送信先の不明あるいは偽装されたメールに添付された実行型ファイルを実行してしまうリスクが付きまといます。 電子メールは送信経路での暗号化がないことや、送付元の変更などは自由にできることは前提として考えなければいけない通信手段です。 これらのファイルを送信受信するときには、オンラインストレージを利用するのがもっとも安全です。 送信受信ともに期限付きリンクを利用して相互に送り合うことができれば、ファイルの漏えいや誤った送り先を選択してしまうなどのリスクは無くなります。 ファイルの転送については企業向けDropboxのようなオンラインストレージを使うことがもっとも安全性の高い手段と考えます。 通信経路にはSSLによる暗号化が施されており、偽装された転送先に誘導されてしまうということも起こりえません。 メールによるフィッシングがいつどこにでもありうる状態になった今、特に実行型のファイルのやりとりをメールで常態化させることは危険といえるでしょう。
  • パソコン関連

無料SSLは大丈夫?

noimage

無料SSLは大丈夫?

WEBサイトへの接続を暗号化し、偽装サイトなどに対しても安全なものにするSSLを使用するサイトが増えています。 SSLのためにはWEBサーバー側に証明書が必要になり、それを購入するために費用が必要となります。 このところレンタルサーバーなどでも無料SSLが利用可になるなど無料SSLという言葉を目にすることが多くなりました。 無料SSLサービスLet's Encryptを運営するのはInternet Security Research Groupという組織で、出資者には大手ネットワーク機器メーカーCiscoやインターネットコンテンツ配信網大手Akamaiが名を連ねています。 現在すでに1億以上の証明書発行実績があり、SSL証明書としての実績も十分です。 技術的な安全性として、他のSSL証明書と変わるところはありません。 SSLにも認証レベルがあり、運営組織自体の実在を証明局が証明したEV SSLなどがありますが、SSL証明書の発行にそこまで厳格な審査はLet's Encryptにはありません。 Let's Encryptの特徴としては、証明書の有効期限が90日と限定されており、それ以上の延長のためには再発行を請求し、再発行された証明書をサーバーに設置する必要があります。 一般のroot権限を持つサーバー(オンプレミスのサーバー、専用サーバーやVPSなど)であればスクリプトをインストールするとこれらの一連を自動化することができます。 レンタルサーバーなどでもこれら90日間隔の再発行の仕組みを独自に実装するなどして、ユーザーに無償で提供している企業も増えました。 無料SSLと有料SSLで安全性には差はありません。その証明書の有効期限が90日に固定されているところが違い、持続的にSSLを提供するためには更新の仕組みが必要です。
1 2 3 4 7