今日のリンク

記者の眼 – 標的型攻撃は“防げない”:ITpro

 特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」。標的型攻撃の常とう手段は、標的とした企業・組織の従業員にウイルス(マルウエア)を添付したメールを送信すること(図)。従業員がウイルスを実行するとPCに感染して、攻撃者にPCを乗っ取られる。そして攻撃者は、ウイルス感染PCを足掛かりにして、社内ネットワークを“物色”し、機密情報を盗み出す。

 Web経由の標的型攻撃も出現している。いわゆる「水飲み場型攻撃」だ(関連記事:ITproまとめ「水飲み場型攻撃」)。この攻撃では、攻撃者は一般のWebサイトに侵入して“わな”を仕掛け、標的とした企業の従業員がアクセスしたときにだけウイルスをダウンロードさせる。

 しかも、2013年8月(ベンダーによっては2013年9月としている)に国内で確認された水飲み場型攻撃では、Internet Explorer(IE)のゼロデイ脆弱性が使われた。ここでのゼロデイ脆弱性とは、ベンダーが対策(セキュリティ更新プログラムなど)を用意していない脆弱性のこと。つまり、セキュリティ更新プログラムをきちんと適用しているユーザーでも、被害に遭う恐れがあった。

 「最近の攻撃を見ていて感じることは、どのような防御体制を取っている企業や組織でも、やられるときにはやられてしまうということだ」(JPCERTコーディネーションセンターの分析センター長を務める真鍋敬士 理事)。同様のコメントをする専門家は多い。コストをかけた巧妙な攻撃のターゲットになったら、侵入を防ぎきれないのが現状なのだ。

 もはや、どれだけ対策費用をかけても、侵入を確実に防ぐことは困難になっている。もちろん、以前から100%防ぐことは不可能だったが、攻撃の巧妙化に伴い、防御することがより難しくなっている。侵入された後の対策を考慮していない企業・組織は、すぐに検討すべきだ。「侵入を防ぐための『壁』を突破されてからが、本当の戦いだと思ってほしい」(真鍋理事)。


壊滅的バグ「ハートブリード」をNSAは知っていたのか | 平 和博

壊滅的というのは適切な表現だ。10段階で表現すれば、これは11だ。

自らのブログでそう述べたのは、著名なネットセキュリティの専門家、ブルース・シュナイアーさんだ。

〝壊滅的〟と言われるインターネットセキュリティのバグ(欠陥)「ハートブリード(Heartbleed 心臓出血)」が明らかになってから1週間が過ぎた。

犯罪ジャーナリストが警告!GW前に押さえておきたい海外旅行先で気を付けるべき犯罪 | ウートピ

手っ取り早く狙われるのが強引にカバンごと奪われるひったくり。「斜めがけにしておけばいいんでしょ」と言う人もいるが、これが間違いだ。犯罪者は腕力の弱い女性を狙い撃ちにしているので、多少の抵抗は無意味。狙われたら奪われると思って諦めないと思わぬケガをすることもある。できれば貴重品はホテルのセキュリティボックスに預けて、パスポートはコピーを携帯しよう。

それは「宝石詐欺」や「ポーカー詐欺」といった定番の詐欺。手口は、知り合った現地人が言葉巧みに自宅や自分の店などに誘い込み、クズみたいな品物を高額で売りつけてきたり、イカサマのカードゲームで負債を背負わせてお金をせしめようとするもので、外務省海外安全ホームページや老舗ガイドブック『地球の歩き方』でしついこいぐらいに注意されている王道トラブルだ。

iPhone を月467円で使えるプラン — 「ServersMan SIM LTE」が SIM フリー向けに – インターネットコムServersMan SIM LTE は併せて最大通信速度も向上する。上り、下りともに従来の 150kbps から 250kbps に引き上げる。動画のストリーミング視聴などには向かないものの、メールのやりとりや Web サイトの閲覧などはしやすくなる。

正しいサイトを開いても「偽サイト」にすりかわる恐れ — 「パンドラの箱」と呼ばれるネットの欠陥見つかる – インターネットコム
JPRSがDNSキャッシュポイズニング攻撃に対する緊急の注意喚起を出す | スラッシュドット・ジャパン セキュリティ

「DNS キャッシュポイズニング(毒入れ)」と呼ばれてきた攻撃の新手法。ドメインの登録管理を手掛ける日本レジストリサービス(JPRS)が警告を発したが、この手法を強く懸念する中京大学の鈴木常彦教授は情報が不十分だとしてブログにより詳しく内容を紹介し、「キャッシュポイズニングの開いたパンドラの箱」と題して技術的な解説も公開している。

サイバー犯罪者がこの手法を悪用すれば、我々がブックマーク(お気に入り)に登録したニュースサイトや、検索して見つけたショッピングサイト、ブログの記事に貼られたリンク先まで、本物を開いたつもりが偽物にすりかわっているという事態が以前より容易に起こりうる。

ただし、最近注目を集めている OpenSSL の脆弱(ぜいじゃく)性と同じく、一般ユーザーができることはあまりなく、ネットのインフラを支える組織の対策を待つしかない。

人間中心的な世界認識と科学の関係――小保方問題から考える《松浦晋也「人と技術と情報の界面を探る」》

 STAP細胞に関する論文記載内容が事実であるかどうかに、執筆者の性別や容貌や年齢や熱心さといった態度の、一体何が関係あるのだろうか。

 科学とは、自然を観察する中から次々に現れる疑問に答えていく営みだ。そのためには、まずは「人間に注目してしまう人間の本能的思考」を停止しなければいけない。なぜなら、人間に注目するということは人間を世界の中心に据えた思考をするということだから。

「ソーシャル新人類」の不夜城~10代は何を考えているのか – 恐ろしいほど簡単な個人の特定、「匿名性」の…:ITpro

 私たちは、知らず知らずのうちに、ネット上に多くの情報をばらまいている。Twitterは匿名でも、Facebookやmixiで本名を使っていたり、ブログを開いていたり、写真や位置情報などを公開していることがある。これら複数の情報を照らし合わせることで、個人の特定ができてしまう。特にFacebookは本名も顔写真も掲載していることが多いため、得られる情報量が多くなってしまう。

 個人情報の特定によく使われるのが、写真データに付与される「Exif」という属性情報だ。ここには撮影日時や撮影したカメラの機種番号などに加え、撮影した場所の緯度経度も記録できる。GPS(全地球測位システム)を内蔵しているスマートフォンのカメラで撮影した写真に、本人が意識しないまま位置情報が埋め込まれる場合もあるため注意が必要だ(写真3)。

 これまで説明してきたように我々は様々なサービス上に個人情報を残してしまっている。慣れた人の手にかかると、複数の情報を掛け合わせることで個人の特定ができるようになってしまった。自ら個人情報を発信していたり、友人などから意図しない情報を公開されていることもある。

 筆者は講演で、匿名を過信するとどうなるか、事例を挙げて説明している。そのような羽目に陥る心理や勘違い、サービスごとの違いについても説明している。そうすることで、少なくとも講演をした学校ではその後で炎上事例は起きていない。周囲の大人たちは、子どもたちにそのような知識を積極的に伝えていくべきだ。知っていれば防げることを知らないため、自ら危険を招き寄せかねないという事実を知っておくべきだ。

自動車から出るデータは誰のもの? – 車載ネット&セキュリティー – 日経テクノロジーオンライン

コメントを残す