セキュリティ
WAFの特徴、背景、過去問例です。 【特徴】 WAF(Web Application Firewall) Webアプリケーションの脆弱性を狙う攻撃からWebアプリケーションを保護するセキュリティ対策の一つで、Webサーバの防御に特化したファイアウォールのこと。 Webサーバにアクセス…
サイバーレスキュー隊(J-CRAT)の特徴、過去問例です。 【特徴】 J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan) IPAが2014年に発足させた組織 標的型サイバー攻撃特別相談窓口を設置して、広く一般からの相談や情報提供を受け…
共通鍵暗号方式、公開鍵暗号方式の特徴、過去問例です。 【共通鍵暗号方式の特徴】 暗号化と復号化に同じ鍵を使用する 送信側ではメッセージと鍵を元に暗号アルゴリズムによる演算をして暗号文を生成する 受信側では暗号文に対して、同じ鍵で逆方向の演算を…
ドライブバイダウンロード(drive-by download)の特徴、過去問例です。 【特徴】 不正アクセスの手法の一つ Webサイトなどに不正なプログラムなどを配置し、閲覧者がアクセスすると気付かないうちに自動でダウンロードして実行させる攻撃 不正なプログラム…
オレオレ詐欺や詐欺商法など、「なぜ騙されるのか」と被害者の方に非があるような風潮があります。 ではビジネス上のやりとりで大手企業が多額の被害にあっているとしたら、どう思うでしょう。 ビジネスメール詐欺による被害が後を断ちません。 ビジネスメー…
サイバー攻撃の具体的な統計情報をみると衝撃を受けます。 例えば、NICT(国立研究開発法人情報通信研究機構)が2019年2月に公開した「NICTER観測レポート2018」によると、2018年に観測されたサイバー攻撃関連の通信は2,121億パケットとのことです。前年は1,…
サイバー攻撃を仕掛ける攻撃者の目的って、そもそも何なんでしょう。 自分の技術力の高さを知らしめる愉快犯的なものから、ターゲットへの恨みから情報を盗んで評判を落としたり、金銭を要求したりするようなもの、そして、ここ最近では、広く一般ユーザから…
誰もが自分が詐欺に引っ掛かるなんて思っていませんよね。それでもインターネットショッピングなどを利用する時は、ほんの少しリスクを感じながら、怪しそうなWebサイトは注意深く確認するようにしている人が多いことでしょう。 新しいWebサイトを訪問する場…
無線LANは電波を使ってデータをやり取りします。当然ながら盗聴の危険性に常にさらされています。 無線LANで使われてるセキュリティプロトコルは、過去に脆弱性が見つかり盗聴されやすい状況になり、新しい方法にとって変わった経緯があります。 無線LANのセ…
IoT機能をうたうスマート家電市場が活況を浴びています。 手軽にスマートフォンのアプリからリモートでモニタリングやコントロールができる機能は、うまく生活パターンに取り入れることで時間や空間を節約してくれ、気分も上がりますよね。 ただ、ネットワー…
毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。 セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。 サイバー攻撃が避けられない現状において…
パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを…
ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正…
12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリス…
コンピュータウィルスの定義 コンピュータウィルスとは、「コンピュータの正常な働きを妨げる有害なコンピュータプログラム(ソフトウェア)の一種で、他のプログラムの一部として自ら複製し、そのプログラムが起動されると悪質な動作を実行するもの」という…
スマート家電は危険がいっぱい 外出中でもスマートフォンを使ってリモコンみたいにコントロールができる冷蔵庫や洗濯機、エアコンなど、いわゆるスマート家電。 インターネットに繋がることで、パソコンやスマートフォンと同じようにセキュリティの脅威にさ…
ビジネスメール詐欺(BEC(Business Email Compromise))とは 取引先などを装った偽のメールを組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のことです。 2017年12月に日本航空が3億8000万円の被害に遭ったことがニュースで報じられたよ…
暗号技術は解読される運命 インターネットが誰でも安全に使えるのは、通信を暗号化して他人にアクセスできない仕組みがあるからと無意識に安心しきっているからでしょう。 ただ、その暗号技術は、基本的には時間をかければ解読される運命にあります。 そう聞…
インシデントが発生した時に慌てず行動するために 組織のセキュリティ担当者にとって、サイバー攻撃やセキュリティ事故などのインシデント発生に備え、やるべき行動をルール化しておくことが大切です。 以前にも紹介した経済産業省が公開している「サイバー…
多様化するサイバー攻撃 サイバー攻撃を大別すると以下のようになります。 サイバー犯罪 グループによる犯罪で、主に金銭の奪取を目的とするものです。 ランサムウェアや不正送金させるマルウェアなどの攻撃があります。 www.aolaniengineer.com サイバース…
UEBAとは、複数のセキュリティ機器やネットワーク機器からログを集約し、ユーザごとの振る舞いを分析する手法 User(ユーザ)とEntity(実体)とあるように、ユーザの振る舞いだけでなく、サーバやIoT機器などネットワーク上にあるすべてのものが対象となり…
ランサムウェアとは、パソコンやサーバに保存されたデータを暗号化して利用できないようにして、復号したければ金銭を支払うよう要求するウィルス(マルウェア)のこと ランサム(ransom)は身代金のことです。 ランサムウェアの危険性は、感染した端末と同…
DoS(Denial of Service)攻撃とは、サイバー攻撃の一種で、標的とするWebサービスを停止状態におとしめるもの 情報を盗み出すのではなく、営業妨害が目的となります。 主な攻撃手法は以下の通りです。 ネットワーク占有型 攻撃者が大量のトラフィックを発生…
セキュリテイプロトコルと呼ばれるもは何種類もあり、個々の技術はとても奥深いもの IPsec:WANの通信用 SSL/TLS:Webサイトへのアクセス用 SSL-VPN:WANの通信用 SSH:リモートアクセス S/MIME:メール SMTP over SSL:メール POP over SSL:メール SNMPv3…
サイバーセキュリティ経営ガイドラインとは 経済産業省が策定しているもので、企業の経営者向けにサイバー攻撃への対応方法が明記されているものです。 2015年から公開され、最新版は2017年11月公開のVer2.0になります。 その中で経営者の3原則と指示すべき…
常時SSLとは、WebサイトのすべてのページをSSL/TLSで暗号化して通信すること ブラウザのURL欄に「https://~」やが表記されるものです。(SSL/TLS化されていないサイトは「http://~」) 以下のスクリーンショットは、SafariでSSL化されたWebページにアクセ…
パスワードクラック(password crack)とは、本人になりすまして不正利用することを目的として、パスワードを探り当てる手法のこと パスワードクラックには、以下のようなものがあります。 辞書攻撃 パスワードとしてよく使われる文字列のリスト(辞書ファイ…
CASB(Cloud Access Security Broker)とは、クラウドサービスを安全に利用するための概念 企業では、従業員が勝手にクラウドサービスを利用しているケースが多くあり、これをシャドーITと言います。 シャドーITの課題 セキュリティ上問題のあるクラウドサー…