BYODの現状と特性 (JSSEC、2012.11.19)

一般社団法人日本スマートフォンセキュリティ協会(JSSEC)では、
先に公開されている
『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』【第一版】
を補足する資料として、『BYODの現状と特性』という資料を公開しました。
  →同協会のサイトから見つけにくいので、当方で調べたURLをつけてリンクさせています。
   レポート名で検索するとヒットします。

『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』
【第一版】は、2011年12月1日に発行されています。

スマートフォンを利用するときに、企業や組織が注意しなかればならないことは、

  BYOD(Bring your own device)

と呼ばれる利用形態です。

ポケットやカバンに手軽にいれて、
それこそ携帯する機器は、
もはや私用機器の持ち込みを制限する管理手法では、不可能でしょう。

つい、うっかりは避けられないからです。

そこで、『BYODの現状と特性 ~あなたの組織はどのパターンですか~』が追加され、
セキュリティ上の脅威と対策を明確化した資料です。

個人が所有するスマートフォンを業務で利用する場合に、
現状を把握して、実効性のある対応を検討する必要があります。

企業だけでなく、
官公庁や自治体、学校でも、
BYODへの方針と対策を考えておく時期です。

これだけオープンになって認知度が高まると、
何もやっていないと、管理責任が問われるんですね。

パソコンを遠隔操作されない工夫

パソコンを遠隔操作する機能は、
例えば、トラブルの解析診断に使うと、とても役立つ機能です。

しかし、ウイルスに感染させたり、
今回の一連の事件では、脅迫メールの送信や書き込みのように
パソコン利用者が意図しない動作のように、
悪用されてしまうと、犯罪や社会的な迷惑行為を引き起こします。

影響範囲は、操作されたパソコンだけでなく、
そのパソコンが引き起こした行為が、犯罪となってしまうため、
パソコン所有者や利用者が、加害者となってしまうわけです。

パソコンを利用する限りは、
自分のパソコンを遠隔操作されないように、
管理するという責任が、これからは厳しく問われるようになるのでしょう。

自己防衛の基本は、
1.OSが最新版、セキュリティパッチが適用されている
  (Windows Updateが確実に実施されている)
2.ウイルス対策ソフトが最新版のパターンファイルに更新されて常駐している
3.ハードディスクや使用するUSB接続の各種機器や媒体が、定期チェックされている
4.ネットワークに接続する場合に、
  セキュリティ機能を持つファイアウェール、ルーターなどを使用する

これまで、1,2,3について、必須事項として紹介してきましたが、
ボット感染予防やボットからの攻撃対策を考えると、
すでに4も必須の時が来ているようです。

関連記事 ボットネットが発見された
     パソコン遠隔操作事件に利用されたBOT

google 2-step-verification

Googleでは、2段階認証プロセスを
設定手順を解説している記事を見つけました。

 参考記事
 google 2-step-verification

Googleといえば、
世界中のクラッカーから
常に標的とされるサービスでもあり、
実際に、大規模な攻撃をうけて、
被害を受けたことも記憶に残っています。

最近では、
Gmailを利用している方も多いと思われます。
Googleが提供する表計算ソフト、
文書作成ソフト、
カレンダーツール
などを利用して、
仲間とシェアしていませんか。

最近のGoogleは、
検索ツールだけではありませね。

Gmailや
Googleが提供するカレンダやOfficeツール、各種ツールを
利用するときに利用する
Googleアカウントを盗まれてしまうと、
どのような被害を受けますか。

リスクアセスメント
をしてみてはいかがでしょうか。

自分自身も被害を受けますが、
それ以上に
共用で使うツールの場合には、
自分のネット環境の周りの人に、
詐欺メール、迷惑メール
を送りつけてしまうリスクがあります。

ソーシャルネットワークサービス
との連携機能を利用している場合には、
その連携先にも影響を及ぼしかねません。

しかし、
この2段階認証プロセスは、
設定が面倒そうです。

認証コードをいれる手間もあり、

しかも30日に一度、

確認が求められる。

また、iPhoneで使うには、
Googleアカウントのパスワードではなく、
アプリ専用のパスワードを入力する必要があります。

これだけ面倒だと、
どうしようかと迷ってしまいますね。

ぜひ、この記事を参考に、
Googleの2段階認証プロセスにそって、
設定してはいかがでしょうか。

動画による解説も用意されています。

英語ですが、日本語のテロップ付です。
何度も繰り返し見ると、
英会話のレッスンにもなります。

 Using 2-step verification(youtube 日本語解説付)

説明も丁寧で、
実際の画面と図解があるので、
分かりやすいですね。

Dropboxのウイルス対策

データ格納の方法も、多様化しています。

最近では、
クラウド上のデータ保管庫を利用している方も多いでしょう。

勤務先では、
セキュリティポリシーで禁止されていても、

自宅で利用するには、便利です。

なんといっても、
大容量の保管庫を、
標準機能であれば、
無料で利用できるわけですから。

しかし、
安全面では、
どうチェックすればいいか、
ちゃんと調べて対策していますか。

代表例が、
Evernote と Dropbox
ですが、

自由にデータを保管できる場所として、
またネット上にあるので、
どこからでもアクセスできて便利です。

しかし、
安全対策は、利用者の責任です。

例えば、
同期型「オンライン・ストレージ」のDropboxでは、
次の2つのリスクは、早めに確認しておく必要があるでしょう。

一つ目は、ウイルス感染。

自分のパソコン
にウイルス感染したファイルがあれば、
同期型「オンライン・ストレージ」ですので、
ウイルス感染したファイルも同期されて複製、
そのまま保管してしまうリスクがあります。

ウイルスに感染するリスクについては、
クラウド用のウイルス対策ソフトも
提供されるようになっています。

利用中の対策ソフトが、
クラウド対応かどうか、
チェックするといいでしょう。

二つ目は、不正アクセスです。

オンライン・ストレージ上に保管している情報を
ほかの人に不正アクセスされてしまうリスクが考えられます。

データそのものを暗号化した状態で保管すれば、
安全性は高いわけですが、
頻繁に利用する場合には、
暗号化、復号化の手順を踏む必要があります。

そこで、
Dropboxが提供する、2段階認証プロセス
を活用する価値が高まるわけです。

二重三重の関所を用意しておくことは、
利用者にとっても面倒にはなりますが、
安全には代えられない。

そういう時代になったようです。

自分のパソコン内と
常時利用するネット上の保管庫については、
分けて管理するときが来ています。

パーソナルファイアウォール(Personal firewall)

パーソナルファイアウォール(Personal firewall)は、
自分のパソコンや家庭のネットワークに対して、
許可のない外部のインターネット ユーザーが、
侵入してこないようにするために使用します。

つまり、
外部の不審者が、
ネットワークを経由して不正アクセスしないよう、
勝手に自分のパソコンに
アクセスできないようにするために使用するわけです。

ファイアウォールというと、
企業が利用する高価な機器のイメージが先行しますが、
パーソナルファイアウォールは、個人向けの安価な機器やツールです。

インターネットに常時接続する個人利用者むけに、
機能を限定して低価格で提供されている機器と考えればいいでしょう。

通信ルータのようにハードウェアとして設置できる場合もあれば、
ウイルス対策ソフトに組み込まれたものや、
パソコンのOSに組み込まれたソフトウェアの形式でも利用できます。

例えば、
Windows7 や MacOS 10.2以降、
では、ファイヤーウォール機能を有するようになっています。

ちょっと設定の方法が慣れないと難しいのですが、
メーカーサイトに解説も公開されていますので、
時間に余裕があるときに
トライして見てはいかがでしょうか。

多くのパーソナルファイアウォールは、
次のような機能を装備し、
一部または組み合わせして、
そのアクセスを遮断(フィルタリング)するよう働きます。

・パケット フィルタ
・アプリケーション ゲートウェイ
・サーキット レベル ゲートウェイ
・プロキシ サーバー
・アプリケーション プロキシ

より詳細の解説は、例えば、
マイクロソフト社のサポートページで確認できます。

パーソナルファイアウォール(Personal firewall)機能は、
ウイルス対策ソフトとどうように、
自己防衛手段の重要な柱です。

メールスパム、コメントスパム

当サイトのように、ウイルス対策の具体的な手法を情報発信していると、
メールスパム、コメントスパムの攻撃を受けます。

当サイトでは、メールアドレスの公開はしていませんが、
コメント欄への書き込みができます。

そこを狙って、
来るんですね。

ウイルス情報とはまったく関係のない、いたずら書き込みが。

まったく、エネルギーの無駄です。
インターネットやITは、
人類の快適な暮らしをささせるツールなのですが、
ウイルスやスパムのように、
相手が困る、嫌がる、
そんな感じを持てば、
迷惑行為です。

当サイトにとっては、
格好の実験にもなるのですが。

例えば、
一定期間捕獲して、まとめて
迷惑行為の常習犯として公開します。

これも、一つの自衛策ですね。

ただし、迷惑行為の相手に連絡を取ることだけは、NGです。
あなたのメールアドレスがアクティブであることが
分かってしまうからです。

ネットバンキング攻撃ウイルス

ネットバンキング利用者をターゲットに、
不正にID、パスワードを入力させる画面を表示させ、
取得したID、パスワードを使って、預金残高を振替送金させるウイルス
が特定されたようです。

早めに発見できれば、
送金先の口座で、現金が払い出しされるまえに、
凍結できるかも知れません。

このような犯罪に使われる口座は、
例によって、
不正に使用されている場合が多いですね。

他人名義、
休眠口座、
第三者を偽装して開設された口座など。

ネットバンキングサービスを利用している方、
画面に誘導されて、いつもと違うID入力画面に覚えのある方、
預金残高が、管理できないほどたくさんたまっている方、
早めに、
覚えのない引き去りがないか、
確認することが大事です。

ネットバンキング攻撃ウイルスが潜んでいるかもしれない、
ということは、
これから勝手に送金処理をする可能性もあるわけです。

ネットバンキングを狙った攻撃の広がり

ネットバンキングを狙った攻撃が広がっています。

攻撃といっても直接攻撃ではなく、
ウイルスに感染したパソコンから、ネットバンキングサービスにアクセスすると、
通常では表示されない、ID、パスワード、確認番号などを入力させる画面が表示されるというもの。

実際に、ネットバンキングサービスを利用するために必要な情報を入力してしまうと、
アクセスした銀行から、不正に振り込み処理がなされてしまう
という被害も報告されているようです。

先週は、三井住友銀行、東京三菱銀行、ゆうちょ銀行の3行が、
攻撃対象とされていたようですが、
どうも攻撃や被害は3行だけではなかったようです。

ウイルスに感染したパソコンの利用者が、
どのネットバンキングを利用するか、
利用形態によって変化している可能性もあります。

楽天銀行の場合
 http://www.rakuten-bank.co.jp/info/2012/121030-2.html

以下、同行のメッセージです。
気になる方は直接確認ください。

お客さまのパソコンがウィルスに感染したことにより、お客さまが当行口座にログイン後、下記のような不正な画面が表示され、お客さまの合言葉や暗証番号を入力させようとする事象が発生し、本件事象に起因すると思われる不正出金が1件発生しました。

下記のような当行を装った偽画面例のような画面が表示されても、お客さまの情報の入力は絶対に行わないでください。
「合言葉」と「暗証番号」を同時にご入力いただくことはありません。 登録済の「合言葉」を複数同時にご入力いただくことはありません。 万が一、偽画面に入力してしまった場合は、ただちに楽天銀行カスタマーセンターまでご連絡ください

<当行を装った偽画面例>

<偽画面の特徴>
正式画面の上にかぶさってくる表示 不自然な日本語が記載されている
「合言葉」と「暗証番号」などを同時入力させようとしてくる
複数の「合言葉」を同時に入力させようとしてくる

自衛対策の基本

パソコン利用の基本、
ウイルスに感染しないための基本を着実に実施すること、
これが感染予防するための基本ですが、
次の3つのポイント、
 1.パソコンOSのバージョンは最新の状態か
 2.パソコン用ウイルス対策ソフト、ウイルス定義ファイルは最新状態か
 3.ハードディスク、利用する記憶媒体の全体を定期チェックしているか
どのくらい実施できていますか。

この基本的な点検を
1.職場の管理下にある業務用のパソコン
2.自分で管理する個人の私用パソコン
に対して、対策状況を確認、もれていれば実施しておくことが、
自衛手段です。

難しい対策の前に、まず、基本動作をしっかり確認していきましょう。
基本動作を怠ると、
あなたのパソコンがウイルスの保菌庫になっている可能性も出てきます。

トロイの木馬型ウイルスに感染してしまうと、
X-day の指示を待って、着々と内部情報を収集中かもしれません。

あなたの知らない間に。

1.あなたのパソコンの中にある情報には、
  業務上、ダウンロードした仕事のファイルが保管されていませんか。

この情報が外部に漏えいすると、
機密情報の漏えい、と騒がれませんか。

2.お客さまの情報が含まれていませんか。

メールソフトの受信ファイル、送信ファイル、住所録などの情報には、
相手のメールアドレス、電話番号、勤務先名などが含まれていますね。

この情報が外部に漏えいすると、
個人情報の漏えい、と騒がれませんか。

3.ネットバンキング、ネットトレーディングを利用していませんか。

ファイルのどこかに、
金融機関、証券会社のネットシステムを利用するための、
ID、パスワード、暗証記号(特別なパスワード)、利用中のクレジットカード番号
などの情報が保存されていませんか。

トロイの木馬型ウイルスは、
これらの情報を集めるのが得意です。

潜伏期間は、情報収集。
そして
X-day を迎えると、
インターネット上の指定された場所に、
それらの情報を送り出すのです。

だから、
パソコンのハードディスは、
一斉にスキャンして、怪しげなプログラムが潜んでいないが
チェックする必要があるのです。

この基本的な作業を怠ると、
あなたのパソコンは、ウイルス保管場所として、
ほかに人にも攻撃を仕掛けるような
悪意のあるプログラムの保菌庫になりかねません。

くれぐれもご用心!

自衛対策は、このような基本作業から始まります。

濡れ衣を着せられないよう自己防衛を!(IPA2012.11)

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)
技術本部セキュリティセンターが公開した「今月のよびかけ」です。
  URL:http://www.ipa.go.jp/security/txt/2012/11outline.html

その内容は、
「 濡れ衣を着せられないよう自己防衛を! 」
~ 踏み台として悪用されないために ~

  IPA(独立行政法人 情報処理推進機構)
   技術本部 セキュリティセンター 2012年11月の呼びかけ

濡れ衣を・・・というのがちょっと消極的ですが、
一連の事件の「遠隔操作のからくり」について、
具体的な図解が含まれていますので、
関心あるかたは、一読しておくよよい解説です。

IPAという組織には、警察ではないため、
捜査の権限もないわけですからこのあたりが限界なのでしょう。

このサイトは、企業の情報セキュリティ担当者むけの
情報が多いので、一般のブロガーやアフィリエイターなどの
ユーザーにとっては、
専門用語が多いため、
ちょっと分かりにくいかもしれません。

 自分のパソコンがウイルスに感染した場合、
 何かしらの犯罪に巻き込まれてしまう可能性がある。

 しかも、加害者として。

これは、一連の誤認逮捕につながる、大変なことです。

これは、決して、
特別な作業をしたわけではなく、
条件させ組み合わされば、

 誰にでも

発生する可能性のある現象だったこと。

ここが課題なんです。

最近の犯罪は、
ここまで高度化しています。
誰でも巻き込まれる可能性があるほど、
広がっていることに危機感をもって、
自己防衛に取り組む必要があります。

つぎは、
自己防衛には、具体的にどのような取り組みが有効か、
このような話題が必要ですね。

セキュリティ、ウイルス対策で自衛する方法