今週は月に1度の時事ネタ特集号です。
今回は 2016年3月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。
当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について
My JR-EAST への不正ログインに関するお詫びとお知らせ (3/25発表の資料が4/6に差し替えられた)
「Mobage」への不正ログインに関するご報告とパスワード変更のお願い | 株式会社ディー・エヌ・エー【DeNA】
不正アクセスのサーバーにID1800万件 警視庁押収:朝日新聞デジタル
サーバーに個人情報1800万件保存 中国からの不正アクセスに悪用か 警視庁摘発の業者 - 産経ニュース
摘発されたプロキシサーバーのしくみは? : IT&メディア : 読売新聞(YOMIURI ONLINE)
セキュリティのアレ(13):セキュリティ専門家が教える「誰でもできるパスワード管理のやり方」 - @IT
セキュリティのアレ(18):「パスワード管理ツール」を使ってみよう!――デモ有り - @IT
今週はよくわからないセキュリティ用語の解説シリーズとして「バックドア」について話しました。まあシリーズとして続くかどうかわかりませんが…w
動画の中で触れたバックドア関連の話題について、参考リンクをのせておきます。
解説してほしい用語などありましたら、ハッシュタグ「#セキュリティのアレ」でコメントくださいませ。お待ちしてます!
あと雑談編もあわせて公開されたので、お時間あるときにでもぜひゆるりとご覧ください。
www.youtube.com
えーっと、すいません、忘れてましたw
というわけで先週はパスワード管理ソフトの話題を取り上げてみました。
基本的な仕組みはこんな感じです。
利用するにあたっていくつか注意すべき点もあります。
マスターパスワードがすべての鍵なので、とにかく長くて強固なものにします。動画でも言いましたが、個人的には使いながらだんだん長くしていくのがオススメです。ほかに、メモしない、コピペしない、パスワード管理ソフト以外のところでは絶対に入力しない、などを徹底するとよいと思います。
ローカル型の場合、データが保存されている端末が使えなかったり紛失したりすると困ったことになります。またクラウド型の場合にはサービスが止まってしまうとそもそも使えません。こうした場合に備えて、データのバックアップを保持しておくといいでしょう。ローカル型では複数の端末でデータを同期しておいてもいいです。また例えば異なる別のツールにデータをインポートするのもよい方法ですが、一旦平文でデータをエクスポートする必要があります。こうしたデータをうっかりそのままにしないようにしましょう。
クラウド型ではサーバからデータが漏洩する可能性が考えられますが、サービス事業者側ではデータを復号できない仕組みになっているはずなので、マスターパスワードさえ強固に設定しておけば仮に暗号化されたデータがサーバから漏洩したとしても安全です。ローカル型でも Dropboxなどのサービスを使ってデータを同期している場合には、クラウド型と同様のリスクがあります。またクラウド型/ローカル型ともに、手元の端末側からのデータの漏洩を防ぐためには、端末(PCやスマホ)そのものをきちんと保護する必要があります。またパスワード管理ソフトのロック機能や自動ログオフ機能なども活用すべきでしょう。
パスワードに関連するネタはこれで 3回目ですが、まだまだ今後も取り上げていきたいと思います。
*1:まれにそうなっていないサービスもあるので注意
今週のセキュリティのアレでは「ソーシャルエンジニアリング」について取り上げてみました。
あるサービスのお客さま対応窓口に電話をかけ、ターゲットの人物になりすまして言葉巧みに個人情報を入手し、その情報を使って別のサービスのターゲットのアカウントに侵入する…
国内ではあまりなじみがないかもしれませんが、米国などではたびたびこういったソーシャルエンジニアリングの事例が話題に上ります。以下、有名なものや最近のものをいくつか紹介しておきます。
Anonymousによる HBGaryへの侵入
UGNaziによる CloudFlareへの侵入
Mat Honanさんの事例
Naoki Hiroshimaさんの事例
Crackas with Attitude (CWA) による CIA長官のメールアカウント乗っ取りや米司法省への侵入
あとついでといってはアレですが、少し遅れて「雑談編 2月分」もあわせて公開されました。こちらも意外と真面目な話をしていたり、ハッシュタグでいただいた質問を取り上げたり、なかなか盛り沢山な内容になってます。ぜひご覧ください。
雑談編の中で辻さんと私が紹介しているサイトをのせておきます。
また来週もお楽しみに!!
さてさて今週も公開されています「セキュリティのアレ」。遅くなりましたがいつもの Show Notes 的な「アレかね」です。
今回は 2016年 2月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。
Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflo
Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547) - Red Hat Customer Portal
glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起
(緊急)GNU C Library(glibc)の脆弱性について(CVE-2015-7547)
JVNVU#97236594: glibc にバッファオーバーフローの脆弱性
A tale of a DNS exploit: CVE-2015-7547
CVE-2015-7547 - 脆弱性調査レポート | ソフトバンク・テクノロジー
IIJ Security Diary: CVE-2015-7547 glibcにおけるgetaddrinfoの脆弱性について
IIJ Security Diary: CVE-2015-7547 対策における信頼できるキャッシュサーバとは
ランサムウェア (身代金要求型ウイルス) による感染被害の事例が本当に多くなっています。これはかなり要注意です。
Hollywood Presbyterian Medical Center
Malware attack at Pima County's Arizona Superior Court
Hackers hold German hospital data hostage | Germany | DW.COM | 25.02.2016
Hackers attack hospital system - Wanganui Chronicle - Wanganui Chronicle News
Pay to unlock computer files? Church targeted in ransomware attack | News, Weather, Sports, Breaking News | KATU
Church’s computer files held for ransom in Sioux City, Iowa | WQAD.com
Sioux City church has records held ransom in cyber attack
Oxford School Computers Hacked With Ransomware - Story
US School Agrees to Pay $8,500 to Get Rid of Ransomware
Computer virus requires Horry County Schools pay hacker $8,000 | WBTW.com
みなさまからのお便りはハッシュタグ #セキュリティのアレ でお待ちしております!
さて今週も公開されましたよ「セキュリティのアレ」。
今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。
WordPressのセキュリティ対策に関しては徳丸さんの記事がとても参考になると思うので一読をおすすめします。
あと動画の中では具体的な事例に触れなかったので、最近目に留まった CMS関連の話題をいくつか紹介しておきます。
また来週もお楽しみに〜。そういえば2月の雑談編はまだ公開されていませんね。収録が終わった後にだらだらとしゃべる雑談編でも意外と真面目な話もしています。通勤、通学のお供にぜひどうぞ!
先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。
さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。
サンバーナーディーノ銃乱射事件の被害者が、政府の Appleに対する要求を支持する内容の文書を裁判所に提出するとの報道。
FBI長官 James Comey氏が LAWFAREでコメントを発表。
今回の問題を拡大解釈しないでほしい、テロの犠牲になった人達のために、遺族の方のために、法に則って犯人の所持品を調べなければならない、それだけだと。プライバシーとセーフティのバランスをどうするか、この問題を解くのは Appleでも FBIでもなく、米国民自身がどうしたいかだと。
— Masafumi Negishi (@MasafumiNegishi) February 22, 2016
Pew Researchによる最新の調査では 51%が政府側を支持、38%が Appleを支持するとの結果。
サンフランシスコにある Apple Store前で政府の対応への抗議デモが行われた。全米各地で同様のデモが実施された。
今回の事件以外に米司法省は 12件の裁判で Appleに同様の要求を行っていることが、Appleが他の事件の裁判で裁判所に提出した資料から明らかに。
以下の表は Appleが裁判所に提出した資料から抜粋。この他にオハイオ州で2件、イリノイ州で 1件ある。全部で 12件。
Appleの CEOである Tim Cook氏が ABC Newsによる独占インタビューに応じる。
abcnews.go.com
FBI長官の James Comey氏が米下院の委員会 (Permanent Select Committee on Intelligence) のヒアリングにて証言。
www.youtube.com
Appleが裁判所に対して正式に文書で回答。特に新しい内容はなく*1、これまでの主張通りに裁判所からの命令を拒否するもの。
次回の公判は 3月22日に予定されているが、その前におそらく議会のヒアリングがある。Appleと FBIとのバトルは舞台を議会に移してしばらく続くことになりそうだ。
