西本逸郎のIT社会サバイバル術
目次
-
翻訳サイト経由で情報漏洩、「利用禁止」だけでは解決しない
2015年2月末、インターネットの無料翻訳サイトに入力した内容が、誰でも見られる状態になっていたことが明らかになり話題となった。筆者としては、懸念していたリスクの一つが、また顕在化したというのが率直な感想だネット時代のリスクについて、改めて注意を促したい。
-
「被害が次々と表面化、サイバーテロも頻発」――2015年は波乱の年に
2015年最初の執筆となる今回の記事では、2015年のサイバーセキュリティについて考えてみよう。残念ながら、悲観的な見通しにならざるを得ない。ポイントは二つ。一つは、今まで表面化していなかったサイバー攻撃による被害が、次々と発覚する年になる可能性が高いということ。もう一つは、サイバーテロと呼べる大…
-
拡大する「社会IT」、システム活用は天動説から地動説へ
最近、ネット上で「BYOD」(Bring Your Own Device:私用機器の業務利用)という言葉をよく見かける。本来はパーティやカジュアルなレストランでの用語らしい。「今週末、我が家でホームパーティやるよ。ただしBYOD(Bring Your Own Drink、あるいはBYOB:Own …
-
韓国によるLINE盗聴疑惑、日本のユーザーはどう対処すべきか
2014年6月、FACTAというメディアが掲載した「韓国国情院がLINE傍受」という記事が話題になった。この記事では、「韓国の国家情報院(国情院)は、通信回線とサーバーの間でワイヤタッピング(傍受)し、収集したデータを欧州に保管して分析を行っている。それを内閣官房情報性キュリティセンター(NISC…
-
いまだ攻撃は継続中、脆弱性といかに付き合うべきか(下)
前回に引き続き、2014年4月以降、重要性の高い脆弱性が相次ぎ見つかった問題について述べる。今回は、システム管理者や開発者が意識すべき脆弱性との付き合い方に関して考えよう。
-
相次いだ重大な欠陥、脆弱性といかに付き合うべきか(上)
2014年4月以降、重要性の高い脆弱性が相次ぎ見つかり騒動となった。まずは、4月初旬のHeartBleed(心臓出血)である。SSLを使って暗号化していたサイトの管理者は、実際に脆弱性の影響があったか否かに関係なく何らかの対応を迫られたことだろう。次の騒動は、情報処理推進機構(IPA)が4月17日…
-
「心臓出血」の影響はあるのかないのか、説明責任を課されるサイト運営者
オープンソースの暗号通信ソフト「OpenSSL」の欠陥(「心臓出血(Heartbleed)」と呼ばれる)に関して前回コラムに書いたが、今回はその後の状況をまとめてみよう。この問題を簡単におさらいをすると、まず2014年4月に、安全な通信のために幅広く使用されているOpenSSLが2年前から内包して…
-
サポート切れStrutsの憂鬱、現行版の脆弱性が前バージョンにも波及
ゴールデンウィーク直前に、Webアプリケーションフレームワーク「Apache Struts(アパッチ ストラッツ)」にかかわる脆弱性の問題が浮上してきた。この脆弱性に絡み、情報処理推進機構(IPA)セキュリティセンターが緊急の注意喚起をしたほか、国税庁は4月25日に確定申告書作成サービスを停止した…
-
OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ
ECサイトなどをはじめ広く利用されているオープンソースの暗号通信ソフト「OpenSSL」に2012年から存在していた重大な脆弱性が2014年4月7日に見つかり騒ぎになっている。SSL通信実現のためによく使われるOpenSSLで暗号化処理をしているサイトが、約2年間危険な状態におかれていたからだ。
-
サムスンのスマホに付いていたバックドア IoT時代に問われる説明責任
2014年3月、「Replicant」と呼ぶオープンソースOSの開発者が韓国サムスン電子のスマートフォン「Galaxy」にバックドアが存在しているのを発見したことを明らかにした。今回は、この問題をきっかけに、個人情報を扱う製品の説明責任について考えてみたい。
-
Bitcoin事件のポイントを読み解く、あなたは何に用心すべきか
仮想通貨「Bitcoin」の大手取引所「Mt.Gox」(マウントゴックス)が破綻したことで、報道機関やネットは“Bitcoin祭り”の様相を呈している。一般にあまりなじみがなかったBitcoinについて、破綻以降は多くの報道やコラムが発信され、正確な情報が広く行き届くようになった。短期間のうちに、…
-
続出する“意図しない情報漏えい”、あらゆるものが「つながる」時代に何をすべきか
最近、セキュリティ関係の報道でよく見かける言葉に“意図しない情報漏えい”というものがある。“意図しない”とはどういうことなのか、そして情報漏えいを防ぐために必要なことは何かについて、今回は考えてみる。
-
横浜銀行のデータ不正取得事件から考える、内部不正事件と標的型攻撃の共通項
2014年2月5日、横浜銀行のシステム運用を担当していた富士通フロンテックの元社員が逮捕されたとの報道があった。預金者の情報をもとに他行のキャッシュカードやクレジットカードを偽造。合計数千万円を引き出していたとされる。
-
詐欺の「スマート化」と「クリープウエア」の進化、今年の個人向け攻撃を予測する
今回はセキュリティの分野で2014年に起こりうる攻撃を大胆に予測してみたい。個人に向けた攻撃に焦点を当てたところから始めよう。キーワードとして挙げられるのは、詐欺の「スマート化」と「クリープウエア」の進化である。
-
標的型攻撃が悪質化し現金被害も急増、欠かせないユーザーの当事者意識
今回は、2013年後半に目立ったセキュリティにまつわる事件を振り返る。Webサイトを構築するためのプラットフォームが狙われたほか、インターネットに古くからある仕組みを悪用した攻撃が頻発した。標的型攻撃では従来と形を変えた“待伏せ式”の攻撃が出現し、現金の不正窃取など攻撃の被害も実社会と密接にかかわ…
-
ソフトの脆弱性や個人のパスワードが狙われた1年、提供者が迎えた転換点とは
2013年は、個人のパスワードを狙った攻撃やソフトの脆弱性を執拗に突く攻撃などが相次ぎ、セキュリティにかかわる新たな課題が浮上した年だった。発生した事件を順番に振り返り分析すると、これらの中からサービスやソフトウエア提供者に見過ごせない大きな転換点が浮かび上がってきた。
-
身代金要求型ウイルスが狙う「単一障害点」、差異化や合理化が生むリスクを理解せよ
ロシアのあるセキュリティ関係者から聞いた話である。それは、突然だった。ロシアで有名な音楽家に訪れた不幸。それは何者かによりパソコンのデータが暗号化され、ある一つの機能を除き、全く使えなくなってしまったのだ。そして、1通のメールが到着する…。この攻撃は大事なデータを「人質」として取られ、その犯人との…
-
来るべき「サイバー社会」、2020年に目指す発想の転換と文化の構築
今回は、来たるべきサイバー社会の中で、個人が生き残るための心構えについて考えてみる。未来の話は具体性が乏しいためイメージがわきにくいものだが、日本の近い未来に設定された「大きな目標」を念頭にサイバー社会の在り方を考えるとわかりやすくなるはずだ。大きな目標とは、2020年の東京オリンピックのことだ。
-
「出口対策」を強化せよ、新型攻撃と戦うユーザーに必要な意識改革
前回解説した「変化の根本」にあるものは、ユーザーを攻撃してくる敵が、金銭目的の者であれ、主義主張を持つ者であれ、スパイであれ、組織化されたシンジケートとなっていることだった。攻撃者の狙いは何であれ、「組織化」されていなければ、ユーザー側も個々の責任で対策を取ることが可能になる。
-
先鋭化した手法で日本を狙う、攻撃者はなぜ変容したのか
第1回でも触れたが、ここ最近、ネットワークを通じてユーザーを狙う攻撃者の動きに大きな変化が見えている。海外での手法を即座に日本に持ち込む攻撃者が増え、標的型攻撃では従来よりも進化した巧妙な方法を取り入れている。攻撃者が変容した背景を知ることは、的確な対策を打つうえで参考になるはずだ。
