サイバーセキュリティーについて(続編)

-

サイバーセキュリティーについて(続編)

ちょっと待って!そのWiFiは安全?

    今回もCyber Securityの続編として、WiFi接続に関するセキュリティーについてお話します。

ハッカーに狙われる公衆WiFiアクセスポイント

     外出先、出張先でネットに接続という時に直ぐに思いつくのが、カフェ、ホテル、空港でのWi-F利用などです。ネットワーク化が進む今日ではこのようなWi-Fi接続は必需品となりました。
    ホテル予約の大手、Hotels.comの調査結果ではホテルのアメニティーで最も重要なものとして無料Wi-Fi接続を挙げています。大手のホテルチェーンでは信頼感のあるAT&Tなどの大手通信キャリアが提供するWi-Fiアクセスポイントが多く導入されています。その背景には単なる無料Wi-Fiではなく、出張で利用する人たちが信頼できるセキュリティー、VPN接続が確実に出来るWi-Fiであることへのニーズとブランドイメージから来ていると言えます。

Honeypot-ハッカーが仕掛ける甘い罠

    最近Honeypot(甘い蜜が詰まった罠)と呼ばれる、ハッカーが仕掛ける偽装されたSSID(WiFiアクセスポイントのID)が空港、ホテル、イベント会場等にて仕掛けられている事がありますので注意して下さい。「FreeWiFi会場名」といった感じのSSIDは特に要注意です。必ず会場の公表するSSIDを確認してから利用して下さい。
    出先でパスワード不要の「Open」状態のアクセスポイントに無用心に接続するとハッカーの仕掛けるHoneypotだった場合、通信内容が傍受されてしまい、メールや銀行等へのログインパスワードを盗まれたり、最悪のケースではマルウェアやウィルスに感染し、遠隔操作を可能とするウィルスを自分のPCに仕込まれる場合があります。このようなハッキングを目的としたWiFiアクセスポイントが30ドル程度からアマゾン等の通販サイトで簡単に入手できます。
    公衆のWiFiサービスを利用する時は、「つながった!」とあたかもくじ引きが当たった感覚で接続する方も多いと思いますが、無造作に接続しないで以下に注意しましょう。
  1. 正しいSSID(アクセスポイント名)を識別、暗号化されているかを確認。SSIDが暗号化されいる場合は鍵マークがアンテナ記号に表示されている。アクセスポイントの暗号化については以下の表を参照してください。
  2. ログイン画面のURL(ブラウザーのアドレス)の始まりが「https://」である事を確認。(SSLという暗号化技術によりログイン情報を暗号化したり、Webサーバーが正しいサーバーかの認証をする)暗号化されていない場合は要注意。SSLはログイン技術では最も標準的なセキュリティーであり、SSL対応していないログイン画面は用心して下さい。
  3. オンラインバンキング等のWEBサイトは出来るだけ使わない。
  4. 機密性のある仕事のメールやデータのやり取りは出来るだけVPN(仮想専用線)経由によりログイン情報や通信内容を暗号化する。

出典:総務省ホームページ 
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/cmn/wi-fi/Wi-Fi_manual_for_Users.pdf

諜報機関、産業スパイも活用

    最近の有名なケースとしてはイランの核協議の会場に使われた欧州のホテルがイスラエルの諜報機関にハッキングされ、Wi-Fiを含む全てのネットワークを傍受できるようにしていた事が発覚し、外交問題として大きな問題となりました。
    WiFiセキュリティーに限った事ではないが、産業スパイや政府が特定の企業を狙ったケースとして、北朝鮮を皮肉する内容の映画を製作した会社に腹を立て、その有名な配給会社をハッカー組織がCyber攻撃をし、メール情報の漏洩させた事により大きな事件に発展した例もあります。
    今日使われているWi-Fiの規格は802.11という1997年に作られたとても古い規格です。セキュリティーの脆弱性がいたるところにあるというところも根本的な問題とも言えます。無線という事もあり、相手(被害者)に気が付かれないようにアプローチできるのが最大の魅力と言えます。

Steve Jobs氏の最初のビジネスはハッカーだった

    前述のHoney Pod(偽装されたWiFiアクセスポイント)のような小細工用のツールはハッカーの世界では1970年代からビジネスとして成り立っていました。かの有名なSteve Jobs氏も最初のビジネスは公衆電話を無料で使う事を目的とした、特定の周波数を発信するする装置(Blue Box )の販売でした。アナログ時代のハッキングとしては画期的と思われますが、単に少し電話技術を理解した、モラル感のない少年達が小遣い稼ぎをしていたという感じです。
    今日のハッカーはもっと進化しており、手口も巧妙になっています。皆さんも被害者にならないようご注意下さい。

Comments

Post a Comment

Popular posts from this blog

日常業務のIT化・クラウド化の最先端

-
Image
    ITシステム更新時には、様々なクラウド機能が検討される時代となりました。筆者は「クラウド」という言葉が登場する前から、サーバー仮想化技術に取り組み、クラウド的なサービスの企画や立上げに10年以上携わってきました。今回は、お堅いIT専門領域ではなく、日常業務のIT化を実現し、今すぐ活用できそうな便利な「イケてる」クラウドサービスをご紹介します。 出張旅費精算を電子化する「Concur」     イントラネットや社内ポータルサイトの新設・更新の際、よく開発候補にあがる機能に出張申請と経費精算があります。出張申請→予約手配→精算書作成→承認→経理処理→精算といった手続に浪費される労力は、出張が多い日系企業の深刻な課題でしょう。特に精算手続でのレシートを紙に張り付けて…という手作業部分が難題でした。     この煩雑な作業・手続を電子化する画期的なサービスをご存知でしょうか? その名をConcur.com(コンカー)というこのサービス、既に導入済の日系企業も少なくありませんが、出張精算をペーパーレス・自動化するクラウドサービスです。航空会社やホテル、予約サイト等の請求書、UBER等の電子レシート、会社カードの利用データ等がConcurに連動するだけでなく、各種レシートをスマホで撮った写真もConcurが取り込んで、経費精算書の大部分を自動的に作成するのです。また、クラウドなので、上司もどこからでもスマホで承認でき、会計システムとも連動できるので、精算終了までの期間と労力を大幅に削減します。     ちなみに、レシートの写真を読み取って数値・文字データとして取り込む機能について、手書きのtipがあったりすると自動読取の誤認識率はまだまだ高いので、Concurどう解決しているか興味深かったのですが、Concurのオペレーターが目視・手入力しているという話を聞いて妙に納得しました。     Concurのサービス料金も自社で独自にシステム化する費用とは比較にならない程安く、事務効率効果を考えるとコストパフォーマンスが高いサービスです。会社の会計システムとどのように接続出来るか?どのように導入するか等のご相談ありましたら、下記連絡先までお気軽にご連絡下さい。 電話システムのクラウド化     クラウド化、技術革新による恩恵が高い意外な分野として電
Read more

eDiscovery(電子情報開示)- ITの側面から語る

-
Image
eDiscoveryとは?     eDiscoveryは米国の裁判プロセスの重要な一部である「ディスカバリー」、日本語で「証拠開示」となりますが、訴訟当事者の申し立てに基づき、裁判所が相手方又は第三者に対し証拠となりうる情報の提出を求めるプロセスです。企業が絡む裁判ではこのような文書提出要求 が証拠開示の焦点となり、2006年4月に連邦民事訴訟法規則(Federal Rules of Civil Procedure: FRCP)が改正され、電子情報開示に関する規定が制定されました。     対象となる電子情報には電子メール、オフィス文書、チャット、会計データ等を含む全ての電子書類となり、他にメタデータやバックアップデータとIT運用の領域となるデータも対象となります。 テキサス州はeDiscoveryを採択した最初の州     テキサス州では近年のデジタル時代に早い段階で法制度を整理し、1999年にTexas Rule of Civil Procedure 196.4を制定。その後アイダホ州、ミシシッピ州でテキサス州と同様の法律が採択されました。州法レベルではバラつきがありますが、最近よく日系企業がターゲットとなっている「反トラスト法」は司法省相手、つまり連邦レベルとなるので、州法に係わらずコンプライアンスが必要と言えます。 心の準備は出来てますか? 「社長! 受付にFBIの方が来てますよ!」     ある日突然FBIが令状を持って来るとか、あまり想像もしたく無い事です。カルテルの嫌疑でFBIの捜査が入ったり司法省から提訴される日系企業が増えています。特に2012年頃から日系の製造業(自動車部品、電子部品)、流通等の分野で40件以上の提訴事例が米司法省のWEBサイトに掲載されてます。企業へ課せられた罰金は合計で30億ドル以上と莫大と言えます。日本企業がダントツに多いのも事実です。更に民事裁判へ展開しているケースもあり、公表されていない経済的な損失は計り知れません。 「普通に駐在員の仕事をしていたのに…」     ここ5年間で30人以上の日系企業の経営幹部に実刑判決により収監されています。たとえホワイトカラー犯罪者向けの刑務所としても、精神的なダメージや家族へ与える影響を考えると、とても厳しい制裁です。よくあるケースとして、捜査が始まった後に慌
Read more

クラウド時代のWindows10、Office 365

-
Image
    今回は身近な話題のWidows 10とOffice 365についてお話しします。 Windows 10とは     まずはWindows 10についてお話しします。Microsoftが数年おきにOS(基本ソフト)のバージョンアップを繰り返して来ており、その度PCの買換えをしたりとMicrosoftとPCハードメーカーが儲かる構図が出来上がっておりました。しかし近年のクラウド時代に対応すべくMicrosoftでは積極的にクラウド化、ソフトウェアのサービス化(ユーザーが使った分だけを支払う)という事業モデルに自ら変革を推進しており、Windows 10はそのクラウド化戦略から生まれた新しい時代のOSとなります。不評だったWindows 8を改良し、好評だったWindows 7の操作性(スタートボタン等)を復活させ、セキュリティーを強化した「いいとこ取り」したデザインでMicrosoftによると今後は違うバージョンに変化(XP→Vista→7→8)するのではなく、Windows 10を進化させていく、とされてます。 企業のIT環境では     2016年に入り、日系企業のお客様から今年の取組み課題としてWindows 10へのアップグレードに関するご相談が増えております。企業のIT環境により簡単に答えは出せませんが、基本的な確認事項としては以下となります。 Client-Server型の業務ソフトを利用していないか? 具体的には会計ソフトや業務系のソフトでユーザーのPCにソフトウェアのインストールが必要なシステムを利用しているか?独自開発のソフトウェアやデータベースがないか? ブラウザー(Internet ExplorerやChrome等)で古いバージョンを使わなければならないシステムを使っていないか?特に銀行のオンライン接続は要注意。 VPN接続を使っているか? VPN接続のソフトがWindows 10に対応しているか? 特に日本本社や他の拠点へのVPN接続は要注意。 Windows 7 いつまで使える? 「最近買ったWindows 7のPC, サポート期間は2018年7月で終了?」     皆さん良く誤解されているのがWindows 7のサポート期限です。「2020年1月」と認識されている方が殆どのようですが、最新のPCはInte
Read more