セキュリティ

セキュリティ

ゆうちょ銀行の名をかたるフィッシング詐欺メールに注意

次のような書き出しのゆうちょ銀行の名をかたるフィッシング詐欺メールがここ数日 報告されているのでご注意ください。 ゆうちょ銀行をご使用いただき、ありがとうございます。 今回、お客様のゆうちょ銀行のアカウントが第三者によって不正にログインされた可能性が高いです。お客様の資金安 全を確保するため、このメールを送信しましたが、ご本人の登録でしたら、このメールを無視してください。本人登録で なければ、直ちに対策処理をしてください 本人登録出ない場合の対策処理のURLは下記の通りです。 フィッシング詐欺メールに遭わないために、メールを見極めるポイント ・ポイント1 送信元のメールアドレスが意味のない文字列になっている。 ・ポイント2 文中のURLが正規のゆうちょ銀行のアドレスでない。 フィッシング詐欺メールかなと思ったら フィッシング詐欺かな?と思ったら、メールを無視することが最善策です。 決してメールに返信したり、記載のURLをクリックしたり、電話をかけたりしないでください。 返事をすることで、あなたのメールアドレスが使われていると認識され、 カモリストに登録されたり、別の詐欺業者にリストを転売されたりする可能性もあります。 ゆうちょ銀行の名をかたるフィッシング詐欺メール全文

セキュリティ

【マルウェア図鑑】アップデートで姿を変える変化系アプリBankBot

Android端末を狙ったマルウェアは多く存在し、知らない間にダウンロード・インストールされ、被害に遭っていたということも少なくなくなりました。 今回は、「ちゃんとした」正規のアプリだったのに、知らぬ間に情報を盗み取る悪意のあるアプリへと変化するケースを紹介したいと思います。 BankBot(バンクボット) 種類 : トロイの木馬 標的 : 主にAndroid BankBotの仕組み 「BankBot(バンクボット)」は、インターネットバンキング(ネットバンク)をターゲットとしたトロイの木馬です。 主にGoogle Play経由で配信される正規のAndroidアプリとして配信され、アプリの内容はビデオストリーミングアプリやゲームアプリなど、何の問題もなさそうなアプリとして配信されています。 問題はこの次のステップで、これらのアプリをアップデートさせるタイミングで、BankBotのマルウェアモジュールを組み込みます。 ここでアプリがトロイの木馬にとなり、インストールされたスマートフォンなどの端末から、個人情報やパスワードなどを盗み取ります。 さらに攻撃者はこの個人情報を利用し、ネットバンクにアクセスして不正送金などを行います。 BankBotが怖いのは、「正規のアプリ」だから このような仕組みで配布されるアプリは20種類以上から確認されています。 Google Playの正規のマーケットを通じて配布されることで、ユーザーは警戒することなくアプリをダウンロードしてしまう恐れがあります。 「盗み」と「送金」は別々に行われる! また、トロイの木馬と化したアプリを通じて情報を盗み取ることと、ネットバンクへの不正アクセスを別々の操作で行うことで、ユーザーに怪しまれることや気付かれることもなく、不正送金が行われてしまうという仕組みです。 従来のマルウェアは元からマルウェアモジュールを含むアプリとして、Google Playにアップロードしていましたが、Googleによるセキュリティの強化により、アップロードができなくなった背景があることで、まずは無害の正規のアプリとしてマーケットへアップロードし、更新のタイミングでマルウェアを組み込む手続きをとるようになった。 ダウンロードするときに気をつけたい点と対策 現在大半のアプリはGoogle Playから削除されているもの、一部のアプリが残っているとみられるため、アプリダウンロードの際はレビューや配布元を確認する等で注意したい。

セキュリティ

【マルウェア図鑑】ポケGOになりすましたアプリGhostCtrlに気をつけろ!

GhostCtrl(ゴーストコントロール) 種類 : マルウェア 標的 : 主にAndroid GhostCtrlについて WhatsAppやポケモンGOなどのアプリを装ったマルウェア「GhostCtrl」。 「GhostCtrl」をインストールするとバックドア(*)が作成されて、外部からカメラやWebブラウザの履歴、ショーメッセージなどにアクセス可能になるといいます。 また、音声やオーディオを気づかれないように録音し、サーバーにアップロードすることもできるようです。 バックドアとは その名の通りバックドア(backdoor)は「裏口」を意味し、一度他のコンピュータやソフトウェアへ侵入が成功したときに、次回から簡単に侵入しやすくするよう、または、不正侵入に気づかれたときに簡単に逃げたり、防御しやすくするような抜け道を作っておくこと。 GhostCtrlをインストールしないように注意すること まずは怪しいアプリをインストールしないことです。 Androidユーザーはアプリをインストールする際、Google Playからダウンロードし、またダウンロード前に発信元、開発者元が正規の開発者であるかをきちんと確認しましょう。 また、レビューを参考にするのもおすすめです。 参考文献 : トレンドマイクロ

セキュリティ

セキュリティの専門家が伝えたい!注意すべきWEBの脆弱性と攻撃

注意すべきWEBの脆弱性とその攻撃 2016年ももうあとわずかですが、今年上半期に最も多かった攻撃の種類は 第1位 : クロスサイトスクリプティング 第2位 : SQLインジェクション 第3位 : ローカルファイル挿入 同率3位 : リモートファイル挿入 同率3位 : ディレクトリトラバーサル となっていました。(WEB脆弱性トレンドレポートによる) 今回、特に多かった1位のクロスサイトスクリプティングの仕組みについてお話したいと思います。 クロスサイトスクリプティング(XSS)攻撃 クロスサイトスクリプティングとは、プログラムやソフトウェアの脆弱性(不具合やミスなどによる弱さ。セキュリティホールとも言う。)をついて、誰かのサイトに悪意のあるプログラムを埋め込むことです。 ところでよく聞く「悪意のあるプログラム」というのはどういったものでしょうか? 具体的な例として、 勝手に他人のパソコンに保存してあるファイルを削除してしまう・書き換えてしまう 勝手に他人のクレジットカード情報を盗んでしまう 勝手に他人の個人情報(誕生日、住所、メールアドレスなど)を盗んでしまう 勝手に他人のパソコンを壊してしまう(使えなくしてしまう) などなど、目的によって動作する内容は異なります。 これらは2000年に施行された、「不正アクセス禁止法」および関連法律によって犯罪となっていて、違反した場合は3年以下の懲役又は100万円以下の罰金に処せられます。 ただし、過失と未遂は対象外です。 スクリプティングとは 一般的にスクリプトとは「JavaScript」を指すことが多くあります。 ではJavaScriptで、どこかの掲示板にメッセージをポップアップ表示する方法はこんな感じです。

普段、JavaScriptの講義をさせていただいているのですが、そこでは第1回目に習う非常に簡単な記述です。 これを、掲示板や、お問い合わせフォーム、注文フォームなどに埋め込むことで、クロスサイトスクリプティングが可能となります。 フォーム関連というのは、ユーザが直接文字を入力できる唯一のエリアなので、この便利さを逆手に取った手法です。 クロスサイトスクリプティングの怖いところ クロスサイトスクリプティングは、上述のように、誰かのサイトや誰かのパソコンに悪意のあるプログラムを埋め込むことでした。 もう少し具体的な話をしましょう。 ハッカーも興味半分、つまり愉快犯が大多数なのですが、特に怖いのは本気で情報を盗みに来るケースで、 乗っ取り 個人情報搾取 この2点はクロスサイトスクリプティングの脅威です。 乗っ取り(セッションハイジャック) セッション=一連の操作(ログインからログアウトまで、など) ハイジャック=乗っ取り 例えば、Gmailにログインして、メールを見るという行為が、誰かにハイジャックされてしまうことも大いにありうることです。 乗っ取り(セッションハイジャック)の仕組み 乗っ取りにはCookie(クッキー)という便利なコンピュータの仕組みを利用します。 例えばある日、GmailにID名とパスワードでログインし、そのままログアウトせず別の日に同じパソコン、同じIPアドレスからGmailにアクセスしたとします。 そうすると、Gmailは、「あ!同じ人だ!」と自動的に判別してくれ、再びID名やパスワードを入力する必要なく利用できます。 これをCookieという情報保管箱のようなものに、さまざまな情報を「一時的に」保存しておける、と考えてください。 Cookieには有効期限があり、一定期間使用していなかったりすると、再度ログインを求められます。 そこでハッカーはこのCookieを盗むわけです。 […]

SSL

【SSL比較】一番安いSSL証明書はこれだ!クイック認証SSL編

クイック認証SSL

クイック認証SSLの特徴 低価格審査のオンライン化のため、低価格のSSL 書類不要オンライン審査によるドメイン認証で、印鑑証明等の書類審査が不要 誰でも申請可能企業、団体、個人事業主、個人が申請可能 サーバ台数無制限同一コモンネームであれば、1ライセンスで無制限にインストール可能 コモンネームとは コモンネームとは、SSL証明書を導入する際に、SSL通信を行いたいサイトのURLのことです。 (例) URL コモンネーム http://my-domain.com my-domain.com http://www.this-is-my-website.jp www.this-is-my-website.jp そのため、複数のURLで暗号化通信を行う場合、それぞれのSSL証明書を取得する必要があります。 クイック認証SSLの定価 クイック認証SSLはGMOグローバルサイン社が提供するSSL証明書です。 定価は34,800(税抜) *2016年11月1日の価格 クイック認証SSLの比較 2016年11月1日の価格 販売代理店 価格(税抜) 定価との比較 さくらのSSL 34,800 0 ドメインキーパー 14,000 20,800 Joe’s SSL 15,970 18,830 Bit Star SSL 29,800 5,000 remiseストア 20,925 13,875 データホテルSSL 18,900 15,900

お知らせ

都内の小学校でインターネット安心講座のお話をさせていただきました。

e-ネットキャラバン

10月22日(土)に都内の小学校の保護者、教職員の方々を対象に、インターネット、とりわけスマートフォンの安心安全な使い方の講演会をさせていただきました。 これは総務省と文部科学省のサポートにより、全国の学校、団体、地域へ出張して講演を行う、出前講座の「e-ネットキャラバン」の活動です。 講演はどんな内容? 講演は通常45分〜90分ほどの内容です。 パソコンのみならず、スマートフォンも手軽に便利にインターネットを楽しんだり、学習のツールとして使用することのできる便利なものですが、判断力の不十分な子どもたちにとって、スマートフォンの使い方を誤ると、取り返しのつかない事態になってしまうことがあります。 実際社会問題として、 ・スマホ依存症 ・歩きスマホ ・スマホによるいじめ ・LINEやSNSの炎上問題 ・傷害暴行事件、性的被害事件 ・詐欺事件 など、様々な問題が毎日のように起こっています。 これらを未然に防ぐべく、弊社も制作開発を行う、作り手として、e-ネットキャラバン講師として参加させていただいております。 児童・学生向けと大人向けの講座 児童・学生向けとしては小中学生と高校生向けの内容、大人向けとしては保護者教職員を対象とした内容で開催しています。 費用 この講座の講師派遣かかる費用、謝礼、交通費はかかりません。 ですので、毎年小学5,6年生を対象に行いたいということでご依頼もできます。 申込方法 申し込みはe-ネットキャラバンの「講座内容と受講方法」をご覧になった上で、「Web申し込みフォーム」よりお願いします。

セキュリティ

HTTP接続サイトには今後警告が表示されることに(Google発表より)

HTTP接続サイトには今後警告が表示されることに

Googleのセキュリティブログが9月8日に発表した内容によると、今後HTTP接続には警告が表示されることがわかった。 具体的には、Chrome(バージョン56 : 2017年1月リリース予定)から、HTTP接続のサイトで、「パスワード」、「クレジットカード情報」を含むものについて、アドレスバーのところに警告アイコンが表示されるようだ。 ▼表示される予定のChromeのアドレスバー(上が現在のChrome53、下が1月リリース予定のChrome56) 今後は「パスワード」、「クレジットカード」に限らず、広くHTTP通信には警告が表示されることも予想される。 HTTPS化に対応していないサイトは年内を目標に対応することをおすすめする。 Googleセキュリティブログ(英文) Googleセキュリティブログ 全文訳 ユーザーがWebブラウザを安全に使えるようにするため、Chromeはアドレスバーにアイコンで接続セキュリティを表示する。これまでChromeは安全でなくても、HTTP接続に特に表示はしなかった。2017年1月(Chrome 56)からGoogleでは、安全でないすべてのHTTP接続サイトをマークする長期計画の一部として、安全ではないパスワードやクレジットカード情報を送るHTTPサイトをマークすることになった。 Chromeは現在、中立的な指標でHTTP接続を示している。これはHTTP接続において安全性が不足しているという事実を反映していない。ユーザーがHTTPの上のWebサイトを読み込む時に、情報がユーザーに届く前にネットワークの他の誰かがそのサイト閲覧したり、修正できうる。 Webトラフィックの大部分はこれまでにHTTPSに移行させ、HTTPSの利用が現在も増えている。Googleでは、現在HTTPS上に提供されたChromeデスクトップページ読み込みの半分以上でマイルストーンを打ってきている。さらに、2月にGoogleがHTTPSレポートをリリースしてから、トップ100中の12以上のWebサイトが、デフォルトページ指定をHTTPからHTTPSに変更してきた。 これまでの研究で、ユーザーが警告としての「安全」アイコンの不足に気づいていのだけれども、頻繁に警告が表示されると気にしなくなるということが分かった。HTTPサイトにより分かりやすく安全でないというラベルを正確に貼る計画は、より厳格な標準に基づき段階を踏んで徐々に行う予定だ。2017年1月にスタートするChrome 56は、「安全でない」パスワードやクレジットカード情報を含むHTTPページにラベルを貼り、特に機密性が与えられる。 後続のリリースとしては、例えば、よりプライバシー高いを持つユーザーが匿名モードで「安全でない」とされるHTTPページをラベルを付けて分類することなどにより、GoogleがHTTP警告を広げていく。最終的には、すべてのHTTPページに安全でないというラベルを貼ることを予定しており、壊されたHTTPSページにはHTTPセキュリティマークを、赤い三角形の警告マークに変える。 Googleは、HTTPSに変わっていくことを待たずに、将来のリリースに近づくにつれこ計画をアップデートする。HTTPSはこれまでよりも簡単で安価になり、Webが提供するパフォーマンスをベストにもできる。Googleのセットアップガイドをチェックして始めよう。

セキュリティ

こうやって情報を盗られていく!心理学に基づいた人間の「六大」脆弱性

情報を盗む、取る側もあの手この手で入手しようと試みてきます。 自分は絶対、個人情報なんて知らない人に教えるものか、振り込め詐欺なんて絶対引っかかないよ、と思っていても危険はいっぱい。 アメリカの元クラッカー(※)のケビン・ミトニックは、ソーシャルエンジニアリングを用いたクラッキング手法で有名で、ソーシャルエンジニアリングは人間の性格、心理を利用すると著書中で述べています。 (※)クラッカー・・・コンピュータネットワークに不正に侵入したり、破壊・改ざんなどの悪意を持った行為を行う人。 そしてロバート・チャルディーニは心理学に基づき、人間の脆弱性(弱み)を6つに分類しました。 (1)返報性 何かもらったり、してもらったりしたら、お返ししなきゃ悪いという弱さです。 A「悪いんだけど、1000円貸してくれない?」 自分「(この前本借りたからなぁ・・・)いいよ」 (2)コミットメントと一貫性 最初に見たもので後に見るものに影響される弱さです。 具体的には次の3種類に分けられます。 ローボールテクニック 店員さん「これ、すごく人気のバッグなんですが、今朝完売しちゃったんですよー」 自分「(欲しかったけどまあいっか)」 店員さん「でも、5,000円違いなんですけど、ちょっと上のモデルなら1個だけあるんですよ!」 自分「買います!!」 最初に不可能な事実を伝えてから、より高い要求を出すことをローボールテクニックといいます。 ドア・イン・ザ・フェイス・テクニック 怖い人「お前ぶつかっただろ、100万出せや!」 自分「100万なんて持ってませんー(泣)」 怖い人「じゃあ今日のところは10万で勘弁してやる」 自分「はい・・・」 最初に不可能な事実を伝えてから、それより軽めの要求をしてくることをドア・イン・ザ・フェイス・テクニックといいます。 フット・イン・ザ・ドア・テクニック 見知らぬ人「すみません、道をお尋ねしたいのですが」 自分「いいですよ」 見知らぬ人「ありがとうございます!実は簡単な調査をやっておりまして、署名だけでいいのでお願いできませんか?」 自分「(署名だけならいいっか)」 見知らぬ人「もし少々お時間ありましたら、こっちのアンケートにもお答えいただけませんか?」 自分「(いまさら断りづらい。。。)」 最初に簡単な要求をして、その後徐々にハードルを上げるタイプのことをフット・イン・ザ・ドア・テクニックといいます。 後になって断りづらいという人間の心理を見事に利用しています。 (3)社会的証明 周りがいいって言うからいいに違いない。という考え方です。 例えば A「あのリンゴの最新のスマホいいよね!」 B「先週買ったよ!」 C「自分も予約したんだ〜」 自分「(えっ!!そうなの!?)」 周りの考えが多数だからといって、必ずしも正しい訳ではありません。 (4)好意 好きな人からお願いされると断りづらいパターンです。 アイドル「次のCD買ってください!グッズも買ってください!あと写真集も!」 自分「(アイドルちゃんに嫌われたくない!)もちろん買います!!」 という身近なパターンから、有名な人や尊敬している人が主催している販売会では、そうでない人が販売しているよりも買ってしまうということです。 (5)権威 普通なら知らない人に個人情報や預金口座を教えるなんてことはしませんが、 警察官「◯◯警察ですが、あなたの預金口座が不正に使用された可能性があるため、確認のためキャッシュカードを預からせてください。」 自分「え、本当ですか!?これです!!」 この場合、相手が警察を名乗っていることで、権威に対しての脆弱性があります。 そして「どうしよう!!しかも警察が来ちゃったし、キャッシュカードを出さない訳ないはいかないよね。」 って慌ててしまうかもしれません。 まず警察などがキャッシュカードや口座情報を聞き出す、預かることはありませんので、落ち着いて確認をすることが大切です。 (6)希少性 […]