So-net無料ブログ作成
検索選択
[インターネット]危険と安全 ブログトップ
前の5件 | 次の5件

オンラインストレージサービスの安全利用は パスワード強化・二段階認証・暗号化など [[インターネット]危険と安全]

便利なオンラインストレージ、パソコンやスマホの写真・住所録などの大事なデータをインターネットの中に自動的に保管でき、とても便利です。

しかし、便利だと言っても、個人のデータをインターネットの中に保管するので、不正アクセスから守ったり、また万が一盗まれた場合のことを考え、データにパスワードをつけたり、暗号化することが必要です。

今回は、オンラインストレージサービスを安全に利用する方法を紹介します。

なお、「オンライン・ストレージ」は、利用者アカウント(ユーザーID、パスワード)で利用し、他人はアクセスできない仕組みとなっています。
しかし、パスワードを解読されたり、ユーザーID、パスワードが盗まれ、不正にアクセスされる危険性があります。

安易に解読されないパスワードを利用するのはもちろん、最近では、2段階認証も活用することが大事です。

また、このサービスを利用すると、データはインターネットのサーバに残るので、クレジットカード番号、パスワード、住所録などの重要な個人情報は保管しないほうが良いですね。

万が一、重要なデータを保管する場合は、不正アクセスされ盗まれた万が一の場合を考え、ソフトにパスワード機能があれば、その機能を活用したり、データを暗号化して利用することが大事です。



■ 簡単なパスワードは危険!! パスワードの作り方


情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して、パスワード解読時間(見破られる時間)を調べたところ、 「英字(大文字・小文字の区別無)」の場合、”4桁で約3秒”、”6桁で約37分”だったそうです。

 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5


なお、詳しくは、以下で説明しますが、パスワードの基本は次ですね。

「英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使い、パスワードを定期的に変更する」


■ 良いパスワードの作り方

(1) 英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う

(2) すぐに類推できる「123456」「password」などを使わない

(3) 名前や辞書に載っているような単語を使わない

(4) 自分の誕生日・名前などの個人情報を使わない

(5) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。


■ パスワードの使い方(運用)

(1) 同じパスワードを複数のサービスで使わない

(2) パスワードを定期的に変更する。

(3) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない。

(4) パスワードを人目に付くような場所(ディスプレイ等)に貼り付けない。

(5) パスワードを初期値のまま使う事は避ける。

(6) パスワードを電子メールなどでやり取りしない。



■ 不正アクセス対策に、2段階認証を活用しよう!


別のサービスやシステムから盗んだID・パスワードを用いて不正アクセスする、パスワードリスト攻撃が増えています。

オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。


 ①「同じID、パスワードを複数のサービスで使わない」という対策以外に、
 ②「不正アクセスを防ぐ”2段階認証”」を活用することも

大事になってきました。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html



■ 重要なデータは保管しないほうがよいが、保管する場合は暗号化して保管


暗号化する方法として、私が一番気に入っているのが、下記の方法です。

 ”一般的に使われている「暗号化圧縮形式Zip」で暗号化”
 
暗号化圧縮形式Zipは、一般的な圧縮形式であり、このデータ形式をサポートする様々なソフトがあります。

もし、特殊な暗号化ソフトを利用した場合、このソフトが利用できなくなると、復号化してもとに戻せなくなりますので、要注意です。

実は、以前、便利な暗号化ソフトを利用ししていましたが、この時、パソコン環境を変更した際、このソフトが使えなくなり、データを元に戻すのに(復元するのに)、苦労したことがあります。そのときの反省も踏まえ、今は、利用ソフトに依存しない、「暗号化圧縮形式Zip」で暗号しています。



■ お薦めの暗号化対応 圧縮・解凍フリーソフト「7-Zip Portable」
■  (海外:日本語対応)


「7-Zip Portable」は、USBでも使えるポータブルタイプのフリーの圧縮・解凍ソフト。このソフトは、高圧縮率を実現し、ポータブルタイプの圧縮・解凍ソフトでは、代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。

強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

7-Zipについては、下記のホームページを参照下さい。

 7-Zipのホームページ(日本語)
 http://sevenzip.sourceforge.jp/

7-Zipは”2画面分割で使うと操作が便利になります、また、圧縮形式ZIPにパスワードを付ける方法は下記を参照下さい。

 ZIPにパスワードを付ける方法
 http://sevenzip.sourceforge.jp/howto/zip-password.html


(IPA提供)動画で学ぶ情報セキュリティの脅威や対策、家族で楽しめます [[インターネット]危険と安全]

IPA 独立行政法人 情報処理推進機構が、情報セキュリティに関する脅威や対策などを学ぶための映像コンテンツを、YouTube内の「IPA Channel」を通じて公開しています。

  映像で知る情報セキュリティ ~映像コンテンツ一覧~:IPA
  http://www.ipa.go.jp/security/keihatsu/videos/index.html

今回、新たに公開された映像は以下の3つ。 家族で映像をみましたが、家族の印象は、パソコンやスマホを活用する際の危険や対策が分かりやすいと好評でした。

なお、IPA提供のセキュリティ情報は、IT企業向け、一般人向けに大きく分かれており、信頼性が高く、分かりやすい内容で、私にはいつも役に立っています。IPAの宣伝みたいですが・・・


 (1)情報を漏らしたのは誰だ?
  ~内部不正と情報漏えい対策~ (企業・組織の従業員向け、約11分)

   http://www.ipa.go.jp/security/keihatsu/videos/20150331-1.html


 (2)陽だまり家族とパスワード ~自分を守る3つのポイント~
   ご家庭などでのネットサービス利用者向け、約10分

   http://www.ipa.go.jp/security/keihatsu/videos/20150331-2.html

 (3)検証!スマートフォンのワンクリック請求
   スマートフォン利用者向け、約10分

   http://www.ipa.go.jp/security/keihatsu/videos/20150331-3.html


(1)の映像は、情報漏えい対策について、どんなことに注意しないといけないかよく分かります。会社の新人の方には、参考になると思います。

(2)の映像は、最近多くの事件が発生しているパスワードについて、パスワードの作り方、パスワードの運営方法、保管方法などが分かりやすく解説されています。

(3)の映像は、以前から問題になっているワンクリック詐欺について、実際にシミュレーションしながら、何が危険か、どうすればよいかが分かりやすく紹介されています。


■IPA 独立行政法人 情報処理推進機構

 http://www.ipa.go.jp/index.html

日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人。


■IPA 独立行政法人 情報処理推進機構:情報セキュリティ(IPA/ISEC)

 http://www.ipa.go.jp/security/

IPA内に設置されているセキュリティセンター (IPA/ISEC) は、国内の情報セキュリティ対策の必要性・重要性についての認識を啓発・向上を目的とする機関。


暗号化通信SSL/TLSの脆弱性「FREAK」、個人情報が盗まれる危険性、ブラウザを最新版に! [[インターネット]危険と安全]

今、話題のSSL/TLSの脆弱性「FREAK」、「SSL/TLS」はインターネットの通信を暗号化し、サイトが信頼できるかを確認する技術です。

この大事な技術「SSL/TLS」に脆弱性(不具合)があり、悪用することで、強度の低い暗号を強制的に使用させ、これにより暗号が解読されてしまう恐れがあります。*この脆弱性が「FREAK」と呼ばれています。

この問題は、パソコンの全ブラウザに関係します。

使っているブラウザがFREAK脆弱性に対応しているか確認して下さい。なお、対応していない場合は、最新版に更新して、再度確認してください。

この「SSL/TLS」は全てのブラウザで使用されており、もし、この脆弱性(不具合)をそのままにしておくと、ショッピング・サイト、インターネット・バンキング、Webサービスなどの、ID・パスワードなどの重要な個人情報が盗まれる危険性があります。

 SSL/TLSの脆弱性「FREAK」、インターネット通信が解読され、個人情報が盗まれる危険性!

 全てのブラウザに影響、ブラウザを最新版に!

 最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、  他のブラウザを使用しましょう!!

パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法を次に紹介しますが、私は、この方法で、IE11、Firefox、Chrome、Operaのブラウザを確認し、全て、FREAK脆弱性に対応してOKでした。これらのブラウザ、最新版では大丈夫なようです。

なお、スマホの多くのアプリにもFREAK脆弱性があります。スマホのアプリも最新版に更新して下さい。また、スマホのアプリの問題は、以下を参照下さい。

 スマホのアプリ、最新版への更新が必要
 http://lifesecurityup.blogspot.jp/2015/03/freak.html

■パソコンのブラウザがFREAK脆弱性に対応しているか確認する方法
以下のサイトの情報をもとに確認方法を紹介します。

 サーバやブラウザがFREAK脆弱性(CVE-2015-0204)に対応しているか確かめる方法。
 http://applech2.com/archives/43653159.html

なお、確認した結果、ブラウザがFREAK脆弱性に対応していない場合は、すぐにブラウザを最新版に更新してください。

万が一、最新版に更新しても、ブラウザがFREAK脆弱性に対応していない場合は、他のブラウザを使用することをお勧めします。


 [ブラウザがFREAK脆弱性に対応しているか確認する方法]

 ①各ブラウザでFREAK脆弱性のチェックサイト"freakattack.com"にアクセス

  Tracking the FREAK Attack
   https://freakattack.com/

 ②"Good News" Your browser appears to be safe from the FREAK Attack!"
  と表示されれば安全

 ③"Worning!"が出れば脆弱性が存在


■暗号化通信SSL/TLSとは

「SSL/TLS」を使うことで、例えば,ショッピング・サイトに住所・氏名や,クレジットカードの番号を送る時などに,「サーバーが正しいかを確認して,情報を暗号化して送信する」ということができます。

サイトにアクセスする際に、SSLあるいはTLSによって暗号化されていると、URLが「https」で始まります。なお、SSLは、元々は米ネットスケープ社が開発した技術で、TLSはSSLをもとに作られた技術です。


■「FREAK」の脆弱性とは

暗号化プロトコル「SSL/TLS」で、暗号強度が弱い「輸出向けの暗号」を使っている問題点が、「FREAK」の脆弱性で、簡単に中間者攻撃を受け、通信内容を盗聴されます。

1990 年代の米国政府の輸出規制により、輸出向けの暗号化ソフトウェアは米国内市場向けの暗号化ほど、安全ではない、暗号強度の低い、「輸出仕様」の暗号化を使用するよう義務付けられていました。

この輸出規制自体はかなり以前に撤廃されましたが、「輸出仕様」の暗号化は存続したままです。この暗号化の強度は、非常に弱いもので、わずか数時間で復号することが可能です。

「FREAK」の脆弱性を悪用することで、強度の低い輸出用RSAの使用を強制することができ、これにより暗号が解読されてしまう恐れがあります。

この「FREAK」の脆弱性は、パソコンの全てのブラウザに影響があるとされています。


ホテルでのインターネット活用、Wi-Fiサービス、利用すると危険な攻撃にも、注意下さい [[インターネット]危険と安全]

ホテルでのインターネット活用、どうしていますか? ホテルのインターネット活用、個人情報が漏れたり、ウイルスに感染したり、決して安全とはいえません。最近も、ホテル向けネットワーク機器に脆弱性があり、ホテルのWi-Fi利用の宿泊客が攻撃される危険が指摘されています。

ホテルでの、インターネット活用、無料Wi-Fiサービス、ホテル設置のパソコン活用の際は、注意が必要です。

①個人情報入力を避け、②商品購入サイトなどのWebサービス利用を避けて、③Web閲覧程度にとどめた方がいいですね。

ネットワークの専門家、メーカーの支援がないと、インターネット環境を安全に保つことはできません。果たして、そのことを知り実現しているホテルが、どれぐらいあるのでしょうか? 本当に不安になります。

 1. ホテルでのWi-Fiサービス、安全かどうか分からない
 2. ホテルでのインターネット接続、安全かどうか分からない
 3. ホテルに設置されているパソコン、安全かどうか分からない


私は、基本的にホテルではパソコンを使わず、また、ホテルの無料の「Wi-Fiサービス」も極力使わないことにしています。

使うのは、スマホで携帯会社の専用回線を使ったインターネット活用。もし、パソコンを使う場合は、個人情報が必要なWebサービスは使わず、インターネット検索だけにしています。

ホテルでのインターネット接続、本当に安全なのか、なかなか分かりづらいです。以下に、ホテルのネットワーク、インターネット利用での最近の問題点を整理して見ます。


■ホテル向けネットワーク機器に脆弱性、Wi-Fi利用の宿泊客が攻撃される恐れ

ホテルなどに使われている、特定のネットワーク機器に脆弱性(不具合)があり、このWi-Fiサービスを使うと、情報を盗まれたり、ウイルスに感染するとして、ホテルなどのWi-Fiサービス提供者に注意が出されています。

下記の記事によると、Wi-Fiサービスに使われているANTlabsのゲートウェイ機器に、深刻な脆弱性が発覚。利用客が通信を傍受されたりマルウェアに感染させられたりする恐れもあるそうです。

 2015年03月30日
 ホテル向けゲートウェイ機器に脆弱性、Wi-Fi利用の宿泊客が攻撃される恐れ
 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1503/30/news041.html


■宿泊施設などが運営する「公衆Wi-Fiサービス」、運用体制は心許ない面も

下記の記事によると、異常な通信や攻撃の兆候などを監視する運用体制は重要で、宿泊施設や市町村などが自ら運営する場合は、独力では心許ない面もあるとのこと。

また、Wi-Fiネットワークの監視・運用を支援する製品はあるものの、「無料Wi-Fi」提供に投資はかけられず、導入事例はまだ少ないとのこと。

宿泊施設や市町村などが提供する「無料のWi-Fiサービス」利用時は、セキュリティに充分注意して、個人情報を利用しないことが大事ですね。

 無料でも攻撃と盗聴から利用者を守る、最強のセキュアWi-Fiへの道
 http://pc.nikkeibp.co.jp/atcl/news/15/032300523/


■高級ホテルのWi-Fiが危険すぎる!? 宿泊客の端末を狙った攻撃「DarkHotel」

2014年11月、ロシアのセキュリティー会社カスペルスキーが運営するKaspersky Labが、アジアの高級ホテルのWi-Fiを通じて機密情報を盗み出そうとする攻撃「DarkHotel」について公表しています。

下記の記事によると、Kaspersky Labは「攻撃者は優れた運用能力、数学的・暗号分析的な攻撃機能の能力を持っている。信用ある商用ネットワークを悪用し、特定の標的を極めて正確に攻撃している」とのこと。

この事件、「高級ホテルのWi-Fiを通じての攻撃」であり、高級ホテルの信用ある商用ネットワークでさえも、ネットワークが悪用される危険があるとのことです。

 2014年11月13日
 高級ホテルのWi-Fiが危険すぎる!? 宿泊客の端末を狙った攻撃「DarkHotel」が公表される
 iPhoneひとすじ! かみあぷ速報

 http://www.appps.jp/135866/


■ホテルのネット接続でマルウェア(不正ソフト)に感染、FBIが注意喚起

2012年5月、ホテルのインターネット接続を使って利用客のPCにマルウェアを感染させようとする手口が報告され、米連邦捜査局(FBI)の犯罪苦情センター(IC3)が、海外旅行客に注意を呼び掛けました。

 2012年05月10日
 ホテルのネット接続でマルウェアに感染、FBIが注意喚起 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1205/10/news019.html


この手口では利用客がホテルの部屋でインターネット接続を確立しようとすると、ソフトウェアの更新を促す画面がポップアップ表示され、アップデートのインストールを許可すると、マルウェアに感染するというものでした。


■大手ホテルの公共PCにマルウェア(不正ソフト)、客情報が大量流出

2014年7月、米国の大手ホテルで公共のパソコンにマルウェア(不正ソフト)が仕込まれ、利用客のパスワードや決済情報が大量に盗み出されているのが見つかりました。

 2014年07月15日
 大手ホテルの公共PCにマルウェア、客情報が大量流出 - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1407/15/news038.html

このマルウェア(不正ソフト)は、客がキーボードに入力した内容を記録して、その情報をメールで送信する仕掛けで、攻撃者は客の個人情報や、オンラインバンキングやWebメールのパスワードといった情報を大量に入手していたそうです。



安全性強化と人をだまして個人情報を盗む フィッシングメールが出回っています! [[インターネット]危険と安全]

セゾンカード会員が利用できるインターネットサービス「セゾンNetアンサー」をかたる、危険なフィッシングメールが出回っています。

安全性強化と人をだまして、危険サイトに誘導し、クレジットカード番号、生年月日などの個人情報が盗まれますので、注意下さい。

銀行、カード会社などの金融機関から、個人情報を入力させるメールはありません!! 決してダマされないように注意下さい!


フィッシング詐欺は、“インターネット版振り込め詐欺”とも言われています。

  一番大事なことは、

  個人的情報を要求するメールは無視する! です。

  通常企業は、顧客のパスワードや口座情報をメールで尋ねることはありません。   このようなメールは無視することが一番大事です。

  フィッシング詐欺対策を、下記ブログに詳しくまとめています、参考にしてください。
  http://lifesecurityup.blogspot.jp/2014/03/blog-post.html

  また、フィッシング詐欺対策の基本を最後にまとめています、参考にしてください。


フィッシング詐欺の多くは、URLをクリックさせることにより、ニセの金融機関やショッピングサイトなどにユーザを誘導し、クレジットカード番号やパスワードなどをだまし取ります。年々その手口は巧妙化しています。

なお、下記サイトに詳しい内容が説明されていますので、参考にして下さい。

 2015/03/23 セゾンNetアンサーをかたるフィッシング
 フィッシング対策協議会
 http://www.antiphishing.jp/news/alert/saison20150323.html


今回のフィッシングメール内容をみると、パッと見て、本当にダマされそうです。もし、寝起きのときなど頭がボーとしているときなど、簡単にURLをクリックしてしまいますね。くれぐれも用心してください。


----危険なフィッシングメール内容(上記サイトより引用)----------

【重要:必ずお読み下さい】セゾンNetアンサーご登録確認

いつもセゾンNetアンサーをご利用いただき、ありがとうございます。

この度、セゾンNetアンサーに対し、第三者によるアクセスを確認いたしました。

(中略)


大変お手数でございますが、下記URLからログインしていただき、
任意のIDへの再変更をお願いいたします。
なお、新たなID/パスワードは、セキュリティの観点より「10桁以上」のご登録を強くおすすめいたします。
http://www.●●●●.com/WebPc/USA0202UIP01SCR/


---------------------------------------

なお、下記サイトによると、1年以上前の2013年12月にも、全く同じようなフィッシングメールが出回っています。

 
 2013/12/27「セゾンNetアンサー」かたる、まともな日本語のフィッシングメールに注意
 -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/20131227_629394.html



■ フィッシング詐欺対策の基本


フィッシング詐欺で最も大事な点は、個人情報入手や寄付を依頼しているメールには注意し、このようなメールに記載されたURLをクリックしないことです。

以下にフィッシング詐欺を避ける心がけを纏めてみました。


(1) 一番大事なこと!! 個人的な金融情報を要求するメールは無視する

通常企業は、顧客のパスワードや口座情報をメールで尋ねることはない。このようなメールは無視すること。


(2) アカウント名・パスワード等の個人情報を要求するメールは無視する

不正なサイトに誘導される可能性があり、決して、URLをクリックしない。


(3) 一方的に送られてきた寄付を要請するメールには答えない

もし寄付をする場合は、各種救済団体の正規のサイトに直接アクセスする。


(4) ホームページの安全性をチェックする(URLが"http"ではなく"https")

URLが「https://・・・・・」と"http"ではなく"https" であるかを確認することが必要です(暗号化通信のSSL通信の場合のURL)。

なお、SSLを悪用した、フィッシング詐欺もあるので、更に、オンラインバンキングなどでは、SSLの安全性を更に強固にした「EV SSL証明書」が使われているかの確認も必要です。

EV SSLの場合、例えば、アドレスバーが緑色になり、その横に鍵のマーク、さらに企業名と認証局名が交互に表示されます。


(5) カード会社からの請求内容を確認し不正な請求がないか確認する

クレジット・カードなどの明細に、よく分からない金額が書かれていないかチェックする(不正な請求がないか確認する)


(6) セキュリティ対策ソフトを使いフィッシング詐欺対策を実施する

フィッシング詐欺対策がある対策ソフトを利用下さい。最近のウイルス対策ソフトには基本的にフィッシング詐欺対策があります。次に、ウイルス対策ソフトのフィッシング詐欺対策が有効になっているか確認下さい。


(7) ブラウザでフィッシング詐欺対策を実施する

使っているブラウザにフィッシング詐欺対策があるか確認下さい(代表的なブラウザには基本的にフィッシング詐欺対策があります)。次に、ブラウザのフィッシング詐欺対策が有効になっているか確認下さい。



前の5件 | 次の5件 [インターネット]危険と安全 ブログトップ
(図で覚える)コンピュータ用語学び塾 | Facebookページも宣伝
メッセージを送る

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。