• このエントリーをはてなブックマークに追加

セキュリティ意識どの程度ある?ハッキング被害、他人事ではない!

  • このエントリーをはてなブックマークに追加

セキュリティイメージ

Ushioです。我々ネットワークエンジニアは「つなぐ」ことが仕事なのですが、もちろん「つながった」結果がセキュリティ的に危ない、なんてことはあってはいけないこと。

「それはユーザ責任、端末(PC・サーバ)管理者責任でしょ」なんて中途半端な仕事する人が居たらファイヤーです。お仕事するうえでは請けている業務の責任範囲は決まっているので契約上の責任は無いにしても、知った上でリスクに気が付いて、つなぐだけじゃなくコンサルまで行かなくても「大丈夫ですか?」の一言は言おう。

本日は、エンジニアよりも一般の、パソコン、インターネット利用者に向けた基礎的なことを書こうと思う。下記を網羅すれば全部、ではなく、まず最低限意識しておくべきことを書く。

近年のインターネット環境

インターネット

インターネット。気が付いたら世界中に普及し、今やなくてはならないもの。インターネットに繋ぐ媒体(端末)、いろいろありますね。

・パソコン

・スマートフォン

・タブレット 等々

そう、10年ほど前で言うと、「1家に1台のパソコン」なんて響きだったものが今や「1家に2台、3台のパソコン」。スマートフォンなら都会であれば中学生以上の人間の殆どが持っているのではないだろうか。みーんなが”インターネット”を介して自由につながるとっても便利な世の中なのだ。

そしてその媒体(端末)には色々な情報を蓄積できる

・思い出の写真

・音楽ファイル

・電話帳

・メール

・親戚近所の住所リストなど

・お仕事のファイルなどなど

昔は紙媒体で印刷してファイリングしていたものが、今は場所も取らずお手軽に保管できる。とっても便利!

インターネットにおけるリスク

SONY DSC

とっても便利。しかし便利には危険がいっぱい。

・いつでも、どこでも、だれとでもすぐ繋がれる

・どんな情報もインターネット上にある

昔でいう泥棒。今も物理的にものを盗む泥棒もいると思うが、近年はパソコンを用いて盗みを働く人たちが居る。そう俗に言う「ハッカー」である。

ハッカーからすると、「いつでも、どこでも、誰のどんな情報でも盗める」インターネットとはそいういうものなのである。

具体的にどうすればいいの?

上記を読んでいただき「えっ、危ないの?インターネット、使わない方がいいの?」と心配になった方も多いでしょう。まずは以下の簡単なチェックをしていただこう。

□インターネット接続媒体(端末)のOS(WindowsであればXP/7/8/8.1のこと)は古すぎませんか?

□ウィルスソフト、入れていますか?

□アカウントのパスワード、本当に安全ですか?

あれ、と思うものがあれば要注意。

1つずつ解説しよう。

1.OSアップデートの重要性

UPDATE

OSアップデート、例えばWindowsアップデート。「なんだこれ、面倒だな、ポップアップや再起動、煩いな」と思っている方も多いでしょう。ここで言いたいのはOSアップデートを甘く見ないようにしよう、ということ。もちろんだが、新しいOSのリリース、アップデートのリリースには「見つかったセキュリティリスクへの対策」が含まれている場合があるからだ。

簡単な例を出そう。WindowsXPを未だ使っている人。危ない。メーカのサポート終了がはセキュリティ対策も知らないよ、と言われているも同然。

ちなみに、私のようなセキュリティの基礎知識だけ持ち合わせた雑魚エンジニアでも、あなたのXPの端末に不正アクセスして情報取得できてしまうかもしれない。

こういったOSのセキュリティ対策で、”最低限”の外部不正アクセスは防げるだろう。

2.ウィルスソフトの重要性

ウィルスソフト、意外と入れていない人も多いと思う。あなたのパソコン、大丈夫ですか?

一つの例をだそう。例えば上記1.OSアップデートにて最低限の外部からのアクセスが防げたとしよう。近年の攻撃の例で「乗っ取り」「遠隔操作」なんてものがある。あれは外からアクセスされているのではない。

知らず知らずのうちに
自分で不正ファイルを実行し
自分でハッカーにアクセスする

のだ。

あくまで例だが、例えばメールの添付ファイルを実行すると、自分のPCからハッカーのサーバに繋ぎに行き、ハッカーはそれをもとに遠隔操作するような攻撃が多い。もちろん遠隔操作だけでなく、特定ファイル(自分のPCのパスワードリスト)なんかを自動送信する等。PWのファイルなんて、何処に入ってるか普通意識しないですよね。(ハッシュ化された上で)決まったフォルダに入っているのです。

知らず知らずのうちに危険なファイルを実行しちゃうの?どうしよう!

ってときに活躍しているのがウィルスソフトです。「そのファイル安全だよ」「そのファイル、やばいよ」「パソコンに不信な動きするソフトが入ってるよ、駆除するよ」そんなことをやってくれる。

※OSと同じだが、もちろんウィルスソフトもアップデートして最新を維持しよう

3.安全なパスワードをかけよう

password

安全なパスワードって何?まずは危険なパスワードを説明しよう。危険、とはすぐに見破られる、ということだ。

①ユーザIDと同じ

②辞書に載ってる単語

③文字数が少ない

当てはまる人いますか?危ない!パスワード解析をされる順番だと思ってください。

①のユーザIDと同じ、ってアカウントは「ジョーアカウント」と呼ばれる。意味としては外国にジョーさんという人が多かったのか、ID:joe、PW:joeで入れてしまう危険なアカウントが多かったからでしょう。一発で見破られますよ。

②については、俗に言う「辞書攻撃」ですね。辞書に載っているような単語、簡単に破られます。インターネットにも、パスワード解析ソフト用の”各国の言葉の”辞書ファイルが公開されている。※そのファイルの目的は会社内の危険なパスワードアカウントがないか監査するため、という名目のようです。

③の文字数については多く複雑に越したことはない。ジョーアカウントじゃなく辞書に載っている単語でヒットしなければどうするか。どうしても知りたければ文字列すべて「総当たり」する、俗に言う「ブルートフォースアタック」ですね。時間をかけれさえすれば破られないパスワードはない、ということだ。長く複雑であればあるほど、解析には時間がかかる。一般の人のアカウントの解析にどれだけ時間をかけるか?という天秤になるわけですね。

長く複雑にして忘れないようにしましょう笑。複雑にして忘れないようにデスクトップに「パスワード.txt」なんかを作ってメモするのももちろん本末転倒

大切な補足です。時間を書ければなんでも破られる、と書いた。あれれ、そしたら世の中のすべてのシステム危ないじゃん!と思われると思う。もちろん重要なシステムであればあるほど、ここに書ききれない強固な仕組みを取り入れている。まずパスワード解析において簡単な対策を挙げると「アカウントロック」。5回ログインに失敗するとロックされる、ユーザからしたら面倒なやつです。本当に重要なシステムはそういった仕組みを取り入れている。

例えばGoogleアカウントもそうですね。いつもの端末以外から複数回ログイン失敗すると強制的にパスワード変更させられたり。乗っ取りの流行ったLINEなども、PCからログインすると携帯の方に「あなた今PCから入った?本人じゃないなら止めれるよ」みたいな通知が来ますね。

さて、長くなりましたが今回はここまで。基礎だけでこんなに長く語ってしまって結局エンジニア以外にとっつきにくい内容になってしまった。また別の機会にほかの情報も掲載しようと思う。

世の中の仕組みの進歩と同時にハッカーの技術も進歩していることをお忘れなく。

ZacoUshio

スポンサーリンク
Sponsords Link
  • このエントリーをはてなブックマークに追加

ZacoDesign

スポンサーリンク
Sponsords Link