経営戦略、IT戦略、Web戦略、人材育成、内部統制整備のご支援を生業としています

カレンダー

03 | 2017/04 | 05
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 - - - - - -

プロフィール

荒添美穂

Author:荒添美穂


☆公認システム監査人
☆システム監査技術者
☆ITCインストラクター
☆総務省電子政府推進委員
☆中小機構CIO育成チーフアドバイザー
・・・ 他

大学での講義や年間80件以上のセミナーを開催。
アイディア勝負のブルーオーシャン戦略支援を得意とする、中小企業の経営コンサル業を営み25年。
ネット活用の売上拡大支援では90%以上を売上3倍以上を、SEO対策は100%の成果を実現している。
創業支援から経営コンサルの育成・教育まで、「ありがとう」と言われるコンサルティングを身上とする。
※ 中小企業基盤整備機構、日本商工会議所、各所の中小企業支援センター、みらさぽ等の専門家派遣可


来て頂いて感謝♪


お世話になります!


RSSリンクの表示


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
通信教育事業における、子どもたちの個人情報漏えい 事件が、連日大きく報道されています。

漏洩件数は、最大2070万件とのこと。

2004年、yahooBB!の約452万人分漏洩で騒いで以降、
500万を超える規模の個人情報漏洩事件事故って、
結構、頻繁に起きていること、ご存知ですか?。

NTTデータ、日産自動車、ソニー、yahoo!JAPAN
グループ全体でカウントすると、1億件を超えると噂されたソニーの事件は、別格としても、
2013年5月の最大2200万件というyahoo!JAPANの件数にも近い数字が出て来たことへの驚きは隠せません。


事業者は、
・ 一度利用&登録をした方の個人情報は、
  契約終了時、削除義務がないこと
・ 通常、サービス利用者の10数倍の見込み客リストへ、
  DM案内などを行うのは、通常の商活動であること
を考えると、この膨大な数字も頷けます。


ネットショップを10年続けておられると、
「そんなには儲かってません」と言われるところでも、
原則、購入記録は消さないでしょうから、かなりの個人情報件数となっているはずです。


ベネッセさんのデータベースの情報漏えいに関しては、業者さん経由だった由

未だ、捜査中ですので、
現段階での発言は控えるとして、

今回は、
情報を業者さんへ預けているという業態を同じくする
ネットショップやサイト運営における情報漏えい改ざんのリスクについて、考えてみることといたしましょう。
※ 直接販売をしていなくとも、
  会員などの情報を持ち、会員向け(ログイン)
  情報提供や申込等を行っているサイトも個人情報
  もっていることが多いのです



まずは、情報漏えいしたときの責任についてですが、
漏えいした責任は、サイトの持ち主にあると思って頂いて、間違いありません。
サイトのあるサーバーのほとんどが、レンタルサーバーであり、 カートシステムや決済代行システムのほとんどが、専門業者委託であるかと思います。

全ての業者は、当然ながら、責任を負いますという、事業継続性を害する契約はいたしません。

契約金額を限度に保障しますというのが、精一杯のところです。

では、どこを選べば・・については、
どこも攻撃されているのは間違いないので、そういう報告をひとつもしていない ところは選ばない選択基準が、簡単で間違いないでしょう。

私的な見解ではありますが、

ハッキングや乗っ取りの状況や手口、対応について、
公開の記事として具体的に出しているところは、
技術力も情熱もあり、前向きに対応しており、
隠しの体質のあるところは、企業規模にかかわらず信用できないと考えます。



では、サイトの持ち主としては、どのような防御策があるのか?について、考える前に、 もう1点、知っておきたい現状がございます。


先に、記事のみFacebookでご案内した、
サイトの改ざん事件の急増についてです。
http://www.ipa.go.jp/security/topics/alert20130906.html

サイトの改ざんとは、サイトのコードを書きかえることで、
A. 閲覧者が気づかないうちに、偽サイトへ誘導する
B. 閲覧者のPCをウィルス感染させる
C. 見た目は変えず、データベースの中身(IDやパス)などを盗む
などを行うことです。


2013年5月以降、サイトの乗っ取り改ざんが急激に増え、2013年8月は大変な状況となりました。

今年、2014年5月にも動きがみられ、6月は大学や大企業さんのサイト改ざんが報告されていますので、 7月8月は、結構、頑張って監視をする必要がありそうです。


さて、ひとくちに改ざんと言っても、
いろんな手口があります。


◆1.メールや、サイト閲覧等から感染したPC上の
   FTP(サイトを更新するための手続き)情報を盗む

こともあれば、

◆2.CMSやjavascriptなどの脆弱性を突き、
   レンタルサーバーへ入りこむ

こともあります。



どちらも、初発とならないためには、
普通に対策をしていれば良いのですが、
※ 普通の対策とは、以下のようなことです
・ PCには、最新に保っているウィルス対策(感染防止)ソフトインストール
・ データベース情報の暗号化
・ FTP情報を設定したソフトは、別途管理
・ CMS(サイトページのコンテンツを自動で作ってくれるシステム)は、常に最新に保ち、セキュリティホールの在り処を知っておく

ただ、初発にならなくとも、改ざんされるリスクは小さくありません

社内はLANで繋がっていますし、
レンタルサーバーの場合は、集合住宅ですから、
どこか1件のお宅が火を出すと、のきなみやられてしまう可能性が高いのです。

この件について、私の知る中で、最もわかりやすく説明されているのは、 ロリポップさんのこちらのページです。http://lolipop.jp/security/

昨年、大規模なワードプレスやムーバブルタイプの感染拡大があり、対応に追われた分、真剣な説明をされておられると思います。


ただ、頭が痛いのは、
レンタルサーバー側は、入居?サイトを全て調査し、強制的に適正に保つわけには参りません。

「危ないです勧告」をしても、無関心・無反応・無対策のサイトも多いとの調査結果も出ています。
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html


原因として、IPAは、
・ 自組織のウェブサイトに CMS が使われているという
  認識がない
・ 脆弱性がある古いバージョンの CMS を使用する危険性を
  認識していない
・ 委託先との契約終了、担当者が辞めるなどの理由で
  ウェブサイトの管理者が不在である
をあげておられます。


また、現実的には、
私が経験した 30件程度のケースのすべてが

サイト製作をした業者さんから、
安易にバージョンアップはしないよう言われており、
「バージョンアップすると、レイアウトが崩れるかもしれませんが、責任持ちません」
とのことで、怖くてバージョンアップできないという理由もあるようです。

半数が、「いつかバージョンアップしますので、お待ち下さい」
「リニューアルの費用をくださるなら、すぐに行います」

半数が、「世間で騒いでいるような危険はなく、バージョンアップしたって、リスクは変わりません」 とのご対応でした。


保守料を十分に頂けていたらやりますけど・・・
という業者さんの事情も聞こえてきそうです。


長くなりましたので、続きは、また今度ということに致しまして

とりあえずは、
● あれ?なんかヘン??に敏感に
   私の情報漏れてない?
   サイトの動きがヘン
   PCの動きが遅いとかの変化を見逃さない

● フリーのCMSをお使いの方は、バージョンチェックと利用ツールの脆弱性(ぜいじゃくせい)情報を確認

みんなで気にかけて参りましょう!








当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp
スポンサーサイト
2013年6月、
Microsoft、金融業界やFBIと協力しCitadelボットネットを摘発
というニュースが流れました。
※ 詳しい内容は、ITproのサイトでお読みください。
→http://itpro.nikkeibp.co.jp/article/NEWS/20130607/483061/


ボットネットとは、
マルウェア(悪意のあるソフトウェアのこと)で、
ネット経由の遠隔操作で動くように乗っ取られたコンピュータ群と
その親玉であるサーバーとのネットワーク
のことです。

参考のために、追記すると、
ウィルスは、
マルウェアの1種ですが、特に、
exeファイルなどから感染、
PCのファイル等を破壊しながら、他のPCへ拡大感染するもの
のことですので、同じように感じてくださっても一般には困りませんが、意味合いは少し違います。



さて、なぜ、今頃、昨年の6月のことを話題にしたかと申しますと、
先月、スペインのセキュリティ企業から、
セキュリティレポート「Annual Report PandaLabs 2013 Summary」が公表され、
史上存在したすべてのマルウエアの20%に当たる3000万種が、2013年の1年間で開発された ことが分かった。
※ 日経BPのサイト、CIOより ・・ 時節柄明確に ^^;
との記事を今日確認したからでございます。


3月は、消費税や異動や年度末のあれこれで、
いろんな確認すべき情報も後回しとなっており、
ようやく、今日、新しいPCの設定がてらに、目を通したのでした。


昨年、3000万種もの「新しい」悪意のあるソフトウェアが開発されたということは、旧来のものも含めると・・・花粉症的蔓延があったとしてもおかしくない気がいたしますが、
花粉症ほどは、一般的なマスニュースにはなっていないところをみると、

皆さまの意識が高く、きちんと対策をされておられる方が多いのだと思います。

ちなみに、
マルウエアへの感染件数は、中国がトップで、
国際的に見た感染件数の54%を超えているのだそうです。
※ 研究機関PandaLabs調べ



以前にも申しあげたかと思いますが、

ネットは便利なツールです。
車と同じく、便利なんだけれども、
人間が使い方を間違うと、大変恐ろしい
ことになるのです。


もちろん、生活や仕事に、ネットがこれだけ浸透しているのですから、

また、これは、予測できたことですから、
個々に求められる対策以外にも、これを摘発する動きはございます。


2004年末には、
IT系金融系など、ネットに関連する業界の企業と、
米政府機関(FBIやFTCなど)の組織が、
フィッシング詐欺に関する情報を交換共有して、摘発しようという組織Digital PhishNetを立ち上げていました。


昨年末にも、前月にも、
 ・ オンラインバンキング情報や個人情報の盗難
 ・ 盗撮等の違法なデータ公開
などに対する、大きな摘発・逮捕があったとのニュースがありました。


システムのさまざまな監査にも携わる身としては、
どんなにお金をかけても、100%の防御は不可能という思いもございますし、

システム監査人協会とシステム監査学会の共同月例会での 乗っ取りソフトの実演セミナーを見て、「本気で狙われたら、防ぎようがない」とも思いましたが・・・・


空巣対策と同じイメージで、
簡単に狙われないよう、きちんと戸締り

という感じの意識を高く持って、
◆ ウィルス対策ソフトなしのネット活動は、飲酒運転と同じく、避けましょう
◆ 怪しいメール(exeやリンク)のクリックは避けましょう
◆ 「ん?なんか動きがおかしい」と思ったら、また思わなくても定期的なセキュリティチェックを致しましょう


当記事の始めの方に、
ウィルスって自分のPCの中身を破壊して、他のPCへも感染するもの
と言いました。


それでは、
盗聴、乗っ取り、監視を行うマルウェアへは、
どう対応すれば良いのでしょう?



マカフィーの創設者である、ジョン・マカフィー氏が、盗聴・監視を阻止するプログラムを開発中という記事も読みましたので、そのうち、販売になるとは思いますが、とりあえず、
◆ ときどきでも、ログインの記録をWindowsのコントロールパネルの管理ツールで調べ、覚えのない時刻のログインがないか、見てみましょう



時空を超える、便利なネットというツールを上手に活用して、自分の知識や活動範囲、人脈を広げて参りたいものです。







当ブログ記事に関し、
ご質問やお問合わせがございましたら、下記までお気軽にどうぞ!
 有限会社 インテリジェントパーク
 代表取締役 荒添 美穂
info@int-park.jp

 | BLOG TOP | 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。