« 2009年8月 | トップページ | 2009年10月 »

2009年9月の記事

2009年9月30日 (水)

こっそりと送金先を変えるオンラインバンキング犯罪

ITmediaの記事「こっそりと送金先を変えるオンラインバンキング犯罪に注意」からです。

トロイの木馬を使って、オンラインバンキングでの送金先をひそかに変更してしまうMITB(Man in the browser)攻撃が増加しているようです。

この記事によると、以下のような手口のようです。

 攻撃者は、まずトロイの木馬から感染ユーザーのクレデンシャル情報を盗み出し、ボットなどの保管用サーバに情報を蓄積する。この情報を基に「ミュール」と呼ばれる変更先の口座を開設する協力者をインターネット広告で募集する。

 広告では「口座を開設して振込みを手伝うだけで金が手に入る」などの文句で呼び掛け、ミュールとなる人物は犯罪であることを認識せずに参加してしまうという。過去には日本の金融機関をかたった英文の募集広告も見つかっている。

 ミュールが口座を開設すると、攻撃者は口座情報をトロイの木馬に登録する。トロイの木馬はユーザーがオンラインバンキングにログインするのを常時監視しており、セッションが開始されると、セッションをハイジャックしてユーザーが送金する際に送金先をミュールの口座へ変更するという流れだ。

ますます、手口が巧妙になり、対策も難しくなっています。
人間がこのような手口に気がつくというのは、もはや無理でしょう。

(この記事のタイトルでは「ユーザーの対策は困難」となっていますね)

フィッシングサイトも増え続けているようですね。8月は過去最高を記録したようです。

<関連記事>
「お金を不正に振り込ませる3つの管理ツールが登場,RSAセキュリティが報告」~日経ITpro

| | コメント (0) | トラックバック (0)

2009年9月29日 (火)

ロシアで犯罪アフィリエイトが横行

ITmediaの記事「Macへのマルウェア感染で報酬、犯罪アフィリエイトが横行」からです。

この記事によると「ロシアの犯罪組織が出来高制で、動画再生ソフトに見せかけた危険なマルウェアをアフィリエイトに供給。ユーザーのMacにマルウェアを仕込むことに成功すれば、1件当たり43セントを払うと持ち掛けている」ということです。

アフィリエイトビジネスが、こんなところでも進んでいるのですね。

そして、この記事では「金目当ての犯罪集団がWindowsだけでなくMacも標的にしていることが改めて裏付けられたとSophos研究者はいい、Macユーザーの多くはマルウェア対策ソフトを導入していないため危険な状況だと訴えている」とも。

以前「Macは(Windowsよりも)安全」というテレビCM」がありましたね。
今考えると、あれは何だったんでしょうね・・・

| | コメント (0) | トラックバック (0)

2009年9月28日 (月)

「情報セキュリティ技術動向調査(2009 年上期)」報告書、公開

IPAセキュリティセンターのHPで「情報セキュリティ技術動向調査 タスクグループ報告書 (2009 年上期)」が公開されています。

<目次>
序 2009年上期の技術動向 - 今日のセキュリティエンジニアリングの話題
1 Untrusted search path vulnerability
2 Linuxカーネルのセキュリティ強化機能
3 DNSSEC配備に先立つ米国連邦政府の取り組み
4 DNSSECの普及に関する動向
5 インターネット経路制御のセキュリティ動向
6 大規模感染型マルウェアConfickerの動向調査とダークネット観測事例
7 MUSTANによるダークネット観測事例
8 アイデンティティ管理関連技術OAuthの動向
9 クラウドコンピューティングセキュリティ

2009年の1月から6月に認識された情報セキュリティ関連の技術動向についての報告書です。

個人的には「DNSSEC」「クラウドコンピューティングセキュリティ」あたりに特に関心を持っております。

| | コメント (0) | トラックバック (0)

2009年9月26日 (土)

パスワード窃盗ビジネスの実態

ITmediaの記事「パスワード窃盗ビジネスの実態、McAfeeが報告書で解説」からです。

この記事は、オンラインバンキングなどのパスワードを盗み出すマルウェアの実態についてまとめた報告書です。

 オンラインバンキングやクレジットカードによるネット決済の普及に伴い、銀行などのパスワードを盗み出すことは犯罪者にとって魅力的なビジネスとなり、トロイの木馬などのマルウェアを使って情報を盗み出す手口が世界中で横行している。

 パスワードを盗み出すマルウェアは2007年から2008年にかけて400%近い増加を記録した。請求書や配達通知などを装ったメールに不正なPDFファイルを添付したり、正規のWebサイトをハッキングして不正コードを仕込んだりする手口で感染を広げているという。

オンラインバンキングやネット決済などの普及に伴って、パスワード窃盗が犯罪者にとってますます魅力的なビジネスとなっているようです。
この傾向はしばらく続くでしょうし、手口がさらに巧妙かつ多様になってくるでしょうね・・・

| | コメント (0) | トラックバック (0)

2009年9月25日 (金)

総統の夢.jp

ある方から教えていただきました。

株式会社日本レジストリサービス(JPRS)が、9/7に開設したサイト「総統の夢」です。

ちなみに内容は、「一般ユーザーのJPドメイン名に対する理解と利用の促進を目的に、人気アニメ作品「秘密結社 鷹の爪」とタイアップしたゲーム」です。

どうでもいいですが、私の場合「総統」といえば「デスラー」しか思い浮かびません・・・

<参考>
JPRSがWebゲームサイト「総統の夢.jp」(http://総統の夢.jp/)を本日開設

| | コメント (0) | トラックバック (0)

2009年9月24日 (木)

「サイバー空間防衛隊」を新設

時事ドットコムの記事「サイバー空間防衛隊を新設=11年度発足目指す-防衛省」からです。

この記事によると、以下のようなことが計画されているようです。

 防衛省は21日、同省や自衛隊へのサイバー攻撃に専門的に対処する「サイバー空間防衛隊」(仮称)を新設する方針を決めた。

機密情報の盗み取りを目的に、ハッカーがインターネットを通じて政府機関の情報網へ侵入を図るケースが世界的に増加している現状を踏まえ、セキュリティー強化が必要と判断した。2010年度中に準備室を設置し、11年度の発足を目指す。
 サイバー空間防衛隊は60人規模を想定。自衛隊指揮通信システム隊の下に設置し、(1)最新のコンピューターウイルス情報などの収集や対処方法の研究(2)防衛省・自衛隊の指揮・通信システムの監視や防護(3)専門知識を持つ要員の育成-などを一元的に行う。
 また、同省はサイバー攻撃対策の中長期的な企画立案を担う「サイバー企画調整官」を統合幕僚監部に新設。また、諸外国で実際に起こったサイバー攻撃に関する情報を収集・分析するため、情報本部に専属要員を配置する。 

こういう記事を読むと、うれしくなってわくわくしてしまいます。
もちろん、組織ができるのが楽しみであって、事案が発生することを楽しみにしているわけではありません。
念のため・・・

| | コメント (0) | トラックバック (0)

2009年9月18日 (金)

増え続けるWeb攻撃

ITmediaの記事「増え続けるWeb攻撃、正規サイトや投稿サイトを悪用」からです。

この記事によると、Web攻撃の動向に以下のような変化が見られるようです。

 報告書によると、悪質サイトの数は過去半年で233%増加し、前年に比べると671%増加した。悪質コードが仕掛けられたWebサイトの77%は正規サイトが占めており、Gumblar、Beladen、Nine Ballといったマルウェアを利用して信頼されているサイトを改ざんする手口が目立ったという。

 ユーザーのコンテンツ投稿で成り立つWeb 2.0サイトも格好の標的となっている。ブログやチャットルーム、掲示板に掲載されているコメントの95%は、スパムまたはマルウェア配布サイトへのリンクだったという。

 Web経由で個人情報などを盗み出す手口や、スパムメールを使って悪質サイトに誘導する手口も引き続き横行。マルウェアが検出された電子メールの総数は6月だけでも前月比で600%増えたとしている。

前年比671%とは、恐るべきデータですね。
(「技術」と「詐欺」の組み合わせである)悪意のあるサイトが、そこらじゅうにできていて、しかも頻繁に移動したり、手口を変えてきたり・・・
これらを見つけることも重要ですが、まずは「踏まない」ようにどうするか、それが問題ですね。

| | コメント (0) | トラックバック (0)

2009年9月17日 (木)

サイバー攻撃の標的はOSからアプリへ

ITmediaの記事「サイバー攻撃の標的はOSからアプリへ―SANS報告書」からです。

この記事によると、

 報告書によると、サイバー攻撃でOSが問題になるケースは減少傾向にあるという。OS自体を標的とした攻撃は数えるほどしかなくなり、OSとコアコンポーネントのパッチ配信も定着してきた。

 それに代わって台頭してきたのがサードパーティーアプリケーションを狙った攻撃で、例えばAdobe、Java、Quicktimeなどに対する攻撃が増加。こうしたアプリケーションはパッチ導入が行き届かないなど、現状の管理態勢に問題があると指摘している。

 サーバ側ではWebアプリケーションが攻撃に利用されるケースが増え、インターネット上の攻撃の60%以上を占めている。特に、Webアプリケーションの脆弱性とクライアントソフトの脆弱性を組み合わせて悪用し、Webアプリケーションに不正コードを仕込んでネットワーク内部に攻撃を仕掛ける手口が主流になっているという。

とのこと。

攻撃の動向は、ここ数年の変化が大きいですね。
サーバーからクライアントへ、いたずら目的から金銭目的へ、そして見えない化+巧妙化+多様化・・・

それにも対応していかなければならないのが、セキュリティなんですね。

| | コメント (0) | トラックバック (0)

2009年9月16日 (水)

御礼、200000アクセス

おかげさまで、昨日このブログへのアクセスが200000を突破いたしました。
心より厚く御礼申し上げます。

「情報セキュリティ」というニッチな分野でのブログですが、何とかここまで続けてこれました。
これからも、いままでの調子で「情報セキュリティ」というニッチな分野で続けていきたいと思っております。

| | コメント (0) | トラックバック (0)

2009年9月15日 (火)

「第6回デジタル・フォレンジック・コミュニティ2009 in TOKYO」

「第6回デジタル・フォレンジック・コミュニティ2009 in TOKYO」
の申し込みが始まっていましたね。

第6回デジタル・フォレンジック・コミュニティ2009 in TOKYO

開催日:2009年12月14日(月)~15日(火)
主  題:「事故対応社会におけるデジタル・フォレンジック」
副  題:「それでも起こる情報漏洩に備える」
会  場:「ホテル グランドヒル市ヶ谷」(東京都新宿区市ヶ谷)
参加費:IDF会員 \10,000- / 一般参加 \15,000- / 学生(社会人を除く) \5,000-
お申込:http://www.digitalforensic.jp/community/2009/com.html

| | コメント (0) | トラックバック (0)

2009年9月14日 (月)

NIST SP800シリーズ、2009年度公開文書(翻訳版)一覧

IPAセキュリティセンターのHPで「NIST SP800シリーズ」の今年度の公開文書(翻訳版)一覧のリリースがされています。
今月は、新たに5つの翻訳版文書が公開されています。

ちなみに、この翻訳作業には公認情報セキュリティ監査人(CAIS)、CISSPの方々が多く関わっています。
この2つの資格のホルダーである私としては、ちょっとうれしくなってしまいました。

「プレス発表 海外の情報セキュリティ関連文書の2009年度翻訳を公開 ~米国NISTの情報セキュリティ関連文書を民間組織と共同で翻訳・調査研究~」

●2009年度公開文書一覧(シリーズNo./タイトル/掲載時期)

「SP 800-55 Rev. 1 情報セキュリティパフォーマンス測定ガイド(Performance Measurement Guide for Information Security)」 2009年9月
「SP 800-64 Rev. 2 情報システム開発ライフサイクルにおけるセキュリティの考慮事項(Security Considerations in the System Development Life Cycle)」 2009年9月
「SP 800-81 セキュアなドメインネームシステム(DNS)の導入ガイド(Personal Identity Verification (PIV) of Federal Employees and Contractors)」 2009年9月
「SP 800-86 インシデント対応へのフォレンジック技法の統合に関するガイド(Guide to Integrating Forensic Techniques into Incident Response)」 2009年9月
「SP 800-88 媒体のサニタイズに関するガイドライン(Guidelines for Media Sanitization)」 2009年9月

・「SP 800-76-1 個人識別情報の検証における生体認証データ仕様(Biometric Data Specification for Personal Identity Verification)」 2009年10月予定
・「SP 800-45 ver.2 電子メールのセキュリティに関するガイドライン(Guidelines on Electronic Mail Security)」 2009年11月予定
・「SP 800-94 侵入検知および侵入防止システム(IDPS)に関するガイド(Guide to Intrusion Detection and Prevention Systems (IDPS))」 2009年12月予定
・「SP 800-53 A 連邦政府情報システムのためのセキュリティ管理策アセスメントガイド(Guide for Assessing the Security Controls in Federal Information Systems)」 2010年1月予定
・「FIPS 201-1 連邦従業員及び委託業者の個人識別情報の検証(Personal Identity Verification (PIV) of Federal Employees and Contractors)」 2010年3月予定
・「解説文書 NISTリスクマネジメントフレームワーク解説(仮題)」 2010年3月予定

かなり、そろって来ましたね。
来月以降に公開される文書も、とても楽しみです。

| | コメント (0) | トラックバック (0)

2009年9月12日 (土)

「インターネット安全教室」HP、リニューアル

このブログの記事に書くのを忘れていました・・・

「インターネット安全教室」のHPがリニューアルされました。

おっと、ここにもセキュリーナがいる!

| | コメント (0) | トラックバック (0)

2009年9月11日 (金)

SSCPホルダー、いよいよ誕生へ

昨日まで、SSCPレビューセミナーの講師をやってました。(3日間とも私が担当しました)

今週の日曜(9/13)が、認定試験です。
この認定試験で、日本のSSCPの第1期生が誕生するのですね。
CISSPとしても、同じCISSPホルダー以外に、SSCPホルダーという仲間が増えることになります。
いまから、とても楽しみです。

「CISSP SNS」も「CISSP/SSCP/JGISP SNS」として、リニューアルされており、既にSSCPホルダーの受け入れができております。

ちなみに、9/15発売のMOOK「セキュリティExpert 2009」には、「SSCP 7ドメイン ガイドブック」が、付録でつきますよ。

| | コメント (2) | トラックバック (0)

2009年9月10日 (木)

ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2009

今年もこの時期になったのですね。申し込みが始まっていました。このイベント、ついに10回目の開催さそうです。
今年のテーマは「ネットワーク・セキュリティのこれから」です。

実はこのイベント、今まで参加できていません。
今年は参加できるのでしょうか。
無理かな・・・

ネットワーク・セキュリティ・ワークショップ in 越後湯沢

会期:2009年10月8日(木)-10日(土)

会場(予定):
 新潟県南魚沼郡湯沢町
 * 湯沢町公民館
 * 湯沢ニューオータニホテル

主催:
 NPO新潟情報セキュリティ協会(ANISec)
 ネットワーク・セキュリティ ワークショップin越後湯沢
 実行委員会 委員長 石井威望(東京大学名誉教授)

参加費:
 【一般】15,000円
 【学生】 6,000円

| | コメント (0) | トラックバック (0)

2009年9月 9日 (水)

自作自演の偽セキュリティソフト

日経ITproの記事「「偽ウイルスを生成して検出」――自作自演の偽ソフト現る」からです。

この記事によると、この偽セキュリティソフトは、こんなことをするらしいです。

  従来の偽ソフトが表示する偽警告では、実際には存在しないファイルや、既存の無害のファイルが「ウイルス感染ファイル」としてリストアップされる。ところが、今回報告された偽ソフトは、ファイル名や拡張子などがランダムなファイルを複数作成。それらをウイルスとして検出し、ユーザーに駆除を促す。

 実際には、生成されるファイルは「偽ウイルス」。無意味なデータが含まれる、無害の「ゴミファイル(junk files)」だという。

手の込んだことをしてきますね。ここまでされたら、確かに焦るでしょうね。
どこまでが、偽セキュリティソフトがやっていることで、どこからがそうではないのか、見分けることがだんだん難しくなってきている気がします。

<関連記事>
「「偽ウイルスファイル」を作る偽セキュリティソフト現る」~ITmedia

| | コメント (0) | トラックバック (0)

2009年9月 8日 (火)

「2009年度情報セキュリティ監査セミナー in Sendai」で講演します

来る10月2日の「2009年度情報セキュリティ監査セミナー in Sendai」で講演します。
お近くの方は、ぜひお越しください。

CISSP、CISA、CISM、CAISの方は、CPEのクレジットになりますよ。

「2009年度情報セキュリティ監査セミナー in Sendai」

開催日:2009年10月2日(金)13:30~17:30(開場:13:00~)
会場:仙台第二合同庁舎 2階講堂
 宮城県仙台市青葉区本町3丁目2番23号

主催:経済産業省、特定非営利活動法人日本セキュリティ監査協会(JASA)
後援(予定):東北地域情報サービス産業懇談会
 社団法人 東北経済連合会
 仙台商工会議所
 社団法人 宮城県情報サービス産業協会
対象:民間企業や地方公共団体・公益法人のシステム統括部門、情報セキュリティ推進者や担当者、内部監査人など
参加費:無料(事前登録制)
定員:約100名

※お申込みは、こちら

| | コメント (0) | トラックバック (0)

2009年9月 7日 (月)

「情報システムの信頼性向上に関する評価指標(第1版)」公表

「情報システムの信頼性向上に関する評価指標(第1版)」が、経済産業省のHPで公表されています。

平成21年3月24日に公表されている「情報システム信頼性向上に関するガイドライン第2版」の実施項目の取組状況の“見える化”ということで公表されたようです。

ちなみに、以下のようなものになったようです。

3.評価指標第1版のポイント
○ ガイドライン第2版と同様に情報システム関係者全般を利用対象者として作成。「情報システム利用者(ユーザ企業)」及び「情報システム供給者(ベンダ企業)」双方での活用を想定。
○ ユーザ企業及びベンダ企業ともに、基本的にプロジェクト単位での評価・活用を想定。
○ 利用対象者(ユーザ企業、ベンダ企業)別の2種類の質問票があり、それぞれの質問票は次の5部から構成。(ユーザ企業向け:合計82項目、ベンダ企業向け:合計82項目)
① 信頼性・安全性向上に向けての全般的配慮事項
② 企画・要件定義・開発及び保守・運用全体における事項
③ 技術に関する事項
④ 人・組織に関する事項
⑤ 商慣行・契約・法的要素に関する事項
○ ガイドラインに沿って情報システムの信頼性・安全性の向上に向けた取組が行われるよう、本評価指標を政府調達において活用することを検討。

つまり、これが「情報システム利用者(ユーザ側)と情報システム供給者(ベンダ企業)が、当該ガイドラインの適合度合いをそれぞれ測ることを可能とする評価指標」となれば、ということなのですが・・・

普及させるための施策が必要になりそうですね…
(他にも、「コモンクライテリア:ISO/IEC15408」、「SLAガイドライン」なども一緒に)

<参考資料>
「情報システムの信頼性向上に関する評価指標(第1版)」の公表

情報システムの信頼性向上に関する評価指標第1版(概要説明)

資料_情報システムの信頼性向上に関する評価指標第1版

| | コメント (0) | トラックバック (0)

2009年9月 4日 (金)

政権交代と情報セキュリティ

ご存知の通り、先週の衆議院選挙で民主党が大勝し、政権交代がされることになりました。
これにより、政策としてICTや情報セキュリティがどう変わるのか、関係する筋ではそれに期待や不安など様々あると思います。

それで、今回のお話ですが、その政策の話ではありません。

実はいろいろなところで、4月は攻撃が多いというデータが出ています。
それは、組織が変わったり、人事異動があったり、新入社員が入ったり、そうした不安定な状態を突いて、そういう時期に攻撃が起こっているということです。

今回の政権交代も同じように狙われるのではないか、という心配をしております。
特に官公庁を装ったフィッシング、標的型攻撃には、要注意かと・・・

| | コメント (0) | トラックバック (0)

2009年9月 3日 (木)

本物そっくりの偽セキュリティソフト出現

ITmediaの記事「「Norton」そっくりの偽ソフト「Nortel」出現、Symantecが注意喚起」からです。

さて、今回の偽セキュリティソフトですが、このようなものだそうです。

 問題の偽ソフトは、Nortonにそっくりな画面を使っているが、製品名は「Nortel Antivirus」となっている。実態は、ユーザーをだまして悪質ソフトの購入を仕向けるトロイの木馬「Fakeavalert」だという。

 感染すると、画面全体がブルースクリーンになってしまい、「スパイウェアが検出されたので、コンピュータの損害を防ぐためにWindowsを停止しました」と警告した後に、Windows XPのログオン画面が現れる。しかし、実際にはFakeavalertがマウスとキーボードを操作できないようにしたうえで、画面全体を使って動画を再生しているだけだという。

 ユーザーが誘導される悪質ソフトの販売サイトはSymantecのサイトそっくりに作りこんであり、同ページに表示される製品パッケージのデザインもNortonに似せてある。

実は私も自宅では「Norton」ユーザーです。ということで、実際の「Norton」と見比べながら書いておりますが・・・
う~ん、本当に良く似ております。
ということで、ご注意を!

| | コメント (0) | トラックバック (0)

2009年9月 2日 (水)

「偽ソフト」の2010年版が続々リリース

日経ITproの記事「「偽ソフト」の2010年版が続々リリース、「本物」の発売に先駆ける」 からです。

毎年秋(9月くらい)から、セキュリティ対策ソフトの最新版が出始めます。
それに先駆け「偽セキュリティソフト」が、続々リリースされている
、とのこと。
(「PC Antispyware 2010」のように「○○○ 2010」とした2010年版の偽ソフト)
ただ、中身はそのままで、見た目だけ最新版だったりするものもあるらしいですが。(さすが「にせもの」・・・)

最近はダウンロードでの購入や更新の方も多いようですので、注意が必要でしょうね。
ちなみに私はパッケージで購入や更新をする派です。

| | コメント (0) | トラックバック (0)

2009年9月 1日 (火)

「取り方」から「使い方」へ

相変わらず、話す仕事と書く仕事ばかりしております。

その中でも多いのが資格の話なのですが、その傾向を(特に今年から)変えております。
今までは、資格の紹介や「取り方」という話が多かったのですが、現在はそのような内容の話はほぼしておりません。

そういう話は、「皆様、すでに飽き飽きなのかな・・・」というのもありますが、資格というものが「(取るまでではなく)取ってからが、むしろ重要」ということがかなり広まってきたという感じもしております。
つまり、取ってから、どう使っていくか、使い続けるために、どう維持していくか、ということ(「使い方」)が重要ですし、それによって何ができるようになるのか(期待される効果)、それこそ「資格の価値」だと思っています。

ちなみに使い方の例として挙げているのは、キャリアプラン(人材育成計画)を描く・実現する・・・、などです。

そういう話をしばらくはし続けると思います・・・

| | コメント (2) | トラックバック (0)

« 2009年8月 | トップページ | 2009年10月 »