« 2010年9月 | トップページ | 2010年11月 »

2010年10月の記事

2010年10月30日 (土)

「PCI DSS v2.0」 翻訳版公開

「PCI DSS v2.0」 翻訳版が、NTTデータ・セキュリティ社と、日立ソリューションズ社から公開、提供されています。

主な変更内容は、「PCI DSS v2.0では、仮想コンポーネントへの対応など、内容が追加されている箇所もありますが、基本的には明確化が中心であり、全体的にあいまいな表現が改善され、理解し易く、より良い基準となっています」ということのようです。

「PCI DSS v2.0」 翻訳版

| | コメント (0) | トラックバック (0)

2010年10月29日 (金)

スパムメール送信、1日に500億通

YOMIURI ONLINEの記事「世界中に1日500億通!迷惑メール業者摘発」からです。

モスクワ市内にある世界最大級の迷惑メール業者「スパムイット」が摘発されたようです。
この記事によると、「バイアグラの模造品などの購入を呼びかけ、地元紙によると米欧などで過去3年半に1億2000万ドル(100億円)強の売り上げをあげた。調べによると、スパムイットを経営するイーゴリ・グセフ容疑者(31)は電子メールに含まれたウイルスで利用者のコンピューターを感染させるなどの手段で、1日に500億通もの広告メールを世界中に送り付けていた」とのこと。

1日に500億通の送信、3年半で焼く100億円の売り上げとは、恐るべき数字です。
ただ、これも「ボットネット」というインフラがなければ、送信もできず売り上げもないということですよね。

| | コメント (0) | トラックバック (0)

2010年10月28日 (木)

「.com」サイトの3つに1つが危険サイト

ITmediaの記事「「.com」サイトの3つに1つが危険サイト 日本にも潜在的リスク」からです。

Webサイトの安全性をドメイン別に調査した報告書についての記事ですが、

汎用ドメイン別では、「.com」サイトの31.3%に、「.info」の30.7%に危険サイトが含まれていることが分かった。一方、安全なドメインは「.travel」(旅行)と「.edu」(教育)で、危険サイトが含まれる割合はともに0.05%以下だった。

国別ドメインでは、ベトナムの「.vn」が前年の39位から急上昇し、危険サイトが含まれる割合が29.4%に上った。前年に最も危険とされたカメルーンの「.cm」は2位で、危険サイトの割合は36.7%から22.2%に減少している。日本の「.jp」に含まれる危険サイトの割合は0.1%で、2年連続で最も安全だと評価している。以下はカタロニア「.cat」、ガーンジー島「.gg」、クロアチア「.hr」、アイルランド「.ie」で、割合はいずれも0.1%となっている。

という結果のようです。

「.jp」はセキュア、と言えそうです。
しかし、この記事の結びにもあるとおり「国内には「.com」ドメインを持つWebサイトが多数存在し、国内ユーザーは「.com」の危険サイトとは無関係ではない」と考えなくてはなりません。

それにしても、危険なサイトはそこらじゅうに、普通に存在しているということか・・・
それから、「.com」と「.cm」も似てますよね。

| | コメント (0) | トラックバック (0)

2010年10月27日 (水)

Google、Street View車両で、メールやパスワード情報なども取得

日経ITproの記事「Google、Street View車両でパスワード情報なども取得したことを認める」
からです。

米Googleによると「Street View車両が“誤って”収集したデータのほとんどは断片的なものだが、完全な状態の電子メールやURL、パスワードも一部含まれていることが分かった」とのこと。

つまり”War Driving”ではこのようなデータが容易に収集できるということです。今回のデータ収集に対する非難よりも、むしろそちらを問題視すべきかと、個人的には考えています。

<参考記事>
「ストリートビュー車両でメールやパスワードも収集、Googleが改めて謝罪」~ITmedia

| | コメント (0) | トラックバック (0)

2010年10月26日 (火)

「ENISAのクラウドのセキュリティに関するガイドライン」翻訳版公開

IPAのHP「欧州ENISAのクラウドのセキュリティに関するガイドラインの翻訳」からです。

このガイドラインは、クラウド・セキュリティ資格「CCSK」の認定試験の対象になっているもので、一部で翻訳が心待ちにされていました。
「CCSK」では、もう1つCSA(Cloud Security Alliance)のガイドラインが認定試験の対象なのですが、こちらも近日公開されそうですね。

あとは、「CCSK」認定試験そのものが英語のみなので、これが翻訳されるのかどうかなのですが・・・

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)は、ENISA(European Network and Information Security Agency:欧州 ネットワーク情報セキュリティ庁
が2009年11月に発行したクラウドコンピューティングのセキュリティに関するガイドライン「クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク」と「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」の2件の文書を翻訳し、2010年10月25日からIPAのウェブサイトにて公開いたしました。

1. クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク

原文名称:Cloud Computing: Information Assurance Framework
対象読者:クラウドコンピューティングを利用する企業(特に中小企業)、クラウドプロバイダ
概要:企業(特に、中小企業)がクラウドサービスを利用する際に、情報セキュリティ確保のために、クラウドプロバイダに対して質問すべき項目を、「人的セキュリティ」、「サプライチェーンにおける情報セキュリティの確保」、「データおよびサービスのポータビリティ」、「法的要求事項」等の10のカテゴリーに分割しまとめている。さらに、利用者側・プロバイダ側の法的責任の範囲や責務の範囲をまとめた上で、クラウドコンピューティング利用者は何が自己の責任に含まれるかを検証すべきであるとしている。

2. クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項

原文名称:Cloud Computing: Benefits, risks and recommendations for information security
対象読者:クラウドコンピューティングを利用する企業(特に中小企業)、クラウドコンピューティングを利用する個人
概要:クラウドコンピューティングを利用する際のセキュリティ上のリスクと利点の評価を可能にするために、クラウドコンピューティングの既存および潜在ユーザーに対して、セキュリティ上のガイダンスを提供する文書。リスクの評価に関しては、「ポリシーと組織関連のリスク」、「技術関連のリスク」、「法的なリスク」、「クラウドコンピューティングに特化していないリスク」の4つのカテゴリーにおいて、計35項目のリスクを提示し、そのリスクにどのような脆弱性と資産が関連するかを示している。なお、取り上げている脆弱性は53項目あり、一般的な情報セキュリティ上の脆弱性と、クラウドコンピューティングに特化した脆弱性の両方をとりまとめている。資産については、「企業の評判」、「顧客の信頼」、「個人の秘密データ」、「人材データ」など23項目について、その所有者と認識される価値の高低を明示している。また、以下3つの付録により、法律上の問題点やケーススタディを示し

ている。

付録I - クラウドコンピューティング - 法律上の重要な問題点
付録II - 中小企業におけるユースケースシナリオ
付録III - その他のユースケースシナリオ

3. 項目2の文書に記載のある、35のリスク項目の対訳、53の脆弱性項目の対訳、23の資産項目の対訳

<参考記事・このブログ>
・クラウド・セキュリティの認定資格「CCSK」

| | コメント (0) | トラックバック (0)

2010年10月22日 (金)

「情報セキュリティ安心相談窓口」開設

IPAセキュリティセンターに「情報セキュリティ安心相談窓口」が開設されました。

これは「ウイルス110番」「不正アクセス相談」「Winny緊急相談窓口(winny119番)」「不審メール110番」の4つを統合したものです。
これでIPAセキュリティセンターに、マルウェアおよび不正アクセスに関する総合的な相談窓口ができたということです。

窓口が分かれていてわかりづらかった、ということもありますが、攻撃が複合化していることからも、このような形式のほうがいいように思います。

しかし、まとまったのはIPAセキュリティセンターのこの4つ。
他にも、いろいろあるんですよね。

財団法人 日本データ通信協会 迷惑メール相談センター
警察庁 フィッシング110番
都道府県警察本部のサイバー犯罪相談窓口等一覧
違法・有害情報相談センター

とか。まだまだあります。

ということで、依然としてわかりづらい・・・

| | コメント (0) | トラックバック (0)

2010年10月21日 (木)

「フィッシング対策セミナー」開催

フィッシング対策協議会の「フィッシング対策セミナー」の開催が告知されています。

イベント名:フィッシング対策セミナー

開催日程:
・東京会場
2010年11月17日(水)13:30-17:00
・大阪会場
2010年11月18日(木)13:30-17:00
・福岡(博多)会場
2010年11月19日(金)13:30-17:00

主催:経済産業省、フィッシング対策協議会

費用:無料

そういえば、フィッシング対策協議会のサイトがリニューアルされていますね。

| | コメント (0) | トラックバック (1)

2010年10月20日 (水)

詐欺被害者9割、電話帳掲載

Yahoo!ニュース「警官・銀行職員かたる詐欺 被害者9割、電話帳掲載」からです。

この記事によると、

警察庁によると、今年1~7月に全国で警察官をかたった詐欺の被害に遭ったのは680人。このうち92・9%の632人がハローページに掲載されていた。また、被害に遭わなかったものの不審電話を受けたという相談件数も数千件あり、掲載率は被害に遭った人と同様に9割以上に上るとみられる。

とのこと。

これに対し、

ハローページをめぐっては、振り込め詐欺に悪用されているとして、全国の警察でお年寄りらに削除を呼びかける動きが広がっている。警察当局は今後も同様の呼びかけを続けるとともに、過去の電話帳が悪用される可能性が高いとして注意喚起を強化する方針。

という対応をしようとしているようです。

「電話帳からの削除を呼びかける」というんだけど、これは利便性を低下させるものですし、NTTの業務を阻害するものですよね。
電話番号の情報は、電話帳だけにあるものではないですし、電話以外にも接触するための他の手段もあるわけです。
ということで、根本的な対策にはならないと思いますが・・・
(しかし、電話帳の必要性を見直す機会かもしれません)

| | コメント (0) | トラックバック (0)

2010年10月19日 (火)

スパムメールの発信元

日経ITproの記事「迷惑メールの2割は米国発、ウイルス感染パソコンが送信元」
からです。

この記事では、迷惑メールの発信元の順位が発表されています。その順位は、

迷惑メールの18.6%は、米国のコンピューターから送信(転送)されている。同国からの迷惑メールは、2010年第2四半期の15.2%から急増した。

次いで、インドが7.6%、ブラジルが5.7%、フランスが5.4%、英国が5.0%などだった。

とのこと。

日本はランク外ですね。とりあえず・・・

ランク詳細は、以下の通り。

The top twelve spam relaying countries for July - September 2010

1. USA 18.6%
2. India 7.6%
3. Brazil 5.7%
4. France 5.4%
5. UK 5.0%
6. Germany 3.4%
7= Russia 3.0%
7= S Korea 3.0%
9. Vietnam 2.9%
10. Italy 2.8%
11. Romania 2.3%
12. Spain 1.8%
Other 38.5%

Top spam-relaying continents, July - September 2010

1. Europe 33.1%
2. Asia 30.0%
3. N America 22.3%
4. S America 11.5%
5. Africa 2.3%
Other 0.8%

送信元だけでなく、送信先の順位も見てみたいですね。

<参考記事>
US ranked number one for relaying spam, Sophos reports

| | コメント (0) | トラックバック (0)

2010年10月18日 (月)

情報処理技術者試験(秋期)

昨日は、情報処理技術者試験でしたね。

問題と解答が公開されています。

情報セキュリティスペシャリスト試験(SC)

午前Ⅱ
問題
解答

午後Ⅰ
問題
 
午後Ⅱ 
問題

まだ、じっくり見ていませんが、ネットワークスペシャリスト試験(NW)も含めて、あとで見る予定です。

| | コメント (0) | トラックバック (0)

2010年10月15日 (金)

量子暗号の試験運用がスタート

ITmediaの記事「量子暗号の試験運用がスタート テレビ会議の盗聴防止を実証」からです。

いよいよ試験運用が始まるのですね。

さて、この量子暗号の技術とは、

量子暗号技術は、量子鍵配送による秘密鍵の共有とそれを用いたワンタイムパッド暗号化で構成される。量子鍵配送では、送信者が光子を変調して伝送し、受信者は届いた光子の状態を検出する。盗聴の可能性のあるビットを排除することで、送受信者間で安全な秘密鍵を共有する仕組みとなる。

というもの。

特に、国家間の機密通信や社会インフラシステムの保護などの分野での利用を目指しているようです。
理論上では「盗聴が不可能」とされる量子暗号ですが、果たして試験運用の結果は・・・

| | コメント (0) | トラックバック (0)

2010年10月14日 (木)

チリ鉱山の救出で思ったこと

セキュリティのブログなので、本当はインシデントレスポンスとかディザスタリカバリーとか、それに絡めて何か書きたかったんですが、BBCのライブ放送やTVのニュースを見ていたら、そんなのはどうでも良くなってしまいました。
それでも、書いてますけど・・・

さて、69日間も耐え、生き残ったのには、いったいどういう要因があったのか。

この救出劇を見ての個人的な最大の関心事は、この33人のチームワーク、役割分担、現場監督のリーダーシップなどです。
災害時は、やはりパニックになってはダメなんですね。悲観的にならず、前向きに、冷静に行動すること・・・
それが、インシデントレスポンスとかディザスタリカバリーに通じるものがあるのかな。

このブログを書いている現在も、救出は続いています。
まずは、この33人の皆様が無事に救出されますように。

| | コメント (0) | トラックバック (0)

2010年10月13日 (水)

進化するボットネット

ITmediaの記事「企業のビジネスにダメージを与えるボットネットの実態」からです。

この記事によると、ボットネットによる攻撃には、以下のようなものがあるとのこと。

・ワンクリック詐欺――Webを閲覧すると自動的にバナー広告がクリックされる。オンラインで広告を掲載している企業から多額の金額を引き出す詐欺行為
・DDoS(分散型サービス拒否)攻撃――帯域幅を大量に消費し、正規のトラフィックを妨害する。多くの場合、ライバル会社や不満を持つ顧客によって実行される。また、政治的な動機によって、実行されるケースもある
・ファイルシステムへの侵入――重要なシステムにアクセスして、顧客データ、従業員の個人情報、知的財産、財務情報などを盗み出す
・セキュリティ対策の無効化――マルウェアの駆除作業の妨害や、ライバルのボット所有者による乗っ取りなどが行われる
・スパム――ほかのシステムのリソースと帯域幅を利用して大量のスパムを送信する
・ソースコードへの感染――検出が困難な不正コードを挿入し、ソースコードツリー全体を改ざんする。また、攻撃可能な新たな脆弱性を探し出す

以前よりも、攻撃が多様化していますね。

また、「ボットネットのマルウェアを作成するプログラマーは、ネットワークやシステム、暗号化などについて高度な知識を有しており、金銭を目的する組織が関与している可能性が高い。企業内に侵入して、価値あるデータを盗み出すことが犯罪者や組織の動機であるという」とも。

なるほど・・・。しかし、もう少し詳細なプロファイルが欲しいところです。

| | コメント (0) | トラックバック (1)

2010年10月12日 (火)

「スペシャリスト」でもなく「ゼネラリスト」でもなく、「バーサタイリスト」

「バーサタイリスト(Versatilist)」。先週2度ほど、話題に挙がった言葉です。

「バーサタイリスト」とは、2005年にガートナーが発表したレポートの中で、これからのITプロフェッショナルに求められる役割を表現する言葉として提言されたもの。(「多能職」、「地頭型多能人」などとも呼ばれています)

「バーサタイリスト」は、複数の専門領域を持ち、その時その時のビジネスニーズと状況に応じて、いくつもの役割をこなせる人材のこと。
持ち場や経験の範囲が徐々に広がるのに合わせて技術力を応用し、新たな能力を身につけ、人間関係を築き、まったく新しい役割を担うというものです。

8月に開催されたイベント「情報セキュリティ人財サミット2010」の講演資料でも取り上げられています。

よく、「スペシャリスト」か、「ゼネラリスト」か、という議論になります(先週もそうでした)が、それだけが専門職の人材像ではないということですね。
「ビジネスニーズと状況に応じて、いくつもの役割をこなせる」というのは、特に重要で貴重な能力です。
それが大変難しいんですけど・・・

| | コメント (0) | トラックバック (0)

2010年10月 8日 (金)

スパム流通量の激減の理由

ITmediaの記事「世界のスパム流通量が突然激減、その理由は?」からです。

10/3に、世界のスパム流通量が突然激減しました。それはなぜかこの記事によると、

  現状では10~12の大手ボットネットが存在し、そのうち巨大勢力が2~3あるという。3日にスパムが急減した主因は、こうした大手ボットネットのうち、「Rustock」と「Cutwail」からの送信量が減ったことによるとSymantecは分析する。

 Rustockは過去2年で急激に勢力を伸ばしてきた巨大なボットネットだ。今年6月の時点で、全スパムのうち約4割がこのRustockから送信されていたという。一方Cutwailも、常にスパム流通量の5~10%を占める大手ボットネットだった。

 Symantecが調べたところ、Rustockは3日になって一時的にスパムの送信を停止し、Cutwailからの送信量も減少していたことが分かった。このタイミングは、スパム流通アフィリエート組織の「Spamit」が閉鎖されたというニュースが流れた時期と一致するという。

ということらしい。

技術的な対策も重要ですが、それ以上に経済的な要素が大きいということですね。
それ(地下経済の構造や状況を変える)を意図的にできれば、対策の効果も大きいということ、それを国際的に協力してできれば・・・、なんですけどね。

| | コメント (0) | トラックバック (0)

2010年10月 7日 (木)

情報セキュリティ ファンデーション資格

ISO/IEC27002準拠の情報セキュリティ資格「情報セキュリティ ファンデーション資格」の日本語試験がすでに始まっていたのですね。

この資格試験は、

現在のISO関連の情報セキュリティ個人資格は、審査員や内部監査員のように、いかに監査に適合するかという視点のものしかありません。EXINが提案するこのスキームでは、企業が繁栄し継続するためには、情報セキュリティにどのように取り組むべきなのか、プロフェッショナルや社員は何を知って、どう活用するのかを学んで、それを認定していくものです。

情報セキュリティに関する試験では、PvIBの定義を用いています。情報セキュリティでは、(ITを使っているか否かにかかわらず)情報の利用における可用性、完全性、および機密性を保護する一貫した一連の対策の定義、維持、遵守、および評価を扱います。

という主旨で始まったもののようですね。

試験のタイプ:コンピュータ・ベース試験並びに紙試験
試験時間:60分
問題数:40問
合格点:65 % (40問中26問の正解が必要)

と、このあたりは、ITILファウンデーションとまったく同じですね。

それから、情報セキュリティファンデーション (ISFS)の上位には、情報セキュリティマネジメント上級(ISMAS)、情報セキュリティマネジメント特級(ISMES)という資格も用意されているようです。こちらの日本語試験は、まだ始まっていないようですが・・・

<参考サイト>
試験要件「ISO/IEC 27002 準拠 情報セキュリティファンデーション (ISFS.JP)」

| | コメント (0) | トラックバック (1)

2010年10月 6日 (水)

「Internet Week 2010」

「Internet Week 2010」の開催が発表されていました。

Internet Weekの原型である第1回「IP Meeting」から 20年目に当たるそうです。
これだけ長く続いているイベントもあまりないでしょうね。

セキュリティものとしては、セキュア開発、セキュリティ運用(CSIRT)、DNSSec、などがありますね。

正式名称:Internet Week 2010
テーマ:巨人の肩から未来を見る
開催地:富士ソフト アキバプラザ
 東京都 千代田区 神田練塀町3 富士ソフト秋葉原ビル 
開催日程:2010年11月24日(水)~26日(金) 3日間
主催:社団法人日本ネットワークインフォメーションセンター(JPNIC)
後援:
•総務省(申請中)
•文部科学省
•経済産業省(申請中)
•ICT教育推進協議会(ICTEPC)
•IPv6普及・高度化推進協議会
•財団法人インターネット協会(IAjapan)
•仮想化インフラストラクチャ・オペレーターズグループ(VIOPS)
•クライメート・セイバーズ コンピューティング・イニシアチブ(CSCI)
•社団法人コンピュータソフトウェア協会(CSAJ)
•一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
•社団法人情報サービス産業協会(JISA)
•地域間相互接続実験プロジェクト(RIBB)
•DNSSECジャパン(DNSSEC.jp)
•社団法人電子情報技術産業協会(JEITA)
•社団法人日本インターネットプロバイダー協会(JAIPA)
•特定非営利活動法人日本ウェブ協会(W2C)
•日本DNSオペレーターズグループ(DNSOPS.JP)
•財団法人日本データ通信協会(Telecom-ISAC Japan)
•一般社団法人日本電子認証協議会(JCAF)
•日本ネットワーク・オペレーターズ・グループ(JANOG)
•特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
•日本UNIXユーザ会(jus)
•WIDEプロジェクト(WIDE)

対象者:インターネットの技術者
参加予定者数:約2,000名

| | コメント (0) | トラックバック (0)

2010年10月 5日 (火)

ボットの多様化

ITmediaの記事「あなたのPCをコントロールするボットネット」からです。

この記事では、最新のボットの手口、以下の3つが紹介されています。

1 ソーシャルボットネット
Twitter、LinkedInなどのSNSにより、サイバー犯罪者は、ボットネットワークを制御するシンプルで、しかも捕まりにくい方法を手に入れ、意のままにスパムやマルウェアを拡散できます。

 例えば、サイバー犯罪者はTwitterで送信される「@botcommand」からのコマンドに従うようボットネットに指示する基本的なコードを作成できます。サイバー犯罪者は、Twitterで簡単なコマンドを入力するだけで、ボットネットにスパムを送信させ、危険なファイルをダウンロードさせ、サービス拒否(DoS)攻撃を仕掛けることが可能です。

 サイバー犯罪者は、Twitter以外のプラットフォームでも、同様のコマンドを送信できます。例えばLinkedInでは、サイバー犯罪者はプロフィールを作成し、そのプロフィールからのコマンドに従うようボットをプログラムできます。これらのアプリケーションはコマンドを送信する手段としてのみ使われています。これらのサービスは広く普及しているため、サイバー犯罪者を追跡するのはほぼ不可能です。

2 ボットキット
サイバー犯罪者が感染マシンにリモートでソフトウェアをインストールし、Webサイトから制御できる、新しい「エクスプロイトキット」がインターネットで提供されています。キットの仕組みは非常に巧妙で、サイバー犯罪者は、エクスプロイトキットがインストールされているWebサイトへのリンクが組み込まれたスパムメール、スパムインスタントメッセージを送信するだけです。

 ユーザーがリンクをクリックすると、キットがユーザーのいる国、OS、Webブラウザに基づいて利用するエクスプロイトを判断します。エクスプロイトのインストールに成功すると、サイバー犯罪者はそのマシンにリモートアクセスできます。

3 P2Pボットネット
P2Pネットワークで制御されるボットは、現在最も一般的に見られるボットネットの1つです。ソーシャルボットと同様、指揮中枢が存在しないため、検出が困難ですが、仕組みは大きく異なります。サイバー犯罪者はP2Pネットワークにログオンし、ネットワークに「ping」を送信して、どのボットが近いかを確認します。応答したボットは近くのサーバからコマンドを受信します。

・危険性:
PCがボットネットに組み込まれると、知らぬ間にサイバー犯罪者の犯罪に加担させられます。また、自分のPCと個人情報も危険にさらされます。サイバー犯罪者は、セキュリティソフトウェアを無効にし、個人ファイルにアクセスするようボットに命令できます。さらに、PCが大量のスパムの送信に使われると、マシンの速度が大幅に下がる可能性があります。

ボットに限ったことではありませんが、攻撃の手口は多様化、巧妙化の一途をたどっています。
特に「ソーシャルボットネット」は、今後ますます増え、さらに巧妙化してくると思われます。
Twitter、LinkedIn以外にも、facebookあたりでしょうか。(日本では、mixiでしょうね・・・)

| | コメント (0) | トラックバック (0)

2010年10月 4日 (月)

「情報セキュリティ技術動向調査(2010 年上期)」公開

IPAセキュリティセンターのHPで「情報セキュリティ技術動向調査(2010 年上期)」が公開されています。

情報セキュリティ技術動向調査(2010 年上期)

●目次
序 2010年上期の技術動向 - 今日のセキュリティエンジニアリングの話題
1. 楕円曲線暗号の整備動向
2. MACsecによるレイヤ2暗号化
3. DNSSECの動向
4. CA/Browserフォーラムの日本開催
5. User Managed Access
6. IPv6ネットワークにおけるローカルネットワークの保護
7. Gumblar攻撃に対する技術の現状と課題
8. QubesOS

個人的には、

3. DNSSECの動向
6. IPv6ネットワークにおけるローカルネットワークの保護
7. Gumblar攻撃に対する技術の現状と課題

あたりに、特に興味がありますね。

<報告書のダウンロード>
2010年上期タスクグループ報告書

| | コメント (0) | トラックバック (0)

2010年10月 2日 (土)

「IPA Forum 2010」開催

「IPA Forum 2010」の開催が告知され、申し込みが始まっています。

名称:IPA Forum 2010(アイ・ピー・エー・フォーラム2010)
開催日時:2010年10月28日(木) 13時00分~18時00分
主催:独立行政法人 情報処理推進機構(IPA)
後援:経済産業省、特定非営利活動法人 ITコーディネータ協会
参加費:無料
会場:明治記念館


情報セキュリティ、IT人材育成のトラックで聴きたいセッションがあるんですが、既に予定が入っているような気が・・・

| | コメント (0) | トラックバック (0)

2010年10月 1日 (金)

「FaaS」の台頭

ITmediaの記事「ネット詐欺を助長する「FaaS」が台頭―困難化する対策」からです。

「FaaS」とは、「Fraud as a Service」犯罪者向けのさまざまなサービスです。
(正規のクラウドコンピューティングのサービスではありません)
その中には、、「詐欺コールセンター」というのもあるんですね。

この記事によると、こんな手口のようです。

 金融機関やオンラインサービス企業向けに提供するオンライン詐欺対策サービスを通じて、「詐欺コールセンター」「クレジットカード確認」「本人確認の妨害」といったFaaSが実在することを確認したという。

 例えば「詐欺コールセンター」のサービスは、犯罪者の依頼を受けて活動する。正規ユーザーになりすまして金融機関に連絡し、住所などの登録情報を勝手に変更してしまう。また、金融機関からの連絡を正規ユーザーと偽って受けたりする。「クレジットカード確認」では、犯罪者が不正に入手したクレジットカード情報を実際に悪用できるか確認してくれるというものだ。

 犯罪者はこうしたFasSを悪用することで、巧妙な手口の攻撃を仕掛けられるようになり、金銭を荒稼ぎすることが予想される。同社が想定するシナリオでは、熟練した犯罪者がオンラインサービスのログイン情報を不正に利用して、商品を購入する。この商品を「ミュール」という犯罪支援者を使って現金化するという。

 ログイン情報の不正利用に気付いた企業が本人確認を行う場合、犯罪者の依頼を受けたFaaSの提供者が正規ユーザーになりすまして対応してしまう。犯行にFasS提供者が加わるため、犯罪者自身にもリスクがあるが、警察機関などの追及をかわすことができ、巨額の利益を手にしている可能性がある。

すっかり、アンダーグラウンドのビジネスモデルとして出来上がってしまっているんですね。
そして、手口はますます多様化し、巧妙化していくわけです。

| | コメント (0) | トラックバック (0)

« 2010年9月 | トップページ | 2010年11月 »