セキュリティ

セキュリティのカテゴリアーカイブ

security2022_200.jpgロシアのウクライナ侵攻以降、世界の状況が非常に不安定でサイバー攻撃が急激に増加しています。サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。
攻撃対象は個人や組織だけでなく、不特定多数を対象に無差別に行われる場合もあります。サイバー攻撃は国境を容易に越えることができるため、世界中のどこからでも可能で、犯人の特定が非常に難しいのが特徴です。
「セキュリティ10大脅威」が本日(5月17日)IPAから発表されました。なかなか充実した資料で、ダウンロードや引用もOKということなので、サイバー攻撃の対策として紹介させていただきます。

 →

サイバーセキュリティ対策かるた攻撃がどんどん過激になってきています。ロシアのウクライナ侵攻のことではなく、インターネットでの不正メールやサイバー攻撃のことです。WEBサーバーへの不正侵入も増えています。添付ファイルを開くと感染するコンピューターウイルス「Emotet(エモテット)」が猛威をふるっていますし、ランサムウェア(身代金要求型ウイルス)の被害も急増しています。
もはやセキュリティ対策なしてインターネットを使うことは不可能です。ウイルス対策ソフトさえいれればOKという簡単なものではありません。むしろ詐欺メールなどの被害にあってしまう理由は、最終的には人為的な判断ミスですから人に問題があります
つまりセキュリティ対策に関しては、まず人の意識と運用スキルをアップデートするしかありません。車社会でいうところの交通安全の話に近いですね。

 →

waf200.jpg国(経済産業省)からサイバー攻撃の注意喚起がでました。
ロシアのウクライナ侵攻に対して世界は制裁を発表しましたが、その制裁の報復措置としてサイバー攻撃が懸念されています。ロシアからだけでなくロシアになりしました第三者や詐欺サイトも便乗してサイバー攻撃をしているようで、インターネット上では不正なアクセスが急増しています。
ここで通信環境の防御力を高めていきましょう。

 →

fuseinahtaccess200.jpg昨日の記事とは別のサーバでの脆弱性乗っ取られ案件です。けっこう深刻な状況になってしまい、もうこのサーバーを諦めて別のサーバに移転しようかというくらいの状況になっています。(サーバはさくらインターネットですが、さくらインターネットが悪いわけではありません)
状況としては、不正なアクセスによる侵入でPHPファイルが汚染されました。該当ファイルは「.htaccess」と「index.php」の2つだけです。しかし、この2つのファイルが自己増殖するため、消しても消してもゾンビのように復活して蘇ってきてしまいます。

 →

nisesitehyouji200.jpgついに「偽のサイトにアクセスしようとしています」という表示がされてしまいました。このサイトは、2週間ほど前に不正アクセスにあい乗っ取られてしまったようです。その後、不正な内容が表示されていたようです。
しばらくすると、グーグルクロームというブラウザでアクセスすると「偽のサイトにアクセスしようとしています」という表示がされて、ページの表示ができなくなりました。
また、確実にヒットしていた社名やブランド名で検索しても検索結果から表示されなくなってしまっていました。

 →

パスワード生成強固なパスワードを求められる場面が増えてきた。自動的にパスワードを生成してくれるサービスもでている。しかし自分はAIら乱数で自動的に作成したパスワードをそのまま使うことに抵抗を感じている。そのため手間はかかるが、自動生成したパスワードを2つ以上組み合わせてオリジナルのパスワードを生成している。しかもそのパスワードは記録せず1回きりとして、毎回パスワードを生成する、ということを意識している。

 →

混合コンテンツ問題SSLの混合コンテンツがいよいよ重要問題になってきた。混合コンテンツとは、通信が暗号化されているhttpsのページ内に、通信が暗号化されていないhttpのサブリソース(画像、動画、スクリプトなど)が読み込まれている状態のことである。現在のChromeでは混合コンテンツが表示されていますが、今後リリースされる「Chrome81」ではそのページが完全にブロックされ読めなくなってしまう。
Googleでは混合コンテンツに関する注意喚起の情報が出されている。しかし、歴史が長いサイトほど、以前にSSLではなかったページもあり、混合コンテンツ問題はけっこう解決がやっかいかもしれない。

 →

https32eb17b045122b533c9672a9081ae4b1_s.jpg企業サイトは「https」で始まる常時SSLが必須の状況になってきた。この常時SSLにするためには証明書の発行が必要だが、証明書を発行する団体により「有料のSSL証明書」と「無料のSSL証明書」がある。
無料のSSL証明書でよいのかどうかという質問をよくされるようになってきたが、中小企業ならば当面は「Let's Encrypt」などの無料証明書で十分だと考える。その理由は以下のとおりである。

 →

takufbinhtitle.jpg宅ふぁいる便で顧客データ漏えい事件がおきたようである。約480万人というからかなり大規模な漏えいだ。現在サイトは閉鎖されており利用できない状況である。運営会社のオージス総研では漏れた情報内容について「メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ)」としている。
メールアドレスとパスワードの組み合わせを使い回ししているユーザーはこの機会に他のサービスでもパスワードを変更しておこう。例えば、Amazon、楽天、ヤフー、などでも同じメールアドレスとパスワードを使用していると不正ログインされてしまう可能性があるからだ。

 →

userkengenwp.jpg1つのWordPress(ワードプレス)を複数のユーザーで管理する場合はセキュリティに関する注意がより重要になる。なぜなら、WordPressはユーザーIDとパスワードだけでログインできるので、ハッカーに不正ログインされてしまう可能性が高いからである。二段階認証などにする方法もあるが、他のサービスを活用する必要もあるため設定が簡単ではない場合がある。
そもそものIDとPWが容易にわかりやすいものにしている場合は、基本的な運用ルールを見直してはどうだろう。

 →

 

遠田幹雄のLINE@アカウントを友だち追加 このエントリーをはてなブックマークに追加

この記事を書いた遠田幹雄は中小企業診断士です

中小企業診断士:遠田幹雄の顔写真遠田 幹雄(とおだ みきお)
 
経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者
 
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
なお、お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。

サイト内検索

(グーグルカスタム検索)