長期の休暇に入る前に― STOP、THINK、CONNECT

2013年も残すところわずかとなりました。年末年始のお休みを楽しみにされている方も多いと思います。 長期休暇の前には、多くのセキュリティ企業や政府系機関がセキュリティについての注意喚起を出します。これは休暇で社内の人員が少なくなるため事故の発生に気づかないこと、また企業のセキュリティポリシーに守られた環境から、家庭や公衆Wi-Fiなどといった、組織に比べて強固に守られているとは言い難い場所からのインターネットアクセスの機会が増加することで、ユーザーが危険にさらされる確率が上がるからです。 そして、ユーザーに訴えたいメッセージの根幹は、OSの更新、ソフトウェアのぜい弱性の解消、慎重なパスワード管理に集約されます。この三つが重要であることは、すでに多くの方が知っている一方、こういった記事を見るたびに「またか」と思ってしまい、実際に我が身に置き換えてご自身の環境をチェックされる方というのは、もしかしたらあまりいらっしゃらないのではないかと思います。セキュリティとユーザーの利便性は相反することが多く、大抵の場合面倒だからです。 OSやソフトウェアの更新とパスワードの管理が大切であるというメッセージは、この記事でも変わることはないのですが、サイバー犯罪に巻き込まれないためにという視点から、フィッシング対策協議会のセミナーで紹介された「STOP・THINK・CONNECT」という活動についてお知らせします。 「STOP・THINK・CONNECT」とは、Anti-Phishing Working Group (APWG) とNational Cyber Security Alliance (NCSA)が行っている安全にWebサイトへアクセスするためのキャンペーンです。 STOP(一時停止)ネットを使う前に、潜在しているかもしれない問題やリスクについて理解する。 THINK(危険予測)ネットの何のサービスにアクセスするか確認する。もし何か警告を確認したら、そのWebサイトへのアクセスやキーの入力などの行動が、自分や家族に危険を及ぼさないかを考える。 CONNECT(アクセスする)危険を理解し備えたうえで、インターネットを使用する。 「STOP・THINK・CONNECT」の思想は、交差点で一時停止をする、見通しの悪い場所では徐行するなどといった、自動車を運転するときの考え方とよく似ています。これはインターネットで行われるあらゆることにあてはまります。具体的な例を挙げましょう。 1. スマートフォンにアプリケーションをインストールする ゲームやSNS、バッテリー節約など、さまざまなものがあります。多くの人はインストール時の説明や警告メッセージはあまり確認しません。しかし、つい先日Androidのアプリについて興味深い記事が出ました。Androidの懐中電灯アプリが、GPSを介してユーザーの位置データを収集しており、その情報を転売していたという内容です。 ここではこういったデータが収集されることをEULA(使用許諾書)で明確にしていなかったことが問題になっています。たとえ使用許諾書に「位置データを収集しますよ」と書いてあったとしても、ライトを点灯させるためのアプリがユーザーの位置情報まで取得するのは疑問です。無料で便利なアプリを使用できたものの、それはプライバシーの一部との引き換えだったようです。 使用許諾書に並び、プライバシーポリシーにどういった情報が収集されるか記載するという問題と、集められた情報がどのように運用されるかという問題は、もちろん海外だけではなく、日本においても総務省などが中心となり議論が行われています。 総務省から出された『スマートフォン・プライバシーガイド』では、利用者自身で注意しなくてはならない事柄が簡潔にまとめられており、スマートフォンのサービスの構造を知る、アプリケーションが信頼できるものか知る、利用者情報の許諾(プライバシーに係る情報が何のために集められるか)画面の確認の3点がポイントとして挙げられています。 Kaspersky Labのマルウェアのデータベースに登録されるレコード数は、この1年で104,421件にのぼり、その多くがAndroidを狙っていることがわかっています。 インストールしようとしているアプリケーションが、何の権限を要求しているのか、使用許諾書やプライバシーポリシーの内容を確認してください。 知らない間に自分の情報が勝手に使われていた、マルウェアに感染したということのないよう、アプリケーションをインストールする前に「立ち止まって」考える必要があります。 2.インターネットバンキングの不正送金被害 今年日本で起きたサイバー犯罪の中で、被害の規模が非常に大きかったのは、バンキングマルウェアに感染しIDとパスワードが盗まれ、銀行口座からお金を勝手に送金されるという事件です。こういったマルウェアに感染しないためには、やはりOSの更新とソフトウェアの修正プログラムの適用、セキュリティソフトを導入し最新のシグネチャに更新する、この3点が必須です。さらに、各銀行は独自のセキュリティソフトウェアをユーザーに無償で配布していることも多いので、ぜひ利用を検討してください。 すべての対策を行ったとしても、残念ながらセキュリティに「完全」はありません。しかし、そういった対策を行わなかった場合の危険を予測し備えることは、とても重要です。

stop-think-connect

2013年も残すところわずかとなりました。年末年始のお休みを楽しみにされている方も多いと思います。

長期休暇の前には、多くのセキュリティ企業や政府系機関がセキュリティについての注意喚起を出します。これは休暇で社内の人員が少なくなるため事故の発生に気づかないこと、また企業のセキュリティポリシーに守られた環境から、家庭や公衆Wi-Fiなどといった、組織に比べて強固に守られているとは言い難い場所からのインターネットアクセスの機会が増加することで、ユーザーが危険にさらされる確率が上がるからです。

そして、ユーザーに訴えたいメッセージの根幹は、OSの更新、ソフトウェアのぜい弱性の解消、慎重なパスワード管理に集約されます。この三つが重要であることは、すでに多くの方が知っている一方、こういった記事を見るたびに「またか」と思ってしまい、実際に我が身に置き換えてご自身の環境をチェックされる方というのは、もしかしたらあまりいらっしゃらないのではないかと思います。セキュリティとユーザーの利便性は相反することが多く、大抵の場合面倒だからです。

OSやソフトウェアの更新とパスワードの管理が大切であるというメッセージは、この記事でも変わることはないのですが、サイバー犯罪に巻き込まれないためにという視点から、フィッシング対策協議会のセミナーで紹介された「STOP・THINK・CONNECT」という活動についてお知らせします。

「STOP・THINK・CONNECT」とは、Anti-Phishing Working Group (APWG)National Cyber Security Alliance (NCSA)が行っている安全にWebサイトへアクセスするためのキャンペーンです。

STOP(一時停止)ネットを使う前に、潜在しているかもしれない問題やリスクについて理解する。

THINK(危険予測)ネットの何のサービスにアクセスするか確認する。もし何か警告を確認したら、そのWebサイトへのアクセスやキーの入力などの行動が、自分や家族に危険を及ぼさないかを考える。

CONNECT(アクセスする)危険を理解し備えたうえで、インターネットを使用する。

「STOP・THINK・CONNECT」の思想は、交差点で一時停止をする、見通しの悪い場所では徐行するなどといった、自動車を運転するときの考え方とよく似ています。これはインターネットで行われるあらゆることにあてはまります。具体的な例を挙げましょう。

1. スマートフォンにアプリケーションをインストールする

ゲームやSNS、バッテリー節約など、さまざまなものがあります。多くの人はインストール時の説明や警告メッセージはあまり確認しません。しかし、つい先日Androidのアプリについて興味深い記事が出ました。Androidの懐中電灯アプリが、GPSを介してユーザーの位置データを収集しており、その情報を転売していたという内容です。

ここではこういったデータが収集されることをEULA(使用許諾書)で明確にしていなかったことが問題になっています。たとえ使用許諾書に「位置データを収集しますよ」と書いてあったとしても、ライトを点灯させるためのアプリがユーザーの位置情報まで取得するのは疑問です。無料で便利なアプリを使用できたものの、それはプライバシーの一部との引き換えだったようです。

使用許諾書に並び、プライバシーポリシーにどういった情報が収集されるか記載するという問題と、集められた情報がどのように運用されるかという問題は、もちろん海外だけではなく、日本においても総務省などが中心となり議論が行われています。

総務省から出された『スマートフォン・プライバシーガイド』では、利用者自身で注意しなくてはならない事柄が簡潔にまとめられており、スマートフォンのサービスの構造を知る、アプリケーションが信頼できるものか知る、利用者情報の許諾(プライバシーに係る情報が何のために集められるか)画面の確認の3点がポイントとして挙げられています。

Kaspersky Labのマルウェアのデータベースに登録されるレコード数は、この1年で104,421件にのぼり、その多くがAndroidを狙っていることがわかっています。

インストールしようとしているアプリケーションが、何の権限を要求しているのか、使用許諾書やプライバシーポリシーの内容を確認してください。

知らない間に自分の情報が勝手に使われていた、マルウェアに感染したということのないよう、アプリケーションをインストールする前に「立ち止まって」考える必要があります。

2.インターネットバンキングの不正送金被害

今年日本で起きたサイバー犯罪の中で、被害の規模が非常に大きかったのは、バンキングマルウェアに感染しIDとパスワードが盗まれ、銀行口座からお金を勝手に送金されるという事件です。こういったマルウェアに感染しないためには、やはりOSの更新とソフトウェアの修正プログラムの適用、セキュリティソフトを導入し最新のシグネチャに更新する、この3点が必須です。さらに、各銀行は独自のセキュリティソフトウェアをユーザーに無償で配布していることも多いので、ぜひ利用を検討してください。

すべての対策を行ったとしても、残念ながらセキュリティに「完全」はありません。しかし、そういった対策を行わなかった場合の危険を予測し備えることは、とても重要です。

 

その他にも、SNSを利用するとき、投稿内容が人目に触れて問題がないものか、インターネットショッピングの際、今見ているのは本物のWebサイトであるかなど、インターネットを利用する上で注意しなくてはいけないことは、枚挙に暇がないほどです。

しかし、総じて言えるのは、フィッシングサイトへの対策だけではなく、すべてのインターネット上の活動において、「STOP・THINK・CONNECT」という行動は有効だということです。そのささやかな慎重さは、危険に満ちたインターネットを楽しいものにしてくれます。

それでは、長期休暇をお楽しみください。

Santa

Amazonの無人機配送でサンタのトナカイが失業?

サンタクロースのトナカイは、毎年のクリスマスの仕事を2016年までに奪われるかもしれません。Amazonが無人航空機(UAV、ドローン)によるクリスマスプレゼントの配送を計画しているからです。さらに同社は、現在Prime Airと呼ばれるこの配送オプションで、30分以内の配達を約束しています。この「より良い未来」は2016年までに実現するのでしょうか?その前に根本的な問題が露呈してしまうのでしょうか? AmazonとDHLのビデオを見る限り、小型ヘリコプターで商品を配送するという構想は、物流業者が管理していくようです。AmazonでParrot AR Droneをちょっと検索してみると、約300ドルの本格的な飛行マシンが現実にあるいうことがわかります。だとしたら、ドローンによる配送が今すぐではなく、数年先に開始予定とされているのはなぜでしょうか?答えは簡単、米連邦航空局(FAA)など、空の安全を監督する機関の特別な許可が必要だからです。今のところ、政府組織はそのような許可を出すことに消極的です。 Amazonが本拠を置く米国は、無人航空機を非常に厳しく規制していることで知られています。UAVの一般利用条件が11月に承認され、ドローンの一般利用が認められました。それによって、いくつかの問題が解決されるという面もあります。飛行機やヘリコプターは、必要ならどんな場所でも飛行できるようになり、街ごとにいちいち特別な許可を得る必要がなくなります。その一方で、FAAは、すべての飛行機は人間のパイロットが(機内にいないとしても)操縦しなければならないと主張しています。この要件のために、余計なコストがかかってしまい、UAVによる配送というアイデア自体が無意味になってしまいます。結局のところ、UAVを使用する組織は、航空会社に科されるような多くの厳しい要件を満たさなければなりません。パイロットの認定と査察、コックピット(かそれに相当するもの)を「関係者以外立ち入り禁止」にする、などです。つまり、大企業の幹部が政府のお役人を説得して考えを変えさせなければ、たとえ5年先でも無人機が完全に「無人」になることはないでしょう。欧州ではUAVに対する規制はずっと緩やかです。150kg未満の飛行機は「おもちゃ」に分類され、地域の民間組織が管理します。150kg以上の飛行機は、一連の規制に従わなければなりません。この規制は、UAVを一般の飛行機と同じ環境で問題なく運用するためのものです。概して、当局は2016年までにこのアイデアを許可する予定です。 UAVにはカメラがたくさん搭載されており、サイズが小さく、建物や人のすぐ近くを飛べるため、許可を得ずに写真や動画を撮影されるという問題が懸念されています 興味深いことに、UAVのプロジェクトは、米国でも欧州でもプライバシーに関する要件をまだ満たしていません。UAVにはカメラがたくさん搭載されており、サイズが小さく、建物や人のすぐ近くを飛べるため、許可を得ずに写真や動画を撮影されるという問題が懸念されています。議員たちは多くの疑問にまだ回答を示していません。たとえば、撮影の規制をどうやって策定するのか、ドローンを操作する企業や個人の撮影の権限、許可を得る手段、そのプロセスを監督する機関、データを保管する場所、データを保存しておく期間など、問題は山積みです。とはいえ、配送中にドローンのカメラで収集された情報は、企業にとって商機になるかもしれません。想像してみてください。Amazonのドローン配送の翌日に、こんな広告が来たら・・・。「昨日、お宅の屋根に修理が必要なことに気付きました。こちらで新しい屋根のタイルをお探しください!」 他にも深刻な問題が出てくる可能性があります。ドローンのハイジャックはどう防げばよいのでしょうか。先ごろセキュリティの専門家が、GPS信号の乗っ取りが可能であることを実証しており、ドローンもハイジャックされて本来行くはずのない場所に飛ばされるのでは、と懸念されています。遠隔操作するデバイスには、コントロール機器の盗難をどう防ぐかという問題もあります。Amazonの野心的な発表の直後、Skyjackというドローンの事例が公開されました。Skyjackは、AR Droneとワイヤレスコントローラーの接続を強制的に切断し、自分のコントローラーに接続し直すことで、ドローンをハイジャックすることができます。また、以前FAAが指摘したように、UAVの乗っ取りは誰にでも可能です。UAVをコントロールするのはとても簡単で、ほとんどどこからでも操作できる携帯性に優れたノートPCやタブレットを持つのと大して変わらないのですから。犯罪者は、操作している人から強制的にコントロール権を奪うかもしれません。サイバー犯罪者は、高い利益を見込める新しい機会を積極的に探していることが、この数年で明らかになりました。その点、Amazonの注文のように、離れたところから安全に商品を盗めるというのは、とても魅力的な候補です。さらに、商品を盗むたびに、ドローンというすばらしいおまけがついてきます。そのドローンは、スパイ行為からテロまで、さまざまな犯罪活動に使われるかもしれません。もちろん、意図的であれ偶然であれ、こうしたUAVによる事件こそが、当局がドローン配送を許可できない理由なのです。とはいえ、ドローンによる配送にハイジャックや不正操作の恐れがないと証明されるまでは、サンタクロースとトナカイ(と橇)の仕事は安泰のようです。

Santa
ヒント