Kaspersky Labの10月は慌ただしく過ぎ去りました。セキュリティ関連のトップニュースやその他の重要な記事をいくつもお届けしたからです。ATMの感染やパスワードに関する研究、サイバー傭兵など、さまざまな話題がありました。10月の記事を見逃した方も大丈夫。このまとめ記事を読んで、話題に追いつきましょう。
10月の人気 #セキュリティニュースをハイライトでお届け
Tweet
強力で他にはないパスワードを覚える方法
今は西暦2014年ですが、私たちはいまだに、増え続けるパスワードを覚えざるをえない状況から抜け出せません。まるで1999年から何も進んでいないかのようです。今後もこの旧態依然とした認証手段を未来の技術に使っていくのなら、確実にパスワードを覚えられる方法を考えた方がいいでしょう。この課題に取り組んだのが、カーネギーメロン大学コンピューターサイエンス学部の研究者たちです。残念ながら、複雑なパスワードをいくつも覚えるために必要なのは、誰もがやりたくないことであると判明しました。勉強、です。この研究では、およそ100日間にわたり、一定の間隔をおいて参加者に場面と人物の組み合わせを見せ、動詞と目的語を思い出す練習をしてもらいました。すると、研究者も驚きの結果が得られました。実験の結果については、記事の続きをご覧ください!最終的に、パスワードは少ない方が覚えやすいということがわかりました。だからこそ、ほとんどの人がパスワードの共有がよくないと知りつつ、同じパスワードを複数のアカウントで使い回しているのでしょう。しかし、良いニュースもあります。この記事で紹介しているような比較的簡単な記憶術で、パスワードを強化することができるのです。
合法マルウェアとサイバー傭兵
コンピューターに日常の作業を任せるようになればなるほど、他人の秘密を知りたがる人々がそこに群がってきます。悪人も、善人も。政府のシークレットサービス機関にとってハッキングや諜報活動は、犯罪ではなく日常業務の一環なのです。現在のサイバー犯罪ビジネス界で注目すべき傾向は、サイバー犯罪の合法化です。サイバー犯罪は、情報セキュリティ市場においては違った位置づけにあります。Kaspersky Labのこれまでの経験から、このように言うことができます。民間企業によって開発された合法マルウェアは、「正義」の情報機関が手にするだけでなく、実利を重んじる第三者の手にわたる可能性がある、と。では、合法マルウェアは危険でしょうか?極めて危険です。このようなマルウェアは、莫大な予算を使える組織のために開発されています。非常に高度なマルウェアであり、ティーンエイジャーのいたずらや、クレジットカードから100ドルばかり盗む程度の軽犯罪とは比較になりません。合法マルウェアの開発元は自社製品に大量の技術を投入して、ウイルスアナリストを欺き、内部構造を隠そうとしています。とはいえ、このような技術には限界があることがわかっています。どんなシステムにも気づかれることなく侵入できる魔法のような技術は存在しません。これはむしろ、一般的なマルウェアの一例なのです。
ATMに感染し巨額の現金を引き出すマルウェア
ハッカーがATMからお金を引き出す方法は、一般人とは違います。ハッカーには、カードも、暗証番号も、銀行口座も必要ありません。現金が入ったATMと、特殊なソフトウェアさえあればよいのです。ある金融機関の要請を受けて、Kaspersky LabのGlobal Research and Analysis Team(GReAT)のリサーチャーが、東欧の複数のATMを狙ったサイバー犯罪者の攻撃に対し、フォレンジック調査を実施しました。その結果、Tyupkinというトロイの木馬を使用すれば、暗証番号入力用のキーボードで特殊なコードを入力するだけで、紙幣を無制限に引き出せることがわかりました。TyupkinはATM内部のPCに感染し、特殊なコードによって指令を受けると、ATMに紙幣を吐き出させます。犯罪者は何らかの方法でATMへ物理的にアクセスし、このマルウェアをインストールしていました。Tyupkinには、攻撃者の作業を容易にするための高度な機能が数多く搭載されています。今のところ感染するATMのモデルは限られていますが、銀行やメーカーがATMの物理面とソフトウェア面の保護を強化しないかぎり、ハッキング可能なATMの種類は増えていくでしょう。
見落としがちな主要メールアカウントのリスク
考えてみてください。どのオンラインサービスのアカウントも、設定時に主要メールアカウントの登録が求められます。この主要メールアカウントは、自分のオンラインアカウントが乗っ取られたときやパスワードを忘れたときの復旧手段としても使われています。その意味で、主要メールアカウントはPayPalやオンラインバンキングのアカウントよりも重要かもしれません。このメールアカウントのセキュリティが侵害されれば、金融関連のアカウントも道連れになるのですから。Webメールアカウントを掌握した犯罪者は、そのアカウントの持ち主が利用する別のオンラインアカウントの情報を入手でき、それらのアカウントも掌握できてしまいます。当社はこうした理由から、重要なアカウントには強力なパスワードを使う、2段階認証を有効にする、その他利用可能なセキュリティを利用する、といったことを、絶えず、しつこいくらいに呼びかけているのです。また、被害を受けるのは自分だけではありません。自分のアカウントがハッキングされると、自分が連絡先として登録している人たちの生活も脅かされることになります。自分のアカウントがハッキングされた場合、そのアカウントが攻撃者の道具となり、友人や家族、オンライン上の友人のアカウントが攻撃されます。とはいえ、強力なアンチウイルス製品であれば、マルウェアを含むメール型攻撃を防ぐことができます。カスペルスキー製品にはフィッシング対策技術も搭載されており、フィッシングサイトを検知して警告します。手短にまとめましょう。主要メールアカウントは、オンラインバンキングのアカウントと同じように扱う必要があります。自分の最も貴重なオンラインアカウントであることを考えると、バンキングアカウント以上の注意が必要です。