いまなら聞ける!
セキュリティ用語で覚える新社会人の「鉄則」
宮田 健
@IT編集部
2008/4/1
迷惑メール対策はまずセキュリティアップデートから
社会人となったあなたのメールアドレスには、さまざまなメールが飛び込んできます。たとえメールアドレスを誰にも教えなかったとしても、機械的に生成したメールアドレスを使って無差別にメールを送り、エラーメールが戻らない、つまり有効なメールアドレスを見つけるディレクトリハーベストアタックなどを駆使することで迷惑メールはあなたのアドレスにも容赦なくやってくることでしょう。
 |
| 図2 無差別にメールを送り、有効なメールアドレスを探し出すディレクトリハーベストアタック |
| 【関連記事】 電子メールセキュリティの基礎知識 第2回 スパムメール対策――必要なメールを必要な人に http://www.atmarkit.co.jp/fsecurity/rensai/mailsec02/mailsec01.html |
ここで気を付けたいのは、あなたをだますために送られてくるフィッシング詐欺です。「パスワードを変更してください」というようなメールが来て、いわれるがままにサイトでパスワードを入力したら、実はそれが偽のサイトだった、というのがフィッシング詐欺の流れです。最近では特定の企業のみをターゲットとしたスピア型の攻撃も目立ちますので、ピンポイントにあなたの会社を狙っている可能性も考えなければいけません。
| 【関連記事】 5分で絶対に分かるフィッシング詐欺 http://www.atmarkit.co.jp/fsecurity/special/83phishing/phishing00.html |
これを防ぐためには、まずメールに書かれているURLに偽装の疑いはないかを確認する、もしくは自分で直接アドレスを指定してサイトを開くなどが挙げられます。しかし、ファーミングと呼ばれる手法ではDNS(インターネットの経路情報)を書き換えることで、正しいURLを偽のサーバにつなげてしまう場合があります。こうならないよう、日ごろからセキュリティアップデートをきっちりと適用し、予防をすることが重要です。Windowsのセキュリティアップデートは、通常米国日付の毎月第2火曜日(日本では第2水曜)に公開されますので、覚えておくとよいかもしれません。 もちろん、ウイルス対策ソフトのパターンアップデートも忘れずに行いましょう。
「気が付いたら情報漏えいに加担していました」なんて論外
新入社員となるあなたも、「内部統制」という言葉を聞いたことがあるのではないでしょうか? 簡単に説明しますと、内部統制とは社会に大きな影響を与える違法行為から小さな不正、ミスまで、間違った行為が企業で行われないようにするために必要とされる基準と手続きを定め、これを運用することです。
| 【関連記事】 5分で絶対に分かる内部統制 http://www.atmarkit.co.jp/im/cits/special/fivesox/00.html |
これを「自分とは関係ない」と思ってはいけません。情報漏えいによる事故は後を絶ちませんが、これらのほとんどは「ついうっかり」が起点になっています。例えばついうっかりメールを誤送信してしまうことや、自宅で仕事をしようと持ち帰ったファイルをついうっかりWinnyなどのピア・ツー・ピア型ファイル交換ソフトで流してしまうなどということはあり得る話なのです。
これらの対策としては、やはり社内の内部規定をきっちりと守ることが第一です。内部統制の重要性が企業に浸透しつつあるいま、特にPCの持ち出しや持ち込み、ドキュメント管理についてルールやセキュリティポリシーが策定されている企業が多くなりました。まずはこれを守りましょう。もちろん、WinnyやShareなどのツールを不必要にインストールするなどは論外です。
| 【関連記事】 5分で絶対に分かるWinny情報漏えい対策 http://www.atmarkit.co.jp/fsecurity/special/90winny/winny01.html |
最大のセキュリティホールはあなたかもしれない
いままではPC上のお話がほとんどでしたが、犯罪者が狙うのはなにもネット経由の穴だけではありません。
セキュリティとは、どれだけ強固なファイアウォールを用意しても、どれだけ高性能なセキュリティツールを使ったとしても、最も弱い部分が1つでもあればそこで破られてしまうものなのです。その弱い部分として狙われるのは、PCに限らず、人もターゲットになり得るのです。
ソーシャルエンジニアリングという言葉があります。これは話術を駆使するなどして、社外では知り得ない情報を物理的に獲得する行為です。
例えばあなたの上司の名前を名乗る電話を受けたとしましょう。その電話の指示に従って重要な情報をしゃべってしまうと、あなたが情報漏えいに加担したことになってしまいます。そして重要書類をそのままゴミ箱に捨てるなども、ソーシャルエンジニアリングの被害を受ける可能性を自ら作る行為になるかもしれません。
また、ショルダーハックという言葉もあります。これは読んで字のごとく、肩越しにあなたのモニタを見ることで「ハッキング」する行為なのです。
| 【関連記事】 セキュリティ用語事典[ソーシャルエンジニアリング] http://www.atmarkit.co.jp/aig/02security/socialengineering.html セキュリティ用語事典[ショルダーハック] http://www.atmarkit.co.jp/aig/02security/shoulderhack.html |
PCを持ち歩かなかったとしても、電車の中で開いた極秘のプレゼン資料を、たまたま隣の人がのぞいてしまうことも考えられます。ショルダーハックは非常に原始的ですが、実は最も簡単に攻撃できる脆弱性なのではないでしょうか。
本記事では、新社会人に覚えてほしい用語や情報を、参考記事を基にガイドしてみました。特にセキュリティの分野は日進月歩で技術や攻撃手法が変化します。そのため、最新の情報を常に追いかけるようにしましょう。
 |
2/2 |
| Index | |
| いまなら聞ける! セキュリティ用語で覚える新社会人の「鉄則」 | |
| Page1 安全・強固なパスワードを使おう 使い終わったらかならずログオフしよう |
|
 |
Page2 迷惑メール対策はまずセキュリティアップデートから 「気が付いたら情報漏えいに加担していました」なんて論外 最大のセキュリティホールはあなたかもしれない |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
