インターネットは、もはやインフラ。
ただ便利だというだけで無く、欠かすと仕事も生活も成り立たないレベルになってしまっていると思います。
Amazonが無いと・・・Netflixがないと・・・Kindleがないと・・・やって行けないようという方もいらっしゃるかも知れません。
便利を享受している反面、世の中にはありとあらゆるネットを悪用した犯罪が多発しています。
自分自身やご家族がそういったインターネットの危険乗っ取りなどに遭遇しないようにするために最低限の基本知識をここで皆さんと一緒におさらいしたいと思います。
最初にネットのネットトラブルってどういうものがあるのか見てみましょう。
SNSでの炎上 / 誹謗中傷 / 個人情報の流出 / 高額請求性な決済 / ネット詐欺 / ECでのトラブル / アカウント乗っ取り / 盗撮 / 著作権侵害 / 情報の盗難 / 改ざん / 不正使用によるなりすまし / サイバー攻撃などなど
他にもあるかもしれませんが、思いついたトラブル内容を書き出してみました。この中で、WEBサイトを運用する側として注意するべきは、情報の盗難・改ざん・不正使用によるなりすまし・サイバー攻撃や個人情報の流出、アカウントの乗っ取りなどですね。いわゆるインシデント事故と言われるようなものになります。
実際どのぐらいの数発生しているのか見てみましょう。
現状はどうなっているか
まず、今の現状はどうなっているのか?確認しておきましょう。「ScanNetSecurity」インシデント・事故 インシデント・情報漏えいニュース記事一覧を見てみましょう。
インシデント事故は、ほぼ毎日発生しています。不正アクセスもヒューマンエラーも、想像している以上の頻度で発生していることがわかると思います。
どこか対岸の火事だと思って眺めていたものが、予想以上に身近で発生している出来事で、驚いたのではないでしょうか。
対策の基本
- ソフトウェアを最新に保つ
- 2 段階認証を利用する
- 最低10桁以上の複雑なパスワードを設定する
- パスワードは使い回さない
- フィッシング詐欺にだまされない
- ワンクリック詐欺に慌てない
「総務省国民のためのサイバーセキュリティサイト」では、インターネット全体のセキュリティについて、基本的な事が初心者でもわかるように噛み砕いて説明されています。一度、内容に目を通しておくとよいと思います。
同じように、Googleが公開している「はじめてのサイバーセキュリティ対策」の動画セミナーも受講しておくと理解が深まるのではないかと思います。
OS標準のセキュリティ機能は、十分強い
現在、WindowsやMacに搭載されている、OS標準のセキュリティ機能は、すごく強いです。一定レベルを保つことができるようになっています。
ただ、ウィルスはすばしっこく、移動スピードが早いため、OS標準のセキュリティがウィルスを捕らえる前に、破壊プログラムを仕込まれてしまうほどです。大事な事は、パスワードを複雑で長いものにして、OS標準のセキュリティがウイルスを捕らえる準備が整うまでの時間を十分稼ぐこと。OS標準ではカバーしていない部分を補うという意味で、市販のセキュリティソフトの導入も検討してよいと思います。
短くて単純なパスワードは必ず突破されてしまう
不正アクセスする側のパスワードロックを突破する技術には、とても勝てないので、短いパスワードでは必ず突破されてしまうくらいの危機感が必要です。
実際に、7桁のアルファベットだけで構成されたパスワードが解析されるまでの時間は、0.1秒です。
《パスワードが、突破されるまでの時間表》
桁数 | 7桁 | 8桁 | 9桁 | 10桁 |
---|---|---|---|---|
アルファベット | 0.1秒 | 4秒 | 1.8分 | 47分 |
アルファベット+数字 | 1.2分 | 1.2時間 | 3.1日 | 194日 |
アルファベット+数字+記号 | 25分 | 1.7日 | 160日 | 42年 |
引用 / DIT ブルートフォース攻撃を想定したハッシュ化されたパスワード解析の検証結果
https://www.dit.co.jp/report/security_report/forensic_center/20141029.html
「パスワードの定期的な変更は不要」と総務省が発表
2017年に「サービス提供者はパスワードの定期変更を要求すべきでない」と総務省が発表。定期的に変更を促すと、単純なパスワードを設定しがちであるため意味が無くなってしまう可能性が高いからだそうです。定期更新よりも、複雑で10桁のパスワードを設定した方が、より安全です。
二段階認証でなりすまし防止
2重に本人確認を行うために、なりすましの防止に役立ちます。不正ログインを防止することによって、フィッシング詐欺に遭う確率も下げることができます。
スマホのハッキング対策、最も手軽にできるのは「再起動」
最近は、AppleやGoogleがスマホにセキュリティシステムを導入した為に、ハッキングする側の技術が、「難易度が高いが1度侵入するとずっと居続ける」というやり方ではなく、「ハッキングの難易度は低いが、再起動で駆除されてしまう」という手法にシフトしてきているそうです。
いわゆるゼロクリック脆弱性攻撃のマルウェアは、スマホ深部まで入り込むことはできません。でも、メモリ部分までなら簡単に侵入してしまいます。
再起動で駆除できるものなので、できれば、週に一回くらいの頻度で、スマホを再起動することがおすすめされています。
Wi-Fi環境のセキュリティ対策
- 接続するアクセスポイントをよく確認
- HTTPS通信をしているか確認
- 自宅に設置している機器の設定を確認
Wifiは第三者からパスワードを盗まれたり、情報を抜き取られたりという脅威のリスクがあります。
公衆Wifiではオンライン銀行などに接続しない方が無難です。
もし被害にあったらどうなるの?
普段からセキュリティ意識を高く持つようにしていても、スマホやアカウントが乗っ取りに遭ったかもしれない場面に遭遇してしまうかもしれません。
そんな時も慌てず、冷静に適切な対策を行えるように日頃から情報を収集しておきましょう。
[blogcard url=”https://cybersecurity-jp.com/column/42759″]
[blogcard url=”https://eset-info.canon-its.jp/malware_info/special/detail/210715.html”]
[blogcard url=”https://jp.norton.com/blog/mobile/line-cracking”]
[blogcard url=”https://www.itmedia.co.jp/news/articles/1811/13/news094.html”]
サイトを運営している人のための対策
- WEBサイトのSSLは必ず行う
- クロスサイト・スクリプティングの脆弱性対策を行う。
- ブルートフォースアタック(総当たり攻撃)対策を行う
- SQLインジェクションの脆弱性対策を行う
WEBサイトのSSL化は必ず行い、サーバーだけでなくWordPressの場合は、本体のSSL化も失念しないようにしてください。
さらに、WordPressログイン画面へアクセスできるIPアドレスをWordPerss管理者のIPアドレスのみに制限することで、セキュリティを高めることが可能です。
[blogcard url=”https://www.ipa.go.jp/security/vuln/websecurity/cross-site-scripting.html”]
[blogcard url=”https://blog.heteml.jp/?p=2210″]
脆弱性情報を定期的にチェック
WordPressなどのCMSを利用している方は、そのCMSから発信される脆弱性情報を定期的にチェックするようにしておきましょう。特に緊急アップデートには、必ず対応するようにしてください。
WordPressの攻撃の大半は、プラグインの脆弱性が狙われたものです。