インターネットは、もはやインフラ。

ただ便利だというだけで無く、欠かすと仕事も生活も成り立たないレベルになってしまっていると思います。

Amazonが無いと・・・Netflixがないと・・・Kindleがないと・・・やって行けないようという方もいらっしゃるかも知れません。

便利を享受している反面、世の中にはありとあらゆるネットを悪用した犯罪が多発しています。

自分自身やご家族がそういったインターネットの危険乗っ取りなどに遭遇しないようにするために最低限の基本知識をここで皆さんと一緒におさらいしたいと思います。

他にもあるかもしれませんが、思いついたトラブル内容を書き出してみました。この中で、WEBサイトを運用する側として注意するべきは、情報の盗難・改ざん・不正使用によるなりすまし・サイバー攻撃や個人情報の流出、アカウントの乗っ取りなどですね。いわゆるインシデント事故と言われるようなものになります。

実際どのぐらいの数発生しているのか見てみましょう。

現状はどうなっているか

まず、今の現状はどうなっているのか？確認しておきましょう。「ScanNetSecurity」インシデント・事故 インシデント・情報漏えいニュース記事一覧を見てみましょう。

インシデント事故は、ほぼ毎日発生しています。不正アクセスもヒューマンエラーも、想像している以上の頻度で発生していることがわかると思います。

どこか対岸の火事だと思って眺めていたものが、予想以上に身近で発生している出来事で、驚いたのではないでしょうか。

対策の基本

1. ソフトウェアを最新に保つ
2. 2 段階認証を利用する
3. 最低10桁以上の複雑なパスワードを設定する
4. パスワードは使い回さない
5. フィッシング詐欺にだまされない
6. ワンクリック詐欺に慌てない

「総務省国民のためのサイバーセキュリティサイト」では、インターネット全体のセキュリティについて、基本的な事が初心者でもわかるように噛み砕いて説明されています。一度、内容に目を通しておくとよいと思います。

同じように、Googleが公開している「はじめてのサイバーセキュリティ対策」の動画セミナーも受講しておくと理解が深まるのではないかと思います。

OS標準のセキュリティ機能は、十分強い

現在、WindowsやMacに搭載されている、OS標準のセキュリティ機能は、すごく強いです。一定レベルを保つことができるようになっています。

ただ、ウィルスはすばしっこく、移動スピードが早いため、OS標準のセキュリティがウィルスを捕らえる前に、破壊プログラムを仕込まれてしまうほどです。大事な事は、パスワードを複雑で長いものにして、OS標準のセキュリティがウイルスを捕らえる準備が整うまでの時間を十分稼ぐこと。OS標準ではカバーしていない部分を補うという意味で、市販のセキュリティソフトの導入も検討してよいと思います。

短くて単純なパスワードは必ず突破されてしまう

不正アクセスする側のパスワードロックを突破する技術には、とても勝てないので、短いパスワードでは必ず突破されてしまうくらいの危機感が必要です。

実際に、7桁のアルファベットだけで構成されたパスワードが解析されるまでの時間は、0.1秒です。

《パスワードが、突破されるまでの時間表》

引用 / DIT　ブルートフォース攻撃を想定したハッシュ化されたパスワード解析の検証結果
https://www.dit.co.jp/report/security_report/forensic_center/20141029.html

「パスワードの定期的な変更は不要」と総務省が発表

2017年に「サービス提供者はパスワードの定期変更を要求すべきでない」と総務省が発表。定期的に変更を促すと、単純なパスワードを設定しがちであるため意味が無くなってしまう可能性が高いからだそうです。定期更新よりも、複雑で10桁のパスワードを設定した方が、より安全です。

二段階認証でなりすまし防止

2重に本人確認を行うために、なりすましの防止に役立ちます。不正ログインを防止することによって、フィッシング詐欺に遭う確率も下げることができます。

スマホのハッキング対策、最も手軽にできるのは「再起動」

最近は、AppleやGoogleがスマホにセキュリティシステムを導入した為に、ハッキングする側の技術が、「難易度が高いが1度侵入するとずっと居続ける」というやり方ではなく、「ハッキングの難易度は低いが、再起動で駆除されてしまう」という手法にシフトしてきているそうです。

いわゆるゼロクリック脆弱性攻撃のマルウェアは、スマホ深部まで入り込むことはできません。でも、メモリ部分までなら簡単に侵入してしまいます。

再起動で駆除できるものなので、できれば、週に一回くらいの頻度で、スマホを再起動することがおすすめされています。

Wi-Fi環境のセキュリティ対策

1. 接続するアクセスポイントをよく確認
2. HTTPS通信をしているか確認
3. 自宅に設置している機器の設定を確認

Wifiは第三者からパスワードを盗まれたり、情報を抜き取られたりという脅威のリスクがあります。

公衆Wifiではオンライン銀行などに接続しない方が無難です。

もし被害にあったらどうなるの？

普段からセキュリティ意識を高く持つようにしていても、スマホやアカウントが乗っ取りに遭ったかもしれない場面に遭遇してしまうかもしれません。

そんな時も慌てず、冷静に適切な対策を行えるように日頃から情報を収集しておきましょう。

サイバーセキュリティ.com

 

1 User

7 Pockets

スマホが乗っ取られた？ハッキング時のサイン10個と対処法を徹底解説

https://cybersecurity-jp.com/column/42759

スマホが乗っ取り・ハッキングされてしまう原因や対処法を徹底解説します。スマホが乗っ取られると「個人情報の漏えい」「不正決済による金銭被害」「盗撮・盗聴」などの被害を受ける可能性があります。不安な場合は信頼できる調査会社に相談しましょう。

eset-info.canon-its.jp

 

2 Users

スマホがウイルスに感染！？不安に思ったら試したい5つの方法 | サイバーセキュリ...

https://eset-info.canon-its.jp/malware_info/special/detail/210715.html

jp.norton.com

 

7 Users

LINE乗っ取りの手口と被害に遭った時の対処法、被害に遭わない対策まとめ

https://jp.norton.com/blog/mobile/line-cracking

今や国民的な通信インフラとも言えるLINE。ゆえにそれを狙う犯罪者が多いのも事実です。この記事では犯罪者の手口、乗っ取られた際の対処を解説します。

ITmedia NEWS

 

17 Users

24 Pockets

知らない間に……スマホが乗っ取られ、銀行サイトを襲撃　金融業界を狙うbot

https://www.itmedia.co.jp/news/articles/1811/13/news094.html

とある金融機関のWebサイトに対するbotを利用したリスト型攻撃の実態を調べたところ、全攻撃リクエストの約95％がAndroidスマートフォンからだった。

サイトを運営している人のための対策

1. WEBサイトのSSLは必ず行う
2. クロスサイト・スクリプティングの脆弱性対策を行う。
3. ブルートフォースアタック（総当たり攻撃）対策を行う
4. SQLインジェクションの脆弱性対策を行う

WEBサイトのSSL化は必ず行い、サーバーだけでなくWordPressの場合は、本体のSSL化も失念しないようにしてください。

さらに、WordPressログイン画面へアクセスできるIPアドレスをWordPerss管理者のIPアドレスのみに制限することで、セキュリティを高めることが可能です。

IPA 独立行政法人 情報処理推進機構

 

4 Users

4 Pockets

安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング | 情報セキュ...

https://www.ipa.go.jp/security/vuln/websecurity/cross-site-scripting.html

情報処理推進機構（IPA）の「安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング」に関する情報です。

blog.heteml.jp

 

5 Users

11 Pockets

WordPress管理画面へのアクセスを制限する方法 | ヘテムルブログ

https://blog.heteml.jp/?p=2210

脆弱性情報を定期的にチェック

WordPressなどのCMSを利用している方は、そのCMSから発信される脆弱性情報を定期的にチェックするようにしておきましょう。特に緊急アップデートには、必ず対応するようにしてください。

WordPressの攻撃の大半は、プラグインの脆弱性が狙われたものです。

関連記事もお読みください