Iphone

無視できない5つの情報セキュリティ決議

無視できない5つの情報セキュリティ決議
サイバーセキュリティ
シャッターストック。

私は新年の抱負を立てるのがあまり好きではありません。統計によると、新年の抱負の80%は実際には失敗に終わるそうです。とはいえ、新年は自分の行動を振り返り、変化や改善を計画するのに絶好の機会であることは否定できません。重要なのは、数ヶ月後に後悔するような抱負を立てないことです。

昨年のニュースによると、私たち全員が改善すべき点の一つは情報セキュリティです。最新のセキュリティトレンドを踏まえ、2016年に実践すべき5つの情報セキュリティのヒントをご紹介します。

1. 迅速かつ定期的にパッチを適用する

ご存知の通り、このヒントは以前にも聞いたことがあるでしょう。実際、あまりにも何度も耳にしているので、セキュリティオタクは退屈極まりないか、あるいは何も新しいことを思いつかないほど鈍感な人だと思っているかもしれません。しかし、実際には、コンピュータのソフトウェアを頻繁に更新することは、インターネットの危険からシステムを守る最も効果的な方法の一つです。

これはかなり単純化した説明ですが、サイバー犯罪者がコンピュータに不正なソフトウェアを侵入させる方法は基本的に2つあります。ユーザーを騙して本来行うべきではないことを実行させるか、ソフトウェアの欠陥を悪用して本来アクセスすべきではない権限を取得するかのどちらかです。後者の対策としては、パッチの適用が効果的です。

サイバー犯罪の地下組織は、スキルの低い犯罪者でさえ、幅広いソフトウェアの脆弱性を悪用することを非常に容易にしています。彼らはAnglerやNuclearといったエクスプロイトキットを開発・販売しており、これらは基本的に、あらかじめパッケージ化されたドライブバイダウンロードサーバーです。これらのキットには、Internet Explorer(IE)、Chrome、Firefox、Java、Flash、Readerなど、私たちがよく使う一般的なソフトウェアプログラムの数十もの脆弱性を悪用するエクスプロイトが含まれています。これらのキットを実行しているウェブサイトにアクセスすると、彼らはすぐにあなたのコンピュータのプロファイルを作成し、適切なエクスプロイトを見つけて、それを利用して密かにマルウェアをコンピュータに侵入させます。

恐ろしく聞こえますか?でも、一年中パッチ適用を心がければ、心配する必要はなくなります。ソフトウェアを最新の状態に保っておけば、オンラインで遭遇するであろう攻撃のほとんどから身を守ることができます。

デスクトップマシンの場合、「自動ソフトウェアアップデート」メカニズムがユーザーの介入なしに自動的に機能するようにしておくのが良いでしょう。また、すべてのソフトウェアにパッチを適用する必要がありますが、特にMicrosoft、Adobe(FlashとReader)、Oracle(Java)、そしてWebブラウザソフトウェアには細心の注意を払ってください。現在、攻撃者はこれらの製品を標的にする傾向があります。

2. パスワードと認証を管理する

悪意のあるハッカーがあなたを標的にする最も簡単な方法の一つは、あなたの認証情報を乗っ取ってあなたになりすますことです。そのためにはあなたのパスワードが必要ですが、残念ながら、パスワードを入手する方法は数多くあります。パスワードを推測したり、総当たり攻撃を仕掛けたり、キーロガーで取得したり、ネットワーク経由で盗聴したり、フィッシング攻撃を仕掛けたり、あるいはパスワードを保管している別の第三者から盗み取ったりすることも可能でしょう。

パスワード収集の最新手法である、他の組織からパスワードを盗むという手法は、ここ数年で大きな話題となり、情報セキュリティ業界はパスワードが本当に有効な認証トークンなのかどうかを再考せざるを得なくなりました。具体的には、サイバー犯罪者は過去5年間で、様々なウェブサイトから数百万、あるいは数十億ものパスワード情報を盗み出しています。

パスワードに関するもう一つの大きな問題は、多くの人がごく基本的で分かりやすいパスワードを使用していることです。たとえそうでなかったとしても、ほとんどの人はクラッキングに耐えられるほど長く、あるいはユニークではないパスワードを使用しています。そして、そして最悪なことに、多くの人が複数の場所で同じパスワードを使用しています。つまり、攻撃者があなたがあまり気にしない些細なサイトをハッキングしてあなたのパスワードの一つを盗み取ったとしても、別のパスワードを使用していない限り、あなたが本当に重要なサイトにもアクセスできてしまう可能性があるのです。

パスワードは正しく使用すれば効果的であり、今後も認証プロセスの一部として使われ続けるでしょう。そこで、今年中にパスワードと認証を整理するためのヒントをいくつかご紹介します。

  • パスワードマネージャーを導入しましょう。非常に長く、非常にユニークなパスワードを使用し、アクセスするサイトごとに異なるパスワードを使用すれば、パスワードは効果的に保護されます。しかし、正直に言うと、使用するすべてのアカウントやウェブサイトの長くて複雑なパスワードを管理したい人はいません。しかし、パスワードマネージャーを使えば、このセキュリティ対策が簡単になります。覚えておくべきなのは強力なパスワードを1つだけ。あとはパスワードマネージャーが面倒なことをすべてやってくれます。
  • 多要素認証を使用してください。厳しい現実として、ハッキングを完全に防ぐ認証トークンは存在しません。攻撃者はパスワードを解読でき、将来的には生体認証(指紋、網膜スキャンなど)の解読方法さえも解明するでしょう。しかし、少なくとも2つの認証トークンをペアリングすれば、ハッカーがアカウントに侵入するのは飛躍的に困難になります。

3. Webセキュリティを強化する

今日、被害者のコンピュータにインストールされるマルウェアの多くは、Webベースのドライブバイダウンロードによって感染しています。これは、Webサイト上の悪意のあるコードがソフトウェアの脆弱性を巧みに悪用し、コンピュータにマルウェアを強制的に侵入させるものです。一部の情報源によると、こうした悪意のあるWebコードの90%は、マルバタイジング、つまり正規のWebサイトにポップアップ表示される悪意のある広告から来ています。Webを閲覧する際は、たとえ最も信頼できるサイトのみを閲覧している場合でも、自分自身を守るためにWeb防御を強化する必要があります。

悪意のある Web コードから身を守るための追加の防御策をいくつか紹介します。

  • ウェブレピュテーションソリューションを活用しましょう。悪質なウェブサイトを常に監視するソリューションは数多く存在します。これらの製品の中には、コンピュータ上で直接動作するものもあれば、ネットワークレベルで動作し、接続されているすべてのデバイスを保護するものもあります。明らかに悪質なサイトへのアクセスを防ぐために、これらのウェブレピュテーションソリューションのいずれかを使用することを強くお勧めします。
  • ウェブスクリプト管理ツールを使いましょう。ウェブベースのエクスプロイトのほとんどは、攻撃を実行するために何らかのウェブスクリプトまたはプラグインを必要とします。例えば、悪意のあるエクスプロイトを実行するためにJavaScript、Java、ActiveXを使用したり、FlashやShockwaveなどのプラグインを利用したりします。これらのスクリプトの実行タイミングを細かく制御できるツールやブラウザプラグインは数多くあります。例えば、Firefoxをお使いの場合はNoScriptという優れたツールを、Chromeをお使いの場合は「クリックして再生」機能を利用できます。

4. スピアフィッシングに注意

悪意のあるハッカーがエクスプロイトを使ってPCにアクセスできない場合、最も信頼できる手口であるソーシャルエンジニアリングに頼ります。ソーシャルエンジニアリングの最も顕著な形態の一つがフィッシングです。フィッシングとは、攻撃者が信頼できる組織からの正規のメッセージに見せかけたメールを作成し、送信することで、被害者が認証情報を入力するのを狙うものです。通常のフィッシングメールは、多数の人に大量に送信されるため、比較的簡単に見分けることができ、ユーザー固有のカスタマイズはほとんど含まれていません。また、これらのメール内のリンクにマウスポインターを合わせると、すぐに異常なリンクだと判断できる場合もあります。

スピアフィッシングは全く異なる種類の攻撃です。スピアフィッシングとは、犯罪者が少人数のグループ、あるいは特定の個人をプロファイリングする攻撃です。攻撃者は、標的の職業や性格に非常に関連性の高い、知り合い、あるいは知り合いであるべき人物から送信されたように見せかけた、単発のメールを作成します。これらのメールの内容は、文書やリンクを含め、一見怪しいものではありません。例えば、経理担当者であれば、給与計算会社を装い、最新の給与支払いに関するPDF文書の閲覧を求めるメールを受け取る可能性があります。もちろん、これは実際には、危険な文書を隠蔽するマルウェアにユーザーを誘導しようとするソーシャルエンジニアリングの試みである可能性もあります。

スピアフィッシングは、通常のフィッシングメールよりも非常にカスタマイズされ、巧妙に細工されているため、見抜くのがはるかに困難です。以下の2つのヒントを念頭に置き、スピアフィッシングへの意識を高めることをお勧めします。

  • すべてのメールを少し疑いの目で見てください。たとえ友人や仕事で一緒に仕事をする相手から来たように見えるメールであっても、添付ファイルを開いたりリンクをクリックしたりするよう強い行動喚起を促すようなメールには、少し警戒しましょう。書類の添付ファイルも危険な場合があることを忘れないでください。
  • トーンはあなたが期待する内容と一致していますか?友人や知り合いかもしれない人から送られてきたと思われるメールに対応する際は、メールのトーンがあなたが期待する内容と一致しているかどうか自問自答してみてください。もし直感的に何かがおかしいと感じたら、メールの内容には一切触れない方が良いかもしれません。

スピアフィッシングから身を守るためのヒントを学べる素晴らしいサイトは他にもたくさんあります。KnowBe4のフィッシングチートシートや、PhishMeの無料コンピュータトレーニングを受講することをお勧めします。

5. 重要なデータをバックアップする

これは最もシンプルなヒントですが、最も重要なヒントの一つです。結局のところ、コンピュータセキュリティとは情報セキュリティのことです。ハッキングや侵害の最大のリスクの一つは、個人や組織にとって貴重なデータを失うことです。例えば、ランサムウェアは今年も引き続き最大の脅威の一つであり、特にデータにアクセスできないようにすることを狙っています。重要なデータはバックアップすべきであることは誰もが知っていますが、ランサムウェアは、多くの人が依然として重要なデータをバックアップしていないことを実証しました。

バックアップをしていない場合は、今年から始めましょう。

前にも言いましたが、私は新年の抱負を立てるタイプではありません。まだ2月ですし、多くの人が「新年、新しい自分」という気持ちから抜け落ちてしまっている可能性が高いでしょう。改善のための抱負は1月1日だけに限定する必要はありません。今こそ、重要な情報の保護に真剣に取り組む絶好の機会です。幸いなことに、これらの5つの情報セキュリティに関する抱負は、比較的簡単に日常生活に取り入れることができ、長期的には多くのトラブルを回避できるでしょう。

いつものように、ご質問やご意見がございましたら、お気軽にコメント欄にご記入ください。