カテゴリー: セキュリティ

最近参加した講習会で、ネットのセキュリティに関していろいろ怖いことを聞かされたので、一つ前の記事（→こちら）のようなことも含めて、慎重になっている☆アルファ☆です。
同じパスワードを複数のサイトで使い回していると、そのどれかでパスワードが漏洩した場合、芋づる式に他のサイトも乗っ取られるリスクが高いと言われています。犯罪者は入手したIDとパスワードのリストを使ってさまざまなサイトへのログインを試みるからです。
私は、自宅でもモバイル端末でも、1PASSWORDというソフトを使ってパスワードを管理しています。サイトごとにできるだけ長くて強度の高いパスワードを自動生成して使うようにしていますが……、
あまり重要でないいくつかのサイトは、比較的簡単な同じパスワードを使い回していました。ということで、そういったサイトのパスワードをそれぞれもっと強いものに変更しました。

ネットで買い物をする時にクレジットカード情報をサイトに入力することはよくありますが、最近のネットの世界の状況を鑑みると、これはちょっと危ないなあと感じてきました。
利用したサイトのサーバーに不正侵入などがあってクレジットカード情報が漏洩した場合、まずは不正利用されないように、一時的にそのカードでの支払いを停止しなければ危ないです。するとその間は、他の重要な支払いができなくなってしまいます。また、カードの再発行によってクレジットカード情報が変わってしまうので、予めクレジットカード情報を登録しているすべてのサイトで新しいクレジットカード情報を再登録しないといけません。これはけっこう大変な作業です。
ということで、メインのクレジットカードと、ネット決済に使うクレジットカードは別にしようかと思案中ですしました。
【追記】
下のようなネット決済専用のカードがあることを知りました。
●三井住友VISAバーチャルカード　【VISA】
カード不発行で一般の店舗では利用できない。それ以外は通常のクレジットカードと概ね同じ。利用枠は10万円で、その範囲内で悪用補償がある。
●Vプリカ　【VISA】
プリペイド式で、コンビニでも買うことができる。サイトで入力する情報は、予め決めておいたニックネームとVプリカのカード番号。
●カードレスVisaデビット　【Visa】
即時に預金口座から代金を引き落すデビットカード。４つのカード番号を利用可能。

今日の朝はほんとうに焦りました。
結果的にTwitterのアカウント情報を盗まれて、スパムメッセージを拡散させる踏み台にされてしまいました。スパムメッセージを受け取った方には、たいへんご迷惑をかけたことをお詫びします。今日起こったことを時系列的に書いてみようと思います。
5:10AM　
　　Macbook Airを起動すると、Twitterに親しい友人から下のダイレクトメッセージが届いていた。
　　　　　　　　　　　　　　　　　　　　　　　↓
　　hey this person is writing shocking posts that are about you http://………
　　私は以前2chで実名で攻撃された経験があるし、
　　このメッセージを送ってくれたのはとても親しい友人だったので、
　　私がどこかで攻撃されているのを彼が見つけて知らせてくれたのだと思い込んでしまった。
　　しかもその友人の職業柄、英語のメッセージを送ってきても違和感はなかった。
　　リンクをクリックすると、Twitterのログイン画面らしいページが表示された。
　　いつも朝はMac miniでネットをチェックするが、今日はMacBook Airなので、
　　パソコンが違うのでログインを求められたと思い込んでしまった。
6:30AM
　　電車に乗ってiPadでTwitterをチェックすると……
　　自分から自分宛に変なメッセージが届いているし、
　　呟いた覚えがないTweetがタイムラインに現れている！
　　しかも、連携機能によってfacebookとamebaにも投稿されてしまっている！
　　この段階で事態の重大さを把握したので、
　　すぐにTwitterのパスワードを変更しようとしましたが、
　　PCからだとすぐにパスワードの変更ができるのに、
　　モバイル環境からは簡単にはできないではないか！
　　いろいろ試してみたが、焦っていたこともあって
　　結局パスワードの変更ができませんでした。
　　せめてもの対策と思って、
　　私をフォローしてくださっている方々へ。
　　photoalphaから英語のメッセージが届いても、
　　絶対にリンクをクリックしないでください。
　　と呟く。
7:45AM
　　ようやくPCからログインして、パスワードを変更。
　　もうパスワードは変えられてしまっていると覚悟していたが、
　　犯人の狙いはアカウントの乗っ取りではなく、
　　スパムの拡散にあったようで、
　　パスワードは変更されていませんでした。
　　その後は仕事が忙しくて、それどころではない状況でした。
9:35PM
　　冷静に今日一日の出来事を振り返って思うことは、
　　とにかくphotoalphaを踏み台にしたスパムにひっかかる人がいないことを
　　祈るばかりです。
　　皆さん、ご迷惑をおかけしました。
　　どうか気をつけてください。
　　今日の教訓は以下の３点です。
　　１）どんなに親しい人から来たメッセージでも安易にリンクをクリックしてはいけない。
　　２）行ったことがないサイトで認証情報を入力するのは絶対に不可。
　　３）モバイル環境でもタブレット端末よりもノートPCを持っていたほうがいい。
ということで、こんなことになったphotoalphaのアカウントは閉鎖しようと思います。
フォローしてくれている94名の方には誠に申し訳ないですが、
また、フォローしてください。

日本では少ないようですが、それでも世界中に蔓延しているという情報があるので（→こちら）、念のためにウィルススキャンをした後で、Javaをアップデートしたほうがいいようです。Lionの場合はこれでいいのかな？

撮った写真の整理をMacでしていたら、急にアラート音がなって下の警告がでました。一瞬ドキッとしましたが、よく考えてみると、TimeMachineのバックアップ先をMac OS X Sereverのドライブに変更した最初のバックアップだからだと分からりました。びっくりしたけれど、ちゃんとソフトが監視していることが分かって安心しました。

いちおうシステム管理者もしているので、セキュリティアップデートを全社的に依頼することがありますが、IEの「情報バー」をクリックする操作が分からないために、必要なアップデートができない人がかなりいます。これは頭が痛い問題で、ユーザーが何も操作しなくてもサーバー側からアップデートしてしまう仕組みの導入も検討していす。
こういう操作は、誰もが直感的に操作できるようなユーザーインターフェースに改善してほしいと思います。もっといえば、自動アップデートはデフォルトでは完全に自動化してほしいです。

最近、大勢の人が閲覧する有名なWebサイトのコードが改ざんされ、悪意のあるスクリプトが埋め込まれるという事件が多発しています。それによって、何も知らない閲覧者が危険なサイトに誘導され、個人情報を盗まれたり、ウィルスに感染させられたりしています。
http://www.ipa.go.jp/security/topics/20091224.html
だから、サイトの運営者には、自分のサイトが改ざんされてウイルスばらまきサイトになっていないかを、定期的にチェックする義務があると思います。厳密には、サイトにアップされたファイルと原本のファイルとが完全に一致するか突合する必要がありますが、そこまでしなくても、FTPソフトの画面を見て、両ファイルの大きさと最終更新日が一致するかをチェックするだけもOKだと思います。
追記：
もちろん、FTP接続のパスワードを十分強固なものにして、定期的に変更するなどの運用は基本中の基本です。

引越しを機に、古いベアボーンPCをPCリサイクルに出します。それで、HDDのデータを絶対に復元できないように、DESTROYで上書き削除しました。一応、安全のために、米国国防省標準 DOD 5220.22-Mに準拠した上書きを選びました。DESTROYはMS-DOSで動くソフトなので操作は全部キャラクターベースですが、ちゃんと対話形式になっているのでいたって簡単です。パソコンを捨てるときにはこれでデータを完全に削除することをお勧めします。

教材が送られてきますが、勉強はぜんぜん進んでいません。

絶対に受かろうと本気モードのSC試験ですが、通信教育の教材を勉強していくうちに、私が思ってい以上に試験問題が難しいことが分かってきました。これはよほど戦略を練って望まないと受かりそうもありません。
合格のための戦略としては、

1. 現在ネットに費やしている時間を、１日最低３０分くらいは確実に試験勉強に振り向ける。
2. これだけ覚えば受かるというポイントをまとめて、直前の２週間くらいに一気に頭に叩き込む。
3. ポイントをまとめるために、pomeraを活用する。

いまのままでは絶対に受からないので、なんとか悪あがきしようと思います。この資格だけは受かりたいです。