Comments
Description
Transcript
Security News7,8月号
INDEX 今月のセキュリティトピックス ベネッセコーポレーション個人情報漏洩事件 今月の呼びかけ 『登録完了画面が現れても、あわてないで! ~ スマートフォンでのワンクリック請求に注意! ~』 情報セキュリティの問題にチャレンジ! お知らせ 新製品のご紹介 今月のセキュリティトピックス ベネッセコーポレーション個人情報漏洩事件 ベネッセ SE自宅 シンフォーム ⑤ 名簿業者 ① ① 会社貸与PCからDBにアクセス ② 会員情報をダウンロード ③ 外部記憶媒体にコピー ④ 自宅に持ち帰り自PCにコピー ③ ② ⑤ 名簿業者に複数回にわたり売却 ④ ● 容疑者のSEはデータベースへの正当なアクセス権を持っている 今回のポイント! ● データのダウンロードをしている ● 貸与PCから外部記憶媒体へコピーして持ち出している イーセクターなら! 容疑者のSEはデータベースへの正当なアクセス権を持っているので、 機密情報の持ち出し部分を制限します!! 1. 貸与PC(専用PC)にeSECTOR LOCK STAR-SGateを導入し、貸与PCへの データダウンロードをさせません! 2. 貸与PC(専用PC)にeSECTOR SecureDesktopを導入し外部記憶媒体に データを書き込みさせません! 貸与PCにダウンロードさせない、 書込みさせないの二重策でデータを持ち出させません! eSECTOR LOCK STAR-SGateとは 本システムを経由して取り扱ったファイルは、クライア ントPCのローカルディスクや各種外部記憶装置へ保存 することができず、印刷も禁止することができます。 外部及び内部ストレージの制御や印刷の制御など、 eSECTOR SecureDesktopとは クライアントPCの動作を制御することが出来ます。 STOP!情報漏洩「しない!させない!持ち出させない!」 こちらもご覧ください! 1 http://www.esector.co.jp/leakprotect.html 今月の呼びかけ 『登録完了画面が現れても、あわてないで! ~ スマートフォンでのワンクリック請求に注意!~』 スマートフォンでもワンクリック 2 今月のセキュリティトピックス パソコンのワンクリック詐欺の手法(例) ① ワンクリック請求を行うウェブサイトを閲覧しに行き、 そこにある動画を閲覧しようと再生ボタンをクリック ② 「20才以上である」、「業務で利用するパソコンではない」といった確認項目と共に、 「利用規約に同意して先に進む」と書かれたチェックボックスが表示され、 それらにチェックを入れて「はい」ボタンをクリック ③ 再度、確認画面が表示されるので、そのまま「はい」ボタンをクリックして先に進む ④ 動画を再生するための手順とリンク先が示されているので、 そのままリンク先をクリックして再生ボタンをクリック ⑤ 操作の途中で「セキュリティの警告」メッセージが表示される(※図1) 動画再生手順ではこのメッセージにある「実行」ボタンをクリックするように書かれている ここでクリックすると不正にパソコンの設定を変えられてしまう ⑥ パソコンの設定が変更されてしまうと、パソコンを起動する度にデスクトップ上に 登録完了画面が表示され、画面右上にある「×」ボタンをクリックして消しても、 数秒、あるいは数分後には繰り返し画面が表示されてしまう ⑦ 表示が消えないことに焦ったユーザが業者に連絡することで被害を受ける ※図1 スマートフォンのワンクリック詐欺の手法(例) ① インターネット検索サイトやニュースサイトから、利用者が気になったタイトルを タップしてサイトに行き、そこにある動画を閲覧しようと再生ボタンをタップ ② 年齢を確認する画面が表示されたら、そのまま「次へ」のボタンをタップして先に進む ③ 動画は再生されず、スマートフォン内の端末情報や登録情報を取得した旨のメッセージが 表示され、メッセージ内の「OK」ボタンをタップするとメッセージが閉じられて閲覧サイトに 登録が完了した旨の画面が表示される ④ 登録完了画面に焦ったユーザが業者に連絡し被害を受ける 3 パソコンとスマートフォンのワンクリック詐欺の比較 パソコンの場合 パソコンの設定が変更されることにより、 「×」ボタンをクリックして消しても、 数秒または数分おきに登録完了画面が表示 される。 スマートフォンの場合 登録完了と記載されたウェブページが ブラウザ上で表示されているだけ。 利用者が自分でブラウザに切り替えれば、 再度登録完了と記載されたウェブページが 表示される。 登録画面が勝手に繰り返し表示されること はない。 注意点及び解決策 4 今月のセキュリティトピックス 情報セキュリティの問題にチャレンジ! 1 セキュリティ対策の”予防”に該当するものはどれか。 ア. アクセスログをチェックし、不正なアクセスがないかどうかを監視する。 イ. コンティンジェンシープランを策定し、訓練を実施する。 ウ. 重要ファイルのバックアップ処理を定期的に行う。 エ. セキュリティに関する社内教育を実施し、個人の意識を高める。 2 SSLの機能を説明したものはどれか。 ア. TCPとアプリケーションとの間において、クライアントとサーバ間の 認証をHandshakeプロトコルで行う。 イ. 電子メールに対して、PKIを適用するためのデータフォーマットを 提供する。 ウ. ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。 エ. ログインやファイル転送の暗号通信を行う目的で、チャレンジレスポンスの 仕組みを用いてコマンド群の認証を行う。 3 電子メールで用いるデジタル署名に関する記述のうち、 適切なものはどれか。 ア. 電子メールの内容の改ざんを防ぐことはできないが、 改ざんが行われた場合には検知できる。 イ. 電子メールの内容の改ざんを防ぐことはできるが、 機密性を保証することはできない。 ウ. 電子メールの内容の機密性を保証することはできるが、 改ざんを防ぐことはできない。 エ. 電子メールの内容の機密性を保証すると同時に、 改ざんが行われた場合に修復できる。 正解<問題①エ、問題②ア、問題③ア> 5 お知らせ 新製品のご紹介 仮想デスクトップ環境特有の アンチウイルスソフトウェアによる パフォーマンス問題を解決するために 設計された専用製品! 集約率向上! 特徴 1 負荷の軽減 2 全てのハイパーバイザー対応 ・CPU、メモリ使用量の大幅削減 ・パターンファイル配信負荷の回避 ・VMware Vsphere ・Citrix XenServer ・Microsoft Hyper-V 3 サンドボックス標準装備 4 抜群のコストパフォーマンス パターンファイルでは検知できない未知の プログラムの振る舞い検知が標準装備! 標的型攻撃にも有効です。 第三者独立評価機関「AV-TEST」による検知率 測定結果で2013年、年間平均第1位を獲得! 他社より高度な安全性がより低コストでご利用 いただけます。 VDI環境には、専用のアンチウイルス製品が必要です Contact! セキュリティプロダクトをお探しの時は・・・ 6 お問い合わせ先