個人としてのセキュリティ対策

個人としてのセキュリティ対策#

脅威#

マルウェア#

悪意のあるソフトウェアで、ウイルス、トロイの木馬、スパイウェアなどが含まれる。

対策:WindowsであればWindows Defenderが商用のウイルスセキュリティソフトと同等以上の性能を持っているのでWindowsをしっかりアップデートしていればOK

Windows Defenderの性能

  1. PassMarkのConsumer Security Products Performanceを見ると、2019年版2022年版も総合4位で、1位のNortonとそこまで大差ではない

  2. Comparison - AV-Comparatives のTest Chartsを見ると、テスト内容によって得手不得手が出るが総合的に高性能

フィッシング#

偽のウェブサイトやメールを使ってユーザーの個人情報を盗む手法。

対策:

  • なりすましメールなどもあるので、原則として 本人が気をつける しかない。

  • もらったリンクではなく自分で検索してサイトに行く

    • 「クレカが不正利用されました、詳細はこちらからログインしてください https://…」のようなメールで偽サイトに誘導する手法が多い。メッセージ内のリンクを踏むのではなく、自分でGoogle検索してサイトに行けば正規のサイトに行ける

  • Chromeのパスワードマネージャを使う

    • 偽サイトだとドメインが違うはずなので、おそらくパスワードマネージャが働かないはず。偽サイトだと気づくきっかけになる

  • Chromeが「危険なサイト」とアラートを出してくれることもあるので、その場合はアラートに従う。

ソーシャルハッキング#

ユーザーが機密情報(パスワードなど)を入力している内容を盗み見たりといった物理的なハッキング方法。

  • 満員電車で、スマホからログインしようとしているのを覗き見る

  • 機密情報が書かれた書類やメモを入手する

  • 掃除夫などを装ってオフィスに侵入する

など

ディープフェイク(フェイク動画)#

ここでの「ディープフェイク」はフェイク動画、偽動画のこと。

例:岸田首相の糞土方動画(2023年11月)

例:香港の企業にて、ビデオ通話で自社のCFOを装った詐欺師から送金を指示され、2500万ドルを払ってしまった事件(2024年2月)

(※ディープフェイク(deepfake)は本来、機械学習アルゴリズムの一つである深層学習(ディープラーニング)を使用して、2つの画像や動画の一部を結合させ元とは異なる動画を作成する技術)

生成画像を見分けられるか?

生成画像を見分けるテストが行えるウェブサイト

Which Face Is Real?

2024年現在だと背景や耳の形を見れば不自然な点に気づきやすい

パスワードクラッキング#

ブルートフォース(総当たり)#

考えられるパターンをすべて入力して突破を試みる

リバースブルートフォース(逆総当たり)#

パスワードを固定してUser IDを総当りする。一定回数パスワードを間違えるとログインできなくなるサイトでも使える

辞書攻撃#

完全にランダムな文字列ではなく、人間がパスワードに使いやすい単語の組み合わせを使うことで試行回数を減らす

Webカメラのハッキング#

マルウェアがWebカメラをハッキングして盗撮する事例もある

対策

  • 重要な情報が写り込まないように気をつける

  • 使わないときは物理的なシャッターを付けておく

偽装フリーWiFi#

SSIDは偽装が簡単。パスワードも本物同様にすれば見分けるのが困難。

WPA2などの暗号化がされていないWi-Fiは情報が盗まれてしまう

対策:VPNを使えばフリーWi-Fiでも安全に使える

対策#

システムの一般利用者側の対策

  1. 修正プログラムの適用:OSや各ソフトウェアを最新に保つ

  2. セキュリティソフトの導入および定義ファイルの最新化

  3. パスワードの適切な設定と管理:大小英字、数字および記号を混在させて最低でも10文字に。使い回さない。

  4. 不審なメールに注意:不審なメールのURLはクリックせずシステム管理者に連絡

  5. USBメモリ等の取り扱いの注意:自身が管理していない外部記憶媒体はパソコンに接続しない

  6. 社内ネットワークへの機器接続ルールの遵守:個人のPCや外部記憶媒体を社内ネットワークに繋がない

  7. ソフトウェアをインストールする際に注意する

  8. パソコン等の画面ロック機能の設定

出所:日常における情報セキュリティ対策 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

ツール#

自分のemailが漏洩しているか確認する#

Have I Been Pwned?

Have I Been Pwned: Check if your email has been compromised in a data breach

セキュリティ専門家のトロイ・ハントが2013年12月4日に開設した、インターネット利用者が自らの個人情報が漏洩していないかを照会できるウェブサイト。漏洩した数十億件のアカウント情報を含む、数百のデータベースダンプやPastebinを収集、分析して得られた情報から、電子メールアドレス、または、電話番号で検索することができる。

パスワードの強固さを調べる#

How Secure Is My Password?

How Secure Is My Password?

パスワードの解読にどれだけの時間がかかりそうかを調べてくれる

用語#

ウェブの種類#

  • Surface Web :誰でも見られるオープンなウェブサイト。企業のサイトなど。全体の4%程度なのだとか。

  • Deep Web :特定の人だけが閲覧可能なサイト。会員制サイトやオンラインストレージの限定共有ファイルなど。みんなが普段使う場所

  • ダークウェブ(Dark Web) :Tor(トーア)というネットワーク上にあり、専用のブラウザ(Torブラウザ)を使ってアクセスする。匿名性が高い。