ホームページと情報セキュリティ

昨今、「コンテンツ・マネジメント・システム(CMS)」というウェブベースの編集システムが主流になっています。この共同編集を容易にする流れは便利な反面、世界各国に点在する悪意ある攻撃者によって不正侵入される危険性が高まっています。侵入されたことによる被害は単にホームページの改ざんや情報漏えいに留まらず、コンピュータウィルスをホームページに仕込まれる等インターネットユーザに対して加害者立場になる恐れがあります。

日本でも2010年1月に「ガンブラー」系手法によって、大手のホームページが改ざんされた事件がありました。もちろん、ネットワーク・ウェブサーバ・CMSにて数多くの様々な防衛策は講じてられています。にもかかわらず、何故これほど被害が拡大しているのでしょうか。これには攻撃側がサーバではなくホームページ編集者のパスワード奪取をターゲットにした攻撃(*代表的ないくつかは後述)に切り替えていることに端を発しています。

パスワードを奪取された場合、ネットワーク・ウェブサーバ・CMS上での防衛策はほとんど役に立たなくなります。従って、「パスワードの適切な管理」が非常に重要になります。
そのためには、編集者およびそのパスワード管理、啓発活動、そして事後対策も含めた運用ルールと体制を明確化しておくことだと思います。

[パスワードの適切な管理(最低限)]

1. ホームページ編集やショッピングなど重要なシステムでは、同じパスワードを使わない
2. ネットカフェ、ホテル、空港等公共施設で提供されているような共用PCで、重要なパスワード利用をしない

ただし海外でのフィールドワークにおける現実問題として、ネットカフェしかPCがない、インターネット接続ができないという地域も存在します。そのようなケースでは、利用者側が常にそのリスクを考慮しながら使うしかないと思います。

[パスワード奪取の代表的な手法]
これがすべてではないですが、リスクについて考える上での参考になるのではないかと思います。

  1. フィッシング詐欺
    電子メールや改ざんしたHPへのアクセスによって、パスワード入力をさせようとします。彼らは、「銀行、ソフトウェア、その他重要なシステムのセキュリティ強化のために、IDとパスワードを入力して下さい」といってくるでしょう。もちろん、信じてはなりません。本研究所セキュリティソフトウェア等最新システムを使っていれば、そのほとんどは防ぐことができます。
  2. キーボードロガー
    極めて悪質な手法です。これが仕込まれたPCを使うと、あらゆる防衛を突破されます。なぜならキーボードから入力したキーを記憶して、それを漏えいさせるためです。
    最初に比較的セキュリティ対策が杜撰あるいは全くない、ネットカフェやホテル、空港等で利用可能な共用PCにウィルスを仕込みます。このPCを利用中に使ったパスワード(多くはウェブメールでしょう)が盗まれます。
    防ぐためには、重要なパスワードは共用PCで使わず、自前のPCで利用することです。また盗まれても他に波及しないように、パスワードを分けておくことも有効です。
  3. 辞書攻撃
    様々な辞書を利用して、ウェブサイトの編集システムへのログインを繰り返し試します。コンピュータを利用した自動システムを使うため、攻撃者はあまり労力を使わずに済みます。もし辞書に載っているような単語や似ているものを使っているなら、簡単にパスワードを割り出されてしまうでしょう。
    対処の方法は、不規則な英数字および記号を混ぜ合わせることです。その上で、パスワードも出来るだけ長いものを使うことです。

 

 

記事を評価する(This article is evaluated): [1 Star2 Stars3 Stars4 Stars5 Stars] 未評価(Not Yet)
読み込み中...