六月のWebサイト改ざん事例

有名な組織でもサイトが改ざんされ、その著名度・影響度・件数に加え、ウイルス配信の加害者にさせられているケースが目立ちます。


＜事例＞
   ・トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に

 「改ざんされていた期間は6月5日午後6時26分から6月14日午後9時47分ま
   で。改ざんされたページを閲覧すると、不正なプログラムが自動的に実行さ
   れる状況だった。 」

「改ざんの内容や不正プログラムによる影響、改ざんの経緯などの詳細は調
  査中としている。Web改ざんに伴う個人情報の流出などは確認していない」

「6月14日に改ざんのあったサーバーを停止、、、復旧予定日は7月上旬。 」

   ・弊社ホームページの改ざんに関するお詫びとご報告（トヨタ）

 「お手持ちのセキュリティソフトを最新の状態にし、ウィルス感染確認・駆
   除の実施をお願いいたします」

   ・ニッセン通販サイトに不正ログイン　個人情報漏洩の恐れ

「１２６人分の個人情報（氏名、住所、生年月日、過去の購入履歴など）が
　漏れた可能性がある。個人情報の改ざんや不正な購入などの被害は確認され
  ていない」

「不正に入手したとみられるメールアドレスとパスワードでログインされた
  のに担当者が気づき、不自然なアクセスを遮断するなどの対策を講じた」

   ・東大病院HP閲覧者にウイルス感染の恐れ

「アクセスした閲覧者がコンピュータウイルスに感染した恐れがある」

   ・科学技術振興機構のWebサイト改ざん、閲覧者にウイルス感染のおそれ

「アクセスした閲覧者のパソコンが、ウイルスによる感染や不正プログラム
  の侵入などの被害を受けているおそれがある」 

「改ざん検知サイトから警告があり、デイリーウォッチャーホームページを
  削除するとともに、サーバーへのアクセス制限を行った。 」

   ・ホームページ再開にあたってのご報告 （ＦＭ群馬）

以上

Windows 8.1 企業向け新機能

北米ＴｅｃｈＥｄで企業ユーザ向けの新機能について発表があったようです。以下、セキュリティ箇所について抜粋・意訳します。誤訳があったら悪しからず。

・ソース　
    What's New For The Enterprise In Windows 8.1
    (Springboard Series Blog 2013/06/03)

・業務データの遠隔削除
　企業データをマーキング、暗号化し、従業員の雇用契約終了時に、ワイプできる。
　企業データとユーザデータとは分離識別可能。
　遠隔ワイプはＥＡＳ and/or OMA-DMプロトコル(*1)のコマンドでワイプします。

　この機能はクライアントとサーバの双方のアプリケーションが対応していなければならない。
　クライアントアプリケーションは、アクセス不可か、ワイプするかを決定する。

　（対応していない場合はどうなるのか疑問ですね）

  *1 ...
    ・EWS (Emergency Warning System)
    ・OMA-DM (Open Mobile Alliance-Device Management)
     

・生体認証改善
　全製品ラインアップでWindowsサインイン、リモートアクセス、UACなどの
　生体認証が可能になります。
　多種の指紋リーダーで指紋認証が可能になります。
　近年のリーダーはスワイプよりも、読み取り精度の良いタッチ式が増えていますが、
　さらに偽指での成りすましも防止します。
　Windows Store Appsへのアクセスは生体認証に基づいて行えるようになります。

　（私が見聞するのと、欧米の状況とは、やや開きがある印象です。
　　指の大きな あちらの方々の指紋認証は容易? ）

・デバイス暗号化
　Windows RT とWindows Phone 8の従来の暗号化が、全Windowsでも可能になります。
　ProとEnterpriseでは、さらにBitLockerで設定でき、管理機能もあります。
　一般向けには、MSアカウントでログオンすると自動的に暗号化されます。(*2)

  *2 ...
  　アドミニストレータ権限でログオンすると暗号化。
　  ドメインに参加していない（消費者向けの）デバイスでは
    （ディスク故障に備えて）修復鍵をSkyDriveに保存します。
    Windows 8.1: High-performance behaviour monitoring for Defender 
     (The H Security 2013/06/27)

　（BitLockerが全Windowsで可能になるのか
　　企業用とコンシューマ用で差別化しているのか
　　よく分かりません。
　　詳しい方、教えてください。）

・Internet Explorer 11
  バイナリが実行される前に入力をスキャンして、マルウェア対策を可能にします。

・マルウェア対策
　MSの無料アンチウイルスであるWindows Defenderは、ネットワーク振舞い監査機能を持ち、
　既知・未知のマルウェアの実行を防ぎます。
　IEもバイナリー（例、ActiveX）をスキャンします。

・アクセス適用
　Windows 8.1 RT, Pro, Enterpriseでは、お子さんの学習環境や、
  ブティックでの顧客サービスに特化した環境を提供できる（という事だと思います）。

以上　(Win8.1、ちょっと使いたくなってきました)

AT-PHA05BTをPC（Planex BT-Micro4）で使ってみた

Senheiser HD555は重いし、同社のBluetooth イヤフォンは二年ほど使って接触不良を起こすようになったので、Blue Tooth前提で環境を変えてみることにしました。

以下、満足な音質を得るまでの操作手順の御紹介。

1.トランスミッター
　Planex, BT-Micro4
　ドライバダウンロード

2.レシーバー
　Audio Technica, AT-PHA05BT

3.イヤフォン
　ALPEX, Premi-on 、手元のは多分 HGP-710

  手元の2,000～5,000円程度の数種のうち、
　以上の組み合わせが気に入っています。

4.Windows7純正のBluetooth ドライバだと
　PCで音楽・動画再生数秒後、AT-PHA05BTの電源が切れて使い物になりません。
　そこで、、、

5.BT-Micro4専用ドライバ(Motorola製)をインストール後、
　（ペアリング手順は割愛します）

5-1.AT-PHA05BTの電源を入れると、
　  HFP/HSP(モノラル)優先なのか、モノラル音声。
　　音楽鑑賞には耐えないです。
　　そこで、さらに、、、

5-2.ドライバインストール後に出来上がる「My Bluetooth」アイコンをダブルクリック。
  　該当するイヤフォンデバイスをダブルクリックします。

5-3.しばらく待ちます。

5-4.「オーディオ」の「接続」を選ぶと、、、

5-5.A2DPモードで接続され、良好な音質が楽しめます。

5-6.というわけで
　「BT-Micro4を買ったけど音質が気に入らない」という方は
　専用ドライバと、イヤフォンの組み合わせを試してみてください。

　Senheiser MD555のような　ごっついヘッドフォンでも
　まずまずの音圧を楽しめると思います。

6.PC系メーカのLogitec、LBT-AR120と　iPhone5付属のイヤフォンの
　組み合わせも中々気に入っていて、こればかりは色々試してみるのが
　良さそうです。

以上

二要素認証 Yahoo! JAPAN, Microsoft, Google, Facebook 他

「先日、2200万件の Yahoo! JAPAN ID が流出・・・中略・・・148万件のパスワードが流出した可能性があることが判明しました。」だそうです。
http://rocketnews24.com/2013/05/24/332064/

で、下記サイトで、自分のＩＤ（＋パスワードも？）が流出したかどうかを確かめられるようです。
https://login.yahoo.co.jp/config/login?.src=www&.done=http%3A%2F%2Fdocs.id.yahoo.co.jp%2Fconfirmation.html

『Yahoo!のパスワード流出、実は「他サイトが危険」？』
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130524-OYT8T00882.htm

後半の「危険なのはYahoo!ではなく、他サイトでのパスワード・秘密の質問と答」以降が参考になります。

> 問題は、他のサイト・サービスでのIDパスワード・・・「ユーザーが共通したパスワードを使っていた場合に・・・ログインされたり・・・不正ログインされてしまう可能性がある」
>
> ユーザー側の対策としては・・・
> １：流出の対象となっているか確認する
> ２：（他のサービスで）共通している（ＩＤ／メールアドレスと）パスワードを使っていたら即変更
> ３：プレミアム会員の場合はクレジットカードの利用明細を確認
...
> 流出の対象ではない人も、「共通したパスワードはダメ」ということを覚えておきたい。

秘密の質問は、かえってリスクがありそうですね。


2段階認証が解決方向性かと思います。まとめサイトをメモしておきます。

『2段階認証を使おう～「Microsoft」「Google」「Yahoo! JAPAN」「Facebook」』
http://security-t.blog.so-net.ne.jp/2013-05-31   (セキュリティ通信 2013.05.31)

『2段階認証ノススメ(まとめ)』
http://negi.hatenablog.com/entry/2013/06/04/175840   (セキュリティは楽しいかね? Part 2 2013.06.04)

ただ次のような反論も見られ、熟成にまだ時間がかかりそう。
『Googleの2段階認証は不便すぎて使いものにならない』
http://colo-ri.jp/develop/2012/12/google-2step-verification-useless.html   (2012/12)

---------------------------------- 2013.06.23 追記

http://blog.tokumaru.org/2013/06/yahoo.html (徳丸浩の日記. 2013.06.20)
「秘密の質問と答えを登録せず、ワンタイムパスワードは諦める」というオプションが可能になったようです。

---------------------------------- 2013.09.23 追記

こちらが良くまとまってる。

２段階認証ノススメ（まとめ）

http://negi.hatenablog.com/entry/2013/06/04/175840 (セキュリティは楽しいかね 2013.08.07)

//

それからの SharePoint

SharePoint 2013のインストール説明サイトをご紹介

http://sharepoint.orivers.jp/Home/Article/125

MS TechNet よりもインストールに絞り込んだ説明で、これから、という方にお勧めです。

早速手元の環境にインストールしてみました。

・ソフト：Windows Server 2012, SQL Server 2012,
　SharePoint 2013（以下、ＳＰと省略します）、いずれも評価版

・ハード：cpu=2.8Ghz x 2, mem=5GB

・好印象な点
  SP2010インストーラの自動化が進んでいます。
　「事前に○○を導入、次に□□を、、」がほぼ不要で簡単に
　なりました。自宅SPが手軽に作れます。

　※　前バージョンのSPは、インストールすら中々面倒でした。
　　　  http://mcaf.ee/gij8c

・課題
　企業SPは、なお(私には)未詳な点が多く、しっかり設計して
　おかないと、"後戻り出来ない柔軟性の低い仕組み”に
　なる恐れがありそうです。

　自分に合った先生・テキストを選ぶ（お金も払う）のが、
　早道のように思えました。

追記、SP2013は、パワーが必要です。
  前述VMにパワーアップしないと、タイムアウトエラーで、
  インストールさえ出来ませんでした。

//

六月のいろいろ

国家の“サイバー戦争”～情報流出の真相～
http://www.nhk.or.jp/gendai/kiroku/detail_3360.html  (NHK 2013.06.06)

「攻撃発信元の６割は、お隣の国。
　日本の発電などインフラ企業で、想定訓練実施。
　同盟国の情報を日本が漏らさない事が、国際社会の信用につながる。」

ＮＨＫの淡々とした伝え方に好感の持てる番組でした。

---------------------------------

今　米で騒がれている、国家による監視。
大手キャリア、ベライゾン社ほかの　大規模な国家介入調査の関連記事を追ってみました。

アメリカ国家安全保障局、Verizonの全通話記録を秘密裡に収集（ガーディアン報道）
http://mcaf.ee/wj5r9　(techcrunch 2013.06.06)
『国家安全保障局（NSA）は、Verizon社の携帯電話ネットワーク全通話の利用情報を秘かに収集している。「...両通話者の電話番号、位置情報、通話時間、個別識別子、時刻等が引き渡されている」』だそうです。

「東西の大国は、こうした事を行っている」という話も、もはや都市伝説ではなくなった感があります。またマスコミが健全に機能している感じが気持ち良いですね。

『米国政府、国民のすべての電話とメールを傍受し保存？（前）』
http://itpro.nikkeibp.co.jp/article/IDG/20130516/477323/?ST=cm-industries&P=1 (NikkepBP 2013.06.04)
ボストンマラソン爆弾テロ事件の、その後の捜査手法に関するお話。

元ＦＢＩのClemente氏は元同僚から「しゃべり過ぎないように」と圧力をかけられないのか、不思議ですね。

一連の記事は、内部告発がきっかけでした　(今はSnowden氏が全面に取り上げられています)。
『米当局は世界で「数万件のハッキング実施」、スノーデン氏が香港紙に語る』
http://www.afpbb.com/article/politics/2950073/10897395

これで、盗聴システム「プリズム」の存在が明るみに。

『米国家安全保障局の「プリズム」の威力はどれほどか』
http://jp.wsj.com/article/SB10001424127887324449604578538411983446272.html
「NSAと連邦捜査局（FBI）は、ネット企業の大手9社が運営するサーバーに
直接アクセスしている」

『Dissecting Tech’s PRISM Spying Denials』
http://newsusa.biz/dissecting-techs-prism-spying-denials/

「大手9社」とは「MocrpSoft, Yahoo, Google, Facebook, PalTalk,
　YouTube, Skype, AOL, Apple」 (2012現在)。

------------------------------------------------

『複合機のセキュリティに関する報道について』
http://www.ricoh.co.jp/info/130604.html (ricoh 2013.06.06)

「複合機は基本ソフトの脆弱性が放置され、格好のターゲット」と言われて久しいのですが、「適切なセキュリティ設定のもとでご使用いただければ過剰なご心配は不要です」」とは、どういう意味か気になりますね。

『セキュリティ機能の紹介』
http://www.ricoh.co.jp/about/security/products/mfp/function/　(ricoh)
ただ、ここに紹介されているセキュリティ機能は、存在していても、デフォルトでは活用されていないのではないかなぁ。

------------------------------------------------

『社内ソーシャルは組織を透明になんかしない』
http://www.munesora.com/entry/2013/06/06/223937　(コラボレーション・エンジニアの考える日々 2013/06/06)

ＩＢＭのコラボレーション製品スペシャリスト、大川さんの切れ味爽快な記事。

「内部変革が起こっている人々が務める企業は、社内ソーシャルを導入することによって、それこそ、イノベーションが起こるというところまでいくかもしれません。」

深く同感です。

//