UPPER SYSTEM

今週のテーマは「偽警告」。企業で情報システム部門にいると毎月のように報告を受けます。PCやスマートフォンの利用者に対してインターネット閲覧中に、突然「ウイルスに感染しています」等の偽の警告画面（偽警告）を表示し、不要なソフトウェアをインストールおよび購入するように誘導したり、サポート窓口を装って電話を掛けさせ、サポート契約を結ばせる等で金銭を騙し取る被害が発生しています。これは近年、日本のIPA（情報処理推進機構）が発表する10大脅威のうちの一つに毎年含まれています。多くの人が被害にあっているということです。偽警告は利用者の不安につけこむ金銭詐欺であり、表示されても慌てず冷静に対応する必要があ...

多要素認証とは？認証の3要素認証手段として、要素を大きく3つに分類することがあります。1. 所持認証：利用者のみが持っている情報。ICカードやスマートフォンで生成するOTP（ワンタイムパスワード）など2. 知識認証：利用者のみが知っている情報。パスワードやPINコードなど3. 存在認証：利用者自身の特徴の情報。主に指紋認証や顔認証、虹彩認証などこれらの要素を組み合わせた認証が多要素認証です。二要素認証という言葉の方が馴染みがあるかもしれません。また、似たような言葉で「二段階認証」というものがあり、これは2ステップで認証を行うもので、以下の関係性となります。段階を踏んで行う二要素認証→二段階認証...

今回はOneLoginというIdPを例に取ってお話します。1.利便性の向上ユーザーはoneloginなどのIdP(Identity Provider)をポータルとしてワンクリックで各種サービスにログインが可能です。沢山のサービスを利用しているとID・パスワードの組み合わせが増え、管理に手間がかかります。個別のログインに要する時間、パスワード管理ツールの利用、頻繁に利用しないサービスのID・パスワードの失念。様々な手間を省いてくれます。反面、SSOシステムが停止すると関連するサービスにログインできなくなるというリスクがあります。主要なサービスについてはSSO以外でもログインできるように、業務継続...

先日私が勤める会社にてFacebookアカウント乗っ取りの報告がありました。多くの場合、乗っ取られるとメッセンジャーで知人宛てに片っ端から不審なリンクが添付されたメールを送信されます。乗っ取りの手口は、主にフィッシングサイトとパスワードリスト攻撃です。前者はFacebookに似た偽のログイン画面にパスワードを入力させる手法、後者は他のサービス等から推測したパスワードを許される限りの回数試行するものです。これは私のFacebookで去年、アカウントを乗っ取られた知人の田中さんから送られたメッセージと、私の返信です。普段からメッセンジャーでやり取りする間柄ならまだしも、法人アカウントが操作できる場...

最近の不正ログイン事件などの原因となっているのが「パスワードリスト攻撃」（アカウントリスト攻撃）と言われています。一昔前であれば「ブルートフォースアタック」（必殺技ですか？？）や「辞書攻撃」（辞書にある単語を片っ端から試行）といった力技が多かったのですが、最近はユーザーの心理的な弱みにつけこんだリスト攻撃が流行しています。それだけ有効ということですね。＜パスワードリスト攻撃とは＞ユーザーの弱みとは「複数のパスワードを使い分けられない（管理できない）」ことです。よく”セキュリティと利便性はトレードオフ”と言われますが正に利便性を求める現代人にとって痛いところを突く攻撃がパスワードリスト攻撃なので...

つい最近でも日本年金機構が顧客情報を流出させてしまい、その結果「ずさんなセキュリティ管理」と言ってズタボロに叩かれています。更に詐欺師がフォローアップのフリをしてお年寄りからお金を搾取しようとしているようです。私の勤める会社も過去に情報流出事件を起こしており、その結果としてムダとも言えるほどの徹底したセキュリティ管理がなされています。（開発ルームに機器の持ち込みはできず、イントラネットのみの利用…では留まらないです。）私も過去にいわゆるフィッシングサイト（個人情報を入力させる偽のサイト）に騙され、おそらくそこに入力したパスワードをもとにSNSのアカウントを乗っ取られたことがあります。同じパスワ...