2013年8月のIT総括

2013年8月に話題となったIT関連のトピックスにつき、概要と参考URLを記していきます。

「セキュリティ・キャンプ中央大会2013」が開催

8月13日から17日の5日間、「セキュリティ・キャンプ中央大会2013」が千葉市内で開催されました。これは、セキュリティ・キャンプ実施協議会と独立行政法人 情報処理推進機構(IPA)が共催する、未就業の22歳以下の学生・生徒を対象とした合宿のことです。

10回目となる今回は、全国から選抜された16歳〜21歳の41名が参加しました。キャンプでは、ソフトウェアやWeb、ネットワークやシステム開発などの複数のクラスに分かれて専門的な講義が行われたほか、クラス横断でテーマを決めて議論するカリキュラムや、知識や技術を競うコンテストが実施されました。

セキュリティ・キャンプ中央大会2013
全国から選抜の精鋭41人、ハッカーの英才教育(読売新聞)
学生、セキュリティ知識磨く 幕張でセキュリティ・キャンプ(日本経済新聞)

「パスワードリスト攻撃」に注意喚起

独立行政法人 情報処理推進機構(IPA)は、8月1日、最近急増する「パスワードリスト攻撃」への対策を呼びかけました。

パスワードリスト攻撃は、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のことで、何らかの方法で事前に入手したパスワードリストを用い、さまざまなWebサービスで、総当たりの攻撃を繰り返し、最終的には利用者の個人情報や金銭などを詐取しようとするものです。

IPAでは、複数のWebサービスで同じパスワードを使い回す利用者が多いという傾向が悪用され、国内の複数のサービスにおいて、パスワードリスト攻撃によるものと思われる不正ログインの被害が多数報告されていることから、「すべてのインターネットサービスで異なるパスワードを設定」するよう対策を呼び掛けています。そして、複数のパスワードを管理する方法として、「自分が利用するID/パスワードを、リスト化して保持する」と「サービスの重要度によっては、ID/パスワードのリストを別々のファイルに分けて保持する」という2つの方法を紹介しています。

「パスワード使い回しはNG」IPAが「パスワードリスト攻撃」の対策を呼びかけ(情報セキュリティブログ)
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。(piyolog)

Twitterが公式アプリで二段階認証に対応

Twitterは8月7日、公式アプリ(iOS、Android向け)をアップデートし、ログイン時の2段階認証に対応しました。これまでは、端末のSMS(ショートメッセージサービス)で認証コードを受け取る必要がありましたが、日本の携帯キャリアでのSMS受信に対応していなかったため、日本ではこれまで2段階認証をできませんでした。

アプリで2段階認証を有効にした場合、ブラウザなどで新たにログインすると、アプリ側にその情報が表示され、承認するか拒否するかを選択できるようになります。このログイン認証を有効にするには、アプリのプロフィールページの「設定」から「セキュリティ」を選択し、「ログイン認証」を「オン」にします。

モバイルアプリがアップデートされました(Twitterブログ)
Twitter、公式アプリ経由の2段階認証が可能に(INTERNET Watch)
Twitterが二段階認証に対応したので、その設定などまとめ。(タモのブロマガ)

ゴルフ場でのスキミング被害に注意喚起

日本クレジット協会(JCCA)は8月19日、ゴルフ場におけるスキミングに関して注意を呼びかけました。これは、最近、ゴルフ場においてクレジットカードやキャッシュカードから磁気データを盗み出し、偽造カードを作成してATMなどから現金を不正に引き出すというスキミング被害が拡大しているというものです。「スキマー」と呼ばれるカード情報を読み取る装置を用いて、クレジットカード等の磁気記録情報を不正に読み出してコピーを作成する手口ですが、カードの盗難と違い、カード自体が「無事」であるため、被害者が被害に気づきにくいという特徴があります。

JCCAでは、ゴルフ場などに設置されている暗証番号式のロッカーで番号を入力する際、背後から覗き見られたり、小型カメラでの盗撮により開錠されたりするケースが、昨年から急増していると指摘。暗証番号式のロッカーに荷物を預ける際に、カードの暗証番号と同じ番号を使用しないことや、暗証番号入力時には周囲に不審者がいないか、小型カメラがないかなどを十分確認の上、利用することを呼びかけています。

ゴルフ場におけるスキミングに関するご注意事項(JCCA 日本クレジットカード協会)

「やりとり型」の標的型メール攻撃の件数急増

警察庁は、8月22日、「平成25年上半期のサイバー攻撃情勢について」を公開しました。この中で、企業等の情報を盗み取る目的で標的型メールを送りつけるサイバー攻撃が引き続き発生しているとして注意を呼びかけています。特に、業務に関連する内容のメールのやりとりを何通か行った上で、標的型メールを送付する「やりとり型」と呼ばれる攻撃が急増しており、その件数は、この上半期だけで33件確認されており、昨年1年間(2件)の件数を大幅に上回っています。

こうした標的型メールの送信元は、フリーメールのアドレスを使用するものが6割を占めており、本文に記載された内容は、5割超が職員採用に対する質問や応募を装ったもので、約3割が製品に関する質問や不具合の報告を偽装した内容だったということです。

(リンク先PDF)平成25年上半期のサイバー攻撃情勢について(警察庁)
サイバー攻撃:「やりとり型」急増 企業へメール後仕掛け(毎日新聞)

関連キーワード:

2段階認証

Twitter

やりとり型

スキミング

パスワードリスト攻撃

メール攻撃

  • IBMが「ドライブバイダウンロード攻撃が対前期比4倍に増加」と発表
  • カテゴリートップへ
  • 本日より「Dr.セキューリ セキュリティもしものとびら」がスタート!!