ランサムウェアの脅威 【データが誘拐される前に・・・】

おはようございます。
鷲尾です。

みなさんは夏休みをいかがお過ごしでしょうか。
もうとった方も、これからの方も、ゆっくり休んでいただければと思います。


さて、今回はランサムウェアについて、書いていきたいと思います。


はじめに、ランサムウェアという言葉は聞いたことがありますか？
ランサムウェアはコンピューターウイルスの一種で、2013年に一度話題になりましたが、ウイルスの詳細や内容も英語ということで、「詳しくはわからないけど危ないらしい」程度の認識で流れてしまっていました。

ところが最近、このランサムウェアの日本語版がついに発見され、よりセキュリティに関する脅威が高まっています。

そこで、今回はランサムウェアに関して、以下の順に説明していきたいと思います。

１．ランサムウェアとは
２．感染するとどうなるのか
３．感染しないためには


１．ランサムウェアとは
ランサムウェアとは、「感染したPC内のファイルを暗号化してユーザが開けない状態にし、ファイルの復号を条件に身代金を要求してくるウイルス」のことです。
ランサム　＝　Ransome（身代金）の名がつく通り、データを"誘拐"し、"身代金"を要求してきます。

身代金の額にはばらつきはありますが、300～500ドル程度（日本円で3万～5万程度）が多いようです。
ランサムウェアに感染すると、ファイルが暗号化されてしまうだけでなく、アクセスすることができなくなってしまいます。ランサムウェアに感染したPCにユーザがアクセスすると、見るからにあやしい画面が表示され、以下のように表示されます（一部省略）。

引用：http://blog.goo.ne.jp/withmac/e/433478046341924e540df8254ef3f341


あなたのコンピュータ上のファイル（写真、動画、ドキュメントなど）は暗号化されました。

～省略～

暗号化は、このコンピュータで生成された固有のRSA2048ビットの公開鍵を用いて行なわれました。ファイルを復号するためには、秘密鍵を取得する必要があります。

秘密鍵は、インターネット上の秘密のサーバに置かれました。サーバはこのウィンドウで指定されている時刻を経過すると自動的に秘密鍵を破棄します。
そうなった場合は、誰であろうと決してファイルを元に戻すことが出来ません・・・

ファイルを元に戻すために、このコンピュータ用の秘密鍵を手に入れるためには、あなたは5万円を支払う必要があります。

～省略～

このソフトウェアを削除、あるいはダメージを与えようとすることは、サーバによる秘密鍵の即時破棄につながります。



上記の文章からもわかるように、内容としては

・お前の大事なデータは誘拐（暗号化）した！
・返して欲しければ身代金を払え！
・期限までに支払わなかったら、ただじゃおかないぞ！（データを復元できなくなる）
・変なこと（ソフトの削除など）をしてみようものなら、データは元に戻せなくなるぞ！

まさに文字通り、「データが誘拐」されてしまうのです。

個人情報流出問題にみる、標的型攻撃の脅威と情報セキュリティを考える上で大切なこと

こんにちは。

鷲尾です。

今は梅雨真っ盛りで、どうも天気がパッとしないですね。
天気だけでなく、湿度も高くてジトジトしていますが、実は湿度と気温は大きく関連しています。

なにをいまさらと思うかもしれませんが、湿度が高ければ高いほど暑く感じ、低ければ低いほど寒く感じます。夏は気温が高いうえに湿度も高く、冬は気温が低いのに乾燥していて湿度も低いため、より寒く感じるということなんですね。

ということは、室温をただ下げるのではなくて一緒に除湿機も使うとより涼しくなるということですね。（まぁエアコン自体、除湿もしてくれるんですけどね・・・）


さて、みなさんマイナンバー制度はもうご存知ですよね。
以前このブログでも軽く取り上げていますが、Googleトレンドを見てみると、ここ最近急に気になっている人が多いようです。

マイナンバーに関しては、先日の日本年金機構の個人情報125万件流出の件がありましたね。あれ、メールに記載されていた怪しい誘導URLをポチっと押してしまったことが直接の原因ではあるようですが、他にもまずいことがあったようですね。

とりあえず、今のところ今後のマイナンバー制度の施行スケジュールにあまり変化はないようですが、どうなんでしょう・・・


そこで今回は、日本年金機構の個人情報流出問題と照らし合わせながら、「標的型攻撃の脅威」と、「いかにサイバー攻撃に遭わないようにするか」、そして「情報セキュリティを考える上で大切なこと」について、書いていきたいと思います。


■標的型攻撃の脅威
今回の個人情報流出問題の原因は、"それっぽいメール"に書いてあった"それっぽいURL"を開いてしまったことが原因です。

ネット上では、「そんな怪しいURLすぐにわかるだろ」、「業務に関係ないメールだと気が付かないほうがおかしい」といった意見もみられます。確かに、標的型攻撃ではなく、不特定多数に送るような"明らかに怪しい内容のメール"であれば、すぐに気がついたかもしれません。

しかし標的型攻撃の恐ろしいところは、実在する会社、部署名、名前、それに送信先の名前（○○様　など、自分の名前）などが正確に記載してあることです。

普段やりとりしているお客様の名前や、会社の上司を名乗るメールで、内容もおかしくなく、添付されているファイル名もなんら不審に見えないメールが届いたとして、みなさんは本当に簡単にわかるでしょうか。

標的型攻撃で作成されるメールは非常に巧妙で、こちらがファイルを開くことになんら懸念がないよう、うまーく作られているのです。

【情報セキュリティ】 オリンピック開催にあわせて新設される無料Wi-Fiについて思うこと

こんにちは。

最近家庭用プラネタリウムを買って、部屋中に広がる星を見ながら涙を流している鷲尾です。


さて、先日発表されたApple Watchですが、みなさんはもう買いましたか？
一部では充電後が熱くて腕にまけない！なんて声もありましたが、あったらあったで便利なのではないかと思います。（私は買っていませんが・・・）

こういったウェアラブル端末も普通のスマホもそうですが、通常はWi-Fi接続されていることが前提です。買ったはいいけどオフラインでしか使いませんという人は、なかなかいないですよね。

みなさんご存知の通り、2020年には東京オリンピックが開催されます。
そこで政府は今、オリンピックに合わせて、無料のWi-Fiを整備しようとしています。
これに関しては様々な意見がありますが、今回はこのオリンピックに合わせて増える無料Wi-Fiに関して、書いていきたいと思います。


■そもそもなぜ増やすのか

2020年、オリンピック開催に合わせて、たくさんの外国人観光客が日本に押し寄せてくることが予想できます。一部では、外国人観光客が2000万人とまで言われています。
現在の日本の人口の約6分の1が日本に入ってくるわけです。それも関東に集中して、です。
今でも相当な量のトラフィックが発生している東京で、さらに数千万人規模の外国人がWi-Fi接続をした場合、今までどおり高速にインターネットは使えると思いますか？

答えはNOです。トラフィック（通信量）がいっぱいいっぱいになるのも、想像に難くありません。

【情報セキュリティ】電子署名とタイムスタンプで防止する４つの脅威

こんにちは。

満開の桜に心を癒やされている気がする鷲尾です。

今週から4月にかけて、桜のラッシュだそうです。
ぜひ土日には桜を見に行きたいですね。


さて、今回は前回の続き、電子署名についてです。
前回の内容はこちら

前回は、「もし公開鍵証明書が発行されていなかったら」といった場合を例に、公開鍵証明書の信頼性や必要性を紹介しました。

今回は電子署名ということで、電子署名とはどういったものなのか、電子署名によって何が出来るのかについて書きたいと思います。


■電子署名とは
前回も触れましたが、電子署名とデジタル署名の違いは、みなさんご存知でしょうか。デジタル署名？電子署名を英語で言っただけじゃないの？とお思いの方もいらっしゃるかもしれません。

電子署名とは、インターネット上で商取引を行う際に通信相手が本人であること、また通信内容が改ざんされていないことなどを電子的に証明するものです。早い話が現実世界での「ハンコを押す」、「サインをする」といったものと同じです。そういった行為の仕組み、その電子版が電子署名というわけです。この電子署名という仕組みを実現する最も有力な方法が、公開鍵暗号方式を使った「デジタル署名」なんです。このデジタル署名にも実は数種類ありまして、例として使用する公開鍵暗号方式の方式ごとに、

・RSA方式
・DSA方式
・ECDSA方式

などがあります。


■電子署名とタイムスタンプ
電子署名の仕組みは、様々な技術を組み合わせて実現されています。現実社会で一般的に「証拠」といわれるものを論じる際、多くは「いつ、だれが、なにを、どこで」だと思います。
「どこで」というのは物理的な場所だとして、この中で電子署名でカバーできるのは、実は「だれが、なにを」だけなんです。「いつ」というものは電子署名だけでは証明出来ないのです。そこで利用されているのが「タイムスタンプ」というものです。


■タイムスタンプ
タイムスタンプは、文字通り「時刻をスタンプ」し、「いつ、なにを」を証明するものです。作成された文書に「この日この時刻に、確かにこの文書は存在した：否認※」というものを証明することが出来ます。さらに、「この時刻以降、この文書は改ざんされていない：完全性」ということを証明することも出来ます。

タイムスタンプは、信頼できる第三者機関を通して「ハッシュ」という技術を使って、文書に付与されます。タイムスタンプを付与された文書は、電子署名によって「だれが、なにを」を証明し、さらに「いつ」も証明できるうえ、「否認」を防ぐことができるので、多くの場面で利用されています。

          

※参考：IPA　情処理推進機構　https://www.ipa.go.jp/files/000013707.pdf


■電子署名でできること
電子署名では、大きく以下の4つのことを防止することが出来ます。

１．なりすまし
有名なものはフィッシング詐欺などです。本物そっくりにつくられたHPなどで重要な情報を入力していますことにより、第三者に情報を知られてしまいます。しかし、こういったフィッシングサイトに飛んでしまう理由として、偽物のメールに記載してあるURLをクリックし、フィッシングサイトに飛んでしまうことが多いのです。そういった時に、偽物のメールに電子署名がされているのか、またその内容が正しいのかを確認することで、事前になりすましメールから身を守る事ができます。

２．改ざん
メールなどの内容が途中で書き換えられてしまうことです。例えば「料金は1,000円です」というメールを途中で書き換え、「料金は1,000,000円です」などとすることを言います。こういった場合は、メールに付与されている電子署名を確認します。電子署名を付与したメールには「ハッシュ値」という値が予め付与されており、文書の内容が変更されるとその値も変更されます。したがって、改ざん前のハッシュ値と比較して差異があった場合、途中で改ざんされたと判断できます。

３．否認
否認というのは、電子商取引等で、操作を行ったあとになって「やってないよ！」」と「操作したことを否認すること」です。これがなかなか厄介で、例えば株取引をしているとき、自分の操作によって大損をしたとします。もちろん、操作をなかったことになんて出来ません。しかしここで、自分が操作したにもかかわらず「そんな操作はしていない。だから株取引も無効だ」と、操作したことを認めない行為をする人がいます。これが否認です。

４．盗聴
ネット上での通信内容を、第三者が覗き見ることです。文書をやりとりする際に全く暗号化などをしていない場合、簡単に中身を覗き見ることが出来てしまいます。
しかし、電子署名を行っておくことで、第三者に覗き見られても、内容を見られることはありません。電子署名では、送り主が送る際に暗号化し、受け取り主が受け取った後に復号するためです。暗号化された文書を第三者が傍受したとしても、復号できず中身を見られることはありません。


電子署名という技術は、私達が安全にインターネットを利用するうえで無くてはならない存在です。
さらに今は当たり前のように誰もが電子商取引をします。もしネットバンキングのログインページが偽物だったら、もし重要な会社の資料を悪意のある第三者に見られてしまったら・・・

「電子商取引」というとなんだかビジネスマンや、専門家が行っているようなイメージを持つかもしれませんが、普段楽天やAmazonなどで買い物をするのも立派な電子商取引なんです。
自分はきっと大丈夫という慢心をせず、そういった危険もあるのだということを忘れないでほしいと思います。


- ちなみに -
特に否認に関しては、少し前に話題になったPC遠隔操作事件などでも、「私はやっていない」と言いはっていてなかなか決着がつきませんでしたよね。現在のIT系の犯罪は、実は紙媒体での証拠取り押さえというのは非常に少ないんだそうです。スマホに残っていた操作ログや、様々な機器を経由した時の通信ログ、GPSのログなどを調査し、証拠として扱われているようです。
常に持ち歩いているスマホには、様々な種類のデータが膨大に存在します。
こういったスマホの中に眠る電子的な証拠＝デジタル・フォレンジックというものについてもどこかの機会で触れたいと思います。

【情報セキュリティ】電子定款認証を実現する、公開鍵証明書とデジタル署名

こんにちは。

あっという間に1年が過ぎたことに動揺を隠せないでいる鷲尾です。


もう桜の季節ですね。桜の淡いピンク色を綺麗だと感じられる感性は、日本人独特だそうです。
世界中の人々に、桜の美しさを知ってもらいたいですね。


実は最近、ビジネス関連の用語で急激に検索されているワードがあるんです。


それは、「電子定款」です。

無料の公衆無線LANを利用する際の注意点と、想定される被害、その防ぎ方

こんにちは。

3月14日に開通した上野東京ラインに胸踊らせている鷲尾です。

【祝】2015年3月14日　上野東京ライン　開業！！


今はどこのサイトでも紹介されていますが、まずは説明を。

■上野東京ラインとは
これまでは上野駅が終点だった宇都宮線、高崎線、常磐線と、東京駅が終点だった東海道線を結ぶ、東北縦貫線（じゅうかんせん）の呼び名


上野東京ラインができることで、山手線や京浜東北線の混雑が緩和されるとされており、京浜東北線利用者の私はありがたい限りです。

ちなみにですが、上野東京ラインでは、【上野】-【東京】間に途中駅はありません。
残念ながら、御徒町、秋葉原、神田には停まりませんので、ご注意ください。

電車といえば、最近は電車内でも公衆無線LANが提供されていますよね。電車に限らず、ホテルやカフェ、商業施設になんかもあたりまえのように無料の公衆無線LANがあります。

こういった無料の公衆無線LANを利用する際、みなさんは個人情報の流出の危険性を考えたことはありますか？

SSLを実現する影の立役者「ハイブリッド暗号方式」

こんにちは。

いつかは君も花粉症になるよと言われ、毎日ビクビクしている鷲尾です。


先月2月17日に、IPA（情報処理推進機構）から「情報セキュリティの脅威に対する意識調査」と「情報セキュリティの倫理に対する意識調査」の最新結果が発表されました。
パスワードには、「誕生日など推測されやすいものは避けている」、「わかりにくい文字列を設定している」という割合は半数を超えているものの、サービス毎にパスワードを変えているという割合は低く、特に10代では約16％に留まっています。

幼いころからスマートフォンなどを通じてインターネットに慣れているせいか、若い世代ではセキュリティに対する意識やモラルが低下しているように見えます。今はそういう時代なので仕方がない部分もあるかもしれませんが、画面の向こうには無数のサイバー犯罪者が潜んでいます。

「簡単なパスワードを設定していると、いつ悪用されるかわからない」ということを、若い世代の方たちにもきちっと知っておいていただきたいですね。


そこで今回は、数あるセキュリティ技術の中からWebサービスで使用される「https」を例に"ハイブリッド暗号方式"について書きたいと思います。

マイナンバー制度をきっかけに、バイオメトリクス認証について考えてみる

みなさんこんにちは。

先日発表された新型VAIOが気になっている鷲尾です。

最近はAndroidとWindowsがデュアルブートできるタブレットが出てきていますね。

以前ASUSでもそういったものがあって、しばらく見ないと思っていたんですが、今はたくさん見かけます。VAIOもいいし、デュアルブートタブレットもいい・・・

どうしようかなと悩んでいる時が一番楽しい時間でもあるのですが。

さて、みなさん、「マイナンバー制度」って、ご存知でしょうか。ニュースで耳にしたことがあるようなないような・・という方が多いと思います。

マイナンバー制度とは「住民票を持っている人にその人専用の番号を割り当てて、社会保障や税、災害対策の分野で、個人の情報を効率的に管理しましょう」というものです。行政事務などを番号でやりとりすることが可能になるので、行政事務の効率化、行政や自治体との相互連携の円滑化といったメリットが見込めます。
また、振り当てられた番号は原則変更されませんので、一度振り当てられた番号は一生使います。今後は年金の受け取りや医療保険の申請、確定申告時などに、マイナンバーを記載することになっていくでしょう。

自分専用の番号で、いろいろな事ができるようになり、非常に便利になるマイナンバー制度ですが、ここで２つ疑問が湧きます。


１．他の国でもやっているのか、やっているのであれば問題は起きていないのだろうか
２．情報漏洩など、セキュリティ上の問題はないのか

→実は外国ではすでに複数の国が導入しています。例えばアメリカは、いち早くマイナンバー制度を導入した、言わば"マイナンバー先進国"です。（アメリカでは、ソーシャルセキュリティナンバーと呼びます）また、仕組みの呼び方は国によって様々ですが、ドイツや韓国、インドなどでも、この仕組みは導入されています。

マイナンバー制度を導入しているアメリカですが、実はIDの詐欺による問題もたくさん起きています。
例えば、"不法移民が職を見つけるためにIDを偽造"したり、"亡くなった家族になりすまして年金を受け取り続ける"といったものまで、様々です。


高度なセキュリティ技術をもかいくぐる、こういった"偽造"や"なりすまし"は、どうすれば防止できるのでしょうか。また、防止できるのであれば、どのような方法があるのでしょうか。


そこで今回は、パスワードを使った一般的なセキュリティ技術ではなく、少し趣向を凝らして、"バイオメトリクス認証"について考えてみたいと思います。