フィッシング – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 情報セキュリティの基本は同じ https://www.trilogyforce.com/blog/the-basics-of-information-security-are-the-same/ https://www.trilogyforce.com/blog/the-basics-of-information-security-are-the-same/#respond Thu, 30 May 2019 09:43:04 +0900 https://www.trilogyforce.com/blog/?p=7541 今月の8日~10日、東京ビッグサイトで『第16回 情報セキュリティ EXPO』が開催され、IPA(独立行政法人情報処理推進機構)のブースでは14年分の『情報セキュリティ10大脅威』を振り返った脅威の傾向がプレゼンテーションされました。

情報セキュリティの基本は同じ

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneがアメリカで発売されたのが2007年、約12年前ですから14年前となるとスマートフォンやタブレットはなく、フィーチャーフォンの時代でした。

しかし、家庭向けの光回線も既に世に出ており、日本のインターネット人口は70%を超えるまで普及していました。

ということは、14年前には既にインターネット上の脅威にさらされていたということになります。

情報セキュリティの基本は今も昔も同じ

東京ビッグサイトでプレゼンテーションを行ったIPA(独立行政法人情報処理推進機構)の研究員はこのように語ったそうです。

14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ。

その後、スマートフォンやタブレット、IoT機器の登場などにより環境は拡大し、脅威にさらされるものが増えた=標的が増えたということはありますが、IPAの研究員はこのようにも述べています。

多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない。

そして、以下の5つの対策を挙げています。

・ソフトウェアの更新

・セキュリティソフトの利用

・パスワードの管理、認証の強化

・設定の見直し

・脅威、手口を知る

この5つです。

つまり、技術の進化とともに攻撃手法はどんどん巧妙になってきてはいるものの、それへの対策の基本は同じということです。

今も昔も情報セキュリティの基本は同じなのです。

]]> https://www.trilogyforce.com/blog/the-basics-of-information-security-are-the-same/feed/ 0 EC-CUBE3系はアップデートを https://www.trilogyforce.com/blog/update-ec-cube-3-series/ https://www.trilogyforce.com/blog/update-ec-cube-3-series/#respond Thu, 29 Nov 2018 17:12:34 +0900 https://www.trilogyforce.com/blog/?p=6803 インターネットショップ構築に使われる『EC-CUBE』のバージョン3系において脆弱性が見つかっています。

EC-CUBE 3系に脆弱性

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

EC-CUBE 3系を使われている方、脆弱性が見つかっていますので最新版へアップデートされた方が良いです。

EC-CUBE3系はアップデートされたし

今回見つかったEC-CUBE 3系の脆弱性は『オープンリダイレクト』の脆弱性で、細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性があるとされています。

この不具合が存在するEC-CUBEのバージョンは、最新バージョンを除くEC-CUBE 3系のすべてのバージョンです。

危険度は高くないようですが、早めに対応されることが望ましいと思われます。

対応方法は、

1.EC-CUBE 3.0.17 にバージョンアップする

2.修正用の差分ファイルをダウンロードして反映する

3.修正箇所のソースコード差分を確認し必要に応じて適用する

となります。

また、EC-CUBE 3.0.3以前を使われている場合、この脆弱性以外にも複数の脆弱性が存在しているため、EC-CUBE 3.0.4以上のバージョンアップした上で今回の修正を反映する必要があります。

以上、ご参考までに。

]]> https://www.trilogyforce.com/blog/update-ec-cube-3-series/feed/ 0 DNSSECを使えるなら使うべき https://www.trilogyforce.com/blog/should-be-used-if-the-use-of-the-dnssec/ https://www.trilogyforce.com/blog/should-be-used-if-the-use-of-the-dnssec/#respond Fri, 08 Jan 2016 11:45:27 +0900 https://www.trilogyforce.com/blog/?p=1584 DNSSEC(Domain Name System Security Extensions)という言葉、あまり聞きなれない

言葉かと思いますが、WEBの世界も今後はこれも取り入れる時代になってきています。

シールド保護

皆さん、こんにちは。

業務コンサルタントの高橋です。

WEBの世界でもいろいろな手段で偽装などが行われ、日々危険にさらされていることは

ご承知の通りです。

そこで、今回は少々見えにくい部分の対策に関してお話ししたいと思います。

まず、DNS(Domain Name System)というのは、ドメイン(www.trilogyforce.com等)

から対象のサーバーのIPアドレス(住所のようなもの)を教えてくれるもので、WEBの

閲覧やメールを使うためには欠かせないものです。

そして、そのDNSの応答はあまり守られていない、つまり、答えが正しいものかどうかの

チェックを行っていません。

そのため、そこについて攻撃してくることも発見されています。

要は、偽装された応答を紛れ込ませておいて、偽サイトのサーバーへ誘導させてしまう

ことも起きているのです。

こういったこともフィッシング被害などの原因になっています。

そこで役立つのがDNSSEC(Domain Name System Security Extensions)というものです。

これを使うことにより、ユーザーがWEBサイトを訪れようとした際に行われるDNS応答が

正しいものであるかを鍵と署名をつけて返します。

単純に言えば、上記のような応答の完全性を検証してくれることを各段階のサーバーにて

行ってくれることで守られるということです。

ですから偽装されていれば不正な応答ということで判断し、名前解決失敗としてエラーを

返すことになります。

少々難しい話しではありますが、認識していただきたいのは、できる限りユーザーを守る

処置も考えていただきたいということです。

今ご覧いただいているこのウェブサイト、正確にはドメインですが、この trilogyforce.com

ではDNSSECを試験的に取り入れています。

皆さんが使われているホスティング会社やドメインを管理しているレジストラーが

DNSSECに対応しているのであれば、是非採用してみてください。

]]> https://www.trilogyforce.com/blog/should-be-used-if-the-use-of-the-dnssec/feed/ 0