111929 ランダム
 ホーム | 日記 | プロフィール 【ケータイで見る】 【ログイン】

IPA情報セキュリティブログ

楽天プロフィール

設定されていません

カレンダー

カテゴリ

バックナンバー

2014.10
2014.09
2014.08
IPA情報セキュリティブログでは、IPAセキュリティセンターのメンバーが情報セキュリティトピックスについてさまざまな角度で解説・コメントをします。
    【主なトピックス】
  • コンピュータウイルスや不正アクセスへの対策
  • 情報セキュリティに関する調査結果の解説
  • 情報セキュリティ対策に役立つツールのご紹介
  • セミナー・イベント開催のお知らせ
【注意事項】
本ブログに記載の内容はIPAの公式見解だけではなく、個人の見解を含むものです。記述内容によって生じる被害については、IPAはいかなる責任も負わないことをご了承ください。
2014.08.20
楽天プロフィール XML
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

皆さん、こんにちは。今回は、最近ちょっとした話題になっている、あるスマホアプリについて書こうと思います。
今回ご紹介するアプリは、「FireChat」というもの。iPhone用とAndroid用があります。携帯電話のネットワークや無線LANなどインターネットを介して、世界中にいるユーザーとコミュニケーションが可能です。そして、このアプリの最大の特徴は、「携帯電話のネットワークや無線LANなどインターネットにつながっていない場合でも他のスマホとコミュニケーションが出来るということ」だと思います。下の画像は、近隣のスマホ同士で会話をしている様子です。近くに3人以上居ても、全員が同時に会話出来ます。写真を共有することも出来ます。LINEで言うところの「グループトーク」と同じです。

20140820_1

では、このアプリは、携帯電話のネットワークや無線LANなどインターネットにつながっていない場合はどうやって他のスマホと通信しているのでしょうか。正解は、「Bluetooth」という短距離無線通信技術、です!! 初めて聞く名前だという方もいるかもしれません。が、Wi-Fiなど無線LANと同様に、広く身近に使われている技術です。スマホで、ワイヤレスのヘッドホンやヘッドセットを使っている場合、それはきっとBluetoothでつながっています。自動車内で使うハンズフリー電話も、Bluetoothでつながっています。その他、パソコンで使っているワイヤレスマウスの中には、Bluetoothでつながっているものもあります。Bluetoothで近隣のスマホと会話する場合は、開発者の公式コメントでは「現在位置から70メートル以内が最適」とのこと。ここでのポイントは、全てのスマホが近隣に集まっている必要は無い、ということです。例えば、十数メートルおきに「FireChat」入りスマホを持った人を並べておけば、その全員が「FireChat」でコミュニケーション出来ます。ケータイの電波が届かない場合やインターネットにつながらない状況でも、端末同士で通信のネットワークを形成することが出来るんです。何だかスゴいですね!
ケータイの電波や無線LANが無くても街中、電車内、イベント会場内などで、至近距離でコミュニケーションが出来るということで、何だか楽しみが広がりそうです。例えば、AKB48のライブや総選挙、握手会では非常にたくさんのファンが集まりますから、携帯電話がつながりにくい、インターネットがつながりにくい、という状況に陥りがちですが、この「FireChat」があれば、そんなことなどおかまいなしに、近隣の仲間とスマホを使ってチャットで連絡を取り合うことが可能になります。便利ですね! また、山の奥深くへのハイキングではケータイの電波が届かないこともしばしばですが、「FireChat」があれば何とかコミュニケーションが取れそうですね!!
そもそもこの「FireChat」、ユーザー登録が必要ありません。IDやパスワードを覚えておく必要が無いので、ありがたいですね! しかしその反面、匿名性が非常に強いということになります。自分が誰なのか、ということを特定されにくいということです。このことを悪用した行為に気を付ける必要があります。例えば、知り合い同士でチャットをしているつもりでも、実はそこに、見知らぬ人が紛れ込んでいる可能性があります。発言しなければニックネームなどは画面に表示されません。知らぬ間に、仲間同士の会話を全て聞かれているかもしれません! 上で紹介したチャットの様子のように、「○人がおしゃべりをしている」いう表示の人数表示に注目ですね。そこに、想定以上の人数が表示されているのであれば、知らない人が紛れ込んでいるということです。知らない人が紛れ込んでいる場合でも、残念ながらそれを排除する術はありません。プライベートな情報や秘密の情報などは話さない、という対策が必須です。
匿名、ということで油断しているアナタ! 特に女性! 街中でふと「FireChat」を起動したら近くに居る誰かから「FireChat」で話し掛けられるかもしれません。その際、気軽にトークに応じていると・・・ 突然、誰かからリアルに声を掛けられるかもしれません!つまり、ナンパです!キタ━━ヽ(゚∀゚ )ノ━━!!!! 匿名のはずなのに、なぜでしょう。それは、Bluetoothが短距離通信だというところがミソです。つまり、通信相手は至近距離に居るのです。人混みではさすがに人物特定は難しいかもしれませんが、近くでスマホをいじっている人が居れば、それは「FireChat」でチャットしている相手かもしれませんので、狙って声を掛けてみる、ということです。このアプリに限ったことではありませんが、見知らぬ人とのコミュニケーションには、常に警戒が必要です。プライベートな情報は、なるべく言わないようにする、時には事実と異なることを言ってかわすワザも必要なのではないでしょうか(嘘も方便と言いますし)。

あと、最近追加された機能のようですが、アプリをバージョンアップしたところ、このような画面が出て来ました。

20140820_2

ふむふむ。どうやら、スマホの位置情報を拾うみたいですね。気になるなら、位置情報の利用を許可しないことですね。さらに、こんな画面も出て来ました・・・

20140820_3

何だか、アプリを起動していなくても「FireChat」が近隣のBluetooth端末と通信するようなことが書かれていますね。詳細は検証してませんが(すみません)、「FireChat」を起動していない場合でも、「FireChat」ネットワークの一員として動作して他の端末同士の「FireChat」通信の中継をするのかもしれません。これも何だか、自分の知らぬ間に悪事に加担している、ということにならないか心配な機能ですね。キモチワルイ、と思った人は、迷わず不許可、ですね!
ということで、気になるアプリ「FireChat」をご紹介して来ましたが、画期的で便利である反面、気を付けて使わないと無用のトラブルに巻き込まれてしまうかもしれません。使う場合は、うまく活用しましょう。

ついでに、もう1つ面白いアプリを紹介しましょう。近くの人とつながれるSNSアプリ、と言えば、2013年にリリースされた「FC2 Talk」があります。このアプリは、地図上にユーザーの位置情報が表示されるということが特徴です。つまり、近くに居る相手を選んで、コミュニケーション出来るのです。
20140820_4

位置情報とプロフィール写真をもとに、コミュニケーションする相手を探すことが出来ます。ここまで来ると、もはやSNSなのか何なのかが分からなくなります。やっぱり、出会い系アプリ? このアプリはユーザー登録する必要はありますが、まぁ匿名性はなんとか確保されています(が、悪いことしたらすぐにバレますのでご注意を)。
このアプリの注目は、何と言っても位置情報を使うこと。近くに居る相手を探す時にはもちろん、超絶便利なのですが、気を付けるべきこともあります。例えば、日中、仕事中に職場でこのアプリをずっと起動しっぱなしだと、勤務先がバレてしまうことがあるでしょう。その瞬間にすぐには判別出来なくても、継続してその場所に居ることが分かられると、色々と困ることが出て来るかも! って、後ろめたいことをしないのが一番なんですけどね!(^v^) ただ、この位置情報の特定については、しばらくしてから新しい機能が実装されました。なんと、「位置ずらし」機能です(笑) そこまでするか?!という気分です。次の絵を見てください。これによれば、自分の居場所を最大2000mずらすことが出来るようです。また、「プライバシーエリア」なるものを設定でき、この設定地点から半径2000m以内にいる場合は、自分の位置情報は公開されないとのこと。いやはやなんとも。

20140820_5

このように、スマホ界にはコミュニケーションアプリがたくさん存在していますが、使用の際にはアプリ毎の特性、特徴を正しく理解して欲しいと思います。また、情報モラルを意識して節度を守った行動をお願いしたいものです。





楽天SocialNewsに投稿!

最終更新日  2014.08.20 11:21:58

2014.07.16
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

皆さん、こんにちは。今回も、引き続きスマホのネタでいきたいと思います。今までの記事をお読みになった皆さんは、自身のスマホに怪しいアプリを勝手に入れさせない、画面ロックを掛けている、さらにスマホに紐付いているアカウント情報の管理をしっかりとされていることと思います!

さて、ここまで対策していれば、もうスマホのセキュリティは万全・・・という訳でもないんですよ、奥さん!今回は、「えぇ!?こんなことまで気にしなきゃいけないの?」と叫んでしまいたくなるくらい、最も原始的なことにまで言及しようと思います。皆さん、結構油断しているんですよねぇ~

その問題とは・・・スマホでコッソリ見ていた秘密のサイトやら、LINEでの彼女とのやり取りやら、彼氏へのラブラブメールやら、誰かにその内容を知られていたら、、どうですか?イヤですよね!キモチワルイですよね!

では、どんな状況で、これら秘密のことがバレてしまうのでしょうか。実際の例を見ていきましょう。

以下は、私の通勤途中の一場面です。
20140716_01

これは、東北新幹線E5系「はやぶさ」ですね(特に意味はありません)。私が7A席に座り、8E席でパソコンを操作している人を見ている図です。iPhoneで撮影しました(すみません、盗 撮です汗)。最近のパソコンは大画面ですので、どんなサイトを見ているのか、どんな設計図面を見ているのかが、何となく分かってしまったりします。これが、タブレットでも、似た状況です。私は今まで新幹線車内で、大変に重要な社内メールやら客先に提示する仕様書やら提案書やら、色んなものを見てきました。社外秘情報ですよね・・ 身に覚えのある方は、今後、気を付けましょう!機密情報がバレるバレないの話以前に、公衆の面前で機密文書を広げて見ているなんて、会社の信用問題にも関わってくると思います。パソコンでは一般的に使われてきたプライバシーフィルターですが、最近ではスマートフォンやタブレット用の物も販売されています。覗き見が気になる方は、使ってみてはいかがでしょうか。

さて、次はこれを見てください。
20140716_02
これは、東北新幹線E6系「こまち」ですね(特に意味はありません)。前列に座っている人が、座席を大きくリクライニングさせると、後列に座っている人はその隙間から色々と覗けてしまいます。あ、いつもこんなことをしている訳ではありませんよ!あくまでも、ネタ作りのためです。本気で覗けば、前列に座っている人のスマホの画面がよーーく見えます。どんなサイトを見ているか、LINEでどんなやり取りをしているか、一言一句、全部丸分かりです!以前このような状況で、前列に座っている人がアダルト サイトを見ている場面に出会ったことがあります。私としては、「ワンクリック請求サイト」の罠に引っ掛からないかとヒヤヒヤして見ていましたが、その方は大宮で降りてしまったので、その後どうなったか・・・非常に心配です。声を掛けてあげた方が良かったでしょうか・・・ とにかく、後方からの覗き見に、注意!です。

さぁ、最後はこれを見てください。
20140716_03

これは、上越新幹線E4系「Maxとき」ですね(特に意味はありません)。E4系は、今では東北新幹線で乗ることができなくなってしまったので残念です(ますます関係無い)。この車両は2階建て、かつ窓が大きいのが特徴です。2列の座席に、1枚のガラス窓、という配置です。こうなると、リクライニングした座席の隙間から・・でなくても、夜だとこのように窓ガラスに反射したスマホの画面を覗くことが出来てしまいます。この時、前列に座っていた方は女性だったので、さすがにジロジロ見るのは控えました(笑)。本気で覗けば、結構見えちゃいますよ。周囲から見たら、かなり怪しい図になっていることは間違いないですが。やはり、後ろからの目に注意!です。

いかがでしたか?ここで紹介した写真を見ただけでも、スマホやタブレットの画面は周囲からよく覗けてしまうことがお分かりかと思います。実際にこのような場面に遭遇すると、想像以上によく見えてしまうことが実感できると思います。後ろからでなくても、通勤電車で隣に座っている人が操作するスマホやタブレットの画面も、たとえ意識していなくても目に入ってきてしまうものです。自分が思っている以上に、スマホの画面はジロジロと見られているものだという意識を持つべきでしょう。中には、隣に座っている人が操作するスマホの画面を横目でガン見したり、あからさまに覗きこんだりしているオヂサンを見かけたこともあります。覗き見注意!です。
「自分しか知らないはずの情報を、他人が知っている・・・ような気がする!不正アクセス?」などと疑う前に、まずは自身が不注意な行動を取っていないか、思い返してみましょう。実は、横や後ろから覗き見された結果かもしれませんよ。





楽天SocialNewsに投稿!

最終更新日  2014.07.16 17:09:47

2014.06.23
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

皆さん、こんにちは。今回も、引き続きスマホのネタでいきたいと思います。今までの記事をお読みになった皆さんは、自身のスマホに怪しいアプリを勝手に入れさせない、画面ロックを掛けている、さらにスマホに紐付いているアカウント情報の管理をしっかりとされていることと思います!

さて、おかしなアプリを入れられないように気を付けていれば、ストーカー被害には遭わない・・・・訳じゃないんですよ、奥さん!まだまだ気を付けなければならないことがあります。それは、「スマートフォンに紐付いているアカウント情報」です。具体的に言うと、iPhoneの場合はApple IDとそのパスワード。Androidの場合はGoogleアカウント、すなわちGmailアドレスとそのパスワード、です。

それでは、「スマートフォンに紐付いているアカウント情報」が他人に知られていると、どんなことが起きるのでしょうか。例を見ていきましょう。

iPhoneを使っている人のApple IDとそのパスワードが分かれば、インターネット上にあるApple社の「iCloud」サイトにログイン出来ます。以下が、パソコンのブラウザからログインした様子です。
20140623_01

「メール」「連絡先」「カレンダー」「メモ」「iPhoneを探す」などというアイコンが並んでいます。勘の鋭い読者さんなら、もうお気付きですよね!そうです。iPhoneが手元に無くても、パソコン上でiPhoneに届いたメールを読めたりiPhoneの連絡先を見たりカレンダーで予定を確認したりすることが出来るんです。これは、本来はスマホの持ち主のための機能ですが、Apple IDとそのパスワードを知っている人であれば、誰でも使えてしまいます。例えば、「カレンダー」や「iPhoneを探す」をクリックすると、以下のような画面が表示されます。
20140623_02&03

これらの画面を見てお分かりのように、自分のスケジュールや現在地がバレバレです。もし、ストーカーさんがこんな情報を手に入れていたら・・・怖いですね!!そうならないためにも、Apple IDのパスワードは、決して他人に教えてはいけません。

次にAndroidの場合はどうでしょうか。Googleアカウントは、Googleの様々なサービスに共通で使われます。つまり、Googleアカウント情報(Gmailアドレスとそのパスワード)が誰かに知られれば、Androidスマホが手元に無くても、パソコン上でGoogleの様々なサービスが勝手に使われてしまうということは、想像に難くないですね。以下に、例を示します。

メールを読まれたり・・・
20140623_03

スケジュールを見られたり・・・
20140623_04

現在地を知られたり・・・
20140623_05

これだけお見せすれば、十分に恐ろしさが分かったと思います。が、あえてもっと見せちゃいます。過去の移動履歴まで見られちゃうのです!! ※注)これらは、全て筆者の出張の軌跡です(笑)。
20140623_06

こうならないためにも、Apple ID同様、Googleアカウント情報、特にGmailのパスワードは絶対に他人に教えてはいけません。

どうですか?「スマートフォンに紐付いているアカウント情報」が他人に知られてしまうと、もうそれだけでストーカーされまくりだということがお分かりいただけたかと思います。対策としては、前述したように、他人にアカウント情報、特にパスワードは教えてはならないということです。

でも、iPhoneの場合は、アプリをインストールしようとすると必ずパスワードを入力する必要があります。もし、他人にアプリのインストールを依頼する必要がある場合はどうしましょう?その一方でAndroidの場合は、スマホの初期設定の時くらいしかパスワードを入力する機会は無いでしょう。でも、スマホを買って最初から設定をお願いしちゃう場合はパスワードを知らせる必要があります。どうしたら良いでしょうか。
答えの一例を挙げておきます。例えば・・・
  • パスワードはスマホの持ち主本人が入力するようにする
  • パスワードをあらかじめ仮のものに変更しておいた上でスマホを他人に操作してもらい、その後、また元のパスワードに戻す
というようにすると良いでしょう。今後のために、パスワード変更の手続き方法をあらかじめ調べておくと良いでしょう。

今回は、ここまで!・・と言いたいところですが、まだ終わりじゃないんですよ、奥さん!言うまでもありませんが、推測が容易な文字列や桁数が少ない文字列は、パスワードにしてはいけません。総当たり攻撃や辞書攻撃によって、簡単に解読されてしまいます。また、パスワードを他人に教える訳ないじゃん!って人でも、油断しがちなのが「パスワードの使い回し」です。最近、パスワードリスト攻撃による被害報道が相次いでいます。パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを他のサイトのログイン画面で入力することで、ウェブサイトにログインを試みる手口です(図参照)。
20140623_07

一般的には、セキュリティ対策が不十分であるサイトが狙われて奪われたIDとパスワードが、他の有名サイトなどでログイン試行されることが多いです。みなさん、たくさんのウェブサービスをお使いでしょうが、パスワードの使い回しは避けましょうね!以下の情報を参考にしてください。

IPA:2013年8月の呼びかけ
「 全てのインターネットサービスで異なるパスワードを! 」
https://www.ipa.go.jp/security/txt/2013/08outline.html





楽天SocialNewsに投稿!

最終更新日  2014.07.16 17:03:49

2014.06.04
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

皆さんこんにちは。今回は、「『IPA 情報セキュリティ安心相談窓口』のご紹介」(http://plaza.rakuten.co.jp/ipablog/diary/201403120000/)でチラっとネタ出しした「ワンクリック請求」について、詳しくツッコんで行きたいと思います! 
「ワンクリック請求」とは、「パソコンでアダルト(動画)サイトを見ていて、無料だと思って先へ先へとクリックして進んで行った末に、いつの間にか有料サイトに登録されたことになってしまい、高額の料金を請求される」というものです。この手口の歴史は古く、2004年頃には「登録しますか? はい」のボタンを1回クリック(ワンクリック)しただけでその後の再確認もなく、いきなりアダルト サイトに会員登録された、との事例が報告されていました。その後、年齢確認・登録確認・登録最終確認、といったように、複数回クリックさせる手口が常套化しましたが、IPAではそのルーツである「ワンクリック」という呼び名を継続して使用しています。パソコンだけでなく、従来型の携帯電話(いわゆるガラケー)でも、同様の手口に引っ掛かってしまう利用者もいました。

2005年になると、ウイルスを悪用する手口が出現しました。ワンクリック請求サイトを見ていてウイルスに感染してしまうと、なんと、数分おきにパソコン上に「有料アダルト サイトのご利用ありがとうございます」などというウィンドウが出現し、何度消しても出現し続けることになります。最近の例では、「支払期日まであと○○時間△△分□□秒」などとカウントダウン表示も出て来るため、当事者としては焦りまくってしまうようです。そして、無視しようにも無視できなくなり、泣く泣く料金を支払ってしまうことになるようです。IPAに寄せられた相談の中には、一家の大黒柱であるお父さんが家族で共用しているパソコンでワンクリック請求サイトの罠に引っ掛かってしまい、家族にバレるのを恐れるあまり、すぐにお金で解決した・・というものもありました。他の事例では、お父さんが仕事を終え帰宅後、家族が寝静まった後にワンクリック請求の罠に引っ掛かってしまいそのまま放置、翌朝、奥さんがパソコンを起動したらアダルト サイトの料金請求画面が出て来てびっくり!というもののありました。

「ワンクリック請求」の被害は、かれこれ10年近く続いており、今もなお多くの相談がIPAに寄せられます。一頃よりも少なくなったとは言え、2013年は合計3287件の相談がありました。なぜ、被害は無くならないのでしょうか。その謎に迫りたいと思います。

ワンクリック請求サイトに行ってしまう原因としては、IPAに寄せられる相談から推測するに、Yahoo!やGoogleなどの検索サイトで「アダルト」などという単語で検索し、その検索結果からクリックしてたどり着くケースが多いものと思われます。悪質なアダルト サイトばかりではありませんが、残念ながら悪者はこうした利用者の行動を先読みして罠を用意しています。サイト運営業者側では、検索結果の上位にランクされるように、SEO対策などを実施しているようです。よって、検索結果を上から順にクリックしていくような人は、引っ掛かってしまう可能性が高まります。ただ、アダルト サイトに行ってしまったら、即登録完了になる訳ではありません。

検索結果の上位に並ぶワンクリック請求サイトは、いわゆるポータルサイトとなっており、様々なワンクリック請求サイトへの入口になっています。そこには、「無料」の文字があり、小さなサムネイル画像とともに、たくさんのサイトが紹介されています。中には、エッチなアニメーションGIF画像が貼り付けられているため、より強く視覚的刺激を受けてしまい、思わずクリックしたくなることでしょう・・ サムネイル画像をクリックすると、ワンクリック請求サイトにジャンプします。そこには、YouTube風の動画再生ページが表示されていることがほとんどであり、もはや「無料」の文字はありません。再生ボタンをクリックすれば、アダルト 動画が再生される・・と思いきや、まだやることがあります。そう簡単には、アダルト 動画は観られないのです! 多くの場合、「20歳以上ですか?」「利用規約を読みましたか?」という設問とともに、大きく「はい」「いいえ」ボタンがあります。実は、利用規約をよく読むと、そこには「有料サイトである」旨が書かれています。このように、サイト運営業者側ではあたかも「詐欺サイトではないよ」と主張しているようです。こうして正しいサイトであると装うやり方が、ワンクリック請求サイトが駆逐されない理由の一つではないかと思われます。なぜなら、違法性があると判断し得る材料がほとんど無いからです。利用者としては、利用規約をよく読めば被害を未然に防ぐことができますが、残念なことに、ほとんどの利用者は読まずに、安易に「はい」をクリックして先に進んでしまうようです。そりゃぁ、皆さん、早くアダルト 動画を観たいからですね!

「はい」をクリックした結果、何かファイルをダウンロードする画面になります。実はこれはウイルスをダウンロードしようとしている「セキュリティの警告」画面なのですが、ほとんどの利用者は、あれこれ焦らされてようやく出てきた画面に、「やっとアダルト 動画キタ━━(゜∀゜)━━!!!!」とばかりに、何の迷いもなく「実行」ボタンをクリックしてしまうようです。この「焦らし」も、利用者の注意を散漫にするためのテクニックではないかと推測します。「実行」ボタンをクリックした結果、ウイルスによってパソコンの設定を勝手に変えられ、数分おきに料金請求画面が出現することになってしまいます。しかしながら、この後、実際にアダルト 動画が観られるようになるのです! つまり、お金だけ取って何も観られない詐欺サイトではないよ!ということです。ここまで来ると、まんまと罠にハマってしまった利用者は、自分がたどって来た道を初めから再度確認するようです。その結果、「あ、利用規約読めって書いてる」「あぁ、ここに有料って書いてあるじゃん」と、考えれば考えるほど自分が悪いように思えてくるのではないでしょうか。そのため、観念してお金を払ってしまう利用者が後を絶たない、という仕掛けです。お金を払うと、料金請求画面が出て来なくなる、という、相談者からの声もありました。IPAでは詳細まで調査していませんが、サーバー側で、何らかの形でしっかりと利用者管理をしているようです。

10年経ってなお無くならないこの手口。理由について、まとめてみます。
  • こうした手口があるということについて、周知がいまいち行き届いていない
  • 利用者がたどるであろう道に先回りされて罠が仕掛けられている
  • 当該アダルト サイトについて、明らかな違法性を問うだけの材料に欠ける
  • アダルトのネタである上、利用者が焦らされて注意散漫にさせられる
  • お金を払ってしまう人がいる
サイトが閉鎖されない限り、利用者側で防衛する必要があります。IPAに寄せられる相談では、圧倒的に「こんな手口があるとは知らなかった」というものが多いです。中には「長年勤めた会社を定年退職し、退職金で念願の自分専用のパソコンを買った。インターネット回線も新規で契約。自宅でインターネットにつないだ初日に、『アダルト』と検索して・・料金請求画面が消えなくなりました」という、笑うに笑えないものも珍しくありません。引っ掛かってしまうのは、永遠の初心者。そういった人たちに、被害に遭う前に注意喚起情報を伝えたい。IPAでは、継続してワンクリック請求問題に向き合っていきます。





楽天SocialNewsに投稿!

最終更新日  2014.06.30 21:32:51

2014.05.02
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

2014年4月に、元交際相手女性のスマホにインストールしたアプリによって行動を監視するなどの悪事を働いた疑いがあるとして、男が逮捕されました。使われたアプリは、本来はスマホ持ち主本人が使うことを想定して開発された、「盗難・紛失対策アプリ」でした。かなり以前から正規のアプリマーケットであるGoogle Playで配布されており、決して不正なものではない・・はずです(汗)。スマホをどこかに置き忘れた場合でも、あらかじめ利用設定しておけば、パソコンなど他の端末からそのスマホの現在地などを知ることが出来るため取り戻せる可能性が高まる、という仕掛けです。

ところで、そのアプリってどんな機能を持っているんでしょう? 皆さん、知りたくありませんか? 主な機能は以下の通りです!

  • スマホの現在地、移動経路を記録する。
  • スマホに現在挿されているSIMカードの電話番号を読み取る。
  • スマホをロックする。
  • スマホ内部のデータやメモリカード内のデータを全消去する。
  • スマホ画面に任意のメッセージを表示する。
  • スマホから任意の番号宛に電話を掛けたりSMSを送ったりする。
  • スマホ内蔵カメラで写真や動画を撮る。
  • スマホ内蔵マイクで周囲の音声を録音する。
  • 電話の発着信履歴を取得する。
  • スマホのアプリ一覧画面から、自分のアイコンを隠す。
  • スマホから自らがアンインストールされることを防ぐ。

どうですか? スゴイですよね。アプリをインストールした人は、ネットに繋がっているパソコンから、上記の機能を使うことが出来ます。すなわち、ネットに繋がっているパソコンから、手元に無いスマホを操ることが出来る、ということです。確かに、これだけの機能があれば自分のスマホを無くしてしまっても、かなり心強いですね。たとえスマホが手元に戻って来ないとしても、内部の情報を全て消去してしまうことで、情報漏えいの被害だけは避けることが出来ます。つまり、正しく使えば非常に便利なアプリだということがお分かりいただけたと思います。

しかーし! 自分のスマホに、このアプリが何者かによって勝手にインストールされていたとしたら、どうでしょう。考えただけでコワいですねぇ~。自分のスマホがスパイになっていて、常に自分の行動が誰かに見張られていると言っても過言ではありません。今回の事件は、まさにこれが現実になったということです。従来型の携帯電話では、起こり得なかったことです。今回の事件の容疑者は、このアプリをスマホの持ち主の許可を得ることなく勝手にインストールしていたとのことです。

このようなアプリが自分のスマホに勝手にインストールされないようにするには、どうすれば良いでしょうか。答えは簡単です。簡単に他人に触られないようにすればいいのです。スマホには、「画面ロック」機能があります。ところが、IPAの「2013年度 情報セキュリティに対する意識調査」報告書(http://www.ipa.go.jp/security/fy25/reports/ishiki/index.html)によると、パスワードやパターン、顔認証などによる画面ロック機能を活用している人は、たった22.5%しかいませんでした。みなさん、今からでも遅くはありません。今すぐ、画面ロック機能を活用しましょう!

さて、画面ロックを活用すれば、それで全て解決・・・・じゃないんですよ、奥さん! これを見てください。

20140502_01

20140502_02

どうですか? 何だか、ロックが意味無いように見えませんか? なお、Android端末では「顔認識でロック解除」出来る機能がありますが、自分の生顔じゃなくても、自分の顔写真をかざすだけでロックが解除出来ちゃったことも、報告しておきます。

では、どんな方法で画面ロックすれば良いのでしょうか。ここでは、一つの例を示します。たとえば、テンキーを使うとしても、以下のようにパスワードを設定すれば、指の痕が読み取られても、すぐにロック解除されてしまうことは防げるでしょう。
・桁数が分からないようにし、出来るだけ長くする。
・同じ数字を、パスワードの中で複数回使う。(例:122341)

20140502_03

iPhoneの場合は、「パスコードの入力に10回失敗するとiPhone上のすべてのデータが消去される」という設定をしておくと、より安全になります。ただし、iCloudなどにデータをバックアップしておくことを忘れずに!

スマートフォンセキュリティの第一歩は、適切な画面ロックから!





楽天SocialNewsに投稿!

最終更新日  2014.06.30 21:35:15

2014.04.11
カテゴリ:IPAツール紹介

こんにちは、IPAセキュリティセンターのこっこです。

今回は、新年度のスタートに合わせてセキュリティ対策も始めようかな、とお考えのあなたにぴったりの、情報セキュリティポータルサイトをご紹介します。

IPAが公開する「ここからセキュリティ!」通称「ここセキュ!」は、国の機関や民間企業が作成した情報セキュリティコンテンツを、一か所に集めたポータルサイトです。「被害に遭ってしまった時にどうすれば良いのか」や、「被害に遭わないための対策方法」そして、「従業員や家族の教育に利用できるツール」など、セキュリティ情報を利用するどんな場面にも対応ができるよう分類しています。セキュリティ初心者でも必要な情報に簡単にたどり着くことができますよ。

また、クイズやチェックシートでセキュリティレベルを診断する「セキュリティチェック」のページも用意しました。情報セキュリティの対策を始めたい人、セキュリティについて教育する人、セキュリティに関する現状を把握したい人、など様々なかたにご利用いただける情報が満載です。

常に最新の情報を見つけることができるポータルサイト「ここセキュ!」。あなたのセキュリティライフをここから始めてみませんか?

ここからセキュリティ!へ今すぐGO!
140411_01
http://www.ipa.go.jp/security/kokokara/

140411_02





楽天SocialNewsに投稿!

最終更新日  2014.04.11 11:30:41

2014.03.28
カテゴリ:IPAツール紹介

こんにちは!IPAセキュリティセンターのiSuuprt事務局です。
「SPREADサポーターに登録したけど、今後さらに知識を増やしていきたいな。」
「社員の情報セキュリティ教育、必要なのはわかっているけど、資料作成は面倒。」
こんなお悩みの解決はIPAのiSupportがお手伝いします!
iSupportは、情報セキュリティ対策支援サイト。情報セキュリティの啓発やその普及活動を行う皆さんのために、教育支援ツールをまとめて提供する専用サイト「情報セキュリティプレゼンターポータル」を展開しています。このサイトを利用すれば、IPA が公開するさまざまな情報セキュリティ対策の資料やツールが簡単に見つかります。また、一般には公開されていない特別コンテンツも利用できるのが、このポータルサイトの魅力。IPA が主催する情報セキュリティのイベント、セミナー情報も提供しています。

 詳しくは、「情報セキュリティ対策支援サイトiSupport セキュリティプレゼンターのご紹介」でご確認ください。
 「情報セキュリティプレゼンターポータル」を利用開始するには、セキュリティプレゼンター登録を行うだけ。まずは、こちらに一度アクセスしてみてください。

spp

登録完了時には、情報セキュリティ対策で悩む人が相談先を探す「セキュリティプレゼンター検索ツール」に自動的に反映され、知名度もアップするかもしれませんよ。





楽天SocialNewsに投稿!

最終更新日  2014.03.28 12:03:11

Powered By 楽天ブログは国内最大級の無料ブログサービスです。楽天・Infoseekと連動した豊富なコンテンツや簡単アフィリエイト機能、フォトアルバムも使えます。デザインも豊富・簡単カスタマイズが可能!

Copyright (c) 1997-2014 Rakuten, Inc. All Rights Reserved.