2016年12月22日

Adobe Flash Playerの脆弱性対策について


Adobe Systems社のAdobe Flash Playerについて、脆弱性の情報(APSB16-39)が公開されています。
この脆弱性によって、任意のコードが実行されるなどの恐れがあります。その結果、Dos攻撃に利用されたりプログラムが異常終了するなど様々な障害が引き起こされる可能性があります。

対象のバージョン

Adobe Flash Playerには、Windows / Mac で複数の種類がありますが、いずれも
23.0.0.207 およびそれ以前のバージョン
で発生する問題とされています。

対策

最新バージョン(24.0.0.186)へアップデートすることで回避されます。
 Adobe Flash Player ダウンロード

アップデート前には信頼性の確認できないページを開かないなどの自衛策が必要です。

Adobe Flash Playerについては、過去何度となく脆弱性が報告されそのたびに修正が繰り返されています。一部のウェブブラウザでは、Adobe Flash Playerに変わる機能が来年には標準化されるとのニュースもありました。すぐになくなることはないはずですが、今後の動向にも注意していきたいところです。

2016年12月8日

パスワードを安全に管理するには



インターネット上のサービスを利用するときには「ユーザーID」と「パスワード」が必要なことが多くあります。

こうした情報が第三者に漏れると他人に勝手にログインされたり、勝手に有料のサービスを利用されたりする可能性が出てきます。
インターネットバンキングの場合、不正送金される被害も起こりえます。

こうしたトラブルに合わないためにIDやパスワードは他人に教えたり、知られたりしないよう管理が必要です。
生年月日や電話番号など、単純なパスワードは危険です。
また、同じIDやパスワードの使いまわしは絶対にやめましょう。

例えば1つのサービスからユーザーの情報が漏れてしまった場合、他のサービスでも被害が出かねません。
また、SNSを他人に乗っ取られると、あなたになりすまして、あなたの友人に迷惑をかける可能性もあります。

とは言え複数のサービスごとにIDとパスワードを用意し管理するのはとても大変です。
そもそもどんなパスワードを作ればいいのか悩んでしまいませんか?

自分だけのパスワード作成ルールを決めてパスワードを作ってみましょう。
例えば好きな言葉、歌詞、座右の銘、出身地等で忘れることのないベースとなる言葉を決め、それをローマ字に置き換えます。

「sunloft」

そこに数字を埋め込んでいきます。
親や兄弟の誕生日、昔の車のナンバー等忘れない数字にします。

「6su26n33lo66ft」

間に数字を挟むことで複雑なパスワードになります。
さらにサービスごとにパスワードを変えるためにサービスごとのアルファベットを追加します。

例えばAmazonなら
ama6su26n33lo66ftzon

といったように先頭と末尾にアルファベットを追加したり、先頭のみ、末尾のみに入れたりします。
大文字小文字、記号を組み合わせるとより強固なパスワードとなりますので自分でルールを決めてパスワードを作成しましょう。


【対策】パスワードの使い回しを避けるための適切な管理方法

複数のインターネットサービスを安全に使用するために異なるパスワードを設定しても、全てを記憶することは容易ではありません。
そこでどのように管理するかが重要となりますが、一覧表として管理することが現実的となります。
以下に具体的な方法を例示します。

■紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。
IDとパスワードを別々の紙に分けて管理するとより安全です。
紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。
そのため、第三者が見てもわからないように工夫して記載しましょう。

■電子ファイル(パスワード付き)
IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持します。
電子ファイルには、表計算ソフトやテキスト編集ソフトを使います。
その電子ファイルにパスワードを設定して保存します。
パスワードは表計算ソフトの機能でファイルそのものにかける方法と、zipなどの圧縮ファイルにかける方法とがあります。

■パスワード管理ツール
パスワード管理のための信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します。
ツールに、“利用しているサービスの ID・パスワード”と“ツールを起動するためのマスターパスワード”を登録しておきます。
そのマスターパスワードだけを覚えておけば、ツールを起動して各サービスのIDとパスワードを呼び出すことができます。
最近ではインターネットサービスの認証まで自動で行うツールもあります。
こうしたツールを使うことにより利用者はマスタのパスワードのみを管理すれば良くなり、複数のパスワードを記憶する必要がなくなります。


株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

2016年12月1日

「セゾンNetアンサー」フィッシングの情報


フィッシング対策協議会の緊急情報によると、セゾンクレジットカードのインターネットサービスである「セゾンNetアンサー」をかたるフィッシングメールが出回っています。
メール内のリンクから偽サイトへ誘導し、アカウント情報やクレジットカード番号などを入力させて搾取する手口です。
以前から繰り返し行われている犯罪行為です。騙されないよう、自衛しましょう。

1. メール内のリンクは開かない

偽サイトへ誘導されないよう、そもそも開かないことが重要です。どうしてもそのリンクを開く必要があるときは、URLをチェックし、ドメインなどから安全性が確認できてから開くようにしてください。
偽サイトのデザインは本物とほぼ同じに見えるよう作成されていて、外見から判断するのは困難です。開く前の時点で正しいサイトなのかを確認してください。

2. 添付ファイルは開かない

今回のフィッシングメールでは添付ファイルに関する情報はありませんが、普段から安易に開かないようにしておくことが大切です。

メールは発信元を偽装できるため、対策は受動的なものになります。全面的に信用せず、ポイントを押さえて対応する必要があります。
また、ウイルス対策ソフトではある程度のチェックが自動的に行われますし、導入は必須です。


株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。