コラム

2015年8月7日 / 技術

勉強会レポ VOL.2
『最近のセキュリティ事情について』


セキュリティ事情TOP

こんにちは。開発第2ユニットの青木です。
社内で定期的に開催している勉強会の内容をお伝えしたいと思います。

今回は「セキュリティ」についてです。
前回「エンジニアなら知っておきたい文字コード」の記事はこちら
 
 

”少し前に参加したセミナーの内容をメンバーとシェアしました。”

1. セキュリティソフト

マルウェア(悪意のあるソフトウェア)を検知する方法には以下があります。
複数を組み合わせて(WAF除く)検知率を高めるのが最近の手法のようです。

パターンマッチング

パターンマッチングとは、ファイルの特定の情報(ファイルサイズやデータの一部)を照合することで判定する方法です。この方式は既存のマルウェアには強いですが、新種や亜種(既存のマルウェアを少し変更しただけのもの)には対応できないとう弱点があります。

振る舞い検知(ヒューリスティック)

パターンマッチングの弱点に対応したのがこの方法です。マルウェア特有の振る舞いから検知するというものです。ただし誤認識する可能性がるのが弱点です。

 

サンドボックス

サンドボックスは砂場です。子供が遊ぶ砂場(=安全な環境)のことです。つまり何をしても問題がない環境で問題のありそうなプログラムを実行し、振る舞いを確認する方法です。

 

その他

上記はクライアント側のセキュリティソフトですが、
WEBサーバを対象にしたWAF(WEBアプリケーションファイアウォール)も最近はよく耳にします。
名前からも分かるようにファイアウォールなのでクライアントとWEBサーバの間に立って不正な通信を遮断します。

 
 

2. 近年発生したセキュリティ事件

米小売り大手Targetからクレカ情報や個人情報が流出

target
http://www.itmedia.co.jp/enterprise/articles/1402/07/news103.html

2013年に米小売り大手Targetからクレカ情報や個人情報が流出しました。
クレカ情報は4000万人、その他の個人情報は7000万人分と言われています。

どのように漏えいしたのでしょうか?
以下は一つの仮説ですが、空調業者経由で社内のネットワークに侵入しマルウェアを仕掛けたというものです。

映画などでも似たようなシーンをよく見ますが、
専門の知識を持った組織的な集団に狙われたら侵入を防ぐのはかなり難しいのではないでしょうか。
 

近年、IoT(Internet of Things)などのようにいろいろなものがネットワークにつながり、
どんどん便利になっていく一方で、侵入経路が増えることでセキュリティの重要性が問われる世の中になっていくことが予想されます。

走行中の車両を「乗っ取れる?!」

車乗っ取り
http://wired.jp/2015/07/23/connected-car-bug/

つい先日も走行中の車のハッキングに成功したという記事も紹介されていました。
最近話題の自動運転カーなどもセキュリティ的観点から考えると、とても怖いと感じます。
 
 

3. マルウェアの狙い

ここでは個人情報を抜き取るマルウェアの狙いについてです。
マルウェアは以下のフォルダのファイルをかたっぱしから盗むようです。

  • ドキュメントフォルダ
  • ダウンロードフォルダ

確かにダウンロードフォルダにはいろいろ重要なファイルが残っていたりします。
 
 

4. 社内セキュリティ

少し前に年金情報の流出事件がありました。
職員がメールの添付ファイルをクリックしマルウェアが起動したようです。
いまどきメールの添付ファイルをクリックするのか?という声もありましたが
いやいや、調べてみると実に巧妙なやり方です。
それに、ついうっかりということは誰にでもあります。

年金情報の流出で一番問題だったのは、ずさんな情報の管理ではなかったのでしょうか?
ローカル環境に機密情報を置いていなかったら流出することはなかったかもしれません。

セキュリティソフトがあるから安全というわけではありません。
もちろんいろいろなケースがあり簡単ではありませんが、とりあえず出来ることはやりましょうということです。

 
 

この記事を書いた人

青木 康展
システム開発者。歴はそこそこ長い。最近はcakePHPを利用したWebシステムの開発がメイン。技術者として生涯現役を目指す。たぶん。趣味はビリヤードと料理、そして犬と戯れること。

この人が書いた記事

  • 遊びイベレポ vol.6<br />『お台場「大江戸温泉物語」で休日の午後をまったり過ごそう♪』

    遊びイベレポ vol.6
    『お台場「大江戸温泉物語」で休日の午後をまったり過ごそう♪』

    イベント

    2015.10.29

  • コミュニケーション予算レポ<br />『オトナ男子の“大人飲み”』

    コミュニケーション予算レポ
    『オトナ男子の“大人飲み”』

    イベント

    2015.10.20

  • 勉強会レポ VOL.2<br />『最近のセキュリティ事情について』

    勉強会レポ VOL.2
    『最近のセキュリティ事情について』

    技術

    2015.8.7

  • 勉強会レポ VOL.1<br />エンジニアなら知っておきたい文字コード

    勉強会レポ VOL.1
    エンジニアなら知っておきたい文字コード

    技術

    2015.6.26

その他の最新記事

Read More >>