お知らせ

  1. ホーム
  2. お知らせ
  3. セキュリティ
  • パソコン関連

SHA-1の衝突の脆弱性

noimage

SHA-1の衝突の脆弱性

GoogleがSHA-1に現実的な衝突の脆弱性があるという発表を実例をもって公開しました。 https://shattered.it SHA-1というのは暗号化ハッシュ方式と呼ばれるもので、複数の複雑な計算を行い、一つのファイルなどから固定の長さの数値を導き出すものです。これは一つのファイルなどに対して、限りなくユニークになる数値を導き出すものです。 これをどのように利用するかといえば、文字列から生成されるハッシュ値を利用して電子署名やパスワードを原型を残さずに保存したり、ダウンロードするファイルの同一性を示すなどに利用されています。 ハッシュ値は限りなくユニークであることから、同じ文字列などから同じ計算をすれば同じ結果が得られ、またハッシュ値から元の文字列などには戻すことができないことから安全に利用されます。 ハッシュ衝突の脆弱性というのは、同一のハッシュ値を持つ全く別のファイルを容易に作成できることを指します。 上記のURLでは一つのPDFファイルのハッシュ値が全く異なる内容のPDFファイルと同一になり、ハッシュ値によって同一のものであると判定できなくなってしまったという内容です。 同一のハッシュ値を持つファイルを作るための計算は、数学的に考えると可能です。ただ計算のために最高のコンピュータを持ってしても数百年からの時間がかかるようであるとこれは事実上不可能と考えられ、この強度のより強いものを使うことが推奨されます。 今回のGoogleの発表は現実的な時間でこの衝突攻撃を起こすためのアルゴリズムを作り上げたということです。 SHA-1は一時期非常にスタンダードに使われていたので、現在もSHA-1によるハッシュ値を持つファイルはたくさんあります。ただ2005年の時点ではすでに将来的に通用しなくなる危険性があるとして、SHA-2やSHA-3へ移行することが推奨されてきました。 現在でもSHA-1を利用している場合は、この衝突攻撃を受ける可能性が高くなるので、早急な移行を促すための発表です。 Googleが公式に発表しなくとも、未知の脆弱性として攻撃者によって利用されうる状態にすでにあるということで、SHA-1による電子署名やファイルの同一性などを検証する仕組みは早急にアップデートされるべき状態にあります。
  • パソコン関連

家庭用ルーターのセキュリティ

noimage

家庭用ルーターのセキュリティ

現在、自宅に光回線を接続して、高速なインターネットを利用されている方も多いと思います。 その際にルータが利用されているはずです。多くは回線提供会社からのレンタルであったりしますが、安価な家庭用Wi-Fiルータが電気店などでも多く販売されており、利用されている方も多いはずです。 これらルータも万全の機器ではなく、ファームウェアには何らかの既知、あるいは脆弱性があるものと考えておくべきでしょう。 ファームウェアというと機器に組み込まれているソフトウェアですが、メーカーからファームウェアアップデートが配信されているかを定期的にチェックすることも必要です。 自動ファームウェアアップデートなどを持つ機器もあると思います。一度マニュアルを見てチェックしてみてください。 市販のWi-Fiルータも、フリーソフトウェアのソースコードを利用している場合も多く、そういったケースではフリーソフトウェアの未知の脆弱性が明らかになるとそれを利用した攻撃に用いられることがあります。 販売終了になり、サポートも終了した製品がこのような状態であれば、何らかの攻撃を受けたり、他のサーバへの攻撃の踏み台にされてしまう可能性もあります。 終売品となりサポートが終了した古いルーターであれば、場合によってはリプレースなども考慮する必要があります。
  • パソコン関連

マイクロソフト製品の2017年のサポート状況

noimage

マイクロソフト製品の2017年のサポート状況

2017年になりました。本年もよろしくお願い致します。 パソコンの機器や、ソフトウェアの更新のためにサポート期限を知っておくことは大切です。 Windows XP延長サポート終了の時は駆け込み的にWindows 7への移行がありましたが、本来はサポート期限を把握し計画的な更新がスムーズで低コストになります。 2017年に延長サポートが終了する製品はWindows VistaとOffice 2007です。延長サポートが終了するとセキュリティ修正なども行われないので、今後新たに判明する脆弱性についても対処する方法は無くなります。 Windows Vistaは4月、Office 2007は10月で、現在利用中の方は入れ替え、更新を考慮してください。 インターネットをつながずに利用していれば当面は安全という考え方は誤解なので、期限までには無理でも速やかにと心がける必要があります。 SQL Server 2012はメインストリームのサポートが終了します。延長サポート期間は2022年までを予定しています。 Windows7は延長サポート期間中ではありますが、最新型のプロセッサ搭載モデルについてはサポートが打ち切られている場合があります。 製品にバンドルされているものであれば問題ありませんが、Windows7単体のライセンスを保持していて、PCが最新モデルに更新される場合Windows7がサポートされていずインストールも不能な場合があります。 Windows7の延長サポートは2020年1月となってはいますが、機器との組み合わせによってはサポート切れになっている場合があり注意が必要です。
  • パソコン関連

仮想デスクトップとビジネス

noimage

仮想デスクトップとビジネス

Amazonが自社で提供する仮想Windowsデスクトップサービス、Amazon WorkspacesがWEBブラウザをクライアントとして利用することができるようになりました。 Amazon WorkspacesはAmazonの提供するクラウドで動作するWindows7+OfficeのWindows環境です。これまでは各種WindowsやMac、Linuxのクライアントやタブレットなどのモバイル用のクライアントが必要でした。 ブラウザでの利用が可能となることで、標準的なWEBブラウザを搭載したあらゆる機器で利用することができるようになります。これは専用の端末を持っていなくともできるということでもあります。 もちろんローカルで動作するWindows機に比較すると、間にインターネット通信があって画像やキー入力などのやり取りになりますので、それぞれの遅延は避けられないところです。 費用的にはずっと電源オンの状態である月額課金制と、ログインしている間だけの課金である時間課金制の二つの方法があります。 これを安価でユーザーが使いやすいものとして期待すれば、その期待とはマッチするものではなさそうです。月額で考えるとOffice込みで50ドルぐらいからが相場となりそうで、低パフォーマンスのものはもっと安くなりますが、実用性などに影響を与えてしまうかもしれません。 Amazon Workspacesは社内にシンクライアント環境を揃えている企業にアピールするものです。あるいはシンクライアント環境を導入したいが、技術的や費用的な問題で導入できていない企業にも魅力があるサービスです。 シンクライアントというと、目の前のパソコンは単に端末に過ぎなく、システムやデータをそれぞれのハードディスクに持たずに、ネットワーク越しのリモートデスクトップを操作するものです。 シンクライアントのメリットは全てがサーバーで集中的に管理できることと、クライアント数が増減しても機材費が少ないということです。端末が故障しても端末側にはデータがないので、データや作業などを失う可能性はありません。 サーバー側でユーザー名とパスワードを発行すればすぐにどの端末からログインでき、すぐに作業にあたることができます。 またデータを個別に保持しないので、漏えいや改ざんなどのリスクを大きく低下させます。ウィルスなどのセキュリティについてもサーバー側で一括管理できます。 従業員が増えた場合、パソコンを購入し、初期セットアップをし、パスワードを発行してActive Directoryなど認証サーバーに接続する、それらの手間と費用がほとんど省けます。Officeをはじめとしたライセンス管理なども不要になります。 仮想デスクトップ環境に移行することで管理負担の低減が大きな節約になる時、クラウド上にリモートデスクトップを持つことも大きなメリットになります。 今後普及するにつれ費用は低下するという見込みや、LANを超えて使うためにさらなる費用が不要になるということで、まずはIT資産管理コストの大きい企業では重要になりそうです。その後中小規模の企業でも導入が進んでいくのではないかと考えています。  
  • パソコン関連

ITセキュリティリスクの人的要因

noimage

ITセキュリティリスクの人的要因

ITのセキュリティのリスクについて、技術的要因と人的要因、二つの側面があります。 二つを比較すれば人的要因のリスクは大きく、しかし人的要因のリスクはIT以外でもあることですから、それを未然に防ぐ手段は同じでです。 かつてファイル共有ソフトWinnyを原因とした企業情報漏洩事件が、ITセキュリティへの不安をすべての業界に根強く与えました。 Winnyで行われていることは、違法なファイル共有です。違法なファイル共有をわかりやすくいえば、データや知的財産の窃盗です。 あまりに件数が多く、また利用者も無自覚でありましたが、そもそも悪いをしているという感覚だけはあったはずです。数千円から数万円を支払わなければならない、ソフトウェア、動画、音楽、書籍をスキャンしたものが無料で手に入ること自体がおかしいことです。 そういった悪意の中に、利用者の情報を暴露しようという別の悪意が混ざったとして、根本のデータを窃盗したいという悪意がなければそもそも触れることのないことです。 日本で最大の漏洩事故は職務にあたる人の遵法意識のなさから来ています。 ただそれは、店先のものを窃盗してはいけないことと同じで、遵法意識を持つということに差はありません。リスクのない窃盗だと考えていたでは済まされないことは誰の目にも明らかです。 ただその単純な人的要因を技術要因も含まれるものとして対策を策定しはじめると、様々な制限が必要になります。 セキュリティについては人的要因を野放しにすることが最大のリスクで、次いで技術的要因などが続きます。 漏洩という現実になったリスクがあまりに影響を与えて、ITそもそもの役割である業務効率化を阻害する場合、必要以上のリスクを見積もり、コストが発生します。 人的リスクについては従業員教育や、管理表などを使った管理の徹底、媒体や機材の持ち込み、持ち出しの禁止などを策定し防止することが望ましく、人的要因を取り除いた技術的要因での漏洩などはセキュリティ機器などを適宜用いコストを抑えることができます。
  • パソコン関連

コンピュータのリモート操作

noimage

コンピュータのリモート操作

コンピュータをリモートで操作することは、コンピュータの誕生以来とても重要なことです。 Unixが1つの大型のコンピュータを複数の端末から利用することを想定して作られていますので、LAN内の個々の端末からTelnetを利用することが基本的な使い方でした。 TelnetでUnixのサーバにログインし、ファイル操作やプログラムの実行、作成をリモートで行います。クライアントサーバ型のコンピュータで必須のソフトウェアでした。 現在のPCのようなGUIが前提でなく、文字ベースのCUIというインターフェースでのリモート操作です。 やがてリモートが公共のインターネット回線などを通じて行われるようになり、全文を暗号化しない平文テキストで送信するTelnetでは危険だということになりました。 Telnetの替わりとしてはSSHというソフトウェアが推奨され、広く使われています。 このリモート操作は悪用する場合にターゲットにされやすく、サーバを設置すればほとんどの場合どこからか自動攻撃プログラムからログイン試行が行われます。 ここで管理者権限でのログインを許していると、パスワードを突破されればすぐにサーバが乗っ取られてしまいます。 管理者でのログインを不可能に設定し、パスワードはなるだけ複雑で、仮にユーザーとしてログインしてもさらに複雑なパスワードでないと管理者権限が取れないようなら、攻撃が成功する可能性は限りなく低くなります。 IPアドレスを固定して接続を許可するのも良い方法で、拠点の固定IPからしかログインできないようにすれば、その他からのログイン試行は拒絶されます。 またパスワードを用いず、暗号鍵を利用する方法がセキュリティとして推奨されます。 暗号鍵方式であれば端末に保管された暗号鍵でないとサーバーにログインできなく、他からこれを突破するためには理論的に数百年以上の時間が必要となり、攻撃者は諦めざるをえません。 攻撃の続くIPを自動的に拒否リストに入れる仕組みなどもあり、きっちり設定すれば完全とも言えるリモート接続環境を作ることができます。
  • パソコン関連

Dropboxが2012年以前のパスワードをリセット

noimage

Dropboxが2012年以前のパスワードをリセット

Dropboxがメールでサービスの全ユーザーに対して、2012年以前に設定されたパスワードをそのまま利用しているユーザーのパスワードをリセットする旨の連絡を行いました。 これは文字どおり2012年以前からのユーザーにしか適合しないことで、それより後に利用を開始したユーザーには関係がありません。 Webサービスは常に攻撃者からの攻撃にさらされており、様々な防護策をとってはいますが、常に新しい脆弱性情報を隠し持つ攻撃者からの不正アクセスをストップすることは大変難しいことです。 今回Dropboxのセキュリティチームは自社の登録ユーザーの一部のメールアドレスと、ハッシュ化されたパスワードのデータがWeb上に存在することを発見したとのことです。 ハッシュ化されたパスワードというものは、パスワードそのものではなく、パスワードの文字列から一定の法則で導き出されるユニークな数値です。 ハッシュ化されたパスワードは加工はされていますが、一文字でも違えば全く違うユニークな数になるようになっており、またハッシュから元のパスワードへの再変換はほぼ不可能です。 これら情報が何らかの方法で外部に漏洩したことが発覚したため、2012年以前のパスワードの強制変更になったと発表されています。 その他、他のWebサービスからの漏洩のユーザー名とパスワードを利用して、他のWebサービスについて総当りでログインを試みるといった攻撃も絶え間なく続いています。 国際的なWebサービスはこのような事態から、ログインに用いられたIPアドレスなどから危険性を察知し、仮にログインに成功しても失敗したと応答する対策もあるようです。 IPアドレスは国別に割り振られており、ログイン試行された地域というものはおおよそわかるようになっています。かけ離れた地域からのログイン試行は遮断、あるいは本人であることを確認する仕組みが作られています。 ユーザーとしてできる最良の防護策はパスワードの使い回しを避けるということです。 たとえ複雑であったとしても、一度テキストのデータとして流出してしまえばパスワード攻撃の辞書に登録されて、他のサービスのログイン試行に用いられてしまいます。 定期的なパスワード変更というものは、ほとんどの場合においてオーバーで、またパスワード忘れを多発させることに伴う幾つかの潜在的なリスクもあります。 パスワードの使い回しを避け、またサービス運営企業からの告知についても注意を払うことがユーザーにとって今の所最善の対策と言えそうです。  
  • パソコン関連

DropboxとシャドーIT

noimage

DropboxとシャドーIT

Dropboxが新機能としてドメイン認証とユーザー移行という機能を準備中です。 Dropboxはオンラインストレージとして使いやすく、2010年前後から利用が増えています。 メールや宅ファイル便などを使わずにある程度大きいファイルの受け渡しにオンラインストレージは最適です。 URLで共有するだけでブラウザからダウンロードできる利便性があり、またURLはファイル任意のIDで推測されないようになっているため他のユーザーに知らない間に見られることがほとんど起こりえません。 ただこれを企業で契約するのではなく、個人ユーザー契約で業務などに利用されている場合もあります。 このような私的なサービス導入などは漏えいなどのリスクにもなります。 これはシャドーITと呼ばれており、情報資産の管理外で利用されるシステム運用です。 これを一括で企業契約の中に移行させてしまうのが、ドメイン認証とユーザー移行です。 会社のメールアドレスで個人利用されているDropboxを企業で契約したDropboxに移行させてしまう方法です。 ドメインの所有権をDropboxに対してHTMLファイルのアップロードやDNSのTXTレコードへの追加で示し、その後ユーザー移行を選択します。 シャドーITがあるということは、単に従業員が抜け道を作っているのではなく、現場で解決すべき問題があるということを示す側面があります。 従来型の非効率な方法で業務全体の効率性を下げてしまう、ということは起こりえます。 例えば業務用のドキュメントをメールのやり取りを追わないと最新版が取れないという状態であると、メールチェックの漏れがあると複数のバージョンのドキュメントが混合してしまう可能性があります。 Dropboxで共有すれば、同じファイルをそれぞれで編集し最新版を同時に共有することができます。 新しいサービスをブロックし古く非効率な方法を貫くより、企業として有用なサービスを前向きに導入することによって管理外のリスクを低減させることも今後の潮流となるのではないかと考えています。
  • パソコン関連

暗号化とバックドア

noimage

暗号化とバックドア

米国のFBIがAppleに対し、容疑者の保持するiPhoneにバックドアの作成を依頼するがApple側がこれを拒否する、という事態が起こっています。 iPhoneに格納されているデータは、本体側でパスコードを入力しない限りは外部から読み取ることができなように暗号化されています。 この暗号化をパスして本体のデータにアクセスする方法をバックドアと呼んでいます。そもそも外部から解除不能な暗号化を通り抜ける裏口を別に作って解除する、ということです。 例を挙げると、現在主流として利用されている暗号化で、httpsを始めソフトウェアVPNなどにも利用されているRSA2048bit暗号鍵は、膨大な計算量をこなさないと解読することができません。 現在の技術で大量の高速計算用コンピュータを投入して解読しようとしても、数百年以上の時間がかかると考えられ、技術的に解読は不能とされています。 それも一つ一つの秘密鍵についての解読時間になりますので、複数の暗号化されたデータを復号して解読することは不可能とされています。 ただそれら暗号方式に脆弱性を用意する、あるいは完全にバイパスしてしまって、データを取り出せるようにすることは、OSやブラウザなどへの組み込みをすることによって可能となります。 暗号化を解除されたデータを何らかの方法で別の領域に保存する、別のサーバへ送信する、コンピュータ内の秘密鍵を直接取り出す仕組みを作る、などです。 そのようなものが作られている、密かに組み込まれている、という疑念はOSやメーカーには常に付きまとうものです。 現実にバックドアが組み込まれているかどうかは、ソースコードを公開していないOSについて明らかにされることはないでしょう。 ただ一度だけの特例であってもバックドアを作ることができる、ということをメーカーが示してしまうと、そもそも暗号化されているということ自体が無意味化してしまいます。 そのためたとえ重大な事件の解明に必要なことでも、バックドアを作成はできない、とする姿勢はユーザー保護の観点から理解することができます。 ただ実際にバックドアが作られているかどうかは、今後も明らかにされることはないだろうと思われます。 犯罪やテロなどに限定されず、現在金融や個人情報など様々なことに暗号化が利用されているので、やましいことをしていないから関係がない、ということではありません。
  • パソコン関連

Windows7とWindows8.1のサポート期間短縮

noimage

Windows7とWindows8.1のサポート期間短縮

マイクロソフトは2016年1月に、Windows7とWindows8.1のサポートについて、最新型プロセッサを利用する場合は2017年7月までとポリシーの変更を行いました。 Windows7は2020年まで、Windows8.1は2023年までの延長サポートと設定されていましたが、第6世代Intel Coreプロセッサについては2017年7月へ短縮されることになります。 また今後発売される次世代のプロセッサについてはWindows10のみサポートされると同時に発表されており、これにはIntelのみでなく、AMDやクアルコムのプロセッサも含まれています。 現在発売されているプロセッサで、サポートが早期終了されるものについては、第6世代Coreプロセッサ、開発時のコードネームがSkylakeと呼ばれるもの、型番でいえばCore i3、Core i5、Core i7では6000番台の型番が付いているものです。 今回の発表からおよそ1年半しか猶予がなく、早期にWindows10への移行を検討しなければなりません。 第5世代Intel Coreプロセッサまでが採用されたパソコンについては、従来通りWindows7は2020年、Windows8.1は2023年まで延長サポートを受けることができます。 法人での導入の場合は、この点は大きな変更で、現在運用のシステムがWindows10に対応していない、あるいは検証が終了していない場合のパソコン新規購入の際は、最新世代のプロセッサが搭載されていないものを選ばなくてはなりません。 Windows10で現在使用しているソフトウェアやデバイスが利用できる場合は、問題になる部分がなく、期日までにWindows10へアップグレードすれば大丈夫です。 サポート終了後はセキュリティを含むアップデートが受けられなくなりますので、社内システムのセキュリティの穴を作らないためにも十分周知していく必要があります。
1 2 3 4 5 6 7