読者です 読者をやめる 読者になる 読者になる

そうFTPである。意外と多くの企業がいまだFTPに頼っている

 

FTPは脆弱である。だから使わない、これが結論。

 

簡単に設定できて管理も直感的で暗号化なんて面倒はイヤだし・・・

そんなんが本音でレガシープロトコルFTPやSFTPを使う。

では何がダメなのか考えてみた。

 

 ■共有したいからアカウント名が単純になりがち

  攻撃側は、様々なアカウントでログインを試みる。

  「ftpadmin」や「ドメイン名+admin」でftpアカウントを探査する。

  これは玄関先で泥棒が鍵穴に道具を入れている状況に相当する。危険な状態。

  利用中のアカウントが知られるとパスワードアタックになる。

  対策はアカウント名も複雑化する事だ。

  アクセスログのコード「 530:ログイン拒否」に注目すべきだろう。

 

 ■FTPは顧客と共有するので簡単には変えられない

  顧客とファイル共有した場合、パスワード変更の都度に、顧客に知らせる

  必要が発生する。

  これは意外と面倒なので(意図的に)見過ごされる。

  対策はFTPアカウントをプロジェクト単位とすべき。

  顧客とのプロジェクトが終了すればFTPアカウントを削除すれば良い。

  むろんアカウントのFTPルートはプロジェクト単位のディレクトリにする

 

 ■先方のFTPクライアントが心配

  パスワードをPCに記憶するタイプのFTPクライアントソフトはマルウエアの攻撃に

  よって流出する。

  コチラが十分注意しても、先方で漏れるリスクを考慮すべきだろう。

  先方の受信担当者も局所化できれば良いが、ほぼ無理。

  先方でアカウントが共有されるリスクを考慮すべき。

 

 

上記を考慮するとSFTPで経路を暗号化してもあまり意味が無い。

つまりFTPはイントラ以外の使用はお勧めできない。せいぜい自社ホスティングサービスのLog確認・取得用プロトコルなのだ。

 

データはZipパスワードを設定し、メールに添付した方がマシ。

 

FTPの技術的脆弱性は多数のサイトで解説されているから、そちらを参照してもらいたい。

大企業と小企業の情報セキュリティ事情

比較的古い小企業は情報セキュリティがとても甘い。

多くはセキュリティコストを問題とする向きも多いだろうが、

実際は経営側の無理解が主たる原因だ。

「扱う情報が重要では無い」「今まで安全であった」「小さい会社は狙われない」

この様な後付けの理由は誤認であり本質でも無く、情報セキュリティを脆弱にする。

昨今はOSやクラウドも強固になり、工夫次第ではコストをかけずに大業並に強固な体制を選択できるのに、無理解・不勉強が状況を悪化させている。

 

一方、大企業にも病理はある。

レガシーシステムからの脱却が遅れ、脆弱なシステムを抱えていたり、開発効率を上げる名目でセキュリティが脅かされる。

こちらも移行コストを原因と主張するが、実際はシステム変更を望まない意思が多分に影響する。

さらに、技術的に空洞化したシステムは属人化・属外注化へと傾倒し、もはや大企業の優れた情報管理体制から離れ、重要な情報に危機が迫っている。

 

解決には地道な努力が必要だが、公的機関が「情報セキュリティの標準モデル」を提唱すると良い。

そして、企業の中核に情報セキュリティ意識を醸成する意識が必要なのだ。

 

通称「vvvウイルス」 ランサムウェア「CrypTesla」

ランサムウェアはつまり人質ウイルス

データを勝手に暗号化してしまう。複合キーは金銭を要求するというアレ

メールの差出人や件名は以下の感じで、なにやら個別の番号が振られている

f:id:heilel:20160103092330j:plain

 

あからさまに怪しいZipファイル(笑

f:id:heilel:20160103092610j:plain

 

Doc形式の添付ファイルもありました

Web閲覧だけでなく、メールの添付ファイルにも気をつけましょう

Windows7でIE8からIE11にアップデートする件

日本企業では、大人の事情でIE8を使う事が多いが、さすがに色々と事件があるので、イントラネットの内側と言えどもIE11が必要になってくる

ところが、Windows7でIE8にダウングレードしているクライアントでIE11をインストールできない場合がある

セキュリティパッチが原因との記事が散見されるが、それもあるだろう

https://support.microsoft.com/ja-jp/kb/2872074

 

しかし!!

IE10を再インストールしてからIE11をインストールする事で解決する場合がある

 

残念だがIE10は簡単には見つからないので以下で入手する

ココとか(IE8)でアクセス

https://catalog.update.microsoft.com/v7/site/Thanks.aspx?id=140

ココとか

http://internet-explorer-10-windows-7.softonic.jp/

 

Windowsのインストールメディアがあれば問題は無い

 

 

 

 

 

 

Windows10_Tips ISOが書き込めないので・・・

Windows10になると、右クリでISOの書き込みができないので・・・

「C:\Windows\System32\isoburn.exe」のショートカットをデスクトップに作ったズラよ

ここにisoイメージファイルを投げ込めばよろしい

中小企業の標的型攻撃対策 その1 <マルウエア対策>

標的型攻撃とWindowsのZoneID

 

大企業じゃなくても扱う情報や持っている技術によっては標的型攻撃の対象になる

マイナンバーが始まったから、なおさらだと思う

でもって、中小企業であるが故にセキュリティ投資はできるだけリーズナブルにしたいと、まさに二律背反

そこで登場するのはWindows 8.x移行に登場した機能でZoneIDを使って被害を軽減しようという試み(まー実はXpからあるんだけどね)

 

この機能はファイルの出所によって、実行時にユーザー問い合わせを行い、危険なプログラムの実行を抑止します。

例えばインターネットからダウンロードしたフリーのツールとか、メールで届いた実行ファイルとかね

 

対策としては、従業員さんに「~実行しますか」的なメッセージを無視しないで下さいとかの教育を行えば良いと思う

中小企業は制限ソフトなんか使わなくても教育/啓蒙で十分効果があると思う

 

しかし、まだまだ弱点があって・・・

実行ファイルをコピペでローカルに保存すると出所の情報が変わってしまうので注意が必要とのこと

 

戦いはつづく!!

 

f:id:heilel:20151017075316j:plain

 

マイナンバーの脆弱性について

もうすぐマイナンバーが始まるのだけど、問題点がいくつもあって危険だと思う

そこで、自分なりに問題点と解決策を考えてみた

 

問題点

 12桁では短かすぎる問題

   当たり前なくらい短い番号は危険、詐欺師なら電話で聞き出せちゃうレベル

   正直、256ビットの英数混在でも不安


 番号を一生使う問題

  バレたり漏れたりしても、公的理由が無いと変更できない
  「DV」や「非円満退社」などで「逃げる」が必要な場合に、嫌がらせされそう

 

解決案

 256ビット以上の真番号と影番号を新設する

  マイナンバーを真番号と影番号に分ける

   真番号 :  基本本人も見ない。256ビット以上

         真番号は影番号を作る時だけ使用する番号


   影番号 :  用途に応じて相手に渡す番号。1か所に1個の使い捨て


マイナンバーを発効/郵送する時に、真番号と10個程度の影番号を発効する。

真番号は袋とじにして基本本人も見ない。長く英数なので電話で詐欺師に伝えるのは無理だし、袋とじなので、写メ対策もOK(タブン)

真番号を政府の権威機関に提出すると、影番号を作成してくれる

影番号は、企業や銀行や証券会社や税務署に提出して利用する。

万一、提出した機関から漏洩しても影番号を廃棄すれば、被害を局所化できる。
番号を知られている場合も影番号なら容易に廃棄できる。

個人から影番号を提出された機関は、影番号で権威機関に証明を求める。

真番号と影番号を提出するときにソルトを使えば、さらにセキュアになる。

公的機関が個人の認証局となるので、新しいビジネスモデルが創出できる。


どうだろうか? 少なくとも現行案よりはマシなはずww