Oba-Q's Free Space

World of self-satisfaction by Q

大丈夫かセキュリティ

ちょっと違った角度でセキュリティを考えます。

PCにセキュリティソフトを導入、プロバイダの
セキュリティサービスを導入、危なげなサイトを
閲覧しない、ダウンロードの際の同意に注意する、
セキュリティ情報に気を配る、外から持ってきた
外部メディアの扱いに注意する等々、
パソ自体の安全を守る術はそう多くはありません。

例えば拙生は攻撃対象となる確率がWindowsより
格段に低いUbuntuをメインOSとし、更に検出率も
そこそこのセキュリティソフトを導入しています。
外部メディアを接続したら自動的にセキュリティ
スキャンが掛かるようにしています。
ダウンロードの際の同意は必ず目を通します。
Windowsパソコンは使用を限定し特に注意しています。

ではこれで大丈夫なのか。

ここでは自身だけの努力だけでは防ぎようのない脆弱性
(セキュリティホール)の一例を示すことにします。

最近飛躍的に普及したWebアプリケーション。
自身のパソではなく、サーバーにアプリが置いてあり、
サーバーへの命令やサーバーからの作業結果の表示を、
ブラウザやエクスプローラを利用して行います。
このブログのツールであるWordpressなども
Webアプリに分類しても良いでしょう。

で、最近ネットショッピングやネットバンキングなど、
重要な個人情報をWeb上で屋やり取りするものも多く、
その利便性から利用者も増えてきました。
そうなると自パソ(特にブラウザなど)の虚弱性が
盤石であっても、利用先のサーバーや使用アプリの
脆弱性がそのまま自身の脆弱性となって返ってきて
しまうことになります。

例えば脆弱性を持つソースは研究機関により
公表されますが以下のような統計があります。

Webブラウザ関連のオンライン攻撃の94%は,
ぜい弱性が公表されてから24時間以内に発生。
      (米IBM調査2008年7月29日発表)

名指しで申し訳ないのですが、今年の年頭において
グループウェアとして有名なサイボウズガルーンに、
いくつかのSQLインジェクションが発表され、
その内容は、管理者ではないログイン可能な
悪意を持つユーザによって、データベース内の
情報取得や改ざんが可能という恐ろしいものでした。

SQLインジェクションとは

アプリケーションのセキュリティ上の不備を
意図的に利用し、アプリケーションが想定しない
SQL文を実行させることにより、データベース
システムを不正に操作する攻撃方法のこと。
また、その攻撃を可能とする脆弱性のこと。
          ( Wikipediaより)

企業など組織として重要な情報を扱っていた場合、
いくらユーザーのアクセス権を設定していても、
データベースに入り込まれてしまえば意味がありません。
個人レベルの話で言えば、いくらセキュリティソフトを
導入していても、アプリの上位にあるOS自体に
脆弱性があれば無意味なのと似ています。

余談@自前サーバーでやる理由

拙生の規模で言うと、現在においてはサーバースペース
(クラウド含む)をレンタルで拝借したほうが面倒でなく
費用も少なくて済みます。
にもかかわらず何故自前サーバーなのか。
WebアプリはOS・プログラム言語(PHP等)・データーベース
・Webサーバー(クライアント側はブラウザやエクスプローラ)
等の組合せでできていますが、各々のバージョンによる
相性などがあり、使用バージョンが限定されてしまうことが
多いのです。
安価で拝借できるサーバーではいずれかが限定される
場合が多く、使いたい組合せが可能であるとは限りません。
バージョンだけでなく、其々に対するセキュリティ対策も
自身で満足いくものか分からない場合がほとんどです。
何があっても自身で対応できるサーバーの構築と言えば
選択肢は自前サーバーしかないでしょう。

サーバーの話になってしまいましたが、サーバーや
Webアプリが怪しいのなら、個人レベルでの防護策や如何に?

・重要なファイルをWeb上でやり取りしない。
・個人情報は一切Web上に流さない。

メールを含めてこれが一番ですが、インターネットの利便性が
半減してしまいますので少し緩めてみます。

・重要なファイルはZIPなどの圧縮ファイルとし、
 パスワードを設定する。
・WebDAVを使用する際は、サーバーのOSやWebサーバー
 などを確認する。
 (数年前のWindowsサーバーとIISの組合せでは、
  *認証機能を回避する上に、HTTP リクエストを
   細工するだけで攻撃が成功するため、危険性が
   非常に高いー警察庁の発表- 
   Windowsサーバーのセキュリティはやばい・・)
・ネットバンキングに使う口座のパスワードなどは
 他の物と共用しない。
 (被害を受けたときの補償等を確認し、納得できない
  場合は銀行を変更する。)
・ネットショッピングはカードを使用しない支払方法を
 選択する。
・カード使用の場合
 ネットショッピングに使うクレジットカードは特定の
 ものとし、限度額を必要最小限のとどめる。
 (カード会社と交渉し限度額を勝手に引き上げさせない。
  被害を受けたときの補償等を確認し、納得できない
  場合はカード会社をを変更する。)

クラックされても被害が最小限で済むように・・・
というパソやネットワークから離れたところに基本が
あるのではないでしょうか。

最近のサイバー攻撃の大半は【金目当て】です!
【利便性の追求はリスクがもれなくついてくる】のですから
これまでやってもダメなら諦めるくらいの覚悟が必要です。

参考 このポストを読んでも無駄な人

1 WindowsXPはまだ使い続けられると思っている方。
2 パソコンが重たくなるのでセキュリティソフトを
  抜いた方。
3 よくわからないからOSのアップデートはしない方。
4 勝手にポップアップ広告が出たり、ブラウザ起動時の
  ホームページが書き換えられていても平気な方。
5 フリーソフトなどのダウンロード時に、全く確認せずに
  同意してしまう方。(外国語含む)
6 カード会社から来る毎月の請求項目を確認しない方
7 ・・・こんなところでやめておきますか・・・(笑

HOME