目次
アピリッツの知識共有サイト「ナレッジベース」で公開されている内容をアピスピでも紹介します。こちらはセキュリティエンジニアの落合さんによる記事です。
こんにちはセキュリティエンジニアの落合です。
突然ですが、みなさんはPCやスマホを使っていて自分の 個人情報が流出したり、ウイルスにかかったという経験はお持ちでしょうか?
インターネットの海には怪しげなWebサイトがたくさんあります。 自分からそのサイトに立ち入らなくても、Eメールや最近ではSMSを使ったフィッシングをして偽サイトに誘導をして個人情報を盗んだり、脆弱なWeb サイトやアプリを攻撃して個人情報を盗んだりで攻撃者たちはあの手この手で個人又は企業から個人情報を盗もうとしてきます。
そんなときにセキュリティに詳しくなくても1mmくらいは役に立つサイトを3つ厳選したのでいざという時に活用してもらえると嬉しいです。
1:メールアドレスやパスワードの流出を自分でチェックできる「HAVE I BEEN PWNED ?」
まず一つ目に紹介するサイトは「HAVE I BEEN PWNED ?」というサイトです。
このサイトはFacebookなどの実際のWebサイトやアプリで攻撃者によって盗まれたEメールアドレスとパスワードがデータベース化され、自分のEmailやパスワード を入力して流出しているかを確認できるサービスです。 怪しいサイトと思われるかもしれませんが、このサイトはセキュリティ研究者の トロイ・ハント氏が運営していて、イギリスの国家犯罪対策庁やアメリカのFBI と情報共有を行っている、信頼性のあるサイトです。
自分も実際にこのサービスを利用して自分のGmailのアドレスを入力したところ個人情報が盗まれていることに気がつきました。Life bearという電子手帳アプリ の運営から個人情報流出の謝罪文の載ったメールが実際に来ておりました。 すべての個人情報流出を確認できるかどうかはわかりませんが、大規模なサービスで流出した個人情報を確認できる貴重なサイトです。
HAVE I BEEN PWNED ? URL: https://haveibeenpwned.com/
2:パスワードの強度は? 「Security.org パスワードチェッカー」
自分のメールアドレスがすでに流出したころを確認したら、対策としてはパスワードを変更して、可能であればSMSによるワンタイムパスワードを設定しておくことです。 パスワードに関してはパスワードは8文字以上で大文字小文字の英数字と特殊文字を 含めたパスワードを設定することをお勧めします。攻撃者としては長ければ長いほ どパスワードを解読するのに時間がかかるので、文字数の長いパスワードもお勧めします。
そしていざパスワードを思いついた!となったら実際にパスワードの強度も確認することもお勧めします。以下のサイトでは実際のパスワード解析にかかる時間も表示してくれます。
Security.org パスワードチェッカー URL: https://www.security.org/how-secure-is-my-password/
3:添付ファイルの安全性を確かめよう「VIROUS TOTAL」
最後に、攻撃者たちはメールやSMSでフィッシングによって直接的に個人情報を盗もうとするかもしれません。又は、身近な人を踏み台にしたフィッシングかもしれません。
身近な人を踏み台にした攻撃はなかなか気を付けていないと見分けられない場合があり、 うっかり添付されたファイルを開いてしまうことがあるかもしれません。
よくあるのは、ウイルスやマルウェアを添付したメッセージを使用した攻撃が考えられます。 次のサイトは、身近な人から受信したメッセージに怪しいファイルが添付されたときに 、利用をお勧めするサイトです。このサイトはgoogleによって運営され怪しいファイル を上げるとファイルにマルウェアやウイルスが含まれているかを確認することができます。
VIROUS TOTAL URL: https://www.virustotal.com/
思わぬところに落とし穴はあります
便利なインターネット生活でも思わぬところに落とし穴が潜んでいるので、自己防衛の ためにセキュリティについて関心を持っていただけると幸いです。