« 続・髪の毛に不用な線が入る症状について | メイン | カスタムアンチエイリアシングプロファイル 2014年5月版 »
2014年05月13日
不正アクセスにはご注意を ~ セキュリティ対策
運営チームになりきる人もいるようなので(@_@)
【重要】PSO2運営チームを装ったフィッシング詐欺にご注意ください
・・・といった物騒なお題が立て続けに起きているのですが、本当に嫌な世の中になってしまったものです。迷惑を通り越して犯罪に近い状態になっているのですが、やっている人は何とも思わないのでしょうか・・・。
先日、PSO2を除く大半のセガさんのサイトが相応の規模のアクセスに見舞われたみたいで、閲覧不可の状態においこまれているようです。今朝、追記文章があげられ・・・こちらですね。
<5月13日 10:30 訂正>
なお、今回の不正アクセスは個人情報を含まない商品情報を掲載する公式サイトへのもので、個人情報の流出等は現在確認できておりません。
・・・ということらしいので、ひとまず安心、といったところでしょうか。しかし、PSO2は奇跡的に狙われなかったものの、ほかが大半標的にされているということで恐ろしいものです。一体何を求めているのやら・・・。
本サイトにも、先日簡単な悪質サイトかどうかの見分け方は記したわけですが、覚えていらっしゃいますか? そう、「個人情報を入力するようなサイトの場合、『頭にhttpsの文字があるか』、そして『鍵のようなマークがあるか』」とお伝えしたはずです。それが簡単に見抜ける方法。
インターネットエクスプローラ(IE)のセキュリティ脆弱性ほか
SSLと呼ばれるセキュリティレベルを上げたサイトでないところにフィッシングサイトは多くあるものなので、まずは鍵付き、httpsアドレスかどうかを見抜きましょう。それをクリアしていたら今度は企業情報のページがあるかどうか。連絡先であったり住所であったり、アクセスマップ、沿革、概要etcetc...ですね。
とはいえ、詳細に調べ尽くす必要はありません。なぜなら「あなたが普段利用しているサイトの利用方法くらいは、あなたが身体で覚えているはずだから」、です。
いきなり「秘密の質問/答え/第2パスワード/セキュリティコード」などを入力要求するようなところは黒といってしまっていいです。共通しているのは「とにかく個人情報をせっついてくる」=入力を急かすような作りになっていること。まずは冷静にその点を見抜ききりましょう。
見抜ききれない、でもこれって自分が使っているサイトだったっけ? と判断に迷う場合は、それこそ「Google検索」で「そのサイトのURLごと検索してしまえばいい」のです。もしもフィッシングサイトまがいのものであれば、ほとんどの場合はほかの人からも何かしらのコメントが寄せられているはずなので。見つからなければ、それも無視していいということでしょう。新しすぎて情報が載っていない、と。
「疑わしいアドレスそのものを検索する」、これポイントなのですよ。にはは。
また、これからの時代、ネットなしで生きていくのもつらいことでしょう。活用できるものは、活用すべきですから。かといって、今回の一件などで恐れおののいてしまった人もいらっしゃるかもしれませんが、必要以上に恐れる必要はないのです。
らべとしては今回のIEの脆弱性については「ああ・・・そうですか」、くらいで、必要部分だけチェックしているにしか過ぎません。そのあたりをうまく伝えてくれているのが、このページでしょうか。
なぜ、IEの脆弱性問題は過剰報道になったのか? ~ 必要以上に危険性を煽った日本のメディアの問題点
今回の件はゴールデンウィーク中といったことや(ニュースのネタに飢えている)、アメリカ政府でも大きく問題視していたことなどばかりが強調して報道され、肝心な中身はどうだったのか、ということになりますけど、「ごくごく一部のみの標的」だったことから、一般ユーザーはそれほど心配する必要はなかったりします。
先日記した、そう。Windows Updateさえしっかり動いていれば、パッチは適用されるので特に気にする必要はありません。が、電話などでのお問い合わせが一番多かったのも、報道機関向けに文章が公開されたのも日本だけだったそうな(汗笑)。
やはり「具体的にどんな障害が起こるのか」「いつ、対策できるのか」などが曖昧だったところが余計に騒ぎを大きくする理由だったのでしょう。大河原さんもまとめられていますけど、この部分はぜひみなさんも目を通していただきたいと思います。以下、引用です。
4月28日時点に公開したサイトでも、「セキュリティ更新プログラムによる対応が行なわれるまでの間、お客様の環境を保護するために、記載の回避策を実施してください」と表記していたが、その時期は明確にしていなかった。これも実はセキュリティの世界では暗黙の了解とも言える言葉の使い方だ。セキュリティ更新プログラムの具体的な提供時期を明記すると、時限的とはいえ、その間はセキュリティ更新プログラムが提供されないことを示す結果となり、これによって、悪意を持った第三者をかえって煽る可能性があるのだ。時期を示さないのは、それを回避するための配慮だと関係者は指摘する。
なので必要以上に不安がるのではなく、ユーザーができることは「Windows Updateをちゃんとかけること」「(セガさんもおっしゃるように)アヤしいサイトをのぞかない」「不用なファイル、リンクを開かない」などです。好奇心、興味などから「うっかり」、というケースが大半です。
自重して、身元がわからないものには触れないこと。
『君子危うきに近寄らず』、ですよ('-')/
追記:Windows XPやOffice 2003向けにはもうパッチは公開されませんので、先ほどとある営業さんとも話していましたけど「XP端末が元気なうちに、必要なデータをまとめて、新しいぱそ子さんへと乗り換えをしましょう」、ということで・・・。
MS、IEやWindowsなどの月例パッチ8件公開、XPやOffice 2003向けはもうなし
『PHANTASY STAR ONLINE 2』公式サイト
http://pso2.jp/
[ セキュリティ ]
From : lavendy | 23:59
トラックバック
このエントリーのトラックバックURL:
http://lavendy.net/cgi/mt/mt-tb.cgi/418
コメント
先月から色々セキュリティ関係で新聞沙汰になってますからねえ
>「疑わしいアドレスそのものを検索する」
大抵の場合はこれで弾けるのですが先月大きく新聞を賑わせた話がありまして
2件の問題を組み合わせたらURLの完全詐称が出来てしまうのが怖いんですよねえ。。。。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
https://www.jpcert.or.jp/at/2014/at140016.html
From : ほげほげ | 2014年05月14日 02:05
ほげほげさんへ
はじめましてなのです・・・って、うは・・・(’’:
まさしく知らぬが仏の内容ですよね、これ(汗笑)。私も存じてはいますが、さすがにそこまで取り上げる内容でもないでしょう、と。元々初心者向けですしね、ここ(@_@)
事業者レベルの方ですと喫緊の課題になっていると思いますけど、一般ユーザー向けにも確かに注意はした方がいいかもしれませんね。
ですが、一番大切なのは「ご自身で利用したことのあるサイトは、おおよその流れをつかんでいるであろう」ということ。
そこに迷いなどが出るようなら、アヤしいかなといった注意が向けられるようになれれば、大きな事故には至らないでしょう、と。
理想はなかなか見つけられそうにありませんが、店舗なりの現実面も、ぜひ活用していきたいところです。全部電子決済、は危険なように感じるのでした。
From : らべ | 2014年05月17日 17:09
