« PSO2es 端末引き継ぎ方法 ~ OTP引き継ぎ・スマホ乗り換え/機種変更の際の手順 | メイン | PSO2 アンビエントオクルージョン(HBAO+)の簡単な比較 »

2014年05月02日

インターネットエクスプローラ(IE)のセキュリティ脆弱性ほか

珍しく?公式サイトでも告知がありましたね。


「Internet Explorer」の脆弱性について

三井住友カードを装ったフィッシングサイトについて


上記の2つの話題は、前者がつい先日、後者は少々前から取沙汰されているものです。いずれも「情報セキュリティに疎い人を付け狙った、悪質な罠」と呼べるものであり、

軽視していると最悪の場合、ご自身のぱそ子さんからいろんな情報を盗み見られたり、抜き取られたり、「乗っ取られて」しまいます。恐ろしいですね。

公式サイトには「疑わしいサイトは閲覧しない、疑わしいリンクをクリックしない」とあるのですが、私からいわせてもらえば「何をもってして 疑わしい 基準を定められるのか」と。あまり説得力がないように感じるのですよね。ざっくり言い切ってしまいますと「一世代前の注意喚起法」。今ではプラスアルファが求められるように感じます。

明らかにアヤしいのは除き、今回問題になっているのは「見抜くことが難しいくらい、精巧になってきている『公式まがいの偽のサイトが存在する』」コトが、一番の争点となるわけで。それだけでは足りないのですよね、正直な話。


最近はフィッシングサイト・・・文字通り「釣り」の手口が巧妙になってきており、一般ユーザーでは気づけない部分も増えてきました。いわば、「ぱっと見だけでは公式サイトと見分けがつかないレベル」までに至っています。これではなすすべなく引っかかってしまうことも否定できません。

では、どうやって見抜けるのか? ・・・そう、正式なサイトには必ずと言っていいほど、高い費用をかけて、そして所定の手続きを経て発行される「SSL証明書」なるものがあります(低廉に導入できるのもありますが、ここでは割愛します)。少なくとも、それを採用しているサイトは最低限信用はおけるのかな、といったところです。

(もちろん、そこに 抜け穴=ホール があった場合、必ずしも安全とは言い切れないところも出てしまいますが・・・)


一般的なユーザーは、見た目=絵柄などで判別しやすいのですが、情報達者な方は必ず「アドレスバー」・・・URLが書いてある部分に注目しています。そしてそのURLにSSL証明書が発行されているところは、ほぼ「https」という、特殊な文字列になっています。

本サイトもURLをご覧いただければ「http://lavendy.net/ ~」となっているわけですが、大半のセキュリティ情報などを求めないところは http から始まるアドレスとなっています。ほぼ、フィッシングサイトはそのアドレスから始まっていますので、まずは見抜く第一歩、手がかりとして知っておいて損はないでしょう。

そして、より厳格な「EV SSL」という規格を採用しているところでは、見え方そのものがはでに変わる仕組みとなっています。そのあたりはセキュリティ情報会社のシマンテック社が、詳しく紹介されていますので載せておきますね。

Extended Validation SSL - Web サイトセキュリティソリューションの Symantec Secure Site Pro with EV で緑色のバーを表示


上記サイトにいろいろと細かい部分の解説がありますけど、らべとしては以下のページの「ブラウザでの見え方」を押さえておけたらいいのではないかな、と考えます。

ブラウザでのEV SSL証明書の見え方


いかがですか? 「バー自体が緑色で塗られる」ようになっているのです。これは本格的な、厳格なセキュリティレベルを達成したサイトでしかみられませんので、安心できる証と思っていいです。

かといって、すべての情報入力を求められるサイトで採用されているわけではなく(年額の維持費用も高価になるものなのです)、金融機関、株取引といった「口座情報を取り扱うような、お金の動きが極めて重要なところ」で採用されるケースが多いです。

たとえば通販で大手のAmazon.co.jpさんでは、ごらんのように普通のSSL証明書、で情報を守っている旨の表示となります。適材適所、というわけですね。

Amazon.co.jpの例証明書の例

いずれにしても「https」から始まる「SSL証明書」というものが発行されたサイトでないと、少なくとも「個人情報を入力する際、それらのデータを暗号化しない」ことになりますので、送信途中にどこかにのぞき見られたとしても、誰も保証してくれないわけです。

それはSSLサイトも同じことではあるのですが、「データを傍受しただけでは、暗号化=鍵がかかっているので、解錠しないとみることはできない」ようになっていますので、後はそのハッキングした方の熱意と努力にかかっているといえるのでしょうね。

(誤解していただきたくないのは、SSLがあれば100%安全、というわけではありません。ただし、個人情報を入力する際、最低限なくてはならないもの、あることで最低限の安心・信用はおけるもの、ととらえてください。それでも不安だ、という方は、ネットを利用しないのが吉なのです)

でも、そういった方々は「如何に楽して、個人情報を取得できるか」がほとんどのはずですから、暗号化データなどは気にもとめないことでしょう。それよりは、「いかに巧妙なサイトを作り、簡単に引っかかってくれる、だまされる人がいるか」どうか。そればかりに腐心していることでしょう。


三井住友Visaカードの例となれば、私たちがとれる策は「情報武装をする=情報セキュリティ、リテラシーの向上に努めること」しかないわけです。かといって、事細かに覚えるのは非常に大変です。インターネットの世界は本当に、秒単位で事象が千変万化しますからね。

なので、らべとしては「個人情報を入力するようなサイトの場合、『頭にhttpsの文字があるか』、そして『鍵のようなマークがあるか』」どうかを掲げておきます。この2点が、SSL証明書取得済みか否かを簡単に判別できる方法です。


先ほどのページでも把握できましたよね。色は緑ではないものの、鍵アイコンは共通でつきますので、httpsの文字とともに覚えておくといいでしょう。末尾の「s」の文字は「secure=セキュア=安全」の意味の s なのです。

また、「証明書を継続的に更新することで、定期的に身元を確認する」仕組みをとっていることから、必ず証明書には「有効期間」が設定されています。気になる方は鍵のボタンを押した後、証明書の詳細を表示すれば・・・中身が確認できることでしょう。上にAmazon.co.jpさんの例もあげていますので、ご参考に。

その性質上、ぱそ子さんの内蔵時計があまりにもトンチンカンな値になっていると(年、月がずれているなど)、正常に処理できない恐れもありますのでお気をつけくださいね。右下の時刻表示が、カレンダーとともにおおよそ合っているかどうか、確認されるといいでしょう。

HTTPS - Wikipedia


別の事案として、お使いの環境によっては「このサイトのセキュリティ証明書の取り消し情報は、使用できません。続行しますか?」と現れる場合もありますので、そのときの対処法は下記サイトでも参考にしてみてください。正解は「はい」なのです。

"このサイトのセキュリティ証明書の取り消し情報は、使用できません。続行しますか?" の対処法


ISAOサイトの例以上のような予備知識を持っておくことで・・・サイトを見る目も変わってくるというものです。たとえば、ほら。SEGA IDを入力するあの画面。こちらなのですが、いかがですか? ちゃんと鍵アイコン、ついていますよね。httpsにもなっているわけです。

マネックス証券の例変わって、試しに株取引サイト・・・を検索すると、マネックス証券なるところがでてきたのですが、そちらも企業トップページはなんてことないものの・・・。実際に口座開設しますよ、となって情報入力画面に移動すると・・・ご覧の通り('-'*)


では、Internet Explorerの脆弱性を直すためには・・・? 今回はサポートが終了してしまったXP端末といえど、緊急の懸案となるため、特別にパッチを公開したとのことです。普段通り、Windows Updateを行えば、こちらのように更新プログラムが見つかるはずですので、インストールしておきましょう。

たどり方は スタート>コントロールパネル>システムとセキュリティ>Windows Update>メニュー左側の「更新プログラムの確認」をクリックすることで、こちらのような画面が現れるはずです。導入し、完了すればグリーンのチェックマークが入ると思います。

KB2964358KB2964358 インストール完了

∮ ∮ ∮

・・・といった感じで、セガさんの公式サイトでは喚起文章だけにとどまっていましたけど、これで、どうされればいいのか、がわかりましたよね。ぜひ参考になさってみてください。

え、すでに知っているよ・・・?
・・・失礼しましたのです(@_@)

なお、今回のお題はいろいろな方面に影響が出ているようですね。

「IEに脆弱性」で年配社員パニック


ゆんたく:実はこちらもつい先日まで、SSLに「致命的な欠陥」があったことが公になったばかりだったのですけどね・・・(’’

まさしく、知らぬが仏。・・・あとは、関係各社を信用するしかないのです。

「オープンSSL」欠陥の衝撃、世界に 情報流出危機に利用者打つ手なし


なので、私はいつもいうわけです。

『この世に悪があるとすれば・・・それは人の心だ』

、と。

From : lavendy | 23:59

トラックバック

このエントリーのトラックバックURL:
http://lavendy.net/cgi/mt/mt-tb.cgi/412

コメント

コメントはご自由に



(書式を変更するような一部のHTMLタグを使うことができます)