個 人 情 報 漏 洩 を 防 ぐための 知 識 愛 媛 県 臨 床 衛 生 検 査 技 師 会 平 成 18 年 3 月 19 日 ( 日 )13:00~15:00 WEB110 代 表 吉 川 誠 司 http://web110.com/
目 次 1. サイバー 犯 罪 の 動 向 2. 企 業 で 発 生 する 情 報 漏 えいの 分 類 3. 個 人 情 報 漏 えい 事 件 の 分 析 4. Winnyからの 情 報 漏 えい 5. 盗 難 紛 失 による 情 報 漏 えい 6. ウェブサイトからの 情 報 漏 えい 7. スパイウェア 8. フィッシング 9. ネットバンキング
1.サイバー 犯 罪 の 動 向
1.サイバー 犯 罪 の 動 向 平 成 17 年 検 挙 事 件 の 罪 名 別 割 合
1.サイバー 犯 罪 の 動 向
2. 企 業 で 発 生 する 情 報 漏 えいの 分 類 人 的 要 因 技 術 的 要 因 フィッシング ノートPCの 置 忘 れ ノートPCの 盗 難 廃 棄 PC スパイウェア ウィルス ワーム 外 部 からの 不 正 アクセス ファイル 共 有 ソフト メッセンジャー 掲 示 板 への 書 き 込 み 従 業 員 による 情 報 の 持 ち 出 し ついうっかり や 思 わ ぬところから といった 無 意 識 レベルで 漏 洩 す る 領 域 過 失 故 意
3. 個 人 情 報 漏 えい 事 件 の 分 析 訴 訟 費 用 などの 事 故 対 応 費 用 も 発 生 する さらには 企 業 イメー ジの 低 下 による 悪 影 響 も 発 生 漏 えい 事 件 数 損 害 賠 償 総 額 最 大 損 害 賠 償 額 平 均 損 害 賠 償 額 総 被 害 者 数 最 大 被 害 者 数 平 均 被 害 者 数 2002 年 62 件 (55 件 ) 189 億 2201 万 円 90 億 円 3 億 4403 万 円 41 万 8716 人 10 万 人 7613 人 2003 年 57 件 (51 件 ) 280 億 6936 万 円 71 億 1990 万 円 5 億 5038 万 円 155 万 4592 人 56 万 人 3 万 482 人 2004 年 366 件 (336 件 ) 4666 億 9250 万 円 542 億 円 13 億 8897 万 円 1435 万 61 人 451 万 人 3 万 1056 人 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
3. 個 人 情 報 漏 えい 事 件 の 分 析 個 人 情 報 漏 えい 原 因 情 報 漏 えい 原 因 比 率 情 報 漏 えい 原 因 比 率 盗 難 36.15% 目 的 外 使 用 2.7% 紛 失 置 忘 れ 21.6% 不 正 アクセス 1.9% 誤 操 作 10.7% バグ セキュリティホー ル 1.4% 管 理 ミス 9.8% 設 定 ミス 1.6% 内 部 犯 罪 内 部 不 正 行 為 7.9% ウィルス ワーム 1.1% 不 正 な 情 報 持 ち 出 し 2.7% その 他 不 明 2.4% 盗 難 紛 失 置 忘 れだけで57.81%を 占 めている 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
3. 個 人 情 報 漏 えい 事 件 の 分 析 情 報 漏 えい 原 因 の 経 年 変 化 盗 難 紛 失 置 忘 れ が 大 幅 に 増 加 しているのは それらのが 個 人 情 報 漏 洩 事 件 として 報 道 されたから 逆 に 設 定 ミス バグ セキュリティーホール の 比 率 が 下 がっていることから システム 的 な 対 策 が 浸 透 してきたことが 伺 える 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
3. 個 人 情 報 漏 えい 事 件 の 分 析 個 人 情 報 漏 えい 経 路 情 報 漏 えい 経 路 比 率 情 報 漏 えい 経 路 比 率 紙 媒 体 経 由 45.9% E-mail 経 由 6.8% PC 本 体 20.5% FTP 経 由 0.3% FD 等 可 搬 記 録 媒 体 9.0% その 他 6.6% Web/net 経 由 7.4% 不 明 3.6% 紙 媒 体 PC 本 体 FD 等 可 搬 記 録 媒 体 で75.4%を 占 める のは 資 料 の 入 った 鞄 の 盗 難 や 車 上 荒 らし 搬 送 中 の 紛 失 の 発 生 率 と 連 動 しているため 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
3. 個 人 情 報 漏 えい 事 件 の 分 析 情 報 漏 えい 経 路 の 経 年 変 化 情 報 漏 えい 原 因 として 盗 難 や 紛 失 が 増 加 したことに 連 動 して 紙 媒 体 PC 本 体 の 比 率 が 増 加 している 一 方 システム 的 な 対 策 が 進 んだこと により web net 経 由 での 漏 洩 は 減 っている 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
3. 個 人 情 報 漏 えい 事 件 の 分 析 情 報 漏 えい 原 因 別 被 害 者 数 の 比 率 情 報 漏 えい 原 因 の 比 率 としては 内 部 犯 行 内 部 不 正 行 為 不 正 な 情 報 持 ち 出 し が 合 わせて10.6%であったのに 対 し 被 害 者 数 の 比 率 では70.6% を 占 める 出 展 :2004 年 度 情 報 セキュリティインシデントに 関 する 調 査 報 告 書 日 本 ネットワークセキュリティ 協 会
4.Winnyからの 情 報 漏 えい 2006/3/16 愛 媛 県 警 Nシステム 情 報 流 出 か 車 10 万 台 ナンバー 2006/3/15 空 港 の 暗 証 番 号 流 出 全 日 空 機 長 の 私 物 パソコンから 2006/3/15 TBS 出 演 者 らの 個 人 情 報 ウィニー 通 じ 流 出 2006/3/14 通 知 表 80 人 分 がネット 流 出 大 津 の 教 諭 ウィニー 使 う 2006/3/8 NTT 西 でも 顧 客 情 報 流 出 2006/3/8 住 友 生 命 8000 人 分 の 個 人 情 報 流 出 2006/3/7 愛 媛 県 警 被 害 者 情 報 や 殺 人 事 件 資 料 流 出 2006/3/5 岡 山 県 警 で1500 人 の 捜 査 情 報 流 出 被 害 者 名 など 2006/3/1 海 自 の 情 報 流 出 昨 年 中 に 秘 含 む5 件 空 自 でも 2006/2/24 書 記 官 PCから 東 京 地 裁 の 個 人 情 報 流 出 2006/2/22 受 刑 者 情 報 の 流 出 5 施 設 3380 人 分 と 判 明 2006/2/1 郵 便 局 の 顧 客 情 報 2800 件 ウィニー 通 じ 流 出 千 葉 県 2006/1/27 広 島 の 病 院 ネットにデータ 流 出 2006/1/17 三 井 住 友 海 上 業 務 委 託 先 で590 人 分 の 個 人 情 報 漏 洩 2006/1/16 7300 人 の 個 人 情 報 流 出 兵 庫 県 養 父 市 のCATV 2005/12/27 NEC 子 会 社 から 顧 客 情 報 流 出 社 員 の 個 人 用 PCから 2005/11/14 北 海 道 職 員 ら 約 3500 人 分 の 個 人 情 報 がネット 流 出 か 2005/10/7 アフラック 契 約 者 564 人 分 の 個 人 情 報 がネット 上 に 流 出 2005/4/7 鳥 取 大 学 医 学 部 付 属 病 院 小 児 科 の 患 者 8 人 分 の 診 療 記 録 が 流 出 2005/4/1 鳥 取 赤 十 字 病 院 小 児 科 の 診 療 記 録 63 人 分 が インターネット 上 に 流 出 2005/3/29 東 京 医 科 歯 科 大 学 医 学 部 付 属 病 院 の 患 者 50 人 分 の 検 査 データが 流 出
Winnyによる 情 報 漏 えい 対 策 Winnyによる 情 報 漏 えいを 防 止 するために(IPA) http://www.ipa.go.jp/security/topics/20060310_winny.html 1. 漏 えいして 困 る 情 報 を 取 り 扱 うパソコンには Winnyを 導 入 しない 2. 職 場 のPCに 許 可 無 くソフトウェアを 導 入 できないようにする 3. 職 場 のPCを 外 部 に 持 ち 出 さない 4. 職 場 のネットワークに 私 有 PCを 接 続 しない またはできないようにする 5. 自 宅 に 仕 事 を 持 って 帰 らなくて 済 むよう 作 業 量 を 適 切 に 管 理 する 6. 職 場 のPCからUSBメモリやCD 等 の 媒 体 に 情 報 をコピーできないようにする 7. 漏 えいして 困 る 情 報 を 許 可 無 くメールで 送 らない または 送 れないようにする 8. ウイルス 対 策 ソフトを 導 入 し 最 新 のウイルス 定 義 ファイルで 常 に 監 視 する 9. 不 審 なファイルは 開 かない 10. 職 務 上 のデータを 私 有 のPCに 保 存 しない させない
5. 盗 難 紛 失 による 情 報 漏 えい 障 害 者 雇 用 報 告 書 2183 社 分 を 紛 失 厚 労 省 酒 田 天 然 ガス 顧 客 情 報 委 託 先 が410 件 を 含 むメモリーカード 紛 失 日 清 食 品 約 300 名 分 の 履 歴 書 や 個 人 情 報 を 含 むパソコン 盗 難 岐 阜 スズキ 販 売 車 上 荒 らしで 個 人 29 名 と 業 者 15 店 の 顧 客 情 報 を 含 む 鞄 盗 難 益 田 市 387 件 の 顧 客 情 報 を 含 む 水 道 検 針 端 末 用 メモリカード 紛 失 交 番 の 連 絡 簿 を 紛 失 170 世 帯 の 個 人 情 報 入 り 京 都 府 警 金 融 機 関 の 個 人 情 報 紛 失 287 機 関 で 計 678 万 件 に 中 学 生 の 個 人 情 報 入 ったパソコン 盗 難 神 奈 川 県 平 塚 市 東 大 約 2100 人 分 の 学 生 個 人 情 報 納 めたパソコン 盗 難 みずほ 銀 新 たに4 万 7000 人 分 の 個 人 情 報 紛 失 が 判 明 りそな 銀 3 万 件 以 上 の 顧 客 情 報 を 紛 失 大 分 銀 顧 客 情 報 13 万 1000 人 分 を 紛 失 NHK 沖 縄 放 送 局 沖 縄 戦 の 絵 提 供 者 290 名 の 個 人 情 報 を 含 むPC 紛 失 IMJビジネスコンサルティング メール500 件 を 含 むPC 紛 失 東 芝 コンシューママーケティング メールアドレスを 含 むPCの 盗 難 2 件 積 水 ハウス 車 上 荒 らしで3 邸 分 の 顧 客 情 報 を 記 載 した 図 面 など 盗 難 シティケーブルネット 車 上 荒 らしで12 世 帯 分 の 書 類 盗 難 30 万 人 分 の 個 人 情 報 入 りPC 盗 難 花 博 の 展 望 塔 会 員 名 簿 がん 患 者 約 2000 人 の 個 人 情 報 入 りPC 横 浜 の 医 師 宅 で 盗 難 JTB 個 人 情 報 1594 人 分 が 入 ったノートパソコン 紛 失 全 日 空 個 人 情 報 約 7000 件 を 紛 失 あいおい 損 保 顧 客 情 報 7945 件 を 紛 失 虎 の 門 病 院 で 情 報 流 出 医 師 がタクシーにメモリー 忘 れる
5. 盗 難 紛 失 による 情 報 漏 えい 対 策 (1)ハードディスクレスPCの 導 入 クライアントPC 参 考 : 日 立 FLORA Se210シリーズ
5. 盗 難 紛 失 による 情 報 漏 えい 対 策 (2)USBメモリと それに 付 属 している 暗 号 ソフトの 併 用 による ノートPCのデータ 保 護 暗 号 化 されたファイルはノートPCとUSBに2 分 割 して 保 管 する 移 動 する 時 には ノートPCを 鞄 に 入 れ USBメモリはキーホルダーに 取 り 付 け 身 に つける これならノートPCだけ 盗 まれても 個 人 情 報 をノートPCだけで 復 元 することは 難 しい
6.ウェブからの 個 人 情 報 漏 えい 消 費 者 金 融 サイトの 顧 客 ファイルがブラウザで 閲 覧 可 能 だった 例
6.ウェブからの 個 人 情 報 漏 えい ホテルの 顧 客 データがグーグルにヒットした 例 自 分 の 個 人 情 報 をキーワードにして 検 索 してみましょう
6.ウェブからの 個 人 情 報 漏 えい サークル 名 簿 で 試 してみると
6.ウェブからの 個 人 情 報 漏 洩 (1) 検 索 ロボット 対 策 1METAタグによるロボット 対 策 インデックスさせたくないHTMLファイルの<head> と</head>の 間 にMETAタグを 挿 入 する
6.ウェブからの 個 人 情 報 漏 洩 (1) 検 索 ロボット 対 策 METAタグの 挿 入 例 ( 途 中 改 行 は 入 れない) 当 該 ページと そこからリンクしている 全 てを 検 索 対 象 からはずす <meta name="robots" content="noindex, NOFOLLOW"> 当 該 ページのみを 検 索 対 象 とし その 先 のリンクを 辿 らないようにする <meta name="robots" content="index,nofollow"> 当 該 ページは 検 索 対 象 に 載 せず そこからのリンクだけをたどるようにする <meta name="robots" content="noindex,follow"> 当 該 ページをキャッシュをさせない <META NAME="ROBOTS" CONTENT="NOARCHIVE">
6.ウェブサイトからの 個 人 情 報 漏 洩 (1) 検 索 ロボット 対 策 2robots.txtの 設 置 による 対 策 制 限 内 容 を 書 いたテキストファ イルをrobots.txtという 名 前 で 作 成 し ルート ディレクトリへアス キーモードでアップロードしてお く
6.ウェブサイトからの 個 人 情 報 漏 洩 (1) 検 索 ロボット 対 策 全 てのロボットに 対 して 当 該 ディレクトリ 以 下 をクロール 対 象 から 外 す 場 合 の 記 述 例 User-agent: * Disallow: /cgi-bin/ Disallow: /tmp/ Disallow: /private/ ( 空 白 行 )
6.ウェブサイトからの 個 人 情 報 漏 洩 (1) 検 索 ロボット 対 策 3.htaccess によるrobot 対 策 robots.txt を 読 まない 読 んでも 無 視 するロボットに 対 しては.htaccess でアクセス 制 限 をする <Files *> order allow,deny allow from all deny from 61.115.195.180 </Files>
6.ウェブからの 個 人 情 報 漏 洩 Googleのキャッシュから 削 除 する 方 法 URL 自 動 削 除 システム を 使 用 する ただし 事 前 に 元 の ファイルをサーバーから 削 除 しておく 必 要 がある http://www.google.co.jp/webmasters/remove.html
7.スパイウェア 善 良 なプログラムファイルと 見 せかけて その 中 に 各 種 の 個 人 情 報 収 集 機 能 を 埋 め 込 んだマリシャス ソフトウェアの 一 種 無 料 で 配 布 されているソフトウェアの 中 に 埋 め 込 ま れていたり メールに 添 付 されて 送 りつけられてくる
7.スパイウェア スパイウェアの 主 な 活 動 スクリーンキャプチャ パソコンのデスクトップのスナップ ショットを 撮 る 特 定 のキーロギング キーボードの 打 鍵 内 容 をファイルに 記 録 行 動 分 析 クリップボードのモニタリング ブラウザの 訪 問 履 歴 クッキーファイルに 保 存 された 情 報 キャッシュに 保 存 されたパスワードを 列 挙 して 捕 捉 特 定 の 単 語 の 認 識 例 えばクレジットカード 番 号 やネットバ ンキングのURL メールアドレスなど 一 定 の 規 則 性 を 持 った 文 字 列 が 入 力 された 場 合 にその 内 容 を 記 録 ターゲットのIM IMウィンドーからメッセージを 送 信 ウェブカメラのコントロール
7.スパイウェア 進 化 するスパイウェア ホステージ テイカー 駆 除 するとPCのシステムを 破 壊 する ルートキット と 呼 ばれる 技 術 で 作 成 されたスパイウェ アは OS 内 部 に 入 り 込 み システムレベルで 権 限 を 不 正 に 取 得 して 一 般 的 なユーザーでは 検 出 駆 除 ができなくなる ウォッチャー 2つ1 組 の 形 でPCに 侵 入 して 互 いに 監 視 し 合 い 一 方 が 削 除 されるともう 一 方 が 復 活 させる このタイプ も 完 全 に 駆 除 するのが 難 しい
7.スパイウェア ブログがスパイウェアの 配 布 に 悪 用 される 脆 弱 なウェブブラウザでブログにアクセスしてきたユーザーのPCに JavaScriptやActiveXを 使 って 自 動 的 にスパイウェアを 送 りつける 手 口 iwebtunes 音 楽 再 生 機 能 等 でサイトを 強 化 す るスクリプトを 無 償 配 布 ブログサイト GoogleのBlogger 1スクリプトのダウンロード 3スパイウェ アがダウン ロード 4スパイウェアがPC にダウンロードされる ごとにその 分 の 手 数 料 を 得 る 2ブログを 閲 覧
7.スパイウェア メールでスパイウェアを 感 染 させる 手 口 容 疑 者 はスパイウエアを 自 ら 作 り 楽 天 市 場 などの 出 店 業 者 に 客 を 装 っ て 約 600 通 のスパイウェア 添 付 メールを 送 付 10 業 者 からネットバンキン グの IDとパスワードを 入 手 していた 業 者 がメールを 開 かざるを 得 ないよ うにするため 件 名 を 苦 情 などとし 不 良 品 だった 添 付 ファイルの 写 真 を 見 て と 書 き 込 んでいた 不 正 に 入 手 した 出 店 業 者 のIDとパスワード を 利 用 し 業 者 の10 口 座 から 約 1140 万 円 を 自 分 たちが 管 理 する 口 座 に 移 していた (2005 年 11 月 11 日 ) ID パスワードの 取 得 業 者 犯 人 苦 情 メール
7.スパイウェア CD-ROMでスパイウエアを 感 染 させる 手 口 2005 年 10 月 から11 月 にかけ 千 葉 銀 行 北 陸 銀 行 城 北 信 用 金 庫 の3 金 融 機 関 を 送 り 主 と 偽 ったCD-ROMが 顧 客 や 取 引 先 に 郵 送 され インストールした 取 引 先 の 一 部 が 不 正 送 金 の 被 害 に 遭 う 事 件 があった 銀 行 犯 人 CD-ROM ID パスワード 取 得 取 引 先
7.スパイウェア スパイウェア 専 用 対 策 ソフト Spy Sweeper 4.5J(ウェブルート ソフトウェア) http://webroot.com/jp/ 高 度 化 して 検 出 駆 除 ができないスパイウェアを1 回 のスキャ ンで 完 全 に 駆 除 できるという 優 位 性 があるという 11 月 下 旬 からベクターなどのウェブサイトから3990 円 でダウ ンロード 販 売 予 定
7.スパイウェア スパイウェア 専 用 対 策 ソフト スパイウェアの 除 去 とインストール 防 止 SG AntiSPY 株 式 会 社 アークン http://www.junglejapan.com/products/sec/aspy/index.html
7.スパイウェア スパイウェア 専 用 対 策 ソフト スパイウェアの 除 去 とインストール 防 止 Spybot Search&Destroy1.4(フリー) ダウンロード:http://cowscorpion.com/Antispy/spybot.html
7.スパイウェア スパイウェア 専 用 対 策 ソフト スパイウェアがインストールされるのを 未 然 防 止 SpywareBlaster2.01(フリー) http://www.javacoolsoftware.com/spywareblaster.html 解 説 :http://www.higaitaisaku.com/spywareblaster.html
8.フィッシング ユーザーに 偽 の 電 子 メールを 送 りつけ 相 手 の 銀 行 口 座 のパスワードやクレ ジットカード 情 報 などの 個 人 情 報 をだましとろうとする 行 為 一 見 CITIバンクからのメール クリックすると 偽 のページへ 誘 導!
8.フィッシング 国 内 フィッシング 事 案 でもURLがずれてる グーグルツールバーを 使 用 していると 正 規 の URLが 欄 外 に 表 示 され てしまっている
8.フィッシング 国 内 フィッシング 事 案 平 成 16 年 6 月 PSXが 当 たりました という 偽 のソニーからの 携 帯 メールが 送 信 され 偽 の 発 送 依 頼 ページが 開 設 されていた 平 成 16 年 11 月 イーバンク 銀 行 からのお 知 らせ[ 入 金 がありました] という メールが 送 信 され ログインパスワードや 暗 証 番 号 など 入 力 する 偽 のページが 開 設 されていた 今 回 のフィッシング 詐 欺 メールは 実 際 に 入 金 時 に 送 られる メールと 同 じ 件 名 が 使 われていた 平 成 16 年 11 月 Yahoo!ユーザアカウント 継 続 手 続 き 申 請 書 というメールが 送 信 され Yahoo!ウォレットの 登 録 内 容 を 確 認 変 更 させる 偽 ページが 開 設 され ていた I.Eでメールを 読 んでいる 場 合 Yahoo!JAPAN IDを 抜 き 出 されて 画 面 ご と 偽 装 されてしまう 2004 年 11 月 UFJカード を 偽 造 したメールが 送 信 され クレジットカード 番 号 などを 入 力 させるページが 開 設 されており 入 力 した 情 報 を 元 に 作 成 した 偽 造 カードによるキャッシングで 約 150 万 円 が 不 正 に 引 き 出 されるという 国 内 初 の 実 害 発 生 の 事 案 となった
8.フィッシング 海 外 のフィッシング 事 案 最 近 は 戦 争 や 災 害 の 義 援 金 を 名 目 としたフィッシングが 主 流 スマトラ 沖 津 波 に 便 乗 して 詐 欺 をし かける 不 正 なWeb サイトは133にも 上 った
8.フィッシング 海 外 のフィッシング 事 案 ハリケーン カトリーナ 被 害 に 乗 じたフィッシング 当 時 出 回 ったスパムメールは ニュー ス 速 報 を 提 供 する 一 方 で 偽 の 米 赤 十 字 サイトへのリンクをクリックするよう メール 受 信 者 を 誘 導 した このサイトは Internet Explorerの 脆 弱 性 を 悪 用 し メール 受 信 者 のコンピュー タにトロイの 木 馬 Troj/Cgab-A をはじ めとする 悪 質 なコードをインストールし ようとする 一 度 感 染 すると そのPCはハッカーにリモートからコントロールされるようになり スパイや 盗 難 をしたり 混 乱 を 引 き 起 こしたりするための 道 具 として 悪 用 される 可 能 性 がある
8.フィッシング フィッシングのバリエーション HOSTSファイルの 書 き 換 えによるリダイレクト 小 規 模 なファーミング 詐 欺 電 子 メールを 通 じて 拡 がり 感 染 した 個 々のパソコンのローカルホスト ファイルを 書 き 換 える ウイルス たとえば 主 にインターネット バンキング 利 用 者 を 狙 ったトロイの 木 馬 バンカー (Banker)など を 使 っ て 行 なわれてきた ホストファイルが 書 き 換 えられていると ユーザーが 正 しいURLを 入 力 しても 不 正 なウェブサイトにつ ながってしまう
8.フィッシング フィッシングのバリエーション DNS Poisoningによるリダイレクト によるリダイレクト=Pharming DNSサーバに 保 存 された 人 気 の 高 いウェブサイトのIPアドレ スが 悪 質 なサイトのアドレスに 置 き 換 えられてしまう この ため 正 規 のウェブサイトにアクセスしようとしたユーザーが 偽 のサイトへリダイレクトされてしまい そこで 機 密 性 の 高 い 情 報 の 入 力 を 求 められたり 有 害 なソフトウェアをPCへイン ストールするように 指 示 されることになる 脆 弱 性 を 抱 えたサーバでは BINDソフトウェアが 安 全 でない 状 態 で 稼 働 しており forwarder 設 定 が 有 効 になっているすべ てDNSサーバは BIND 9にアップグレードされなければなら ない セキュリティ 研 究 者 のDan Kaminskyが 250 万 台 のDNSサー バをスキャンしたところ そのうちの 約 23 万 台 が DNSキャッ シュ 汚 染 の 脅 威 に 対 して 脆 弱 であることがわかった
8.フィッシング 偽 サイトを 見 抜 く 方 法 (1)アドレスバーのURLを 確 認 ( 効 果 小 ) (2) SSL 認 証 発 行 先 の 確 認 ( 効 果 中 ) (3) フォームの 送 信 先 の 確 認 ( 効 果 大 )
8.フィッシング (2)SSL 認 証 発 行 先 の 確 認 (windowsの 場 合 ) 画 面 右 下 の 鍵 のアイコ ンをダブルクリックして 表 示 される 認 証 発 行 先 のドメインを 確 認 (Macintoshの 場 合 ) はじめからステータス バーに 発 行 先 ドメインが 表 示 されている
8.フィッシング (3)フォームの 送 信 先 の 確 認 1 右 クリックでソースを 表 示 してみる
8.フィッシング (3)フォームの 送 信 先 の 確 認 2<FORM ACTION= URL >のURLを 確 認
8.フィッシング フィッシング 詐 欺 対 策 ツールバー セキュアブレイン の PhishWall PhishWall ( 無 償 ) ブラウザのプラグインとして 動 作 する アクセスしたサイトごとに 正 式 なドメ イン 名 IPアドレス IPアドレスが 割 り 当 てられている 国 名 を 表 示 する 想 定 外 の 国 名 が 表 示 された 場 合 は,フィッシング サイトの 可 能 性 がある http://www.securebrain.co.jp/download/index.html シンセキュアの SecureVM for AntiPhishing ( ( 無 償 ) Webアクセス 前 にあらかじめ 起 動 しておく するとブラウザのやりとりを 監 視 し ブラウザがフィッシング サイトにアクセスすると 警 告 メッセージを 出 す http://www.synsecure.co.jp/japan/antiphishing/download.html
8.フィッシング フィッシング 詐 欺 対 策 ツールバー フィッシング 詐 欺 サイト データベースに 登 録 済 みのサイトやページ にアクセスすると ウェブサイトのホストが 実 際 に 置 かれている 物 理 的 な 場 所 を 表 示 し 疑 わしいサイトにいる 場 合 は 警 告 するポップアップを 表 示 する また ポップアップウインドウで 故 意 に 隠 すことが 多 い 標 準 のツール バーやアドレスバーなどを 強 制 的 に 表 示 する 機 能 や 見 誤 らせる 文 字 を 含 む 疑 わしい URL をトラップする 機 能 も 備 える NetCraft Toolbar http://news.netcraft.com/
9.ネットバンキング ( 検 挙 事 例 ) 2002 年 9 月 キーロガーで 収 集 した5 人 のIDでネットバンキングの サーバーに 不 正 アクセスし そのうちの1 人 の 口 座 から 約 1,650 万 円 を 自 分 の 口 座 に 送 金 した 無 職 者 ら2 人 を 不 正 アクセス 禁 止 法 違 反 電 子 計 算 機 使 用 詐 欺 罪 組 織 的 犯 罪 処 罰 法 違 反 などで 2003 年 3 月 までに 逮 捕 ( 警 視 庁 )
9.ネットバンキング 安 全 なネットバンキングとは? 乱 数 表 による 本 人 認 証
9.ネットバンキング 万 一 の 被 害 を 最 小 限 に 抑 えるには 振 り 込 み 限 度 額 を 必 要 最 小 限 に 設 定 しておく 必 要 以 上 の 預 金 を 残 しておかない 主 要 ネットバンキングの 認 証 方 法 比 較 表 ( 平 成 17 年 2 月 WEB110 調 べ) http://web110.com/cyberacademy/netbank.html