私たちも相棒がほしいですね
2016年春のベーネテック「情報セキュリティ週間」連続耐久ブログもいよいよ最終日の7日目、気合い入れていこう!
これまで2016年2月15日発行の情報処理推進機構(IPA)「情報セキュリティ10大脅威 2016」をベースにおさらいと深堀りをしてきた。
最終日の投稿は、こんな脅威ばかりの中で我々一般業務を少しでも安全に遂行していくためには「相棒」(ダイビングでは「バディ」と呼ぶが)がほしくなるだろう。 そこでセキュリティの専門家ではない一般人がどのようにハッカーや情報漏えいから守ればよいのかという観点から、私自身が使っているツールやサービスの中で簡単・便利・手ごろなものをご紹介したい。 但し、私は全てのツールを試してベストだと判断したわけではなく(必要に応じてた良さげなものを使っている)、また使用する場合の全ての責任は皆さんにある、という2点をご理解頂きたい。
ブラウザやOSは大丈夫か?
個人のセキュリティ対策のイロハの「イ」がブラウザやOSのバージョンを常に新しくすること。 たまに出たばかりのバージョンをインストールしたら思わぬ不具合でひどい目に合うこともあるが、脆弱性対策パッチの場合にはなるべく早くアップグレードしたほうが良いだろう。
例えばChromeの場合はブラウザ右上の三本線から[設定]を開く。
- アクセス履歴を消したい場合には左上の「履歴」から行う。 そもそも履歴を残したくない場合には三本線から「シークレットウインドウ」を選択する。まあここをいじるのは子供と共用しているようなケースだろう。
- セキュリティ関連の設定状況を確認する場合にはこの画面の一番下の「詳細設定を表示」を選択する。「パスワードとフォーム」は定期的に(年に数回程度?)整理しておいたほうが良いだろう。プロキシーの設定、ダウンロード先、SSLの証明書の設定・変更などもこの画面から行うことができる。
- Cookieやjavascript、プラグイン、ハンドラ、ポップアップ禁止などの設定はプライバシー直下の「コンテンツの設定」を選択するとずらっと出てくる。 使いやすさを優先してやや甘めの設定になっているが基本的には全て「推奨」になっていればよいのではないだろうか?
Qualys BrowserCheck
手っ取り早くブラウザーのバージョン、セキュリティ、脆弱性のチェック、および問題点の対策などをやってくれるとってもありがたいツールがQualys BrowserCheckだ。
以下は検査結果の画面だ。
Adblock Plus
Chromeをお使いなら是非ともインストールしたい拡張機能。 書いてある通りで目障りなターゲティング広告やディスプレイ広告などをブロックしてくれるばかりではなく、第三位にランクインしたランサムウエア等でハッカーがよく使うドライブバイダウンロード系のバナー広告であるマルバタイジング(*2) 等のブロックもやってくれる。
(*2)マルバタイジングとは、オンライン広告を通じて行われるマルウェア拡散や悪質サイトへのリダイレクトといった悪意ある行為のこと、および、そうした悪意ある仕掛けが組み込まれているオンライン広告のことである。 http://www.weblio.jp/content/%E3%83%9E%E3%83%AB%E3%83%90%E3%82%BF%E3%82%A4%E3%82%B8%E3%83%B3%E3%82%B0
VirusTotal
メールの添付ファイルを開くのに「嫌な予感」がするなど躊躇するような場合にはこのサイトにチェックしてもらうに限る。 ご存じなかったら是非とも頭の片隅に置いといてもらいたいサービスだ。 使い方は以下の通りだ。
- メールに添付されているファイルをデスクトップに移動する。(クリックして起動しないよう慎重に)
- https://www.virustotal.com/ja/を開く。
- チェックしてもらいたいファイルのパス名を入力して右側のボタンを押すといろいろなウイルス検知エンジンを使って結果を一覧表示してくれる。
- 右上に各エンジンの判定結果がメータで表示される。
TECH-UNLIMiTED
WEB制作やサーバ周りのテストなどに大変便利ツールが豊富に搭載されている。
私が主に使う機能の一つがWHOIS検索、つまり「あんた誰?」と思ったときに使用することが多い。使い方は以下の通り。
- http://tech-unlimited.com/whois.htmlを開く
- 右側のペイン(右サイドバー)からWHOIS検索を選択
- IPアドレスやドメインを入力し右側の「WHOIS情報を検索」ボタンを押すと検索結果がその下に表示される。
メールに添付されているURLが怪しげな時等に使用すれば登録状況はわかります。 ただし最近の高度な攻撃サイトはこの程度の情報では判断できないケースが多いので次に説明するセキュリティベンダーが提供のレピュテーション評価サイトを利用したほうが良いでしょうね。
HOWISの検索結果
Site Safty Center
トレンドマイクロ社が無償で提供するURLを入力する事で、そのサイトの安全性をチェックするURLレピュテーション評価ツールの一つ。個別ページのURLにも対応している。
以下にトレンドマイクロ社の説明を引用する。
「世界最大級のドメインデータベースを持つトレンドマイクロのWebレピュテーションは、Trend Micro Smart Protection Networkの中核を成すコンポーネントです。」
gred
このサービスは株式会社セキュアブレインが提供するWebサイト改竄チェックサービス。
信頼性に疑問を持つ人もいるが、セキュリティ専門の技術者ではない一般人としてはとりあえずこれで十分ではないだろうか?
PWNEDLIST
例えば、日本年金機構の情報漏えいがあった時などにメールアドレス等自分の個人情報が流出してないかをチェックしてくれるサイトがPWNEDLISTサイト のサービスだ(https://pwnedlist.com/)。
何回かバージョンアップがあり、今は自分の複数の情報を登録しておくこともできるようだ。彼らは盗まれた後からかき集めた情報なので即時性にはやや難がある等どれほどの信頼性があるかは確認できてない。 ただ残念なことに漏えいが確認された場合には、ある意味その後の対応がしやすくなることは間違いないだろう。
これ以外にポートスキャンやマルウエア探索ツールなどがあるが、やや専門的になるのでここくらいにしておく。
この回で紹介したツールは手っ取り早くチェックできるという意味で私は十分助かっている。
あとがきというか「つぶやき」
これで「情報セキュリティ週間」耐久ブログをいったん終了する。 今までお付き合いいただいた方、あるいは一部を読まれた方も含め謹んでお礼を申し上げる。
一日最低1500字以上のブログ(実際にはほとんど2000字を超えている)を7日間続けることをどうにか有言実行することができた。
確かに「心の余裕がなくなる」、「睡眠時間が減る」等かなりつらい1週間だったが情報セキュリティに関して自分なりに整理することができたように思う。
また機会があったら別のテーマで挑戦してみたいが、それまでは業務優先、睡眠優先でブログは500字~800字程度のショートトピックを週に1~2回程度UPしたいと考えている。
2016年4月4日