講師はアークンの渡辺社長。
セキュリティには全くの素人だったので、今の業界でのトレンドが聞けて、勉強になった。
セミナーの内容は、社長が選んだ2007年の12大脅威についてだった。
以下、自分の気づきと共にまとめる。
1. 受動的な脆弱性の増加
受動的攻撃とは、ユーザがWebブラウザやメールクライアント上で起こす何らかの行動をきっかけにする攻撃。ほとんどの場合、マルウェアを利用してOSやアプリの脆弱性を突く。HTTP(80/TCP)を利用することが多いのでゲートウェイで防ぐ事が難しい。
人的対策
- 最新のセキュリティパッチをあてる
- メール①プレビュー禁止②テキスト表示③添付ファイル/リンクをクリックしない
③について。いくら友人のメールアドレスだったとしても、のっとられていることもある。
技術的対策
- クライアント①マルウェア対策製品②パーソナルファイアウォール
- ゲートウェイ③トラフィックをチェックするワクチン④IPS(進入防御システム)
賠償金も高額になってきているので、ますます企業は情報セキュリティー対策をしなければならない。
3. ウェブアプリを狙った攻撃の傾向
- SQLインジェクション
- XSS
XSSでの常套手段はiframe。
文字エンコーディングの曖昧さも回避すべき。「xss utf-7」でググってみて。
画像XSSとかもあるみたい。
4. 巧妙化する標的型攻撃
標的(スピア:spear:槍)型攻撃とは、特定の組織を標的にした攻撃。その組織に特化した工夫がなされることもある。
ソーシャルエンジニアリングの手法と組み合わせて使われることもある。
ex. 顧客を装う、組織の人間を騙る
5. 正規のサイトも信用できない
正規サイトが改ざんされてるかもしれないから。
6. 国内製品の脆弱性
私御用達のLhaplusもそうでした。。。
7. 検知されにくいボットの猛威
最近のボットはp2p型のもある。
8. SEOポイズニングの広まり
検索結果上位ページが悪質サイト。
であんまり見ないけどね。
9. 組み込み製品の脆弱性
携帯とかにも対策を!
10. プロトコルに対する脆弱性
APOPとかSIPとか。
プロトコルはやばいっすよね。
11. 減らないスパムメール
特にクリスマスとか元旦とかにいっぱい流れるんだよね。
12. ネットバンクの金銭的被害
ネトゲ廃人の皆さん自重(笑)
0 件のコメント:
コメントを投稿