
セキュリティの観点からtarget_blankによる別タブ表示は推奨されていません。現在はブラウザ側で対策が行われましたが、以前はリンク元ページを自在に変更できるコードが効いていました。危険なのは_blankではなく偽ページへのログイン情報入力です。気を付けましょう。

さくらインターネットから通知メールが届きましたが、やはりスパムメールでした。ポイントは送信アドレスが本当にさくらインターネットのドメインメールである事です。そしてさくらインターネットのサービスを利用中のクライアントにも送信されていますので注意です。

ここ数年で世界の著名なジャーナリストなどのスマホがハッキングされている報告がされました。ユーザーが特定のアクションをしなくても、iMessageが届くだけで感染してしまうゼロクリック攻撃です。ソフト「Pegasus」によるもので、最新バージョンのiOSで最新モデルのiPhoneでも感染していた事がわかりました。

Googleアカウントのパスワードが突破され、再設定用メールアドレスまで変更されてしまいました。同じパスワードを使い回ししていた事もあり、リバースブルートフォース攻撃を受けた可能性があります。パスワードは使い回さない事、それから再設定用の電話番号を必ず設定しておきましょう。

ゼロトラスト・セキュリティとは、今までのセキュリティを一から考え直し、攻撃を前提とした対応策を講じる事を指します。これまでのVPNアクセスはキャパシティに限界があり、認証さえ通ればどんなデバイスも受け入れ、管理するにはコストが掛かるものでした。組織ネットワーク内外の垣根を取り払い、毎回ユーザーを新参者として認証に掛け、常に状態を監視する事が必要です。

メーラーデーモンが大量に届く様になったら、それはメールが乗っ取られた事を示します。そのままにしているとメールの送信もできなくなるので、一刻も早くメールパスワードを変更して下さい!そして共通パスワードを使っているログイン情報も全て変更して下さい。他のツールが乗っ取りに遭う場合もあります。

Emotetは知人とのメールのやり取りの返信という形を装って添付ファイルを送ってきます。メールの宛先や過去のメール履歴なども模倣してくるので、一見見分けがつかない特徴があります。メール内容をまずは確認する事、そして添付の文書ファイルの「コンテンツの有効化」ボタンは押さないようにしましょう。

CDNサービスを利用していればオリジンサーバーの代わりにキャッシュサーバーがDDoS攻撃を受けてくれます。正常なユーザーアクセスを妨げる事もなく、サーバー運営コストの削減や負荷軽減につながります。しかしキャッシュサーバーが攻撃を受けるため、CDN側の責任は重大になります。

CORS(Cross-Origin Resource Sharing)とは、本来同一生成元ポリシー(セキュリティポリシー)によるリソース利用制限を一部解除する手段です。ブラウザとサーバーとが通信をするHTTPヘッダーに追加する事で、同一生成元の範囲に入れるか入れないかを設定できます。HTTPヘッダーが変更された場合にはプリフライトリクエストが可能ですし、その情報を一定期間保存する事もできます。

先月アメリカ著名人のTwitterアカウントが大規模な乗っ取りに合い、ハッカーによってコントロールされました。そのアカウントでビットコインを買い取る投稿がされ、11万ドル以上の被害があったとされています。原因はTwitterの社員が買収され、ハッカーにツールへのアクセス権を渡した為とされています。

サブドメインテイクオーバーは、WEBサイトの「サブドメイン」を乗っ取られる被害です。過去にクラウドサービスとつなげていたドメインのCNAMEレコード設定を消していない事が原因です。現状サブドメインとつながったままの解約アカウントの履歴をハッカーにより調査・再作成できるようになっています。

Javascriptは万能で高速なWEB開発に必須の言語ですが、セキュリティ面の脆弱性があります。Javascriptおよびライブラリに脆弱性がないかはセキュリティ診断ツールを利用しましょう。コードの書き方次第で攻撃者の侵入をある程度防ぐ事が可能。プロジェクトニーズに応じたAPIのセキュリティ対策を取る事です。

Google HackingはGoogle検索オプションの高度な検索クエリを利用したハッキングです。本来はサイトの脆弱性が無いかどうかセキュリティ担当者が調べるためにあります。攻撃者に検索される前に自身で検索して機密ファイルはインデックスされないようにブロックしておくべきです。

ディレクトリリスティングとはApacheなどのWEBサーバーの持つ本来の設定(脆弱性)で「/」などのURLで指定した場合、indexファイルが無いと指定ディレクトリ内の項目を第三者に見られてしまいます。無効にするにはApacheのhttpd.confを設定するか.htaccessでアクセス拒否できます。

ドライブバイダウンロード攻撃とはWEBページへアクセスをしただけで、悪意あるコードがダウンロード・インストールされてしまう攻撃です。ユーザーが知らない間にエクスプロイトキットによるそのPCの脆弱性を診断され、最適なマルウエアに感染する事になります。ドライブバイダウンロード攻撃をおこなう犯行グループ事例やその対策を紹介しています。

ディレクトリトラバーサル攻撃はサーバー内の非公開ディレクトリへ不正アクセスする攻撃です。情報漏えいや改ざんなどの被害が予想されます。ツリー構造に対する相対パスなどを使った命令に忠実に従うサーバーの仕様を悪用しています。Wordpressは特に狙われやすいです。basename関数などを使って入力命令を加工・制限する工夫が必要です。

いま、サイバー攻撃対象の8割がゲーム業界です。中でも人気のゲーム機を販売する「任天堂」は常にその標的です。先日もニンテンドーネットワークIDへの不正ログインにより個人情報16万件が流出した事件がありました。ゲーム機への不正ログイン数は全体数の6割に上ります。単体での乗っ取りは無いにしてもIoT機器と連動する際は注意が必要です。

ゼロデイ攻撃とはセキュリティホールの欠陥(ゼロデイ脆弱性)が発見されて、それに対する修正がおこなわれる前におこなわれるサイバー攻撃です。脆弱性が見つかって修正がされるまでは、攻撃を防ぐ事・攻撃を察知する事もできない最も深刻な脅威と言えます。ソフトウェアのバージョンアップはこまめに行い、不審な動きを察知するシステムを導入するようにしましょう。

DDoS攻撃とはDoS攻撃の様に1台のPCでおこなうのと違い、複数のマシンから対象となるサーバーへ大量アクセスによる攻撃を掛ける攻撃です。DDoS攻撃を防ぐためにはPCがウイルス感染で乗っ取られない様にセキュリティソフトを入れ、サーバー側もWAFなどのファイアーウォールを整備する事です。PCマシンだけでなく、家庭で使うIoT通信端末は全て乗っ取りの対象となりえますので注意しましょう。

ブルートフォースアタックとは総当たり攻撃と呼ばれ、パスワードを1件ずつ試行解析して取得するサイバー攻撃です。これにはパスワードの総当たり攻撃・辞書攻撃・リスト攻撃等の種類があります。パスワードロックを掛ける事、2段階認証を設ける事、そして何より英数字で8ケタ以上のパスワードにする事をおすすめします。

クロスサイトスクリプティングとは主にユーザーに被害がおよぶ、スクリプトがサイトを渡り歩くサイバー攻撃です。ユーザーに不正プログラムを持たせ、動的ページにセキュリティホール・脆弱性があるWEBサイトに誘導し、スクリプトを実行して操作します。対策としてはWEBサイト側は入力規制チェックし、WAFを導入して不正通信をブロックする事、ユーザーはセキュリティソフトの導入が有効です。

SQLインジェクションとは、WEBサイトの検索や入力ボックスに実行プログラムを書きこまれる事で、サーバーに本来意図しない結果を表示させる攻撃です。これまで大小問わず数多くのWEBサイトが攻撃を受け、個人情報の流出・サイト改ざんや乗っ取り被害に遭っています。その損害額は計り知れません。SQLインジェクションを無効化するSQL対策、WAF等のサーバー側の対策、特にWordpressはバージョンアップなどの対策が必要です。