IT技術者・クリエイターカフェ「最低限知っておきたいセキュリティ」発表内容

7月の「IT技術者・クリエイターカフェ」は、一般のパソコン利用者向けの「最低限知っておきたいセキュリティ」について、いろいろのサイトの紹介がありました。

壊れてもいいWindowsXPのパソコンを持込、「Ophcrackによるパスワード解析」、「NTPWEditでパスワードリセット」の実演も行ってみました。

紹介されたサイトを以下に列挙します。

 

1.セキュリティクイズで基礎的な知識を確認

1-1 IPA 情報セキュリティ・ポータルサイト クイズに挑戦
http://www.ipa.go.jp/security/kokokara/quiz/
警察庁などのものが一覧されているが、トレンドマイクロがすぐに使えて分かりやすい。
<クイズで判定> あなたのセキュリティレベルは
http://www.is702.jp/special/1314/partner/12_t/
http://www.is702.jp/special/1322/partner/12_t/
<フィッシング詐欺サイト> あなたの「だまさレベル」チェック
http://is702.jp/special/phishing/00001/index.html
ネット詐欺の手口と対処法をクイズで確認
http://www.is702.jp/special/1725/

1-2 セキュリティクイズ10問に挑戦しよう…正解が半分以下なら要注意
http://pc.nikkeibp.co.jp/article/basic/20140821/1140105/?rt=nocnt
日経BP社のPC Online「あなたの「お金」が危ない」の1つ。
インターネットバンキングを利用される方はおさえておきたい。

2.情報セキュリティの基本的サイト

2-1 国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html
総務省のサイト。官庁のサイとしては見やすく、基本的なことは網羅されている。
一般利用者の対策から企業・組織の対策まで理解することができる。
基礎知識
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/index.html
一般利用者の対策
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/index.html
一般利用者の対策 事故・被害の事例
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/case/index.html
企業・組織の対策
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/index.html
企業・組織の対策 事故・被害の事例
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/case/index.html
PDF版ダウンロード
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/download.html

2-2 ここからセキュリティ! 情報セキュリティ・ポータルサイト
http://www.ipa.go.jp/security/kokokara/
IPAのセキュリティ・ポータルサイト。セキュリティのサイトを広く集めている。
知りたいことがあればここから入れば便利である。
IPAはセキュリティの「対策のしおり」も充実しているが、このPDFはもう少し見やすくならないか。
http://www.ipa.go.jp/security/antivirus/shiori.html
映像で知る情報セキュリティ 〜映像コンテンツ一覧〜
http://www.ipa.go.jp/security/keihatsu/videos/index.html

2-3 トレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイト

http://www.is702.jp/
セキュリティについて分かりやすく解説されている。特集記事もある。
http://www.is702.jp/special/list/
マークのびっくりエピソード 〜ネットのふるまい、あなたは大丈夫?〜 →ネットでのことを実際の世界に置き換えおもろい
http://www.is702.jp/special/1680/
スマホウイルスに注意! だましの手口と対策ポイントをチェック
http://www.is702.jp/special/1670/
ネットバンキングを安心して利用する5つのヒント 認証情報の漏えいを防ぐのがカギ
http://www.is702.jp/special/1626/
こんなメールは詐欺を疑うべき! 5つのコツでフィッシング詐欺を回避しよう
http://www.is702.jp/special/1580/

2-4 萩原栄幸の情報セキュリティ相談室
http://www.itmedia.co.jp/keywords/eiko_soudan.html
セキュリティに対する話題が多く出ている。年金機構の情報漏洩などの話題も。
マイナンバーのセキュリティ対策 面倒な事態を避けるには?
http://www.itmedia.co.jp/enterprise/articles/1505/08/news035.html
年金機構の情報漏えい、組織の問題点を探る
http://www.itmedia.co.jp/enterprise/articles/1506/05/news040.html
ついでに、IT終活のススメ
http://www.itmedia.co.jp/enterprise/articles/1503/27/news042.html
3.パスワードリセット関係に関する情報

3-1 パスワードがわからなくてもWindowsにログインする方法(と対策)
http://www.lifehacker.jp/2012/10/121019break_into_win.html

3-2 パスワードがわからなくてもMacにログインする方法(と対策)
http://www.lifehacker.jp/2012/10/121019break_into_mac.html
MACも復元システムからの起動でパスワードが簡単にリセットできてしまう。
Firmwareパスワードセットは必須である。

3-3 Windows ログオンパスワードバイパス
http://www.blackout.org/articles-tools/windows-logom.html
Windowsはパスワードがリセットされることが前提で対策が必要。

3-4 Ophcrackから身を守る方法
http://d.hatena.ne.jp/JULY/20110808/p1
Windowsのパスワードを解析するOphcrackで解析できなくする方法。
パスワードを解析されると当然、暗号化ファイル(EFS)も読まれてしまう。
ついでに、暗号化ファイルシステム (EFS: Encrypting File System)を使う場合の注意点
http://07.net/EFS/

3-5 パソコンの管理者パスワードをWindows PE上から無理やり変更する
http://pnpk.net/cms/?p=730

3-6 パスワードは思った以上に解析されやすい?
http://michisugara.jp/archives/2012/hack.html
ZIP、メールソフト、IEなどのパスワードの解析の紹介。

3-7 「もしかしてID乗っ取られた?」今すぐチェックする方法
http://news.livedoor.com/article/detail/9116499/
ID、パスワードがすでに知られていないか確認するサイトの1つ。
4.その他の話題

4-1 第三者評価機関によるセキュリティソフト評価サイト
http://matome.naver.jp/odai/2135095431963488401
ウイルス対策ソフトの検出率などは第三者機関で確認されたものを参考に。
一般のサイトの情報は、ソフトベンダーから広告料をもらってい場合がある。
ウイルス対策ソフトはわかりにくい。一般の人はどこまで理解できているのか?

4-2 EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル
https://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB
初めてのウイルス対策ソフトはこれで動作を確認。

4-3 迷惑メール対策推進協議会の迷惑メール対策ハンドブックなど
http://www.dekyo.or.jp/soudan/anti_spam/report.html
迷惑メール対策などが詳細にわかる。

4-4 IPA 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/files/000043331.pdf
個人情報などを扱う場合は目を通して起きましょう。
今は「怪しいメール開かない」ではなく「間違いないメールだけ開く」の鉄則?

4-5 フィッシング対策協議会 フィッシング対策の心得
https://www.antiphishing.jp/consumer/attention.html
分かっていてもつられてしまいそうなフィッシング詐欺。

4-6 あなたを狙うソーシャルエンジニアリングの脅威
http://www.itmedia.co.jp/enterprise/special/0604/se/
古い情報であるが、だましの手口を知るために。

4-7 Facebookを利用する上で注意、Facebookの危険性についてまとめ
http://matome.naver.jp/odai/2130720299046181301

4-8 Facebook利用のセキュリティ10カ条、再点検のススメ
http://www.itmedia.co.jp/enterprise/articles/1403/14/news029.html

4-9 「Android」の初期化機能、個人情報の消去が不完全
http://japan.cnet.com/news/service/35050582/
Androidスマホは初期化しても、消えない情報があるので中古で売る場合は注意が必要。

4-10 Kali Linux(どなたかKali Linuxの使い方に詳しい方説明してもらえれば…)
攻撃者の心理 Kali Linux紹介
http://sys-guard.com/post-2896/
VagrantとKali Linuxを使ってウェブサービスの脆弱性をテストしよう
http://www.casleyconsulting.co.jp/blog-engineer/security/vagrant%E3%81%A8kali-linux%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E3%82%92%E3%83%86%E3%82%B9%E3%83%88/
Kali linux に入っているプログラム〜 Top 10 Security Tools
http://aiaru.hatenablog.com/entry/2015/03/19/105037

5.情報セキュリティ関連の法律

5-1 情報セキュリティ関連の法律・ガイドライン
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/

5-2 情報セキュリティと法令順守
http://www.ipa.go.jp/security/manager/know/law1.html
6.情報セキュリティの基本を押さえ、体系的の整理するために

6-1 情報セキュリティスペシャリストをWebだけで独学合格する対策リンク集
http://d.hatena.ne.jp/language_and_engineering/20141202/SecuritySpecialistExamTextbookAndAnswers

7月のIT技術者・クリエイターカフェは「最低限知っておきたいセキュリティ」

7月のテーマは「最低限知っておきたいセキュリティ」です。

専門家向けでなく、一般のパソコン利用者向けです。情報セキュリティを取り上げたサイトなどを参考に理解を深めましょう。

日時は2015年7月25日(土)14:00から16:00です。事務所は13:00からあけています。

場所はコンピュータ・ユニオンの関西地区組合事務所です。地図はトップページを参照ください。

IT技術者・クリエイターカフェは、コーヒーなどを飲みながらテーマの話題、IT技術者・クリエイターの職場の実態、技術情報などについて自由に話し合いを行います。原則、毎月第4土曜日に開催します。

前回の「不公正取引とのたたかい」はここを参照ください。

EXCELをWindowsのサーバーサイドで実行する

Microsoft EXCELをWindowsのサーバーサイドで実行することは望ましくありませんが、実行させる
必要に迫られこともあります。
危険性があるため、Web上の情報も減っているようです。
その時の以下の1、2を行うと、WindowsサーバーでEXCELを実行できます。

1.DCOMの構成を行う。
コントロール パネル→システムとセキュリティ→管理ツール→コンポーネントサービスを実行します。
コンソールルート→コンピューター→マイコンピューター→DCOMの構成を展開し、Microsoft Excel Applicationを選択し、右クリックでプロパティを開きます。
コンポーネントサービスは「ファイル名を指定し実行」で以下の実行しても表示できます。
dcomcnfg.exe
64bitOSで32bitのEXCELを利用する場合、32ビットの指定が必要で、以下のように起動します。
mmc.exe comexp.msc /32
あるいは
dcomcnfg.exe /32

セキュリティタブ
・セキュリティで起動とアクティブ化のアクセス許可でカスタマイズを選択し、編集ボタンから、EXCELを起動するユーザーにローカルからの起動、および、ローカルからのアクティブ化の権限を与えます。
・同様にアクセス許可でもEXCELを起動するユーザーにローカルアクセスに許可を与えます。
IDタブ
IDタブで「このユーザー」選択し、EXCELを実行させる権限があるユーザーとします。
テスト環境などでサーバー機能と開発環境を混在させる場合、「対話ユーザー」を指定していないと、EXCEL起動時「OLEは現在使用できません」となります。

2.EXCELを起動させるユーザーでEXCELを起動、VBAエディタを一度開き、EXCELを起動できるようにしておきます

繰り返しになりますが、サーバーでEXCELを起動させる場合、危険を伴うとともにライセンスの問題もありますのでご注意ください。
Office サーバー サイド オートメーションの危険性について
http://blogs.msdn.com/b/office_client_development_support_blog/archive/2012/04/12/1-office.aspx

.NET環境でEXCELを使用するには、以下のサイトなどを参照ください。
Microsoft Visual C# .NET を使用して Microsoft Excel を自動化する方法
https://support.microsoft.com/ja-jp/kb/302084/ja
Excelファイルにアクセスするには?[C#、VB]
http://www.atmarkit.co.jp/fdotnet/dotnettips/717excelfile/excelfile.html

なお、オブジェクトの解放を行わないと、起動したEXCELプロセスが残ってしまいますのでご注意ください
http://blog.jhashimoto.net/entry/20120826/1351042349

IT技術者・クリエイターカフェ「不公正取引とのたたかい」発表内容

6月の「IT技術者・クリエイターカフェ」ではIT業界のなまなましい下請け構造、偽装請負の実態が報告されました。難しい問題ですが、これを解決しないとIT業界の地位向上は望めないでしょう。

Microsoft PowerPointでの発表でした。PowerPointをiSpringというツールでHTML+SWFに変換したものを参照ください

不公正取引とのたたかい発表内容(別のサイトで表示します)

 

iSpringのフリー版は次のサイトを参照ください。

https://www.ispringsolutions.com/ispring-free

 

なお、組合員が開発した「WEBで簡単に画像を会員向けに管理できるソフト」の発表もありました。