IT技術者・クリエイターカフェ「最低限知っておきたいセキュリティ」発表内容
7月の「IT技術者・クリエイターカフェ」は、一般のパソコン利用者向けの「最低限知っておきたいセキュリティ」について、いろいろのサイトの紹介がありました。
壊れてもいいWindowsXPのパソコンを持込、「Ophcrackによるパスワード解析」、「NTPWEditでパスワードリセット」の実演も行ってみました。
紹介されたサイトを以下に列挙します。
1.セキュリティクイズで基礎的な知識を確認
1-1 IPA 情報セキュリティ・ポータルサイト クイズに挑戦
http://www.ipa.go.jp/security/kokokara/quiz/
警察庁などのものが一覧されているが、トレンドマイクロがすぐに使えて分かりやすい。
<クイズで判定> あなたのセキュリティレベルは
http://www.is702.jp/special/1314/partner/12_t/
http://www.is702.jp/special/1322/partner/12_t/
<フィッシング詐欺サイト> あなたの「だまさレベル」チェック
http://is702.jp/special/phishing/00001/index.html
ネット詐欺の手口と対処法をクイズで確認
http://www.is702.jp/special/1725/
1-2 セキュリティクイズ10問に挑戦しよう…正解が半分以下なら要注意
http://pc.nikkeibp.co.jp/article/basic/20140821/1140105/?rt=nocnt
日経BP社のPC Online「あなたの「お金」が危ない」の1つ。
インターネットバンキングを利用される方はおさえておきたい。
2.情報セキュリティの基本的サイト
2-1 国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html
総務省のサイト。官庁のサイとしては見やすく、基本的なことは網羅されている。
一般利用者の対策から企業・組織の対策まで理解することができる。
基礎知識
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/index.html
一般利用者の対策
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/index.html
一般利用者の対策 事故・被害の事例
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/case/index.html
企業・組織の対策
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/index.html
企業・組織の対策 事故・被害の事例
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/case/index.html
PDF版ダウンロード
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/download.html
2-2 ここからセキュリティ! 情報セキュリティ・ポータルサイト
http://www.ipa.go.jp/security/kokokara/
IPAのセキュリティ・ポータルサイト。セキュリティのサイトを広く集めている。
知りたいことがあればここから入れば便利である。
IPAはセキュリティの「対策のしおり」も充実しているが、このPDFはもう少し見やすくならないか。
http://www.ipa.go.jp/security/antivirus/shiori.html
映像で知る情報セキュリティ 〜映像コンテンツ一覧〜
http://www.ipa.go.jp/security/keihatsu/videos/index.html
2-3 トレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイト
http://www.is702.jp/
セキュリティについて分かりやすく解説されている。特集記事もある。
http://www.is702.jp/special/list/
マークのびっくりエピソード 〜ネットのふるまい、あなたは大丈夫?〜 →ネットでのことを実際の世界に置き換えおもろい
http://www.is702.jp/special/1680/
スマホウイルスに注意! だましの手口と対策ポイントをチェック
http://www.is702.jp/special/1670/
ネットバンキングを安心して利用する5つのヒント 認証情報の漏えいを防ぐのがカギ
http://www.is702.jp/special/1626/
こんなメールは詐欺を疑うべき! 5つのコツでフィッシング詐欺を回避しよう
http://www.is702.jp/special/1580/
2-4 萩原栄幸の情報セキュリティ相談室
http://www.itmedia.co.jp/keywords/eiko_soudan.html
セキュリティに対する話題が多く出ている。年金機構の情報漏洩などの話題も。
マイナンバーのセキュリティ対策 面倒な事態を避けるには?
http://www.itmedia.co.jp/enterprise/articles/1505/08/news035.html
年金機構の情報漏えい、組織の問題点を探る
http://www.itmedia.co.jp/enterprise/articles/1506/05/news040.html
ついでに、IT終活のススメ
http://www.itmedia.co.jp/enterprise/articles/1503/27/news042.html
3.パスワードリセット関係に関する情報
3-1 パスワードがわからなくてもWindowsにログインする方法(と対策)
http://www.lifehacker.jp/2012/10/121019break_into_win.html
3-2 パスワードがわからなくてもMacにログインする方法(と対策)
http://www.lifehacker.jp/2012/10/121019break_into_mac.html
MACも復元システムからの起動でパスワードが簡単にリセットできてしまう。
Firmwareパスワードセットは必須である。
3-3 Windows ログオンパスワードバイパス
http://www.blackout.org/articles-tools/windows-logom.html
Windowsはパスワードがリセットされることが前提で対策が必要。
3-4 Ophcrackから身を守る方法
http://d.hatena.ne.jp/JULY/20110808/p1
Windowsのパスワードを解析するOphcrackで解析できなくする方法。
パスワードを解析されると当然、暗号化ファイル(EFS)も読まれてしまう。
ついでに、暗号化ファイルシステム (EFS: Encrypting File System)を使う場合の注意点
http://07.net/EFS/
3-5 パソコンの管理者パスワードをWindows PE上から無理やり変更する
http://pnpk.net/cms/?p=730
3-6 パスワードは思った以上に解析されやすい?
http://michisugara.jp/archives/2012/hack.html
ZIP、メールソフト、IEなどのパスワードの解析の紹介。
3-7 「もしかしてID乗っ取られた?」今すぐチェックする方法
http://news.livedoor.com/article/detail/9116499/
ID、パスワードがすでに知られていないか確認するサイトの1つ。
4.その他の話題
4-1 第三者評価機関によるセキュリティソフト評価サイト
http://matome.naver.jp/odai/2135095431963488401
ウイルス対策ソフトの検出率などは第三者機関で確認されたものを参考に。
一般のサイトの情報は、ソフトベンダーから広告料をもらってい場合がある。
ウイルス対策ソフトはわかりにくい。一般の人はどこまで理解できているのか?
4-2 EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル
https://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB
初めてのウイルス対策ソフトはこれで動作を確認。
4-3 迷惑メール対策推進協議会の迷惑メール対策ハンドブックなど
http://www.dekyo.or.jp/soudan/anti_spam/report.html
迷惑メール対策などが詳細にわかる。
4-4 IPA 標的型攻撃メールの例と見分け方
https://www.ipa.go.jp/files/000043331.pdf
個人情報などを扱う場合は目を通して起きましょう。
今は「怪しいメール開かない」ではなく「間違いないメールだけ開く」の鉄則?
4-5 フィッシング対策協議会 フィッシング対策の心得
https://www.antiphishing.jp/consumer/attention.html
分かっていてもつられてしまいそうなフィッシング詐欺。
4-6 あなたを狙うソーシャルエンジニアリングの脅威
http://www.itmedia.co.jp/enterprise/special/0604/se/
古い情報であるが、だましの手口を知るために。
4-7 Facebookを利用する上で注意、Facebookの危険性についてまとめ
http://matome.naver.jp/odai/2130720299046181301
4-8 Facebook利用のセキュリティ10カ条、再点検のススメ
http://www.itmedia.co.jp/enterprise/articles/1403/14/news029.html
4-9 「Android」の初期化機能、個人情報の消去が不完全
http://japan.cnet.com/news/service/35050582/
Androidスマホは初期化しても、消えない情報があるので中古で売る場合は注意が必要。
4-10 Kali Linux(どなたかKali Linuxの使い方に詳しい方説明してもらえれば…)
攻撃者の心理 Kali Linux紹介
http://sys-guard.com/post-2896/
VagrantとKali Linuxを使ってウェブサービスの脆弱性をテストしよう
http://www.casleyconsulting.co.jp/blog-engineer/security/vagrant%E3%81%A8kali-linux%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E3%82%92%E3%83%86%E3%82%B9%E3%83%88/
Kali linux に入っているプログラム〜 Top 10 Security Tools
http://aiaru.hatenablog.com/entry/2015/03/19/105037
5.情報セキュリティ関連の法律
5-1 情報セキュリティ関連の法律・ガイドライン
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/
5-2 情報セキュリティと法令順守
http://www.ipa.go.jp/security/manager/know/law1.html
6.情報セキュリティの基本を押さえ、体系的の整理するために
6-1 情報セキュリティスペシャリストをWebだけで独学合格する対策リンク集
http://d.hatena.ne.jp/language_and_engineering/20141202/SecuritySpecialistExamTextbookAndAnswers
