Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 最終回「サイバーノーガードのWebサイト見分け方」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.17(木)

Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 最終回「サイバーノーガードのWebサイト見分け方」

特集 特集

 サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。

●サイバーノーガード戦法実施サイトを見つける方法

 サイバーノーガード戦法をとられると、利用者はきわめて危険な立場に追いやられる。自分を守るためにも、サイバーノーガード戦法を採用しているサイトの利用は控えたいところである。問題はどうやってサイバーノーガード戦法採用サイトか、どうかを見分けるかである。

 サイトのトップページに、「当サイトはサイバーノーガード戦法を採用しております」と書いておいてくれればわかりやすいが、だいたいの場合はそうじゃないので面倒である。

 かといって、自分でサイトをチェックしようとすれば、不正アクセス禁止法にひっかかってしまいかねない。

 そこで、不正アクセス禁止法に抵触する危険が比較的少ない方法を考えてみた。

・過去のインシデント記録
 一番簡単なのは、過去にインシデントを起こしたサイトかどうかをチェックする方法である。過去に事故を起こしたからダメというのではなく、その当時の記事を見れば、事件発生時の対応やその後の対策などもある程度わかるので、参考になると思う。ScanNetSecurityのWeb改ざん情報のページや、「日本情報漏えい年鑑」という資料もある。

日本情報漏えい年鑑 2008
http://shop.ns-research.jp/3/3/11015.html
ScanNetSecurity Web改ざん情報
https://www.netsecurity.ne.jp/9.html

 サイト名やサイト運営会社の名前にインシデントあるいは情報漏えい、改ざんなどを加えて検索してみてもよいだろう。インシデントがあれば、ヒットすると思われる。

・サーバの更新頻度
 Webサーバのバージョンアップを頻繁に行っていれば、とりあえず放置ではないことはわかる。そのサイトの利用しているWebサーバの種類とバージョンがわかる便利サイトがある。Netcraft というサイトである。利用方法は簡単、下記のURLにアクセスし、確認したいサイトのURLもしくはIPアドレスを入力するだけである。

Netcraft
http://uptime.netcraft.com/up/

・ホスティング先のチェック
 多くの場合、自社でサーバを設置、管理していることは少ない。だいたいはどこかのデータセンターに設置したり、レンタルサーバ借りしたりする。こういう場合は、信用できそうなデータセンター業者に設置あるいはレンタルサーバを借りたりしているかどうかがチェックポイントになる。

 過去にインシデントを多発しているようなレンタルサーバ業者を利用している場合は要注意。

・アプリケーションバナーのチェック
 アプリケーションバナーというのは、アプリケーションに通信があった際に、自分の名前(ソフト名)やバージョンを返信してくるというものだ。もちろん、相手が悪意をもっているケースもあるので、馬鹿正直にソフト名とバージョンを教えるのはあまり好ましくない。

 というわけで http や https のポートにブラウザ以外でダイレクトにアクセスして、アプリケーションバナーが戻ってくるかどうかをチェックするのも参考になる。

 アプリケーションバナーを出しているから、即ダメというわけではなく、ちゃんとしたところもあるので、あくまでも参考程度に考えておくとよいでしょう。

 ・メールアドレスを検索してみる
 もっとも基本的なチェック方法。こんな原始的な方法がいまでも通用することは驚きである。
 google などでサイトを限定した上で、"parent" "directory"といったキーワードや"@docomo.ne.jp"、"@yahoo.co.jp"などで検索してみる。

 検索窓に"@docomo.ne.jp site:www.netsecurity.ne.jp"と入力すると"www.netsecurity.ne.jp"上にある "@docomo.ne.jp"を検索する。ちなみに、実際にこれで検索すると、ある記事がヒットします。

 下手をすると個人情報がそのまま掲載されているページにヒットしてしまう。これは不正アクセス禁止法になるんだろうか? いや、しかし、検索エンジンで普通に検索できんだから、違うような気がする。

 ちなみに、うわさによるとおそろしいほどヒットするそうです。十分、ご注意ください。

 行う場合は、ご自身の責任でお願いします。

 とはいってもやはりあくまで参考程度までしかわからない。

 結局、運次第ということになってしまいかねない。

●サイバーノーガード戦法の有効性は国としてのセキュリティ施策の有効性のバロメータ
 制度の変更がもっとも効果的な対策

 サイバーノーガード戦法を採用する企業が少なくないということは、国全体のセキュリティレベルが低いということなんだと筆者は考える。一般の利用者に大きな被害をもたらすのは、無差別大量攻撃である。標的型攻撃は脅威に違いないが、無差別大量攻撃の方が被害範囲は広く、その影響は甚大である。標的型攻撃が危険なのは、その対象がクリティカルなインフラの時くらいじゃないだろうか?

 いってみれば標的型攻撃はテロのようなもので、無差別大量攻撃は普通の犯罪である。テロも怖いが、普通の犯罪の発生率が高く、検挙率が低いことは社会全体が危険ということにならないだろうか。

 サイバーノーガード戦法は無差別大量攻撃にうってつけの攻撃対象である。というか、既にだいぶやられているんじゃないかという気もする。サイト運営者が気がついていないだけじゃないだろうか。

 サイバーノーガード戦法がいまだに有効で、無差別大量攻撃も有効だということは、これまでのセキュリティ施策は結果として、全体的なセキュリティレベルの向上には益していなかったといえるのではないだろうか。

 繰り返しになるが、サイバーノーガード戦法が現行制度では合理的な選択である以上、この戦法を採用する企業は減らない。減らすためには、現行制度の変更が不可欠なのではないかと思う。

 最後に念のために付け加えておきます。本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。

【執筆:Prisoner Langley】

【関連記事】
Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008
第1回「サイバーノーガード戦法 3つの魅力」
https://www.netsecurity.ne.jp/7_12386.html
Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008
第2回「サイバーノーガード戦法 3つのデメリット」
https://www.netsecurity.ne.jp/7_12428.html
Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008
第3回「個人情報漏えいの損害賠償は恐い?」
https://www.netsecurity.ne.jp/7_12464.html
Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008
第4回「無責任企業がトクをする日本の制度」
https://www.netsecurity.ne.jp/7_12497.html

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

    ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  4. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  5. ISMS認証とは何か■第1回■

  6. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. ペネトレーションテスターは見た! 第1回「ペンテスターの苦悩 ~ 脆弱性が見つからないのは○○だから?」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×