【第十回】公衆無線LANとの付き合い方

こんにちは

キューブ・エス 中村です。

 

さて、突然ですが、スマホの台頭により

昔は一部でしか存在しなかった公衆無線LANですが

最近はあちらこちらに出回っています。

コンビニエンスストアや携帯ショップでは

無料で使用できるのは当たり前、

ジャンクフード、コーヒーショップ、ファミレスでさえ

使用できるところは最近多くなってきています。

 

皆さんはこの公衆無線LANを

どの様にお使いでしょうか?

 

少し前に流行ったノマドワーカーの皆様などは

非常に使い勝手は良く、また無いと困ると仰る方もいるでしょう。

一方、自宅外のWi-fiに安易な気持ちで接続して

安全かどうかわからない。。。と言う声もちらほら聞こえてきます。

 

では、これらのWi-fiに接続して本当に問題は無いのでしょうか?

 

私が良くお客様に言われて返答している内容は

「通信の暗号化がしっかりされていれば大丈夫。

暗号化がされていない場合は自分で暗号化すればまだマシ。

総じて、自分が設置したWi-Fi SSID以外は基本的に信じてはいけない」

と言う内容です。

 

これはWi-Fiは暗号化されてなければ簡単に接続出来るのですが

暗号化されていないという事は無線でもれなく空中に放出している電波に

貴方のPC、スマホ等で使用したサイトの自動・手動認証情報を

まき散らしている状態であるとも言えるからです。

要は公衆無線LANの電波を全てパソコンでキャプチャすれば、

これらのデータの内、暗号化されていないデータを解析する事で

情報は容易に取得できてしまう恐れがあるという事です。

 

では使わない方が良いのか?

。。。私はそうは思っていません。

せっかく解放してくれているWi-Fi、有難く使用したいものです。

 

ただ、その為には一つ注意点があります。

タダで使用できるWi-Fiは、

昔流行ったタダで使用できるプロキシに類する

「サーバ(AP)側で通信を抜かれる危険性」について

重々検討しておく必要があります。

 

要は、APとゲートウェイの間に

パケットキャプチャ等を仕込まれていれば

平文通信は筒抜けで判ってしまう事、

その環境において、そのWi-Fiサービスを使用する為の

アカウント登録におけるパスワード等は

完全に知られてしまう恐れがあるという事です。

 

例えば、メールアドレスとパスワードを登録させて、

それらをキーに認証すれば使用できるフリーWi-Fiがあった場合

勿論登録サーバを管理する業者側には

あなたのメールアドレスとパスワードはわかります。

旅先で見つけたフリーWi-FiっぽいSSIDに繋げてみたところ

登録すれば使えるよ!って出てきたとして、この管理業者が

貴方のメールアドレス、パスワードを悪用しないとは限りません。

また、その後、httpsで暗号化された通信であったとしても

どこのサーバとやり取りをしたかは記録する事が可能です。

 

そこで、オススメしたいのはリモートアクセスVPN環境です。

低スペックで構いませんので、クラウド環境化にLinux等のサーバを準備し、

そのサーバと社内、及びクライアントからVPNを接続します。

VPNの場合、通信は暗号化され、カプセル化された暗号通信のみが

本回線を通っていきますので、フリーWi-Fiの管理者側で

これをキャプチャしていたとしても、PCとVPNサーバ間に

大量の通信が発生している事しかわかりません。

また、接続時に証明書を使用するL2TP等を選択した場合

発行された証明書を持ち得ていなければVPNの

リクエストも出せませんのでより安全と言えると考えます。

 

もし、御社がリモートワーク等を許可するのであれば

是非ともVPNサーバをもっておく事をお勧めします。

弊社であればSOPHOSしかり、Ciscoしかり、YAMAHAしかり

あらゆる構成でVPNの接続をお客様と検討させて頂きますよ!

【第九回】パスワードの堅牢制について

こんにちは。キューブ・エスの中村です。

今回はパスワードの安全性についてお話をさせて頂きます。

 

さて、先日も別の投稿で記載をしましたが

パスワードについては話をする機会が多いです。

 

とあるお客様曰く、

「パスワードは大文字・小文字・数字・記号で3カ月に一度必ず変更させたい」とのこと。

また別のお客様曰く、

「パスワードはパソコン内に例え暗号化されていたとしても保存はしてはいけない」とのこと。

こういう仕事をしていると、

ああ、会社によって様々なポリシーがあるものだな。。と驚かされます。

 

では、何が正しいのでしょうか?

 

はい、答えは、「わかりません」

ふざけるな!とお怒りの方もいらっしゃるでしょうが

いや、本当に判らないのです。

 

例えば、会社のセキュリティルールとして3カ月に1度変更する事

なんてルールがある会社もあります。

この会社において、「なぜ3カ月に1度更新する必要があるのか」ではなく

「そう言うルールでの運用が義務付けられている事が大切」だからです。

 

例えばPマークの運用、例えばISMSにおいて、PCIDSSにおいて

パスワード運用の規定がある事が多いです。

この為、規定通りに運用する事が大切である事を理解しなければなりません。

 

では実際のところ、運用で気を付けるべき点はどのような箇所なのでしょうか?

弊社では以下の点をお勧めはしております。

・セキュリティ規定で決まっている場合を除き、パスワード変更はしない

・パスワード管理はAD等の認証サーバを導入し、個々で行なう様にする

・管理者IDと個人IDは別に分け、個人IDは本人のみパスワードを知っている状態にする

・ディスプレイ前に付箋が張ってある等は言語道断

・パスワードは最低でも記号入り10文字で設定する

・パスワードは意味の無い文字の羅列にする

・認証サーバが無い場合は各システム別にパスワードを準備する(全て異なる事)

 

尚、昨年5月に発表された米国立標準技術研究所による昨年のガイドラインの内容から、

実際には定期的なパスワード変更をする事により、

極めて適当なパスワードを設定する事が多く、流用されたパスワードの

一部変更がされたパスワードを生成する傾向が強くある事から

パスワードの定期変更はしてはいけない、と勧告するとしました。

スペースも使用できる、最低64文字以上のパスフレーズを使用した認証を推奨するとの話です。

 

ちなみにパスワードの長さは記号+小文字大文字+数字のランダムな羅列の場合

8文字、9文字、10文字の違いだけでもそれぞれ1桁増えるごとに

全件検索での解読までの期間が約60倍になるとの事です。

10文字の場合で400年~500年かかる様になるとの事で

事実上不可能になりますので、是非とも記号を含めた物で

10文字以上で運用する事をお勧め致します。

【第八回】ランサムウェア対策として日ごろから心がける事とは?

こんにちは、キューブ・エス中村です。

 

実はこのような仕事をしている中で、

お客様からお聞きする一言があります。

特に昨今のウイルスが流行したタイミングでは必ずと言って

お聞きする一言なのですが。

「ウイルスにもしもかかってしまった場合はどうすればいいのか」

 

ウイルスにかからないようにするには?と言う観点が多い中

尤もなご質問だと思います。

我々も正直頭の痛いご質問です。

 

これら、3つの観点でお話をさせて頂きます。

 

■ウイルスにかかったと解ったその瞬間に行なうべき事

これは流石に常識として知られていますが、

ウイルスにかかったコンピュータの挙動としては

次の犠牲者を増やそうとする事が多いです。

コンピュータ内にあるメールアドレスデータを探しては

それらに勝手にメールを送信したり、

WannaCry等の場合はCIFSを使用して、

ネットワーク的に隣接するコンピュータに感染したりします。

 

なので、真っ先にすべきことは迷わずLANケーブルを抜いてください。

Wi-Fi接続PCの場合はWi-Fiを無効化する事です。

 

通信経路的にコンピュータが隔絶されれば他のコンピュータへの感染が防止できます。

また御社が攻撃者にコンピュータリソースを寄与する事も防げます。

 

■ウイルスにかかったコンピュータをどうするか

本来は望ましいのは、原因の究明が終わった段階で、

ユーザ情報も含めて、コンピュータ自体の初期化、OSのクリーンインストールを

行なうのが望ましいでしょう。

なぜならば、ウイルスの影響を受けたファイルがどこに存在しているかを

全て把握するのは非常に難しいからです。

一度感染した場合、このファイルを削除したから安全と言える状態はほぼ無いと考えて下さい。

 

さて、どうしても何らかの事情でコンピュータを現役に戻す必要がある場合はどうでしょうか

 

この場合は新種のウイルスである可能性を考慮し、1週間程度コンピュータは休眠させます。

その後、パターンのみがダウンロードできる検閲ネットワークを準備し、

※例えばTrendmicroのパターンダウンロードに必要なIPアドレス、ポート以外に対して

アクセスした場合はアクセスを拒否するネットワーク

これに接続の後、最新パターンにアップグレードしたウイルス対策ソフトで

コンピュータ内の全件検索を行ない、嫌疑のあったファイルは全て削除します。

 

そしてこの後、何が原因で感染したかを明確にしたうえで

※明確になってないと再発・ネットワーク内の他のコンピュータを危険に晒す

明確になった場合のみ、その原因を排除(例えば原因となったメールをクライアント・サーバから削除)した上でならば

通常ネットワーク内に復帰させても問題無いと言えるかと思います。

但し再度怪しい挙動が発生した際は、対応の為、再度ネットワークを抜くところから

実施する必要がある事も付け加えます。

 

■ウイルスがランサムウェアだった場合、支払いに応じるべきか

これは諸説ありますが、多くのランサムウェアにあるテスト復元が

正常にできる場合、そしてテスト復元だけで重要ファイルがもとに戻しきれ無い場合は

支払いに応じるのも一つの手かもしれません。

但し、じゃないと業務継続に影響がある場合限定です。

 

また、これで複合できたとしても上記通り、

一度暗号化されたり、感染したファイルが安全とは思わないでください。

 

■支払わない場合、ランサムウェアにかかった場合はどうすれば良いのか?

一度感染したコンピュータは安全ではないとするのであればどうすれば良いのか。

一番簡単な方法は感染前まで時を戻す事。

つまりバックアップから感染前の状態に戻す必要があります。

 

なので、実はウイルス対策としてバックアップを定期的に取得する事は非常に有効です。

 

なので、ファイルサーバや個々が重要なデータを持つコンピュータの場合は

是非とも定期的、且つ世代的なバックアップを取得できる様にして下さい。

時限的な発症をするタイプのウイルスではない場合、

ランサムウェアに感染していないOSバックアップが残っていれば

復旧作業としてバックアップは非常に有効です。

 


尚、これ等の挙動を自動的にやってくれる

ウイルス対策ソフトも今は存在します。

そもそも、ウイルス検知時に自動的にネットワークを

遮断したりするソリューションも存在します。

一度ご連絡頂ければ、御社最適なご提案をお約束致しますので

どうぞお気軽にご連絡下さいませ。