危ないのは“怪しいサイト”だけではない，一見“無害な”サイトにも罠：ITproSecurityより

セキュリティ組織の米SANS Instituteは現地時間10月14日，ニュース・サイトに見せかけた悪質なWebサイトが確認されたとして注意を呼びかけた。Webサイトにアクセスすると，悪質なプログラム（マルウエア）をダウンロードされる恐れがある。 

　この悪質なサイトは10月12日に登録されたとされる。ニュース・サイトに間違えそうなドメイン名（URL）が付けられ，サイトの内容も，真っ当なニュース・サイトに見える。それもそのはず，そのサイトでは，実在するオーストラリアのニュース・サイトの内容をフレームでそのまま表示している。同時に，悪質なプログラムをダウンロードさせようとする攻撃者のWebページもフレームで読み込んでいる。 

　今回のように，怪しそうには見えないサイトに“罠”が仕掛けられるケースが増えている。このためSANS Instituteでは，馴染みのない（よく知らない）サイトへアクセスする際には十分注意するよう呼びかけている。・・・

数年前といっても、2000年の初め頃、官庁Web改ざんの事件が多発した。

ちょうど不正アクセス禁止法の施行直前の時期だった。セキュリティ業界には特需かぁ？なんて話題になったことを覚えている。

最近の対策動向は把握してないが、当時Web改ざんを回避するためにどうするか？って事で、改ざんは、書き換えられなければ良いのだから、CDROM等の書き換え不可能なものに書けばいい！なんて話もあったが、現実的でなかった。

ページコンテンツを更新するたびに、CDを焼かなければならないからだ。

当時、企業のトップページにおいては書き換えられた場合に、企業イメージ失墜などの話もあった。それは今でも変わらないだろう。

話題になりにくいだけで、今でも改ざんは起きている。

あの頃は、改ざんページを保存していたページもあったが、追いつけないほどの量があったのか？ページは当時のままになっている。http://www.attrition.org/mirror/attrition/

トップページを、プレイボーイの画像などに張り替えられたりした。是非見て。

しかし最も影響が大きく一番ヤバイ改ざんとは、ニュースサイトや政府の公式コメントなど、企業の場合は業績報告やこれも公式なコメントなどだ。

わかりやすいトップページなどは、イタズラ？でも済まない問題だが、書き換えられたことがわかりやすい分、まだいいかもしれない。

自分でもエクセルなどの数値を間違えて入力したら、そんなの覚えてない程に記憶なんかしてない。

同じようなことで、一部だけでも書き換えられた場合はわからない。しかし現在では、技術的方法により、なんらかの回避方法はある。しかし、書き換えの発見後の問題。

その見たものを疑う余地はないものだった場合、また数字やニュースなどのはじめて見るものなどは、それを信用するしか方法はなく、誰しも疑わない。

しかし、こんなところが改ざんされると、いろんな影響が飛び火し、経済損失すら招いてしまう。株価に影響しそうなものだったら真夜中に改ざんされ、その報告や告知がマーケットが開く前に出来るだろうか？

最近では、改ざんされたページからウィルスなどを押し込んでくるものが多い。これも時代が変わったのだろう。

流れを見ていると、ニュース記事の改ざんなんかは、トップページが大々的に変われば気づくが、ニュース内容の一部の数値や名称、国名、などだったら・・・

とんでもない問題にまで発展しかねない。

これは改ざんに限った事ではなく、どの情報についても同様の事が言える。

複数の情報を見て比較する

これは改ざんの回避だけでなく、通常の情報収集でも言えること。

１つの情報だけが、本当に正しいかどうか？誰にもわからないからだ。

自分がその情報を読み込んでいる立場と、まったく対極になる逆の見方である、情報を客観的に見ることをするだけで、新しい発見と、間違った情報をマージできる。

しつこいようだが、改ざんに限ったことではない。

検索エンジンでＴＯＰに表示される情報が、必ずしも正しいものか？わからないのである。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士 ： ブログ

日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

最新記事 by 新倉茂彦 (全て見る)

• 新型コロナで考える「これからの情報セキュリティ」の脅威と方向性の変化 - 2020/04/25
• 【HDD転売事件】「世界最悪級の流出」を質と量で考える - 2019/12/10
• ドコモを騙る「詐欺メール」をクリックしてみたｗ - 2019/09/19

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合：1事例2分程度、45事例すべて実施（90分の研修）
様々な事例を知る　⇒　基礎知識が身につく
⇒　身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合：目安は5分から30分程度、熟考することにより深く身についていきます。
（直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります）
身近な事故事例をテーマ　⇒　自ら（グループで）考える
⇒　他者との討論（発表など）により、多面的なヒントを得ることを目指します。

詳細はこちらへ