アメリカンの特集について

自宅で簡単にきれいに白髪染め

私の最大の悩みは頭の白髪の増加です。元のヘアスタイルが確固とした黒い髪のために白髪が1つあるだけですごく目立ちます。遠くから見ても光が当たると白髪だけがキラキラと輝いてしまいます。そこで白髪染めを始めようかと考えています。しかし、数が限られているので、自宅で簡単にできる部分の白髪染めで始めようとしています。
円形脱毛症は子供の頃から知っていたと思う。ストレスなんかでされているようだ、と。若い頃は、冗談の材料程度にしかなっていなかったが、自分の年齢が髪を現実的に考えて起動すると、自分でも円形脱毛症の兆しが考えられる。考えてみれば幼い頃から、こことそこには髪が薄かったような気がする。人間の頭だ、元のソースからそのように均一にトルイイトヌンわけでもないかもしれないけど。考えはすることになる。
　2010年10月25日、オランダ国家犯罪対策局ハイテク犯罪チームがGumblar攻撃でも利用されたトロイの木馬「Bredolab」ボットネット解体に成功したと発表した。福島のオフィス移転って何？

　143のSMTPサーバが停止され、36億通ものスパムメールを配信し続けたネットワークは実質無効化された。犯罪グループの関係者と思われる人物も逮捕されている。だが、ボットネット解体の突破口を見つけたと歓喜したのもつかの間、翌日には別のBredolabが活動開始したと報告があった。Bredolabボットネットは複数のボットネットで構成されており、それぞれのマスターサーバの下、連携して活動する。結局、突き崩したのは氷山の一角でしかなかったと、あらためて痛感させられるニュースとなった。

　Web感染型マルウェアは、生命のごとく多様性をもって進化している。「最近は情報を盗み出すツールや、スパム配信ツールだけでなく、偽アンチウイルスツールや偽セキュリティツールといった“人をだます”ソフトを埋め込む傾向もある」。NRIセキュアテクノロジーズのセキュリティコンサルタント、木内雄章氏はそう指摘する。

　2010年10月に登場した偽セキュリティ診断ツール「WinHDD」も、そうした“だましの手口“を使うマルウェアだ。メールやWebサイトを表示するだけで自動実行するWinHDDは、HDD診断を促してデフラグを実行したように見せかける。その後、問題があるので深い調査ができる有料ソフトを購入するよう勧めてくる。ベリサインのアイコンや認証画面を表示することでユーザーを安心させ、カード情報など個人情報を入力させる。６６％OFF 保険代理店の事情

　このような、ある意味洗練されたマルウェアを作るには、それなりの技術力と時間を要する。「重要インフラを攻撃の目標とし、産業用システムに侵入してプログラムを改ざんして話題になったStuxnetは、一定の技術を持った数名の技術者が集まっても作成に数万時間かかるのではと推測されている」（木内氏）。それだけの人材や開発環境をそろえられるのは、犯罪組織が裏に控えているからだ。

●意外と管理できていないWebページのリスク

　2010年10月、新たな手口が話題になった。それは、広告アドなどのWebパーツを改ざんするというものだ。

　2010年9月、広告アド配信サービス「MicroAd」を利用するWebサイトでウイルス感染被害が多発した。同サービス提供元のマイクロアドによると、同社の広告配信サーバのプログラムが改ざんされ、悪意あるサイトへ誘導するURLが広告配信用タグに差し込まれたとのこと。アクセス先にはセキュリティソフトを装ったマルウェア「Security Tool」が設置されていた。誤ってダウンロードしてしまうと、本来のトロイの木馬としての活動を開始し、しかもなかなか排除できない。

　「複数のWebサービスを組み合わせるマッシュアップが増えている今、その盲点を突いた攻撃といえる。自社サイトのコンテンツだけを気にしていればよいという考えが通用しなくなった」。マッシュアップサイトでは、他社コンテンツの感染が原因で自社が風評被害に遭う可能性が高くなったと、木内氏は危険視する。和歌山のアクサダイレクトのメリット実際、MicroAd事件では感染するから閲覧するなとTwitterでマッシュアップサイト名が流れる騒ぎとなった。

　自社サイトが攻撃に荷担していないことを監視、管理する方法は、サイト内のリンク先URLをすべてリスト化し、怪しいURLにリンクが改ざんされていないか、不正な変更がされていないかを定常監視することだ。怪しいURLへのリンク改ざんに対する監視・検知は「Gumblar対策サービス」などで提供されており、不正な変更に関しても「改ざん検知サービス」がある。

　しかし、注意すべきはこれらの定常監視サービスやソリューションでは、監視対象のURLを明確にする必要がある点だ。自社サイトの構成と管轄をひも付けて可視化し、一元管理できていれば問題ない。　しかし実際は、製品キャンペーンや新入社員採用など、情報を随時更新したり、資料送付先として個人情報の収集を短期間で行うWebページの作成は、社内のクリエイターだけでは回らずに外部委託するケースが多い。「情報発信の部署は人事や広報などバラバラで、しかもそのページを作成している外部委託先もバラバラ。企業規模が大きくなるほどに、Webサイト管理はカオス化する」（木内氏）

　コンプライアンス対応やセキュリティ対策の一環としても、すべて把握して一元管理できることが望ましい。定点監視して、何かあったとき迅速に対処できるようにする。そのためにも、自社サイトの構成と管理部書をすべてリスト化しておくことは、基本中の基本かもしれない。

　NRIセキュアテクノロジーズでは、独自調査とヒアリングによりユーザー企業のWebサイトを整理し、簡易的な一覧化を支援している。利用した顧客からは、自社サイトがこんな構成になっていたとは知らなかったと驚かれることが多かったという。明日の生命保険選び方☆を調べよう「見えなかったものが見えたと評価してもらえた。URLのリストアップは手作業が多いので、それを委託できることもメリットの1つ。一度整理すれば長期間セキュリティ対策に利用できる」（木内氏）。基本を“見える化”しておけば、マッシュアップされたWebページも発掘でき、対策も打てる。

　現状の全体感を大枠で把握しておけば、どこに潜在的なリスクがあり、どこにどれくらいの投資が必要なのかが明確になる。見えてきた潜在リスクに対処すれば、セキュリティレベルを底上げできる。同社では、自社関連サイトの全体感を把握する一元化支援のほか、「Tripwire変更管理・改ざん検知サービス」や「Web感染型マルウェア検知サービス」など、底上げのための各種セキュリティソリューションも用意している。

●基本に立ち戻ることが最善の防御策

　セキュリティ対策は、バランス感が難しいと木内氏は言う。「昨今の攻撃対象は端末からサーバまで幅広い。そのため、多層的な対策が必要なのだが、少しでも管理や統制が欠けると、その穴を狙って攻撃されてしまう」。各要所で必要十分な対策を取りながら、全体のセキュリティレベルを高めていく。それには、自社が何を管理しているかといった基本をきっちり押さえておくことが重要だ。栃木の生命保険・・・ランキングをの極みへ

　2011年もWeb感染型マルウェアとの戦いは続くだろう。だが、自社サイトの構成要素を丁寧に洗い出し、バランスを見ながらセキュリティ対策を施すシンプルなアプローチだけで、リスクは十分軽減できる。年末は自宅の大掃除ですっきりしたという方。ぜひ年明けは自社サイトの大掃除と整理ですっきりするのはいかがだろうか。

※関連記事：2011年は標的型サイバー犯罪対策とモバイル端末管理が重要――シマンテック
→http://techtarget.itmedia.co.jp/tt/news/1012/17/news06.html