本日は午後に更新します。

  「・・・・・？」




「いやぁ、まいった。」
「今日はね、サーバー上に書き溜めた原稿のデータが、秘密結社KSNの策略により行方不明になったので、ブログの更新ができないんだ（T-T」



「え～！？楽しみにしていたのに・・・・。」

「なんとか復旧できれば、頑張って午後に更新してみるよ。」
「また昼休憩の後半か、午後休憩の時にでも見に来ておくれやす。」

第23回 第2部 第46問

ソーシャルエンジニアリングの脅威に対する、直接的な対策でないものを１つ選びなさい。

ａ． 個人情報が含まれた書類はシュレッダで裁断してから廃棄する。
ｂ． PCの画面にのぞき見防止用のスクリーンフィルタを取り付ける。
ｃ． PCにパーソナルファイアウォールを導入する。
ｄ． 使用済みハードディスクは、専用のツール等を用いてデータを完全に消去してから廃棄する。
ｅ． サポートセンタの担当者を名乗る人物から、電話でパスワードや暗証番号を聞かれても答えない。

「ソーシャルエンジニアリングってなに？」

「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことだよ。身分をごまかして管理者や利用者に直接聞き出したり、とても恐ろしい手段なんだよ。」

「ひゃあ!とてもこわいね!」

「そうなんだ～。だから今日は日常の個人情報や機密情報の取扱について考えよう～。選択a～eまでを1つずつみていこう。」

「『a．個人情報が含まれた書類はシュレッダで裁断してから廃棄する。』だけどなんでそんなことしなきゃいけないの？」

「そのままゴミ箱へ捨てちゃうと、ゴミ箱から直接だったり、あとでゴミ捨て場からだったり、タイミングは色々あるけど、持って行かれる可能性があるからね。」

「えぇ!!ゴミ箱を漁る人なんているの？キタナィ。。。泣」


「そうだね。でも重要な情報はお金になるからね～どうやってでも持って行きたいんだよ～。」

「『ｂ．PCの画面にのぞき見防止用のスクリーンフィルタを取り付ける。』のは？」


「これも良い対策だね。背後にはご用心っ！」
「人の出入りを制限している職場ならあまり気にしないけど、外部の人間がそのまま入ってこれるようなレイアウトなら重要な対策だね。」
「こっそり背後からPCのモニターを覗き見されて、重要な情報が漏えいする可能性もあるからね。」

「のぞき見防止スクリーンを貼ると見えなくなるの？」


「正面に座って普通にPCを操作する分にはあまり影響がないかちょっと暗くなる程度だけど、そこから少し角度がずれて斜めから見ると画面が見えなくなるんだよ。」

「『ｃ．PCにパーソナルファイアウォールを導入する。』これは良いセキュリティ対策だよね～。」

「おやおや？ファイアウォールの導入ってどんな対策なのかな？」
「ファイアウォールは技術的且つネットワークからの侵入への対策にだから、セキュリティ対策ではあるけど、ソーシャルエンジニアリングの対策ではないよね。」

「そっか～。ソーシャルエンジニアリングはもっとシンプルな手口だもんね。」

「『ｄ．使用済みハードディスクは、専用のツール等を用いてデータを完全に消去してから廃棄する。』の説明をしてみよう。」

「ファイルの削除だけじゃだめなの？」


「実はHDDのファイルを削除しただけだと、データは残っていて、『削除したよ』って状態になって、見えなくなるだけなんだ。」

「それってゴミ箱のこと？ゴミ箱を空にすればＯＫなんじゃないの？」


「いいや、ゴミ箱から削除した時の話だよ。」
「いうなれば、在庫はあるけどカタログからは消えた状態・・・みたいな。」

「へぇ～、知らなかったぁ～。安心できないね。」

「『ｅ．サポートセンターの担当者を名乗る人物から、電話でパスワードや暗証番号を聞かれても答えない。』は分かるよね？」

「これは分かるよ！本当にサポートセンターの人か確かめないとね！」





【 第23回 第2部 第46問 解答＆解説 】

［解答］　ｃ．
［解説］
ａ．対策となる。
ｂ．対策となる。
ｃ．対策とならない。ソーシャルエンジニアリングとは、詐欺的な手口によって認証情報や個人情報を入手することであるため、パーソナルファイアウォールといったソフトウェアを使ったものはソーシャルエンジニアリングの対策とはならない。
ｄ．対策となる。
ｅ．対策となる。

第24回 第2部 第53問

スニファリング対策として、効果が期待できるものを2つ選びなさい。


ａ． 無線LANを使用する際はWPA2による暗号化を有効にする。
ｂ． PCからインターネットにアクセスする際、TLSやSSLによる通信を行う。
ｃ． PCのHDDのファイルシステムに暗号化したものを用いる。
ｄ． クライアントPCへのアドレス割り当てにDHCPを利用する。

「スニファリングってなんだろう？よく分からないな・・・。」


「日本語ではパケット盗聴と呼ばれることもあるよ。」
「スニフ（sniff）がニオイを嗅ぐって意味で、ネットワークを流れる情報を嗅ぎ取るように盗み出すスニファー（sniffer）ってツールがあって、それを使う不正行為がスニファリング（sniffering）だね。」

「盗聴されちゃうの！？」


「そうだよ。下手するとメールやファイルサーバーのＩＤ・ＰＷなんかも他人に知られてしまう可能性があるんだ。」

「えー、そんなの困るよー。」


「困るねー。だから対策をきちんとしよう。」


「どうすれば良いの？」


「スニファリング対策には暗号化が良いね。」
「もし盗聴されても意味が分からないようにすれば良いんだ。」

「どういう事？」


「通信の内容を暗号化しておけば、たとえ盗聴されても内容がわからないから重要な情報が漏れる事は防げるって寸法さ。」

「なるほど～。httpsとかSSLとかあの辺のヤツかな？」


「そうだね。あとは無線LANのWEPとかWPAとかだね。」


「無線LANの暗号化方式っていくつかあるけど、どれが良いの？」


「WEPよりもWPA、WPAよりもWPA2の方が強力だね。」
「とくにWEPは脆弱性が発見されているので、おすすめはできないね。」

「なんでWEPはいまだに残ってるの？」


「これはね、WEPにしか対応していない機器もあるから、残さざるを得ないんだ。」


「そうなんだ～。」

【 第24回 第2部 第53問 解答＆解説 】
［解答］ａ，ｂ．
［解説］

ａ．期待できる。 無線LANを使用する場合は、スニファリングされないようにデータの暗号化をすることが望まれる。WEPではなく、WPA2を利用することは効果が期待できる。

ｂ．期待できる。 Web通信やメールの送受信などインターネットにアクセスする際にはTLSやSSLによりデータの暗号化をすることでスニファリングの対策となる。

ｃ．期待できない。 スニファリングは流れているパケットを盗み見る行為であり、HDD内を覗き込むわけではないので効果がない。

ｄ．期待できない。 クライアントへのIPアドレスの割り当て方法をDHCPにすることはスニファリング対策とはならない。

第21回 第2部 第3問

ファイルシステムに関する記述として、誤っているものを1つ選びなさい。

ａ． ファイル1つあたりの最大サイズはファイルシステムごとに異なる。
ｂ． FATを使用しているUSBフラッシュメモリは、WindowsでもMac OSでも読み書きできる。
ｃ． NTFSには、アカウントごとのアクセス権設定機能がある。
ｄ． FATはジャーナリング機能を持つファイルシステムである。



「ファイルシステム？」


「windowsなどで記憶する装置（HDD）というものが中に入っているのは知っているよね？」

「うん。それくらいはわかるよ。」


「じゃあ例えばPCのファイルの中に何か保存したことはあるかな？」


「あるよ！マイピクチャーのところにコムたろうフォルダを作成してその中に写真を保存したことある。」

「おお！それじゃ話しが早い。そのコムたろうくんが保存した行為が正にファイルシステムを利用しているんだよ。」

「え！？そうなの？」


「ファイルシステムというのは、PCのデータを記録する方法とかファイルやフォルダ（ディレクトリ）の作成・移動・削除などを行う際の管理方法みたいなものなんだ。」
「さらにこのファイルシステムにはFAT、NTFS、HFSという種類があってそれぞれ扱えるファイルの最大サイズも異なるんだよ。」

「なるほど！それじゃ選択肢aは合っているんだね。FATとかNTFSとかってどう違うの？」


「簡単に説明するとFATはWindowsとMAC両方利用できて、NTFSはwindows NT以降用、HFSはMAC専用のファイルシステムなんだ！」

「そうなんだ！？FATはWindowsとMAC両方利用できるのならｂも合ってるね。そうなると残る選択肢はｃとｄか。」

「NTFSは、複数ユーザがアクセスするサーバでの運用を念頭において設計されているためアカウントごとのアクセス権設定機能があるんだよ。」
「またセキュリティ管理に優れること、ジャーナリングファイルシステムという障害が発生した場合のデータ復旧機能を備えていることなどの特徴もあるんだ！」

「じゃあFATにはジャーナリング機能はないのかな？？」


「そうだね！残る選択肢はそれしかないよね！？」


「よくわかりましたー。ありがとうドット先生！」

【 第21回 第2部 第3問 解答＆解説 】
［解答］d
［解説］
ａ． 正しい。ファイル１つあたりの最大サイズはファイルシステムごとに異なる。
ｂ． 正しい。FATを使用しているUSBフラッシュメモリは、WindowsてもMac OSでも読み書きできる。
ｃ． 正しい。NTFSには、アカウントごとのアクセス権設定機能がある。
ｄ． 誤り。ジャーナリング機能はNTFSに搭載した機能であり、FATには搭載されていない。

第19回 第2部 第45問

以下の図のファイル群に不正プログラムが入っていた場合、これがダブルクリックにより実行されてしまう危険性を持つものはどれか。
図中の選択肢から２つ選びなさい。
なお、アプリケーションの脆弱性については考慮しないものとする。

「……1つは何となく解るかな？」


「どれがあやしいと思うの？」


「『ａ』だと思うんだけどね。」


「その理由は？」


「『setup』って書いてあると、だいたいこのファイルって何かを実行するのに使われなかったっけ？」

「コムたろう君が言っているのは、『setup.exe』のことだね。」


「そうそう、それ！インターネットでダウンロードしたファイルってたいていそんな名前のファイルじゃない？」

「まぁだいたいそんな名前だよ。」


「ほらね！だから、なんか悪いことを実行するから『a』だと思うんだよね。」


「でも、『setup.exe』の『exe』って部分が見えないけど、そう断言しちゃっていいのかな？」


「『setup』って来たら、『exe』でしょ？」



「では、『exe』って何か解る？」


「…………教えてください。」


「この『exe』は実行ファイルの拡張子なんだよ。EXECUTE=実行の略だよ。」
「ちなみに実行ファイルってのはダブルクリックしたらプログラムが動き出すファイルの事だよ。」

「拡張子って？」


「拡張子はそのファイルがどんな種類かを示すものなんだ。」


「『exe』って場合は、実行ファイルという種類を示すんだね。」


「うん、他にもExcelのファイルだったら拡張子はお馴染みの『xls』だったり、PowerPointだったら、『ppt』みたいな。」

「ああ、なんとなく解ってきたよ。」


「とは言え、『setup.exe』はアプリケーションのインストールとかアップデートとかに使われる事が多く、本来は悪いことをするものではないよ。」
「悪い人がそこを悪用して危険なプログラムのファイル名を『setup.exe』にしている可能性を考慮して、要注意ってことなんだ。」

「ふ～ん、そうなんだー。」

「ただね、この拡張子なんだけど、Windowsの基本の設定では、原則、隠れて見えないようになっているんだ。」

「えっ、見せてくれればいいのに……その方が一目で何のファイルか解って便利だよね。」


「その代わり、図のようにどんな種類のファイルかを示す説明文がファイル名の下に書いてあるでしょ？」

「あっ、ホントだ。」


「だから、拡張子が見えなくっても、この説明文を読めばいいんだよ。」


「じゃあ、『c』は単なるメモ帳のファイル、『d』はJPEGの画像ファイルってことでいんだね。」

「その通り。」


「だったら、ダブルクリックしてもメモ帳が開いたり、画像ファイルが開いたりするだけだから、悪さはしないね。」

「うん、大丈夫だね。」


「……あれ、じゃあ『b』のファイルはどうなんだろ？」


「おっ、気づいたね。」


「うん、このファイルだけ拡張子の『jpg』が見えているよ。他のファイルでは拡張子は見えないのに……。」

「それがこの問題のポイントだよ。」


「えっ、そうなの？」


「うん、ファイル名の下に説明文はあるかな？」


「あれ～『d』と同じJPEGファイルなら、同じように説明文があってもいいよね？」


「うん、これはつまりWindowsがこのファイルをJPEGファイルだと認識できなかったことを指しているんだよ。」

「えっ、でも拡張子が『jpg』なのに？」


「こらこら、他のファイルは拡張子が見えてないだろ？」


「そうだった……ってことは、この『picture1.jpg』の『jpg』っていうのは……。」


「ファイル名の一部ってことだよ。」


「ええええ、紛らわしい。」


「それが悪さをする人の怖いところ。」
「わざと、拡張子みたいなファイル名を付けることによって、『これは安全なファイルだよ』って受け取った人に思わせているんだ。」

「ずるがしこいなぁ。」


「インターネットで不正を働く人はあの手この手を考えるからね。」


「そうか、『c』や『d』のファイルのようにWindowsがどんなファイルかを認識していれば、ちゃんと説明文が入るから、そこで見分けるんだね！」

「うん、同じJPEGファイルなのに、『d』は拡張子無しで説明文有り、『b』は拡張子みたいなのが見えるけど説明文無し。」

「『b』のファイルをWindowsはJPEGファイルと認識できなかったんだね。」


「うん、『b』のファイルの場合、実際には『picture1.jpg.exe』という実行ファイルの可能性が高いんだよ。」

「うっかりクリックしちゃったら、大変だね。」





「でもさ、こんなリスクがあるなら、Windowsは最初から拡張子を見せてくれればいいのにね。」

「初期設定では見せてくれないけど、自分で拡張子を表示させることも出来るよ。」


「えっ、そうなの？」


「うん、簡単に出来るから、今度教えてあげるね。」


「うん、,わかった～。」


「まぁ、拡張子が見えるからと言って、万全ってことはないんだよ。」


「どうして～？」


「例えば『photo.jpg .exe』みたいに、拡張子の前にスペースを入れられちゃうと、結局『jpg』が拡張子だって勘違いしちゃう場合もあるんだ。」
「図のｂでは右下に『…』て見えるだろ。これは名前が長いから省略されたって印なんだ。つまり『picture1.jpg』の後ろにまだ名前が続いているって事さ。」

「悪い事する人はホントいろいろ考えるんだね。」


「だから、僕たちもいろいろ考えなきゃいけないんだよ。」


「了解！」










「ちなみに先生、アプリケーションの脆弱性ってな～に？」


「エクセルとかにはマクロ機能があるのは知っているかな？」


「マクロって？」


「一定の処理手順を登録しておいて、必要な時に呼び出して作業を簡単にするための機能だよ。」
「これを悪用してエクセルとかのセキュリティの穴をついて悪さするファイルもあるんだ。エクセルのファイルを開いて、エクセルが立ち上がった途端に動き出したりね。」

「じゃあ、ファイル名を見て、普通のエクセルのファイルって判断できても、危険な場合もあるんだ？」

「その通り、だから設定でマクロを無効にしたり、確認したりとかも選べるようになっているんだ。」

「用心するにこしたことはないんだね～。」


「そして、今回はそこらへんは考慮しなくても良いよって事ね。


「は～い。」

【 第19回 第2部 第45問 解答＆解説 】
［解答］ａ，ｂ
［解説］
ａ．危険性を持つ。setup.exeであることが想定される。exeファイルはダブルクリックで実行されるファイルである。

ｂ．危険性を持つ。picture1.jpgとなっているが、jpgという拡張子であれば、登録されており、JPEGイメージであると自動判別できるはずである。しかし、判別されていないことから、ファイル名が「picture1.jpg.exe。」等になっていることが想定される。また、拡張子がこのファイルだけ表示されているのは不自然である。

ｃ．危険性を持たない。redme.txtであることが想定される。ダブルクリックしてもメモ帳等（テキストエディタ）が起動するだけなので安心である。

ｄ．危険性を持たない。JPEGイメージであることから、picture2.jpgであると想定できる。ダブルクリックしても、Windows Picture Viwer等が起動するだけなので、安心である。